Forslag til Lov om ændring af lov om finansiel virksomhed, lov om betalinger, lov om kapitalmarkeder og forskellige andre love (Tilsyn efter forordning om digital operationel modstandsdygtighed i den finansielle sektor, forordning om markeder for kryptoaktiver, regler for udpegelse af administrationsselskab for Garantifonden samt aflønningsregler for firmapensionskasser)
Cyberangreb mod den finansielle sektor kan have alvorlige konsekvenser for Danmark. Længevarende it-nedbrud i sektoren kan true den finansielle stabilitet og tilliden til den finansielle sektor. Det er derfor afgørende, at hele den finansielle sektor har et stærkt og robust cybersikkerhedsniveau.
Med Europa-Parlamentets og Rådets forordning 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor (DORA-forordningen) og Europa-Parlamentets og Rådets direktiv 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen m.v. (NIS 2-direktivet) sker der en nødvendig modernisering af reglerne for tilsyn med it- og cybersikkerhed i den finansielle sektor.
DORA-forordningen kommer til at gælde direkte for virksomheder på det finansielle område og erstatter en række nationale regler om kontrol- og sikringsforanstaltninger på it-området. DORA-forordningen fastsætter bl.a. krav om it-risikostyring, indberetning af større it-relaterede hændelser til myndighederne, test af cybertrusler, styring af it-tredjepartsrisici i virksomhederne og krav til kontrakter mellem virksomhederne og it-leverandører. Med lovforslaget foreslås det, at Finanstilsynet udpeges som kompetent myndighed til at påse virksomhedernes overholdelse af bestemmelserne i DORA-forordningen, og at der fastsættes hjemmel til at sanktionere overtrædelser af forordningen.
En række leverandører af it-tjenester på det finansielle område, omfattes ikke af DORA-forordningen. Det drejer sig primært om fælles datacentraler på det finansielle område og it-operatører af detailbetalingssystemer. Disse og andre virksomheder omfattes af NIS 2-direktivet, der fastsætter krav til it-sikkerheden på tværs af sektorer. Det foreslås derfor at implementere NIS 2-direktivets krav for fælles datacentraler og it-operatører af detailbetalingssystemer.
For at sikre et ensartet og stærkt cybersikkerhedsniveau i hele den finansielle sektor og undgå svage led i den finansielle infrastruktur foreslås det herudover at fastsætte supplerende nationale regler for virksomheder, der udpeges som operatører af finansielle digitale infrastrukturer, hvilket vil omfatte de fælles datacentraler på det finansielle område og it-operatører af detailbetalingssystemer. Det foreslås, at disse regler afspejler relevante krav i DORA-forordningen, som gælder for de øvrige virksomheder på det finansielle område.
Med lovforslaget gennemføres dermed ændringer af den finansielle lovgivning, der er nødvendige for at sikre implementering af fælleseuropæisk regulering på cybersikkerhedsområdet.
Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver (MiCA) harmoniserer reguleringen af markedet for kryptoaktiver på tværs af medlemsstaterne i EU og understøtter innovation samt beskytter forbrugere, investorer og den finansielle stabilitet. Med lovforslaget foreslås det, at Finanstilsynet vil blive udpeget som den kompetente myndighed til at påse overholdelsen af MiCA og gives hjemmel til at opkræve afgifter fra de nye virksomheder, som kommer under tilsyn som følge af forordningen.
Lovforslaget indfører krav for firmapensionskasser om kønsneutral lønpolitik, og forlænger udskydelsesperioderne for udbetaling af variable løndele. Lovforslaget gennemfører også anbefalingerne om transparens på aflønningsområdet fra Komitéen for god Selskabsledelse i overensstemmelse med betænkning nr. 1575 om skærpet ansvarsvurdering for ledelsesmedlemmer m.v. i finansielle virksomheder for firmapensionskasserne.
Lovforslaget giver derudover Finanstilsynet mulighed for at udnævne et forsikringsselskab til at varetage opgaven som administrationsselskab for Garantifonden for skadesforsikringsselskaber i en periode af op til fire år, mod vederlag, dog maksimalt til administration af ét konkursramt forsikringsselskab. Lovforslaget sikrer, at garantifonden altid kan løfte den samfundsmæssige væsentlige opgave, der består i bl.a. at foretage udbetalinger til forsikringstagere i tilfælde af deres forsikringsselskabs konkurs.
Lovforslaget ændrer en række bestemmelser vedrørende opgørelse og opfyldelse af søjle II-tillæg og vejledende kapitalniveau for at tydeliggøre hvordan risici relateret til overdreven opgøres i den sammenhæng og bringe reglerne i overensstemmelse med den europæiske tilgang.
2. Lovforslagets hovedpunkter
2.1. Ændringer som følge af DORA-forordningen
De gældende regler om it- og cybersikkerhed for virksomheder på det finansielle område findes i de virksomhedsspecifikke hovedlove, og er nærmere udmøntet i tilknyttede bekendtgørelser.
Banker, realkreditinstitutter, investeringsforvaltningsselskaber og fondsmæglerselskaber skal have betryggende kontrol- og sikringsforanstaltninger på it-området. Kravene hertil er nærmere udmøntet i bekendtgørelse nr. 1103 af 30. juni 2022 om ledelse og styring af pengeinstitutter m.v. (ledelsesbekendtgørelsen), herunder særligt bekendtgørelsens bilag 5, der omhandler den it-strategi, it-risikostyringspolitik og it-sikkerhedspolitik, som en virksomhed skal udarbejde.
På samme vis skal også forsikringsselskaber og firmapensionskasser have betryggende kontrol og sikringsforanstaltninger på it-området. Kravene hertil er nærmere udmøntet i bilag 4 i henholdsvis bekendtgørelse nr. 1723 af 16. december 2015 om ledelse og styring af forsikringsselskaber m.v. og bekendtgørelse nr. 7 af 4. januar 2019 om ledelse og styring af firmapensionskasser.
På kapitalmarkedsområdet er der krav til operatører af markedspladser, der skal sikre, at markedspladsen drives på en betryggende og hensigtsmæssig måde. Som eksempel på en operatør af markedspladser Nasdaq Copenhagen. Kravene findes i lov om kapitalmarkeder, herunder kapitel 12. Derudover er der fast nærmere krav til markedspladserne i Kommissionens delegerede forordning (EU) 2017/584 af 14. juli 2016 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2014/65/EU for så vidt angår reguleringsmæssige tekniske standarder om præcisering af organisatoriske krav til markedspladser.
E-pengeinstitutter og betalingsinstitutter skal også have betryggende kontrol- og sikkerhedsforanstaltninger på it-området. Kravene hertil er nærmere udmøntet i lov om betalinger, jf. § 25, stk. 1, nr. 8.
DORA-forordningen moderniserer og harmoniserer reglerne indenfor it- og cybersikkerhed på tværs af den finansielle sektor.
Den finansielle sektor er blevet væsentlig mere digitaliseret og cybertruslen mod sektoren er høj. En modernisering og harmonisering af reglerne om it- og cybersikkerhed er derfor nødvendig, da en cyberhændelse kan forstyrre tilgængeligheden af finanssektorens ydelser og dermed udgøre en risiko for den finansielle stabilitet. Den fælles europæiske regulering på det finansielle område har ikke fulgt med denne udvikling. Den overordnede hensigt med DORA-forordningen er derfor at bidrage til at skabe en mere sikker og effektiv digital finansiel sektor i EU.
Forordningen fastsætter bl.a. regler, der skal styrke den operationelle modstandsdygtighed i virksomhedernes it-teknologi og hermed mindske risikoen for navnlig cyberangreb, begrænse skaden og prioritere genoptagelsen af aktiviteter i tilfælde af et cyberangreb. Forordningen finder anvendelse fra den 17. januar 2025.
Forordningen finder anvendelse på finansielle enheder. Ved finansielle enheder forstås penge- og realkreditinstitutter, betalingsinstitutter, e-pengeinstitutter, herunder betalings- eller e-pengeinstitutter med en begrænset tilladelse, udbydere af kontooplysningstjenester, fondsmæglerselskaber, forsikrings- og genforsikringsvirksomheder, større forsikringsformidlere og arbejdsmarkedspensionsselskaber, forvaltere af alternative investeringsfonde, udbydere af kryptoaktivtjenester, markedspladser, værdipapircentraler, centrale modparter (CCP), udbydere af dataindberetningstjenester, crowdfundingtjenesteudbydere, transaktionsregistre, administratorer af kritiske benchmarks, securitiseringsregistre og kreditvurderingsbureauer. For betalings- og e-pengeinstitutter med en begrænset tilladelse, arbejdsmarkedsrelateret pensionskasser, der forvalter pensionsordninger, som tilsammen har mindre end 100 medlemmer i alt og små og ikke indbyrdes forbundne fondsmæglerselskaber, gælder dog kun forenklede krav til it-risikostyring.
Forordningen indeholder regler om it-risikostyring, indberetning af større it-relaterede hændelser til myndighederne, test af cybersikkerhed, udveksling af oplysninger og efterretninger om cybertrusler og sårbarheder, styring af it-tredjepartsrisici i virksomhederne. Desuden indeholder forordningen regler om de kontrakter, der indgås mellem en it-leverandør og finansielle enheder, en ny ordning om overvågning af it-leverandører, som er kritiske for den finansielle sektor på EU-niveau.
2.1.2. Erhvervsministeriets overvejelser og den foreslåede ordning
Reglerne i DORA-forordningen erstatter de gældende regler på it-området i den finansielle sektor, samtidig med at den fastsætter en række nye og skærpede krav til de omfattede virksomheder. Det indebærer bl.a., at de regler i den danske regulering, der i dag regulerer de områder, som bliver omfattet af DORA-forordningen, skal ophæves. Det drejer sig særligt om den regulering, der i dag er udmøntet i it-bilagene til ledelsesbekendtgørelserne indenfor de forskellige virksomhedsområder i den finansielle sektor.
DORA-forordningen kommer til at gælde direkte i Danmark og skal derfor ikke implementeres i national lovgivning. Som følge af forordningen, er det dog nødvendigt at indføre regler i den danske lovgivning, der sikrer et effektivt tilsyn med overholdelsen af forordningen.
For at sikre et effektivt tilsyn med DORA-forordningen foreslås det, at Finanstilsynet udpeges som kompetent myndighed til at påse overholdelsen af forordningen. Finanstilsynet fører også i dag it-tilsynet med virksomhederne på det finansielle område og vil derfor kunne tilpasse og anvende den tilsynsramme, der allerede er etableret på området. Finanstilsynet har bl.a. mulighed for at indhente alle relevante oplysninger hos virksomhederne og deres underleverandører, samt at benytte de reaktionsmuligheder der allerede udgør et led i Finanstilsynets almindelige tilsynsudøvelse.
Udpegelsen af Finanstilsynet som kompetent myndighed for tilsynet med overholdelsen af DORA-forordningen nødvendiggør en række tilpasninger af tilsyns-, delegations- og klagebestemmelser i de finansielle hovedlove, hvor der er behov for at tilføje forordningen til oplistningerne i bestemmelserne.
Det foreslås derfor, at Finanstilsynet skal føre tilsyn med virksomhedernes overholdelse af DORA-forordningen på tværs af den finansielle regulering.
DORA-forordningen indeholder en række regler om trusselsbaseret penetrationstest (TLPT-test). Et område, der ikke hidtil har været reguleret ved lov, men er blevet drevet af Danmarks Nationalbank i henhold til Threat Intelligence-based Ethical Red Teaming DK (TIBER-DK). Det vurderes, at det er væsentligt, at der er mulighed for, at TLPT-opgaven kan forblive hos den myndighed, der i dag har ekspertisen og erfaringen med at løse den. Danmarks Nationalbank har opbygget erfaring med at vejlede de testede virksomheder i alle elementer af testprocessen.
Udpegelse af en anden myndighed end Finanstilsynet er ligeledes i overensstemmelse med forudsætningerne i præamblen til DORA-forordningen, der fastslår, at det vil være hensigtsmæssigt at gøre det muligt at udpege en anden offentlig myndighed, end den kompetente myndighed, til at varetage TLPT-opgaven for derigennem at kunne trække på den ekspertise, som visse kompetente myndigheder allerede har erhvervet med hensyn til gennemførelse af TIBER-EU-rammen.
Som i Danmark har det været praksis i de andre lande i EU, at TLPT-opgaven er placeret hos centralbanker. Dette har baggrund i centralbankernes operationelle fokus, der modsvarer tilgangen til TLPT, hvor formålet er at skabe læring, både vedrørende styrker og svagheder i cyberforsvaret. Testene adskiller sig således fra klassisk tilsynsvirksomhed, der har fokus på overholdelse af regulering.
Det foreslås derfor, at erhvervsministeren bemyndiges til at fastsætte regler, der udpeger en myndighed til at varetage TLPT-relaterede anliggender i henhold til artikel 26, stk. 9, i DORA.
Derudover er det nødvendigt at strafbelægge overtrædelser af forordningens artikler i de danske hovedlove på det finansielle område. Det foreslås derfor i overensstemmelse med forordningen, at en række overtrædelser af forordningen strafbelægges med bøde ved at tilføje disse bestemmelser til opregninger i strafbestemmelserne i de relevante hovedlove.
Sammen med DORA-forordningen blev også Europa-Parlamentets og Rådets direktiv (EU) 2022/2556 af 14. december 2022 vedtaget. Direktiv indeholder konsekvensændringer til en række direktiver på det finansielle område som følge af DORA-forordningen. Derfor foreslås tilsvarende konsekvensændringer i de bestemmelser i den danske lovgivning, der implementerer de ændrede direktivbestemmelser.
2.2. Udpegelse af operatører af finansielle digitale infrastrukturer og implementering af NIS 2-direktivet
Finanstilsynet fører i dag tilsyn med it-sikkerheden hos fælles datacentraler og it-operatører af detailbetalingssystemer. Tilsynet er med til at sikre it-sikkerheden i de virksomheder, der står for it-driften i finansielle virksomheder, som har en central samfundsmæssig betydning. Tilsynet er desuden med til at sikre, at it-driften af et detailbetalingssystem, der er afgørende for, at bl.a. udbetaling af løn og pension, betaling for køb af varer og betaling af regninger kan foretages uden væsentlige forsinkelser.
Fælles datacentraler er reguleret i afsnit X c i lov om finansiel virksomhed. Ved fælles datacentraler forstås virksomheder, hvis væsentligste aktiviteter omfatter it-drifts- eller udviklingsopgaver for flere finansielle virksomheder, finansielle holdingvirksomheder, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder, og som overvejende er ejet af disse virksomheder eller en eller flere foreninger, hvis medlemmer overvejende udgøres af disse virksomheder.
Reglerne for fælles datacentraler gælder også for datacentraler, der udfører væsentlige it-drift og it-udvikling for den fælles betalingsinfrastruktur, medmindre datacentralen har tilladelse som it-operatør af et detailbetalingssystem.
En virksomhed omfattes automatisk af reglerne om fælles datacentraler, hvis f.eks. virksomhedens væsentligste aktiviteter netop er it-drifts- eller udviklingsopgaver for flere finansielle virksomheder, og virksomheden samtidig overvejende er ejet af flere finansielle virksomheder. Det kræver derfor ikke tilladelse fra Finanstilsynet at drive en fælles datacentral.
Reglerne for fælles datacentraler afspejler de regler, der også gælder finansielle virksomheders kontrol- og sikringsforanstaltninger på it-området, ligesom tilsynsrammen for tilsynet med datacentraler også afspejler det it-tilsyn, som Finanstilsynet fører med de finansielle virksomheder.
Det følger af § 343 r, i lov om finansiel virksomhed, at reglerne om betryggende kontrol- og sikringsforanstaltninger på it-området finder tilsvarende anvendelse for fælles datacentraler.
Disse regler findes i bekendtgørelse om ledelse og styring af pengeinstitutter m.v. herunder særligt bekendtgørelsens bilag 5, der bl.a. fastsætter nærmere krav til den it-strategi, it-risikostyringspolitik og it-sikkerhedspolitik, som en datacentral skal have.
Derudover følger det af lov om finansiel virksomhed, at reglerne om outsourcing finder tilsvarende anvendelse for fælles datacentraler. Reglerne om outsourcing er nærmere udmøntet i bekendtgørelse nr. 949 af 22. juni 2022 om outsourcing for kreditinstitutter m.v. og omfatter således i dag også de fælles datacentraler.
Herudover følger det af lov om finansiel virksomhed, at Finanstilsynet kan fastsætte bestemmelser om intern revision og om systemrevisionens gennemførelse i fælles datacentraler. Bemyndigelsen er udnyttet i bekendtgørelse nr. 1581 af 22. december 2022 om systemrevisionens gennemførelse i fælles datacentraler m.fl.
Endelig følger det af i lov om finansiel virksomhed, at kapitel 21 og 23 i lov om finansiel virksomhed og regler udstedt i medfør af disse kapitler finder tilsvarende anvendelse for fælles datacentraler med de fornødne tilpasninger. Det indebærer bl.a., at tilsynsrammen for tilsynet med finansielle virksomheder også gælder for finansielle datacentraler, herunder bl.a. reglerne om Finanstilsynets tavshedspligt, offentliggørelse, partsbestemmelser og klageadgang.
Finanstilsynet fører også tilsyn med it-operatører af detailbetalingssystemer, dvs. virksomheder, der er meddelt tilladelse til it-drift af et detailbetalingssystem efter i lov om kapitalmarkeder. It-operatører af detailbetalingssystemer er reguleret i kapitel 32 a i lov om kapitalmarkeder.
Et detailbetalingssystem er et betalingssystem, hvormed der i væsentligt omfang udføres clearing af betalinger i danske kroner mellem fysiske personer, virksomheder og offentlige myndigheder og mellem disse personer indbyrdes.
Reglerne om it-operatører af detailbetalingssystemers kontrol- og sikringsforanstaltninger på it-området afspejler ligesom for datacentraler det it-tilsyn, som Finanstilsynet fører med de finansielle virksomheder.
Det følger af lov om kapitalmarkeder, at it-operatører af detailbetalingssystemer skal have betryggende kontrol- og sikringsforanstaltninger på it-området. I forlængelse heraf følger det, at Finanstilsynet kan fastsætte nærmere regler om de foranstaltninger, som en it-operatør af et detailbetalingssystem skal træffe for at have betryggende kontrol- og sikringsforanstaltninger på it-området. Bemyndigelsen er ligesom for datacentraler, udnyttet i ledelsesbekendtgørelsen, herunder særligt bekendtgørelsens bilag 5, der bl.a. fastsætter nærmere krav til den it-strategi, it-risikostyringspolitik og it-sikkerhedspolitik, som it-operatører af detailbetalingssystemer skal have.
Det følger også af lov om kapitalmarkeder, at Finanstilsynet fastsætter bestemmelser om intern it-revision og om systemrevisionens gennemførelse for en it-operatør af et detailbetalingssystem. Bemyndigelsen er udnyttet i bekendtgørelse nr. 1581 af 22. december 2022 om systemrevisionens gennemførelse i fælles datacentraler m.fl.
Endelig følger det af lov om kapitalmarkeder, at Finanstilsynet kan fastsætte nærmere regler om it-operatører af detailbetalingssystemers outsourcing. Reglerne om outsourcing er nærmere udmøntet i bekendtgørelse nr. 949 af 22. juni 2022 om outsourcing for kreditinstitutter m.v. og omfatter således i dag også it-operatører af detailbetalingssystemer.
2.2.2. Erhvervsministeriets overvejelser og den foreslåede ordning
I januar 2023 trådte NIS 2-direktivet i kraft sammen med DORA-forordningen. NIS 2-direktivet finder anvendelse fra den 18. oktober 2024 og DORA-forordningen fra den 17. januar 2025.
Hensigten med lovpakken er bl.a. at styrke it- og cybersikkerheden i den finansielle sektor ved at gennemføre en væsentlig udvidelse, harmonisering og modernisering af de juridiske rammer på tværs af medlemslandene.
Hvor DORA-forordningen alene finder anvendelse på virksomheder på det finansielle område, så fastsætter NIS 2-direktivet mere generelle regler om it-sikkerhed for kritiske infrastrukturer på tværs af sektorer og offentlige myndigheder. Direktivets regler gælder derfor, udover for dele af den finansielle sektor, også for bl.a. energi-, transport-, sundheds-, og forsyningssektoren, og for den offentlige forvaltning. Implementering af NIS 2-direktivet for andre sektorer behandles i andre lovforslag.
For så vidt angår forholdet mellem NIS 2-direktivet og DORA-forordningen, så følger det af præambelen i NIS 2-direktivet, at DORA-forordningens regler finder anvendelse i stedet for NIS 2-direktivets regler på de områder, som DORA-forordningen regulerer. Da DORA-forordningens regler favner kravene til virksomhedernes it- og cybersikkerhed i NIS 2-direktivet, og hertil fastsætter mere omfattende krav, er der ikke behov eller mulighed for at implementere direktivets regler for de virksomheder på det finansielle område, der er omfattet af forordningen.
DORA-forordningen omfatter stort set alle de virksomheder, der er reguleret i den finansielle lovgivning og underlagt Finanstilsynets tilsyn. Enkelte virksomhedstyper er dog ikke omfattet. Det gælder de fælles datacentraler, der står for it-drift og it-udvikling i finansielle virksomheder og den fællesbetalingsinfrastruktur, samt it-operatører af detailbetalingssystemer. Fælles datacentraler og it-operatører af detailbetalingssystemer omfattes dog af NIS 2-direktivets mere generelle regler, der bl.a. finder anvendelse på digital infrastruktur og forvaltning af it-tjenester. Derfor skal reglerne i NIS 2-direktivet implementeres for fælles datacentraler og it-operatører af detailbetalingssystemer.
For at sikre, at Finanstilsynet kan føre tilsyn med it- og cybersikkerheden i alle relevante virksomheder på det finansielle område, der udbyder digital infrastruktur og forvaltning af it-tjenester indenfor den finansielle sektor, og som omfattes af NIS 2-direktivets regler, foreslås det, at Finanstilsynet kan udpege disse virksomheder som operatører af finansielle digitale infrastrukturer. Det foreslås i den forbindelse, at det alene er virksomheder, hvis væsentligste aktiviteter består i at drive, administrere eller udvikle tjenester, som er nødvendige for finansielle virksomheders kritiske og vigtige forretningsfunktioner, der kan udpeges som operatører finansielle digitale infrastrukturer. Det vil bl.a. indebære, at Finanstilsynet kan udpege fælles datacentraler og it-operatører af detailbetalingssystemer som operatører af finansielle digitale infrastrukturer.
Det foreslås i forlængelse heraf, at der fastsættes regler i lov om finansiel virksomhed, der implementerer NIS 2-direktivets krav, for disse virksomheder, som udpeges som operatører af digitale finansielle infrastrukturer. Kravene, der foreslås implementeret fra NIS 2-direktivet, er overordnede og indebærer, at virksomhederne skal træffe tekniske, operationelle og organisatoriske foranstaltninger for at styre deres cyberrisici. Det omfatter bl.a. krav om politikker for risikoanalyse og informationssystemsikkerhed, krav om foranstaltninger til håndtering af it-sikkerhedshændelser og krav om foranstaltninger til grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse. Herudover foreslås det at implementere rapporteringsforpligtelser til Finanstilsynet om væsentlige hændelser og underretningspligt overfor modtagerne af virksomhedens tjenester. Det foreslås også at fastsætte enkelte supplerende tilsyns- og håndhævelsesforanstaltninger i overensstemmelse med direktivets krav, og at strafbelægge overtrædelse af relevante bestemmelser, der implementerer direktivets krav.
Kravene i NIS 2-direktivet er overordnede og ikke sektorspecifikke. Implementeringen af NIS 2-direktivet alene vil derfor isoleret set indebære en lempelse af kravene til cybersikkerheden for fælles datacentraler og it-operatører af detailbetalingssystemer, der i dag er omfattet af mere uddybende krav i ledelsesbekendtgørelsen, fordi disse gældende krav skal udgå fra denne bekendtgørelse, når DORA-forordningen finder anvendelse.
Datacentraler har en særlig rolle i Danmark, hvor navnlig de små og mellemstore institutter i vid udstrækning anvender datacentraler til drift af kerneforretninger, og datacentraler er derfor centrale for den danske finansielle sektor. Ligesom de fælles datacentraler er it-operatører af detailbetalingssystemer centrale for den danske finansielle sektor. Næsten alle betalinger sker i dag digitalt. Et cyberangreb mod betalingsinfrastrukturen kan have væsentlige systemiske konsekvenser.
For at bevare og sikre et ensartet højt cybersikkerhedsniveau i hele finanssektoren, herunder for fælles datacentraler og it-operatører af detailbetalingssystemer, foreslås det, at reglerne, som implementerer NIS 2-direktivet for de virksomheder, der bliver udpeget som operatører af finansielle digitale infrastrukturer, suppleres med nationale regler, der afspejler relevante krav fra DORA-forordningen. Herved vil der fortsat gælde ensartede krav for fælles datacentraler og it-operatører af detailbetalingssystemer, som også gælder for øvrige virksomheder på det finansielle område omfattet af DORA-forordningen. Det vil også være med til at understøtte de virksomheder, der benytter sig af levering af it-tjenesteydelser fra operatørerne af finansielle digitale infrastrukturer, i at overholde DORA-forordningen.
På den baggrund foreslås det konkret at fastsætte uddybende krav til operatører af digitale finansielle infrastrukturers ramme for styring af cyberrisici, herunder med krav til strategier, politikker, procedurer, og foranstaltninger på en række områder indenfor it- og cybersikkerheden. Det omfatter bl.a. krav til operatørernes beskyttelse i form af løbende overvågning af og kontrol med it-systemer og it-værktøjer, samt krav til beredskab og genopretning. Det omfatter også uddybende krav til styring og indberetning af it- og cyberhændelser, håndtering af tredjepartsrisici og krav til kontrakter med tredjepartsudbydere af it-tjenester.
Med reglerne foreslås også ledelsesmæssige og organisatoriske krav. Det gælder bl.a. krav om at ledelsen skal godkende, føre tilsyn med og gennemføre rammen for it- og cyberrisikostyring, at rammen regelmæssigt er genstand for intern revision og at det interne tilsyn med styring af it- og cyberrisici placeres i uafhængige kontrolfunktioner.
Det foreslås herudover at Finanstilsynet bemyndiges til at fastsætte nærmere regler for operatører af finansielle digitale infrastrukturer. Det gælder bl.a. for indholdet af rammerne for styring af it- og cyberrisici, herunder for strategier og politikker, ledelsens opgaver, rapportering af hændelser, tredjepartsrisici samt intern og ekstern systemrevision. Bemyndigelsen vil sikre, at reglerne for operatører af finansielle digitale infrastrukturer kan opfylde krav, der eventuelt bliver fastsat i medfør af delegerede retsakter til NIS 2-direktivet, eller som udspringer af DORA-forordningen, og som bør gælde tilsvarende.
Det foreslås i øvrigt at udnytte Finanstilsynets eksisterende tilsynsramme, der følger af lov om finansiel virksomhed i kapitel 21 og 23 i lov om finansiel virksomhed, og som også i dag gælder for datacentraler, ved at lade disse regler finde tilsvarende anvendelse for operatører af finansielle digitale infrastrukturer.
2.3. Tilbagerulning af NIS-direktivet
I dag udpeger Finanstilsynet mindst hvert andet år de penge- og realkreditinstitutter, operatører af markedspladser og centrale modparter (CCP’er), der er operatører af væsentlige tjenester efter henholdsvis § 307 a i lov om finansiel virksomhed eller § 58 a i lov om kapitalmarkeder. Ved udpegning skal Finanstilsynet bl.a. lægge vægt på om, de tjenester, der leveres, er væsentlige for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter, om leveringen af tjenesten afhænger af net- og informationssystemer, og om en hændelse vil få væsentlige forstyrrende virkninger for leveringen af tjenesten.
Når en virksomhed er udpeget som operatør af væsentlige tjenester skal virksomheden rapportere hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer, til Finanstilsynet og Center for Cybersikkerhed, jf. § 2, stk. 1, i bekendtgørelse nr. 457 af 9. maj 2018 om hændelsesrapportering for operatører af væsentlige tjenester. Center for Cybersikkerhed er udpeget som CSIRT (Computer Security Incident Response Team), dvs. den kompetente myndighed der bl.a. håndterer it-sikkerhedshændelser.
Reglerne om operatører af væsentlige tjenester og rapportering af hændelser gennemfører dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer i hele Unionen (NIS-direktivet).
Et eksempel på en hændelse, som en operatør af en væsentlig tjeneste skal rapportere om, kan være et hackerangreb på en bank, som betyder, at mange systemer, der normalt anvendes af både privatkunder i hele Danmark og internt i banken, ikke længere kan anvendes. Et andet eksempel kunne være en hændelse, der har væsentlige konsekvenser for kontinuiteten af driften af markedspladsen og den multilaterale handel med finansielle instrumenter, såsom en hændelse hvormed markedspladsens handelssystem svigter i en længere periode.
Desuden følger det af henholdsvis lov om finansiel virksomhed og lov om kapitalmarkeder, at Finanstilsynet kan oplyse offentligheden om konkrete hændelser, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse.
Finanstilsynets ansatte er underlagt en særlig tavshedspligt efter lov om finansiel virksomhed. Finanstilsynet kan i nærmere angivne tilfælde videregive fortrolige oplysninger, uanset den særlige tavshedspligt, til bl.a. andre myndigheder i Danmark, indenfor eller udenfor EU/EØS. Finanstilsynet kan ikke videregive oplysninger til Den Fælles Afviklingsmyndighed (SRB) eller Den Europæiske Unions Agentur for Cybersikkerhed (ENISA).
Tilsvarende bestemmelser om Finanstilsynets tavshedspligt og undtagelser hertil fremgår også af de øvrige hovedlove på det finansielle område.
2.3.2. Erhvervsministeriets overvejelser og den foreslåede ordning
NIS 2-direktivet ophæver det første NIS-direktiv fra 2016. Derfor vil bestemmelserne i NIS-direktivet, der er implementeret i dansk ret, vedr. udpegning af operatører af væsentlige tjenester blive ophævet. Det gælder også kravet om indrapportering af hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som virksomheden leverer. Derudover vil Finanstilsynets mulighed for at oplyse offentligheden om konkrete hændelser, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge en hændelse eller håndtere en igangværende hændelse. Ligeledes udgå af NIS-direktivet.
For fortsat at sikre et høj it- og cybersikkerhedsniveau i EU ved bl.a. at sikre, at kompetente myndigheder fortsat får overblik over it-hændelser og hermed kan imødegå it-risici i den finansielle sektor bliver reglerne om hændelsesrapportering i NIS-direktivet erstattet af et krav om indberetning af større it-relaterede hændelser og frivillig underretning om væsentlige cybertrusler til de kompetente myndigheder i artikel 19 i DORA-forordningen. DORA-forordningen finder bl.a. anvendelse på penge- og realkreditinstitutter, operatører af markedspladser og centrale modparter (CCP’er), jf. artikel 2, stk. 1, litra a, h og i. Når de kompetente myndigheder modtager en underretning om en større it-relateret hændelse, skal den kompetente myndighed bl.a. rettidigt forelægge nærmere oplysninger herom til CSIRT’er, jf. artikel 19, stk. 6, litra c. Det foreslås, at Finanstilsynet udpeges som kompetent myndighed i Danmark, jf. pkt. 2.2. ovenfor om DORA-forordningen og Erhvervsministeriets overvejelser og den foreslåede ordning. Det forventes, at Center for Cybersikkerhed udpeges som CSIRT i henhold til NIS 2-direktivet i Danmark.
Desuden vil virksomhederne blive underlagt et krav om at have krisekommunikationsplaner, der giver mulighed for ansvarlig offentliggørelse af som minimum større it-relaterede hændelser eller sårbarheder for kunder og modparter samt for offentligheden, alt efter, hvad der er relevant, jf. artikel 14, stk. 1, i DORA-forordningen.
De kompetente myndigheder vil bl.a. også skulle orientere Den Europæiske Banktilsynsmyndighed (EBA), Den Europæiske Værdipapir- og Markedstilsynsmyndighed (ESMA) eller Den Europæiske Tilsynsmyndighed for Forsikrings- og Arbejdsmarkedspensionsordninger (EIOPA) om indberetning af større it-relaterede hændelser, som de modtager fra virksomhederne, jf. artikel 19, stk. 6, litra a, i DORA-forordningen.
Som noget nyt vil det også blive relevant for Finanstilsynet at dele oplysninger med ENISA. Det vil bl.a. være relevant for Finanstilsynet at videreformidle hændelsesindberetninger i forbindelse med det samarbejde, der bliver iværksat på tværs af de nationale og europæiske finansielle tilsynsmyndigheder og afviklingsmyndigheder, SRB, og ENISA i henhold til artikel 49 i DORA-forordningen. Samarbejdet går ud på udveksling af effektive fremgangsmåder på tværs af den finansielle sektor for at forbedre situationskendskabet og identificere fælles cybersårbarheder og risici på tværs af sektorer.
Det foreslås derfor, at Finanstilsynet skal kunne videregive oplysninger til myndigheder, der varetager opgaver i henhold til DORA-forordningen, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.
2.4. Supplering af dele af MiCA-forordningen
Et kryptoaktiv er en digital repræsentation af et aktiv (f.eks. en aktie eller valuta) eller en rettighed (f.eks. en forkøbsret til en vare eller en tjenesteydelse), der kan opbevares og handles digitalt ved brug af distribueret hovedbog-teknologi, hvilket betyder at transaktioner kan verificeres decentralt mellem parter i stedet for f.eks. at være afhængig af en bank til at udføre transaktioner.
I dag er udstedere af kryptoaktiver og udbydere af kryptoaktivtjenester som udgangspunkt ikke omfattet af den finansielle lovgivning. Kryptoaktiver er i dag kun omfattet af den finansielle lovgivning i det omfang, at kryptoaktiverne udgør finansielle instrumenter eller andre former for regulerede aktiver, såsom elektroniske penge.
Størstedelen af de kryptoaktiver, der eksisterer i dag, udgør ikke finansielle instrumenter eller andre regulerede aktiver. De er derfor ikke omfattet af den gældende finansielle lovgivning. Udstedere og udbydere af disse kryptoaktiver og tjenester forbundet hermed er derfor som udgangspunkt ikke omfattet af nogen tilladelseskrav under den finansielle lovgivning. Det betyder samtidig, at investorer og forbrugere, der handler med kryptoaktiver i dag, ikke er omfattet af den investor- og forbrugerbeskyttelse, som den gældende finansielle lovgivning fastsætter.
I særlige tilfælde vil et kryptoaktiv kunne udgøre finansielle instrumenter, såsom aktier eller e-penge, der er reguleret gennem den finansielle lovgivning. Udstedere af sådanne kryptoaktiver og udbydere af kryptoaktivtjenester med sådanne kryptoaktiver er omfattet af den finansielle lovgivning. Det er eksempelvis tilfældet, hvis en virksomhed yder skønsmæssig porteføljepleje med kryptoaktiver, der udgør aktier. I det tilfælde skal virksomheden have tilladelse af Finanstilsynet som fondsmæglerselskab.
Hvidvaskloven regulerer i dag, at udbydere af tjenester med virtuelle valutaer skal registreres i Finanstilsynets hvidvaskregister efter hvidvasklovens § 48, stk. 2. Det betyder eksempelvis, at en virksomhed, der tilbyder en platform, hvor forbrugere kan handle bitcoins og lignende kryptoaktiver, i dag er omfattet af registreringspligten i hvidvaskloven.
De omfattede udbydere af tjenester med virtuel valuta er udbydere af veksling mellem virtuelle valutaer og fiatvalutaer (lovlige betalingsmidler udstedt af centralbanker, f.eks. DKK), udbydere af virtuelle tegnebøger, udbydere af veksling mellem en eller flere typer af virtuel valuta, udbydere af overførsel af virtuel valuta og udbydere af finansielle tjenester relateret til en udsteders udbud eller salg af virtuel valuta.
Europa-Parlamentets og Rådets forordning (EU) 2015/847 af 20. maj 2015 om oplysninger, der skal medsendes ved pengeoverførsler (pengeoverførselsforordningen) regulerer i dag, hvilke oplysninger der skal medsendes ved overførsel af fiatvaluta.
Fra den 30. december 2024 finder Europa-Parlamentets og Rådets forordning 2023/1113/EU af 31. maj 2023 om oplysninger, der skal medsendes ved pengeoverførsler og ved overførsler af visse kryptoaktiver og om ændring af direktiv 2015/849/EU, (herefter ”den omarbejdede pengeoverførselsforordning”) anvendelse. Den omarbejdede pengeoverførselsforordning udvider forordningens anvendelsesområde til også at omfatte oplysninger, som skal medsendes ved overførsler af kryptoaktiver.
2.4.2. Erhvervsministeriets overvejelser og den foreslåede ordning
For at sikre de lovgivningsmæssige rammer for bekæmpelse af hvidvask af penge og finansiering af terrorisme og for at tilpasse EU-retten til internationale henstillinger, ændredes dele af 4. hvidvaskdirektiv i forordningen i overensstemmelse med MiCA. 4. hvidvaskdirektivs anvendelsesområde udvides således til at omfatte alle kategorier af udbydere af kryptoaktivtjenester i overensstemmelse med MiCA, som dækker et bredere spektrum af virksomheder og personer, end de udbydere af tjenester med virtuelle valutaer, som er omfattet i dag.
Udbydere af kryptoaktivtjenester dækker over de samme virksomheder og personer, som fremgår af Financial Action Task Forces (FATF) anbefaling nr. 15 om udbydere af tjenester med virtuel valuta. Da Danmark har gennemført FATF’s anbefaling nr. 15 dækker udbydere af kryptoaktivtjenester, som defineret i MiCA, ligeledes over de samme virksomheder og personer, som er omfattet af hvidvasklovens anvendelsesområde.
Ligeledes fastsættes en række krav til udbydere af kryptoaktivtjenester, når disse etablerer korrespondentforbindelser med andre udbydere af kryptoaktivtjenester. Endeligt fastsættes en række krav til udbydere af kryptoaktivtjenester, når disse gennemfører overførsler af kryptoaktiver, som er rettet mod eller stammer fra selvhostede adresser.
Markedet for kryptoaktiver er vokset globalt de seneste år, også i Danmark. I Danmark har virksomheder, der er involveret i udstedelse og udbud af kryptoaktiver som udgangspunkt ikke været omfattet af den finansielle lovgivning. Kun i særlige tilfælde, hvor kryptoaktiver falder ind under definitionen af ”finansielle instrumenter” eller ”andre regulerede aktiver”, er de omfattet af den finansielle lovgivning i Danmark.
Reguleringen af virksomheder, der er involveret i udstedelse og udbud af kryptoaktiver, er fragmenteret på tværs af EU. Enkelte EU-medlemslande har indført deres egne nationale regler for virksomheder, der er involveret i udstedelse og udbud af kryptoaktiver, der falder udenfor anvendelsesområdet for den finansielle lovgivning i EU, med henblik på at regulere udstedere og udbydere af kryptoaktivtjenester med disse kryptoaktiver. Andre EU-medlemslande overvejer, om de nationalt skal lovgive på området for kryptoaktiver.
Den fragmenterede og ofte manglende regulering af kryptoaktiver, der ikke udgør finansielle instrumenter betyder generelt, at indehavere af disse kryptoaktiver er udsat for risici, navnlig på områder, der ikke er omfattet af investor- eller forbrugerbeskyttelsesreglerne i den finansielle lovgivning. Det vil eksempelvis være tilfældet for de mange investorer og forbrugere, der handler med kryptoaktiver som bitcoin. Det kan også skabe risici for markedsintegriteten, bl.a. ved markedsmisbrug og økonomisk kriminalitet.
MiCA har til formål at skabe en særlig og harmoniseret ramme for markedet for kryptoaktiver i EU ved at fastsætte specifikke bestemmelser for kryptoaktiver og dermed forbundne aktiviteter og tjenester, der endnu ikke er omfattet af den finansielle lovgivning. Det skal støtte innovation og fair konkurrence samtidig med, at der sikres et højt beskyttelsesniveau. Det skal give kunderne fordele i form af adgang til billigere, hurtigere og sikrere finansielle tjenesteydelser og forvaltning af midler. Det er Erhvervsministeriets forventning, at en samlet regulering i EU vil afhjælpe de eksisterende hindringer for et velfungerende marked for kryptoaktiver og sikre investorer, erhvervsdrivende og forbrugere et højt beskyttelsesniveau gennem fastsættelse af et regelsæt i EU.
MiCA finder direkte anvendelse i Danmark, og det er samtidig nødvendigt, at der med lovforslaget indføres regler i lov om finansiel virksomhed og en række andre love på det finansielle område. Det er samtidig vigtigt, at der udpeges en kompetent myndighed i Danmark til at håndhæve reglerne overfor de relevante aktører.
Finanstilsynet udpeges i henhold til artikel 93, stk. 1, i MiCA, som den kompetente myndighed i Danmark, der er ansvarlig for at udføre de i forordningen fastsatte funktioner og opgaver. Forbrugerombudsmanden kan påse, at udstedere og udbydere omfattet af MiCA overholder kravene overfor forbrugere. Forbrugerombudsmandens tilsyn udøves i øvrigt efter reglerne i markedsføringsloven, herunder bekendtgørelse nr. 1249 af 25. november 2014 om regler for Forbrugerombudsmandens virksomhed. Det fremgår bl.a. af bekendtgørelsen, at Forbrugerombudsmanden ikke er forpligtet til at behandle klager, men har adgang til at prioritere, hvilke klager Forbrugerombudsmanden vil behandle.
MiCA skal sikre harmoniserede tilsynsmæssige rammer i EU, eksempelvis ved at stille ensartede krav til bl.a. udstedere af kryptoaktiver og udbydere af kryptoaktivtjenester med henblik på at sikre investor- og forbrugerbeskyttelse, markedsintegritet og den finansielle stabilitet i EU.
Det foreslås blandt andet, at Finanstilsynet tillægges beføjelser til at meddele og inddrage tilladelse til udstedere af aktivbaserede tokens, udstedere af e-pengetokens og udbydere af kryptoaktivtjenester. Som følge heraf foreslås det at ophæve krav om registrering efter hvidvaskloven, jf. lovforslaget § 7, nr. 13. En række virksomheder, der allerede har tilladelse under den finansielle lovgivning, skal ikke søge om tilladelse til eksempelvis at udbyde kryptoaktivtjenester. Det er virksomheder, som fremgår af artikel 60, stk. 1-6, i MiCA. Disse virksomheder skal alene underrette den kompetente myndighed i hjemlandet om deres aktiviteter med kryptoaktiver. Det foreslås, at Finanstilsynet udpeges som den kompetente myndighed til at modtage disse underretninger.
Det foreslås, at udstedere af aktivbaserede tokens og udbydere af kryptoaktivtjenester skal betale en årlig afgift til Finanstilsynet. Afgiftsbetalingerne har til formål at dække omkostningerne til Finanstilsynets virksomhed. Den foreslåede afgiftsbetaling er fastsat under hensyntagen til, at de aktiviteter og udbydere, som Finanstilsynet skal føre tilsyn med efter MiCA, er et komplekst og nyt område. I udmålingen er der også taget hensyn til Finanstilsynets risikobaserede tilsyn samt afgiftsbetalingen for sammenlignelige virksomheder under Finanstilsynets tilsyn. Finanstilsynets tilsynsvirksomhed vil blandt andet bestå i at give og inddrage tilladelse til udstedere af aktivbaserede tokens og udbydere af kryptoaktivtjenester samt føre tilsyn med disse, herunder gennemføre inspektioner og varetage øvrige løbende tilsynsopgaver. Hertil kommer forpligtelser overfor øvrige tilsynsmyndigheder, EBA og ESMA, herunder bl.a. samarbejds- og notifikationsforpligtelser samt oplysnings- og vejledningsforpligtelser.
Virksomheder, der ikke skal have selvstændig tilladelse af Finanstilsynet for at kunne udbyde aktivbaserede tokens til offentligheden eller anmode om optagelse til handel eller udbyde kryptoaktivtjenester, vil ikke blive opkrævet yderligere afgifter som følge af lovforslaget. Disse udbydere fremgår af artikel 16, stk. 1, litra b, samt artikel 60, stk. 1-6, i MiCA. Det er f.eks. pengeinstitutter og fondsmæglerselskaber.
Det foreslås, at Finanstilsynet tillægges undersøgelses- og tilsynsbeføjelser, herunder mulighed for at indhente oplysninger og gennemføre inspektioner samt gribe ind over for overtrædelse af forordningen, så der kan føres et effektivt tilsyn med overholdelsen af forordningen. I tillæg hertil foreslås det, at Finanstilsynet gives beføjelse til at give påbud og påtaler for overtrædelser af MiCA, samt at gribe ind med en række målrettede foranstaltninger. Finanstilsynet gives eksempelvis beføjelse til at kræve, at en udbyder af kryptoaktivtjenester suspenderer leveringen af kryptoaktivtjenester, eller helt forbyde leveringen af kryptoaktivtjenester, hvis Finanstilsynet finder, at forordningen er blevet overtrådt, eller hvis der er rimelig mistanke om, at den vil blive overtrådt.
Medlemslandene kan beslutte, at en række artikler i MiCA skal kunne underlægges strafferetlige sanktioner gennem national ret. Det foreslås som følge heraf, at overtrædelser af en række artikler i MiCA enten kan straffes med bøde, fængsel indtil 4 måneder eller fængsel indtil 1 år og 6 måneder i tilfælde af eksempelvis markedsmisbrug.
Endeligt foreslås det at ændre hvidvaskloven, så loven vil finde anvendelse på samme aktører og anvende samme definitioner som MiCA og den omarbejdede pengeoverførselsforordning.
Den foreslåede ændring af hvidvaskloven vil medføre, at alle udbydere af tjenester med virtuel valuta fremover vil blive samlet under betegnelsen udbydere af kryptoaktivtjenester. Virksomheder og personer, som udbyder kryptoaktivtjenester, vil fortsat være omfattet af de forpligtelser, der gælder i hvidvaskloven, med undtagelse af registreringskravet i hvidvaskloven, som foreslås ophævet, jf. lovforslagets § 7, nr. 13, og erstattet af en tilladelsesordning i henhold til MiCA.
Der henvises i øvrigt til lovforslagets § 1. nr. 4-6, 28, 30, 40, 42, 47-49, og 52-54, (ændringer til lov om finansiel virksomhed) § 2, nr. 16, 17, og 22-24, (ændringer til lov om betalinger), § 3, nr. 4, 17, (ændringer lov om kapitalmarkeder), § 4, nr. 2, 3, 6, 11, 14, 10-17, (ændringer til lov om fondsmæglerselskaber og investeringsservice og -aktiviteter), § 5, nr. 2, 4, 8 og 9, (ændringer til lov om forvaltere af alternative investeringsfonde m.v.), § 7 (ændringer til hvidvaskloven), samt de specielle bemærkninger hertil.
2.5. Aflønningsregler for firmapensionskasser
Aflønningsreglerne har overordnet set til formål at sikre, at firmapensionskasser fører en forsvarlig lønpolitik, som fremmer en sund og forsvarlig virksomhedsledelse, og som ikke tilskynder til overdreven risikotagen, der kan undergrave den pågældende virksomheds risikostyring. Aflønningsreglerne gælder på tværs af den finansielle sektor og sikrer et ensartet beskyttelsesniveau for kunder, indskydere og investorer indenfor de forskellige delsektorer.
Aflønningsreglerne er en udmøntning af den politiske aftale om forsvarlig aflønningspolitik i den finansielle sektor af 31. august 2010 mellem den daværende regering (Venstre og Det Konservative Folkeparti), Socialdemokraterne, Dansk Folkeparti, Socialistisk Folkeparti, Radikale Venstre og Liberal Alliance og den politiske aftale om regulering af systemisk vigtige finansielle institutter (SIFI) samt krav til alle banker og realkreditinstitutter om mere og bedre kapital og højere likviditet af 10. oktober 2013 mellem den daværende regering (Socialdemokraterne, Radikale Venstre og Socialistisk Folkeparti), Venstre, Dansk Folkeparti, Liberal Alliance og Det Konservative Folkeparti. Med aftalerne blev bestemmelserne fra Europa-Parlamentets og Rådets kapitalkravsdirektiv III og IV gennemført på tværs af den finansielle sektor sammen med enkelte nationale skærpelser.
De gældende regler om lønpolitik og aflønning af bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på virksomhedens risikoprofil, såkaldte væsentlige risikotagere, er nærmere fastsat i bekendtgørelse nr. 16 af 4. januar 2019 om lønpolitik og aflønning i forsikringsselskaber, forsikringsholdingvirksomheder og firmapensionskasser (aflønningsbekendtgørelsen), som ændret ved bekendtgørelse nr. 360 af 23. marts 2022. Aflønningsbekendtgørelsen er, for så vidt angår firmapensionskasser, udstedt med hjemmel i § 43 i lov om firmapensionskasser.
De gældende aflønningsregler foreskriver, at firmapensionskasser skal have en skriftlig lønpolitik. Aflønningspolitikken skal godkendes af firmapensionskassens generalforsamling, og bestyrelsesformanden skal i sin formandsberetning for generalforsamlingen redegøre for aflønningen af firmapensionskassens bestyrelse og direktion.
En firmapensionskasse skal ved outsourcing af aktiviteter sikre, at lønpolitikken overholdes af den virksomhed, som firmapensionskassen har outsourcet aktiviteterne til, i det omfang aflønningen relaterer sig til arbejde, som er outsourcet firmapensionskassen. Det følger af § 19 i aflønningsbekendtgørelsen.
Bestyrelsen, direktionen og andre væsentlige risikotagere i firmapensionskasser er underlagt en række regler om udbetalingsbegrænsninger af variable løndele, eksempelvis et forholdsmæssigt loft for den variable løndels størrelse set i forhold til den faste løndels størrelse. Det følger således af de gældende regler, at de variable løndele til et medlem af bestyrelsen eller direktionen i en firmapensionskasse højst må udgøre 50 pct. af vedkommendes faste løndel. De væsentlige risikotagere i firmapensionskassen må modtage op til 100 pct. af deres faste løn i variabel løn, dog kan firmapensionskassens øverste organ beslutte, at dette loft hæves til 200 pct., hvis visse betingelser er opfyldt. Det følger af § 18, stk. 1, nr. 1-3, i den gældende aflønningsbekendtgørelse.
Endvidere indeholder de gældende aflønningsregler krav om, at en vis minimumsandel af de variable løndele skal udgøres af en balance af finansielle instrumenter, og at den skal omfatte en fleksibel, udskudt løndel, som tager højde for den pågældende firmapensionskasses virksomhedsart og tidshorisont. Det følger af § 18, stk. 1, nr. 4, i den gældende aflønningsbekendtgørelse. Herudover foreskriver de gældende aflønningsregler, at udbetalingen sker over en periode på mindst tre år for væsentlige risikotagere og fire år for medlemmer af direktionen og bestyrelsen med påbegyndelse et år efter beregningstidspunktet, og som tilpasses den pågældende virksomhed og risici samt de pågældende ansattes aktiviteter. Det følger af § 18, stk. 1, nr. 5, i den gældende aflønningsbekendtgørelse. Anvendelsen af aktieoptioner er for bestyrelsen og direktionen begrænset således, at andelen heraf højst må udgøre 12,5 pct. af vedkommendes faste løndel, jf. § 18, stk. 2, i aflønningsbekendtgørelsen.
Firmapensionskasser skal også sikre, at finansielle instrumenter, som tildeles bestyrelsen, direktionen eller andre væsentlige risikotagere som en del af en variabel løndel, ikke må afhændes i en passende periode, og at disse personer forpligter sig til ikke at benytte personlige afdækningsstrategier eller løn- og ansvarsrelaterede forsikringer til at undergrave de risikotilpasningsvirkninger, der er indbygget i deres aflønningsvilkår. Det følger af § 18, stk. 3, og § 9, stk. 2, nr. 7, i den gældende aflønningsbekendtgørelse.
Derudover skal firmapensionskasser sikre, at udbetalingen af en udskudt variabel løndel betinges af, at de kriterier, der har dannet grundlag for beregningen af den variable løndel, fortsat er opfyldt på udbetalingstidspunktet, samt at firmapensionskassens og vedkommendes personlige forhold m.v. ikke har ændret sig væsentligt i forhold til beregningstidspunktet. Er firmapensionskassens økonomiske situation eksempelvis væsentligt forringet i udskydelsesperioden, skal den variable løndel reduceres herefter. Uanset udskydelsesperiode kan en variabel løndel kræves tilbagebetalt, hvis denne er udbetalt til et medlem af bestyrelsen eller direktionen eller en væsentlig risikotager på grundlag af fejlagtige oplysninger, og modtageren er i ond tro herom. Kravene om reduktion og tilbagebetaling af en variabel løndel følger af § 18, stk. 4 og 5, i aflønningsbekendtgørelsen, og virksomhedens disposition skal desuden opfylde kravene i § 9, stk. 2, nr. 1 og 5, i aflønningsbekendtgørelsen.
Det følger endvidere af de gældende regler, at hvis et medlem af bestyrelsen eller direktionen eller en væsentlig risikotager, der modtager en variabel pensionsydelse, forlader firmapensionskassen inden pensionstidspunktet, skal virksomheden tilbageholde den variable del af pensionsydelsen i fem år i form af finansielle instrumenter. Både kravet om betinget udbetaling af den variable pensionsydelse og muligheden for at kræve tilbagebetaling af en allerede udbetalt pensionsydelse finder anvendelse i et sådant tilfælde. Hvis modtageren derimod er medlem af bestyrelsen eller ansat i firmapensionskassen ved pensionsalderen, skal firmapensionskassen udbetale den variable del af pensionsydelsen til modtageren i form af finansielle instrumenter uden mulighed for afhændelse eller udnyttelse i en femårig periode. I et sådant tilfælde finder muligheden for at kræve tilbagebetaling af en allerede udbetalt pensionsydelse anvendelse. Det følger af § 18, stk. 6, i den gældende aflønningsbekendtgørelse.
Overtrædelser af visse aflønningsregler straffes med bøde, jf. § 29 i aflønningsbekendtgørelsen.
2.5.2. Erhvervsministeriets overvejelser og den foreslåede ordning
Aflønningsreglerne sikrer, at firmapensionskasser fører en forsvarlig lønpolitik, som fremmer en sund og effektiv risikostyring. Med lovforslaget videreføres en række gældende aflønningskrav med redaktionelle ændringer i overensstemmelse med de politiske aftaler, jf. afsnit 2.5.1. Med lovforslaget samles de væsentligste bestemmelser om lønpolitik og variabel aflønning af bestyrelsen, direktionen og andre væsentlige risikotagere i firmapensionskasser på lovniveau, som det er tilfældet i den øvrige finansielle lovgivning. Det indebærer, at §§ 8, 14, 18, og 19 i aflønningsbekendtgørelsen videreføres i de foreslåede §§ 43 e-43 h i lov om firmapensionskasser med de fornødne redaktionelle ændringer. Der vil samtidig ske en tilpasning af den gældende aflønningsbekendtgørelse.
Lovforslaget viderefører visse bestemmelser for firmapensionskasser, som er fastsat i Europa-Parlamentets og Rådets direktiv (EU) 2016/2341 af 14. december 2016 om arbejdsmarkedsrelaterede pensionskassers (IORP’er) aktiviteter og tilsynet hermed. De pågældende bestemmelser har hidtil været implementeret i aflønningsbekendtgørelsen.
Udover at lovforslaget viderefører gældende ret, indfører lovforslaget også enkelte nye krav. Lovforslaget indfører et krav om, at firmapensionskassers lønpolitik skal være kønsneutral, baseret på princippet om lige løn for samme arbejde eller arbejde af samme værdi uanset den ansattes køn.
Lovforslaget forlænger desuden minimumskravene til udskydelses-perioderne for variabel aflønning. Ifølge de gældende aflønningsregler om udskydelse af udbetaling af variable løndele skal udbetalingen af mindst 40 pct., ved større beløb mindst 60 pct., ske over en periode på mindst tre år med påbegyndelse et år efter beregningstidspunktet, dog for bestyrelsen og direktionen mindst fire år, med en ligelig fordeling over årene eller med en voksende andel i slutningen af perioden, jf. § 18, stk. stk. 1, nr. 5, i aflønningsbekendtgørelsen. Det foreslås at forlænge udskydelsesperioden, som fremgår af aflønningsbekendtgørelsen for at ensrette kravene på tværs den finansielle sektor. Udskydelsesperioden foreslås på den baggrund fastsat til mindst fire år for væsentlige risikotagere og mindst fem år for medlemmer af bestyrelse og direktion. Reglerne udspringer af Europa-Parlamentets og Rådets direktiv (EU) 2019/878 af 20. maj 2019 (CRD V) på kreditinstitutområdet og er gennemført for øvrige finansielle virksomheder, i dele af den finansielle regulering ved lov nr. 2110 af 22. december 2020 og lov nr. 2382 af 14. december 2021. Hensigten med at indføre kravet er at opretholde ensartede aflønningsregler i den finansielle sektor i overensstemmelse med de politiske aftaler på området.
Herudover foreslås det at gennemføre anbefalingerne fra Komitéen for god Selskabsledelse (2017), afsnit 4.2., ”Oplysninger om vederlag”, der handler om vederlagspolitik og vederlagsrapporter, som ved seneste revision i 2020 udgik i forbindelse med implementeringen af aktionærrettighedsdirektivet i selskabsloven. Anbefalinger fra Komitéen for god Selskabsledelse finder anvendelse for selskaber, som har aktier optaget til handel på et reguleret marked i Danmark efter et følg eller forklar-princip, jf. årsregnskabslovens § 107 b. Med den politiske aftale af 31. august 2010 om forsvarlig aflønningspolitik i den finansielle sektor opfordres finansielle virksomheder til at følge anbefalingerne efter følg eller forklar-princippet – også selvom virksomheden ikke er børsnoteret. Det foreslås også at implementere Ansvarsudvalgets anbefalinger til transparens på aflønningsområdet i betænkning nr. 1575 om skærpet ansvarsvurdering for ledelsesmedlemmer m.v. i finansielle virksomheder.
Det foreslås på den baggrund at indføre krav om godkendelse og offentliggørelse af lønpolitikker i firmapensionskasser. En lønpolitik skal godkendes ved enhver væsentlig ændring og mindst hvert fjerde år, og den skal forblive offentligt tilgængelig på virksomhedens hjemmeside, så længe politikken er gældende.
Det foreslås desuden at indføre krav om, at formanden for bestyrelsen skal forklare og begrunde lønpolitikkens indhold og dens efterlevelse i sin beretning for virksomhedens øverste organ samt krav om det øverste organs godkendelse af bestyrelsens aflønning for det indeværende år.
Herudover foreslås det at indføre en pligt til årligt at udarbejde og offentliggøre en vederlagsrapport over de enkelte ledelsesmedlemmers samlede aflønning. Vederlagsrapporten skal indeholde oplysninger om det samlede vederlag, som hvert medlem af bestyrelsen og direktionen, som led i dette hverv, har optjent fra firmapensionskassen og andre virksomheder indenfor samme koncern i de seneste tre år, herunder oplysninger om fastholdelses- og fratrædelsesordningers væsentligste indhold samt en redegørelse for sammenhængen mellem ledelsens aflønning og virksomhedens strategi og relevante mål herfor. Vederlagsrapporten skal hurtigst muligt efter det øverste organs forsamling offentliggøres på firmapensionskassens hjemmeside og forblive offentligt tilgængelig på den pågældende firmapensionskasses hjemmeside i en periode på 10 år. Vederlagsrapporten kan være tilgængelig i en længere periode, forudsat at den ikke længere indeholder personoplysninger.
Det findes hensigtsmæssigt at indføre krav til offentliggørelse af lønpolitik og udarbejdelse af vederlagsrapport for firmapensionskasser til lov om firmapensionskasser af hensyn til at sikre ensartede regler om aflønning på tværs af den finansielle sektor samt større transparens om aflønningen af ledelsen i firmapensionskasser.
2.6. Opgørelse af søjle II-tillæg og det vejledende kapitalgrundlag
Lov om finansiel virksomheds kapitel 10 indeholder regler om pengeinstitutters og realkreditinstitutters solvens, herunder regler om solvensbehov og det vejledende kapitalgrundlag.
Det følger af § 124, stk. 2, i lov om finansiel virksomhed, at pengeinstitutter og realkreditinstitutter skal opgøre deres individuelle solvensbehov, efter instituttets vurdering af det tilstrækkelige kapitalgrundlag, mens § 124, stk. 3, angiver, at Finanstilsynet kan fastsætte solvenskrav, som er udtryk for Finanstilsynets vurdering af instituttets tilstrækkelige kapitalgrundlag.
Det følger af § 124 a, at Finanstilsynet årligt fastsætter et vejledende niveau af yderligere kapitalgrundlag for de individuelle kreditinstitutter og meddeler dette til kreditinstitutterne. Finanstilsynet meddeler ved afgørelse institutterne det yderligere kapitalgrundlag, som instituttet skal opretholde, ud over det kombinerede kapitalbufferkrav, for at kunne tåle det hårde stressscenarie i Finanstilsynets tilsynsmæssige stresstest uden at bryde med det individuelle solvensbehov eller solvenskrav, jf. Folketingstidende 2020-21, tillæg A, L 109 som fremsat, side 94.
§ 125 fastsætter regler for de oplysninger, penge- og realkreditinstitutter skal indsende til Finanstilsynet ved brud på det kombinerede kapitalbufferkrav.
Det kombinerede kapitalbufferkrav består af kapitalbevaringsbufferen, den kontracykliske buffer, SIFI-bufferen og den systemiske buffer, jf. § 5, stk. 1, nr. 36, i lov om finansiel virksomhed.
2.6.2. Erhvervsministeriets overvejelser og den foreslåede ordning
Det gearingsbaserede solvensbehov og solvenskrav og det gearingsbaserede vejledende niveau af yderligere kapitalgrundlag (Leverage ratio pillar 2 guidance - P2G-LR) knytter sig til gearingsgradskavet som blev indført den 28. juni 2021. Gearingsgradskravet adskiller sig fra de risikobaserede kapitalkrav ved at eksponeringerne ikke vægtes efter en vurdering af, hvor risikofyldte de er. Gearingsgradskravet bestemmer således, hvor meget kapital institutterne skal have i forhold til deres uvægtede eksponeringer, mens de risikobaserede kapitalkrav bestemmer, hvor meget kapital institutterne skal have i forhold til deres risikovægtede eksponeringer.
I § 124, stk. 2 og 3, i lov om finansiel virksomhed fremgår det, at solvensbehovet og solvenskravet opgøres i procent af den risikovægtede eksponering. Ligeledes fremgår det af § 124 a stk. 1, at det vejledende niveau af yderligere kapitalgrundlag (Pillar 2 guidance – P2G) opgøres i procent af den risikovægtede eksponering. Det fremgår imidlertid ikke, hvordan det gearingsbaserede solvensbehov og solvenskrav samt P2G-LR opgøres.
Det fremgår dog af bemærkningerne til § 124 a i lov om finansiel virksomhed, at der sondres mellem P2G-LR, og P2G, jf. Folketingstidende 2020-21, tillæg A, L 109 som fremsat, side 94. Denne sondring er også relevant for opgørelsen af solvensbehovet og solvenskravet. Den nuværende formulering af reglerne kan derfor give anledning til tvivl om opgørelsen af solvensbehov og solvenskrav samt P2G-LR.
Det foreslås derfor at præcisere, at det risikobaserede solvensbehov og solvenskrav samt P2G opgøres i forhold til den risikovægtede eksponering, mens det gearingsbaserede solvensbehov og solvenskrav samt P2G-LR opgøres i forhold til den ikke-risikovægtede eksponering.
Det foreslås derfor at præcisere i § 124, stk. 2 og 3, og § 124 a, stk. 1, at det risikobaserede solvensbehov og solvenskrav samt P2G opgøres i forhold til den risikovægtede eksponering, mens det gearingsbaserede solvensbehov og solvenskrav samt P2G-LR opgøres i forhold til den ikke-risikovægtede eksponering.
Det foreslåede vil medføre, at der skabes klarhed om retstilstanden vedrørende opgørelse af henholdsvis det gearingsbaserede solvensbehov og solvenskrav og P2G-LR.
Den Europæiske Banktilsynsmyndighed (EBA) har udstedt retningslinjer for opgørelse af det vejledende niveau af kapitalgrundlag, SREP (Supervisory Review and Evaluation Process), jf. EBA/GL/2022/03.
Den nuværende danske praksis med opgørelse af P2G i henhold til bemærkningerne til § 124 a, jf. Folketingstidende 2020-21, tillæg A, L 109 som fremsat, side 94-95, er imod hensigten ikke i overensstemmelse med de europæiske retningslinjer.
Med forslaget bringes opgørelsen af P2G i overensstemmelse med europæiske retningslinjer, hvilket betyder, at P2G vil blive højere end ved den nuværende danske praksis.
Institutterne fastsætter i praksis i dag en målsætning for størrelsen af deres kapitalgrundlag, som sikrer, at institutterne opererer efter en kapitalmålsætning, som i udgangspunktet vil være på niveau med eller højere end P2G. Dette vil som udgangspunkt fortsat være tilfældet ved den justerede metode for opgørelse af P2G.
På denne baggrund vurderes forslaget ikke at have videre betydning for institutternes overordnede kapitalstyring, medmindre institutterne ikke fastsætter en hensigtsmæssig kapitalmålsætning. I de tilfælde vil Finanstilsynet dog allerede være i dialog med institutterne om fastsættelse af en hensigtsmæssig kapitalmålsætning.
Det fremgår yderligere af EBA’s retningslinjer, at det gearingsbaserede vejledende niveau af yderligere kapital (P2G-LR) kan opfyldes af kernekapital. Det fremgår imidlertid af § 124 a stk. 3, i lov om finansiel virksomhed, at P2G-LR skal opfyldes af en højere kvalitet af kapital – nemlig egentlig kernekapital.
Det foreslås derfor, at det i § 124 a, stk. 3, i lov om finansiel virksomhed angives, at institutterne også kan benytte anden kernekapital end egentligt kernekapital til at opfylde P2G-LR.
Det foreslåede vil medføre, at den danske tilgang til opfyldelse af P2G-LR bringes i overensstemmelse med den europæiske tilgang, jf. EBA/GL/2022/03.
2.7. Administrationsselskab for garantifonden for skadesforsikringsselskaber
Garantifonden for skadesforsikringsselskaber (Fonden) blev oprettet ved lov om en garantifond for skadesforsikringsselskaber, jf. lov nr. 457 af 10. juni 2003, der trådte i kraft den 1. oktober 2003.
Fonden sikrer på forbrugerskadeforsikringsområdet, at der ydes dækning til berørte forsikringstagere i tilfælde af et skadesforsikringsselskabs konkurs.
Fonden administreres af et sekretariat, der dog ikke bistår ved skadesbehandlingen som følge af et skadesforsikringsselskabs konkurs, da Fonden ikke har kapacitet til at udføre denne opgave. For at være i stand til at påtage sig en betydelig administrativ byrde, i det øjeblik der skal udbetales erstatninger m.v. fra Fonden, antager bestyrelsen for Fonden fornøden medhjælp, f.eks. i form af et administrationsselskab, jf. § 12, stk. 1, 1. led, i lov om en garantifond for skadesforsikringsselskaber.
2.7.2. Erhvervsministeriets overvejelser og den foreslåede ordning
Fondens administration vil, så længe der ikke sker udbetalinger fra Fonden, kunne bestrides med beskeden bistand til Fondens bestyrelse. Samtidig skal Fonden i tilfælde af et skadesforsikringsselskabs konkurs uden varsel være i stand til at påtage sig en betydelig administrativ byrde, i det øjeblik der skal udbetales erstatninger m.v. fra Fonden. Det er derfor en forudsætning for Fondens virke, at Fondens bestyrelse træffer de nødvendige beredskabsmæssige foranstaltninger, så Fonden kan løse de opgaver, den bliver stillet overfor, herunder særligt i tilfælde af et skadesforsikringsselskabs konkurs.
Fonden har tidligere selv indgået aftale med et forsikringsselskab til løsning af Fondens administrative opgaver i forbindelse med udbetaling af erstatninger m.v.
Det har dog i en årrække vist sig vanskeligt for Fonden at indgå aftale med et forsikringsselskab som administrationsselskab til løsning af Fondens administrative opgaver i forbindelse med udbetaling af erstatninger m.v. Fonden har haft opgaven som administrationsselskab i udbud, men det har vist sig, at der ikke på baggrund af Fondens udbud har været egnede forsikringsselskaber, der har ønsket at påtage sig opgaven som administrationsselskab for Fonden.
På den baggrund har Fonden taget kontakt til Erhvervsministeriet for at oplyse om problematikken med, at der ikke er egnede forsikringsselskaber, der byder på opgaven som administrationsselskab for Fonden.
Fonden har oplyst, at de bl.a. har været i dialog med Forsikring & Pension, og i den forbindelse har de overfor Erhvervsministeriet forslået, at der indføres en rotationsordning, der indebærer, at de største skadesforsikringsselskaber på skift påtager sig opgaven som administrationsselskab for Fonden. Den foreslåede rotationsordning vil være subsidiær til udbudsmodellen, og rotationsordningen vil derfor først blive bragt i spil, hvis der ikke er nogen egnede forsikringsselskaber, der har ønsket at byde på opgaven som administrationsselskab for Fonden.
For at sikre, at forsikringstagerne i et konkursramt forsikringsselskab får den nødvendige hurtige og effektive sagsbehandling ved udbetaling af erstatninger og skadebehandling fra Fonden, er det nødvendigt gennem en ændring af lov om en garantifond for skadesforsikringsselskaber at sikre, at Fonden til alle tider har et administrationsselskab tilknyttet.
Det foreslås derfor med lovforslaget § 10, nr. 1, at Fondens bestyrelse, som en del af at antage medhjælp, skal indgå aftale med et forsikringsselskab som administrationsselskab.
Den foreslåede ændring vil medføre, at Fonden får pligt til at forsøge at indgå aftale med et forsikringsselskab som administrationsselskab.
Det foreslås desuden med lovforslagets § 10, nr. 1, at Finanstilsynet bliver tillagt beføjelse til på baggrund af objektive kriterier fastsat i loven at udnævne et forsikringsselskab som administrationsselskab for Fonden, hvis det ikke er muligt for Fondens bestyrelse at indgå aftale med et forsikringsselskab som administrationsselskab evt. som følge af et offentligt udbud. Et forsikringsselskab, der opfylder kriterierne fastsat i loven, vil indgå i en rotationsordning. Derudover vil et forsikringsselskab, der bliver udnævnt af Finanstilsynet som administrationsselskab for Fonden, modtage vederlag for arbejdet forbundet hermed af Fonden.
På nuværende tidspunkt er der fem forsikringsselskaber, der opfylder de forslåede kriterier i den foreslåede § 12 a, stk. 3, nr. 1-5.
Det foreslås derudover med lovforslagets § 10, nr. 2, at der fastsættes en klageadgang for adressaten af Finanstilsynets afgørelser i forbindelse med den foreslåede bestemmelse om, at Finanstilsynet skal tillægges beføjelse til at udnævne et forsikringsselskab som administrationsselskab for Fonden, samt at Finanstilsynet på baggrund af oplæg fra Fonden kan fastsætte størrelsen af vederlaget, som Fonden skal betale til administrationsselskabet, hvis parterne ikke kan blive enige herom.
2.8. Reaktionsmuligheder for Erhvervsstyrelsen i hvidvaskloven, som sat i kraft for Grønland
Hvidvaskloven, jf. lov nr. 651 af 8. juni, blev sat i kraft for Grønland ved anordning nr. 956 af 17. maj 2021 om ikrafttræden for Grønland af hvidvaskloven.
Det følger af hvidvaskloven, jf. lovbekendtgørelse nr. 316 af 11. marts 2022, at Erhvervsstyrelsen blandt andet påser overholdelse af hvidvaskloven for revisorer og revisionsvirksomheder, visse kunsthandlere samt virksomheder og personer, der erhvervsmæssigt leverer samme ydelser som visse advokater samt visse revisorer og revisionsvirksomheder.
Hvidvaskloven, som sat i kraft for Grønland, indeholder ikke Erhvervsstyrelsens tilsynskompetence for så vidt angår virksomheder og personer, der erhvervsmæssigt leverer samme ydelser som visse advokater samt visse revisorer og revisionsvirksomheder, herunder revisorer, der ikke er godkendt i henhold til revisorloven, skatterådgivere og eksterne bogholdere. Derfor er der ved lov nr. 480 af 12. maj 2023 om ændring af lov om en garantifond for skadesforsikringsselskaber, hvidvaskloven, lov om finansiel virksomhed og forskellige andre love, indsat en ny anordningshjemmel i den danske hvidvasklov, der skal sikre, at de angivne virksomheder og personer ved anordning kan underlægges Erhvervsstyrelsens tilsyn.
Det følger videre af § 59 i den danske hvidvasklov, at disse virksomheder og personer omfattet af Erhvervsstyrelsens tilsynskompetence skal give Erhvervsstyrelsen de oplysninger, som er nødvendige for styrelsens virksomhed. Herudover følger det af § 60 i den danske hvidvasklov, at Erhvervsstyrelsen, hvis formålet tilsiger det, til enhver tid mod behørig legitimation uden retskendelse, kan få adgang til disse virksomheder og personer, med henblik på indhentelse af oplysninger, herunder ved kontrolbesøg. Disse reaktionsmuligheder er ved en fejl ikke blevet sat i kraft for Grønland. Erhvervsstyrelsen har som følge heraf ikke ført tilsyn med de angivne virksomheder og personer, og har derfor heller ikke benyttet sig af de pågældende reaktionsmuligheder.
2.8.2. Erhvervsministeriets overvejelser og den foreslåede ordning
For at sikre, at Erhvervsstyrelsen har tilstrækkelige beføjelser til at sikre overholdelsen af hvidvaskloven, som sat i kraft for Grønland, bør Erhvervsstyrelsen have samme tilsynsbeføjelser, som de har i henhold til hvidvaskloven i Danmark.
Det foreslås derfor at indsætte et nyt stk. 4 i anordningshjemlen i den danske hvidvasklov. Den foreslåede ændring vil medføre, at anordningshjemlen kan anvendes på ny med henblik på at indsætte en henvisning til § 1, stk. 1, nr. 17, i hvidvasklovens §§ 59 og 60, som sat i kraft for Grønland. Erhvervsstyrelsen får derved de samme beføjelser, når de fører tilsyn efter hvidvaskloven, som sat i kraft for Grønland, som efter den danske hvidvasklovs §§ 59 og 60.
3. Konsekvenser for opfyldelsen af FN’s verdensmål
Lovforslagets § 7, nr. 10, har indirekte konsekvenser for verdensmålenes delmål 16.4, om at reducere ulovlige pengestrømme og bekæmpe alle former for organiseret kriminalitet, da forslaget styrker værnet mod hvidvask ved brug af kryptoaktivtjenester.
4. Økonomiske konsekvenser og implementeringskonsekvenser for det offentlige
Udpegning af Finanstilsynet som kompetent myndighed i henhold til MiCA og DORA medfører, at Finanstilsynet skal påse overholdelsen af reglerne i MiCA og DORA. Dette vil medføre økonomiske konsekvenser for Finanstilsynet.
Lovforslagets § 10, nr. 2, hvorefter forsikringsselskaber, der er udpeget i henhold til bestemmelserne i lovforslagets § 10, nr. 1, kan klage over udpegelsen eller vederlaget, kan medføre, at Erhvervsankenævnet skal behandle flere klager. Dette gør sig ligeledes gældende for så vidt angår lovforslagets bestemmelser om klageadgang til Erhvervsankenævnet for afgørelser truffet af Finanstilsynet i medfør af MiCA og DORA.
Lovforslagets øvrige dele medfører ikke økonomiske konsekvenser for det offentlige.
Lovforslaget efterlever princip nr. 1, 4 og 5 for digitaliseringsklarlovgivning.
Lovforslaget efterlever princip nr. 1 og 4, da lovforslaget sikrer sig, at kravene fra DORA-forordningen gælder ensartet for hele finanssektoren. Dette gøres ved at supplere med nationale regler, der til svarer DORA-reglerne, for de få virksomheder, der ikke er omfattet af DORA-forordningen. Ensretningen er ligeledes i tråd med princip nr. 4 om at skabe sammenhæng på tværs af lovgivningen ved at bruge ensartede begreber.
I forlængelse heraf indebærer lovforslaget desuden, i overensstemmelse med princip nr. 5 om tryg og sikker datahåndtering, at man sikrer et ensartet højt cybersikkerhedsniveau i hele finanssektoren. Implementeringen af DORA-forordningen i sig selv, kan desuden ses som at fremme en tryg og sikker datahåndtering.
5. Økonomiske og administrative konsekvenser for erhvervslivet m.v.
Det vurderes, at lovforslaget medfører administrative konsekvenser for erhvervslivet. Disse konsekvenser vurderes at være under 4 mio. kr., hvorfor de ikke kvantificeres nærmere.
Det bemærkes, at lovforslaget giver hjemmel til udstedelse af bekendtgørelser, som indebærer administrative konsekvenser for erhvervslivet. Disse konsekvenser kan ikke kvantificeres på nuværende tidspunkt, da kravene ikke er endeligt fastlagt.
Det vurderes, at Innovations- og Iværksættertjekket ikke er relevant for de konkrete ændringer i lovforslaget. OBR har ikke haft bemærkninger hertil.
6. Administrative konsekvenser for borgerne
Lovforslaget vurderes ikke at have administrative konsekvenser for borgerne.
7. Klimamæssige konsekvenser
Lovforslaget har ikke klimamæssige konsekvenser.
8. Miljø- og naturmæssige konsekvenser
Lovforslaget har ikke miljø- og naturmæssige konsekvenser.
9. Forholdet til EU-retten
Lovforslaget implementerer helt eller delvist eller supplerer følgende EU-retsakter:
• Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
• Lovforslagets § 3, nr. 19-21, implementerer dele af artikel 1, nr. 5, litra b, i Europa-Parlamentets og Rådets direktiv (EU) 2019/2177 af 18. december 2019 om ændring af direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), direktiv 2014/65/EU om markeder for finansielle instrumenter og af direktiv (EU) 2015/849 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme (omnibusdirektivet).
• Lovforslaget implementerer dele af Europa-Parlamentets og Rådets direktiv (EU) 2021/338 af 16. februar 2021 om ændring af direktiv 2014/65/EU, for så vidt angår oplysningskrav, produktstyring og positionslofter, og af direktiv 2013/36/EU og (EU) 2019/878, for så vidt angår deres anvendelse på investeringsvirksomheder, med henblik på at bidrage til genopretningen efter COVID-19 pandemien.
• Europa-Parlamentets og Rådets forordning af (EU) 2022/2554 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og om ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011) (DORA-forordningen).
• Europa-Parlamentets og Rådets forordning (EU) 2023/1113 af 31. maj 2023 om oplysninger, der skal medsendes ved pengeoverførsler og ved overførsler af visse kryptoaktiver og om ændring af direktiv (EU) 2015/849.
• Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, om ændring af forordning (EU) nr. 910/2014 og direktiv (EU) 2018/1972 og om ophævelse af direktiv (EU) 2016/1148 (NIS 2-direktivet).
• Lovforslagets § 1, nr. 43, supplerer artikel 9 i for 2019/1156/EU om lettere grænseoverskridende distribution af kollektive investeringsinstitutter.
• Europa-Parlamentets og Rådets direktiv (EU) 2022/2556 af 14. december 2022 om ændring af direktiv 2009/65/EF, 2009/138/EF, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341 for så vidt angår digital operationel modstandsdygtighed i den finansielle sektor.
• Lovforslagets § 1, nr. 22-25, implementerer dele af Europa-Parlamentets og Rådets direktiv af 20. maj 2019 om ændring af direktiv 2014/59/EU for så vidt angår kreditinstitutters og investeringsselskabers tabsabsorberings- og rekapitaliseringskapacitet og af direktiv 98/26/EF.
DORA-forordningen forudsætter, at der i national lovgivning vedtages straffebestemmelser for overtrædelse af visse af forordningens bestemmelser og bestemmelser om tvangsbøder for kritiske tredjepartsudbydere, som er omfattet af forordningens kapitel V, 2. afd. Der indføres desuden bestemmelser i den danske lovgivning om kompetente myndigheder og håndhævelse af forordningen i Danmark.
Operatører af finansielle digitale infrastrukturer bliver omfattet af NIS 2-direktivet, som stiller en række krav til de forpligtelser medlemslandene skal skabe hjemmel til i deres nationale lovgivning. Lovændringerne tager sigte på at opfylde disse krav i NIS 2-direktivet. NIS 2-direktivet stiller endvidere en række yderligere krav til medlemslandenes myndigheder. Disse krav opfyldes som udgangspunkt med forretningsgange m.v.
De foreslåede bestemmelser i afsnit IX c i lov om finansiel virksomhed, jf. lovforslagets § 1, nr. 28, om operatører af finansielle digitale infrastrukturer går videre end NIS 2-direktivets bestemmelser.
10. Hørte myndigheder og organisationer m.v.
Aalborg Universitet, Aarhus BSS, Advokatsamfundet, Akademisk Arkitektforening, Akademikerne, Andelskassen, Arbejderbevægelsens Erhvervsråd, Arbejdsmarkedets Erhvervssikring (AES), Arbejdsmarkedets Tillægspension (ATP), Brancheforeningen for Aktive Ejere i Danmark, Capital Law CPH, CBS, CEPOS, Computershare, DAFINA, Danmarks Nationalbank, Danmarks Skibskredit A/S, Dansk Aktionærforening, Dansk Arbejdsgiverforening, Dansk Byggeri, Dansk Ejendomskredit, Dansk Ejendomsmæglerforening, Dansk Energi, Dansk Erhverv, Dansk Forening for International Motorkøretøjsforsikring (DFIM), Dansk Industri, Dansk Iværksætter forening, Dansk Investor Relations Forening – DIRF, Dansk Kredit Råd, Dansk Metal, Dansk Standard, Danske Advokater, Danske Forsikringsfunktionærers Landsforening, Danske Maritime, Danske Rederier, Danske Regioner, Den Danske Aktuarforening, Den Danske Dommerforening, Den Danske Finansanalytikerforening, Den danske Fondsmæglerforening, Det nationale netværk af virksomhedsledere, Den Sociale Retshjælp, Det økonomiske råds sekretariat (DØRS), Drivkraft Danmark, e-nettet, Ejendomsforeningen, Experian, Fagbevægelsens Hovedorganisation, FDFA – Foreningen af Danske Forsikrings-mæglere og ForsikringsAgenturer, FDIH – Foreningen for Distance- og Internethandel, FinansDanmark, Finans og Leasing, Finansforbundet, Finanshuset i Fredensborg A/S, Finanssektorens Arbejdsgiverforening, First North, Forbrugerrådet Tænk, Forbrugsforeningen, Foreningen af Forretningsførere for Udenlandske Forsikringsselskaber, Foreningen af Interne Revisorer v/ Jesper Siddique Olsen, Foreningen Danske Revisorer, Foreningen for platformsøkonomi, FOREX, Forsikring & Pension, Forsikringsforbundet, Forsikringsmæglerforeningen, v/ Direktør Flemming Kosakewitsch, FSR – danske revisorer, Garantiformuen, Gode penge, HK, Horesta Arbejdsgiverorganisation, Hvidvasksekretariatet, Håndværksrådet, Indsamlingsorganisationernes Brancheorganisation (ISOBRO), Intertrust (Denmark), ISACA Denmark Chapter, IT-branchen, JN Data, KommuneKredit, Kommunernes Landsforening, Komiteen for god selskabsledelse, Kromann Reumert, Kuratorforeningen, Københavns Universitet, Landbrug & Fødevarer, Landsdækkende banker, Landsforeningen af forsvarsadvokater, Landsforeningen for Bæredygtigt Landbrug, Ledernes Hovedorganisation, Liberale Erhvervs Råd, Lokale Pengeinstitutter, Lønmodtagernes Dyrtidsfond (LD), MasterCard, Mybanker, Nets A/S, Nokas Kontantservice P/S, Nordic Blockchain Association, Oxfam IBIS, Parcelhusejernes Landsforening, Penneo A/S, Postnord Juridiske afdeling, Revisornævnet, Rigsrevisionen, Roskilde Universitetscenter, Skibs- og Bådebyggeriets Arbejdsgiverforening, Syddansk Universitet, Telekommunikationsindustrien i Danmark, Udbetaling Danmark, VISA, VP Securities A/S, Western Union, Transparency International Danmark, Ældresagen, Ørsted, Færøernes Hjemmestyre via Rigsombudsmanden på Færøerne, Naalakkersuisut via Rigsombudsmanden i Grønland.
Positive konsekvenser/mindreudgifterNegative konsekvenser/merudgifterØkonomiske konsekvenser for stat, kommuner og regionerIngen.Lovforslaget medfører, at Finanstilsynet skal påse overholdelsen af en række nye regler. Dette vil medføre økonomiske konsekvenser for Finanstilsynet. Lovforslagets bestemmelser om klageadgang til Erhvervsankenævnet kan ligeledes medføre økonomiske konsekvenser for Erhvervsankenævnet.Derudover medfører lovforslaget ikke offentliggørelse økonomiske konsekvenser.Implementeringskonsekvenser for stat, kommuner og regionerIngen.Ingen.Økonomiske konsekvenser for erhvervslivet m.v.Ingen.Det vurderes, at lovforslaget medfører administrative konsekvenser for erhvervslivet. Disse konsekvenser vurderes at være under 4 mio. kr., hvorfor de ikke kvantificeres nærmere.Det vurderes, at Innovations- og Iværksættertjekket ikke er relevant for de konkrete ændringer i lovforslaget.Administrative konsekvenser for erhvervslivet m.v.Ingen.Det vurderes, at lovforslaget medfører administrative konsekvenser for erhvervslivet. Disse konsekvenser vurderes at være under 4 mio. kr., hvorfor de ikke kvantificeres nærmere.Administrative konsekvenser for borgerneIngen.Ingen.Klimamæssige konsekvenserIngenIngen.Miljø- og naturmæssige konsekvenserIngen.Ingen.Forholdet til EU-rettenLovforslagets § 1, nr. 4-6, 28, 30, 40, 42, 47-49, og 52-54, (ændringer til lov om finansiel virksomhed) § 2, nr. 16, 17, og 22-24, (ændringer til lov om betalinger), § 3, nr. 4, 17, (ændringer lov om kapitalmarkeder), § 4, nr. 2, 3, 6, 11, 14, 10-17, (ændringer til lov om fondsmæglerselskaber og investeringsservice og -aktiviteter), § 5, nr. 2, 4, 8 og 9, (ændringer til lov om forvaltere af alternative investeringsfonde m.v.), § 7 (ændringer til hvidvaskloven), supplerer MiCA.Lovforslagets § 3, nr. 19-21, implementerer dele af artikel 1, nr. 5, litra b, i Europa-Parlamentets og Rådets direktiv (EU) 2019/2177 af 18. december 2019 om ændring af direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), direktiv 2014/65/EU om markeder for finansielle instrumenter og af direktiv (EU) 2015/849 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme (omnibusdirektivet).Lovforslaget implementerer dele af Europa-Parlamentets og Rådets direktiv (EU) 2021/338 af 16. februar 2021 om ændring af direktiv 2014/65/EU, for så vidt angår oplysningskrav, produktstyring og positionslofter, og af direktiv 2013/36/EU og (EU) 2019/878, for så vidt angår deres anvendelse på investeringsvirksomheder, med henblik på at bidrage til genopretningen efter COVID-19 pandemien.Lovforslagets § 1, nr. 43, supplerer artikel 9 i for 2019/1156/EU om lettere grænseoverskridende distribution af kollektive investeringsinstitutter.Lovforslaget supplerer dele af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.Lovforslaget implementerer dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen (NIS 2-direktivet).Lovforslaget implementerer dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2556 af 14. december 2022 om ændring af direktiv 2009/65/EF, 2009/138/EF, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341 for så vidt angår digital operationel modstandsdygtighed i den finansielle sektor.Lovforslagets § 1, nr. 22-26, implementerer dele af Europa-Parlamentets og Rådets direktiv af 20. maj 2019 om ændring af direktiv 2014/59/EU for så vidt angår kreditinstitutters og investeringsselskabers tabsabsorberings- og rekapitaliseringskapacitet og af direktiv 98/26/EF.Lovforslaget implementerer dele Europa-Parlamentets og Rådets forordning (EU) 2023/1113 af 31. maj 2023 om oplysninger, der skal medsendes ved pengeoverførsler og ved overførsler af visse kryptoaktiver og om ændring af direktiv (EU) 2015/849.Er i strid med de principper for implementeringaf erhvervsrettet EU-regulering (der i relevant omfang også gælder ved implementering af ikke-erhvervsrettet EU-reguleringJaXNej
Positive konsekvenser/mindreudgifterNegative konsekvenser/merudgifterØkonomiske konsekvenser for stat, kommuner og regionerIngen.Lovforslaget medfører, at Finanstilsynet skal påse overholdelsen af en række nye regler. Dette vil medføre økonomiske konsekvenser for Finanstilsynet. Lovforslagets bestemmelser om klageadgang til Erhvervsankenævnet kan ligeledes medføre økonomiske konsekvenser for Erhvervsankenævnet.Derudover medfører lovforslaget ikke offentliggørelse økonomiske konsekvenser.Implementeringskonsekvenser for stat, kommuner og regionerIngen.Ingen.Økonomiske konsekvenser for erhvervslivet m.v.Ingen.Det vurderes, at lovforslaget medfører administrative konsekvenser for erhvervslivet. Disse konsekvenser vurderes at være under 4 mio. kr., hvorfor de ikke kvantificeres nærmere.Det vurderes, at Innovations- og Iværksættertjekket ikke er relevant for de konkrete ændringer i lovforslaget.Administrative konsekvenser for erhvervslivet m.v.Ingen.Det vurderes, at lovforslaget medfører administrative konsekvenser for erhvervslivet. Disse konsekvenser vurderes at være under 4 mio. kr., hvorfor de ikke kvantificeres nærmere.Administrative konsekvenser for borgerneIngen.Ingen.Klimamæssige konsekvenserIngenIngen.Miljø- og naturmæssige konsekvenserIngen.Ingen.Forholdet til EU-rettenLovforslagets § 1, nr. 4-6, 28, 30, 40, 42, 47-49, og 52-54, (ændringer til lov om finansiel virksomhed) § 2, nr. 16, 17, og 22-24, (ændringer til lov om betalinger), § 3, nr. 4, 17, (ændringer lov om kapitalmarkeder), § 4, nr. 2, 3, 6, 11, 14, 10-17, (ændringer til lov om fondsmæglerselskaber og investeringsservice og -aktiviteter), § 5, nr. 2, 4, 8 og 9, (ændringer til lov om forvaltere af alternative investeringsfonde m.v.), § 7 (ændringer til hvidvaskloven), supplerer MiCA.Lovforslagets § 3, nr. 19-21, implementerer dele af artikel 1, nr. 5, litra b, i Europa-Parlamentets og Rådets direktiv (EU) 2019/2177 af 18. december 2019 om ændring af direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), direktiv 2014/65/EU om markeder for finansielle instrumenter og af direktiv (EU) 2015/849 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme (omnibusdirektivet).Lovforslaget implementerer dele af Europa-Parlamentets og Rådets direktiv (EU) 2021/338 af 16. februar 2021 om ændring af direktiv 2014/65/EU, for så vidt angår oplysningskrav, produktstyring og positionslofter, og af direktiv 2013/36/EU og (EU) 2019/878, for så vidt angår deres anvendelse på investeringsvirksomheder, med henblik på at bidrage til genopretningen efter COVID-19 pandemien.Lovforslagets § 1, nr. 43, supplerer artikel 9 i for 2019/1156/EU om lettere grænseoverskridende distribution af kollektive investeringsinstitutter.Lovforslaget supplerer dele af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.Lovforslaget implementerer dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen (NIS 2-direktivet).Lovforslaget implementerer dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2556 af 14. december 2022 om ændring af direktiv 2009/65/EF, 2009/138/EF, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341 for så vidt angår digital operationel modstandsdygtighed i den finansielle sektor.Lovforslagets § 1, nr. 22-26, implementerer dele af Europa-Parlamentets og Rådets direktiv af 20. maj 2019 om ændring af direktiv 2014/59/EU for så vidt angår kreditinstitutters og investeringsselskabers tabsabsorberings- og rekapitaliseringskapacitet og af direktiv 98/26/EF.Lovforslaget implementerer dele Europa-Parlamentets og Rådets forordning (EU) 2023/1113 af 31. maj 2023 om oplysninger, der skal medsendes ved pengeoverførsler og ved overførsler af visse kryptoaktiver og om ændring af direktiv (EU) 2015/849.Er i strid med de principper for implementeringaf erhvervsrettet EU-regulering (der i relevant omfang også gælder ved implementering af ikke-erhvervsrettet EU-reguleringJaXNej
Positive konsekvenser/mindreudgifterNegative konsekvenser/merudgifterØkonomiske konsekvenser for stat, kommuner og regionerIngen.Lovforslaget medfører, at Finanstilsynet skal påse overholdelsen af en række nye regler. Dette vil medføre økonomiske konsekvenser for Finanstilsynet. Lovforslagets bestemmelser om klageadgang til Erhvervsankenævnet kan ligeledes medføre økonomiske konsekvenser for Erhvervsankenævnet.Derudover medfører lovforslaget ikke offentliggørelse økonomiske konsekvenser.Implementeringskonsekvenser for stat, kommuner og regionerIngen.Ingen.Økonomiske konsekvenser for erhvervslivet m.v.Ingen.Det vurderes, at lovforslaget medfører administrative konsekvenser for erhvervslivet. Disse konsekvenser vurderes at være under 4 mio. kr., hvorfor de ikke kvantificeres nærmere.Det vurderes, at Innovations- og Iværksættertjekket ikke er relevant for de konkrete ændringer i lovforslaget.Administrative konsekvenser for erhvervslivet m.v.Ingen.Det vurderes, at lovforslaget medfører administrative konsekvenser for erhvervslivet. Disse konsekvenser vurderes at være under 4 mio. kr., hvorfor de ikke kvantificeres nærmere.Administrative konsekvenser for borgerneIngen.Ingen.Klimamæssige konsekvenserIngenIngen.Miljø- og naturmæssige konsekvenserIngen.Ingen.Forholdet til EU-rettenLovforslagets § 1, nr. 4-6, 28, 30, 40, 42, 47-49, og 52-54, (ændringer til lov om finansiel virksomhed) § 2, nr. 16, 17, og 22-24, (ændringer til lov om betalinger), § 3, nr. 4, 17, (ændringer lov om kapitalmarkeder), § 4, nr. 2, 3, 6, 11, 14, 10-17, (ændringer til lov om fondsmæglerselskaber og investeringsservice og -aktiviteter), § 5, nr. 2, 4, 8 og 9, (ændringer til lov om forvaltere af alternative investeringsfonde m.v.), § 7 (ændringer til hvidvaskloven), supplerer MiCA.Lovforslagets § 3, nr. 19-21, implementerer dele af artikel 1, nr. 5, litra b, i Europa-Parlamentets og Rådets direktiv (EU) 2019/2177 af 18. december 2019 om ændring af direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), direktiv 2014/65/EU om markeder for finansielle instrumenter og af direktiv (EU) 2015/849 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme (omnibusdirektivet).Lovforslaget implementerer dele af Europa-Parlamentets og Rådets direktiv (EU) 2021/338 af 16. februar 2021 om ændring af direktiv 2014/65/EU, for så vidt angår oplysningskrav, produktstyring og positionslofter, og af direktiv 2013/36/EU og (EU) 2019/878, for så vidt angår deres anvendelse på investeringsvirksomheder, med henblik på at bidrage til genopretningen efter COVID-19 pandemien.Lovforslagets § 1, nr. 43, supplerer artikel 9 i for 2019/1156/EU om lettere grænseoverskridende distribution af kollektive investeringsinstitutter.Lovforslaget supplerer dele af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.Lovforslaget implementerer dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen (NIS 2-direktivet).Lovforslaget implementerer dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2556 af 14. december 2022 om ændring af direktiv 2009/65/EF, 2009/138/EF, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341 for så vidt angår digital operationel modstandsdygtighed i den finansielle sektor.Lovforslagets § 1, nr. 22-26, implementerer dele af Europa-Parlamentets og Rådets direktiv af 20. maj 2019 om ændring af direktiv 2014/59/EU for så vidt angår kreditinstitutters og investeringsselskabers tabsabsorberings- og rekapitaliseringskapacitet og af direktiv 98/26/EF.Lovforslaget implementerer dele Europa-Parlamentets og Rådets forordning (EU) 2023/1113 af 31. maj 2023 om oplysninger, der skal medsendes ved pengeoverførsler og ved overførsler af visse kryptoaktiver og om ændring af direktiv (EU) 2015/849.Er i strid med de principper for implementeringaf erhvervsrettet EU-regulering (der i relevant omfang også gælder ved implementering af ikke-erhvervsrettet EU-reguleringJaXNej
Positive konsekvenser/mindreudgifter
Negative konsekvenser/merudgifter
Økonomiske konsekvenser for stat, kommuner og regioner
Lovforslaget medfører, at Finanstilsynet skal påse overholdelsen af en række nye regler. Dette vil medføre økonomiske konsekvenser for Finanstilsynet. Lovforslagets bestemmelser om klageadgang til Erhvervsankenævnet kan ligeledes medføre økonomiske konsekvenser for Erhvervsankenævnet.
Derudover medfører lovforslaget ikke offentliggørelse økonomiske konsekvenser.
Implementeringskonsekvenser for stat, kommuner og regioner
Økonomiske konsekvenser for erhvervslivet m.v.
Det vurderes, at lovforslaget medfører administrative konsekvenser for erhvervslivet. Disse konsekvenser vurderes at være under 4 mio. kr., hvorfor de ikke kvantificeres nærmere.
Det vurderes, at Innovations- og Iværksættertjekket ikke er relevant for de konkrete ændringer i lovforslaget.
Administrative konsekvenser for erhvervslivet m.v.
Det vurderes, at lovforslaget medfører administrative konsekvenser for erhvervslivet. Disse konsekvenser vurderes at være under 4 mio. kr., hvorfor de ikke kvantificeres nærmere.
Administrative konsekvenser for borgerne
Klimamæssige konsekvenser
Miljø- og naturmæssige konsekvenser
Lovforslagets § 1, nr. 4-6, 28, 30, 40, 42, 47-49, og 52-54, (ændringer til lov om finansiel virksomhed) § 2, nr. 16, 17, og 22-24, (ændringer til lov om betalinger), § 3, nr. 4, 17, (ændringer lov om kapitalmarkeder), § 4, nr. 2, 3, 6, 11, 14, 10-17, (ændringer til lov om fondsmæglerselskaber og investeringsservice og -aktiviteter), § 5, nr. 2, 4, 8 og 9, (ændringer til lov om forvaltere af alternative investeringsfonde m.v.), § 7 (ændringer til hvidvaskloven), supplerer MiCA.
Lovforslagets § 3, nr. 19-21, implementerer dele af artikel 1, nr. 5, litra b, i Europa-Parlamentets og Rådets direktiv (EU) 2019/2177 af 18. december 2019 om ændring af direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), direktiv 2014/65/EU om markeder for finansielle instrumenter og af direktiv (EU) 2015/849 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme (omnibusdirektivet).
Lovforslaget implementerer dele af Europa-Parlamentets og Rådets direktiv (EU) 2021/338 af 16. februar 2021 om ændring af direktiv 2014/65/EU, for så vidt angår oplysningskrav, produktstyring og positionslofter, og af direktiv 2013/36/EU og (EU) 2019/878, for så vidt angår deres anvendelse på investeringsvirksomheder, med henblik på at bidrage til genopretningen efter COVID-19 pandemien.
Lovforslagets § 1, nr. 43, supplerer artikel 9 i for 2019/1156/EU om lettere grænseoverskridende distribution af kollektive investeringsinstitutter.
Lovforslaget supplerer dele af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Lovforslaget implementerer dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen (NIS 2-direktivet).
Lovforslaget implementerer dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2556 af 14. december 2022 om ændring af direktiv 2009/65/EF, 2009/138/EF, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341 for så vidt angår digital operationel modstandsdygtighed i den finansielle sektor.
Lovforslagets § 1, nr. 22-26, implementerer dele af Europa-Parlamentets og Rådets direktiv af 20. maj 2019 om ændring af direktiv 2014/59/EU for så vidt angår kreditinstitutters og investeringsselskabers tabsabsorberings- og rekapitaliseringskapacitet og af direktiv 98/26/EF.
Lovforslaget implementerer dele Europa-Parlamentets og Rådets forordning (EU) 2023/1113 af 31. maj 2023 om oplysninger, der skal medsendes ved pengeoverførsler og ved overførsler af visse kryptoaktiver og om ændring af direktiv (EU) 2015/849.
Er i strid med de principper for implementering
af erhvervsrettet EU-regulering (der i relevant omfang også gælder ved implementering af ikke-erhvervsrettet EU-regulering
Bemærkninger til lovforslagets enkelte bestemmelser
Bemærkninger til lovforslagets enkelte bestemmelser
Til nr. 1 (fodnoten til lovens titel i lov om finansiel virksomhed)
Lov om finansiel virksomhed gennemfører i dag dele af NIS-direktivet, herunder bestemmelser om identifikation af operatører af væsentlige tjenester, jf. afsnit VIII i loven, og bestemmelser om Finanstilsynets og Center For Cybersikkerheds orientering af offentligheden om hændelser, hvis offentlighedens kendskab hertil er nødvendig for at forebygge eller håndtere igangværende hændelser, jf. § 354 h. Derfor står der i fodnoten til lov om finansiel virksomhed, at loven gennemfører dele af NIS-direktivet.
Det foreslås i fodnoten til lovens titel 1. pkt., at »dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 (NIS-direktivet), EU-Tidende 2016, nr. L 194, side 1,« udgår, og »og dele af Kommissionens delegerede direktiv (EU) 2021/1270 af 21. april 2021 om ændring af direktiv 2010/43/EU for så vidt angår de bæredygtighedsrisici og bæredygtighedsfaktorer, der skal tages hensyn til i forbindelse med institutter for kollektiv investering i værdipapirer (investeringsinstitutter), EU-Tidende 2021, nr. L 277, side 141og dele af Europa-Parlamentets og Rådets direktiv (EU) 2019/2162 af 27. november 2019 om udstedelse af dækkede obligationer og offentligt tilsyn med dækkede obligationer og om ændring af direktiv 2009/65/EF og 2014/59/EU, EU-Tidende 2019, nr. L 328, side 29« ændres til: », dele af Kommissionens delegerede direktiv (EU) 2021/1270 af 21. april 2021 om ændring af direktiv 2010/43/EU for så vidt angår de bæredygtighedsrisici og bæredygtighedsfaktorer, der skal tages hensyn til i forbindelse med institutter for kollektiv investering i værdipapirer (investeringsinstitutter), EU-Tidende 2021, nr. L 277, side 141 dele af Europa-Parlamentets og Rådets direktiv (EU) 2019/2162 af 27. november 2019 om udstedelse af dækkede obligationer og offentligt tilsyn med dækkede obligationer og om ændring af direktiv 2009/65/EF og 2014/59/EU, EU-Tidende 2019, nr. L 328, side 29 og , dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, EU-Tidende 2022, nr. L 333, side 80-152, og dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2556/EU af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«, i 2. pkt., ændres »84, og« til: »84,«, og efter »L 352, side 1« indsættes: »Europa-Parlamentets og Rådets forordning (EU) 2013/1114 af 31. maj 2023 om markeder for kryptoaktiver«.
Det foreslåede vil medføre, at NIS-direktivet udgår fra fodnoten. Dette foreslås, da dette lovforslag implementerer dele af NIS 2-direktivet, der ophæver NIS-direktivet.
Det foreslåede vil endvidere medføre, at der i fodnoten indsættes en henvisning til, at der med denne lov foretages en gennemførelse af dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022 om ændring af direktiv 2009/65/EF, 2009/138/EF, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341 for så vidt angår digital operationel modstandsdygtighed i den finansielle sektor. Det foreslås, at denne henvisning bliver tilføjet, idet lovforslaget herefter vil gennemføre artikel 1 i direktivet, der fastsætter ændringer til Europa-Parlamentets og Rådets direktiv af 13. juli 2009 om samordning af love og administrative bestemmelser om visse institutter for kollektiv investering i værdipapirer, og artikel 4 i direktivet, der fastsætter ændringer til Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber. Direktivet er et følgedirektiv til DORA-forordningen.
Det foreslåede vil endvidere medføre, at fodnoten indeholder en henvisning til MiCA. Den foreslåede indsættelse af en henvisning til MiCA er en følge af det foreslåede § 332, som affattet ved lovforslagets § 1, nr. 28.
Til nr. 2 (§ 1, stk. 4, 2. pkt., i lov om finansiel virksomhed)
Det gældende § 1, stk. 4, 2. pkt., i lov om finansiel virksomhed fastsætter, at for filialer her i landet af kreditinstitutter finder § 152 a, stk. 4, 2. pkt., og § 307 a, stk. 1, 1. pkt., anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler.
Det foreslås i § 1, stk. 4, 2. pkt., at »og § 307 a, stk. 1, 1. pkt.,« udgår.
Det foreslåede er en konsekvens af den foreslåede ophævelse af afsnit VIII a, herunder § 307 a, jf. lovforslagets § 1, nr. 27.
Til nr. 3 (§ 1, stk. 10, i lov om finansiel virksomhed)
Den gældende § 1, stk. 10, i lov om finansiel virksomhed fastsætter, at Kapitel 20 c finder anvendelse på fælles datacentraler.
Det foreslås at ophæve § 1, stk. 10.
Det foreslåede vil medføre, at kapitel 20 c ikke finder anvendelse på fælles datacentraler. Det foreslåede skal ses i sammenhæng med den foreslåede ophævelse af afsnit X c, herunder kapitel 20 c, i lov om finansiel virksomhed, jf. lovforslagets § 1, nr. 29.
Der henvises til det foreslåede afsnit IX c i lov om finansiel virksomhed, der indeholder et regelsæt for operatører af finansiel digital infrastruktur, der vil erstatte reglerne om fælles datacentraler, jf. lovforslagets § 1, nr. 28.
Til nr. 4 (§ 1, stk. 14 og 15, i lov om finansiel virksomhed)
Den gældende § 1 i lov om finansiel virksomhed fastsætter lovens anvendelsesområde.
Den gældende lov om finansiel virksomhed finder ikke anvendelse på udstedere af aktivbaserede tokens, udstedere af e-pengetokens og udbydere af kryptoaktivtjenester.
Den gældende § 1, stk. 10, i lov om finansiel virksomhed fastsætter, at Kapitel 20 c finder anvendelse på fælles datacentraler.
Det foreslås at indsætte et nyt § 1, stk. 14, i lov om finansiel virksomhed, hvorefter kapitel 19 b, finder anvendelse på fysiske og juridiske personer og andre virksomheder, der er involveret i udstedelse, udbud til offentligheden og optagelse til handel af kryptoaktiver, eller som leverer kryptoaktivtjenester.
Den foreslåede bestemmelse vil fastlægge, hvilke bestemmelser i lov om finansiel virksomhed, der skal finde anvendelse på fysiske og juridiske personer og andre virksomheder, der er involveret i udstedelse, udbud til offentligheden og optagelse til handel af kryptoaktiver, eller som leverer kryptoaktivtjenester. Andre virksomheder kan eksempelvis være enkeltmandsvirksomheder, der i visse sammenhænge ikke betragtes som juridiske personer i dansk ret.
De tilsynsmæssige krav og rammer for disse aktører er i øvrigt fastsat i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver (MiCA) og vil finde direkte anvendelse fra de tidspunkter, hvor de relevante bestemmelser i MiCA finder anvendelse.
Det foreslås at indsætte et nyt § 1, stk. 15, i lov om finansiel virksomhed, hvorefter kapitel 19 c finder anvendelse på operatører af finansiel digital infrastruktur.
Den foreslåede bestemmelse fastsætter, at operatører af finansiel digital infrastruktur er omfattet af lovens kapitel 19 c.
Til nr. 5 (§ 10, stk. 1, 2. pkt., i lov om finansiel virksomhed)
Det gældende § 10, stk. 1, i lov om finansiel virksomhed fastsætter, at virksomheder skal have tilladelse som investeringsforvaltningsselskab for at udføre den daglige ledelse af investeringsforeninger og administrere andre UCITS, jf. bilag 6. Investeringsforvaltningsselskaber må i øvrigt kun udføre virksomhed som nævnt i stk. 2, § 10 a og § 28
Afgrænsningen i bestemmelsen indebærer, at investeringsforvaltningsselskaber efter gældende ret ikke må udføre investeringstjenester eller accessoriske tjenesteydelser med kryptoaktiver.
Det foreslås i § 10, stk. 1, 2. pkt., at ændre »§ 10 a og § 28« til: »§§ 10 a, 10 b og 28«.
Den foreslåede ændring vil medføre, at investeringsforvaltningsselskaber fremadrettet må udbyde aktiviteter omfattet af den foreslåede § 10 b i lov om finansiel virksomhed, som foreslået ved dette lovforslags § 1, nr. 6. Forslaget vil medføre, at et investeringsforvaltningsselskab fremadrettet vil kunne udføre investeringstjenester eller accessoriske tjenesteydelser med kryptoaktiver, hvis de lever op til betingelserne i § 10 b, i lov om finansiel virksomhed. Der henvises i øvrigt til bemærkningerne til lovforslagets § 1, nr. 6.
Ændringen er en følge af, at artikel 60, stk. 5, i MiCA, fastsætter, at et investeringsforvaltningsselskab skal kunne udføre disse aktiviteter, såfremt betingelserne angivet i bestemmelsen er opfyldt.
Til nr. 6 (§ 10 b i lov om finansiel virksomhed)
Efter den gældende bestemmelse i § 10, stk. 1, 1. pkt., i lov om finansiel virksomhed, skal en virksomhed have tilladelse som investeringsforvaltningsselskab for at udføre den daglige ledelse af investeringsforeninger og administrere andre UCITS, jf. bilag 6 til lov om finansiel virksomhed. Investeringsforvaltningsselskaber må efter afgrænsningen i § 10, stk. 1, 2. pkt., derudover kun udføre virksomhed som nævnt i § 10, stk. 2, § 10 a og § 28.
Den gældende retstilstand indebærer, at investeringsforvaltningsselskaber ikke kan udføre investeringstjenester eller accessoriske tjenesteydelser med kryptoaktiver.
Det foreslås at indsætte § 10 b, hvorefter et investeringsforvaltningsselskab kan levere tjenester med kryptoaktiver som angivet i artikel 60, stk. 5, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, svarende til de tjenester, som det specifikt er meddelt tilladelse til i henhold til § 10, hvis selskabet giver Finanstilsynet meddelelse mindst 40 arbejdsdage, inden disse tjenester leveres første gang, sammen med de oplysninger, der er anført i artikel 60, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
Den foreslåede bestemmelse skal sikre, at der ikke er hindringer for, at investeringsforvaltningsselskaber, såfremt de lever op til betingelserne i artikel 60, stk. 7, i MiCA, vil kunne udøve virksomhed som forudsat efter artikel 60, stk. 5, i MiCA. De efter lovforslaget omfattede investeringsforvaltningsselskaber, omfatter administrationsselskaber for investeringsinstitutter efter artikel 60, stk. 5, i MiCA. Begrebet administrationsselskab omfatter udenlandske virksomheder, som har fået tilladelse til at administrere investeringsinstitutter. Begrebet investeringsforvaltningsselskab omfatter virksomheder, der har tilladelse til at administrere investeringsinstitutter i Danmark, jf. § 5, nr. 4, i lov om finansiel virksomhed.
Den foreslåede bestemmelse vil samtidig være en følge af, at udbydere af kryptoaktivtjenester vil blive underlagt Finanstilsynets tilsyn i henhold til MiCA, hvorfor underretning om, at et investeringsforvaltningsselskab påtænker at udøve virksomhed efter § 10 b skal ske til Finanstilsynet.
Den foreslåede bestemmelse vil fastlægge, at Finanstilsynet er den kompetente myndighed til at vurdere en underretning efter artikel 60, stk. 8, i MiCA.
Et investeringsforvaltningsselskab må ikke begynde at levere kryptoaktivtjenester, så længe underretningen er ufuldstændig.
Investeringsforvaltningsselskaber vil ikke være forpligtede til at ansøge om særskilt tilladelse til at udbyde kryptoaktivtjenester, jf. artikel 59, stk. 1, litra b, i MiCA.
Retten til at levere kryptoaktivtjenester vil blive ophævet ved inddragelsen af den tilladelse, der gav virksomheden mulighed for at levere kryptoaktivtjenester, jf. den foreslåede § 332 c, stk. 2, i lov om finansiel virksomhed, jf. lovforslagets § 1, nr. 25, uden at skulle indhente en tilladelse i henhold til artikel 59 i MiCA, jf. artikel 60, stk. 11, i MiCA.
Bestemmelsen supplerer artikel 60, stk. 5, i MiCA.
Til nr. 7 (§ 71, stk. 1, nr. 8, i lov om finansiel virksomhed)
§ 71, stk. 1, indeholder nærmere regler om de former for virksomhedsstyring en finansiel virksomhed og en finansiel holdingvirksomhed skal have. Dette inkluderer f.eks. betryggende kontrol- og sikringsforanstaltninger på it-området efter § 71, stk. 1, nr. 8.
§ 71, stk. 1, gennemfører bl.a. artikel 12, stk. 1, 2. afsnit, litra a, i Europa-Parlamentets og Rådets direktiv 2009/65/EF af 13. juli 2009 om samordning af love og administrative bestemmelser om visse institutter for kollektiv investering i værdipapirer og artikel 74, stk. 1, i Europa-Parlamentets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber (CRD IV).
Det foreslås i § 71, stk. 1, nr. 8, at efter »it-området« indsættes: »og for net- og informationssystemer, som oprettes og styres i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 om digital operationel modstandsdygtighed i den finansielle sektor«.
Den foreslåede bestemmelse vil medføre, at et investeringsforvaltningsselskab og et penge- og realkreditinstitut skal have betryggende kontrol- og sikringsforanstaltninger hvad angår net- og informationssystemer, der oprettes og styres i overensstemmelse med DORA-forordningen.
DORA-forordning fastsætter ensartede krav til sikkerheden i de net- og informationssystemer, der understøtter finansielle enheders forretningsprocesser.
Ved net- og informationssystem forstås elektronisk kommunikationsnet i form af radiofrekvens- eller kabelbaseret teleinfrastruktur, der anvendes til formidling af tjenester, enhver anordning eller gruppe af indbyrdes forbundne eller beslægtede anordninger, hvoraf en eller flere ved hjælp af et program udfører automatisk behandling af digitale data, eller digitale data, som lagres, behandles, fremfindes eller overføres af elementer i litra a og b med henblik på deres drift, brug, beskyttelse og vedligeholdelse, jf. § 2, nr. 1, i lov om net- og informationssikkerhed for domænenavnssystemer og visse digitale tjenester.
Bestemmelsen vil gennemføre dele af artikel 1, nr. 1, og artikel 4, nr. 2, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2556 af 14. december 2022, der er et følgedirektiv til DORA, der ændrer i henholdsvis i artikel 12, stk. 1, 2. afsnit, litra a, i Europa-Parlamentets og Rådets direktiv af 13. juli 2009 om samordning af love og administrative bestemmelser om visse institutter for kollektiv investering i værdipapirer og artikel 74, stk. 1, i CRD.
Til nr. 8 (§ 71, stk. 3, 2. pkt., i lov om finansiel virksomhed)
Det følger af § 71, stk. 3, 2. pkt., at Finanstilsynet kan fastsætte nærmere regler om hændelsesrapportering for de virksomheder, der udpeges som operatører af væsentlige tjenester i medfør af § 307 a i lov om finansiel virksomhed, herunder om, at Finanstilsynet og Center for Cybersikkerhed underrettes ved en hændelse, der har en negativ indvirkning på sikkerheden i virksomhedens net- og informationssystemer.
Bestemmelsen gennemfører artikel 14, stk. 3, i Europa-Parlamentets og Rådets direktiv (EU) 2016/1148 af 6. juli 2016 om foranstaltninger, der skal sikre et højt fælles sikkerhedsniveau for net- og informationssystemer (NIS-direktivet), hvorefter en operatør af væsentlige tjenester hurtigst muligt skal foretage en underretning til den kompetente myndighed eller CSIRT, af hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som virksomheden leverer. En hændelse forstås som værende enhver begivenhed, der har en negativ indvirkning på sikkerheden i en virksomheds net- og informationssystemer. Ved CSIRT forstås en national it-beredskabsenhed, der håndterer hændelser, og som har ansvar for at sikre samarbejdet om sikkerheden i net- og informationssystemer i EU, jf. definitionen heraf i § 2, nr. 17, i lov om net- og informationssikkerhed for domænenavnssystemer og visse digitale tjenester. I Danmark er det Forsvarets Efterretningstjeneste, herunder Center for Cybersikkerhed, der er udpeget som CSIRT.
For yderligere vedrørende § 71, stk. 3, 2. pkt., henvises i det hele til de specielle bemærkningerne til § 19, nr. 2, i Folketingstidende 2017-18, tillæg A, L 144 som fremsat, side 29-31.
Det foreslås at ophæve § 71, stk. 3, 2. pkt.
Det foreslåede vil ophæve den danske implementering af kravene i NIS-direktivets artikel 14, stk. 3, om underretning af hændelser til den kompetente myndighed eller CSIRT. Dette foreslås, da NIS 2-direktivet ophæver NIS-direktivet.
Kravet om underretning af hændelser i artikel 14, stk. 3, i NIS-direktivet vil blive erstattet af kravet om indberetning af større it-hændelser til den kompetente myndighed, dvs. Finanstilsynet, jf. § 1, nr. 28, i nærværende lovforslag, i medfør af artikel 19, stk. 1, i DORA-forordningen. DORA-forordningen gælder for finansielle enheder, herunder penge- og realkreditinstitutter, jf. artikel 2, stk. 1, litra a. Når Finanstilsynet modtager en underretning om en større it-hændelse, skal Finanstilsynet rettidigt forelægge nærmere oplysninger om hændelsen for andre myndigheder, for hvem hændelsen er relevant, jf. artikel 19, stk. 6, i DORA-forordningen. Artikel 19, stk. 6, nævner de myndigheder, som Finanstilsynet kan forelægge en hændelse for, herunder CSIRT, dvs. Center for Cybersikkerhed.
Til nr. 9 (§ 72 a, stk. 1, 2. pkt., i lov om finansiel virksomhed)
§ 72 a i lov om finansiel virksomhed fastsætter regler om outsourcing for pengeinstitutter, sparevirksomheder, realkreditinstitutter og investeringsforvaltningsselskaber.
I henhold til stk. 3, kan erhvervsministeren fastsætte nærmere regler om outsourcing for disse virksomheder, herunder bl.a. vedrørende outsourcingvirksomheders ledelsesordninger, ansvar, risikostyring, overvågning, kontrol og rapportering i tilknytning til outsourcing til en leverandør samt vedrørende krav til indholdet af kontrakten. Bemyndigelsen er udnyttet til at udstede bekendtgørelse nr. 973 af 22. juni 2022 om outsourcing for kreditinstitutter m.v.
Når DORA-forordningen finder anvendelse, vil der ikke længere være beføjelse til at fastsætte nationale regler om styring af tredjepartsrisici på det digitale operationelle område, herunder regler om outsourcing.
Det foreslås at indsætte et § 72 a, stk. 1, 2. pkt., i lov om finansiel virksomhed, hvorefter 1. pkt. ikke finder anvendelse for outsourcing på det digitale operationelle område.
Den foreslåede bestemmelse vil medføre, at reglerne om outsourcing i § 72 a ikke vil omfatte outsourcing på det digitale operationelle område.
Det foreslåede vil ligeledes medføre, at bemyndigelsesbestemmelsen i stk. 3, ikke længere vil omfatte outsourcing på det digitale operationelle område
Det forventes, at Finanstilsynet ændrer bekendtgørelse nr. 973 af 22. juni 2022 om outsourcing for kreditinstitutter m.v., så bekendtgørelsen ikke kommer til at omfatte outsourcing på det digitale operationelle område.
Outsourcing på det digitale operationelle område vil i stedet fremover blive reguleret i kapitel V, afdeling I, i DORA-forordningen.
Til nr. 10 (§ 72 c i lov om finansiel virksomhed)
Det fremgår af § 72 c, at regler fastsat i medfør af § 72 a, stk. 3, ikke gælder for virksomhedernes autentifikation af brugere ved anvendelse af MitID-løsningen, jf. lov om MitID og NemLog-in.
Når DORA-forordningen finder anvendelse, vil der ikke længere være beføjelse til at fastsætte nationale regler om styring af tredjepartsrisici på det digitale operationelle område, herunder regler om outsourcing.
Det foreslås at ophæve § 72 c i lov om finansiel virksomhed.
Virksomhedernes outsourcing af autentifikation af brugere ved anvendelse af MitID-løsningen angår det digitale operationelle område og vil derfor fremadrettet skulle følge DORA-forordningens regler. Det foreslåede skal ses i denne sammenhæng.
Til nr. 11 (§ 80, stk. 5, i lov om finansiel virksomhed)
§ 80, stk. 4, i lov om finansiel virksomhed indeholder et eksponeringsforbud.
§ 80, stk. 5, fastsætter, at eksponeringsforbuddet i stk. 1 ikke finder anvendelse i forbindelse med deltagelse i bestyrelserne i en række angivne virksomheder, herunder i Landbrugets FinansieringsBank A/S
Landbrugets FinansieringsBank A/S er ophørt i 2017.
Det foreslås i § 80, stk. 5, at »Landbrugets FinansieringsBank A/S« udgår.
Den foreslåede ændring vil medføre, at Landbrugets FinansieringsBank A/S ikke længere vil fremgå af § 80, stk. 5.
Til nr. 12 (§ 124, stk. 2, 3. pkt., i lov om finansiel virksomhed)
Det følger af § 124, stk. 2, i lov om finansiel virksomhed, at et pengeinstituts og et realkreditinstituts bestyrelse og direktion på baggrund af vurderingen efter stk. 1, skal opgøre instituttets individuelle solvensbehov. Solvensbehovet opgøres som det tilstrækkelige kapitalgrundlag i procent af den samlede risikoeksponering. Solvensbehovet kan ikke være mindre end kapitalgrundlagskravet efter artikel 92, stk. 1, litra c, og minimumskapitalkravet i artikel 93 i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter.
Penge- og realkreditinstitutter er i dag underlagt krav om at opretholde et individuelt solvensbehov, jf. § 124, stk. 2-8, samt et kombineret kapitalbufferkrav, jf. § 125 a. Solvensbehovet består af søjle-I kapitalgrundlagskravet i artikel 92, stk. 1, litra a-c, og minimumskapitalkravet i artikel 93 i CRR, samt et eventuelt søjle II-tillæg, hvis instituttets risici ikke er tilstrækkelig dækket af søjle I-kravet. Parallelt med de risikobaserede krav gælder gearingsgradskravet på 3 pct., jf. artikel 92, stk. 1, litra d, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 (CRR). Gearingsgraden opgøres som kernekapital i forhold til den ikke risikovægtede eksponering, jf. artikel 429-429g i CRR. Et eventuelt tillæg som følge af risiko for overdreven gearing skal lægges til gearingsgradskravet og ikke de risikobaserede kapitalgrundlagskrav.
Det foreslås i § 124, stk. 2, at indsætte som 3. pkt.: »Den del af solvensbehovet, der vedrører risiko for overdreven gearing opgøres i procent af den samlede ikke-risikovægtede eksponering.«,
Det foreslåede vil præcisere, at den del af solvensbehovet, der vedrører risiko for overdreven gearing, skal opgøres som det tilstrækkelige kapitalgrundlag i procent af den samlede ikke-risikovægtede eksponering, jf. de foreslåede tilpasninger til § nr. 12 og 16.
Til nr. 13 (§ 124, stk. 2, 4. pkt., i lov om finansiel virksomhed)
Det følger af § 214, stk. 2, 3. pkt., i lov om finansiel virksomhed, at solvensbehovet ikke kan være mindre end kapitalgrundlagskravet efter artikel 92, stk. 1, litra c, og minimumskapitalkravet i artikel 93 i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter.
Det foreslås i § 124, stk. 2, 3. pkt., der bliver 4. pkt., at indsætte efter »i artikel 93«: »eller gearingsgradskravet efter artikel 92, stk. 1, litra d,«.
Det foreslåede vil medføre, at det understreges at solvensbehovet heller ikke kan sættes lavere end det niveau, der kræves efter gearingskravet efter artikel 92, stk. 1, litra d i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter.
Til nr. 14 (§ 124, stk. 3, i lov om finansiel virksomhed)
Det følger af § 124, stk. 3, i lov om finansiel virksomhed, at Finanstilsynet kan fastsætte et individuelt solvenskrav i form af et tillæg til kapitalgrundlagskravet, der fremgår af artikel 92, stk. 1, litra c, i CRR. Dette solvenskrav vil være et udtryk for Finanstilsynets vurdering af instituttets tilstrækkelige kapitalgrundlag i procent af den samlede risikoeksponering.
Det foreslås i § 124, stk. 3, 1. pkt., efter: »92, stk. 1, litra c,« at indsætte: »eller til gearingsgradskravet, der fremgår af artikel 92, stk. 1, litra d,«, og i 2. pkt., efter »samlede risikoeksponering« at indsætte: »og i procent af den ikke-risikovægtede eksponering, hvis solvenskravet vedrører risiko for overdreven gearing«.
Det foreslåede vil præcisere at den del af solvenskravet, der vedrører risiko for overdreven gearing, skal opgøres som det tilstrækkelige kapitalgrundlag i procent af den samlede ikke-risikovægtede eksponering, jf. de foreslåede tilpasninger til § 124, stk. 2, og § 124 a, stk. 1, 2. pkt., jf. lovforslagets § 1, nr. 12og 16.
Til nr. 15 (§ 124 a, stk. 1, 1. pkt., i lov om finansiel virksomhed)
Det følger af § 124 a, stk. 1, i lov om finansiel virksomhed, at Finanstilsynet årligt fastsætter et vejledende niveau af yderligere kapitalgrundlag for de individuelle kreditinstitutter og meddeler dette til kreditinstitutterne.
Finanstilsynet meddeler ved afgørelse institutterne det yderligere kapitalgrundlag, som instituttet skal opretholde, ud over det kombinerede kapitalbufferkrav, jf. § 125 a, for at kunne tåle det hårde stressscenarie i Finanstilsynets tilsynsmæssige stresstest uden at bryde med det individuelle solvensbehov, jf. § 124, stk. 2, eller med det individuelle solvenskrav, jf. § 124, stk. 3.
Det kombinerende kapitalbufferkrav består af kapitalbevaringsbufferen, den kontracykliske buffer, SIFI-bufferen og den systemiske buffer.
Det fremgår af bemærkningerne til § 124 a, stk. 1, at det vejledende niveau af yderligere kapitalgrundlag godt kan være nul, såfremt instituttets kombinerede kapitalbufferkrav overstiger kapitaleffekten af Finanstilsynets hårde stressscenarie, jf. Folketingstidende 2020-21, tillæg A, L 109 som fremsat, side 94.
Dette er imod hensigten imidlertid ikke i overensstemmelse med de europæiske retningslinjer vedrørende opgørelse af P2G – SREP (Supervisory Review and Evaluation Process), jf. EBA/GL/2022/03.
Det fremgår af de europæiske SREP-retningslinjer, at kun kapitalbevaringsbufferen, jf. § 125 a, stk. 2, modregnes kapitaleffekten af det tilsynsmæssige hårde stressscenarie. Baseret på en case-by-case vurdering kan den kontracykliske buffer, jf. § 125 a stk. 3, undtagelsesvist også modregnes kapitaleffekten. SIFI-bufferen og den systemiske buffer skal imidlertid ikke modregnes ved opgørelsen af kapitaleffekten.
Det foreslås i § 124 a, stk. 1, 1. pkt., at ændre »meddeler« til: »informerer«.
Der er tale om en ændring af lovteksten, som har til formål at give mulighed for at korrigere de tidligere bemærkningerne om opgørelse af P2G.
Det forslåede hvorefter, at P2G fremover som udgangspunkt vil blive opgjort som kapitaleffekten i stress fratrukket kapitalbevaringsbuffer, vil være er en ændring af dansk praksis vedrørende fastsættelse af det vejledende niveau. Det foreslåede vil herudover medføre, at der, i overensstemmelse med SREP, kan være særlige tilfælde, hvor mere kvalitative justeringer til opgørelsen af P2G også er nødvendige. Det kan f.eks. være som følge af udformningen af stresstest eller institutionsspecifikke karakteristika. Den foreslåede ændring af bemærkningerne vil medføre, at dansk praksis fremover vil være i overensstemmelse med de europæiske retningslinjer.
Finanstilsynet har og vil fortsat i vurderingen af institutternes kapitalgrundlag inddrage, om institutternes kapitalmålsætning sættes på et fornuftigt niveau, som også sikrer, at institutterne ikke forventes at bryde med kapital- og bufferkravene i perioder med stress. Finanstilsynet indleder en dialog med institutterne, hvis ikke institutternes kapitalmålsætning vurderes at være fastsat på et fornuftigt niveau. Implementeringen af det vejledende niveau af yderligere kapitalgrundlag i 2020 har ikke ændret ved denne tilsynspraksis, da kapitalmålsætningen har udgjort et øvre mål, som institutterne har navigeret efter. Det skyldes, at kapitalmålsætningen ikke inkluderer den kontracykliske buffer, dvs. den buffer kan modregnes den stresseffekt, som kapitalmålsætningen opgøres ud fra. Den kontracykliske buffer har i perioden ligget på et niveau mellem 0-2,5 procentpoint. Dermed har kapitalmålsætningen udgjort et højere eller som minimum det samme mål som P2G, hvor det er kapitalbevaringsbufferen på 2,5 pct., der modregnes i stresseffekten. Den ændring af praksis, som foreslås her i forhold til opgørelsen af P2G, ville dermed ikke historisk have haft nogen reel betydning. De nuværende niveauer for den kontracykliske buffer og kapitalbevaringsbufferen medfører, at P2G-målsætningen og kapitalmålsætningen kommer tæt på hinanden, men forskellen imellem dem varierer med størrelsesforholdet mellem de to buffere.
Det vil fortsat være sådan, at Finanstilsynet alene meddeler et institut et vejledende niveau af yderligere kapitalgrundlag, hvis instituttets faktiske kapitalisering eller kapitalmålsætning er utilstrækkelig.
Til nr. 16 (§ 124 a, stk. 1, 2. pkt., i lov om finansiel virksomhed)
Det følger af § 124 a, stk. 1, i lov om finansiel virksomhed, at Finanstilsynet årligt fastsætter et vejledende niveau af yderligere kapitalgrundlag for de individuelle kreditinstitutter og meddeler dette til kreditinstitutterne. Det vejledende niveau af yderligere kapitalgrundlag baseres på en tilsynsmæssig stresstest og opgøres i procent af den samlede risikoeksponering.
Det fremgår af bemærkningerne til bestemmelsen, at der i § 124 a sondres mellem risici, der angår risikoen for overdreven gearing og risici, der ikke angår risikoen for overdreven gearing, jf. Folketingstidende 2020-21, tillæg A, L 109 som fremsat, side 94.
Det foreslås det i § 124 a, stk. 1, 2. pkt., efter: »risikoeksponering« at indsætte: »og i procent af den samlede ikke-risikovægtede eksponering«
Det foreslåede præciserer, at det vejledende niveau af yderligere kapitalgrundlag, der vedrører risiko for overdreven gearing, skal opgøres som det tilstrækkelige kapitalgrundlag i procent af den samlede ikke-risikovægtede eksponering, jf. også de foreslåede tilpasninger til § 124, stk. 2 og 3, jf. lovforslagets § 1, nr. 12 og 14.
Til nr. 17 (§ 124 a, stk. 3, i lov om finansiel virksomhed)
Det følger af § 124 a, stk. 3, i lov om finansiel virksomhed, at den del af det vejledende niveau af yderligere kapitalgrundlag, som er fastsat for at tage højde for risikoen for overdreven gearing, skal opfyldes med egentlig kernekapital.
Det følger af EBA’s retningslinjer for fælles procedurer og metoder for tilsyns- og evalueringsprocessen (SREP), at den del af det vejledende niveau af yderligere kapitalgrundlag, der dækker risikoen for overdreven gearing, bør kunne opfyldes med kernekapital, jf. EBA/GL/2022/03. Retningslinjerne angiver derfor en lempeligere tilgang end § 124 a, stk. 3.
Det foreslås i § 124 a, stk. 3, at »egentlig« og »egentlige« udgår.
Det foreslåede vil medføre, at den del af det vejledende niveau af yderligere kapitalgrundlag, der dækker risikoen for overdreven gearing, skal opfyldes med kernekapital, og ikke udelukkende egentlig kernekapital. Ændringen vil bringe den danske praksis til opfyldelse af den del af det vejledende niveau af yderligere kapitalgrundlag, der dækker risikoen for overdreven gearing, i overensstemmelse med de europæiske retningslinjer.
Til nr. 18 (§ 125 d, stk. 1, i lov om finansiel virksomhed)
Det følger af § 125 d, stk. 1, i lov om finansiel virksomhed, at penge- og realkreditinstitutterne skal sende en række oplysninger til Finanstilsynet, når det pågældende institut agter at foretage en handling omfattet af § 125 d, stk. 3, nr. 1-3.
§ 125 d, stk. 3, nr. 1-3, er ved lov nr. 2110 af 22. december 2020 rykket til § 125 d, stk. 5, nr. 1-3. Ved samme lov blev der i § 125 b, stk. 3, der blev stk. 5, indsat en forpligtelse for penge- og realkreditinstitutter til ikke at foretage en række handlinger, hvis de bryder med gearingsbufferkravet, førhen at virksomheden har opgjort det maksimale udlodningsbeløb og underrettet Finanstilsynet i medfør af § 125 d. Der blev ikke samtidig foretaget en konsekvensrettelse af § 125 d, stk. 1, der fastsætter for hvilke oplysninger, der skal sendes til Finanstilsynet i sådanne tilfælde. Da der ikke gælder et gearingsgradsbufferkrav i Danmark, idet der ikke er udpeget globalt systemisk vigtigt finansielt institutter, har det imidlertid ikke haft betydning for administrationen af reglen.
Det foreslås i § 125 d, stk. 1, efter »§ 125 a, stk. 1,« at indsætte: »eller gearingsgradbufferkravet, jf. artikel 92 stk. 1, litra a, jf. Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, hvis gearingsgradsbufferkravet finder anvendelse,«, og at ændre »§ 125 b, stk. 3,« til: »§ 125 b, stk. 5,«.
Med det foreslåede vil reglerne også gælde, hvis der sker et brud på et gearingsbufferkrav, hvis et sådant indføres. Det foreslåede vil ligeledes medføre, at henvisningen til § 125 b vil tage højde for de ændringer, der blev foretaget af ved § 1, nr. 39 og 42, i lov nr. 2110 af 22. december 2020.
Til nr. 19 (§ 199, stk. 12, 2. pkt., i lov om finansiel virksomhed)
Det fremgår af § 199, stk. 12, 2. pkt., i lov om finansiel virksomhed, at Finanstilsynet kan fastsætte bestemmelser om intern revision og om systemrevisionens gennemførelse i fælles datacentraler. Finanstilsynet har i dag fastsat regler herom i bekendtgørelse nr. 1581 af 22. december 2022 om systemrevisionens gennemførelse i fælles datacentraler m.fl.
Ved systemrevision forstås intern og ekstern revision af, om de generelle it-kontroller fungerer betryggende. Ved de generelle it-kontroller forstås styringen af den grundlæggende it-sikkerhed, men ikke sikkerheden i specifikke it-systemer.
Det foreslås at ophæve § 199, stk. 12, 2. pkt., i lov om finansiel virksomhed.
Den foreslåede bestemmelse vil medføre, at bemyndigelsen i § 199, stk. 12, 2. pkt., ophæves. Den foreslåede bestemmelse skal forstås i sammenhæng med lovforslagets § 1, nr. 28, hvorved der foreslås et regelsæt for operatører af finansielle digitale infrastrukturer, der fremover vil træde i stedet for regelsættet for fælles datacentraler.
Finanstilsynets bemyndigelse til at fastsætte nærmere regler om den interne og eksterne systemrevision i operatører af finansielle digitale infrastrukturer, herunder for fælles datacentraler, foreslås med lovforslaget fremover at følge af § 333 p, stk. 1, litra d, i lov om finansiel virksomhed.
Det bemærkes, at overgangsbestemmelsen ved lovforslagets § 16, stk. 6, vil medføre, at bekendtgørelser udstedt i medfør af § 199, stk. 12, 2. pkt., fortsat vil finde anvendelse indtil de ophæves eller afløses af forskrifter udstedt i medfør af det foreslåede § 333 p, stk. 1, jf. lovforslagets § 1, nr. 28.
Til nr. 20 (§ 224, stk. 1, nr. 1, i lov om finansiel virksomhed)
Det gældende § 224, stk. 1, nr. 1, i lov om finansiel virksomhed fastsætter, at Finanstilsynet kan inddrage en virksomheds tilladelse som pengeinstitut, realkreditinstitut, investeringsforvaltningsselskab og forsikringsselskab, hvis virksomheden gør sig skyldig i grove eller gentagne overtrædelser af lov om finansiel virksomhed samt en række andre love og EU-retsakter på det finansielle område.
Det foreslås i § 224, stk. 1, nr. 1, efter »om markeder for finansielle instrumenter« at indsætte »og Europa-Parlamentets og Rådets (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.«
Den foreslåede bestemmelse vil medføre, at Finanstilsynet vil kunne inddrage en virksomheds tilladelse som pengeinstitut eller investeringsforvaltningsselskab, hvis virksomheden gør sig skyldig i grove eller gentagne overtrædelser af MiCA.
Der forudsættes en høj grad af væsentlighed, hvis inddragelse af tilladelse skal finde sted med henvisning hertil. Vurderingen skal foretages på baggrund af overtrædelsens grovhed og de risici, det medfører for forbrugere, samfundet og den finansielle stabilitet. Der må tages hensyn til overtrædelsens karakter, omfang, tidsmæssige aspekt osv. En afgørelse om inddragelse af en virksomheds tilladelse er af indgribende karakter for virksomheden. Medmindre forholdet er af meget væsentlig karakter, eller inddragelsen sker efter anmodning fra virksomheden, forudsættes det derfor, at inddragelse af tilladelse typisk kun bliver aktuel, efter der har været givet frist til berigtigelse af forholdet, og at berigtigelse ikke er sket.
Til nr. 21 (§ 224, stk. 7, i lov om finansiel virksomhed)
Det fremgår af § 224, stk. 7, i lov om finansiel virksomhed, at virksomheder, der har tilladelse til at drive både livsforsikringsvirksomhed og skadesforsikringsvirksomhed i samme selskab, jf. § 11, stk. 12, kan få inddraget deres tilladelse for henholdsvis livsforsikringsvirksomheden og skadesforsikringsvirksomheden særskilt.
Det foreslås at § 224, stk. 7, ophæves.
Det foreslåede er en følge af, at regulering af forsikringsvirksomhed er flyttet til lov nr. 718 af 13. juni 2023 om forsikringsvirksomhed, der i § 199, stk. 4, indeholder en enslydende bestemmelse til § 224, skt. 7, i lov om finansiel virksomhed.
Det foreslåede vil ikke medføre materielle ændringer.
Til nr. 22 (§ 269 a, stk. 3, nr. 2, i lov om finansiel virksomhed)
Den gældende § 269 a, stk. 3, nr. 2, fastsætter, at Finanstilsynet ved sin vurdering af, hvorvidt en virksomheds udlodning skal begrænses, jf. § 269, stk. 1, sammen med de øvrige hensyn i § 269, stk. 3, skal tage hensyn til udviklingen i virksomhedens økonomiske situation og sandsynligheden for, at virksomheden inden for en overskuelig fremtid opfylder betingelserne for afvikling.
Bestemmelsen implementerer artikel 16 a, stk. 2, 1. afsnit, i BRRD, jf. Folketingstidende 2020-21, tillæg A, L 109 som fremsat, side 184-185. Artiklen 16 a, stk. 2, 1. afsnit i BRRD indeholder dog en betingelse om, at virksomheden indenfor en overskuelig fremtid bliver nødlidende eller forventeligt nødlidende, hvilket ikke følger af formuleringen i den gældende § 259 a, stk. 3, nr. 2.
Det foreslås i § 269 a, stk. 3, nr. 2, at ændre »opfylder betingelserne for afvikling« til: »bliver nødlidende eller forventeligt nødlidende, jf. § 224 a«.
Den foreslåede ændring vil medføre, at Finanstilsynet fremadrettet skal tage hensyn til sandsynligheden for, at virksomheden inden for en overskuelig fremtid bliver nødlidende eller forventeligt nødlidende, jf. § 224 a, fremfor om virksomheden opfylder betingelserne for afvikling.
Det foreslåede har til formål at sikre en tekstnær implementering, således at hensynet i § 269 a, stk. 3, nr. 3, svarer til hensynet i artikel 32, stk. 2, 1. afsnit, litra b, i BRRD.
Bliver virksomhedens økonomiske situation forværret af den manglende opfyldelse, taler det for, at Finanstilsynet begrænser virksomhedens udlodning til det maksimale udlodningsbeløb. Er det ikke tilfældet, taler det for, at Finanstilsynet ikke begrænser virksomhedens udlodning til det maksimale udlodningsbeløb.
Vil virksomheden inden for en overskuelig fremtid blive nødlidende eller forventeligt nødlidende, taler det for, at Finanstilsynet begrænser virksomhedens udlodning til det maksimale udlodningsbeløb. Er det ikke tilfældet, taler det for, at Finanstilsynet ikke begrænser virksomhedens udlodning til det maksimale udlodningsbeløb. Betingelserne for, hvornår en virksomhed er nødlidende eller forventeligt nødlidende fremgår af § 224 a og omfatter overordnet følgende tre tilfælde: Når instituttet ikke kan opretholde sin tilladelse, herunder ikke opfylder sit kapitalkrav, når instituttet har alvorlige likviditetsproblemer, eller når instituttet modtager ekstraordinær finansiel støtte fra det offentlige.
Det er Finanstilsynet, der vurderer om virksomhedens økonomiske situation og sandsynligheden for, at virksomheden inden for en overskuelig fremtid opfylder betingelserne for afvikling, taler for eller imod en begrænsning af virksomhedens udlodning til det maksimale udlodningsbeløb.
Til nr. 23 (§ 272, stk. 8 og 9, i lov om finansiel virksomhed)
Der findes i dag ikke regler, som sikrer kapitalejere og kreditorer mod at blive stillet værre end ved konkursbehandling af pengeinstitutter og realkreditinstitutter, såfremt Finanstilsynet udøver sine nedskrivnings- og konverteringsbeføjelser i en situation, hvor virksomheden ikke vurderes levedygtig, medmindre beføjelserne anvendes, men ikke er under afvikling.
Det foreslås at indsætte § 272, stk. 8, hvorefter kapitalejere og kreditorer, hvis krav er blevet nedskrevet eller konverteret i henhold til § 272, stk. 1, ikke må lide større tab end ved konkursbehandling af pengeinstituttet eller realkreditinstituttet under afvikling.
Det foreslås at indsætte § 272, stk. 9, hvorefter Finanstilsynets vurdering efter stk. 8 foretages på baggrund af værdiansættelsen i § 8 i lov om restrukturering og afvikling af visse finansielle virksomheder. Værdiansættelsen foretages af Finansiel Stabilitet efter anmodning fra Finanstilsynet. Konstateres det, at en kapitalejer eller kreditor, herunder Garantiformuen, har lidt større tab, end den ville have gjort ved konkursbehandling af et pengeinstitut eller realkreditinstitut, betales forskellen af Afviklingsformuen.
De foreslåede bestemmelser er nye og skal implementere artikel 59, stk. 1, 3. afsnit, i BRRD for så vidt angår Finanstilsynets nedskrivnings- og konverteringsbeføjelser, jf. § 272, stk. 1. Der er tale om en direktivnær implementering.
Princippet om, at ingen kreditorer eller aktionærer må stilles økonomisk værre i afvikling, end hvis der var tale om en konkurssituation (det såkaldte no-creditor-worse-off-princip) er et afgørende princip i krisehåndtering. De foreslåede bestemmelser sikrer, at princippet overholdes ved Finanstilsynets nedskrivning eller konvertering i henhold til § 272, stk. 1, på samme måde som det allerede er tilfældet for isolerede nedskrivninger eller konverteringer, som foretages af Finansiel Stabilitet uden for afviklingssituationer efter § 18 a i lov om restrukturering og afvikling af visse finansielle virksomheder.
Til nr. 24 (§ 274, stk. 3, i lov om finansiel virksomhed)
Efter den gældende § 274, stk. 3, finder kravet om kontraktmæssig anerkendelse af bail-in, jf. § 274, stk. 1, ikke anvendelse, hvis forpligtelsen er undtaget fra bail-in, jf. § 25, stk. 3, i lov om restrukturering og afvikling af visse finansielle virksomheder, eller hvis forpligtelsen er et berettiget indskud, jf. § 2, nr. 7, i lov om restrukturering og afvikling af visse finansielle virksomheder.
Det bemærkes, at henvisningen til § 2, nr. 7, med rette bør være en henvisning til § 2, nr. 5. Det vurderes ikke, at denne fejlhenvisning har haft konsekvenser.
§ 274, stk. 3, har til hensigt at implementere artikel 55, stk. 1, 1. afsnit, i BRRD direktivnært, jf. Folketingstidende 2020-21, tillæg A, L 109 som fremsat, side 199-200. Bestemmelsen omfatter imidlertid alle berettigede indskud, mens artikel 55, stk. 1, 1. afsnit, litra b, i BRRD alene omfatter indskud som omhandlet i BRRD artikel 108, litra a.
Det foreslås derfor at nyaffatte § 274, stk. 3, således, at stk. 1 ikke finder anvendelse, hvis 1) forpligtelsen er undtaget fra bail-in, jf. § 25, stk. 3, i lov om restrukturering og afvikling af visse finansielle virksomheder, eller 2) forpligtelsen er en del af et berettiget indskud fra fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, jf. § 2, nr. 19 i lov om restrukturering og afvikling af visse finansielle virksomheder, og overstiger beløbsgrænsen for dækkede indskud, jf. § 9 i lov om en indskyder- og investorgarantiordning, eller 3) forpligtelsen ville være et berettiget indskud fra fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, hvis ikke indskuddet var foretaget gennem filialer af institutter, der er etableret inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, når filialen er beliggende uden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område.
Den foreslåede ændring vil indskrænke undtagelsen for så vidt angår berettigede indskud, således at den fremover alene vil gælde den del af berettigede indskud fra fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, som defineret i § 2, nr. 19, i lov om restrukturering og afvikling af visse finansielle virksomheder, som overstiger beløbsgrænsen for dækkede indskud, jf. § 9 i lov om en indskyder- og investorgarantiordning.
Det foreslåede vil ligeledes medføre, at undtagelsen gælder forpligtelser, som ville være berettigede indskud fra samme kreds af fysiske personer og virksomheder, hvis de ikke var foretaget gennem filialer af institutter, der er etableret inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, når filialen er beliggende uden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område.
Den foreslåede ændring har til formål at bringe undtagelsen om anerkendelse af kontraktmæssig bail-in, jf. § 274, stk. 1, i overensstemmelse med artikel 55, stk. 1, 1. afsnit, litra b, i BRRD.
Forpligtelser, der er undtaget fra bail-in, kan ikke nedskrives eller konverteres. På den baggrund gælder kravet i stk. 1 ikke kontrakter vedrørende disse forpligtelser.
Berettigede indskud er indestående beløb på en konto i et pengeinstitut m.v., som ikke er udelukket fra dækning efter § 13 i lov om en indskyder- og investorgarantiordning. Dækkede indskud, jf. §§ 9 og 10 i lov om en indskyder- og investorgarantiordning, udgør den del af det berettigede indskud, som er dækket af Garantiformuen. Den tidligere gældende henvisning til § 2, nr. 7, i lov om restrukturering af visse finansielle virksomheder er udeladt i den foreslåede bestemmelse, idet bestemmelsen henviser til § 7, stk. 8, i lov om en indskyder- og investorgarantiordning, som ikke i sig selv definerer dækkede indskud. Med lovforslaget indsættes derfor en mere præcis henvisning til dækkede indskud. Der er ikke tilsigtet nogen materiel ændring af gældende ret på dette punkt.
Det dækkede indskud kan være mindre end det berettigede indskud som følge af de fastsatte maksimumsgrænser for dækning. Dækkede indskud er undtaget fra bail-in, jf. § 25, stk. 3, i lov om restrukturering og afvikling af visse finansielle virksomheder.
Til nr. 25 (§ 275, stk. 1, i lov om finansiel virksomhed)
Efter § 275, stk. 1, skal en virksomhed underrette Finanstilsynet, hvis det ikke er muligt at opfylde § 274, stk. 1, om kontraktmæssig anerkendelse af bail-in, i forhold til en kontrakt vedrørende en forpligtelse omfattet af konkurslovens § 97. Underretningen skal angive kategorien af forpligtelsen og begrundelsen for, at det ikke er muligt at indføre kontraktbestemmelsen.
Bestemmelsen implementerer artikel 55, stk. 2, 1. afsnit, 1. pkt., og stk. 2, 4. afsnit, i BRRD, jf. Folketingstidende 2020-21, tillæg A, L 109 som fremsat, side 201. Ifølge artikel 55, stk. 2, 4. afsnit, i BRRD, finder bestemmelsen ikke anvendelse på passiver, som indeholder hybride kernekapitalinstrumenter, supplerende kapitalinstrumenter og gældsinstrumenter som omhandlet i artikel 2, stk. 1, nr. 48, nr. ii, hvis disse instrumenter er usikrede passiver.
§ 275, stk. 1, henviser til konkurslovens § 97, som omhandler simple krav, f.eks. almindelige fakturakrav for indkøb af varer og tjenesteydelser. Det er ifølge bemærkningerne til § 275, stk. 1, hensigten, at bestemmelsen alene skal finde anvendelse på sådanne forpligtelser. Hybride kernekapitalinstrumenter og supplerende kapitalinstrumenter er efterstillet simple krav, som er omfattet af konkurslovens § 97, hvorfor de er udelukket fra bestemmelsens anvendelsesområde. For så vidt angår gældsinstrumenter som omhandlet i artikel 2, stk. 1, nr. 48, nr. ii, defineres disse som obligationer og andre former for omsættelig gæld og instrumenter, der skaber eller anerkender en gæld. Sådanne instrumenter vil, hvis de er omfattet af konkurslovens § 97, definitorisk være usikrede. Indehavere af fordringer med sikkerhed i pant vil således kunne søge fyldestgørelse i pantet ved debitors betalingsmisligholdelse. Dermed har indehaverne ikke i udgangspunktet et krav efter konkurslovens § 97. Den nuværende formulering af § 275, stk. 1, indebærer således, at usikrede gældsinstrumenter vil kunne undtages fra kravet om kontraktmæssig anerkendelse af bail-in.
Det foreslås i § 275, stk. 1, efter 1. pkt, som nyt punktum at indsætte »Dette omfatter dog ikke usikrede obligationer og andre former for omsættelig gæld og instrumenter, der skaber eller anerkender en gæld.«.
Det foreslåede vil indskrænke anvendelsesområdet for § 275, stk. 1, til forpligtelser omfattet af konkurslovens § 97, som ikke er usikrede obligationer og andre former for omsættelig gæld og instrumenter, der skaber eller anerkender en gæld.
Den foreslåede bestemmelse har til formål at bringe undtagelsen i § 275, stk. 1, i overensstemmelse med artikel 55, stk. 2, 4. afsnit i BRRD.
Til nr. 26 (Afsnit VIII a i lov om finansiel virksomhed)
Afsnit VIII indeholder regler om identifikation af operatører af væsentlige tjenester.
Det fremgår således af § 307 a, stk. 1, at Finanstilsynet mindst hvert andet år udpeger de penge- og realkreditinstitutter, der er operatører af væsentlige tjenester. Det fremgår af stk. 2, hvilke kriterier Finanstilsynet skal lægge vægt på i forbindelse med udpegningen efter stk. 1. Videre fremgår det af stk. 3, at Finanstilsynet på sin hjemmeside offentliggør, hvilke penge- og realkreditinstitutter, der er udpeget som operatører af væsentlige tjenester. Til sidst fremgår det af stk. 4, at Finanstilsynet kan fastsætte nærmere regler om udpegningen og kriterierne herfor. Det fremgår også af bestemmelsen, at Finanstilsynet udarbejder en liste over tjenester.
Bestemmelsen gennemfører NIS-direktivets artikel 5, stk. 1-3 og stk. 5, hvorefter medlemsstaterne identificerer operatører af væsentlige tjenester ud fra, at de tjenester der leveres er væsentlige for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter, at leveringen af tjenesterne afhænger af net- og informationssystemer, og at en hændelse vil få væsentlige forstyrrende virkninger for leveringen af tjenesterne.
Med en hændelse forstås enhver begivenhed, der har en negativ indvirkning på sikkerheden i en operatørs net- og informationssystemer. Med sikkerhed i net- og informationssystemer forstås net- og informationssystemers evne til, på et givet sikkerhedsniveau, at modstå handlinger, der er til skade for tilgængeligheden, autenticiteten, integriteten eller fortroligheden i forbindelse med lagrede eller overførte eller behandlede data eller de dermed forbundne tjenester, der tilbydes af eller er tilgængelige via disse net- og informationssystemer.
For yderligere vedrørende § 307 a, stk. 1, i lov om finansiel virksomhed, henvises der i det hele til de specielle bemærkningerne til § 19, nr. 3, i Folketingstidende 2017-18, tillæg A, L 144 som fremsat, side 31.
Det foreslås at afsnit VIII ophæves.
Det foreslåede vil medføre, at en række bestemmelser, der implementerer NIS-direktivet, ophæves. Dette foreslås, da NIS 2-direktivet ophæver NIS-direktivet, herunder reglerne i artikel 5 om medlemsstaternes identifikation af operatører af væsentlige tjenester og kriterierne herfor.
Til nr. 27 (Afsnit IX a-IX c, i lov om finansiel virksomhed)
Det følger af § 333 a i lov om finansiel virksomhed, at Finanstilsynet fremmer den offentlige forbrugerinformation på det finansielle område.
Der foreslås at indsætte § 331, hvorefter Finanstilsynet skal fremme den offentlige forbrugerinformation på det finansielle område.
Det foreslåede er en lovteknisk rettelse, der har til formål at rykke den gældende § 333 a til § 331.
Finanstilsynet arbejder med at skabe lettilgængelig information og stille interaktive værktøjer til rådighed for forbrugerne på forskellige medieplatforme blandt andet i form af hjemmesiden www.raadtilpenge.dk og grupper på sociale medier. Det med sigte på at øge forbrugernes kendskab til og interesse for finansielle produkter og ydelser og derved styrke forbrugerne i deres beslutninger om valg af finansielle produkter. Det vil sikre større gennemslagskraft for indsatsen på det finansielle forbrugerområde.
Finanstilsynet har et løbende samarbejde og en løbende dialog med relevante interessenter på området, herunder myndigheder og organisationer, med henblik på at fremme den offentlige forbrugerinformation på det finansielle område.
Finanstilsynets arbejde med offentlig forbrugerinformation på det finansielle område kan blive finansieret gennem den årlige afgift, som de finansielle virksomheder under tilsyn betaler til Finanstilsynet efter reglerne i kapitel 22 i lov om finansiel virksomhed.
Lov om finansiel virksomhed indeholder ikke et afsnit IX b i dag.
Det foreslås at indsætte et afsnit IX b.
Det foreslås at indsætte overskriften markeder for kryptoaktiver.
Det foreslås at indsætte kapitel 19 b.
Det foreslåede har til sammen formål at skabe en ny inddeling af lov om finansiel virksomhed, der skal indeholde et nyt regelsæt, der vil supplere MiCA.
Det foreslås i § 332 at tilføje relevante definitioner fra MiCA til lov om finansiel virksomhed.
Det foreslås i § 332, nr. 1, at der ved kryptoaktiv forstås en digital gengivelse af en værdi eller af en rettighed, som kan overføres og lagres elektronisk ved hjælp af distributed ledger-teknologi eller lignende teknologi.
Definitionen svarer til definitionen i artikel 3, stk. 1, nr. 5, i MiCA.
Det foreslås i § 332, nr. 2, at der ved en aktivbaseret token forstås en form for kryptoaktiv, der ikke er en elektronisk pengetoken, og som hævdes at bevare en stabil værdi ved at henvise til en anden værdi eller rettighed eller en kombination heraf, herunder en eller flere officielle valutaer.
Definitionen svarer til definitionen i artikel 3, stk. 1, nr. 6, i MiCA.
Det foreslås i § 332, nr. 3, at der ved elektronisk pengetoken eller e-pengetoken forstås en form for kryptoaktiv, som hævdes at bevare en stabil værdi ved at henvise til værdien af en officiel valuta.
Definitionen svarer til definitionen i artikel 3, stk. 1, nr. 7, i MiCA.
Det foreslås i § 332, nr. 4, at der ved udsteder af kryptoaktiver forstås en fysisk eller juridisk person eller en anden virksomhed, der udsteder kryptoaktiver.
Definitionen er tilpasset til dansk ret på baggrund af definitionen i artikel 3, stk. 1, nr. 10, i MiCA. Det skyldes, at ”udsteder” allerede bruges i andre sammenhænge i lov om finansiel virksomhed. Derfor vil artikel 3, stk. 1, nr. 10, i MiCA, blive implementeret som ”udsteder af kryptoaktiver” i lov om finansiel virksomhed.
Det foreslås i § 332, nr. 5, at der ved udbyder af kryptoaktiver forstås en fysisk eller juridisk person eller en anden virksomhed, eller udstederen, som udbyder kryptoaktiver til offentligheden.
Definitionen er tilpasset til dansk ret på baggrund definitionen i artikel 3, stk. 1, nr. 13, i MiCA. Det skyldes, at ”udbyder” allerede bruges i andre sammenhænge i lov om finansiel virksomhed. Derfor vil artikel 3, stk. 1, nr. 13, i MiCA, blive implementeret som ”udbyder af kryptoaktiver” i lov om finansiel virksomhed.
Det foreslås i § 332, nr. 6, at der ved udbyder af kryptoaktivtjenester forstås en juridisk person eller en anden virksomhed, hvis erhverv eller forretning består i at levere en eller flere kryptoaktivtjenester til kunder på et erhvervsmæssigt grundlag, og som har tilladelse til at levere kryptoaktivtjenester i overensstemmelse med artikel 59 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
Definitionen svarer til definitionen i artikel 3, stk. 1, nr. 15, i MiCA.
Det foreslås i § 332, nr. 7, at der ved kryptoaktivtjeneste forstås en af de i bestemmelsens litra a-j opremsede tjenester og aktiviteter vedrørende ethvert kryptoaktiv.
Det foreslås i § 332, nr. 7, litra a, at levering af deponering og administration af kryptoaktiver på kunders vegne er en kryptoaktivtjeneste.
Det foreslås i § 332, nr. 7, litra b, at drift af en handelsplatform for kryptoaktiver er en kryptoaktivtjeneste.
Det foreslås i § 332, nr. 7, litra c, at veksling mellem kryptoaktiver og midler er en kryptoaktivtjeneste.
Det foreslås i § 332, nr. 7, litra d, at veksling mellem kryptoaktiver og andre kryptoaktiver er en kryptoaktivtjeneste.
Det foreslås i § 332, nr. 7, litra e, at udførelse af ordrer vedrørende kryptoaktiver på vegne af kunder er en kryptoaktivtjeneste.
Det foreslås i § 332, nr. 7, litra f, at placering af kryptoaktiver er en kryptoaktivtjeneste.
Det foreslås i § 332, nr. 7, litra g, at modtagelse og formidling af ordrer vedrørende kryptoaktiver på vegne af kunder er en kryptoaktivtjeneste.
Det foreslås i § 332, nr. 7, litra h, at rådgivning om kryptoaktiver er en kryptoaktivtjeneste.
Det foreslås i § 332, nr. 7, litra i, at porteføljepleje i forbindelse med kryptoaktiver er en kryptoaktivtjeneste.
Det foreslås i § 332, nr. 7, litra j, at levering af tjenester vedrørende overførsel af kryptoaktiver på vegne af kunder er en kryptoaktivtjeneste.
Definitionerne svarer til definitionerne i artikel 3, stk. 1, nr. 16, i MiCA.
Under gældende dansk ret gives der ikke selvstændig tilladelse til en udsteder af aktivbaserede tokens. Udstedere af aktivbaserede tokens kan være omfattet af krav i den gældende finansielle lovgivning afhængig af den konkrete forretningsmodel. Visse udbydere er eksempelvis omfattet af krav om registrering efter hvidvasklovens § 48, stk. 1 og 2.
Nogle udstedere af aktivbaserede tokens skal dog ikke ansøge om tilladelse, men alene underrette Finanstilsynet om aktiviteterne og udarbejde en hvidbog.
Det foreslås i § 332 a, stk. 1, at en juridisk person eller virksomhed, der udbyder aktivbaserede tokens til offentligheden eller anmoder om optagelse af aktivbaserede tokens til handel i EU, skal være udsteder af disse aktivbaserede tokens og have tilladelse fra Finanstilsynet i overensstemmelse med artikel 21, jf. artikel 16, stk. 1, litra a, i MiCA.
Det foreslåede vil vil supplere artikel 16 i MiCA.
Aktivbaserede tokens defineres i det foreslåede § 332, nr. 2. Den foreslåede bestemmelse i § 332, nr. 2, indsætter relevante definitioner fra MiCA.
Det foreslåede stk. 1, vil fastlægge, at Finanstilsynet er kompetent myndighed til at give tilladelse til en udsteder af aktivbaserede tokens efter artikel 16, stk. 1, litra a, i overensstemmelse med artikel 21 i MiCA.
Efter det foreslåede, er det en forudsætning for, at en udsteder af aktivbaserede tokens kan opnå tilladelse fra Finanstilsynet, at den juridiske person eller virksomhed er etableret i Danmark. Finanstilsynet vil kunne give tilladelse til en juridisk person eller virksomhed, der opfylder betingelserne i artikel 18 i MiCA. Det vil eksempelvis indebære , at den juridiske person eller virksomhed skal indsende en hvidbog til Finanstilsynet efter artikel 19 i MiCA, jf. kravet i artikel 18 stk. 2, litra k.
En person eller virksomhed, der er meddelt tilladelse efter artikel 21 i MiCA, vil kunne udbyde tjenesterne til offentligheden i hele EU eller anmode om optagelse til handel af sådanne aktivbaserede tokens, jf. artikel 16, stk. 3.
Hvis en virksomhed meddeles tilladelse, vil dens hvidbog om kryptoaktiver anses for godkendt, jf. artikel 21, stk. 1, i MiCA.
Det foreslås i § 332 a, stk. 2, at stk. 1 ikke finder anvendelse på et pengeinstitut, der opfylder kravene i artikel 17 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
Bestemmelsen vil medføre, at pengeinstitutter, der opfylder kravene i artikel 17 i MiCA, kan udbyde aktivbaserede tokens til offentligheden eller anmode om optagelse af aktivbaserede tokens til handel i EU, jf. artikel 16, stk. 1, litra b.
Pengeinstitutter, der er meddelt tilladelse i henhold til lov om finansiel virksomhed, har ikke behov for yderligere tilladelse af Finanstilsynet i henhold til MiCA for at kunne udbyde eller anmode om optagelse til handel af aktivbaserede tokens.
Pengeinstituttet skal dog leve op til forpligtelserne i artikel 17 i MiCA. Det indebærer blandt andet, at pengeinstituttet skal underrette Finanstilsynet om en række oplysninger i overensstemmelse med artikel 17 i MiCA.
Det foreslåede stk. 2 vil fastlægge, at Finanstilsynet er kompetent myndighed til at vurdere en underretning efter artikel 17, i MiCA. Det foreslåede stk. 2 vil fastlægge, at Finanstilsynet er kompetent myndighed til at vurdere en underretning efter artikel 17, i MiCA. Det skyldes, at det som følge af lovforslaget vil være Finanstilsynet, der er kompetent myndighed til at føre tilsyn med MiCA i Danmark.
Pengeinstituttet må ikke udbyde den aktivbaserede token til offentligheden eller optage den til handel, så længe underretningen er ufuldstændig, jf. artikel 17, stk. 3, i MiCA.
Godkender Finanstilsynet pengeinstituttets hvidbog om kryptoaktiver i henhold til artikel 17, stk. 1, eller en ændret hvidbog om kryptoaktiver i henhold til artikel 25, gælder det i hele EU, jf. artikel 16, stk. 4, i MiCA. En hvidbog er et dokument, som skal indeholde klare oplysninger om det givne kryptoaktiv og dets karakteristika. Det fremgår af bilag 1-3 i MiCA, hvilke oplysninger en hvidbog skal indeholde.
Bestemmelsen vil supplere artikel 16, stk. 1, litra b, i MiCA.
Der henvises i øvrigt til de ændringer af bilag 1 og 2 i lov om finansiel virksomhed, jf. lovforslagets § 1, nr. 52 og 53, der vil ændre hvilke tjenester, et pengeinstitut og kreditinstitut må udbyde.
Det foreslås i § 332 a, stk. 3, at stk. 1, ikke finder anvendelse på en udsteder af aktivbaserede tokens, som er undtaget efter artikel 16, stk. 2, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, såfremt udstederen giver meddelelse om en hvidbog om kryptoaktiver i overensstemmelse med artikel 19 i samme forordning, og efter anmodning fra Finanstilsynet giver meddelelse om enhver markedsføringskommunikation til Finanstilsynet.
Bestemmelsen vil medføre, at en udsteder af aktivbaserede tokens, som er undtaget efter artikel 16, stk. 2, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, kan udbyde aktivbaserede tokens til offentligheden i EU uden en tilladelse fra Finanstilsynet efter bestemmelsens stk. 1. Udstederen skal dog udarbejde en hvidbog om kryptoaktiver som omhandlet i artikel 19 og give meddelelse om denne hvidbog om kryptoaktiver og efter anmodning give meddelelse om enhver markedsføringskommunikation til Finanstilsynet, jf. artikel 16, stk. 2, i MiCA.
Det foreslåede stk. 3 vil fastlægge, at Finanstilsynet er kompetent myndighed til at modtage en meddelelse efter artikel 16, stk. 2, i MiCA. Det skyldes, at det som følge af lovforslaget vil være Finanstilsynet, der er kompetent myndighed til at føre tilsyn med MiCA i Danmark.
Bestemmelsen vil supplere artikel 16, stk. 2, i MiCA.
Efter gældende ret kan virksomheder med tilladelse som pengeinstitut, kreditinstitut eller e-pengeinstitut udstede og udbyde elektroniske penge. Dette reguleres af lov om betalinger. Disse aktører kan indenfor deres tilladelse også udstede og udbyde e-pengetokens, men det fremgår ikke eksplicit af gældende ret.
Det foreslås i § 332 b, at en person, der udbyder e-pengetokens til offentligheden eller anmoder om optagelse af e-pengetokens til handel i EU, skal være udsteder af disse og være meddelt tilladelse fra Finanstilsynet som pengeinstitut eller e-pengeinstitut. Udbyderen skal også offentliggøre en hvidbog om kryptoaktiver, som Finanstilsynet er blevet underrettet om i overensstemmelse med artikel 51, jf. artikel 48, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
Den foreslåede ændring vil præcisere, at virksomheder med tilladelse som pengeinstitut eller e-pengeinstitut fremadrettet også må udbyde e-pengetokens til offentligheden eller anmode om optagelse af e-pengetokens til handel i EU. Det forudsætter, at virksomheden lever op til kravene i artikel 48 i MiCA, hvilket indebærer, at virksomheden skal underrette Finanstilsynet om en hvidbog om kryptoaktiver i overensstemmelse med artikel 51 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
Med den foreslåede bestemmelse, vil Finanstilsynet blive udpeget som kompetent myndighed til at modtage underretningen efter artikel 51 i MiCA.
Det foreslåede vil samtidig betyde, at pengeinstitutter og e-pengeinstitutter, der udsteder e-pengetokens, fremadrettet både vil være omfattet af kravene i lov om finansiel virksomhed, lov om betalinger samt MiCA, for så vidt angår deres aktiviteter vedrørende e-pengetokens. Det skyldes, at e-pengetokens udgør e-penge, som i dansk ret reguleres i lov om betalinger.
Den foreslåede bestemmelse supplerer MiCA, og vil medføre, at udstedere af e-pengetokens, der udbyder disse til offentligheden eller anmoder om optagelse af e-pengetokens til handel i EU, vil være underlagt Finanstilsynets tilsyn i henhold til MiCA.
Den foreslåede § 332 b vil supplere artikel 48, stk. 1, i MiCA.
Der henvises i øvrigt til de ændringer af bilag 1 og 2 i lov om finansiel virksomhed, jf. lovforslagets § 1, nr. 52 og 53, der vil ændre hvilke tjenester, et pengeinstitut og kreditinstitut må udbyde.
Efter gældende dansk ret gives der ikke selvstændig tilladelse som kryptoaktivtjenesteudbyder. En kryptoaktivtjenesteudbyder kan være omfattet af krav i den gældende finansielle lovgivning afhængig af den konkrete forretningsmodel. Visse udbydere er eksempelvis omfattet af krav om registrering efter hvidvasklovens § 48, stk. 1 og 2.
Det foreslås i § 332 c, stk. 1, at en juridisk person eller anden virksomhed, der leverer kryptoaktivtjenester i EU, skal have tilladelse fra Finanstilsynet efter artikel 63, jf. artikel 59, stk. 1, litra a, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
Det foreslåede vil supplere artikel 59 i MiCA.
Det foreslåede stk. 1 vil medføre, at Finanstilsynet er den kompetente myndighed til at give tilladelse som kryptoaktivtjenesteudbyder.
Det foreslåede vil medføre, at en juridisk person eller anden virksomhed, der leverer kryptoaktivtjenester i EU, skal have tilladelse fra Finanstilsynet efter artikel 63, jf. artikel 59, stk. 1, litra a, i MiCA.
Finanstilsynet kan efter det foreslåede give tilladelse til en juridisk person eller virksomhed efter artikel 63 i MiCA, hvis betingelserne i artikel 62 i MiCA er opfyldt. Det er en forudsætning for, at en udbyder af kryptoaktivtjenester kan opnå tilladelse fra Finanstilsynet, at den juridiske person eller virksomhed er etableret i Danmark.
Enhver person, der er meddelt tilladelse efter artikel 63 i MiCA, kan udbyde tjenesterne til offentligheden i hele EU, jf. artikel 59, stk. 7. Udbydere af kryptoaktivtjenester, der leverer kryptoaktivtjenester på tværs af grænserne, er ikke forpligtede til at have en fysisk tilstedeværelse på et værtslands geografiske område.
Bestemmelsen vil supplere artikel 59, stk. 1, litra a, i MiCA. MiCA fastsætter krav om, at en udbyder af kryptoaktivtjenester skal opnå tilladelse som kryptoaktivtjenesteudbyder.
Ifølge MiCA skal nogle udbydere af kryptoaktivtjenester dog ikke ansøge om tilladelse, men alene underrette Finanstilsynet om aktiviteterne og udarbejde en hvidbog, inden disse kan udbyde kryptoaktivtjenester i EU.
Det foreslås i § 332 c, stk. 2, at stk. 1 ikke finder anvendelse på et pengeinstitut, en værdipapircentral, et fondsmæglerselskab, en markedsoperatør, et e-pengeinstitut, et investeringsforvaltningsselskab eller en forvalter af en alternativ investeringsfond, der har tilladelse til at udbyde tjenester som angivet i artikel 60, stk. 1-6, og som har underrettet Finanstilsynet i henhold til artikel 60, stk. 1-6, i MiCA.
Med det foreslåede stk. 2 vil Finanstilsynet blive udpeget som kompetent myndighed til at vurdere en underretning efter artikel 60, stk. 1-6, jf. artikel 60, stk. 8, i MiCA.
Det foreslåede vil derudover medføre, at såfremt de i bestemmelsen nævnte virksomhedstyper leverer kryptoaktivtjenester, skal de ikke indsende en ansøgning om tilladelse som kryptoaktivtjenesteudbyder efter artikel 62 i MiCA. Virksomhederne skal derimod underrette Finanstilsynet i overensstemmelse med artikel 60, stk. 1-6, i MiCA.
En udbyder af kryptoaktivtjenester må ikke begynde at levere kryptoaktivtjenesterne, så længe underretningen er ufuldstændig, jf. artikel 60, stk. 8, i MiCA.
En virksomhed, der har tilladelse til at levere kryptoaktivtjenester i henhold til artikel 60, stk. 1-6, har mulighed for at levere de kryptoaktivtjenester, der er angivet i bestemmelserne, i hele EU. Derudover vil udbydere af kryptoaktivtjenester, der leverer kryptoaktivtjenester på tværs af grænserne, ikke være forpligtede til at have en fysisk tilstedeværelse på et værtslands geografiske område, jf. artikel 59, stk. 7, i MiCA.
Retten til at levere kryptoaktivtjenester for disse virksomheder vil blive ophævet ved inddragelse af den tilladelse, der gav den pågældende virksomhed mulighed for at levere kryptoaktivtjenester uden at skulle indhente en tilladelse i henhold til artikel 59 i MiCA, jf. artikel 60, stk. 11, i MiCA.
Hvis en virksomhed ønsker at udbyde andre kryptoaktivtjenester end dem, der er nævnt i artikel 60, stk. 1-6 nævnte, vil det kræve en særskilt tilladelse til at udbyde disse tjenester.
Den foreslåede bestemmelse vil supplere artikel 59, stk. 1, litra b, i MiCA.
Efter gældende ret er der ikke regler om en tilladelsesordning for udstedere af aktivbaserede tokens.
Det foreslås i § 332 d, at Finanstilsynet kan inddrage en tilladelse til en udsteder af aktivbaserede tokens efter artikel 24 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
Den foreslåede bestemmelse vil give Finanstilsynet beføjelse til at kunne inddrage en tilladelse til en udsteder af aktivbaserede tokens efter artikel 24 i MiCA. Finanstilsynet vil blandt andet kunne inddrage tilladelsen, hvis udstederen af aktivbaserede tokens ikke længere opfylder de betingelser, hvorpå tilladelsen blev meddelt.
Bestemmelsen er ny og foreslås som følge af MiCA, hvorefter en udsteder af aktivbaserede tokens skal have tilladelse af Finanstilsynet til at udbyde aktivbaserede tokens til offentligheden eller anmode om optagelse til handel i EU og være underlagt Finanstilsynets tilsyn i henhold til MiCA. Dette indebærer, at Finanstilsynet også vil få beføjelse til at inddrage en tidligere givet tilladelse til en udsteder af aktivbaserede tokens.
Den foreslåede bestemmelse vil supplere artikel 24 i MiCA.
Efter gældende ret er der ikke regler om en tilladelsesordning for udbydere af kryptoaktivtjenester.
Det foreslås i § 332 e, at Finanstilsynet kan inddrage en tilladelse til en udbyder af kryptoaktivtjenester efter artikel 64 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
Den foreslåede bestemmelse vil give Finanstilsynet beføjelse til at kunne inddrage en tilladelse til en udbyder af kryptoaktivtjenester efter artikel 64 i MiCA. Finanstilsynet vil blandt andet kunne inddrage tilladelsen, hvis en udbyder af kryptoaktivtjenester har opnået sin tilladelse på uretmæssig vis såsom i form af falske erklæringer i sin ansøgning om tilladelse, eller ikke længere opfylder de betingelser, hvorpå tilladelsen blev meddelt.
Bestemmelsen er ny og foreslås som en følge af MiCA, hvorefter en udbyder af kryptoaktivtjenester skal have tilladelse af Finanstilsynet og være underlagt Finanstilsynets tilsyn i henhold til MiCA. Dette indebærer, at Finanstilsynet også får beføjelse til at inddrage en tidligere givet tilladelse som udbyder af kryptoaktivtjenester.
Den foreslåede bestemmelse vil supplere artikel 64 i MiCA.
Efter gældende ret er der ikke regler om en tilladelsesordning for udstedere af aktivbaserede tokens. Som følge heraf er udstedere af aktivbaserede tokens ikke efter gældende ret forpligtede til at foretage indberetninger til Finanstilsynet.
Det foreslås at indsætte en ny bestemmelse i § 332 f.
Det foreslås i § 332 f, stk. 1, at en udsteder af aktivbaserede tokens omfattet af § 361, stk. 1, nr. 11, senest den 1. juli hvert år skal indberette summen af udstederens gennemsnitlige udestående til Finanstilsynet.
Den foreslåede bestemmelse vil fastlægge, at Finanstilsynet hvert år skal modtage data fra udstedere af aktivbaserede tokens til brug for opgørelsen af afgiften, som skal betales til Finanstilsynet, jf. den foreslåede § 361, stk. 1, nr. 11, i lov om finansiel virksomhed.
Finanstilsynet vil få generel hjemmel til at kræve alle oplysninger af en virksomhed, som Finanstilsynet finder nødvendige med henblik på at føre tilsyn med MiCA, jf. den foreslåede ændring til § 344 i lov om finansiel virksomhed, jf. lovforslagets § 1, nr. 29. Hjemlen kan udnyttes til at indsamle data til brug for tilrettelæggelsen af tilsynet med udstedere af aktivbaserede tokens.
Det foreslås i § 333 f, stk. 2, at gennemsnittet af de udestående aktivbaserede tokens beregnes som den samlede markedsværdi af de udestående aktivbaserede tokens, opgjort på baggrund af det daglige udestående ved udgangen af hver dag i de foregående 6 måneder. Opgørelsen foretages den første dag i hver måned. Hvis virksomheden ikke har gennemført 6 måneders drift på datoen for beregningen, anvendes de eventuelt gennemførte måneder med drift og virksomhedens estimater for de gennemsnitlige udestående aktivbaserede tokens for det kommende år som grundlag for beregningen.
Den foreslåede bestemmelse vil fastsætte, at virksomheden til brug for beregningen skal anvende eventuelt gennemførte måneder med drift samt virksomhedens estimater for de gennemsnitlige udestående aktivbaserede tokens for det kommende år, hvis virksomheden ikke har gennemført seks måneders drift på datoen for beregningen. Har virksomheden eksempelvis haft fem måneders drift anvendes disse måneder i beregningen sammen med virksomhedens estimat for de gennemsnitlige udestående aktivbaserede tokens for det kommende år divideret med 12.
Den foreslåede bestemmelse er ny og vil supplere MiCA, der vil medføre, at en udsteder af aktivbaserede tokens skal have tilladelse af Finanstilsynet til at udbyde aktivbaserede tokens til offentligheden eller anmode om optagelse til handel i EU og være underlagt Finanstilsynets tilsyn i henhold til MiCA.
Efter gældende ret er der ikke regler om en tilladelsesordning for udbydere af kryptoaktivtjenester. Som følge heraf er udbydere af kryptoaktivtjenester ikke efter gældende ret forpligtede til at foretage indberetninger til Finanstilsynet.
Det foreslås i § 332 g, at en udbyder af kryptoaktivtjenester omfattet af § 361, stk. 1, nr. 12, senest den 1. juli hvert år skal indberette virksomhedens omkostninger til løn, provision og tantieme til Finanstilsynet.
Den foreslåede bestemmelse vil medføre, at Finanstilsynet hvert år skal modtage data fra udbydere af kryptoaktivtjenester til brug for opgørelsen af afgiften, som skal betales til Finanstilsynet, jf. den foreslåede § 361, stk. 1, nr. 12.
Finanstilsynet vil få generel hjemmel til at kræve alle oplysninger af en virksomhed, som Finanstilsynet finder nødvendige, med henblik på at føre tilsyn med MiCA, jf. den foreslåede ændring til § 344, i lov om finansiel virksomhed, jf. lovforslagets § 1, nr. 29. Hjemlen kan udnyttes til at indsamle data til brug for tilrettelæggelsen af tilsynet med udbydere af kryptoaktivtjenester.
Ved omkostninger til løn, provision og tantieme menes lønninger og vederlag til bestyrelse og direktion samt lønninger til personale i øvrigt.
Den foreslåede bestemmelsen er ny og foreslås som følge af MiCA , hvorefter en udbyder af kryptoaktivtjenester skal have tilladelse af Finanstilsynet til at udbyde kryptoaktivtjenester og være underlagt Finanstilsynets tilsyn i henhold til MiCA.
Finanstilsynets har som led i sit tilsyn med overholdelse af en række retsakter beføjelse til at få adgang til lokaler og lokaliteter tilhørende virksomheder under tilsyn. Dette følger af bl.a. lov om finansielvirksomhed § 343 e, § 347, stk. 3-5, samt § 233, stk. 1-4, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter.
Det foreslås i § 332 h, at Finanstilsynet, eller hvor kompetencen til at udøve enkelte beføjelser ved lov er tillagt andre danske myndigheder, til brug for tilsyn med overholdelsen af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver kan udøve de beføjelser, der følger af forordningens artikel 94, herunder til enhver tid mod behørig legitimation uden retskendelse få adgang til lokaler og lokaliteter tilhørende udbydere af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens, og personer, der anmoder om optagelse til handel af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens, udstedere af aktivbaserede tokens, udstedere af e-pengetokens og udbydere af kryptoaktivtjenester og med henblik på indhentelse af oplysninger, herunder ved inspektioner.
Det foreslåede vil medføre, at Finanstilsynet til brug for tilsynet med overholdelsen af MiCA vil kunne udøve de beføjelser, der følger af forordningens artikel 94, herunder til enhver tid mod behørig legitimation uden retskendelse få adgang til lokaler, hvortil der ikke er almindelige offentlig adgang og andre lokaliteter tilhørende udbydere af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens, og personer, der anmoder om optagelse til handel af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens, udstedere af aktivbaserede tokens, udstedere af e-pengetokens og udbydere af kryptoaktivtjenester, med henblik på indhentelse af oplysninger, herunder ved inspektioner.
Finanstilsynets anvendelse af denne beføjelse vil være et tvangsindgreb, der foretages udenfor strafferetsplejen, hvorfor lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter finder anvendelse.
Den foreslåede bestemmelse vil udgøre en særegen undtagelse til kravet om retskendelse efter grundlovens § 72 for så vidt angår beføjelsen i forordningens artikel 94, stk. 1, litra w. Dette skal ses i lyset af, at forordningen forpligter medlemsstaterne til at indføre en sådan hjemmel.
I medfør af i artikel 94, stk. 1, litra w, skal den kompetente myndighed kunne få adgang til at gennemføre kontrolbesøg og undersøgelser på andre steder end i fysiske personers private boliger og med henblik herpå skaffe sig adgang til lokaler for at få adgang til dokumenter og andre oplysninger i enhver form, når der er rimelig mistanke om, at dokumenter og andre oplysninger vedrørende genstanden for kontrollen eller undersøgelsen kan være relevant som bevis for en overtrædelse af denne forordning. Denne beføjelse vil som det klare udgangspunkt skulle udøves af Finanstilsynet. I tillæg til dette fremgår det af artikel 94, stk. 3, litra c, at den kompetente myndighed som minimum skal have beføjelse til at skaffe sig adgang til fysiske eller juridiske personers lokaler for at beslaglægge dokumenter og data i enhver form, når der er begrundet mistanke om, at dokumenter eller data vedrørende genstanden for kontrollen eller undersøgelsen kan være af relevans som bevis for et tilfælde af insiderhandel eller markedsmanipulation.
Vedrører mistanken en overtrædelse af en af de artikler, der efter den foreslåede ændring i § 373, stk. 1 og 2, i lov om finansiel virksomhed, jf. lovforslagets § 1, nr. 48 og 49, § 152, stk. 1 og 2, i lov om betalinger, jf. lovforslagets § 2, nr. 24 og 25, § 251 b, stk. 1-3, i lov om kapitalmarkeder, jf. lovforslagets § 3, nr. 22, § 266, stk. 1, nr. 5, og § 266, stk. 2, nr. 4 i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter, jf. lovforslagets § 4, nr. 14 og 15, samt § 190, stk. 1 og 2, i lov om forvaltere af alternative investeringsfonde, m.v., jf. lovforslagets § 5, nr. 8 og 9, der vil være forbundet med strafansvar, eller en anden bestemmelse, der er forbundet med strafansvar, vil en sådan beføjelse have karakter af ransagning og dermed et straffeprocessuelt tvangsindgreb, der efter reglerne i § 9, stk. 1, i lov om retssikkerhed ved forvaltningens anvendelse af tvangsindgreb og oplysningspligter, jf. lovbekendtgørelse nr. 1121 af 12. november 2019, vil skulle gennemføres efter reglerne i lov om rettens pleje og dermed i praksis af National enhed for Særlig Kriminalitet eller den stedlige politikreds.
Finanstilsynet har behov for at kunne udøve sin tilsynsvirksomhed også i de særlige tilfælde, hvor en virksomhed måtte nægte at give Finanstilsynets de nødvendige oplysninger til brug for tilsynsvirksomheden, eller hvor en virksomhed modsætter sig et inspektionsbesøg.
Finanstilsynet har mulighed for at foretage inspektion uden forudgående varsling. Denne hjemmel skal alene anvendes af Finanstilsynet efter et almindeligt proportionalitetsprincip i tilfælde, hvor Finanstilsynet vurderer, at formålet med inspektionen ville blive forspildt, hvis inspektionen blev varslet. Udgangspunktet er således fortsat, at inspektioner hos fysiske og juridiske personer og andre virksomheder, der er involveret i udstedelse, udbud til offentligheden og optagelse til handel af kryptoaktiver, eller som leverer kryptoaktivtjenester, skal varsles på forhånd.
Hjemlen kan tænkes anvendt, f.eks. hvor en tilsynsbelagt virksomhed undtagelsesvist nægter Finanstilsynet adgang til virksomheden i forbindelse med en ordinær inspektion. Der kan også være tale om en krisesituation, der kræver, at Finanstilsynet skrider til omgående handling, og hvor en umiddelbar adgang til udbyderen er en forudsætning for at håndtere situationen.
Den foreslåede bestemmelse vil supplere således artikel 94 i forordningen, idet den fastsætter, hvem der som udgangspunkt vil være den kompetente myndighed i Danmark til at udøve de beføjelser, som artikel 94 giver adgang til.
Finanstilsynet fører i dag tilsyn med it-sikkerheden hos fælles datacentraler og it-operatører af detailbetalingssystemer.
Fælles datacentraler er reguleret i afsnit X c i lov om finansiel virksomhed.
Det kræver ikke tilladelse fra Finanstilsynet at drive en fælles datacentral, ligesom det f.eks. er tilfældet med et penge- eller realkreditinstitut. Derimod bliver en virksomhed automatisk omfattet af reglerne om fælles datacentraler, hvis virksomhedens væsentligste aktiviteter består i it-drifts- eller udviklingsopgaver for flere finansielle virksomheder, og virksomheden samtidig overvejende er ejet af en eller flere finansielle virksomheder, jf. § 343 q i lov om finansiel virksomhed.
Reglerne for fælles datacentraler afspejler de regler, der også gælder finansielle virksomheders kontrol- og sikringsforanstaltninger på it-området, ligesom rammen for tilsynet med datacentraler også afspejler det it-tilsyn, som Finanstilsynet fører med de finansielle virksomheder.
Det følger således af § 343 r, stk. 1, i lov om finansiel virksomhed, at § 71, stk. 1, nr. 8, i lov om finansiel virksomhed, om betryggende kontrol- og sikringsforanstaltninger på it-området finder tilsvarende anvendelse for fælles datacentraler.
Reglerne om betryggende kontrol- og sikringsforanstaltninger på it-området, der er udstedt i medfør af § 71, stk. 3, i lov om finansiel virksomhed finder også tilsvarende anvendelse for fælles datacentraler, jf. § 343 r, stk. 2, i lov om finansiel virksomhed. Disse regler findes i bekendtgørelse nr. 1103 af 30. juni 2022 om ledelse og styring af pengeinstitutter m.v., herunder særligt bekendtgørelsens bilag 5, der bl.a. fastsætter nærmere krav til den it-strategi, it-risikostyringspolitik og it-sikkerhedspolitik, som en datacentral skal have.
Endelig følger det af § 343 r, stk. 5, i lov om finansiel virksomhed, at kapitel 21 og 23 i lov om finansiel virksomhed og regler udstedt i medfør af disse kapitler finder tilsvarende anvendelse for fælles datacentraler med de fornødne tilpasninger. Det indebærer bl.a., at rammen for tilsynet med finansielle virksomheder også gælder for fælles datacentraler, herunder bl.a. reglerne om Finanstilsynets tavshedspligt, offentliggørelse, partsbestemmelser og klageadgang.
Finanstilsynet fører også tilsyn med it-operatører af detailbetalingssystemer, dvs. virksomheder, der er meddelt tilladelse til it-drift af et detailbetalingssystem efter § 180 a i lov om kapitalmarkeder. It-operatører af detailbetalingssystemer er reguleret i kapitel 32 a i lov om kapitalmarkeder.
Reglerne om it-operatører af detailbetalingssystemers kontrol- og sikringsforanstaltninger på it-området afspejler ligesom for datacentraler det it-tilsyn, som Finanstilsynet fører med de finansielle virksomheder.
Det følger af § 180 g, stk. 2, nr. 2, i lov om kapitalmarkeder, at it-operatører af detailbetalingssystemer skal have betryggende kontrol- og sikringsforanstaltninger på it-området. I forlængelse heraf følger det af § 180 g, stk. 3, at Finanstilsynet kan fastsætte nærmere regler om de foranstaltninger, som en it-operatør af et detailbetalingssystem skal træffe for at have betryggende kontrol- og sikringsforanstaltninger på it-området. Bemyndigelsen er ligesom for datacentraler, udnyttet i bekendtgørelse nr. 1103 af 30. juni 2022 om ledelse og styring af pengeinstitutter m.v., herunder særligt bekendtgørelsens bilag 5, der bl.a. fastsætter nærmere krav til den it-strategi, it-risikostyringspolitik og it-sikkerhedspolitik, som it-operatører af detailbetalingssystemer skal have.
Med vedtagelsen af NIS 2-direktivet og DORA-forordningen styrkes it- og cybersikkerheden i den finansielle sektor ved at gennemføre en væsentlig udvidelse, harmonisering og modernisering af de juridiske rammer på tværs af medlemslandene. Fælles datacentraler og it-operatører af detailbetalingssystemer omfattes af NIS 2-direktivets generelle regler, der bl.a. finder anvendelse på digital infrastruktur og forvaltning af it-tjenester, jf. direktivets bilag 1, pkt. 8 og 9. Derfor skal reglerne i NIS 2-direktivet implementeres for fælles datacentraler og it-operatører af detailbetalingssystemer. Fælles datacentraler og it-operatører omfattes dog ikke direkte af DORA-forordningen.
For at sikre et ensartet og stærkt cybersikkerhedsniveau i hele den finansielle sektor, og at Finanstilsynet kan føre tilsyn med it- og cybersikkerheden i alle relevante virksomheder på det finansielle område, foreslås det med § 333 i lov om finansiel virksomhed, at Finanstilsynet kan udpege de virksomheder, der udbyder digital infrastruktur og forvaltning af it-tjenester indenfor den finansielle sektor, herunder fælles datacentraler og it-operatører af detailbetalingssystemer, som operatører af finansielle digitale infrastrukturer.
Der henvises i det hele til de almindelige bemærkninger i lovforslagets 2.2.
Det foreslås i § 333, stk. 1, at Finanstilsynet kan udpege virksomheder, der udbyder digital infrastruktur eller forvalter it-tjenester, som omhandlet i bilag I, pkt. 8 og 9, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, og hvis væsentligste aktiviteter består i at drive, administrere eller udvikle tjenester, der er nødvendige for kritiske og vigtige forretningsfunktioner i virksomheder, der er omfattet af Europa-Parlamentets og Rådets forordning (EU) 2022/2254 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, som operatører af finansielle digitale infrastruktur.
Den foreslåede bestemmelse vil indebære, at de virksomheder, der udpeges, vil blive underlagt Finanstilsynets tilsyn på it- og cybersikkerhedsområdet, da Finanstilsynet vil påse de udpegede virksomheders overholdelse af reglerne, jf. den gældende § 344, stk. 1. 1. pkt. For fælles datacentraler, der udpeges, vil bestemmelsen således betyde, at disse fortsat vil være omfattet af Finanstilsynets tilsyn.
Bestemmelsen indeholder også en afgrænsning af hvilke virksomheder, der potentielt kan udpeges som operatører af finansielle digitale infrastrukturer. For at kunne udpeges som operatør af en finansiel digital infrastruktur skal den pågældende virksomhed tilhøre en af delsektorerne under pkt. 8 (digital infrastruktur), eller pkt. 9 (forvaltning af it-tjenester), i bilag I, til NIS 2-direktivet. Herudover skal virksomheden væsentligste aktiviteter bestå i at drive, administrere eller udvikle tjenester, der er nødvendige for kritiske og vigtige forretningsfunktioner i de virksomheder, der omfattes af DORA-forordningen.
Blandt de virksomheder, der opfylder disse kriterier, vil Finanstilsynet kunne udpege de virksomheder, som er væsentlige i forhold til den finansielle sektor, ud fra kriterier som er angivet i stk. 2.
Kravene er kumulative og kan ikke fraviges.
Det foreslås i § 333, stk. 2, at Finanstilsynet ved udpegningen af operatører af finansielle digitale infrastrukturer skal lægge vægt på de kriterier, der følger af nr. 1-4.
Det foreslås i § 333, stk. 2, nr. 1, at Finanstilsynet skal lægge vægt på omfanget og antallet af finansielle virksomheder som operatøren varetager kritiske og vigtige funktioner for.
Bestemmelsen vil indebære, at Finanstilsynet både skal lægge vægt på antallet af de tilsluttede virksomheder indenfor den finansielle sektor, men også på forretningsomfanget med den eller de tilsluttede virksomheder. Det kan f.eks. være omfanget af kritiske og vigtige funktioner, som operatøren varetager, og herunder også omfanget af kunder eller engagementer, der berøres af operatørens ydelser.
Det foreslås i § 333, stk. 2, nr. 2, at Finanstilsynet skal lægge vægt på karakteren af de kritiske og vigtige funktioner, som er afhængige af operatørens leverancer.
Bestemmelsen vil indebære, at Finanstilsynet skal lægge vægt på, hvor væsentlige de kritiske og vigtige funktioner er for de tilsluttede virksomheders levering af de finansielle kerneydelser, og om der er tale om leverancer, som ikke eller kun vanskeligt kan substitueres.
Det foreslås i § 333, stk. 2, nr. 3, at Finanstilsynet skal lægge vægt på betydningen af operatørens leverancer for den finansielle stabilitet.
Bestemmelsen vil indebære, at Finanstilsynet skal lægge vægt på operatørens betydning og rolle i forhold til den samlede finansielle sektor, herunder den risiko operatøren potentielt kan eksponere den finansielle sektor for.
Det foreslås i § 333, stk. 2, nr. 4, at Finanstilsynet skal lægge vægt på operatørens tilknytning til de virksomheder i den finansielle sektor som modtager operatørens ydelser, herunder koncernforbindelser og ejerskab.
Bestemmelsen vil indebære, at Finanstilsynet skal lægge vægt på bl.a. de indikationer om tilknytning mellem operatøren og dens finansielle kundevirksomheder, f.eks. gennem ejerskab, koncernforbindelser og relationer gennem medlemskab af foreninger eller sammenslutninger.
Kriterierne i stk. 2, er ikke kumulative og ikke alle kriterier skal være opfyldt for at en virksomhed kan udpeges som en operatør af en finansiel digital infrastruktur.
Vurderingen af de enkelte operatørers opfyldelse af kriterierne skal foretages ud fra en risikovurdering, som tager højde for den enkelte virksomheds forhold og relationer og for den overordnede betydning af disse for det finansielle system og den finansielle stabilitet.
Det foreslås i § 333, stk. 3, at it-operatører af detailbetalingssystemer og virksomheder, der udfører væsentlig drift eller udvikling for den fælles betalingsinfrastruktur kan udpeges som operatører af finansielle digitale infrastrukturer.
Den foreslåede bestemmelse medfører, at it-operatører af detailbetalingssystemer og virksomheder, der udfører væsentlig drift eller udvikling for den fælles betalingsinfrastruktur kan udpeges som operatører af finansielle digitale infrastrukturer, uanset kriterier i bestemmelsens § 333, stk. 1.
Det foreslås i § 333, stk. 4, at Finanstilsynet skal på sin hjemmeside offentliggøre, hvilke virksomheder der er udpeget som operatører af finansielle digitale infrastrukturer.
Offentliggørelse vil medføre, at det overfor offentligheden og den øvrige finansielle sektor bliver tydeligt, hvilke virksomheder, der er omfattet af Finanstilsynets tilsyn på it- og cybersikkerhedsområdet, og at disse virksomheder er omfattet af de regler, som erhvervsministeren med den foreslåede § 333 b i lov om finansiel virksomhed bemyndiges til at udstede.
Det foreslås i § 333, stk. 5, at Finanstilsynet kan fastsætte nærmere regler om den udpegning af operatører af finansielle digitale infrastrukturer, herunder de kriterier, som Finanstilsynet kan lægge vægt på efter stk. 1 og 2.
Det foreslåede vil bl.a. medføre, at Finanstilsynet kan fastsætte regler om kvantificering og vægtning af kriterierne i stk. 1 og 2.
Det foreslås i § 333 a, stk. 1, at en operatør af finansiel digitale infrastruktur skal have en forvaltnings- og kontrolramme, der sikrer en effektiv og forsigtig styring af it- og cyberrisici.
Effektiv og forsigtigt skal fortolkes i overensstemmelse med DORA-forordningens anvendelse af samme begreber.
Det foreslåede § 333 a angiver de centrale foranstaltninger, som en operatør af digital finansiel infrastruktur vil skulle foretage i forhold til styring af it- og cyberrisici som følge af artikel 21, stk. 1-3, i NIS 2-direktivet. Foranstaltningerne vil skulle indgå i en overordnet forvaltnings- og kontrolramme. Den foreslåede bestemmelse implementerer artikel 21, stk. 1-3, i NIS 2-direktivet. Bestemmelsen er tilpasset de supplerende krav i §§ 333 d og 333 h, som er harmoniseret med kravene i artikel 6 i DORA-forordningen.
Den foreslåede bestemmelse vil indebære, at en operatør af finansiel digital infrastruktur skal have en forvaltnings- og kontrolramme til styring af it- og cyberrisici, der skal forebygge it- og cybersikkerhedshændelser og minimere en hændelses indvirkning på de tjenester, som operatøren leverer. Kravet til de foranstaltninger, som en operatør af finansiel digital infrastruktur skal træffe som led i en forvaltnings- og kontrolramme, fremgår nærmere af stk. 2 og 3. Efter det foreslåede vil dette skulle gøres med henblik på at sikre, at foranstaltningerne valideres og tager højde for identificerede trusler og sårbarheder.
Bestemmelsen implementerer artikel 21, stk. 1, 1. afsnit, i NIS 2-direktivet.
Overtrædelse af § 333 a, stk. 1, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er en operatør af finansiel digital infrastruktur. Den strafbare handling vil f.eks. bestå i ikke at have fastsat en ramme for styring af it- og cyberrisici.
Det foreslås i § 333 a, stk. 2, at en operatør af finansiel digital infrastruktur som led i rammen for styring af it- og cyberrisici skal træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risici for sikkerheden i net- og informationssystemer.
Med passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger forstås, at foranstaltningerne skal være tilstrækkelige i forhold til de risici, som operatøren af finansiel digital infrastruktur er udsat for, og betydningen af de forretningsfunktioner, som foranstaltningerne tilsigter at beskytte. Operatøren skal bl.a. tage hensyn til sandsynligheden for en hændelse og konsekvenserne heraf set i forhold til de tjenester, som operatøren leverer.
De omhandlende foranstaltninger skal baseres på den risikovurdering, som virksomheden skal udarbejde i overensstemmelse med den foreslåede § 333 d, stk. 2, i lov om finansiel virksomhed. De nærmere krav til, hvad foranstaltninger skal omfatte, følger af det foreslåede § 333 a, stk. 3, i lov om finansiel virksomhed.
Bestemmelsen implementerer artikel 21, stk. 1, i NIS 2-direktivet.
Overtrædelse af § 333 a, stk. 2, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er en operatør af finansiel digital infrastruktur. Den strafbare handling vil f.eks. bestå i ikke at have iværksat tekniske, operationelle og organisatoriske foranstaltninger for at styre risici for sikkerheden i net- og informationssystemer. Den strafbare handling kan også bestå i at have indført foranstaltninger, som ikke er tilstrækkelige til beskyttelse af de forretningsfunktioner som foranstaltningerne skal beskytte.
Det foreslås i § 333 a, stk. 3, at foranstaltninger nævnt i stk. 2 skal omfatte følgende.
Den foreslåede bestemmelse vil fastsætte de foranstaltninger, som en operatør af finansiel digital infrastruktur som minimum skal træffe i henhold til NIS 2-direktivet.
Der henvises derudover til lovforslagets §§ 333 b - 333 l, hvor de konkrete foranstaltninger er yderligere præciseret. Opregningen af foranstaltninger skal desuden ses i sammenhæng med forpligtelserne i kapitel II, i DORA-forordningen.
Den foreslåede bestemmelse vil implementere artikel 21, stk. 2, i NIS 2-direktivet.
Det foreslås i § 333 a, stk. 3, nr. 1, at foranstaltninger nævnt i stk. 2 skal omfatte politikker for risikoanalyse og informationssystemssikkerhed, jf. § 333 d.
Med den foreslåede bestemmelse vil en operatør af finansiel digital infrastruktur skulle udarbejde politikker, der fastsætter nærmere retningslinjer for den risikoanalyse, som operatøren skal foretage med passende mellemrum i henhold til det foreslåede § 333 d, stk. 2. I forbindelse hermed skal operatøren identificere og vurdere alle væsentlige it- og cyberrisici, som operatøren og dennes ydelser er eksponeret for. Analysen skal gøre det muligt for operatøren at fastsætte eller revurdere rammen for it- og risikostyring og træffe passende og forholdsmæssige foranstaltninger i forbindelse hermed.
Desuden vil operatøren af finansiel digital infrastruktur skulle fastsætte en politik for sikkerheden i informationssystemer til beskyttelse af sådanne systemer mod bl.a. systemfejl, menneskelige fejl og udefrakommende hændelser. Forpligtelsen er yderligere præciseret i det foreslåede § 333 e, stk. 5, hvoraf fremgår, at operatøren skal udforme og gennemføre it-sikkerhedspolitikker, -procedurer, -protokoller og -værktøjer, der er egnede til at sikre modstandsdygtighed, stabilitet og tilgængelighed for it-systemer, der understøtter kritiske eller vigtige funktioner og til at opretholde et højt niveau af tilgængelighed, autenticitet, integritet og fortrolighed af data.
Den foreslåede bestemmelse vil implementere artikel 21, stk. 2, litra a, i NIS 2-direktivet.
Det foreslås i § 333 a, stk. 3, nr. 2, at foranstaltninger nævnt i stk. 2 skal omfatte håndtering af hændelser, jf. § 333 f.
Den foreslåede bestemmelse vil skulle ses i forhold til kravet om styring og indberetning af it- og cyberhændelser i medfør af det foreslåede § 333 f i lov om finansiel virksomhed. Det fremgår således af det foreslåede § 333 f, stk. 1, at en operatør af finansiel digital infrastruktur skal fastlægge og gennemføre en proces for overvågning, styring og indberetning af it- og cyberhændelser. Der henvises i det hele til den foreslåede bestemmelse i § 333 f og de specielle bemærkninger hertil.
Den foreslåede bestemmelse vil implementere artikel 21, stk. 2, litra b, i NIS 2-direktivet.
Det foreslås i § 333 a, stk. 3, nr. 3, at foranstaltninger nævnt i stk. 2 skal omfatte driftskontinuitet, herunder backup-styring og reetablering efter større hændelser og krisestyring, jf. § 333 e, stk. 7.
Den foreslåede bestemmelse skal ses i sammenhæng med de foreslåede bestemmelser til § 333 e, stk. 7 og 8, i lov om finansiel virksomhed, vedrørende politik og foranstaltninger for it-driftsstabilitet og krisestyring, § 333 e, stk. 9, i lov om finansiel virksomhed, vedrørende sikkerhedskopiering, gendannelse og genopretning, samt § 333 e, stk. 12, i lov om finansiel virksomhed, vedrørende krisekommunikation.
Den foreslåede bestemmelse vil implementere artikel 21, stk. 2, litra c, i NIS 2-direktivet.
Det foreslås i § 333 a, stk. 3, nr. 4, at foranstaltninger nævnt i stk. 2 skal omfatte forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem operatøren af finansiel digital infrastruktur og dens direkte leverandører eller tjenesteudbydere, jf. §§ 333 h–333 j.
De nærmere regler om en operatør af finansiel digital infrastrukturs brug af it-tjenester fra tredjeparter er nærmere reguleret i de foreslåede bestemmelser til §§ 333 h-333 j, i lov om finansiel virksomhed. Bestemmelserne i de foreslåede § 333 h, stk. 9-13, i lov om finansiel virksomhed indeholder regler om exitstrategier, hvoraf det f.eks. fremgår af § 333 h, stk. 11, at en operatør skal sikre, at den kan opsige kontraktlige ordninger, uden at dens forretningsaktiviteter afbrydes, efterlevelsen af de lovgivningsmæssige krav begrænses, og kontinuiteten og kvaliteten af de leverede tjenester til kunder lider skade. Der henvises derudover til det foreslåede § 333 h, stk. 1, 3 og 4, i lov om finansiel virksomhed, der indeholder nærmere bestemmelser om en operatør af finansiel digital infrastrukturs styring af de it- og cyberrisici, der er relateret til brugen af it-tjenester fra tredjeparter.
Den foreslåede bestemmelse skal endvidere ses i sammenhæng med det foreslåede § 333 a, stk. 4, i lov om finansiel virksomhed, der supplerer kravene til risikostyring i forbindelse med it-tredjepartsleverandører.
Der henvises nærmere til forslagene til §§ 333 h-333 j og de specielle bemærkninger hertil.
Den foreslåede bestemmelse vil implementere artikel 21, stk. 2, litra d, i NIS 2-direktivet.
Det foreslås i § 333 a, stk. 3, nr. 5, at foranstaltninger nævnt i stk. 2 skal omfatte sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder, jf. § 333 e, stk. 2.
Der henvises derudover til det foreslåede § 333 e, stk. 4, i lov om finansiel virksomhed, at en operatør af finansiel digital infrastruktur skal overvåge og kontrollere it-systemernes og it-værktøjernes funktion og sikkerhed og minimere virkningerne af it- og cyberrisici ved at indføre passende sikkerhedsværktøjer, -politikker og -procedurer. På samme vis indebærer den foreslåede stk. 3, nr. 5, at en operatør skal have foranstaltninger, for overvågning og kontrol af sikkerheden, når operatøren erhverver net- og informationssystemer, udvikler på systemerne og foretager vedligeholdelse heraf.
Erhvervelse af net- og informationssystemer, der endnu ikke er fuldt integreret i operatørens øvrige systemer, herunder systemer til overvågning og kontrol af it-systemernes funktion og sikkerhed og funktioner, der skal minimere virkningerne af it- og cyberrisici, vil som oftest være mere sårbare i forhold til operatørens øvrige systemer. Det samme gælder i forbindelse med udvikling og vedligeholdelse af systemerne, der for en tid kan bevirke, at det pågældende system frakobles de øvrige systemer. Derfor er det vigtigt, at operatøren udarbejder foranstaltninger til håndteringen af sårbarheder i forbindelse hermed og offentliggørelsen heraf, så operatørens kunder er bevidste om, at der f.eks. kan forekomme perioder med udfald eller perioder, hvor et givent system midlertidigt er nede.
Forslaget vil indebære, at operatøren af finansiel digital infrastruktur forpligtes til at håndtere og offentliggøre sårbarheder efter principper for koordineret og ansvarlig offentliggørelse. Dette omfatter brug af kanaler for koordineret offentliggørelse, hvilket vil indebære involvering af relevante leverandører, og at sårbarhederne som udgangspunkt skal være udbedret før de offentliggøres. Der findes systemer for rapportering og offentliggørelse af sårbarheder, som kan anvendes af alle, og visse leverandører har egne praksisser for dette. De tværsektorielle samarbejder, som kan oprettes i henhold til DORA-forordningen, og som operatører af finansielle digitale infrastrukturer og andre leverandører kan deltage i, vil kunne danne rammer for udveksling af information om sårbarheder og anden relevant trusselsinformation.
Den foreslåede bestemmelse vil implementere artikel 21, stk. 2, litra e, i NIS 2-direktivet.
Det foreslås i § 333 a, stk. 3, nr. 6, at de i stk. 2 omhandlede foranstaltninger skal omfatte politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici, jf. § 332, stk. 10, og § 333.
Den foreslåede bestemmelse vil indebære, at en operatør af finansiel digital infrastruktur skal have politikker og procedurer, der sikrer, at infrastrukturen vurderer effektiviteten af de tekniske, operationelle og organisatoriske foranstaltninger til styring af bl.a. cybersikkerhedsrisici, som operatøren har truffet i medfør af forslaget til § 333 a, stk. 2, i lov om finansiel virksomhed.
Den foreslåede bestemmelse vil implementere artikel 21, stk. 2, litra f, i NIS 2-direktivet.
Det foreslås i § 333 a, stk. 3, nr. 7, at foranstaltninger nævnt i stk. 2 skal omfatte grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse, jf. § 333 b, stk. 7, og § 333 e, stk. 4 og 11.
Den foreslåede bestemmelse vil indebære, at en operatør af finansiel digital infrastruktur skal indføre cyberhygiejnepraksisser såsom sikkerhedsopdateringer, sikker konfiguration af enheder hos brugere, netværkssegmentering, identitets- og adgangsstyring og brugerbevidsthed. Desuden vil en operatør skulle arrangere kurser for deres personale for at højne bevidstheden om cybertrusler og sikker adfærd for at imødegå f.eks. phishing og social engineering-teknikker.
Den foreslåede bestemmelse vil implementere artikel 21, stk. 2, litra g, i NIS 2-direktivet.
Det foreslås i § 333 a, stk. 3, nr. 8, at foranstaltninger nævnt i stk. 2 skal omfatte politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering.
Den foreslåede bestemmelse vil indebære, at en operatør af finansiel digital infrastruktur skal anvende kryptering, hvor det er relevant og muligt. Normalt sondres mellem lagret data, data under overførsel og data i brug. Data under overførsel og lagrede data bør krypteres, hvis en risikovurdering tilsiger det, hvilket næsten altid vil være tilfældet med data under overførsel og i mange tilfælde også for lagrede data, mens data i brug i de fleste tilfælde ikke vil kunne krypteres.
Den foreslåede bestemmelse vil implementere artikel 21, stk. 2, litra h, i NIS 2-direktivet.
Det foreslås i § 333 a, stk. 3, nr. 9, at de i stk. 2 omhandlede foranstaltninger skal omfatte personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver.
Personalesikkerhed vil omfatte foranstaltninger, der træffes for at sikre at systemer m.v. kun er tilgængelige for personer, der har behov for det og som er godkendt til det, herunder fysisk og logisk adgangskontrol, både for almindelige brugere og brugere med udvidede rettigheder, herunder brugere med administratorrettigheder. Politikker og procedurer kan endvidere efter det foreslåede specificere, hvordan brugerkonti oprettes og nedlægges ved personaleændringer og regler om baggrundstjek af personer, der påtænkes ansat.
Fysisk adgangskontrol har til formål at forhindre at uautoriseret personel får adgang til operatøren af finansiel digital infrastrukturs it-systemer, hvilket kan skabe risiko for kompromittering af it- og cybersikkerheden. På samme vis, skal operatøren indføre foranstaltninger til forvaltning af it-aktiver, herunder data, software og hardware. Sidstnævnte kan f.eks. være foranstaltninger, der mindsker risikoen for tyveri af it-aktiver m.v., såsom bærbare computere.
Den foreslåede bestemmelse vil implementere artikel 21, stk. 2, litra i, i NIS 2-direktivet.
Det foreslås i § 333 a, stk. 3, nr. 10, at foranstaltninger nævnt i stk. 2 skal omfatte brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt hos operatøren, hvor det er relevant.
Den foreslåede bestemmelse vil implementere artikel 21, stk. 1, litra j, i NIS 2-direktivet.
Det foreslås i § 333 a, stk. 4, 1. pkt., at en operatør af finansiel digital infrastruktur, når den overvejer foranstaltninger omhandlet i stk. 3, nr. 4, skal tage hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder, og den generelle kvalitet af deres leverandørers og tjenesteudbyderes produkter og cybersikkerhedspraksis, herunder sikkerheden i deres udviklingsprocedurer.
Den foreslåede bestemmelse vil supplere den foreslåede § 333 a, stk. 3, nr. 4, og bestemmelserne om styring af tredjepartsrisici i §§ 333 h, 333 i og 333 j, og vil implementere artikel 21, stk. 3, 1. pkt.
Det foreslås i § 333 a, stk. 4, 2. pkt., at en operatør af finansiel digital infrastruktur ved vurderingen skal tage hensyn til resultaterne af de koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder, der foretages i overensstemmelse med artikel 22, stk. 1, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, hvor det er relevant og hvor resultaterne af sådanne vurderinger foreligger.
Det foreslåede skal ses i sammenhæng med NIS 2-direktivets artikel 22, stk. 1, der giver mulighed for at foranstalte koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder på EU-plan. Vurderingerne foretages af samarbejdsgruppen, som oprettes i medfør af NIS 2-direktivets artikel 14, i samarbejde med Kommissionen og ENISA.
Samarbejdsgruppen kan, i samarbejde med Kommissionen og ENISA, foretage koordinerede sikkerhedsrisikovurderinger af specifikke kritiske IKT-tjenester, -systemer eller -produktforsyningskæder under hensyntagen til både tekniske og ikke-tekniske risikofaktorer.
Hensyntagen til de ovennævnte risikovurderinger vil kun være relevante i situationer, hvor den konkrete, påtænkte leverandør har været genstand for en sådan vurdering eller har relation til andre leverandører eller forsyningskæder, som har været genstand for en koordineret sikkerhedsrisikovurdering.
DORA-forordningens indeholder krav til it-risikostyring.
Det foreslås i § 333 b, stk. 1, at det øverste ledelsesorgan i en operatør af finansiel digital infrastruktur skal fastlægge, godkende, føre tilsyn med og har ansvaret for gennemførelsen af operatørens rammer, foranstaltninger og ordninger for it- og cyberrisikostyring. Det øverste ledelsesorgan skal godkende en strategi for digital operationel modstandsdygtighed, hvormed rammerne for it- og cyberrisikostyring gennemføres.
Den foreslåede bestemmelse vil indebære, at det øverste ledelsesorgan i operatøren af finansiel digital infrastruktur skal fastlægge og godkende rammer, foranstaltninger og ordninger for it- og cyberrisikostyring, der skal forebygge og minimere de it- og cyberrisici, som operatøren udsættes for. For at det øverste ledelsesorgan skal kunne godkende en ramme, foranstaltninger og ordninger for it- og cyberrisici, vil det øverste ledelsesorgan også skulle være bekendt med operatørens væsentligste it- og cyberrisici. Det øverste ledelsesorgan kan f.eks. opnå viden herom ved regelmæssig rapportering fra operatørens it- og cyberrisikostyringsfunktioner.
Det øverste ledelsesorgan skal endvidere godkende en strategi for digital operationel modstandsdygtighed, der fastsætter, hvordan operatørens rammer for it- og cyberrisikostyring gennemføres.
Desuden skal det øverste ledelsesorgan føre tilsyn med operatørens rammer, foranstaltninger og ordninger for it- og cyberrisikostyring.
Det foreslåede § 333 b, stk. 1, vil indebære, at det øverste ledelsesorgan skal gennemføre en ordning, hvormed det øverste ledelsesorgan regelmæssigt modtager rapportering fra den uafhængige kontrolfunktion, der skal føre internt tilsyn med operatørens styring af sine it- og cyberrisici, jf. det foreslåede til § 333 b, stk. 2, i lov om finansiel virksomhed. Forpligtelse til at modtage rapportering følger af det foreslåede § 333 b, stk. 2.
Drives en operatør af finansiel digital infrastruktur som en juridisk person med en bestyrelse, vil det være bestyrelsen, der er ansvarlig for at fastlægge, godkende, føre tilsyn med og gennemføre operatørens rammer, foranstaltninger og ordninger for it- og cyberrisikostyring. Er der tale om en juridisk person uden en bestyrelse, er det det pågældende øverste ledelsesorgan, der er ansvarlig herfor. Drives operatøren af finansiel digital infrastruktur som en enkeltmandsvirksomhed, er det indehaveren, der er ansvarlig som det øverste ledelsesorgan.
Det foreslåede § 333 b, stk. 1, vil implementere artikel 20, stk. 1, i NIS 2-direktivet. Den foreslåede § 333 b, stk. 1, er dog ikke en tekstnær implementering af artikel 20, stk. 1, da den også indeholder dele af DORA-forordningens artikel 5, stk. 2, hvorfor den bl.a. også indeholder skærpede krav om, at det øverste ledelsesorgan skal godkende en strategi for digital operationel modstandsdygtighed.
Overtrædelse af § 333 b, stk. 1, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den foreslåede ændring af § 373, stk. 2, i lov om finansiel virksomhed, som affattet ved lovforslagets § 1, nr. 49. Ansvarssubjektet er det det øverste ledelsesorgan i operatøren af finansiel digital infrastruktur, hvilket enten kan være bestyrelsen, direktionen, hvis der er tale om en juridisk person uden en bestyrelse, eller indehaveren, hvis der er tale om en enkeltmandsvirksomhed. Den strafbare handling vil f.eks. bestå i, at bestyrelsen eller ledelsesorganet ikke har fastlagt og godkendt operatørens rammer, foranstaltninger og ordninger for it- og cyberrisikostyring eller ikke fører tilsyn hermed.
Det foreslås i § 333 b, stk. 2, at tilsynet med operatørens styring af sine it- og cyberrisici skal placeres i uafhængige kontrolfunktioner. Operatøren skal sikre adskillelse og uafhængighed mellem it- og cyberrisikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner efter modellen med tre forsvarslinjer eller en intern model for risikostyring og kontrol.
Den foreslåede bestemmelse vil indebære, at den interne revision, der skal forestå tilsynet med it- og cyberrisici, skal være uafhængigt af den daglige ledelse og andre driftsfunktioner i virksomheden. Det er tilsigtet med den foreslåede bestemmelse at undgå interessekonflikter mellem f.eks. den daglige ledelse og den interne revision, der kan påvirke den interne revisions vurderinger og beslutninger. Det vil bl.a. kunne være i forhold til at revidere operatørens ramme for styring af it- og cyberrisici, som den interne revision er forpligtet til, jf. forslaget til § 333 b, stk. 4, i lov om finansiel virksomhed. Af samme årsag er det også vigtigt, at operatøren af finansiel digital infrastruktur sikrer adskillelse og uafhængighed mellem it- og cyberrisikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner efter modellen med tre forsvarslinjer, eller en intern model som sikrer et tilsvarende beskyttelsesniveau, jf. DORA-forordningens artikel 6, stk. 4. Modellen med tre forsvarslinjer harmonerer med de krav til funktionsadskillelse, der stilles til virksomheder på det finansielle område.
For at en intern model for risikostyring og kontrol kan anerkendes efter bestemmelsen, skal modellen mindst sikre et niveau af beskyttelse og uafhængighed, som svarer til en model med 3 uafhængige forsvarslinjer.
Overtrædelse af § 333 b, stk. 2, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den foreslåede ændring af § 373, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil f.eks. bestå i at der ikke findes tre forsvarslinjer med en klar adskillelse af risikostyring, kontrolfunktion og den interne revisionsfunktion. Den strafbare handling kan også bestå i ikke at have en intern model, der sikrer samme niveau af beskyttelse som modellen med tre forsvarslinjer.
Det foreslås i § 333 b, stk. 3, at en operatør skal dokumentere og gennemgå rammen efter § 333 a mindst en gang om året, samt når der forekommer større it- eller cyberhændelser, eller som følge af observationer efter test eller revisioner. Gennemgang efter 1. pkt. skal ligeledes foretages efter anmodning fra Finanstilsynet. Gennemgangen af rammen skal operatøren kunne dokumentere i en samlet rapport.
Den foreslåede bestemmelse vil indebære, at operatøren af finansiel digital infrastruktur løbende skal dokumentere og gennemgå sin ramme for styring af it- og cyberrisici på baggrund af de erfaringer, som operatøren gør sig. Den foreslåede bestemmelse vil også indebære, at operatøren mindst én gang om året skal gennemgå rammen, og at dette dokumenteres i en samlet rapport. Den foreslåede bestemmelse vil ligeledes indebære, at operatøren skal foretage gennemgangen i henhold til 1. pkt., hvis Finanstilsynet anmoder herom.
Det foreslås i § 333 b, stk. 4, 1. pkt., at en operatørs interne revision regelmæssigt skal revidere rammen for styring af it- og cyberrisici.
Den foreslåede bestemmelse vil indebære, at den interne revision bl.a. på baggrund af sit kendskab til operatørens væsentligste it- og cyberrisici og sit tilsyn med styringen heraf, jf. det foreslåede § 333 b, stk. 2, 1. pkt., regelmæssigt skal revidere rammen for styring af it- og cyberrisici.
Det foreslås i § 333 b, stk. 4, 2. pkt., at den interne revision skal have tilstrækkelige viden, faglig kompetence og ekspertise til udførelsen af denne opgave.
Den foreslåede bestemmelse vil indebære, at den interne revision skal have tilstrækkelig viden, faglig kompetence og ekspertise til at kunne revidere operatørens ramme for styring af it- og cyberrisici. Det betyder, at den interne revision både uddannelsesmæssigt og erfaringsmæssigt skal have tilstrækkelig ekspertise til at kunne udføre opgaven. Det vil også betyde, at den interne revision løbende bør holde sig opdateret på cybertrusler og nye tiltag for at mindske it- og cyberrisici for også på den måde at kunne vurdere, om der evt. skal ske ændringer af operatørens ramme for styring af it- og cyberrisici.
Overtrædelse af § 333 b, stk. 4, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil f.eks. bestå i ikke at foretage regelmæssig intern revision af rammerne for styring af it- og cyberrisici. Den strafbare handling kan også bestå i ikke at have sikret den interne revisions kompetenceniveau.
Det foreslås i § 333 b, stk. 5, at en operatør skal oprette en funktion med henblik på overvågning af ordninger, der er indgået med tredjepartsudbydere om it-ydelser, eller udpege et direktionsmedlem som ansvarlig for tilsyn og dokumentation i forbindelse med eksponering for it- og cyberrisici fra tredjepartsudbydere.
Den foreslåede bestemmelse vil medføre, at operatøren skal oprette en funktion til overvågning af ordninger om outsourcing af it-funktioner. Den foreslåede bestemmelse vil bl.a. have til formål at sikre, at en operatør af finansiel digital infrastruktur ved overvågning af disse ordninger får et overblik over de risici, der kan opstå fra tredjepartsudbydere af it-ydelser. Dette både i forhold til at kunne vurdere, om tredjepartsudbyderen skal foretage sig yderligere for at mindske en given risiko, men også for selv at kunne træffe de nødvendige foranstaltninger til at kunne styre disse risici, jf. forslaget til § 333 h, stk. 1, og hermed sikre operatørens modstandsdygtighed.
Funktionen vil efter den foreslåede bestemmelse også kunne forankres ved udpegning af et medlem af operatørens direktion, som er ansvarlig for tilsyn og dokumentation i forbindelse med tredjepartsrisici på det digitale operationelle område.
Overtrædelse af § 333 b, stk. 5, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil f.eks. bestå i ikke at overvåge ordninger med tredjepartsudbydere om it-ydelser, eller i ikke at føre tilsyn med og sikre dokumentation for de it- og cyberrisici som ordningen indebærer.
Det foreslås i § 333 b, stk. 6, at en operatør skal oprette en funktion til krisestyring, som skal håndtere større it- og cyberhændelser, der medfører aktivering af beredskabsplaner, forretningskontinuitetsplaner eller genopretningsplaner, Krisestyringsfunktionen har ansvaret for kommunikation efter 1. pkt.
Den foreslåede bestemmelse vil indebære, at operatøren af finansiel digital infrastruktur skal oprette en funktion til krisestyring i tilfælde af større it- og cyberhændelser, hvor det er nødvendigt enten at aktivere operatørens beredskabsplaner, forretningskontinuitetsplaner eller genopretningsplaner. I den forbindelse vil funktionen til krisestyring være ansvarlig for håndteringen af den pågældende it- eller cyberhændelse. Funktionen vil også skulle sikre en konsekvent håndtering af hændelsen, jf. forslaget til § 333 f, stk. 2, alt efter om det er en beredskabsplan, forretningskontinuitetsplan eller genopretningsplan, der bliver aktiveret.
Desuden vil den foreslåede bestemmelse indebære, at funktionen til krisestyring skal være ansvarlig for krisekommunikation i forbindelse med en it- eller cyberhændelse. Det gælder både intern kommunikation til personalet i de forskellige funktioner hos operatøren, men også eksternt i forhold til kunder og modparter og offentligheden, alt efter hvad der er relevant.
Den foreslåede bestemmelse vil ligeledes indeholde krav, der er tilsvarende til de krav, der følger af artikel 11, stk. 7, i DORA-forordningen.
Overtrædelse af § 333 b, stk. 6, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil f.eks. bestå i, at operatøren ikke opretter en funktion til krisestyring.
Det foreslås i § 333 b, stk. 7, at medlemmerne af det øverste ledelsesorgan operatøren aktivt skal vedligeholde den viden og de færdigheder, der er nødvendige for at forstå og vurdere it- og cyberrisici og disses indvirkning på driften af operatøren, herunder ved regelmæssigt at følge undervisning, som er passende i forhold til de it- og cyberrisici, som operatøren og dens kunder er eksponeret for.
Den foreslåede bestemmelse vil indebære, at medlemmerne af en operatør af finansiel digital infrastrukturs øverste ledelsesorgan aktivt skal sørge for at tilegne sig viden og færdigheder, der er nødvendige for at forstå og vurdere it- og cyberrisici, og den indvirkning de har på driften af operatøren. Dette vil skulle ske ved bl.a. at følge undervisning om it- og cyberrisici i henhold til et niveau svarende til de it- og cyberrisici, som operatøren og dens kunder er eksponeret for. Derudover kan det f.eks. være nødvendigt at opnå viden om et aktuelt trusselsbillede, der kan have indflydelse på operatørens it- og cyberrisici, eller viden om de risici som tredjeparter af it-ydelser er eksponeret for, som også kan have betydning for operatørens it- og cyberrisici.
Den foreslåede bestemmelse vil implementere NIS 2-direktivets artikel 20, stk. 2, og vil indebære en harmonisering af reglerne for uddannelse og kompetenceudvikling af medlemmer af det øverste ledelsesorgan for operatører af finansielle digitale infrastrukturer med de tilsvarende regler for virksomheder omfattet af reglerne i artikel 5, stk. 4, i DORA-forordningen.
Virksomheder på det finansielle område, der er omfattet af DORA-forordningen, kan i henhold til artikel 6, stk. 10, i forordningen outsource opgaver, der er forbundet med efterprøvning af deres overholdelse af forordningens krav til it- og cyberrisikostyring til eksterne virksomheder med det forbehold, at virksomhederne stadig er fuldt ud ansvarlige for efterprøvningen og overholdelsen af forordningens krav.
Det foreslås i § 333 c, at en operatør af en finansiel digital infrastruktur skal dokumentere anvendelsen af sin ramme for styring af it- og cyberrisici på leverancer, der er nødvendige for kritiske og vigtige funktioner hos kunder, såfremt operatøren er datacentral for virksomheder, som er omfattet af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Datacentral vil skulle forstås som en virksomhed, hvis væsentligste aktiviteter omfatter it-drifts- eller udviklingsopgaver for flere finansielle virksomheder, forsikringsselskaber, finansielle holdingvirksomheder, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder.
Den foreslåede bestemmelse har til formål at fremme samarbejdet mellem operatører af finansielle digitale infrastrukturer og virksomheder på det finansielle område, der er omfattet af DORA-forordningen, jf. artikel 2 i forordningen.
Den foreslåede bestemmelse vil medføre, at en operatør af finansiel digital infrastruktur skal dokumentere sin anvendelse af sin ramme for styring af it- og cyberrisici i forhold til leverancer, der er nødvendige for kritiske og vigtige funktioner hos virksomheder omfattet af DORA-forordningen. Denne dokumentation skal medvirke til at gøre det tydeligt for kundevirksomheder, om operatøren af finansiel digital infrastruktur lever op til de krav for it- og cyberrisikostyring, som gælder for virksomheder omfattet af DORA-forordningen. En operatørs dokumentation for sin anvendelse af rammen for styring af it- og cyberrisici, vil derfor gøre det nemmere for kundevirksomheder omfattet af DORA-forordningen løbende at føre tilsyn med, om operatøren lever op til de krav til styring af it- og cybersikkerhed, som kunden har stillet mhp. at efterleve DORA-forordningen.
Bestemmelsen gælder kun for operatører, der varetager væsentlige it-driftsopgaver, herunder systemadministration m.v., for finansielle enheder som er omfattet af DORA-forordningen. Således gælder bestemmelsen for fælles datacentraler og lignende, som har tilsluttede kundevirksomheder for hvilke DORA-forordningen finder anvendelse. Bestemmelsen gælder ikke andre operatører af finansiel digital infrastruktur, f.eks. it-operatører af detailbetalingssystemer.
DORA-forordningens artikel 6 fastsætter krav om en ramme for it-risikostyring.
Det foreslås i § 333 d, stk. 1, at den ramme for it- og cyberrisikostyring, som en operatør af finansiel digital infrastruktur skal have, jf. § 333 a, skal omfatte en overordnet strategi for digital operationel modstandsdygtighed, der fastsætter, hvordan rammen skal gennemføres.
Den foreslåede bestemmelse vil medføre, at en operatør af finansiel digital infrastruktur skal have en strategi for digital operationel modstandsdygtighed, ligesom virksomheder på det finansielle område er forpligtede til i henhold til artikel 6, stk. 8, i DORA-forordningen. Kravene i henhold til den foreslåede bestemmelse vil derfor skulle forstås i overensstemmelse med artikel 6, stk. 8 i DORA-forordningen. Strategien skal konkretisere risikostyringsrammerne ved at fastsætte mål og metoder m.v. i forbindelse med anvendelsen af rammen for it- og cyberrisikostyring, der skal forebygge it- og cybersikkerhedshændelser og minimere en hændelses indvirkning på de tjenester, som operatøren leverer.
Overtrædelse af § 333 d, stk. 1, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil bestå i ikke at have en strategi for digital operationel modstandsdygtighed, der konkretiserer risikostyringsrammen ved at fastsætte mål og metoder for anvendelsen af rammen for it- og cyberrisikostyring.
Det foreslås i § 333 d, stk. 2, at operatøren med passende mellemrum skal identificere og vurdere alle væsentlige it- og cyberrisici, som operatøren og dennes ydelser er eksponeret for.
Den foreslåede bestemmelse vil medføre, at en operatør af finansiel digital infrastruktur skal foretage identifikation og vurdering af alle væsentlige it- og cyberrisici, som kan påvirke operatøren og de ydelser som operatøren leverer. Kravet om identifikation og vurdering af de væsentlige risici skal ses i sammenhæng med kravet om at fastsætte en ramme for it- og cyberrisikostyring, jf. den foreslåede § 333 a, stk. 1, og kravet i det foreslåede stk. 1 om at fastsætte en strategi for digital operationel modstandsdygtighed. For at kunne opfylde disse krav er det en forudsætning, at operatøren kender karakteren og omfanget af de væsentlige it- og cyberrisici, som den er eksponeret for.
Da risikobilledet løbende ændrer sig, er det nødvendigt, at operatøren af finansiel digital infrastruktur foretager en identifikation og vurdering af risici med passende mellemrum for på baggrund heraf at kunne tilpasse rammen og den overordnede strategi for digital operationel modstandsdygtighed. Det vil derfor konkret afhænge af operatørens størrelse, kundegrundlag og betydningen af de tjenester, som operatøren leverer for det finansielle system, hvilke intervaller for risikoidentifikation og vurdering, der anses for passende.
Overtrædelse af § 333 d, stk. 2, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil bestå i ikke at have identificeret væsentlige it- og cyberrisici som både operatøren, men også de ydelser som infrastrukturen leverer, er eksponeret for.
Det foreslås i § 333 d, stk. 3, at rammen for it- og cyberrisikostyring som minimum skal omfatte strategier, politikker, procedurer, og foranstaltninger, som er nødvendige for at beskytte al fysisk og digital infrastruktur og data i overensstemmelse med de identificerede risici, herunder software, hardware, servere, netværk og relaterede fysiske komponenter og infrastrukturer, såsom lokaler, datacentre og sensitive udpegede områder mod risici.
Den foreslåede bestemmelse stiller minimumskrav til indholdet af risikostyringsrammen hos en operatør af finansiel digital infrastruktur og genstandsområdet for dennes foranstaltninger til risikostyring, herunder den fysiske og digitale infrastruktur. Hvor udformningen af strategien vil skulle anvendes til at konkretisere risikostyringsrammerne ved bl.a. at fastsætte mål og metoder herfor, vil politikker og procedurer skulle anvendes til at fastsætte nærmere regler på et mere konkret niveau f.eks. grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse.
Beskyttelsen af digital infrastruktur vil typisk bestå i at beskytte mod cyberangreb og uautoriseret digital adgang til systemerne. Beskyttelsen af fysisk infrastruktur, såsom hardware og servere består f.eks. i at beskytte systemerne mod skader som følge af f.eks. brand eller oversvømmelse samt mod uautoriseret fysisk adgang.
Overtrædelse af § 333 d, stk. 3, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil f.eks. bestå i ikke at overholde minimumskravene til indholdet af risikostyringsrammen.
DORA-forordningens artikel 9 indeholder krav til virksomhedernes beskyttelse og forebyggelse.
Det foreslås i § 333 e, stk. 1, at en operatør af finansiel digital infrastrukturs it-systemer, it-protokoller og it-værktøjer skal være pålidelige og med tilstrækkelig kapacitet til rettidigt at håndtere de nødvendige transaktioner m.v. i situationer med spidsbelastning, herunder uventet høje spidsbelastninger.
Den foreslåede bestemmelse vil fastsætte en forpligtelse til, at kapaciteten i operatøren af den digitale infrastrukturs it-systemer skal kunne håndtere spidsbelastninger, der står i rimeligt forhold til operatørens størrelse og risiko. It-systemerne skal være pålidelige nok til at sikre, at de i tilstrækkelig grad kan håndtere yderligere behandlingsrelaterede behov som følge af stressede markedsforhold eller andre vanskelige situationer.
Overtrædelse af § 333 e, stk. 1, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil f.eks. bestå i ikke at have it-systemer, it-protokoller og it-værktøjer, der er pålidelige og kan håndtere situationer med uventet høj belastning.
Det foreslås i § 333 e, stk. 2, at en operatør løbende skal identificere alle kritiske eller vigtige forretningsfunktioner og it-aktiver, herunder it-aktiver, der understøtter kritiske og vigtige forretningsfunktioner for operatørens kunder.
Den foreslåede bestemmelse vil medføre, at operatører af finansielle digitale infrastrukturer løbende skal identificere alle kritiske forretningsfunktioner og it-aktiver. Det gælder bl.a. de it-aktiver, der understøtter kritiske og vigtige forretningsfunktioner hos operatørens kunder. Kravet om løbende identifikation af disse forretningsfunktioner og it-aktiver vil være med til at sikre, at operatøren kontinuerligt kan forebygge, opdage, reagere på og reetablere sig efter hændelser og til at afbøde deres indvirkning ved et cyberangreb.
Overtrædelse af § 333 e, stk. 2, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 373, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil f.eks. bestå i ikke at have identificeret kritiske forretningsfunktioner og it-aktiver, herunder dem der understøtter kritiske og vigtige funktioner for deres kunder.
Det foreslås i § 333 e, stk. 3, at en operatør skal identificere alle kritiske eller vigtige forretningsprocesser og tjenester, der er afhængige af eksterne leverandører, og dokumentere egne og kunders afhængigheder af ydelser fra underleverandører.
Den foreslåede bestemmelse vil skulle være med til at sikre både operatøren af finansiel infrastruktur og dens kunder mod tredjepartsrisici. For at forebygge, opdage og kunne reagere på og reetablere sig efter hændelser, samt afbøde deres indvirkning, vil operatøren skulle identificere alle kritiske eller vigtige forretningsprocesser og tjenester, der er afhængige af eksterne leverandører, og dokumentere egne og kunders afhængigheder af ydelser fra underleverandører.
Overtrædelse af § 333 e, stk. 3, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil bestå i ikke at have identificeret kritiske forretningsfunktioner og it-aktiver, som er afhængige af eksterne leverandører, og ikke at dokumentere egne og kundernes afhængighed af ydelserne fra operatørens eksterne leverandører.
Det foreslås i § 333 e, stk. 4, at en operatør skal overvåge og kontrollere it-systemernes og it-værktøjernes funktion og sikkerhed og minimere virkningerne af it- og cyberrisici ved at indføre passende sikkerhedsværktøjer, -politikker og -procedurer. Operatøren skal løbende identificere potentielle sårbarheder og single points of failure.
Den foreslåede bestemmelse vil medføre, at en operatør af finansiel digital infrastruktur løbende skal overvåge sine it-systemer m.v. i forhold til disse funktioner og sårbarheder samt single points of failure. Bestemmelsen medfører desuden, at en operatør løbende skal minimere de risici som dens it-systemer m.v. er eksponeret for.
Bestemmelsens krav om overvågning vil skulle medvirke til at identificere sårbarheder i den finansielle infrastrukturs it-systemer. Overvågningen skal således gøre det muligt hurtigt at konstatere og detektere risikokilder, som fører til sårbarheder i it-systemet, der medfører behov for en øget beskyttelse og forebyggelse af cyberangreb.
Overtrædelse af § 333 e, stk. 4, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil f.eks. bestå i ikke løbende at overvåge sine it-systemer. Den strafbare handling kan også bestå i ikke at minimere den risici som deres it-systemer er udsat for.
Det foreslås i § 333 e, stk. 5, at en operatør skal opretholde et højt niveau af tilgængelighed, autenticitet, integritet og fortrolighed af data, og udforme og gennemføre it-sikkerhedspolitikker, -procedurer, -protokoller og -værktøjer, der er egnede til at sikre modstandsdygtighed, stabilitet og tilgængelighed for it-systemer, der understøtter kritiske eller vigtige funktioner.
I henhold til den foreslåede bestemmelse vil vurderingen af hvornår it-sikkerhedspolitikker, -procedurer, -protokoller og -værktøjer er egnede, skulle baseres på en risikovurdering og vil skulle ske under hensyntagen til proportionalitetsprincippet. Der er tale om et overordnet krav til operatørens styring, som skal vurderes ud fra de tilsynsmæssige krav til de virksomheder, hvis kritiske eller vigtige forretningsfunktioner er afhængige af operatørens ydelser. Operatørens sikkerhedspolitikker, -procedurer, -protokoller og -værktøjer skal følge en risikobaseret tilgang for en forsvarlig forvaltningskultur. EU-Kommissionen ventes i øvrigt at vedtage en gennemførelsesforordning med reguleringsmæssige tekniske standarder for dette område. Finanstilsynet foreslås med lovforslagets bestemmelse til § 333 p i lov om finansiel virksomhed tillagt en beføjelse til at fastsætte nærmere regler for finansielle digitale infrastrukturer, herunder på dette område.
Overtrædelse af § 333 e, stk. 5, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil f.eks. bestå i ikke at have vedtaget tilstrækkelige it-sikkerhedspolitikker, -procedurer, protokoller og -værktøjer til at sikre modstandsdygtigheden, stabiliteten og tilgængeligheden af forretningskritiske funktioner.
Det foreslås i § 333 e, stk. 6, at en operatør skal indføre mekanismer til overvågning og sporing af anormale aktiviteter, trusler og hændelser i relevant infrastruktur og fastsætte tærskler for igangsættelse af indsats- og beredskabsforanstaltninger.
Det er tiltænkt, at mekanismerne skal have til formål at sikre en effektiv og hurtigt reagerende koordinering ved håndteringen af it-relaterede hændelser, herunder cyberangreb.
Den foreslåede bestemmelse vil supplere DORA-forordningens artikel 10 om detektion, og skal forstås i overensstemmelse hermed.
Overtrædelse af § 333 e, stk. 6, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil bestå i ikke løbende at have overvåget og sporet anormale aktiviteter, trusler og hændelser. Den kan f.eks. også bestå i ikke at have tærskler for igangsættelse af indsats- og beredskabsforanstaltninger.
Det foreslås i § 333 e, stk. 7, at en operatør skal indføre en politik for it-driftsstabilitet som gennemføres ved dokumenterede beredskabsplaner, ordninger, procedurer m.v., med henblik på.
Den foreslåede bestemmelse vil indebære, at en operatør skal have en politik for it-driftsstabilitet som led i sin ramme for it- og cyberrisikostyring. Politikken skal medvirke til at sikre, at operatøren har effektive planer for driftsstabilitet og genopretning, så den hurtigt kan finde en løsning på it-relaterede hændelser, herunder cyberangreb, ved at begrænse skaden og prioritere genoptagelsen af operatørens aktiviteter.
Den foreslåede bestemmelse vil supplere den foreslåede bestemmelse i § 333 a, stk. 3, nr. 3, der implementerer NIS 2-direktivets artikel 21, stk. 2, litra c. De tilsluttede finansielle enheder er omfattet af et tilsvarende krav i DORA-forordningens artikel 11, hvorfor den foreslåede bestemmelse også vil understøtte disse enheders opfyldelse af DORA-forordningen.
Overtrædelse af § 333 e, stk. 7, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil bestå i ikke at have en politik for it-driftsstabilitet.
Det foreslås i § 333 e, stk. 7, nr. 1-5, at en operatør af finansielle digitale infrastruktur skal gennemføre politikken for it-driftsstabilitet, ved hjælp af dokumenterede beredskabsplaner, ordninger, procedurer m.v., med henblik på 1) at sikre, at operatørens og dennes kunders kritiske eller vigtige funktioner er stabile, 2) hurtigt, passende og effektivt at sætte ind over for og løse alle it-relaterede hændelser på en måde, der begrænser skaden og prioriterer genoptagelsen af aktiviteter og genopretningstiltag, 3) omgående at aktivere planer, der omfatter inddæmningsforanstaltninger, der er passende i forhold til hændelserne og som forhindrer yderligere skade, 4) at anslå foreløbige virkninger, skader og tab, og 5) at indføre kommunikations- og krisestyringstiltag, der sikrer, at ajourførte oplysninger videresendes til al relevant internt personale og eksterne interessenter og indberettes til Finanstilsynet.
Den foreslåede bestemmelse vil fastsætte krav om, at en operatør af finansiel digital infrastrukturs skal gennemføre sin politik for it-driftsstabilitet, jf. det foreslåede stk. 7. 1. pkt., ved hjælp af dokumenterede beredskabsplaner, ordninger, procedurer m.v. Bestemmelsen konkretiserer derved udmøntningen af politikken for it-driftsstabilitet og indeholder dokumentationskrav hertil.
Bestemmelsen vil endvidere fastsætte i nr. 1-5, at gennemførelsen af politikken specifikt skal ske med henblik på, at sikre stabiliteten i de kritiske funktioner, en effektiv løsning af it-hændelser, at foranstalte begrænsninger af evt. hændelsers konsekvenser, at anslå virkninger og tab m.v. samt kommunikations- og krisestyringstiltag i forhold til at informere alle relevante interessenter og Finanstilsynet. Operatøren skal derfor ved udarbejdelsen af sine beredskabsplaner, ordninger, procedurer m.v. tage udgangspunkt i de hensyn, der er oplistet i nr. 1-5.
Overtrædelse af § 333 e, stk. 7, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet for overtrædelse er operatøren af finansiel digital infrastruktur. Den strafbare handling vil bestå i ikke at gennemføre politikken for it-driftsstabilitet ved brug af dokumenterede beredskabsplaner, ordninger, procedurer m.v., der bl.a. sikrer, at både kritiske eller vigtige funktioner hos operatøren og hos operatørens kunder, er stabile. Den strafbare handling kan f.eks. også bestå i ikke at have ordninger m.v., der sikrer, at operatøren hurtigt og på tilstrækkelig vis kan reagere på it-relaterede hændelser. Den kan f.eks. også bestå i ikke at have indført procedurer eller ordninger for kommunikations- og krisestyringstiltag, der sikrer, at al nødvendig information rettidigt videresendes til alle interne og eksterne interessenter, herunder til Finanstilsynet. Hvad, der er nødvendig information, og hvem der er relevante interessenter, vil afhænge af den pågældende krises karakter. Relevante interessenter kan være enhver, der er berørt af den hændelse, der har udløst krisen, herunder kunder, medarbejdere, modparter, leverandører, investorer, myndigheder, eller andre der bliver berørt eller har risiko for, direkte eller indirekte at blive berørt af hændelsen.
Det foreslås i § 333 e, stk. 8, 1. pkt., at en operatør skal have politikker og procedurer for sikkerhedskopiering, der præciserer omfanget af de data, der er genstand for sikkerhedskopiering, og minimumshyppigheden af sikkerhedskopiering baseret på oplysningernes kritiske betydning eller fortrolighedsniveauet for dataene.
Den foreslåede bestemmelse vil stille krav om, at en operatør af finansiel digital infrastruktur skal have politikker og procedurer for sikkerhedskopiering. Politikkerne og procedurerne vil skulle præcisere omfanget af de data, der er genstand for sikkerhedskopiering. Politikkerne og procedurerne vil også skulle fastlægge minimumshyppigheden af sikkerhedskopieringen, som skal være baseret på oplysningernes kritiske betydning eller fortrolighedsniveauet for dataene. Der bør i den forbindelse foretages hyppigere sikkerhedskopiering, jo mere kritisk betydning dataene har eller af jo mere fortrolige disse er.
Bestemmelsen vil supplere den foreslåede bestemmelse til § 333 a, stk. 3, nr. 3, der implementerer NIS 2-direktivets artikel 21, stk. 2, litra c. Bestemmelsen skal i øvrigt ses i sammenhæng med DORA-forordningens artikel 12, som specificerer en række minimumskrav til politikkerne for sikkerhedskopiering, gendannelse og genopretning for de virksomheder, der er kunder for operatører af finansiel digital infrastruktur, og som er omfattet af forordningen.
Det foreslås i § 333 e, stk. 8, 2. pkt., at operatøren endvidere skal have procedurer og metoder for gendannelse og genopretning efter materiel eller immateriel skade efter væsentlige hændelser.
En hændelse anses for at være væsentligt, hvis den har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for den berørte enhed eller den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig materiel eller immateriel skade, jf. det foreslåede § 333 f, stk. 4.
Overtrædelse af § 333 e, stk. 8, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil f.eks. bestå i ikke at have politikker og procedurer for sikkerhedskopiering. Den strafbare handling kan også bestå i, at en politik eller procedure for sikkerhedskopiering, der ikke nævner noget om omfanget af de data, der er genstand for sikkerhedskopiering eller minimumshyppigheden for sikkerhedskopiering, eller i ikke at have procedurer for gendannelse af data efter væsentlige hændelser.
Det foreslås i § 333 e, stk. 9, at en operatør regelmæssigt skal teste sine foranstaltninger til beredskab, indsats, genopretning, sikkerhedskopiering og gendannelse.
Den foreslåede bestemmelse vil stille krav til regelmæssig test af foranstaltningerne til beredskab, indsats, genopretning, sikkerhedskopiering og gendannelse. Det er hensigten, at de regelmæssige test skal være med til at sikre effektiviteten foranstaltningerne. Testene bør derfor omfatte en bred vifte af værktøjer og tiltag, der spænder lige fra vurderingen af grundlæggende krav, herunder f.eks. sårbarhedsvurderinger og -scanninger, open source-analyser, vurderinger af netsikkerhed, mangelanalyser, fysiske sikkerhedsgennemgange, spørgeskemaer og scanningssoftwareløsninger, gennemgange af kildekoder når det er praktisk muligt, scenariebaserede test, kompatibilitetstest, præstationstest eller end-to-end-test til mere avancerede test ved hjælp af TLPT.
Den foreslåede bestemmelse vil supplere den foreslåede bestemmelse i § 333 a, stk. 3, nr. 6, der implementerer NIS 2-direktivets artikel 21, stk. 2, litra f. Den foreslåede bestemmelse skal endvidere ses i sammenhæng med DORA-forordningens artikel 11, stk. 4, og 6, som gælder for virksomheder, der er kunder for operatører af finansiel digital infrastruktur, og som er omfattet af DORA-forordningen
Overtrædelse af § 333 e, stk. 9, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil bestå i, at en operatør ikke regelmæssigt tester sine foranstaltninger til beredskab, indsats, genopretning, sikkerhedskopiering og gendannelse.
Det foreslås i § 333 e, stk. 10, at en operatør skal udvikle politikker for en systematisk læring på baggrund af den viden, som operatøren opnår ved opfølgning på sin ramme for risikostyring, trusselsovervågning, testresultater og it- og cyberhændelser. Den opnåede viden skal danne grundlag for en årlig rapportering til ledelsesorganet med anbefalinger til forbedringer i relevant omfang.
Den foreslåede bestemmelse vil medføre, at en operatør af finansiel digital infrastruktur forpligtes til at udvikle politikker for en systematisk læring, der bruger den viden og erfaring, som operatøren opnår, til løbende forbedring af sine rammer. Med bestemmelsen vil operatøren endvidere blive forpligtet til at give operatørens øverste ledelsesorgan en årlig rapportering med eventuelle anbefalinger på baggrund af den læring, som operatøren har gjort sig.
Det øverste ledelsesorgan skal forstås som operatørens bestyrelse, hvis operatøren har en bestyrelse. Drives en operatøren som en juridisk person uden en bestyrelse skal der ved ledelsesorganet forstås direktionen. Drives operatøren som enkeltmandsvirksomhed eller interessentskab forstås ved ledelsesorganet operatørens indehavere.
Overtrædelse af § 333 e, stk. 10, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil bestå i ikke at indføre en politik for læring på baggrund af den viden, som den finansielle digitale infrastruktur opnår ved sin opfølgning på sin ramme for risikostyring, trusselsovervågning, testresultater og it- og cyberhændelser. Den strafbare handling kan også bestå i ikke at foretage en årlig rapportering til operatørens ledelsesorgan på baggrund af den opnåede viden.
Det foreslås i § 333 e, stk. 11, at en operatør af finansiel digital infrastruktur skal have beredskab for krisekommunikation og ansvarlig offentliggørelse af oplysninger om større cyberhændelser eller væsentlige sårbarheder til berørte parter, herunder kunder, modparter og offentligheden.
Den foreslåede bestemmelse vil indebære en forpligtelse for operatøren af finansiel digital infrastruktur til at indføre planer for krisekommunikation og ansvarlig offentliggørelse af information om større it- og cyberhændelser og væsentlige cybertrusler til alle berørte parter.
Overtrædelse af § 333 e, stk. 11, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling kan f.eks. bestå i ikke at have et beredskab for krisekommunikation og ansvarlig offentliggørelse af oplysninger om større cyberhændelser eller væsentlige sårbarheder til berørte parter, herunder kunder, modparter og offentligheden.
Den foreslåede bestemmelse skal ses i sammenhæng med DORA-forordningens artikel 14.
Artikel 17 i DORA-forordningen fastsætter regler om styring af it-relaterede hændelse, herunder krav om indberetning og dokumentation af sådanne hændelser.
Det foreslås i § 333 f, stk. 1, at en operatør skal fastlægge en proces for overvågning, styring og indberetning af it- og cyberhændelser.
Den foreslåede bestemmelse vil indebære, at en operatør af finansiel digital infrastruktur skal fastlægge nødvendige foranstaltninger til at sikre en korrekt overvågning, styring og indberetning af it- og cyberhændelser. Dette har til formål at sikre til hurtig kommunikation og koordination både intern og eksternt i tilfælde it- og cyberhændelser.
Den foreslåede bestemmelse vil afspejle en række af de krav, der følger af artikel 17, stk. 1, i DORA-forordningen. Den foreslåede bestemmelse vil desuden supplere kravet i den foreslåede bestemmelse til § 333 a, stk. 3, nr. 2, i lov om finansiel virksomhed, der implementerer NIS 2-direktivets artikel 21, stk. 2, litra b, og supplerer kravene, der følger af artikel 23 i NIS 2-direktivet.
Overtrædelse af § 333 f, stk. 1, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil bestå i ikke at fastlægge eller følge en proces for hændelsesstyring og -indberetning.
Det foreslås i § 333 f, stk. 2, at en operatør af finansiel digital infrastruktur skal registrere alle it- og cyberhændelser og væsentlige cybertrusler. Operatøren skal fastlægge passende procedurer, der sikrer en konsekvent og integreret overvågning, håndtering og opfølgning af it- og cyberhændelser og at de grundlæggende årsager identificeres, dokumenteres og håndteres.
Den foreslåede bestemmelse vil indebære, at operatøren af finansiel digital infrastruktur vil skulle dokumentere og analysere deres it- og cyberhændelser, bl.a. med henblik på at identificere deres grundlæggende årsager.
Såfremt operatøren varetager operationelle opgaver på betalingsområdet for kreditinstitutter, betalingsinstitutter, kontooplysningstjenesteudbydere eller e-pengeinstitutter, så vil operatøren i relevant omfang skulle registrere operationelle eller sikkerhedsmæssige betalingsrelaterede hændelser.
Overtrædelse af § 333 f, stk. 2, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed.
Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil bestå i at operatøren ikke i relevant omfang registrerer operationelle eller sikkerhedsmæssige betalingsrelaterede hændelser, jf. DORA-forordningens artikel 23.
Det foreslås i § 333 f, stk. 3, at en operatør af finansiel digital infrastruktur skal indberette væsentlige it- og cyberhændelser, jf. stk. 4, til Finanstilsynet og CSIRT’en oprettet i medfør af artikel 10, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen.
Center for Cybersikkerhed er udpeget som CSIRT i Danmark.
Indberetningspligten vil omfatte såvel hændelser, der kategoriseres som større i henhold til DORA-forordningen og hændelser, der kategoriseres som væsentlige i henhold til NIS 2-direktivet. I DORA-forordningens artikel 3, stk. 1, nr. 10, defineres en it- eller cyberhændelse som større, hvis den har en stor negativ indvirkning på net- og informationssystemer, som understøtter kritiske eller vigtige funktioner i den finansielle enhed. I NIS 2-direktivets artikel 23, stk. 3 defineres en hændelse som væsentlig, hvis den har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for den berørte enhed, eller hvis den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydeligt materiel eller immateriel skade.
Såfremt operatøren af finansiel digitale infrastruktur varetager operationelle opgaver på betalingsområdet for kreditinstitutter, betalingsinstitutter, kontooplysningstjenesteudbydere eller e-pengeinstitutter, vil infrastrukturen i relevant omfang skulle indberette større operationelle eller sikkerhedsmæssige betalingsrelaterede hændelser.
Overtrædelse af § 333 f, stk. 3, foreslås strafbelagt i § 373 f, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling kan bestå i, at operatøren ikke indberetter større operationelle eller sikkerhedsmæssige betalingsrelaterede hændelser
Det foreslås i § 333 f, stk. 4, nr. 1 og 2, at en hændelse anses for væsentlig, jf. stk. 3, hvis 1) den har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for den finansielle digitale infrastruktur, eller 2) den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydeligt materiel eller immateriel skade.
Det foreslåede § 333 f, stk. 4, vil uddybe indholdet af det foreslåede § 333 f, stk. 3, ved at tydeliggøre, hvad der anses som en væsentlig hændelse. Bestemmelsen vil bl.a., medføre, at hændelser, der har indflydelse på operatørens levering af tjenester eller på kritiske eller vigtige funktioner hos de tilsluttede finansielle virksomheder, vil skulle indberettes til Finanstilsynet.
Det foreslås i § 333 f, stk. 5, at ved indberetning, jf. stk. 3, skal en operatør af digital finansiel infrastruktur foretage de handlinger, der følger af bestemmelsens nr. 1-5.
Den foreslåede bestemmelse vil implementere NIS 2-direktivets artikel 23, stk. 4.
Det foreslås i § 333 f, stk. 5, nr. 1, at en operatør ved en indberetning, jf. stk. 3, skal indsende alle oplysninger, der er nødvendige for Finanstilsynet til at fastslå eventuelle grænseoverskridende virkninger af hændelsen.
Det foreslås i § 333 f, stk. 5, nr. 2, at en operatør ved en indberetning, jf. stk. 3, uden unødigt ophold og under alle omstændigheder inden for 24 timer efter at have fået kendskab til den væsentlige hændelse skal fremsende en tidlig, som skal angive, om den væsentlige hændelse mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en grænseoverskridende virkning.
Det foreslås i § 333 f, stk. 5, nr. 3, at en operatør ved en indberetning, jf. stk. 3, uden unødigt ophold og under alle omstændigheder inden for 72 timer efter at have fået kendskab til den væsentlige hændelse skal fremsende en hændelsesunderretning, som skal ajourføre de oplysninger, der er omhandlet under nr. 1, og en indledende vurdering af den væsentlige hændelse, herunder dens alvor og indvirkning samt kompromitteringsindikatorerne, hvor sådanne foreligger.
Det foreslås i § 333 f, stk. 5, nr. 4, at en operatør ved en indberetning, jf. stk. 3, efter anmodning fra Finanstilsynet eller fra CSIRT’en skal fremsende en foreløbig rapport om relevante statusopdateringer.
Det foreslås i § 333 f, stk. 5, nr. 5, litra a-d, at en operatør ved indberetning, jf. stk. 3, skal fremsende en endelig rapport senest en måned efter forelæggelsen hændelsesunderretning, der er nævnt i nr. 2, der skal omfatte a) en detaljeret beskrivelse af hændelsen, herunder dens alvor og indvirkning, b) den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen, c) anvendte og igangværende afbødende foranstaltninger, og d) oplysninger om eventuelle grænseoverskridende virkninger af hændelsen.
Det foreslås i § 333 f, stk. 5, nr. 6, at ved indberetning, jf. stk. 3, skal operatøren forelægge en statusrapport for Finanstilsynet og CSIRT’en senest en måned efter forelæggelsen af den hændelsesunderretning, der er nævnt i nr. 2, hvis hændelsen fortsat pågår på dette tidspunkt, og en endelig rapport senest en måned efter operatørens håndtering af hændelsen.
Overtrædelse af § 333 f, stk. 5, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil bestå i ikke at overholde kravene til hvad hændelsesrapporterne skal indeholde, og hvornår de skal sendes til Finanstilsynet.
Det foreslås i § 333 f, stk. 6, at operatøren skal, hvor det er relevant, uden unødigt ophold skal underrette modtagerne af operatørens tjenester om væsentlige hændelser, der sandsynligvis vil påvirke leveringen af disse tjenester negativt.
Det foreslås i § 333 f, stk. 7, at en operatør uden unødigt ophold skal underrette modtagerne af deres tjenester, som potentielt er berørt af en væsentlig cybertrussel, om eventuelle foranstaltninger eller modforholdsregler, som disse modtagere kan træffe som reaktion på den pågældende trussel. Operatøren skal også informere de pågældende modtagere om den konkrete væsentlige cybertrussel, hvor dette er relevant.
Forpligtelserne i stk. 6, og stk. 7, vil indebære, at operatøren af finansiel digital infrastruktur forpligtes til at underrette modtagere af deres tjenester om væsentlige hændelser og cybertrusler.
Den foreslåede bestemmelse vil implementere NIS 2-direktivets artikel 23, stk. 2.
Overtrædelse af § 333 f, stk. 7, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 373, stk. 2, i lov om finansiel virksomhed.
Ansvarssubjektet for overtrædelse er operatøren af finansielle digitale infrastruktur. Den strafbare handling vil bestå i, at en operatør ikke underretter kunder m.v. om modforholdsregler i forhold til væsentlige cybertrusler og hvis relevant, om selve truslen.
Det foreslås i § 333 f, stk. 8, at en operatør kan underrette Finanstilsynet om væsentlige cybertrusler, når den anser truslen for at være relevant for det finansielle system, tjenestebrugere eller kunder.
Med den foreslåede bestemmelse tydeliggøres muligheden for, at operatører af finansiel digital infrastruktur kan videregive oplysninger om væsentlige cybertrusler til Finanstilsynet.
Det er tiltænkt, at bestemmelsen skal tydeligere, at operatører af finansiel digital infrastruktur har samme mulighed for at videregive oplysninger til Finanstilsynet, som også gælder for virksomheder omfattet af DORA-forordningen, jf. artikel 19, stk. 2, i DORA-forordningen.
DORA-forordningens kapitel IV fastsætter regler om test af digital operationel modstandsdygtighed.
Det foreslås i § 333 g, stk. 1, at en operatør af finansiel digital infrastruktur løbende skal teste effektiviteten af sine foranstaltninger til sikring mod it- og cyberhændelser, der har eller kan have skadelige virkninger på virksomhedens drift.
Bestemmelsen vil omfatte de test, der normalt er påkrævede i forbindelse med drift af it-infrastrukturer, som f.eks. løbende sårbarhedsscanninger, test i forbindelse med ændringer og løbende test af virkningen af gennemførte sikringsforanstaltninger, herunder test af foranstaltninger til back-up, restore, nødstrøm og skift af datacenter m.v.
Overtrædelse af § 333 g, stk. 1, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil f.eks. bestå i at operatøren ikke løbende tester sine foranstaltninger mod it- og cyberhændelser.
Det foreslås i § 333 g, stk. 2, at en operatør skal have et program for test af digital operationel modstandsdygtighed, som er passende i forhold til de identificerede risici og integreret med operatørens ramme for it- og cyberrisikostyring, jf. § 333 a.
Den foreslåede bestemmelse vil medføre, at operatører skal have et program, der sikrer en systematisk tilgang til test af operatørens it-værktøjer og -systemer, f.eks. regelmæssige sårbarhedsscanninger, gap-analyser, interne penetrationstest, applikationstest, softwarescanninger og evt. scenariebaserede test.
Programmet vil tillige skulle medvirke til at sikre en proaktiv tilgang til at sikre de it-tjenester, som operatøren benytter og udbyder.
Overtrædelse af § 333 g, stk. 2, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil bestå i ikke at have et testprogram, som er en integreret del af rammerne for risikostyring. Den strafbare handling kan også bestå i, at testprogrammet ikke er i overensstemmelse med de identificerede risici.
Det foreslås i § 333 g, stk. 3, at en operatør kan pålægges at gennemgå trusselsbaserede penetrationstest i overensstemmelse med de regler, der gælder for virksomheder omfattet af kapitel IV i Europa-Parlamentets og Rådets EU) forordning 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og retsakter udstedt i medfør heraf
Det foreslås i § 333 g, stk. 4, nr. 1-3, at vurderingen af, i hvilket omfang en operatør skal gennemføre penetrationstests, jf. stk. 3, ud fra 1) virkningsrelaterede faktorer, navnlig i hvilket omfang de tjenester, der leveres, og de aktiviteter, der udføres af operatøren, indvirker på den finansielle sektor, 2) eventuelle betænkeligheder vedrørende finansiel stabilitet, herunder operatørens systemiske karakter, og 3) operatørens specifikke it-risikoprofil, grad af it-modenhed eller de teknologiske kendetegn, der er involveret.
Den foreslåede bestemmelse vil indebære, at operatører af finansielle digitale infrastrukturer kan pålægges at gennemgå trusselsbaserede penetrationstest (TLPT) i overensstemmelse med de regler, som følger af DORA-forordningens kapitel IV og retsakter udsted i medfør heraf. Reglerne i DORA-forordningen om TLPT følger af forordningens artikel 26 og 27, og er baseret på rammeværket TIBER-EU, som er implementeret i Danmark af Danmarks Nationalbank med rammeværket TIBER-DK, som er rettet mod virksomheder under Danmarks Nationalbanks overvågning og deres større it-leverandører. I modsætning til TIBER-DK, omfatter DORA-forordningens TLPT-regler dog som udgangspunkt hele den finansielle sektor.
Efter artikel 26, stk. 9, i DORA-forordningen, kan medlemslande vælge at udpege en fælles offentlig myndighed i den finansielle sektor, til at varetage TLPT relaterede spørgsmål i den finansielle sektor på nationalt plan. Derfor er der også med den i lovforslaget foreslåede bestemmelse til § 344 f i lov om finansiel virksomhed, jf. lovforslagets § 1, nr. 31, foreslået at bemyndige erhvervsministeren til at udpege en sådan TLPT-myndighed. Denne myndighed vil også være ansvarlig for varetagelse af TLPT-relaterede anliggender overfor operatører af finansielle digitale infrastrukturer.
Det er forventningen, at bemyndigelsen vil blive udnyttet til at fastsætte regler, der udpeger Danmarks Nationalbank som ansvarlig myndighed i henhold til DORA-forordningens artikel 26, stk. 9. Såfremt Danmarks Nationalbank udpeges som ansvarlig myndighed vil de være ansvarlig for TLPT-relaterede anliggender for alle virksomheder, der skal gennemføre TLPT, hvilket også omfatter at udpege de virksomheder, der skal pålægges at gennemføre TLPT, herunder operatører af finansiel digital infrastruktur i overensstemmelse med § 333 g, stk. 3.
Den foreslåede § 333 g vil supplere den foreslåede bestemmelse til § 333 a, stk. 3, nr. 6, der implementerer NIS 2-direktivet artikel 21, stk. 2, litra f. Den foreslåede bestemmelse indeholder visse krav, der er svarer til de krav, der gælder for virksomheder omfattet af DORA-forordningen kapitel IV
DORA-forordningens kapitel V, afdeling I, indeholder centrale principper for forsvarlig styring af it-tredjepartsrisici.
Fælles datacentraler og operatører af detailbetalingssystemer er i dag omfattet af reglerne om outsourcing på det finansielle område, jf. bekendtgørelse nr. 973 af 22. juni 2022 om outsourcing for kreditinstitutter m.v. og § 62 i lov om kapitalmarkeder, jf. § 180 i, i lov om kapitalmarkeder.
Det foreslås i § 333 h, stk. 1, at en operatør af finansiel digital infrastruktur skal styre sine it- og cyberrisici, der er relateret til brug af it-tjenester fra tredjeparter som en integreret del af sin ramme for it- og cyberrisikostyring.
Med den foreslåede bestemmelse vil den overordnede forpligtelse til styring af tredjepartsrisici og dennes sammenhæng med operatøren af finansiel digital infrastrukturs ramme for it- og cyberrisikostyring blive fastsat
Overtrædelse af § 333 h, stk. 1, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 373, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil bestå i, at operatøren ikke at styrer sine tredjepartsrisici eller, at styrer disse risici uden nogen sammenhæng med rammen for operatørens it- og cyberrisikostyring.
Det foreslås i § 333 h, stk. 2, at en operatør, der har overladt driften af en forretningsfunktion til en leverandør, til enhver tid har det fulde ansvar for at overholde og opfylde alle forpligtelser i henhold til denne lov.
Med den foreslåede bestemmelse vil en generel ansvarsregel for operatører af finansielle digitale infrastrukturer, der er i overensstemmelse med allerede gældende regler og principper for styring af risiko fra leverandører m.v., herunder de gældende regler om outsourcing for både datacentraler og it-operatører af detailbetalingssystemer, blive fastsat.
Det foreslås i § 333 h, stk. 3, at en operatør regelmæssigt skal gennemgå de risici, der er forbundet med brugen af it-tredjepartsudbydere.
Den foreslåede bestemmelse vil indebære, at operatører af finansielle digitale infrastrukturer har pligt til at vedligeholde og udvikle styringen af tredjepartsrisici på linje med den generelle it- og cyberrisikostyring.
Der henvises i øvrigt til den foreslåede § 333 i, der fastsætter nærmere krav til risikovurderingen ved indgåelse af kontrakter med it-tredjepartsudbydere.
Overtrædelse af § 333 h, stk. 3, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil bestå i ikke regelmæssigt at identificere eller ajourføre risici forbundet med brugen af it-tredjepartsudbydere.
Det foreslås i § 333 h, stk. 4, at en operatør skal vedtage og regelmæssigt gennemgå en strategi for sine it-tredjepartsrisici. Strategien for it-tredjepartsrisici skal omfatte en politik for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og som leveres af tredjepartsudbydere.
Den foreslåede bestemmelse vil medføre en forpligtelse for operatøren af finansiel digital infrastruktur til at have en strategi for it-tredjepartsrisiko og regelmæssigt revidere denne strategi med henblik på løbende at kunne udvikle videre på denne strategi. Bestemmelsen vil også indebære et krav om, at strategien bl.a. omfatter en politik for tjenester, der understøtter kritiske og vigtige funktioner, og som leveres af tredjepartsudbydere.
Overtrædelse af § 333 h, stk. 4, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 373, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil f.eks. bestå i ikke at have en strategi for it-tredjepartsrisici eller regelmæssigt gennemgå denne. Den strafbare handling kan også bestå i at strategien for it-tredjepartsrisici ikke omfatter en politik for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og som leveres af tredjepartsudbydere.
Det foreslås i § 333 h, stk. 5, at en operatør af finansiel digital infrastruktur skal opretholde og ajourføre et register over oplysninger om alle ordninger for brugen af it-tjenester, der leveres af tredjepartsudbydere. Operatøren skal underrette Finanstilsynet om enhver planlagt kontraktlig ordning for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og når en funktion er blevet kritisk eller vigtig.
Vurderingen af hvornår en funktion anses for at være kritiske eller vigtig vil skulle foretages under hensyn til DORA-forordningens artikel 3, nr. 22, hvori definitionen på en kritisk eller vigtig funktion er fastlagt.
Heraf fremgår det, at en funktion er kritisk eller vigtig, hvis en forstyrrelse i væsentlig grad kan forringe en finansiel enheds finansielle resultater, eller robustheden eller kontinuiteten af dens tjenester og aktiviteter, eller som, hvis den pågældende funktion afbrydes, er fejlbehæftet eller mislykkes, i væsentlig grad kan forringe en finansiel enheds opfyldelse af de betingelser og forpligtelser, der er forbundet med dens tilladelse, eller af dens andre forpligtelser i henhold til gældende finansiel tjenesteydelsesret.
Overtrædelse af § 333 h, stk. 5, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil f.eks. bestå i ikke at føre et register over operatørens ordninger for brugen af tredjepartsudbydere. Den strafbare handling kan også bestå i, ikke at underrette Finanstilsynet om planlagte kontraktlige ordninger vedr. it-tjenester, som understøtter kritiske eller vigtige funktioner.
Det foreslås i § 333 h, stk. 6, nr. 1-5, at inden en operatør indgår en kontraktlig ordning for brugen af it-tjenester, skal operatøren 1) vurdere, om den kontraktlige ordning omfatter brugen af it-tjenester, der understøtter en kritisk eller vigtig funktion, 2) vurdere om de tilsynsmæssige betingelser for udlicitering er opfyldt, 3) identificere og vurdere alle relevante risici i forbindelse med den kontraktlige ordning, herunder muligheden for at sådanne kontraktlige ordninger kan bidrage til at øge it-koncentrationsrisikoen, 4) foretage fornøden due diligence over for potentielle tredjepartsudbydere af it-tjenester og under udvælgelses- og vurderingsprocessen sikre, at den pågældende tredjepartsudbyder af it-tjenester er egnet og 5) identificere og vurdere interessekonflikter, som den kontraktlige ordning kan give anledning til.
Overtrædelse af § 333 h, stk. 6, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil bestå i ikke at leve op til forpligtelserne for indgåelse af kontrakter med leverandører af it-tjenester fastsat i § 333, h, stk. 6, nr. 1-5.
Det foreslås i § 333 h, stk. 7, 1. pkt., at når en operatør af finansiel digital infrastruktur indgår it-kontrakter, der relaterer sig til kritiske og vigtige funktioner, skal operatøren sikre, at den har passende adgangs-, inspektions- og revisionsrettigheder over for tredjepartsudbyderen af it-tjenester.
Vurderingen af hvornår en funktion anses for at være kritisk eller vigtig vil skulle foretages under hensyn til DORA-forordningens artikel 3, nr. 22, hvori definitionen på en kritisk eller vigtig funktion er fastlagt.
Heraf fremgår det, at en funktion er kritisk eller vigtig, hvis forstyrrelse i væsentlig grad kan forringe en finansiel enheds finansielle resultater, eller robustheden eller kontinuiteten af dens tjenester og aktiviteter, eller som, hvis den pågældende funktion afbrydes, er fejlbehæftet eller mislykkes, i væsentlig grad kan forringe en finansiel enheds opfyldelse af de betingelser og forpligtelser, der er forbundet med dens tilladelse, eller af dens andre forpligtelser i henhold til gældende finansiel tjenesteydelsesret.
Det foreslås i § 333 h, stk. 7, 2. pkt., at operatøren, på grundlag af en risikobaseret tilgang, skal fastsætte hyppigheden af revisioner og inspektioner samt de områder, der skal underkastes revision.
Overtrædelse af § 333 h, stk. 7, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil f.eks. bestå i ikke at have sikret passende adgangs-, inspektions- og revisionsrettigheder overfor sine tredjepartsudbydere af it-tjenester ved indgåelse af en kontrakt. Den strafbare handling kan også bestå i ikke at fastsætte hyppigheden af revisioner og inspektioner samt de områder, der skal underkastes revision.
Det foreslås i § 333 h, stk. 8, nr. 1-4, at en operatør skal sikre, at de kontraktlige ordninger for brugen af it-tjenester som minimum kan opsiges i enhver af følgende situationer: 1) Tredjepartsudbyderen begår en væsentlig overtrædelse af gældende lovgivning eller kontraktvilkår. 2) Operatøren identificerer forhold under overvågningen af it-tredjepartsrisici, som kan ændre udførelsen af de funktioner, der er leveret gennem den kontraktlige ordning, herunder væsentlige ændringer, der påvirker ordningen eller situationen for tredjepartsudbyderen af it-tjenester. 3) Operatøren dokumenterer svagheder hos tredjepartsudbyderen af it-tjenester, som vedrører dennes samlede it-risikostyring. 4) Finanstilsynet kan ikke længere føre effektivt tilsyn med operatøren som følge af betingelserne eller omstændighederne vedrørende de respektive kontraktlige ordninger.
Med den foreslåede bestemmelse vil der blive fastsat en række minimumskrav til opsigelsesrettigheder i de kontrakter finansielle digitale infrastrukturer indgår med deres it-leverandører.
Overtrædelse af § 333 h, stk. 8, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil bestå i ikke at fastsætte opsigelsesrettigheder, der som minimum opfylder kravene i nr. 1-4, når operatøren indgår kontraktlige ordninger for brugen af it-tjenester med it-leverandører. Dette kan f.eks. være såfremt it-leverandøren ikke overholder gældende love eller såfremt den kontraktlige ordning er til hinder for Finanstilsynets tilsyn med infrastrukturen.
Det foreslås i § 333 h, stk. 9, nr. 1-5, at en operatør skal indføre exitstrategier for it-tjenester, der understøtter kritiske eller vigtige funktioner. Exitstrategierne skal tage højde for de risici, der kan opstå hos tredjepartsudbydere af it-tjenester, herunder 1) mulige svigt fra tredjepartsudbyderens side, 2) en forringelse af kvaliteten af de leverede it-tjenester, 3) eventuelle driftsforstyrrelser som følge af uhensigtsmæssig eller manglende levering af it-tjenester, 4) eventuelle væsentlige risici i forbindelse med en passende og løbende anvendelse af de pågældende it-tjenester, eller 5) opsigelse af kontraktlige ordninger med tredjepartsudbydere af it-tjenester i en af de i stk. 8 anførte situationer.
Vurderingen af hvornår en funktion anses for at være kritiske eller vigtig vil skulle foretages under hensyn til DORA-forordningens artikel 3, nr. 22, hvori definitionen på en kritisk eller vigtig funktion er fastlagt.
Heraf fremgår det, at en funktion er kritisk eller vigtig, hvis forstyrrelse i væsentlig grad kan forringe en finansiel enheds finansielle resultater, eller robustheden eller kontinuiteten af dens tjenester og aktiviteter, eller som, hvis den pågældende funktion afbrydes, er fejlbehæftet eller mislykkes, i væsentlig grad kan forringe en finansiel enheds opfyldelse af de betingelser og forpligtelser, der er forbundet med dens tilladelse, eller af dens andre forpligtelser i henhold til gældende finansiel tjenesteydelsesret.
Overtrædelse af § 333 h, stk. 9, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil f.eks. bestå i ikke at have en exitstrategi for leverede it-tjenester, der understøtter kritiske eller vigtige funktioner, eller ikke at have en exitstrategi, der tager højde for de risici, som kan opstå hos tredjepartsudbydere af it-tjenester, og som er oplistet i nr. 1-5.
Det foreslås i § 333 h, stk. 10, at en operatør af finansiel digital infrastruktur skal indføre passende beredskabsforanstaltninger for at opretholde driftsstabiliteten i tilfælde af, at de i stk. 9, nr. 1-5, omhandlede omstændigheder indtræder.
Overtrædelse af § 333 h, stk. 10, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil bestå i ikke at have passende beredskabsplaner for opretholdelse af driften.
Det foreslås i § 333 h, stk. 11, nr. 1-3, at en operatør af finansiel digital infrastruktur skal sikre, at den kan opsige kontraktlige ordninger, uden 1) at dens forretningsaktiviteter afbrydes, 2) at efterlevelsen af de lovgivningsmæssige krav begrænses, og 3) at kontinuiteten og kvaliteten af de leverede tjenester til kunder lider skade.
Overtrædelse af § 333 h, stk. 11, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 373, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansielle digitale infrastruktur. Den strafbare handling vil bestå i ikke at sikre, at operatøren kan opsige en kontrakt uden at afbryde forretningsaktivitet, uden efterlevelsen af lovgivningsmæssige krav begrænses og uden tab af kvalitet eller kontinuitet i de leverede tjenester til kunderne.
Det foreslås i § 333 h, stk. 12, at exitstrategierne skal være dokumenterede, proportionale, testet i tilstrækkeligt omfang og gennemgået regelmæssigt.
Overtrædelse af § 333 h, stk. 12, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil bestå i ikke at havedokumenterede, proportionale, testede og ajourførte exitplaner.
Det foreslås i § 333 h, stk. 13, at en operatør skal identificere alternative løsninger og udarbejde overgangsplaner, så den kan fratage tredjepartsudbyderen af it-tjenester de relevante it-tjenester og de relevante data og sikkert og fuldstændigt kan overføre disse til alternative udbydere eller indarbejde dem internt.
Den foreslåede bestemmelse skal ses i sammenhæng med det foreslåede stk. 10, og være med til at sikre, at en operatør kan afbryde samarbejdet en tredjepartsudbyder uden at dette skader operatøren eller de ydelser, som operatøren leverer. Bestemmelsen vil medføre, at operatøren skal identificere alternativer til leverandører og udarbejde overgangsplaner, så de kan overføre tjenester fra en leverandør til en anden leverandør, eller hjemtage den pågældende tjeneste.
Overgangsplaner vil i mange tilfælde kun kunne udarbejdes på et overordnet eller generisk niveau, da den praktiske udmøntning af en exit-strategi, herunder evt. valg af alternative leverandører, bl.a. vil kunne bero på hvad anledningen til iværksættelsen af exitplanen er. Der gælder dog undtagelser, herunder i forhold il exit-strategier, som indebærer hjemtagelse af opgaver eller for virksomheder, som har en multi vendor strategi, som indebærer at leverandører kan substitueres indbyrdes og med kort varsel.
Overtrædelse af § 333 h, stk. 13, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil f.eks. bestå i ikke at have identificeret alternativer til leverandører. Den strafbare handling kan også bestå i ikke at have udformet overgangsplaner, så tjenester kan overføres mellem en ny og gammel leverandør, eller så tjenester kan hjemtages.
DORA-forordningens artikel 29 fastsætter krav om foreløbige vurderinger af it-koncentrationsrisici på enhedsniveau.
Det foreslås i § 333 i, nr. 1, at når en operatør af finansiel digital infrastruktur foretager identifikation og vurdering af de risici, der er omhandlet i § 333 h, stk. 6, nr. 3, skal operatøren tage hensyn til, hvorvidt den påtænkte indgåelse af en kontraktlig ordning, der understøtter kritiske eller vigtige funktioner for de tilsluttede virksomheder, vil føre til henlæggelse af funktioner til en tredjepartsudbyder af it-tjenester, som ikke er let at erstatte.
Den foreslåede bestemmelse vil uddybe forpligtelsen i det foreslåede § 333 h, stk. 6, nr. 3, om due diligence mv, med særskilte krav til vurdering af potentiel koncentrationsrisiko i forhold til den enkelte operatør af finansiel digital infrastruktur.
Den foreslåede bestemmelse vil indebære, at operatøren forud for indgåelsen af en kontraktlig ordning, der understøtter kritiske eller vigtige funktioner for de virksomheder, der er tilsluttet operatøren, herunder f.eks. pengeinstitutter, skal vurdere og tage hensyn til, om udliciteringen eller henlæggelsen af de pågældende funktioner til tredjepartsudbyderen fremadrettet vil blive vanskelig at erstatte.
Vurderingen skal være med til at sikre, at operatøren identificerer og bliver bevidste om, hvorvidt der skabes en afhængighed af tredjepartsudbyderen, der kan skade de virksomheder på det finansielle område, som operatøren leverer sine ydelser til. Vurderingen kan bl.a. tage udgangspunkt i, om det uden større vanskeligheder vil muligt for operatøren at tilbagetage og drifte den henlagte funktion, eller om det uden større vanskeligheder vil være muligt at finde en anden tredjepartsudbyder, som kan overtage og drifte den henlagte funktion.
Vil en henlæggelse af funktioner til en tredjepartsudbyder indebære at henlæggelsen bliver vanskelig at erstatte, så skal operatøren afveje fordele og omkostninger ved alternative løsninger under hensyntagen til, om sådanne løsninger svarer til de forretningsmæssige behov og mål, der er fastsat i operatørens strategi for digital modstandsdygtighed.
Det foreslås i § 333 i, nr. 2, at når en operatør af finansiel digital infrastruktur foretager identifikation og vurdering af de risici, der er omhandlet i § 333 h, stk. 6, nr. 3, skal operatøren tage hensyn til, hvorvidt den påtænkte indgåelse af en kontraktlig ordning, der understøtter kritiske eller vigtige funktioner for de tilsluttede virksomheder, vil føre til indgåelse af flere kontraktlige ordninger om levering af it-tjenester, der understøtter kritiske eller vigtige funktioner, med den samme tredjepartsudbyder af it-tjenester eller med tredjepartsudbydere af it-tjenester, som har tætte forbindelser til denne.
Den foreslåede bestemmelse vil indebære, at operatøren forud for indgåelsen af en kontraktlig ordning, der understøtter kritiske eller vigtige funktioner for de virksomheder, der er tilsluttet operatøren, herunder f.eks. pengeinstitutter, skal vurdere og tage hensyn til om udliciteringen eller henlæggelsen af de pågældende funktioner til tredjepartsudbyderen fremadrettet vil medføre en koncentrationsrisiko.
Vurderingen skal være med til at sikre, at operatøren identificerer og bliver bevidst om, hvorvidt der skabes en koncentrationsrisiko hos tredjepartsudbyderen, der kan skade de virksomheder på det finansielle område, som operatøren leverer sine ydelser til. Vurderingen bør derfor tage udgangspunkt i, om indgåelsen af den kontraktlige ordning vil indebære, at flere funktioner, der understøtter kritiske eller vigtige funktioner for de virksomheder, der er tilsluttet operatøren, samles hos den samme tredjepartsudbyder, og om dette indebærer en risiko for de tilsluttede virksomheder.
Vil henlæggelse af funktioner til en tredjepartsudbyder indebære en koncentrationsrisiko, så skal operatøren afveje fordele og omkostninger ved alternative løsninger, såsom brug af forskellige tredjepartsudbydere, under hensyntagen til, om sådanne løsninger svarer til de forretningsmæssige behov og mål, der er fastsat i operatørens strategi for digital modstandsdygtighed.
Overtrædelse af § 333 i, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil bestå i, at en operatør ikke forud for indgåelsen af en kontraktlig ordning med en tredjepartsudbyder af it-tjenester vurderer og tager hensyn til, om de funktioner, der henlægges til tredjepartsudbyderen, er let at erstatte, når funktionerne er kritiske eller vigtige for de virksomheder, som er tilsluttet operatøren. Den strafbare handling kan også bestå i, at en operatør ikke forud for indgåelsen af en kontraktlig ordning med en tredjepartsudbyder af it-tjenester vurderer og tager hensyn til, om der skabes en koncentrationsrisiko ved at henlægge funktionerne til tredjepartsudbyderen, når funktionerne er kritiske eller vigtige for de virksomheder, som er tilsluttet operatøren.
DORA-forordningens artikel 30 fastsætter krav til kontrakter med tredjepartsudbydere af it-tjenester.
Det foreslås i § 333 j, stk. 1, at rettigheder og forpligtelser for en operatør af finansiel digital infrastruktur og for tredjepartsudbyderen af it-tjenester skal fordeles klart og fastlægges skriftligt. Den samlede kontrakt skal omfatte serviceniveauaftaler og dokumenteres i et samlet dokument, som parterne skal have adgang til i et varigt og tilgængeligt format.
Den foreslåede bestemmelse vil fastsætte regler, der vedrører indholdet af kontrakter, som indgås mellem finansielle digitale infrastrukturer og tredjepartsudbydere af it-tjenester. Den foreslåede bestemmelse har til formål at harmonisere reglerne for operatører af finansielle digitale infrastrukturer med de regler som gælder for virksomheder omfattet af DORA-forordningens artikel 30 om krav til kontrakter med it-leverandører.
Det foreslåede krav om at parterne skal have adgang til dokumentet i et varigt og tilgængeligt format vil f.eks. være opfyldt med et papirdokument eller med et digitalt dokument af en art, som ikke kræver særlig systemunderstøttelse for at kunne læses.
Overtrædelse af § 333 j, stk. 1, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil bestå i ikke at have en skriftlig kontrakt i varig og tilgængelig form.
Det foreslås i § 333 j, stk. 2, at de kontraktlige ordninger for brugen af it-tjenester mindst skal omfatte de elementer, der fremgår af bestemmelsens stk. 2, nr. 1-8.
Med bestemmelsen foreslås det at specificere de minimumskrav, som stilles til alle kontrakter for brugen af it-tjenester, uanset om de vedrører kritiske eller vigtige funktioner eller ikke.
Det foreslås i § 333 j, stk. 2, nr. 1, at de kontraktretlige ordninger for brugen af it-tjenester mindst skal omfatte en klar og fuldstændig beskrivelse af alle funktioner og it-tjenester, som tredjepartsudbyderen skal levere, med angivelse af om underentreprise af en it-tjeneste, der understøtter en kritisk eller vigtig funktion eller væsentlige dele heraf, er tilladt, og hvis det er tilfældet, de betingelser, der gælder for en sådan underentreprise.
Det foreslås i § 333 j, stk. 2, nr. 2, at de kontraktretlige ordninger for brugen af it-tjenester mindst skal omfatte en angivelse af de steder, navnlig de regioner eller lande, hvor de udliciterede funktioner og it-tjenester eller funktionerne og it-tjenesterne i underentreprise skal leveres, hvor data skal behandles, herunder lagringsstedet, og krav om, at tredjepartsudbyderen på forhånd skal underrette operatøren, hvis den har planer om at ændre disse steder.
Det bemærkes, at angivelsen af steder, herunder regioner og lande, hvor tjenesterne skal leveres og data skal behandles samt lagres, skal forstås ud fra anvendelsen af begrebet databehandling i EU-retten, herunder på området for databeskyttelse.
Det foreslås i § 333 j, stk. 2, nr. 3, at de kontraktretlige ordninger for brugen af it-tjenester mindst skal omfatte bestemmelser om tilgængelighed, autenticitet, integritet og fortrolighed med hensyn til databeskyttelse, herunder personoplysninger.
Det foreslås i § 333 j, stk. 2, nr. 4, at de kontraktretlige ordninger for brugen af it-tjenester mindst skal omfatte bestemmelser om sikring af adgang, genopretning og tilbagelevering af data i et tilgængeligt format i tilfælde af insolvens, afvikling eller afbrydelse af de forretningsaktiviteter, som tredjepartsudbyderen varetager, eller i tilfælde af opsigelse af kontrakten.
Det bemærkes, at tilbageleveringen af data i et let tilgængeligt format skal ses i sammenhæng med både databeskyttelse og dataportabilitet, hvilket indebærer at et let tilgængeligt format i denne sammenhæng både kan forstås som læsbart for personer og i et format, der kan overføres til andre typer systemer, hvori de pågældende data skal kunne behandles.
Det foreslås i § 333 j, stk. 2, nr. 5, at de kontraktretlige ordninger for brugen af it-tjenester mindst skal omfatte beskrivelser af serviceniveauet, herunder ajourføringer og revisioner heraf.
Det foreslås i § 333 j, stk. 2, nr. 6, at de kontraktretlige ordninger for brugen af it-tjenester mindst skal omfatte en forpligtelse for tredjepartsudbyderen til at yde bistand til operatøren uden yderligere omkostninger eller til en omkostning, der fastsættes på forhånd, hvis der opstår en it-hændelse, der vedrører den it-tjeneste, som leveres til operatøren.
Det foreslås i § 333 j, stk. 2, nr. 7, at de kontraktretlige ordninger for brugen af it-tjenester mindst skal omfatte en forpligtelse for tredjepartsudbyderen til at samarbejde fuldt ud med Finanstilsynet og afviklingsmyndigheder, herunder personer, som myndighederne har udpeget.
Det foreslås i § 333 j, stk. 2, nr. 8, at de kontraktretlige ordninger for brugen af it-tjenester mindst skal omfatte opsigelsesrettigheder og dertil knyttede minimumsfrister for opsigelse af de kontraktlige ordninger.
Overtrædelse af § 333 j, stk. 2, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den foreslåede ændring af § 372, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil bestå i ikke at overholde minimumskravene fastsat i § 333 j, stk. 2.
Det foreslås i § 333 j, stk. 3, at de kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, ud over de elementer, der er oplistet i stk. 2, mindst skal omfatte en række yderligere elementer, der følger af § 333 j, stk. 3, nr. 1-6.
Med den foreslåede bestemmelse bliver der fastsat yderligere minimumskrav, som stilles til kontrakter for brugen af it-tjenester, der vedrører kritiske eller vigtige funktioner ud over de krav, som følger af stk. 2. Kontrakter for brugen af it-tjenester, der vedrører kritiske eller vigtige funktioner, skal således indeholde alle elementer, som er opregnet i stk. 2, nr. 1-8, og alle elementer, som er opregnet i stk. 3, nr. 1-6.
De yderligere elementer tager generelt sigte på at imødekomme det forøgede behov, som den finansielle digitale infrastruktur har i forhold til at styre de særlige eller forøgede risici, der følger af, at driften af it-tjenester, der understøtter kritiske eller vigtige funktioner, varetages af en anden virksomhed, som kan være etableret i en anden jurisdiktion, herunder fra jurisdiktioner i tredjelande.
Vurderingen af hvornår en funktion anses for at være kritiske eller vigtig vil skulle foretages under hensyn til DORA-forordningens artikel 3, nr. 22, hvori definitionen på en kritisk eller vigtig funktion er fastlagt.
Heraf fremgår det, at en funktion er kritisk eller vigtig, hvis forstyrrelse i væsentlig grad kan forringe en finansiel enheds finansielle resultater, eller robustheden eller kontinuiteten af dens tjenester og aktiviteter, eller som, hvis den pågældende funktion afbrydes, er fejlbehæftet eller mislykkes, i væsentlig grad kan forringe en finansiel enheds opfyldelse af de betingelser og forpligtelser, der er forbundet med dens tilladelse, eller af dens andre forpligtelser i henhold til gældende finansiel tjenesteydelsesret.
Det foreslås i § 333 j, stk. 3, nr. 1, at de kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, ud over de elementer, der er oplistet i stk. 2, mindst skal omfatte en fuldstændig beskrivelse af serviceniveauer, herunder ajourføringer og revisioner heraf, med præcise kvantitative og kvalitative præstationsmål inden for de aftalte serviceniveauer, så operatøren kan foretage en effektiv overvågning af it-tjenester, og den uden unødigt ophold kan træffe passende afhjælpende foranstaltninger, når de aftalte serviceniveauer ikke overholdes.
Det foreslås i § 333 j, stk. 3, nr. 2, at de kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, ud over de elementer, der er oplistet i stk. 2, mindst skal omfatte opsigelsesfrister og indberetningsforpligtelser for tredjepartsudbyderen af it-tjenester over for den finansielle digitale infrastruktur, herunder underretning om enhver udvikling, som kan have væsentlig indvirkning på, hvorvidt tredjepartsudbyderen har evnen til effektivt at levere it-tjenester, der understøtter kritiske eller vigtige funktioner i overensstemmelse med de aftalte serviceniveauer
Det foreslås i § 333 j, stk. 3, nr. 3, at de kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, ud over de elementer, der er oplistet i stk. 2, mindst skal omfatte krav til tredjepartsudbyderen om at gennemføre og teste beredskabsplaner og indføre it-sikkerhedsforanstaltninger, -værktøjer og -politikker, som giver et passende niveau af sikkerhed for, at operatøren kan levere sine tjenester.
Det foreslås i § 333 j, stk. 3, nr. 4, at de kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, ud over de elementer, der er oplistet i stk. 2, mindst skal omfatte en forpligtelse for tredjepartsudbyderen til at deltage i og fuldt ud samarbejde om operatørens trusselsbaserede penetrationstest som omhandlet i § 333 g, stk. 3.
Det bemærkes, at tredjepartsudbydere som varetager it-drift af kritiske eller vigtige forretningsfunktioner, skal kunne pålægges at deltage i – og blive genstand for trusselsbaserede penetrationstest i forhold til deres drift af it-tjenester for operatører og operatørernes tilsluttede finansielle virksomheder.
Det foreslås i § 333 j, stk. 3, nr. 5, at de kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, ud over de elementer, der er oplistet i stk. 2, mindst skal omfatte en ret til løbende at overvåge tredjepartsudbyderens opgavevaretagelse og risikostyring, herunder adgangs- og inspektions- og revisionsrettigheder for operatøren, Finanstilsynet eller udpegede tredjeparter og adgang til nødvendig information og dokumentation.
Det foreslås i § 333 j, stk. 3, nr. 6, litra a og b, at de kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, ud over de elementer, der er oplistet i stk. 2, mindst skal omfatte exitstrategier, herunder indførelse af en obligatorisk passende overgangsperiode a) i løbet af hvilken tredjepartsudbyderen fortsat leverer de respektive funktioner eller it-tjenester med henblik på at mindske risikoen for forstyrrelser i operatøren eller sikre en effektiv afvikling eller omstrukturering heraf, og b) som giver operatøren mulighed for at migrere til en anden tredjepartsudbyder, eller skifte til interne løsninger, der stemmer overens med den leverede tjenestes kompleksitet.
Overtrædelse af § 333 j, stk. 3, foreslås strafbelagt i § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed med den i lovforslaget foreslåede ændring af § 373, stk. 2, i lov om finansiel virksomhed. Ansvarssubjektet er operatøren af finansiel digital infrastruktur. Den strafbare handling vil bestå i at indgå kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, uden at de kontraktlige ordninger omfatter exitstrategier, herunder med en overgangsperiode, der opfylder kravene i litra a og b.
DORA-forordningens artikel 45 regulerer ordninger for informationsudveksling af oplysninger og efterretninger om cybertrusler.
Det foreslås i § 333 k, stk. 1, at en operatør af finansiel digital infrastruktur kan udveksle oplysninger og efterretninger om cybertrusler i overensstemmelse med reglerne i kapitel VI, i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, og indgå i ordninger oprettet i henhold til forordningens artikel 45, stk. 2. En operatør af finansiel digital infrastruktur kan ligeledes udveksle relevante cybersikkerhedsoplysninger i overensstemmelse med reglerne i kapitel VI, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, og indgå i ordninger oprettet i overensstemmelse hermed.
Den foreslåede bestemmelse angår muligheden for at en operatør af finansiel digital infrastruktur kan deltage i de frivillige ordninger for informationsudveksling, som er oprettet af finansielle virksomheder i henhold til DORA-forordningens artikel 45, stk. 2.
Ordningerne har til formål at muliggøre informationsudveksling i pålidelige miljøer, for at hjælpe den finansielle sektor til at forebygge og i fællesskab sætte ind over for cybertrusler ved hurtigt at begrænse spredningen af it- og cyberrisici.
En operatørs deltagelse vil desuden forudsætte, at den relevante ordnings bestemmelser om inddragelse af it-tredjepartsudbydere indeholder denne mulighed.
Den foreslåede bestemmelse vil også medføre, at operatører af finansielle digitale infrastrukturer kan udveksle cybersikkerhedsoplysninger i overensstemmelse med NIS 2-direktivets artikel 29 og deltage i ordninger for informationsudveksling oprettet i henhold hertil.
Det foreslås i § 333 k, stk. 2, at en operatør skal underrette Finanstilsynet om sin deltagelse i de ordninger, der er nævnt i stk. 1, og i tilfælde af udtrædelse af sådanne ordninger.
Det foreslåede vil fastsætte en pligt for operatøren af finansiel digital infrastruktur til at underrette Finanstilsynet om sin deltagelse eller udtrædelse i en ordning i henhold til DORA-forordningens kapitel IV eller en ordning i henhold til NIS 2-direktivets artikel 29.
I henhold til NIS 2-direktivets artikel 27, stk. 1, opretter og fører ENISA et register over en række kategorier af enheder, som er væsentlige i henhold til direktivets artikel 3, jf. bilag I.
Med henblik på oprettelse og ajourføring af dette register skal alle virksomheder omfattet af NIS 2-direktivet afgive de nødvendige informationer til de kompetente myndigheder, indenfor nærmere bestemte frister, i henhold til NIS 2-direktivets artikel 27, stk. 2, og stk. 3.
Det foreslås i § 333 l, stk. 1, nr. 1-3, at en operatør af finansiel digital infrastruktur skal oplyse Finanstilsynet om følgende: 1) Operatørens navn. 2) Adressen på operatørens hovedforretningssted og dens andre retlige forretningssteder i Den Europæiske Union. 3) Den relevante sektor og delsektor og typen af enhed, som nævnt i bilag I, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen. 4) Operatørens kontaktoplysninger, herunder e-mailadresser, IP-intervaller og telefonnumre på operatøren. 5) De medlemsstater, hvor operatøren leverer tjenester.
Det foreslåede vil fastsætte de oplysningerne der skal afgives efter udpegning.
Det foreslås i § 333 l, stk. 2, at ved ændring af oplysningerne i stk. 1 skal operatøren af finansiel digital infrastruktur straks og senest tre måneder efter ændringen underrette Finanstilsynet herom.
Finanstilsynet påser i dag, at fælles datacentraler og it-operatører af detailbetalingssystemer overholder relevante regler i hhv. lov om finansiel virksomhed, lov om kapitalmarkeder og regler udstedt i medfør heraf. Dette følger af § 344, stk. 1, i lov om finansiel virksomhed og § 211, stk. 1, i lov om kapitalmarkeder.
Det foreslås i § 333 m, at kapitel 21 om tilsyn og kapitel 23 om delegation og klager, i lov om finansiel virksomhed og regler udstedt i medfør af disse kapitler skal finde tilsvarende anvendelse for operatører af finansielle digitale infrastrukturer med de nødvendige tilpasninger.
Den foreslåede bestemmelse vil indebære, at Finanstilsynets eksisterende tilsynsramme, der følger af kapitel 21 og 23 i lov om finansiel virksomhed, vil finde tilsvarende anvendelse for operatører af finansielle digitale infrastrukturer.
Kapitel 21 i lov om finansiel virksomhed indeholder regler om tilsyn, herunder bl.a. en række konkrete tilsynsbeføjelser, regler om tavshedspligt, offentliggørelse af afgørelser og partsstatus.
Det foreslåede vil bl.a. medføre, at Finanstilsynet ved sin tilsynskompetence i medfør af § 344, stk. 1, i lov om finansiel virksomhed vil få beføjelser til at føre tilsyn med operatører af finansielle digitale infrastrukturer og deres overholdelse af reglerne i nærværende lovforslag. Det foreslåede indebærer bl.a. også, at tilsynet med operatører af finansielle digitale infrastrukturer indgår i Finanstilsynets tilrettelæggelse af sin tilsynsvirksomhed i henhold til § 344, stk. 2 og 3, i lov om finansiel virksomhed, og at Finanstilsynets bestyrelse vil indgå i tilsynet med den kompetence, som bestyrelsen er tillagt i medfør af § 345 i lov om finansiel virksomhed.
Det foreslåede vil også indebære, at tilsynsbeføjelsen til at udstede påbud og påtaler for overtrædelse af lov om finansiel virksomhed og regler udstedt i medfør heraf, der følger af kompetencen i § 344, stk. 1, i lov om finansiel virksomhed også vil komme til at gælde i forhold til operatører af finansielle digitale infrastrukturer. Ligeledes vil Finanstilsynets beføjelser til at indhente oplysninger og foretage kontroller, som bl.a. følger af § 347 i lov om finansiel virksomhed finde tilsvarende anvendelse.
Med disse tilsynsbeføjelser vil de krav til den kompetente myndigheds tilsyns- og håndhævelsesbeføjelser, der følger af NIS 2-direktivets artikel 32, stk. 2, litra a og e-g, og stk. 4, litra b-f, h og i, også blive implementeret.
Bestemmelsen vil herudover også indebære, at den tavshedspligt, som Finanstilsynet er pålagt i medfør af § 354 i lov om finansiel virksomhed tilsvarende finder anvendelse for fortrolige oplysninger vedrørende operatører af finansielle digitale infrastrukturer. Ligesom reglerne om offentliggørelse af Finanstilsynets afgørelser vil finde tilsvarende anvendelse på afgørelser truffet over for operatører af finansielle digitale infrastrukturer.
Kapitel 23 i lov om finansiel virksomhed indeholder bestemmelser om klageadgang og delegation.
Bestemmelsen vil derfor også indebære, at Erhvervsankenævnet bliver klageinstans for afgørelser truffet af Finanstilsynet overfor operatører af finansielle digitale infrastrukturer i henhold til lov om finansiel virksomhed og regler udsted i medfør heraf.
I NIS 2-direktivets artikel 32, stk. 2 og 4, fastsættes en række tilsyns- og håndhævelsesbeføjelser for overtrædelse af forpligtelser fastsat i medfør af direktivet. hvorfor det foreslås at fastsætte disse i en særskilt bestemmelse herom.
Det foreslås i § 333 n, stk. 1, nr. 1, at Finanstilsynet kan pålægge en operatør af finansiel digital infrastruktur regelmæssige og målrettede sikkerhedsaudits udført af et kvalificeret uafhængigt organ eller en kompetent myndighed og at afholde udgifterne hertil.
Den foreslåede bestemmelse vil implementere artikel 32, stk. 2, litra b, i NIS 2-direktivet. Den foreslåede ændring vil medføre, at operatører af finansielle digitale infrastrukturer fremover vil kunne pålægges uafhængige sikkerhedsaudits og at afholde udgifterne hertil. En sådan foranstaltning vil kunne benyttes i situationer, hvor det almindelige løbende tilsyn ikke skønnes at være tilstrækkeligt.
Det foreslås i § 333 n, stk. 1, nr. 2, at Finanstilsynet kan pålægge en operatør af finansiel digital infrastruktur ad hoc-audits, herunder hvor det er berettiget på grund af en væsentlig hændelse eller en overtrædelse af loven.
Den foreslåede bestemmelse vil implementere artikel 32, stk. 2, litra c, i NIS 2-direktivet.
Foranstaltningerne i litra c svarer til de beføjelser, der også hidtil har været i lovgivningen med den forskel, at der ikke har været praksis for eksterne ad-hoc audits på det digitale operationelle område. Der er allerede hjemmel til at foretage almindelige inspektioner og pålægge sagkyndige undersøgelser efter kapitel 21 i lov om finansiel virksomhed, men den foreslåede ændring vil medføre, at der skal ligge en væsentlig hændelse til grund for en afgørelse om pålæg af en ad hoc-audit. En sådan foranstaltning vil f.eks. kunne benyttes i situationer, hvor en væsentlig hændelse indikerer alvorlige mangler i operatørens styring af sine it- eller cyberrisici, og det almindelige løbende tilsyn ikke skønnes at være tilstrækkeligt. Sikkerhedsaudits, der gennemføres efter den foreslåede bestemmelse, skal være baseret på risikovurderinger, som er foretaget af Finanstilsynet, den finansielle digitale infrastruktur eller på anden tilgængelig risikoinformation, jf. NIS 2-direktivets artikel 32, stk. 2.
Det foreslås i § 333 n, stk. 1, nr. 3, at Finanstilsynet kan pålægge en operatør af finansiel digital infrastrukturer sikkerhedsscanninger baseret på objektive, ikke-diskriminerende, fair og gennemsigtige risikovurderingskriterier, hvor det er nødvendigt i samarbejde med den berørte finansielle digitale infrastruktur.
Beføjelsen vil implementere NIS 2-direktivets artikel 32, stk. 2, litra d, og er ny.
Det foreslås i § 333 n, stk. 1, nr. 4, at Finanstilsynet kan udstede advarsler om en operatør af finansiel digital infrastrukturs overtrædelse af loven.
Advarsler er en ny håndhævelsesbeføjelse, der ikke følger af de nuværende regler på det operationelle område. Advarsler kan udstedes ved overtrædelser uafhængig af en evt. forudgående inspektion.
Den foreslåede bestemmelse vil implementere NIS 2-direktivets artikel 32, stk. 4, litra a.
Det foreslås i § 333 n, stk. 1, nr. 5, at Finanstilsynet kan udpege en overvågningsansvarlig med veldefinerede opgaver til i en nærmere fastsat periode at føre tilsyn med operatørens overholdelse af §§ 333 a og 333 f.
Det fremgår af den foreslåede bestemmelse, at den person, der udpeges til at føre tilsyn, alene vil skulle føre tilsyn med operatørens overholdelse af regler fastsat i medfør af §§ 333 a og 333 f. Afgrænsningen skyldes, at artikel 32, stk. 4, litra g, i NIS 2-direktivet tilsvarende afgrænser den udpegede persons tilsyn til at omfatte overholdelse af direktivets artikel 21 og 23, der ved dette lovforslag implementeres i de foreslåede §§ 333 a og 333 f i lov om finansiel virksomhed.
Forslaget vil implementere NIS 2-direktivets artikel 32, stk. 4, litra g.
Helheden af det foreslåede § 333 n vil ligeledes være et supplement til de beføjelser Finanstilsynet har som følge af kapitel 21 i lov om finansiel virksomhed, jf. det foreslåede § 333 m.
Det kræver i dag ikke særskilt tilladelse fra Finanstilsynet eller andre myndigheder, at drive virksomhed som fælles datacentral. Derfor er det heller ikke ved nærværende lovforslag foreslået, at de virksomheder, der udpeges som operatør af finansiel digital infrastruktur skal underlægges et særskilt tilladelseskrav hertil, men alene at disse virksomheder kan udpeges, jf. den foreslåede § 333 i lov om finansiel virksomhed.
Ligeledes kræver det i dag heller ikke godkendelse fra Finanstilsynet at besidde stillinger i ledelsen hos fælles datacentraler, og sådanne ledelsesmedlemmer er heller ikke omfattet af f.eks. krav til egnethed og hæderlighed.
De gældende regler for fælles datacentraler indebærer således heller ikke mulighed for, at Finanstilsynet kan suspendere en tilladelse eller påbyde en fælles datacentral at afsætte et ledelsesmedlem.
Straffelovens § 79 indeholder regler om rettighedsfrakendelse ved dom for strafbare forhold, og bestemmelsen udgør den almindelige regel i dansk ret om rettighedsfrakendelse.
Efter straffelovens § 79, stk. 1, kan den, som udøver en af de virksomheder omfattet af straffelovens § 78, stk. 2, ved dom for strafbart forhold frakendes retten til fortsat at udøve den pågældende virksomhed eller til at udøve den under visse former, såfremt det udviste forhold begrunder en nærliggende fare for misbrug af stillingen. Det samme gælder, når særlige omstændigheder taler derfor, om udøvelsen af anden virksomhed, jf. straffelovens § 79, stk. 2. Efter samme regel kan der ske frakendelse af retten til at deltage i ledelsen af en erhvervsvirksomhed her i landet eller i udlandet uden at hæfte personligt og ubegrænset for virksomhedens forpligtelser. Frakendelsen sker på tid fra 1 til 5 år regnet fra endelig dom, eller indtil videre.
Med NIS 2-direktivet følger imidlertid krav om, at den relevante tilsynsmyndighed har to særlige håndhævelsesbeføjelser, jf. direktivets artikel 32, stk. 5. Den ene beføjelse angår tilsynsmyndighedens mulighed for midlertidigt at suspendere en myndighedsudstedt certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, enheden leverer, eller aktiviteter, der udføres af enheden. Den anden angår tilsynsmyndighedens mulighed for midlertidigt at forbyde enhver fysisk person med ledelsesansvar på direktionsniveau eller juridisk repræsentant i enheden at udøve ledelsesfunktioner i denne.
Det foreslås derfor § 333 o, stk. 1, nr. 1 og 2, at efterkommer en operatør af finansiel digital infrastruktur ikke Finanstilsynets påbud i medfør af denne lov, og efterkommer operatøren ikke påbuddet inden en fornyet frist, som Finanstilsynet efterfølgende sætter, kan Finanstilsynet træffe afgørelse om følgende: 1) Midlertidigt at suspendere en myndighedsudstedt certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, operatøren leverer, eller aktiviteter, der udføres af operatøren. 2) Midlertidigt at forbyde enhver fysisk person med ledelsesansvar på direktionsniveau eller juridisk repræsentant i operatøren at udøve ledelsesfunktioner i denne.
Den foreslåede bestemmelse vil implementere artikel 32, stk. 5, 1. afsnit, i NIS 2-direktivet. Det følger af bestemmelsen i direktivets artikel 32, stk. 5, 1. afsnit, at medlemsstaterne skal sikre, at de kompetente myndigheder i en situation, hvor håndhævelsesforanstaltninger anvendt i medfør af direktivets artikel 32, stk. 4, litra a-d og f, er virkningsløse, skal have beføjelse til at fastsætte en frist inden for hvilken den væsentlige enhed skal tage de nødvendige tiltag for at afhjælpe manglerne eller opfylde myndighedernes krav. Hvis de ønskede tiltag ikke tages inden for den fastsatte frist, skal de kompetente myndigheder have beføjelse til: a) midlertidigt at suspendere, eller anmode et certificerings- eller godkendelsesorgan eller en domstol om i overensstemmelse med national ret midlertidigt at suspendere en certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, der leveres, eller aktiviteter, der udføres, af en væsentlig enhed, og b) at anmode de relevante organer eller domstole om i overensstemmelse med national ret midlertidigt at forbyde enhver fysisk person med ledelsesansvar på direktionsniveau eller som juridisk repræsentant i den pågældende væsentlige enhed at udøve ledelsesfunktioner i den pågældende enhed.
Det bemærkes, at de eksisterende muligheder for rettighedsfrakendelse i straffeloven ikke vurderes tilstrækkelige til at sikre korrekt og tilstrækkelig implementering af bestemmelsen i direktivet.
Det foreslåede er ikke en tekstnær implementering af artikel 32, stk. 5, 1. afsnit i NIS 2-direktivet, da den foreslåede bestemmelse er tilpasset den øvrige tilsynsramme, der foreslås for operatører af digitale finansielle infrastrukturer i lov om finansiel virksomhed. Den foreslåede bestemmelse skal dog forstås og anvendes i overensstemmelse med direktivets forudsætninger og eventuelle fortolkningsbidrag fra Kommissionen, ENISA eller andre af EU’s institutioner.
Det bemærkes i den forbindelse, at det af den danske oversættelse af NIS 2-direktivets artikel 32, stk. 5, 1. afsnit, fremgår, at bestemmelsen kan anvendes, hvor de relevante håndhævelsesforanstaltninger er »virkningsløse«. Denne oversættelse vurderes imidlertid ikke at være forenelig med den engelske udgave af direktivet, hvori »ineffective« er anvendt. Det er således vurderingen, at formuleringen »virkningsløse« vil udgøre en indholdsmæssig forskydning i forhold til den engelske sprogversion. Det er desuden vurderingen, at et kriterium om, at foranstaltningerne er »virkningsløse«, vil indebære, at enhver virkning af de anvendte foranstaltninger – uanset om virkningen måtte være utilstrækkelig eller endda negativ – vil betyde, at bestemmelsen ikke vil kunne anvendes. Det vurderes, at dette reelt vil gøre bestemmelsen uanvendelig i praksis i strid med direktivets forudsætninger. Det er derfor Erhvervsministeriets opfattelse af formuleringen »virkningsløse«, skal forstås som »utilstrækkelige«.
Den foreslåede bestemmelse skal på baggrund heraf forstås således, at det vil være en forudsætning for anvendelse af bestemmelsen, at Finanstilsynets påbud eller øvrige tilsynsskridt har vist sig utilstrækkelige. Det er dermed også en forudsætning, at mindre indgribende midler har været forsøgt, og at disse har vist sig utilstrækkelige til at sikre, at operatøren foretager de nødvendige tiltag for at afhjælpe mangler, som den kompetente myndighed har konstateret, eller opfylder den kompetente myndigheds krav.
Bestemmelsen vil skulle anvendes i overensstemmelse med direktivets forudsætninger som udtrykt i præambelbetragtning nr. 133, hvorefter bestemmelsen kun bør anvendes som en sidste udvej, dvs. først efter at de øvrige, relevante håndhævelsesforanstaltninger er udtømt. Det fremgår videre af samme præambelbetragtning, at i betragtning af deres alvor og indvirkning på enhedernes aktiviteter og i sidste ende brugerne, bør sådanne midlertidige suspensioner eller forbud kun anvendes proportionalt med overtrædelsens alvor og under hensyntagen til omstændighederne i hvert enkelt tilfælde, herunder i lyset af, om overtrædelsen var forsætlig eller uagtsom, og ethvert tiltag, der er iværksat for at forebygge eller afbøde den materielle eller immaterielle skade.
Der vil efter den foreslåede bestemmelse skulle fastsættes en nærmere angivet frist, inden for Finanstilsynets påbud skal være efterlevet, og manglerne derved være afhjulpet eller kravene være opfyldt. Varigheden af fristen vil afhænge af en konkret vurdering, som foretages af Finanstilsynet.
Den foreslåede bestemmelse i stk. 1, nr. 1, vil indebære, at såfremt operatøren ikke har afhjulpet manglerne eller efterkommet de krav som Finanstilsynet har påbudt inden for den fastsatte frist, kan Finanstilsynet træffe afgørelse om midlertidigt at suspendere en myndighedsudstedt certificering eller godkendelse vedrørende dele af eller alle de tjenester, operatøren leverer, eller aktiviteter, der udføres af operatøren.
En afgørelse efter nr. 1 vil være af midlertidig karakter. Der henvises i øvrigt til det foreslåede stk. 2, hvorefter afgørelsen kun kan opretholdes, så længe operatøren ikke har afhjulpet manglerne eller efterlever Finanstilsynets påbud.
Efter den foreslåede bestemmelse vil det alene være myndighedsudstedte godkendelser eller certificeringer, der kan suspenderes. Det vurderes således ikke at have været hensigten med bestemmelsen i direktivet, at godkendelser eller certificeringer, der er udstedt af private virksomheder, eksempelvis en ISO 27001-certificering, skal kunne suspenderes.
Den foreslåede bestemmelse giver ikke i sig selv hjemmel til at suspendere en myndighedsudstedt certificering. Det vil således forudsætte, at der er skabt hjemmel til at suspendere certificeringen i den relevante regulering.
Den foreslåede bestemmelse i stk. 1, nr. 2, vil indebære, at såfremt operatøren ikke har afhjulpet manglerne eller efterkommet de krav, som Finanstilsynet har påbudt, inden for den fastsatte frist, kan Finanstilsynet træffe afgørelse om midlertidigt at forbyde enhver fysisk person med ledelsesansvar på direktionsniveau eller juridisk repræsentant i operatøren at udøve ledelsesfunktioner i den pågældende operatør.
En afgørelse efter nr. 2 vil være af midlertidig karakter. Der henvises i øvrigt til det foreslåede stk. 2, hvorefter afgørelsen kun kan opretholdes, så længe operatøren ikke har afhjulpet manglerne eller efterlever myndighedens krav.
Det følger af NIS 2-direktivets artikel 32, stk. 7, at den kompetente myndighed ved anvendelsen af håndhævelsesforanstaltninger såsom suspension eller forbud efter den foreslåede bestemmelse, skal tage hensyn til en række nærmere angivne forhold.
NIS 2-direktivet foreskriver nærmere, hvilke hensyn, der skal indgå i en afgørelse om at træffe håndhævelsesforanstaltninger. I direktivets artikel 32, stk. 7, er følgende hensyn oplistet: 1) overtrædelsens grovhed og vigtigheden af de overtrådte bestemmelser, idet bl.a. følgende under alle omstændigheder skal betragtes som alvorlige overtrædelser: a) gentagne overtrædelser, b) manglende underretning om eller afhjælpning af væsentlige hændelser, c) manglende afhjælpning af mangler efter bindende instrukser fra den kompetente myndighed, d) hindringer for audits eller overvågningsaktiviteter beordret af den kompetente myndighed efter konstatering af en overtrædelse, e) afgivelse af urigtige eller klart unøjagtige oplysninger vedrørende cybersikkerhedsforanstaltninger eller rapporteringsforpligtelser, der er fastsat i direktivets artikel 21 og 23, 2) overtrædelsens varighed, 3) den pågældende enheds relevante tidligere overtrædelser, 4) enhver materiel eller immateriel skade, der er forårsaget, herunder ethvert finansielt eller økonomisk tab, virkninger for andre tjenester og antallet af brugere, der er berørt, 5) hvorvidt gerningsmanden har begået overtrædelsen forsætligt eller uagtsomt, 6) enhver foranstaltning truffet af enheden for at forebygge eller afbøde den materielle eller immaterielle skade, 7) hvorvidt godkendte adfærdskodekser eller godkendte certificeringsmekanismer er overholdt, og 8) i hvilken udstrækning de fysiske eller juridiske personer, der holdes ansvarlige, samarbejder med den kompetente myndighed.
Det foreslås i § 333 o, stk. 2, at midlertidige suspensioner eller forbud, som er pålagt i medfør af stk. 1, kun kan anvendes, indtil operatøren træffer de nødvendige foranstaltninger til at afhjælpe de mangler eller opfylde de krav, som gav anledning til, at foranstaltningerne i medfør af stk. 1, blev anvendt.
Den foreslåede bestemmelse vil implementere NIS 2-direktivets artikel 32, stk. 5, 2. afsnit, 1. pkt., hvoraf det følger, at midlertidige suspensioner eller forbud, som er pålagt i henhold til dette stykke, kun anvendes, indtil den pågældende operatør træffer de nødvendige foranstaltninger til at afhjælpe manglerne eller opfylde den kompetente myndigheds krav, som gav anledning til, at disse håndhævelsesforanstaltninger blev anvendt.
Den foreslåede bestemmelse svarer således indholdsmæssigt til NIS 2-direktivets artikel 32, stk. 5, 2. afsnit, og skal forstås og anvendes i overensstemmelse med direktivets forudsætninger og eventuelle fortolkningsbidrag fra Kommissionen, ENISA eller andre af EU’s institutioner.
Den foreslåede bestemmelse vil indebære, at Finanstilsynet skal træffe afgørelse om at ophæve en suspension eller et forbud, når operatøren har afhjulpet de mangler eller opfyldt de krav, som gav anledning til, at foranstaltningen blev anvendt.
Det foreslås i § 333 o, stk. 3, at en afgørelse efter stk. 1, af operatøren af finansiel digital infrastruktur eller den fysiske person, afgørelsen vedrører, kan forlanges indbragt for domstolene. Sagen anlægges i den borgerlige retsplejes former.
Den foreslåede bestemmelse vil implementere NIS 2-direktivets artikel 32, stk. 5, 2. afsnit, 2. pkt., hvoraf det følger, at pålæggelse af midlertidige suspensioner eller forbud skal være underlagt passende proceduremæssige garantier i overensstemmelse med de generelle principper i EU-retten og chartret, herunder retten til effektive retsmidler og til en retfærdig rettergang, uskyldsformodningen og retten til et forsvar.
Det vil efter den foreslåede bestemmelse være muligt for operatøren eller den fysiske person, som afgørelsen om suspension eller forbud vedrører, at forlange afgørelsen indbragt for retten. Når en sådan sag indbringes for retten, vil bestemmelserne i retsplejeloven finde anvendelse, hvilket vil sikre de nødvendige retssikkerhedsgarantier.
Den foreslåede bestemmelse vil ikke afskære operatøren eller den fysiske person, som afgørelsen vedrører, fra at påklage afgørelsen som led i almindelig administrativ rekurs, herunder til Erhvervsankenævnet.
Både NIS 2-direktivet og DORA-forordningen indeholder delegationer til, at Kommissionen kan fastsætte nærmere bindende regler på en række områder.
Det foreslås i § 333 p, at Finanstilsynet kan fastsætte nærmere regler om it- og cyberrisikostyring og kontrol- og sikringsforanstaltninger i en operatør af finansiel digital infrastruktur, herunder om de forhold, der er oplistet i nr. 1-8.
Den foreslåede bestemmelse vil indebære, at Finanstilsynet ved bekendtgørelse kan fastsætte regler, der implementerer eventuelle krav i delegerede retsakter, som udspringer NIS 2-direktivet, eller afspejler krav der udspringer af delegerede retsakter til DORA-forordningen, og som skal gælde tilsvarende for operatører af finansielle digitale infrastrukturer. Bekendtgørelser, der fastsætter regler, som implementerer eventuelle krav, der udspringer af NIS 2-direktivet, vil skulle udarbejdes i tæt koordination med Forsvarsministeriet.
Det foreslås i nr. 1, at Finanstilsynet kan fastsætte nærmere regler om indholdet af rammerne for styring af it- og cyberrisici og om indholdet af strategier og politikker på området for digital operationel modstandsdygtighed.
Det foreslås i nr. 2, at Finanstilsynet kan fastsætte nærmere regler om det øverste ledelsesorgans opgaver i forbindelse med styringen af it- og cyberrisici.
Det foreslås i nr. 3, at Finanstilsynet kan fastsætte nærmere regler om operatører af finansielle digitale infrastrukturers rapportering af væsentlige hændelser og cybertrusler.
Det foreslås i nr. 4, at Finanstilsynet kan fastsætte nærmere regler om test, herunder eksterne test, af en operatør af finansielle digitale infrastrukturers cybersikkerhed.
Det foreslås i nr. 5, at Finanstilsynet kan fastsætte nærmere regler om krav til testere af en operatør af finansielle digitale infrastrukturers cybersikkerhed.
Det foreslås i nr. 6, at Finanstilsynet kan fastsætte nærmere regler om styring og rapportering af tredjepartsrisici.
Det foreslås i nr. 7, at Finanstilsynet kan fastsætte nærmere regler om obligatorisk brug af særlige sikkerhedscertificerede produkter eller tjenesteydelser.
Det foreslås i nr. 8, at Finanstilsynet kan fastsætte nærmere regler om den interne og eksterne systemrevision i operatører af finansielle digitale infrastrukturer.
Det er tiltænkt med den foreslåede bemyndigelse i nr. 8, at Finanstilsynet vil udstede en systemrevisionsbekendtgørelse for operatører af finansielle digitale infrastrukturer, som viderefører de gældende nationale regler om systemrevision, der også i dag gælder for fælles datacentraler og it-operatører af detailbetalingssystemer.
Den foreslåede vil derfor også være en videreførelse af den bemyndigelse, der i dag følger af § 199, stk. 12, i lov om finansiel virksomhed, og § 180 h i lov om kapitalmarkeder, og som er blevet udnyttet til at udstede bekendtgørelse nr. 1581 af 22. december 2022.
Til nr. 28 (Afsnit X c i lov om finansiel virksomhed)
Kapitel 20 c i lov om finansiel virksomhed finder anvendelse for fælles datacentraler.
Ved fælles datacentraler forstås virksomheder, hvis væsentligste aktiviteter omfatter it-drifts- eller udviklingsopgaver for flere finansielle virksomheder, finansielle holdingvirksomheder, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder, og som overvejende er ejet af en eller flere finansielle virksomheder m.v. eller foreninger, hvis medlemmer overvejende er finansielle virksomheder, jf. § 343 q, stk. 1, i lov om finansiel virksomhed.
Det følger af § § 343 q, stk. 2, i lov om finansiel virksomhed, at reglerne for fælles datacentraler endvidere omfatter datacentraler, der udfører både væsentlig it-drift og it-udvikling for den fælles betalingsinfrastruktur, medmindre de har tilladelse som it-operatør af et detailbetalingssystem, jf. § 180 a, stk. 1, i lov om kapitalmarkeder.
Af § 343 r, stk. 1, i lov om finansiel virksomhed fremgår det, at kravet om betryggende kontrol- og sikringsforanstaltninger på it-området i § 71, stk. 1, nr. 8, finder tilsvarende anvendelse på fælles datacentraler.
Det følger videre af § 343 r, stk. 2, i lov om finansiel virksomhed, at regler om betryggende kontrol- og sikringsforanstaltninger på it-området, der er udstedt i medfør af § 71, stk. 3, i lov om finansiel virksomhed finder tilsvarende anvendelse for fælles datacentraler. Bemyndigelsen i § 71, stk. 3, i lov om finansiel virksomhed er udnyttet til at udstede bekendtgørelse nr. 1103 af 30. juni 2022 om ledelse og styring af pengeinstitutter m.v., herunder bekendtgørelsens bilag 5, der fastsætter nærmere regler om bl.a. datacentralernes styring af it- og cybersikkerhed.
Det følger herudover af § 343 r, stk. 3, i lov om finansiel virksomhed, at reglerne om outsourcing udstedt i medfør af § 72 a i lov om finansiel virksomhed finder tilsvarende anvendelse for fælles datacentraler, hvis de fælles datacentraler outsourcer it-opgaver, der udføres for virksomheder omfattet af lovens § 5, stk. 1. Bemyndigelsen er udnyttet til at udstede bekendtgørelse nr. 973 af 22. juni 2022 om outsourcing for kreditinstitutter m.v., der bl.a. også omfatter datacentraler.
Det foreslås derfor at ophæve afsnit X c i lov om finansiel virksomhed.
Det foreslåede skal ses i sammenhæng med de foreslåede regler i afsnit IX c, i lov om finansiel virksomhed, som affattet ved lovforslagets § 1, nr. 27, der vil erstatte reglerne for fælles datacentraler i afsnit X c.
Den foreslåede ophævelse af afsnit X c vil indebære at de fælles datacentraler, som udpeges som finansielle digitale infrastrukturer i medfør af den foreslåede § 333 i lov om finansiel virksomhed, alene vil være reguleret af reglerne i det foreslåede afsnit IX c, i lov om finansiel virksomhed.
Ophævelsen vil også indebære, at fælles datacentraler ikke længere vil blive reguleret i bekendtgørelse nr. 1103 af 30. juni 2022 om ledelse og styring af pengeinstitutter m.v. eller bekendtgørelse nr. 973 af 22. juni 2022 om outsourcing for kreditinstitutter m.v.
Til nr. 29 (§ 344, stk. 1, 1. pkt., i lov om finansiel virksomhed)
Det gældende § 344, stk. 1, i lov om finansiel virksomhed, fastlægger blandt andet Finanstilsynets generelle beføjelse til at påse overholdelsen af nærmere angivne forordninger.
Det foreslås i § 344, stk. 1, 1. pkt., at indsætte en henvisning til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 14. maj 2023 om markeder for kryptoaktiver.
Den foreslåede bestemmelse vil medføre, at Finanstilsynet udpeges som kompetent myndighed i henhold til DORA-forordningen og MiCA. Det foreslåede vil derved medføre, at Finanstilsynet får hjemmel til give påbud og påtaler for manglende overholdelse af DORA-forordningen og MiCA.
Med den foreslåede ændring vil Finanstilsynet desuden kunne påse overholdelsen af de regler, som der vil blive udstedt med hjemmel i henholdsvis DORA-forordningen og MiCA.
Indsættelse af henvisning til MiCA, foreslås som en følge af MiCA, hvorefter fysiske og juridiske personer og andre virksomheder, der er involveret i udstedelse, udbud til offentligheden og optagelse til handel af kryptoaktiver, eller som leverer kryptoaktivtjenester, skal være underlagt Finanstilsynets tilsyn i henhold til MiCA.
DORA-forordningen finder bl.a. anvendelse på penge- og realkreditinstitutter, jf. artikel 2, stk. 1, litra a, investeringsforvaltningsselskaber, jf. artikel 2, stk. 1, litra l, og crowdfundingtjenesteudbydere, jf. artikel 2, stk. 1, litra s.
Efter artikel 46, litra a, i DORA-forordningen skal den kompetente myndighed, der er udpeget i medfør af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber, med senere ændringer (CRD), sikre overholdelsen af DORA-forordningen for penge- og realkreditinstitutter. Efter artikel 46, litra j, skal den kompetente myndighed, der er udpeget efter Europa-Parlamentets og Rådets direktiv 2009/65/EF af 13. juli 2009 om samordning af love og administrative bestemmelser om visse institutter for kollektiv investering i værdipapirer sikre overholdelsen af forordningen for investeringsforvaltningsselskaber. Efter artikel 46, litra p, skal den kompetente myndighed, der er udpeget efter Europa-Parlamentets og Rådets forordning (EU) 2020/1503 af 7. oktober 2020 om europæiske crowdfundingtjenesteudbydere for erhvervslivet sikre overholdelsen af forordningen for crowdfundingtjenesteudbydere. Finanstilsynet er udpeget som kompetent myndighed i Danmark i henhold til disse bestemmelser.
Indsættelse af henvisning til DORA-forordningen vil supplere artikel 46, litra a, j og q, i DORA-forordningen.
Tilsyn efter de pågældende forordninger vil først blive ført fra tidspunktet for forordningernes ikrafttrædelse.
Til nr. 30 (§ 344 f i lov om finansiel virksomhed)
Der findes ikke i dag regler om gennemførsel af trusselsbaserede penetrationstest (TLPT) i dansk ret.
Den Europæiske Centralbank har udviklet det fælleseuropæiske rammeværk TIBER-EU. TIBER står for Threat Intelligence-Based Ethical Red-teaming og indebærer, at virksomheder med væsentlig betydning for den finansielle stabilitet, herunder pengeinstitutter, betalingsinfrastruktur og datacentraler, i samarbejde med centralbanker iværksætter simulerede cyberangreb på deres systemer ved hjælp at etiske hackere for at identificere svagheder i systemerne og cyberforsvaret generelt. Danmarks Nationalbank og den finansielle sektor er gået sammen om at etablere TIBER-DK som den danske implementering af TIBER-EU. Formålet er at styrke cyberrobustheden hos hver enkelt testdeltager og i den finansielle sektor generelt for derved at fremme den finansielle stabilitet i Danmark. TIBER-DK blev indført i december 2018, og de første test startede i januar 2019. Deltagelse i TIBER-DK er i dag frivillig for de finansielle virksomheder, der udpeges. Alle finansielle virksomheder, som Danmarks Nationalbank har rettet henvendelse til, deltager i TIBER-DK og gennemfører regelmæssige test.
Udførsel af TIBER-DK er indeholdt i Danmarks Nationalbanks overordnede formål med at sikre stabilitet i den finansielle sektor, som udledt af lov om Danmarks Nationalbank § 1, idet testen bidrager til at styrke cyberforsvaret i forhold til samfundskritiske aktiviteter i de væsentligste virksomheder i den finansielle sektor.
Det foreslås med § 344 f, i lov om finansiel virksomhed, at erhvervsministeren kan fastsætte regler, der udpeger en myndighed til at varetage TLPT-relaterede anliggender i henhold til artikel 26, stk. 9, i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og for operatører af finansielle digitale infrastrukturer, jf. § 333.
Bemyndigelsen vil kunne benyttes til at fastsætte regler, der udpeger en myndighed til at være ansvarlig myndighed i henhold til DORA-forordningens artikel 26, stk. 9.
Det vil herunder være den myndighed, erhvervsministeren udpeger, der udpeger de virksomheder, der skal gennemføre test, ud fra de kriterier, der er fastlagt i DORA-forordningens kapitel IV og retsakter udstedt i medfør heraf.
Det er hensigten, at den udpegede myndighed, vil skulle være ansvarlig for TLPT-relaterede anliggender for alle virksomheder, der skal gennemføre TLPT, herunder også virksomheder der ikke er omfattet direkte af DORA-forordningen, hvilket kan inkludere virksomheder, der er er udpeget som operatører af finansielle digitale infrastrukturer i henhold til det foreslåede § 333, jf. lovforslagets § 1, nr. 27. Med TLPT-relaterede anliggender menes de opgaver, der er indeholdt i DORA-forordningens artikel 26 og 27, der vedrører avancerede test af IKT-værktøjer, -systemer og -processer baseret på TLPT.
En myndighed, der af erhvervsministeren udpeges ved bemyndigelsen, som ansvarlig myndighed i henhold til DORA-forordningens artikel 26, stk. 9, vil være forpligtet til at varetage opgaven i overensstemmelse med DORA-forordningen og retsakter udstedt i medfør heraf.
Det er forventningen, at bemyndigelsen vil udnyttes til at fastsætte regler, der udpeger Danmarks Nationalbank som ansvarlig myndighed i henhold til DORA-forordningens artikel 26, stk. 9.
Til nr. 31 (§ 347, stk. 3, i lov om finansiel virksomhed)
Den gældende § 347, stk. 3, i lov om finansiel virksomhed fastsætter, at Finanstilsynet til enhver tid mod behørig legitimation uden retskendelse kan få adgang til en finansiel virksomhed og dens filialer, en finansiel holdingvirksomhed, en forsikringsholdingvirksomhed eller en fælles datacentral med henblik på indhentelse af oplysninger, herunder ved inspektioner.
Den gældende § 215, stk. 1, i lov om kapitalmarkeder fastsætter, at Finanstilsynet til enhver tid uden retskendelse mod behørig legitimation kan foretage tilsyns- og kontrolundersøgelser på forretningsstedet hos virksomheder under tilsyn og virksomheder, der har pligter i henhold til de regler, der fremgår af § 211, stk. 1-3, og § 213, stk. 1-3 og 5. Derfor har Finanstilsynet hjemmel til at foretage kontrolundersøgelser m.v. på forretningsstedet.
Det foreslås i § 347, stk. 3, at ændre »en fælles datacentral« til: »en operatør af finansiel digital infrastruktur«.
Det foreslåede vil medføre, at Finanstilsynet til brug for tilsynet med overholdelsen af loven til enhver tid mod behørig legitimation uden retskendelse kan få adgang til lokaler og lokaliteter tilhørende operatører af finansiel digital infrastruktur, med henblik på indhentelse af oplysninger, herunder ved inspektioner.
Den foreslåede bestemmelse giver alene adgang til at foretage tilsyns- og kontrolundersøgelser på forretningssteder, hvorfor sådanne undersøgelser ikke kan foretages på private boliger uden en retskendelse.
Den foreslåede ændring af vil udgøre en særegen undtagelse til kravet om retskendelse efter grundlovens § 72, 2. pkt., for foretagelse af husundersøgelse.
Det foreslåede er ligeledes en videreførelse af den gældende retsstilling for fælles datacentraler og it-operatører af detailbetalingssystemer, jf. hhv. § 347, stk. 3, i lov om finansiel virksomhed og § 215, stk. 1, i lov om kapitalmarkeder.
Til nr. 32 (§ 347 b, stk. 1-4 og 6, i lov om finansiel virksomhed)
Den gældende § 347 b, i lov om finansiel virksomhed fastsætter, at Finanstilsynet kan påbyde en række virksomheder, herunder fællesdatacentraler, der er omfattet af loven, at afholde udgifterne til en uvildig undersøgelse af et eller flere forhold i virksomheden, hvordan de sagkyndige udpeges, de sagkyndiges beføjelser og pligter overfor Finanstilsynet.
Det foreslås i § 347 b, stk. 1-4 og 6, at ændre », den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«.
Den foreslåede ændring skal ses i sammenhæng med den foreslåede ophævelse af regler vedrørende datacentraler i afsnit X c, i lov om finansiel virksomhed, jf. lovforslagets § 1, nr. 28.
Det foreslåede skal ligeledes ses i sammenhæng foreslåede afsnit IX c i lov om finansiel virksomhed, der indeholder et regelsæt for operatører af finansiel digital infrastruktur, der vil erstatte reglerne om fælles datacentraler, jf. lovforslagets § 1, nr. 27.
Der henvises derudover til det foreslåede § 333 m i lov om finansiel virksomhed, jf. lovforslagets § 1, nr. 27, der bl.a. fastsætter, at kapitel 21 i lov om finansiel virksomhed, hvilket inkluderer § 347 b, finder anvendelse operatører af finansielle digitale infrastrukturer med de nødvendige tilpasninger.
Til nr. 33 (§ 348, stk. 2, 1. pkt., i lov om finansiel virksomhed)
Lov om finansiel virksomhed § 348, stk. 2, indeholder regler om Finanstilsynets beføjelser til at give påbud om berigtigelse af forhold, der er i strid med §§ 43 og 57 i lov om finansiel virksomhed.
Det følger af § 335, nr. 81, i lov nr. 718 af 13. juni 2023 om forsikringsvirksomhed, at §§ 55-60 a i lov om finansiel virksomhed ophæves.
Ved en fejl er der ikke foretaget en konsekvensrettelse af henvisningen til § 57 i § 348, stk. 2, i lov om finansiel virksomhed. Den manglende konsekvensrettelse har ikke haft konsekvenser for Finanstilsynets administration af reglerne.
Det foreslås i § 348, stk. 2, 1. pkt., at ændre »§§ 43 og 57« til »§ 43«.
Det foreslåede vil medføre, at henvisningen til den ophævede § 57 udgår af § 348, stk. 2.
Til nr. 34 (§ 351, stk. 8, 1. pkt., i lov om finansiel virksomhed)
§ 351 indeholder regler om påbud om afsættelse af direktører og bestyrelsesmedlemmer i forsikringsselskaber. § 351, stk. 8, fastsætter regler om, at Finanstilsynet af egen drift eller efter ansøgning kan tilbagekalde et påbud meddelt efter stk. 2 og 3, og stk. 5, 3. pkt. Den manglende konsekvensrettelse har ikke haft konsekvenser for Finanstilsynets administration af reglerne.
Med § 1, nr. 35, i lov nr. 409 af 25. april 2023 (Gennemførelse af Ansvarsudvalgets forslag om skærpet ansvarsvurdering for ledelsesmedlemmer m.v. i finansielle virksomheder og ændring af reglerne om egnethed og hæderlighed) blev der indsat to nye punktummer i § 351, stk. 5. Ved en fejl blev der ikke foretaget en konsekvensændring af henvisningen til stk. 5, 3. pkt., i § 351, stk. 8, i lov om finansiel virksomhed.
Det foreslås i § 351, stk. 8, 1. pkt., at ændre »stk. 5, 3. pkt.« til »stk. 5, 5. pkt.«.
Ændringen er en konsekvensrettelse på baggrund af § 1, nr. 35, i lov nr. 409 af 25. april 2023.
Til nr. 35 (§ 354, stk. 6, i lov om finansiel virksomhed)
I medfør af § 354, stk. 1, i lov om finansiel virksomhed er Finanstilsynets ansatte under ansvar efter straffelovens §§ 152-152 e forpligtet til at hemmeligholde fortrolige oplysninger, som de bl.a. får kendskab til gennem tilsynsvirksomheden.
§ 354, stk. 6, fastsætter til hvem og i hvilke tilfælde Finanstilsynet kan videregive fortrolige oplysninger.
I medfør af § 354, stk. 6, har Finanstilsynet ikke mulighed for at videregive oplysninger til Den Fælles Afviklingsinstans (SRB) eller Den Europæiske Unions Agentur for Cybersikkerhed (ENISA).
Det foreslås at indsætte § 354, stk. 6, nr. 50, hvorefter Finanstilsynet kan videregive oplysninger til myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.
Med den foreslåede bestemmelse, vil det bl.a. blive muligt for Finanstilsynet at videregive fortrolige oplysninger til SRB og ENISA.
Når Finanstilsynet modtager en indberetning om en større it-relateret hændelse fra et penge- eller realkreditinstitut, et investeringsforvaltningsselskab eller en crowdfundingtjenesteudbyder, jf. artikel 19, stk. 1, 1. pkt., i DORA-forordningen, skal Finanstilsynet alt efter hvad der er relevant, rettidigt forelægge nærmere oplysninger om hændelsen til nationale og EU-retlige myndigheder og organer, jf. artikel 19, stk. 6, i DORA-forordningen.
Artikel 19, stk. 6, nævner bl.a. SRB for så vidt angår de enheder eller koncerner, der er omhandlet i henholdsvis artikel 7, stk. 2, artikel 7, stk. 4, litra b, og artikel 7, stk. 5, i Europa-Parlamentets og Rådets forordning (EU) nr. 806/2014 af 15. juli 2014 om ensartede regler og en ensartet procedure for afvikling af kreditinstitutter og visse investeringsselskaber inden for rammerne af en fælles afviklingsmekanisme og en fælles afviklingsfond, dvs. bl.a. pengeinstitutter, der er underlagt tilsyn af Den Europæiske Centralbank, hvis sådanne oplysninger vedrører hændelser, der udgør en risiko for sikringen af kritiske funktioner, jf. artikel 2, stk. 1, nr. 35, i direktiv 2014/59/EU Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 om et regelsæt for genopretning og afvikling af kreditinstitutter og investeringsselskaber (BRRD).
En underretning om større it-relaterede hændelser til SRB kan eksempelvis blive relevant, hvor en hændelse kan få systemiske konsekvenser og dermed også konsekvenser for virksomheder, der er omfatter af Den Fælles Afviklingsmekanisme.
For så vidt angår videregivelse af fortrolige oplysninger til ENISA kan dette bl.a. blive relevant i de tilfælde, hvor hændelsesindberetninger til Finanstilsynet videreformidles i forbindelse med det samarbejde, der bliver iværksat på tværs af de nationale og europæiske finansielle tilsynsmyndigheder og afviklingsmyndigheder, SRB og ENISA i henhold til artikel 49 i DORA-forordningen. Samarbejdet i henhold til artikel 49 går ud på udveksling af effektive fremgangsmåder på tværs af den finansielle sektor for at forbedre situationskendskabet og identificere fælles cybersårbarheder og risici på tværs af sektorer.
Det fremgår af artikel 56 i DORA-forordningen, at de kompetente myndigheder kun må behandle personoplysninger, hvis det er nødvendigt for, at de kan opfylde deres respektive forpligtigelser og udføre deres opgaver i henhold til DORA-forordningen. Det fremgår også af artikel 56 i DORA-forordningen, at personoplysninger skal behandles i overensstemmelse med forordning (EU) 2016/679 eller (EU) 2018/1725, alt efter hvilken forordning, der finder anvendelse.
Det foreslåede vil medføre, at Finanstilsynet som kompetent myndighed kun må behandle personoplysninger i relation til det foreslåede, hvis det er nødvendigt for at kunne opfylde sine forpligtigelser og udføre sine opgaver i henhold til DORA-forordningen. Finanstilsynet skal behandle alle personoplysninger i overensstemmelse med forordning (EU) 2016/679.
Artikel 56 indeholder en hjemmel til at behandle personoplysninger, når nødvendighedskravet er opfyldt i forhold til at opfylde forpligtigelser og udføre opgaver i henhold til DORA-formodningen og stiller krav om, at Finanstilsynet skal behandle alle personoplysninger i overensstemmelse med forordning (EU) 2016/679.
Det foreslåede vil medføre, at Finanstilsynet ved videregivelse af fortrolige oplysninger til myndigheder, der varetager opgaver i henhold til DORA-forordningen, og som indeholder personoplysninger, kun må foretage denne behandling af personoplysninger, hvis den er nødvendig for at kunne opfylde forpligtigelser og udføre opgaver i henhold til DORA-forordningen. Derudover skal videregivelsen af personoplysninger ske i overensstemmelse med forordning (EU) 2016/679.
Til nr. 36 (§ 354 e, stk. 2, 1. pkt., og § 373 i lov om finansiel virksomhed)
Det følger af § 354 e, stk. 1, i lov om finansiel virksomhed, at Finanstilsynet offentliggør påtaler, påbud eller tvangsbøder i sager nævnt i stk. 2, som bl.a. fremhæver sager i henhold til § 125 b, stk. 3. § 373 angiver, at overtrædelse af relevant lovgivning, herunder § 125 b, stk. 3, straffes med bøde eller fængsel indtil 4 måneder, medmindre højere straf er forskyldt efter den øvrige lovgivning.
Lov om finansiel virksomhed § 125 b, stk. 3, nr. 1-3, blev ved lov nr. 2110 af 22. december 2020 rykket til § 125 b, stk. 5, nr. 1-3. Der blev i den forbindelse ikke foretaget den nødvendige konsekvensrettelse af § 354 e, stk. 2 og § 373 i lov om finansiel virksomhed.
Der er ikke i medfør af § 354 e, stk. 1 og 2, offentliggjort påtaler, påbud eller tvangsbøder meddelt i henhold til § 269, stk. 1, eller § 344, stk. 1, eller anvendt straffebestemmelserne i medfør af § 373 vedrørende § 125 b, stk. 5 og 8, som der ved gældende regler ikke har været hjemmel til i perioden fra 22. december 2020 og indtil nu. Der vil ikke blive offentliggjort sådanne påtaler, påbud eller tvangsbøder før dette lovforslags måtte blive vedtaget og træde i kraft. Tilsvarende vil straffebestemmelsen i § 373 for overtrædelse af forpligtigelserne i § 125 b, stk. 5 og 8, ikke blive anvendt, før dette lovforslag måtte blive vedtaget og træde i kraft.
Det foreslås to steder i § 354 e, stk. 2, 1. pkt., og to steder i § 373, stk. 1 og 10, at ændre »§ 125 b, stk. 1-4 og 6« til: »§ 125 b, stk. 3-5 og 8«.
Med det foreslåede vil henvisningen tage højde for de ændringer, der blev foretaget af § 125 b ved § 1, nr. 39, i lov nr. 2110 af 22. december 2020.
Til nr. 37 (§ 354 e, stk. 2, 2. pkt., i lov om finansiel virksomhed)
Det fremgår af § 354 e, stk. 1, at Finanstilsynet på sin hjemmeside offentliggør i de sager, der er nævnt i stk. 2, påtaler, påbud eller tvangsbøder meddelt i henhold til § 269, stk. 1, eller § 344, stk. 1, og navnet på virksomheden eller personen.
Stk. 2, 1. pkt., fastsætter, at der skal ske offentliggørelse ved overtrædelse af en række bestemmelser i lov om finansiel virksomhed og i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter (CRR). Videre fremgår det af stk. 2, 2. pkt., at offentliggørelse ligeledes skal ske i sager om overtrædelse af Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter (MiFIR).
Det fremgår af stk. 4 i bestemmelsen, at indbringes påtalen, påbuddet eller tvangsbøden nævnt i stk. 1, jf. stk. 2, for Erhvervsankenævnet eller domstolene, skal dette fremgå af offentliggørelsen. Status og det efterfølgende resultat af Erhvervsankenævnets eller domstolenes afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt.
Det foreslås i § 354 e, stk. 2, 2. pkt., at indsætte en henvisning til DORA-forordningen, hvormed offentliggørelse, jf. stk. 1, ligeledes skal ske i sager om overtrædelse af forordningen.
Det foreslås i § 1, nr. 29, i nærværende lovforslag, at Finanstilsynet bliver udpeget som kompetent myndighed efter DORA-forordningen til at føre tilsyn med overholdelsen af forordningen. Den foreslåede ændring vil medføre, at Finanstilsynet bl.a. vil kunne udstede påbud og påtaler for overtrædelser af DORA-forordningen.
Den foreslåede ændring vil supplere artikel 54, stk. 1, i DORA-forordningen, hvormed de kompetente myndigheder uden unødigt ophold på deres officielle websteder skal offentliggøre enhver afgørelse om pålæggelse af en administrativ sanktion, som ikke kan påklages, efter at modtageren af sanktionen er blevet underrettet om afgørelsen. En administrativ sanktion kan bl.a. være et påbud eller en påtale. Det fremgår dog videre af artikel 54, stk. 5, i DORA-forordningen, at hvis den kompetente myndighed offentliggør en afgørelse om at pålægge en administrativ sanktion, der kan indbringes for de relevante judicielle myndigheder, lægger de kompetente myndigheder straks denne oplysning på deres officielle websted sammen med eventuelle efterfølgende oplysninger om resultatet af denne indbringelse på et senere tidspunkt. En judiciel afgørelse, som annullerer en afgørelse om at pålægge en administrativ sanktion, skal også offentliggøres.
For nærmere om § 354 e og offentliggørelse henvises der i det hele til de specielle bemærkningerne til § 354 e i Folketingstidende 2013-14, tillæg A, L 133 som fremsat, side 188-189.
Til nr. 38 (§ 354 h i lov om finansiel virksomhed)
Det følger af § 354 h, 1. pkt., at Finanstilsynet efter høring af den virksomhed, der underretter Finanstilsynet og Center for Cybersikkerhed om en hændelse, som har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer, orienterer offentligheden om hændelsen, hvis offentlighedens kendskab hertil er nødvendig for at forebygge eller håndtere en igangværende hændelse. I 2. og 3. pkt. i bestemmelsen fremgår nærmere om, at en offentliggørelse ikke må indeholde fortrolige oplysninger.
Bestemmelsen gennemfører artikel 14, stk. 6, i NIS-direktivet om, at den kompetente myndighed kan oplyse offentligheden om konkrete hændelser, hvis offentlighedens kendskab hertil er nødvendig for at forebygge en hændelse eller håndtere en igangværende hændelse.
Med NIS 2-direktivet sker der en ophævelse af NIS-direktivet, herunder reglerne i artikel 14, stk. 6.
Det foreslås derfor at ophæve § 354 h.
Det foreslåede vil medføre, at Finanstilsynet fremadrettet ikke kan offentliggøre hændelser i henhold til det gældende § 354 h.
Til nr. 39 (§ 355, stk. 1, i lov om finansiel virksomhed)
§ 355, stk. 1, i lov om finansiel virksomhed, nævner de virksomheder, der kan anses som part i forhold til Finanstilsynet i sager, hvor Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af bl.a. lov om finansiel virksomhed og andre relevante forordninger på det finansielle område.
Det foreslås i § 355, stk. 1, at ændre »og Europa-Parlamentets og Rådets forordning 2020/852/EU« til: », Europa-Parlamentets og Rådets forordning 2020/852/EU«, og efter »investeringer og regler udstedt i medfør heraf« indsættes: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf.
Det foreslåede vil medføre, at virksomheder, som Finanstilsynet træffer afgørelse over for i medfør af DORA-forordningen, MiCA eller regler udstedt i medfør af disse forordninger, også vil være at anse som parter i afgørelsessagen.
Til nr. 40 (§ 361, stk. 1, nr. 4, i lov om finansiel virksomhed)
§ 361 i lov om finansiel virksomhed foreskriver, at en række fysiske og juridiske personer skal betale et årligt grundbeløb i afgift til Finanstilsynet. Beløbene angivet i bestemmelsen er angivet i 2016-niveau, men reguleres årligt svarende til udviklingen i Finanstilsynets bevilling på finansloven, jf. § 361, stk. 11, i lov om finansiel virksomhed.
Det følger af § 361, stk. 1, nr. 4, 1. pkt., i lov om finansiel virksomhed, at en fælles datacentral årligt betaler et grundbeløb til Finanstilsynet på 119.000 kr. Videre fremgår det af 2. pkt., at har en fælles datacentral i et regnskabsår gennemsnitligt færre end 25 fuldtidsansatte, betaler den fælles datacentral dog 2.200 kr.
Ved fælles datacentraler forstås virksomheder, hvis væsentligste aktiviteter omfatter it-drifts- eller udviklingsopgaver for flere finansielle virksomheder, finansielle holdingvirksomheder, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder, og som overvejende er ejet af en eller flere finansielle virksomheder, finansielle holdingvirksomheder, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder i forening eller en eller flere foreninger, hvis medlemmer overvejende er finansielle virksomheder, finansielle holdingvirksomheder, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder, jf. § 343 q, stk. 1.
Reglerne for fælles datacentraler i lov om finansiel virksomhed gælder også for datacentraler, der udfører både væsentlige it-drifts og it-udvikling for den fælles betalingsinfrastruktur, jf. § 343 q, stk. 2, 1. pkt. Derfor er disse virksomheder også omfattet af gebyrbestemmelsen i § 361, stk. 1, nr. 4.
Det foreslås at affatte § 361, stk. 1, nr. 4, således, at en operatør af finansiel digital infrastruktur betaler 119.000 kr. Har operatøren i et regnskabsår gennemsnitligt færre end 25 fuldtidsansatte, betaler operatøren af finansiel digital infrastruktur dog 2.200 kr. 1. og 2. pkt. finder ikke anvendelse på en it-operatør af et detailbetalingssystem, der er udpeget som operatør af finansiel digital infrastruktur
Det foreslås i nr. 4, 2. pkt., at har en finansiel digital infrastruktur i et regnskabsår gennemsnitligt færre end 25 fuldtidsansatte, betaler den finansielle digitale infrastruktur dog 2.200 kr.
Den foreslåede bestemmelse er tilsvarende den nuværende nr. 4, 2. pkt., for så vidt angår fælles datacentraler. Da Finanstilsynet bl.a. regner med at udpege de virksomheder, der i dag er fælles datacentraler, findes det hensigtsmæssigt, at finansielle digitale infrastrukturer også kun skal betale 2.200 kr., hvis de gennemsnitligt har færre end 25 fuldtidsansatte i et regnskabsår.
Det foreslås i nr. 4, 3. pkt., at 1. og 2. pkt., ikke finder anvendelse på en it-operatør af detailbetalingssystemer, der er udpeget som operatør af finansiel digital infrastruktur.
Det foreslåede skal ses i sammenhæng med lovforslagets § 1, nr. 28, hvorved afsnit X c i lov om finansiel virksomhed foreslås ophævet, herunder §§ 343 q og r, der indeholder regler om fælles datacentraler.
Det foreslåede skal ligeledes ses i sammenhæng med lovforslagets § 1, nr. 27, hvorved det foreslås, at Finanstilsynet kan udpege en enhed, der udbyder digital infrastruktur eller forvalter it-tjenester, som omhandlet i bilag I i NIS 2-direktivet, og hvis væsentligste aktiviteter består i at drive, administrere eller udvikle tjenester, der er nødvendige for finansielle virksomheders kritiske og vigtige forretningsfunktioner, som en finansiel digital infrastruktur. Forslaget herom vil bl.a. bevirke, at de virksomheder, der i dag er fælles datacentraler eller datacentraler, der udfører både væsentlige it-drifts og it-udvikling for den fælles betalingsinfrastruktur, vil blive udpeget af Finanstilsynet som finansielle digitale infrastrukturer.
Da en it-operatør af detailbetalingssystemer i forvejen betaler et årligt grundbeløb til Finanstilsynet på 725.000 kr., jf. § 361, stk. 2, nr. 15, er Finanstilsynets udgifter til løbende tilsyn allerede dækket heraf.
Til nr. 41 (§ 361, stk. 1, nr. 11 og 12, i lov om finansiel virksomhed)
Den gældende § 361, stk. 1, i lov om finansiel virksomhed fastlægger størrelsen på den afgift, som virksomheder med tilladelse efter den finansielle regulering pålægges at betale til Finanstilsynet.
Udgifterne til Finanstilsynet dækkes af de finansielle virksomheder m.fl., som Finanstilsynet fører tilsyn med. Den årlige afgift for de forskellige typer virksomheder er fastsat i §§ 361-366 i lov om finansiel virksomhed.
Det foreslås i § 361, stk. 1, nr. 11, at udstedere af aktivbaserede tokens, der er meddelt tilladelse af Finanstilsynet i henhold til § 332 a, stk. 1, årligt betaler et grundbeløb til Finanstilsynet i henhold til litra a-c.
Det foreslås i § 361, stk. 1, litra a, at udstedere af aktivbaserede tokens årligt betaler 35.000 kr. til Finanstilsynet, når summen af udstederens gennemsnitlige udestående aktivbaserede tokens i 2. halvår af det foregående kalenderår og 1. halvår af det indeværende kalenderår er mindre end 100 mio. kr.
Det foreslås i § 361, stk. 1, litra b, at udstedere af aktivbaserede tokens årligt betaler 100.000 kr. til Finanstilsynet, når summen af udstederens gennemsnitlige udestående aktivbaserede tokens i 2. halvår af det foregående kalenderår og 1. halvår af det indeværende kalenderår er mellem 100 mio. kr. og 1 mia. kr.
Det foreslås i § 361, stk. 1, litra c, at udstedere af aktivbaserede tokens årligt betaler 600.000 kr. til Finanstilsynet, når summen af udstederens gennemsnitlige udestående aktivbaserede tokens i 2. halvår af det foregående kalenderår og 1. halvår af det indeværende kalenderår er større end 1 mia. kr.
Den foreslåede bestemmelse vil medføre, at en udsteder af aktivbaserede tokens, på lige fod med andre virksomheder omfattet af den finansielle regulering, pålægges en afgift.
Det foreslås i § 361, stk. 1, nr. 12, at en udbyder af kryptoaktivtjenester, der er meddelt tilladelse af Finanstilsynet i henhold til § 333 c, stk. 1, betaler et årligt grundbeløb til Finanstilsynet på 12,5 promille af deres omkostninger til løn, provision og tantieme, dog minimum 20.000 kr.
Den foreslåede bestemmelse vil fastsætte, at en udbyder af kryptoaktivtjenester på lige fod med andre virksomheder omfattet af den finansielle regulering pålægges en afgift.
Til nr. 42 (§ 361, stk. 6, nr. 1, i lov om finansiel virksomhed)
Det følger af § 361, stk. 6, nr. 1, i lov om finansiel virksomhed, at Virksomheder og personer omfattet af § 1, stk. 1, nr. 8 og 22-26, i hvidvaskloven betaler 4.400 kr. årligt til Finanstilsynet.
Det foreslås i § 361, stk. 6, nr. 1, at »og 22-26« udgår.
Det foreslåede vil medføre, at der ikke vil blive krævet afgift af virksomheder, der er omfattet af § 1, stk. 1, nr. 22-26, i hvidvaskloven.
Det foreslåede skal ses i sammenhæng med lovforslagets § 1, nr. 41, om afgiftsforpligtelser for virksomheder, der er omfattet af MiCA.
Til nr. 43 (§ 361, stk. 7, nr. 4, i lov om finansiel virksomhed)
Det følger af § 361, stk. 7, i lov om finansiel virksomhed, at en række fysiske og juridiske personer omfattet af lov om forvaltere og alternative investeringsfonde m.v. skal betale et årligt grundbeløb til Finanstilsynet.
Grundbeløbet reguleres årligt i henhold til § 361, stk. 12, i lov om finansiel virksomhed.
Det fremgår af § 130 i lov om forvaltere af alternative investeringsfonde m.v., at forvaltere af alternative investeringsfonde med registreret hjemsted i et tredjeland, kan få tilladelse af Finanstilsynet til at markedsføre andele til professionelle investorer i Danmark i en alternativ investeringsfond, som forvalteren forvalter, når en række nærmere angivne betingelser er opfyldt.
Ved en fejl blev forvaltere af alternative investeringsfonde, der markedsfører andele i en alternativ investeringsfond fra et land inden for Den Europæiske Union eller et land, som Unionen har indgået aftale med på det finansielle område, ikke medtaget ved nyaffattelsen af § 361, stk. 7, i lov om finansiel virksomhed som blev gennemført ved lov nr. 480 af 12. maj 2023.
Der har således siden 12. maj 2023 derfor ikke været hjemmel til at opkræve det årlige gebyr fra forvaltere af alternative investeringsfonde med registreret hjemsted i et tredjeland, som i henhold til § 130 i lov om forvaltere af alternative investeringsfonde m.v. har tilladelse til markedsføring i Danmark af andele i en alternativ investeringsfond fra et andet land inden for Den Europæiske Union eller et land, som Unionen har indgået aftale med på det finansielle område. Finanstilsynet har i denne periode derfor ikke opkrævet og vil ikke forud for dette lovforslagets eventuelle vedtagelse og ikrafttræden opkræve gebyrer fra de omfattede virksomheder.
Det foreslås i § 361, stk. 7, at indsætte et nyt nr. 4, hvorefter forvaltere af alternative investeringsfonde med registreret hjemsted i et tredjeland, som i henhold til § 130 i lov om forvaltere af alternative investeringsfonde m.v. har tilladelse til markedsføring i Danmark af andele i en alternativ investeringsfond fra et andet land inden for Den Europæiske Union eller et land, som Unionen har indgået aftale med på det finansielle område, betaler et årligt grundbeløb til Finanstilsynet på 8.000 kr.
Den foreslåede bestemmelse vil medføre, at der fremover vil være hjemmel til at opkræve et årligt grundbeløb for forvaltere af alternative investeringsfonde fra et tredjeland, der i Danmark markedsfører andele i en alternativ investeringsfond fra et land inden for Den Europæiske Union eller et land, som Unionen har indgået aftale med på det finansielle område.
Til nr. 44 (§ 361, stk. 12, i lov om finansiel virksomhed)
Det følger af § 361, stk. 12, at grundbeløb, jf. stk. 1-11, er angivet i 2016-niveau og reguleres årligt svarende til udviklingen i Finanstilsynets bevilling på finansloven.
§§ 361 og 362 indeholder grundbeløb, maksimumafgift og minimumsbeløb.
Et eksempel på et grundbeløb er § 361, stk. 1, nr. 2, hvorved Arbejdsmarkedets Tillægspension (ATP) betaler 4.922.000 kr. årligt.
Et eksempel på et maksimumbeløb er § 361, stk. 2, nr. 2, 1. pkt., hvorved afgiften til et selskab, der driver en multilateral handelsfacilitet højst, kan udgøre 1.462.000 kr.
Et eksempel på en minimumsafgift er § 362, stk. 1, 2. pkt., hvorved Fondsmæglerselskaber altid pålægges en minimumsafgift på 15.000 kr. årligt.
Det foreslås i § 361, stk. 12, at ændre »Grundbeløb, jf. stk. 1-11,« til: »Faste beløb i dette kapitel«.
Den foreslåede ændring vil præcisere, at maksimumbeløbene og minimumsafgifterne, er i 2016-niveau og årligt reguleres i forhold til udviklingen i Finanstilsynets bevilling i henhold til Finansloven.
Den foreslåede ændring forventes at medføre en minimal ændring i fordelingen af afgifterne i henhold til kapitel 22, hvorved virksomhederne, der betaler minimumsafgifter eller maksimumbeløb, vil skulle betale en marginalt højere afgifter.
Formålet med ændringen er at sikre afgifter angivet som faste beløb i kapitel 22, såkaldte minimums-, og grundbeløb samt minimusafgifter, mod inflation.
Til nr. 45 (§ 368, stk. 1, 4. og 5. pkt., i lov om finansiel virksomhed)
Det gældende § 368, stk. 1, i lov om finansiel virksomhed, fastsætter, hvordan beregning af afgifter fra en række virksomheder skal foretages.
Det foreslås at indsætte § 368, stk. 1, 4. og 5. pkt., hvorefter, at for så vidt angår udstedere af aktivbaserede tokens, foregår beregningen på grundlag af den senest indsendte indberetning efter § 332 f. For så vidt angår udbydere af kryptoaktivtjenester, foregår beregningen på grundlag af den senest indsendte indberetning efter § 332 g.
Den foreslåede bestemmelse er ny og foreslås som følge af MiCA, hvorefter fysiske og juridiske personer og andre virksomheder, der er involveret i udstedelse, udbud til offentligheden og optagelse til handel af kryptoaktiver, eller som leverer kryptoaktivtjenester, skal være underlagt Finanstilsynets tilsyn i henhold til MiCA.
Til nr. 46 (§ 372, stk. 1, i lov om finansiel virksomhed)
Den gældende § 372, stk. 1, i lov om finansiel virksomhed indeholder en klageadgang til Erhvervsankenævnet for den, som en afgørelse truffet af Finanstilsynet retter sig til. Bestemmelsen nævner bl.a. afgørelser truffet af Finanstilsynet i medfør af lov om finansiel virksomhed og en række EU-retsakter på det finansielle område.
Det foreslås i § 372, stk. 1, at indsætte en henvisning til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver samt regler udstedt i medfør heraf.
Det foreslåede vil medføre, at afgørelser truffet af Finanstilsynet i medfør af DORA-forordningen eller regler udstedt i medfør samt i medfør af MiCA og regler udstedt i medfør heraf, kan indbringes for Erhvervsankenævnet senest 4 uger efter, at afgørelsen er meddelt den pågældende, som afgørelsen retter sig til.
Til nr. 47 (§ 372 a, stk. 1, i lov om finansiel virksomhed)
Den gældende § 372 a, stk. 1, i lov om finansiel virksomhed er en generel bemyndigelsesbestemmelse, der bemyndiger erhvervsministeren til at fastsætte regler, som er nødvendige for at anvende eller gennemføre de afgørelser eller retsakter, som vedtages af Europa-Kommissionen i medfør af en række direktiver og forordninger.
Det foreslås i § 372 a, stk. 1, at indsætte en henvisning til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Den ændrede bestemmelse vil give erhvervsministeren bemyndigelse til at fastsætte regler, som er nødvendige for at anvende eller gennemføre de afgørelser eller retsakter, som vedtages af Europa-Kommissionen i medfør af MiCA og DORA-forordningen.
Til nr. 48 (§ 373, stk. 1, i lov om finansiel virksomhed)
Det gældende § 373, stk. 1, i lov om finansiel virksomhed, fastsætter, hvilke overtrædelser af lov om finansiel virksomhed samt en række EU-retsakter, der kan straffes med bøde eller fængsel indtil 4 måneder, medmindre højere straf er forskyldt efter den øvrige lovgivning.
Det foreslås i § 373, stk. 1, efter »for erhvervslivet« at indsætte: »samt artikel 14, stk. 3, artikel 16, stk. 1, artikel 23, stk. 1 og 4, artikel 36, stk. 1-3 og 5-7, artikel 38, stk. 1 og 3, artikel 39, stk. 2, artikel 40, stk. 1 og 2, artikel 48, stk. 1, artikel 49, stk. 4, artikel 50, stk. 1 og 2, artikel 54, artikel 59, stk. 1, artikel 60, stk. 1-6, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, og artikel 76, stk. 1, 2 og 5-8, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«.
Det foreslåede vil indebære, at overtrædelser af de nævnte artikler i MiCA, straffes med bøde eller fængsel indtil 4 måneder, medmindre højere straf er forskyldt efter den øvrige lovgivning.
Artikel 14, stk. 3, i MiCA fastsætter krav om returnering af midler til erhververne af kryptoaktiverne i de tilfælde, hvor udbuddet af kryptoaktiverne bliver annulleret. Ansvarssubjektet for overtrædelse af bestemmelsen er udbydere af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens, til offentligheden. Den strafbare handling består i, at udbydere ikke returnerer de indsamlede midler til indehaverne af de udbudte kryptoaktiver eller de potentielle indehavere, senest 25 kalenderdage efter udbuddets annullationsdato.
Artikel 16, stk. 1, i MiCA fastsætter krav om tilladelse til at udbyde aktivbaserede tokens til offentligheden og til at ansøge om optagelse til handel. Ansvarssubjektet for overtrædelse af bestemmelsen er personer, der udbyder aktivbaserede tokens til offentligheden eller anmoder om optagelse af aktivbaserede tokens til handel i EU. Den strafbare handling består eksempelvis i, at udstedere af aktivbaserede tokens udbyder disse tokens til offentligheden, uden at være meddelt tilladelse hertil af Finanstilsynet i overensstemmelse med artikel 21 i MiCA.
Artikel 23, stk. 1 og 4, i MiCA fastsætter begrænsninger på udstedelser af aktivbaserede tokens, der i udbredt grad anvendes som vekslingsmiddel. Aktivbaserede tokens benyttes som vekslingsmiddel, når de anvendes til betaling af gæld, herunder i forbindelse med transaktioner med handlende. Derimod bør transaktioner, der knytter sig til investeringsfunktioner og -tjenester, såsom veksling til midler eller andre kryptoaktiver ikke anses som benyttelse som vekslingsmiddel, medmindre den aktivbaserede token anvendes til afvikling af transaktioner i andre kryptoaktiver. Der vil foreligge en anvendelse til afvikling af transaktioner i andre kryptoaktiver i tilfælde, hvor en transaktion, der involverer to elementer af kryptoaktiver, som er forskellige fra de aktivbaserede tokens, afvikles i de aktivbaserede tokens. Ansvarssubjektet for overtrædelse af bestemmelserne er udstedere af aktivbaserede tokens. Den strafbare handling består eksempelvis i, at udstederen ikke ophører udstedelsen af de aktivbaserede tokens, som har overskredet tærskelværdierne i artikel 23, stk. 1.
Artikel 36, stk. 1-3 og 5-7, i MiCA omhandler forpligtigelser for udstedere af aktivbaserede tokens vedrørende udstederens reserve af aktiver og sammensætning og forvaltning af denne. Ansvarssubjektet for overtrædelser af stk. 1-3, 5 og 7, er udstedere af aktivbaserede tokens. Ansvarssubjektet for overtrædelse af stk. 6, er ledelsesorganerne for udstedere af aktivbaserede tokens. Den strafbare handling består eksempelvis i, at udstederen ikke har sikret, at reserven af aktiver er operationelt adskilt fra udstederens realformue og fra reserven af aktiver for andre aktivbaserede tokens.
Artikel 38, stk. 1 og 3, i MiCA fastsætter krav til udstedere af aktivbaserede tokens i forbindelse med investering af reserven af aktiver. Ansvarssubjektet for overtrædelse af bestemmelserne er udstedere af aktivbaserede tokens. Den strafbare handling består eksempelvis i, at udstedere investerer reserven af aktiver i andet end meget likvide finansielle instrumenter med minimal markedsrisiko, kreditrisiko og koncentrationsrisiko.
Artikel 39, stk. 2, i MiCA omhandler de permanente indløsningsrettigheder forbundet med aktivbaserede tokens. Ansvarssubjektet for overtrædelse af bestemmelsen er udstedere af aktivbaserede tokens. Den strafbare handling består eksempelvis i, at udstedere af aktivbaserede tokens, efter anmodning fra en indehaver, ikke genindløser de aktivbaserede tokens enten ved at betale et beløb i andre midler end elektroniske penge svarende til markedsværdien af de aktiver, som de aktivbaserede tokens, der besiddes, henviser til, eller ved at levere de aktiver, som disse tokens henviser til.
Artikel 40, stk. 1 og 2, i MiCA fastsætter et forbud mod rentetilskrivning. Ansvarssubjekterne for overtrædelse af bestemmelserne er udstedere af aktivbaserede tokens og udbydere af kryptoaktivtjenester. Den strafbare handling består eksempelvis i, at udstedere af aktivbaserede tokens overfører aktivbaserede tokens eller andre kryptoaktiver til holdere af udstederens aktivbaserede tokens, som vederlag for den tid, i hvilken en indehaver af udstederens aktivbaserede tokens besidder sådanne. Et andet eksempel på den strafbare handling består i, at udbydere af kryptoaktivtjenester, som leverer deponering og administration af kryptoaktiver på vegne af kunder, tilbyder disse kunder renter eller andet vederlag for den tid, udbyderens kunder deponerer aktivbaserede tokens hos udbyderen. Den strafbare handling består eksempelvis i, at en udbyder af kryptoaktivtjenester, som leverer deponering og administration af kryptoaktiver, tilbyder indehavere af aktivbaserede tokens et vederlag eller andre ydelser for den tid, i hvilken en indehaver af aktivbaserede tokens deponerer sådanne aktivbaserede tokens hos udbyderen.
Artikel 48, stk. 1, i MiCA fastsætter krav til personer, der udbyder e-pengetokens til offentligheden eller anmoder om optagelse af e-pengetokens til handel. Ansvarssubjektet for overtrædelse af bestemmelsen er pengeinstitutter, der udbyder e-pengetokens til offentligheden eller anmoder om optagelse af e-pengetokens til handel i EU. Ansvarssubjektet kan endvidere være andre personer, der efter skriftligt samtykke fra pengeinstituttet udbyder eller anmoder om optagelse til handel af e-pengetokens. Den strafbare handling består eksempelvis i, at et pengeinstitut udbyder e-pengetokens til offentligheden eller anmoder om optagelse af e-pengetokens til handel i EU, uden at pengeinstituttet har givet meddelelse til Finanstilsynet om en hvidbog om kryptoaktiver og har offentliggjort denne hvidbog om kryptoaktiver i overensstemmelse med artikel 51 i MiCA.
Artikel 49, stk. 4, i MiCA omhandler kravene til at genindløse e-pengetokens til kurs pari. Ansvarssubjektet for overtrædelse af bestemmelsen er pengeinstitutter, der udsteder e-pengetokens. Den strafbare handling består eksempelvis i, at et pengeinstitut, der udsteder e-pengetokens, opkræver et gebyr eller anden betaling for at indløse indehaveres e-pengetokens.
Artikel 50, stk. 1 og 2, i MiCA omhandler forbud mod rentetilskrivning. Ansvarssubjekterne for overtrædelse af bestemmelserne er et pengeinstitut, der udsteder e-pengetokens, og udbydere af kryptoaktivtjenester. Den strafbare handling består eksempelvis i, at et pengeinstitut, der udsteder e-pengetokens, overfører e-pengetokens eller andre kryptoaktiver til holdere af disse e-pengetokens, som vederlag for den tid, i hvilken en indehaver af e-pengetokens besidder sådanne. Et andet eksempel på den strafbare handling består i, at udbydere af kryptoaktivtjenester, som leverer deponering og administration af kryptoaktiver på vegne af kunder, tilbyder disse kunder renter eller andet vederlag.
Artikel 54 i MiCA fastsætter krav vedrørende investering af pengemidler modtaget som betaling for e-pengetokens. Ansvarssubjektet for overtrædelse af bestemmelsen er et pengeinstitut, der udsteder e-pengetokens. Den strafbare handling består eksempelvis i, at et pengeinstitut, der udsteder e-pengetokens, investerer alle de modtagne midler i sikre aktiver med lav risiko og dermed undlader at indsætte mindst 30% af de modtagne pengemidler på en særskilt konto i et pengeinstitut.
Artikel 59, stk. 1, i MiCA omhandler tilladelseskrav til at udbyde kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af bestemmelsen er enhver fysisk eller juridisk person, der udbyder kryptoaktivtjenester, uden den nødvendige tilladelse. Den strafbare handling består i at udbyde kryptoaktivtjenester uden enten at være meddelt tilladelse efter artikel 63 eller uden at have tilladelse til at levere kryptoaktivtjenester efter artikel 60 i MiCA.
Artikel 60, stk. 1-6, i MiCA fastsætter krav om underretning af Finanstilsynet førend visse finansielle virksomheder kan levere af kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af bestemmelserne er pengeinstitutter, værdipapircentraler, investeringsselskaber, e-pengeinstitutter, UCITS-administrationsselskaber, forvaltere af alternative investeringsfonde og markedsoperatører. Den strafbare handling består eksempelvis i, at et pengeinstitut påbegynder levering af en kryptoaktivtjeneste uden at have underrettet Finanstilsynet med de oplysninger, der er anført i artikel 60, stk. 7, mindst 40 arbejdsdage før pengeinstituttet leverer disse tjenester første gang.
Artikel 70, stk. 1-4, i MiCA omhandler krav vedrørende opbevaring af kundernes kryptoaktiver og midler. Ansvarssubjektet for overtrædelse af bestemmelserne er udbydere af kryptoaktivtjenester. Den strafbare handling består eksempelvis i, at udbydere af kryptoaktivtjenester, der opbevarer kryptoaktiver på vegne af deres kunder, ikke træffer passende foranstaltninger til at forhindre, at kundernes kryptoaktiver anvendes til handel for deres egen regning.
Artikel 72, stk. 1, i MiCA fastsætter krav om effektive politikker og procedurer til identificering, forebyggelse, håndtering og oplysning om interessekonflikter. Ansvarssubjektet for overtrædelse af bestemmelsen er udbydere af kryptoaktivtjenester. Den strafbare handling består eksempelvis i, at udbydere af kryptoaktivtjenester ikke opretholder og anvender effektive politikker til at identificere mellem dem selv og personerne opregnet i artikel 72, stk. 1, litra a-e.
Artikel 75, stk. 1, 2 og 7, i MiCA indebærer specifikke krav til udbydere af kryptoaktivtjenester, som leverer deponering og administration af kryptoaktiver på vegne af kunder. Ansvarssubjektet for overtrædelse af bestemmelserne er udbydere af kryptoaktivtjenester, som udbyder levering af deponering og administration af kryptoaktiver på vegne af kunder. Den strafbare handling består eksempelvis i, at udbydere, der leverer deponering og administration af kryptoaktiver på vegne af kunder, ikke holder deres kunders kryptoaktiver adskilt fra udbydernes egne kryptoaktiver.
Artikel 76, stk. 1, 2, og 5-8, i MiCA fastsætter specifikke krav til udbydere af kryptoaktivtjenester, der driver en handelsplatform for kryptoaktiver. Ansvarssubjektet for overtrædelse af bestemmelserne er udbydere af kryptoaktivtjenester, der driver en handelsplatform for kryptoaktiver. Den strafbare handling består eksempelvis i, at udbydere, der driver handelsplatforme, handler for egen regning på den handelsplatform for kryptoaktiver, som de driver.
Den foreslåede ændring vil supplere artikel 111, stk. 1, 2. afsnit, i MiCA.
Ændringen foreslås som følge af MiCA, hvorefter en række udbydere, der beskæftiger sig med kryptoaktiver, skal leve op til forordningens krav.
Til nr. 49 (§ 373, stk. 2, 1. pkt., i lov om finansiel virksomhed)
Den gældende § 373, stk. 2, i lov om finansiel virksomhed fastsætter, hvilke overtrædelser af lov om finansiel virksomhed samt en række EU-retsakter, der kan straffes med bøde.
Det foreslås i § 373, stk. 2, 1. pkt., at »§ 71 c, stk. 1, 2. pkt.,« udgår, efter »312 b« indsættes: »§ 333 a, stk. 1-3, § 333 b, stk. 1-6, § 333 d, stk. 1-3, § 333 e, stk. 1-11, § 333 f, stk. 1-8, § 333 g, stk. 1-3, § 333 h, stk. 1-13, § 333 i, stk. 1 og 2, § 333 j, stk. 1-3,«, og »samt artikel 4« ændres til: », artikel 4«, og efter »om europæiske crowdfundingtjenesteudbydere for erhvervslivet« indsættes: », artikel 4, stk. 1, stk. 3, 3. afsnit, og stk. 6, artikel 5, stk. 2 og 3, artikel 6, stk. 1-10, artikel 7, stk. 1 og 2, artikel 8, stk. 1-2 og 4-6, artikel 9, artikel 10, artikel 12, stk. 1-4 og 6-9, artikel 13, stk. 2 og 3, artikel 14, artikel 16, stk. 1, 2. afsnit, artikel 17, stk. 1 og 2, artikel 19, stk. 1-9, artikel 22, stk. 1 og 3, artikel 25, stk. 1, 2 og 4, artikel 27, artikel 28, artikel 29, stk. 1-3 og 6, artikel 30, artikel 31, stk. 1-4, artikel 32, stk. 1-4, artikel 33, artikel 34, stk. 1-12, artikel 35, stk. 1, artikel 36, stk. 8-12, artikel 37, stk. 1 og 2, artikel 39, stk. 1, 2. pkt., artikel 41, stk. 1 og 2, artikel 46, stk. 1 og 2, artikel 47, stk. 1-3, artikel 48, stk. 6 og 7, artikel 49, stk. 5, artikel 51, stk. 1-9, 11-13 og stk. 14, 1. pkt., artikel 53 stk. 1-3, 5 og 6, artikel 55, artikel 59, stk. 2, 5 og 8, artikel 64, stk. 8, artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 67, stk. 1, 5 og 6, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9, artikel 76, stk. 3, 4 og 9-15, artikel 77, artikel 78, artikel 79, artikel 80, stk. 1-3, artikel 81, stk. 1-14, artikel 82, stk. 1, artikel 83, stk. 1 og 2, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver samt artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
Det foreslåede vil indebære, at overtrædelse af de nævnte bestemmelser i henholdsvis lov om finansiel virksomhed, MiCA og DORA-forordningen kan straffes med bøde.
I det følgende redegøres for de nævnte artikler i MiCA.
Artikel 4, stk. 1, i MiCA fastsætter krav til personer, der udbyder kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens, til offentligheden. Ansvarssubjektet for overtrædelse af bestemmelsen er enhver person, som udbyder de ovennævnte kryptoaktiver. Den strafbare handling består i, at en person udbyder kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens, til offentligheden, uden at opfylde kravene i artikel 4, stk. 1, litra a-g.
Artikel 4, stk. 3, 3. afsnit, og stk. 6, i MiCA omhandler krav til udbydere af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens. Kravene er rettet mod udbydere, som enten er omfattet af undtagelsen om udbud af utility tokens, der giver adgang til en vare eller tjenesteydelse i artikel 4, stk. 3, litra c, eller af undtagelsen om begrænset netværk i artikel 4, stk. 3, litra d. Ansvarssubjektet for overtrædelse af bestemmelserne er enhver person, som udbyder de ovennævnte kryptoaktiver. Den strafbare handling består eksempelvis i, at udbydere af utility tokens, som giver adgang til en vare eller tjenesteydelse, som endnu ikke eksisterer eller endnu ikke udbydes, overskrider den maksimale gyldighedsperiode på 12 måneder. Det vil ligeledes efter bestemmelsen være strafbart, hvis en udbyder af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens, som er omfattet af undtagelsen om begrænset netværk, ikke notificerer Finanstilsynet med en meddelelse, der indeholder en beskrivelse af udbuddet og en redegørelse for, hvorfor udbuddet er undtaget fra afsnit 2 i MiCA, i henhold til artikel 4, stk. 3, litra d, når udbuddet til offentligheden i EU overstiger 1.000.000 EUR for hver periode på 12 måneder regnet fra det oprindelige udbuds begyndelse.
Artikel 5, stk. 2 og 3, i MiCA omhandler krav til operatører af handelsplatforme, som, helt eller delvist på eget initiativ, ønsker at optage et kryptoaktiv til handel på operatørens handelsplads. Ansvarssubjektet for overtrædelse af bestemmelserne er operatører af handelsplatforme. Den strafbare handling består eksempelvis i, at en operatør af en handelsplatform ikke opfylder kravene i artikel 5, stk. 1, når handelsplatformen på eget initiativ optager et kryptoaktiv, som ikke har en tilhørende hvidbog offentliggjort, til handel.
Artikel 6, stk. 1-10, i MiCA omhandler kravene til indhold og form af hvidbøger for kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens. Ansvarssubjektet for overtrædelse af bestemmelserne er enhver person, der udbyder et kryptoaktiv, undtagen aktivbaserede tokens eller e-pengetokens, til offentligheden, eller enhver person, der anmoder om optagelse til handel af et kryptoaktiv, undtagen aktivbaserede tokens eller e-pengetokens eller en operatør af en handelsplatform, der på eget initiativ optager et kryptoaktiv, undtagen aktivbaserede tokens eller e-pengetokens, til handel. Den strafbare handling består eksempelvis i, at en udbyder offentliggør en hvidbog, som ikke oplyser om de rettigheder og forpligtelser, der er knyttet til de udbudte kryptoaktiver, eller at udbyderen offentliggør en hvidbog med vildledende oplysninger.
Artikel 7, stk. 1 og 2, i MiCA omhandler krav til markedsføringskommunikation, som enten vedrører et udbud til offentligheden af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens, eller optagelse af sådanne kryptoaktiver til handel. Ansvarssubjektet for overtrædelse af bestemmelserne er udbydere af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens eller personer, der anmoder om optagelse til handel af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens. Ansvarssubjektet kan endvidere være en operatør af en handelsplatform, som på eget initiativ optager et kryptoaktiv, undtagen aktivbaserede tokens eller e-pengetokens, til handel. Den strafbare handling består eksempelvis i, at en handelsplatform, som optager et kryptoaktiv, undtagen aktivbaserede tokens eller e-pengetokens, til handel på eget initiativ, offentliggør markedsføringskommunikation, hvor oplysningerne i markedsføringskommunikationen ikke stemmer overens med de oplysninger, som fremgår af hvidbogen.
Artikel 8, stk. 1-2 og 4-6, i MiCA omhandler forpligtigelsen til at meddele Finanstilsynet eller anden relevant kompetent myndighed om hvidbogen om kryptoaktiver og om markedsføringskommunikationen. Ansvarssubjektet er udbydere af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens eller personer, der anmoder om optagelse til handel af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens. Ansvarssubjektet kan endvidere være en operatør af en handelsplatform, som på eget initiativ optager et kryptoaktiv, undtagen aktivbaserede tokens eller e-pengetokens, til handel. Den strafbare handling består eksempelvis i, at en udbyder af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens, ikke mindst 20 arbejdsdage før offentliggørelsen af hvidbogen om kryptoaktiver giver meddelelse til Finanstilsynet om de elementer, der er beskrevet i artikel 8, stk. 1 og 4.
Artikel 9 i MiCA omhandler krav vedrørende offentliggørelse af hvidbogen om kryptoaktiver og offentliggørelse af markedsføringskommunikationen. Ansvarssubjektet for overtrædelse af bestemmelsen er udbydere af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens, eller personer, der anmoder om optagelse til handel af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens. Ansvarssubjektet kan endvidere være en operatør af en handelsplatform, som på eget initiativ optager et kryptoaktiv, undtagen aktivbaserede tokens eller e-pengetokens, til handel. Den strafbare handling består eksempelvis i, at en udbyder offentliggør en hvidbog om kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens, som ikke er identisk med den version, udbyderen har meddelt Finanstilsynet, i overensstemmelse med artikel 8 eller i givet fald med den version, der er ændret i overensstemmelse med artikel 12.
Artikel 10 i MiCA fastsætter krav for afslutning af et udbud til offentligheden og beskyttelsesforanstaltninger i forbindelse hermed. Ansvarssubjektet for overtrædelse af bestemmelsen er udbydere af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens. Den strafbare handling består eksempelvis i, at en udbyder ikke offentliggør resultatet af udbuddet på udbyderens websted senest 20 arbejdsdage efter tegningsperiodens afslutning, i de tilfælde hvor udbuddet har været tidsbegrænset.
Artikel 12, stk. 1-4 og 6-9, i MiCA fastsætter krav i forbindelse med ændring af offentliggjorte hvidbøger om kryptoaktiver og af offentliggjort markedsføringskommunikation. Ansvarssubjektet for overtrædelse af bestemmelserne er udbydere af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens eller personer, der anmoder om optagelse til handel af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens. Ansvarssubjektet kan endvidere være en operatør af en handelsplatform, som på eget initiativ optager et kryptoaktiv, undtagen aktivbaserede tokens eller e-pengetokens, til handel. Den strafbare handling består eksempelvis i, at udbyderen ikke tidsstempler den ændrede hvidbog om kryptoaktiver.
Artikel 13, stk. 2 og 3, i MiCA omhandler krav til fortrydelsesretten ved køb af kryptoaktiver. Ansvarssubjektet for overtrædelse af bestemmelserne er udbydere af kryptoaktiver, undtaget aktivbaserede tokens og e-pengetokens, og udbydere af kryptoaktivtjenester bestående af placering af kryptoaktiver. Den strafbare handling består eksempelvis i, at en udbyder af kryptoaktiver pålægger detailindehavere, som ønsker at gøre brug af deres fortrydelsesret efter artikel 13, stk. 1, gebyrer eller andre omkostninger i forbindelse hermed.
Artikel 14, stk. 1 og 2, i MiCA fastsætter forpligtelser for udbydere og personer, der anmoder om optagelse til handel af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens. Ansvarssubjektet for overtrædelse af bestemmelserne er udbydere og personer, der anmoder om optagelse til handel af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens. Ansvarssubjektet kan endvidere være en operatør af en handelsplatform, der på eget initiativ optager kryptoaktiver, undtagen aktivbaserede tokens og e-pengetokens, til handel. Den strafbare handling består eksempelvis i, at en udbyder kommunikerer med indehavere og potentielle indehavere af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens, på en vildledende måde.
Artikel 16, stk. 1, 2. afsnit, i MiCA fastsætter krav om skriftligt samtykke, hvis andre end udstederen udbyder aktivbaserede tokens til offentligheden eller ansøger om optagelse til handel. Ansvarssubjektet for overtrædelse af bestemmelsen er personer, som udbyder aktivbaserede tokens, og personer, der anmoder om optagelse af aktivbaserede tokens til handel i EU, som ikke er udstederen. Den strafbare handling består i, at tredjemand enten anmoder om at få optaget en aktivbaseret token til handel eller udbyder aktivbaserede tokens uden skriftligt samtykke fra udstederen, eller hvor tredjemand i forbindelse hermed ikke efterlever artikel 27, 29 og 40 i MiCA.
Artikel 17, stk. 1 og 2, i MiCA fastsætter krav til pengeinstitutter for udbud eller optagelse til handel af aktivbaserede tokens udstedt af disse. Ansvarssubjektet for overtrædelse af bestemmelserne er pengeinstitutter. Den strafbare handling består eksempelvis i, at et pengeinstitut udsteder en aktivbaseret token uden først at meddele Finanstilsynet de oplysninger, som fremgår af artikel 17, stk. 1, litra b, nr. 1-8.
Artikel 19, stk. 1-9, i MiCA fastsætter krav til indhold og form af hvidbogen for aktivbaserede tokens. Ansvarssubjektet for overtrædelse af bestemmelserne er udstedere af aktivbaserede tokens. Den strafbare handling består eksempelvis i, at hvidbogen ikke indeholder de oplysninger, som er opregnet i artikel 19, stk. 1, at oplysningerne i hvidbogen er vildledende, eller at hvidbogen indeholder påstande om de aktivbaserede tokens fremtidige værdi.
Artikel 22, stk. 1 og 3, i MiCA fastsætter krav til udstedere af aktivbaserede tokens om indberetning af oplysninger til Finanstilsynet. Ansvarssubjektet for overtrædelse af bestemmelserne er udstedere af aktivbaserede tokens. Den strafbare handling består eksempelvis i, at en udsteder af aktivbaserede tokens, hvis samlede udstedelser overstiger en værdi af 100 millioner EUR, hvert kvartal undlader at meddele Finanstilsynet de oplysninger, som er oplistet i artikel 22, stk. 1, litra a-d.
Artikel 25, stk. 1, 2 og 4, i MiCA fastsætter krav i forbindelse med ændring af offentliggjorte hvidbøger for aktivbaserede tokens. Ansvarssubjektet for overtrædelse af bestemmelserne er udstedere af aktivbaserede tokens. Den strafbare handling består eksempelvis i, at udstederen undlader at give meddelelse til Finanstilsynet om en påtænkt ændring af udstederens forretningsmodel, som kan tænkes at få væsentlig indflydelse på enhver faktisk eller potentiel indehavers købsbeslutning vedrørende aktivbaserede tokens, når ændringen indtræffer efter den i artikel 21 omhandlede tilladelse.
Artikel 27 i MiCA omhandler udstedere af aktivbaserede tokens forpligtelse til at handle ærligt, redeligt og professionelt og i den bedste interesse for indehavere af aktivbaserede tokens. Ansvarssubjektet for overtrædelse af bestemmelsen er udstedere af aktivbaserede tokens. Den strafbare handling består eksempelvis i, at udstedere af aktivbaserede tokens fortrinsbehandler visse indehavere af deres udstedte tokens, når der ikke foreligger oplysninger om fortrinsbehandlingen i hvidbogen om kryptoaktiver.
Artikel 28 i MiCA fastsætter krav om offentliggørelse af hvidbøger for aktivbaserede tokens. Ansvarssubjektet for overtrædelse af bestemmelsen er udstedere af aktivbaserede tokens. Den strafbare handling består eksempelvis i, at udstederen offentliggør den godkendte hvidbog på udstederens websted senere end begyndelsesdagen for udbuddet til offentligheden.
Artikel 29, stk. 1-3 og 6, i MiCA fastsætter krav til markedsføringskommunikation, der vedrører udbud til offentligheden eller optagelse til handel af aktivbaserede tokens. Ansvarssubjektet for overtrædelse af bestemmelserne er udstedere af aktivbaserede tokens. Den strafbare handling består eksempelvis i, at markedsføringskommunikationen er vildledende eller ikke stemmer overens med oplysningerne i hvidbogen.
Artikel 30 i MiCA fastsætter krav om løbende oplysninger til indehavere af aktivbaserede tokens. Ansvarssubjektet for overtrædelse af bestemmelsen er udstedere af aktivbaserede tokens. Den strafbare handling består eksempelvis i, at udstederen ikke ajourfører oplysningerne anført i artikel 30, stk. 1, 2. pkt., mindst hver måned.
Artikel 31, stk. 1-4, i MiCA fastsætter krav til klagebehandlingsprocedure for udstedere af aktivbaserede tokens. Ansvarssubjektet for overtrædelse af bestemmelserne er udstedere aktivbaserede tokens. Den strafbare handling består eksempelvis i, at udstederen opkræver gebyrer for at behandle klager fra indehavere af aktivbaserede tokens.
Artikel 32, stk. 1-4, i MiCA omhandler krav om identificering, forebyggelse, håndtering og oplysning i forbindelse med interessekonflikter. Ansvarssubjektet for overtrædelse af bestemmelserne er udstedere af aktivbaserede tokens. Den strafbare handling består eksempelvis i, at udstederen ikke træffer alle relevante foranstaltninger til at identificere interessekonflikter mellem udstederen og udstederens aktionærer, ansatte eller indehavere af aktivbaserede tokens.
Artikel 33 i MiCA omhandler kravet om indberetning af ændringer i ledelsesorganet. Ansvarssubjektet for overtrædelse af bestemmelsen er udbydere af kryptoaktivtjenester. Den strafbare handling består i, at en udbyder af kryptoaktivtjenester ikke øjeblikkeligt giver meddelelse til Finanstilsynet om enhver ændring i udbyderens direktionen eller bestyrelse. Eller hvor meddelelsen ikke indeholder alle de oplysninger, der er nødvendige for Finanstilsynets vurdering af overholdelsen af artikel 34, stk. 2, i MiCA.
Artikel 34, stk. 1-12, i MiCA omhandler krav til udstedere af aktivbaserede tokens ledelsesordninger. Ansvarssubjektet for overtrædelse af bestemmelserne er udstedere af aktivbaserede tokens og medlemmer af ledelsesorganet hos udbydere af aktivbaserede tokens. Den strafbare handling består eksempelvis i, at ledelsesorganet hos udstedere af aktivbaserede tokens ikke evaluerer effektiviteten af den politik og de ordninger og procedurer, der er indført for at efterleve kapitel 2, 3, 5 og 6 i MiCA.
Artikel 35, stk. 1, i MiCA fastsætter krav til kapitalgrundlaget for udstedere af aktivbaserede tokens. Ansvarssubjektet for overtrædelse af bestemmelsen er udstedere af aktivbaserede tokens. Den strafbare handling består i, at udstedere af aktivbaserede tokens ikke har et kapitalgrundlag, som er i overensstemmelse med artikel 35, stk. 1. Det indebærer eksempelvis, at udstederen af aktivbaserede tokens ikke har et kapitalgrundlag svarende til et beløb, der svarer til mindst det højeste af følgende: 350 000 EUR, 2 % af det gennemsnitlige beløb af reserven af aktiver som omhandlet i artikel 36, eller en fjerdedel af det foregående års faste omkostninger.
Artikel 36, stk. 8-12, i MiCA omhandler forpligtelser for udstedere af aktivbaserede tokens vedrørende udstederens reserve af aktiver og sammensætning og forvaltning af denne. Bestemmelserne fastsætter blandt andet krav om, at udstedere af aktivbaserede tokens skal have en klar og detaljeret politik, der beskriver stabiliseringsmekanismen for sådanne tokens, og at udstederne skal give autorisation til gennemførelsen af en uafhængig revision af reserven af aktiver hver sjette måned. Ansvarssubjektet for overtrædelse af bestemmelserne er udstedere af aktivbaserede tokens. Den strafbare handling består eksempelvis i, at politikken, der beskriver stabiliseringsmekanismen, ikke indeholder en detaljeret vurdering af de risici, herunder kreditrisiko, markedsrisiko, koncentrationsrisiko og likviditetsrisiko, som følger af reserven af aktiver.
Artikel 37, stk. 1 og 2, i MiCA omhandler forpligtigelser til udstedere af aktivbaserede tokens i forbindelse med deponering af reserven af aktiver. Ansvarssubjektet for overtrædelse af bestemmelsen er udstedere af aktivbaserede tokens. Den strafbare handling består eksempelvis i, at udstederen ikke har tilstrækkelige politikker og procedurer eller indgået i kontraktlige ordninger, som til enhver tid sikrer, at kravene i artikel 37, stk. 1, litra a-e, er opfyldt.
Artikel 39, stk. 1, 2. pkt., i MiCA fastsætter udstedere af aktivbaserede tokens forpligtigelser til at fastlægge, opretholde og gennemføre klare og detaljerede politikker og procedurer for indehavernes permanente genindløsningsrettigheder. Ansvarssubjektet for overtrædelse af bestemmelserne er udstedere af aktivbaserede tokens. Den strafbare handling består eksempelvis i, at udstedere af aktivbaserede tokens ikke har tilstrækkeligt klare og detaljerede politikker for sikring af indehaveres permanente genindløsningsrettigheder.
Artikel 41, stk. 1 og 2, i MiCA omhandler forpligtigelsen til at give meddelelse til Finanstilsynet ved erhvervelser eller afhændelser af kvalificerede andele i udstedere af aktivbaserede tokens. Ansvarssubjektet for overtrædelse af bestemmelserne er enhver fysisk eller juridisk person eller sådanne personer, som handler i forståelse med hinanden, og som har besluttet direkte eller indirekte at erhverve eller afhænde en kvalificeret andel i en udsteder af aktivbaserede tokens. Den strafbare handling består eksempelvis i, at en erhverver af en kvalificeret andel ikke på forhånd giver skriftlig meddelelse til Finanstilsynet herom.
Artikel 46, stk. 1 og 2, i MiCA omhandler krav til udstedere af aktivbaserede tokens om at udarbejde og opretholde en genopretningsplan, samt underrette Finanstilsynet om genopretningsplanen. Ansvarssubjektet for overtrædelse af bestemmelserne er udstedere af aktivbaserede tokens og udstedere af e-pengetokens. Den strafbare handling består eksempelvis i, at udstederens genopretningsplan ikke indeholder passende betingelser og procedurer for at sikre rettidig gennemførelse af genopretningsforanstaltninger.
Artikel 47, stk. 1-3, i MiCA omhandler udstedere af aktivbaserede tokens forpligtigelse til at udarbejde og opretholde en operationel plan til støtte for en velordnet genindløsning af hver aktivbaseret token. Ansvarssubjektet for overtrædelse af bestemmelserne er udstedere af aktivbaserede tokens og udstedere af e-pengetokens. Den strafbare handling består eksempelvis i, at udstederens genindløsningsplan ikke sikrer kontinuitet i kritiske aktiviteter, der udføres af udstederen eller af eventuelle tredjepartsenheder, og som er nødvendige for en velordnet genindløsning.
Artikel 48, stk. 6 og 7, i MiCA omhandler pligten til at underrette Finanstilsynet, inden et pengeinstitut udbyder e-pengetokens til offentligheden eller anmoder om at få e-pengetokens optaget til handel. Ansvarssubjektet for overtrædelse af bestemmelserne er et pengeinstitut, der udsteder e-pengetokens. Den strafbare handling består eksempelvis i, at et pengeinstitut, der udsteder e-pengetokens, ikke underretter Finanstilsynet senest 40 arbejdsdage før den dato, hvor det har til hensigt at udbyde disse e-pengetokens til offentligheden eller anmode om e-pengenes optagelse til handel.
Artikel 49, stk. 5, i MiCA omhandler oplysningspligten vedrørende betingelserne for genindløsningen. I denne lov skal ”genindløsning” forstås i overensstemmelse med § 96 i lov om betalinger. Ansvarssubjektet for overtrædelse af bestemmelsen er et pengeinstitut, der udsteder e-pengetokens. Den strafbare handling består i, at et pengeinstitut, der udsteder e-pengetokens, ikke oplyser om betingelserne for genindløsning på en fremtrædende plads i hvidbogen om kryptoaktiver.
Artikel 51, stk. 1-9, 11-13 og stk. 14, 1. pkt., i MiCA omhandler kravene til indhold og form af hvidbogen om kryptoaktiver vedrørende e-pengetokens. Ansvarssubjektet for overtrædelse af bestemmelserne er et pengeinstitut, der udsteder e-pengetokens. Den strafbare handling består eksempelvis i, at hvidbogen ikke indeholder alle oplysninger, som fremgår af artikel 51, stk. 1, i MiCA, eller at oplysningerne i hvidbogen er vildledende.
Artikel 53, stk. 1-3, 5 og 6, i MiCA omhandler markedsføringskommunikation, der vedrører et udbud til offentligheden af e-pengetokens eller optagelse af sådanne e-pengetokens til handel. Ansvarssubjektet for overtrædelse af bestemmelserne er et pengeinstitut, der udsteder e-pengetokens. Den strafbare handling består eksempelvis i, at markedsføringskommunikationen ikke indeholder en klar og utvetydig erklæring om, at indehavere af e-pengetokens har ret til, når som helst, at genindløse disse e-pengetokens over for udstederen til pariværdi.
Artikel 55 i MiCA fastsætter at udstedere af e-pengetokens er omfattet af kravene i artikel 46 og 47 i MiCA. Derudover fastsætter bestemmelsen datoen, hvorpå genopretningsplanen senest skal meddeles Finanstilsynet. Ansvarssubjektet for overtrædelse af bestemmelsen er et pengeinstitut, der udsteder e-pengetokens. Den strafbare handling består eksempelvis i, at et pengeinstitut, der udsteder e-pengetokens, ikke har udarbejdet eller opretholdt en genopretningsplan, som er i overensstemmelse med kravene i artikel 46 og 47.
Artikel 59, stk. 2, 5 og 8, i MiCA fastsætter krav vedrørende hjemsted, anvendelse af navn og selskabsform for udbydere af kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af bestemmelserne er enhver person, som udbyder kryptoaktivtjenester. Den strafbare handling består eksempelvis i, at en kryptoaktivtjenesteudbyder med registreret hjemsted i Danmark ikke udfører nogen af dens aktiviteter fra Danmark. Ligeledes straffes en person, der uden at have tilladelse til at udbyde kryptoaktivtjenester, anvender et navn eller et firmanavn, udsender markedsføringskommunikation eller anvender nogen anden proces, der antyder, at den pågældende er kryptoaktivtjenesteudbyder.
Artikel 64, stk. 8, i MiCA regulerer udbydere af kryptoaktivtjenesters forpligtigelse til at sikre overførelse af deres kunders kryptoaktiver og midler, i tilfælde af, at udbyderens tilladelse bliver inddraget. Ansvarssubjektet for overtrædelse af bestemmelsen er udbydere af kryptoaktivtjenester. Den strafbare handling består eksempelvis i, at en udbyder af en kryptoaktivtjeneste ikke har passende procedurer for, hvorledes kryptoaktiver, som opbevares på vegne af deres kunder, vil blive overført til en anden udbyder af en kryptoaktivtjeneste i tilfælde af inddragelse af udbyderens tilladelse.
Artikel 65, stk. 4, i MiCA omhandler oplysningskrav ved grænseoverskridende levering af kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af bestemmelsen er udbydere af kryptoaktivtjenester. Den strafbare handling består i, at en udbyder af en kryptoaktivtjeneste påbegynder leveringen af kryptoaktivtjenester i en anden medlemsstat end Danmark inden 15 kalenderdage efter at have indgivet oplysninger efter artikel 65, stk. 1, eller inden at have modtaget meddelelse fra Finanstilsynet efter artikel 65, stk. 2.
Artikel 66, stk. 1-5, i MiCA omhandler udbydere af kryptoaktivtjenesters forpligtelse til at handle ærligt, redeligt og professionelt i kundernes bedste interesse. Ansvarssubjektet for overtrædelse af bestemmelserne er udbydere af kryptoaktivtjenester. Den strafbare handling består eksempelvis i, at udbydere af kryptoaktivtjenester giver deres kunder vildledende oplysninger.
Artikel 67, stk. 1, i MiCA omhandler tilsynsmæssige krav til udbydere af kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af bestemmelsen er udbydere af kryptoaktivtjenester. Den strafbare handling består eksempelvis i, at udbydere af kryptoaktivtjenester på et givent tidspunkt ikke opfylder kravet om at have indført forsigtighedshensyn svarende til minimum det højeste beløb af den permanente minimumskapital, der er anført i bilag 4, eller en fjerdedel af det foregående års faste omkostninger, jf. artikel 67, stk. 1, litra b.
Artikel 67, stk. 5 og 6, i MiCA omhandler kravene til forsikringspolicers dækning og offentliggørelse i de tilfælde, hvor udbydere af kryptoaktivtjenester vælger at benytte forsikringspolicer eller tilsvarende garantier til at efterleve kravene i artikel 67, stk. 1. Ansvarssubjektet for overtrædelse af bestemmelserne er udbydere af kryptoaktivtjenester. Den strafbare handling består eksempelvis i, at udbyderen af kryptoaktivtjenester ikke offentliggør den i artikel 67, stk. 4, litra b, omhandlede forsikringspolice, eller at den offentliggjorte forsikringspolice ikke omfatter dækning af risiciene oplistet i artikel 67, stk. 6, litra a-g.
Artikel 68, stk. 4-9 i MiCA omhandler kravene til ledelsesordninger og indretningen af udbydere af kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af artikel 68, stk. 4, 5 og 7-9, er udbydere af kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af artikel 68, stk. 6, er ledelsesorganet hos udbydere af kryptoaktivtjenester. Den strafbare handling består eksempelvis i, at udbyderen ikke har vedtaget procedurer, som er tilstrækkelige til at sikre overholdelsen af MiCA. Den strafbare handling kan endvidere bestå i, at ledelsesorganer hos en udbyder af kryptoaktivtjenester ikke regelmæssigt vurderer og evaluerer effektiviteten af den politik og de ordninger og procedurer, der er indført for at opfylde forpligtelserne i artikel 66-83 i MiCA, herunder ikke træffer passende foranstaltninger til at afhjælpe eventuelle mangler.
Artikel 69 i MiCA omhandler krav til at meddele Finanstilsynet eventuelle ændringer i ledelsesorganet hos en udbyder af kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af bestemmelsen er udbydere af kryptoaktivtjenester. Den strafbare handling består eksempelvis i, at udbydere af kryptoaktivtjenester ikke giver Finanstilsynet alle oplysninger, som er nødvendige for Finanstilsynets vurdering af overholdelsen af artikel 68 i MiCA, inden nye medlemmerne af ledelsesorganet tiltræder deres stilling.
Artikel 71, stk. 1-4, i MiCA fastsætter krav til udbydere af kryptoaktivtjenesters klagebehandlingsprocedurer. Ansvarssubjektet for overtrædelse af bestemmelserne er udbydere af kryptoaktivtjenester. Den strafbare handling består eksempelvis i, at udbydere af kryptoaktivtjenester kræver betaling af gebyr eller anden afgift i forbindelse med behandling af klager fra deres kunder.
Artikel 72, stk. 2-4, i MiCA fastsætter krav om effektive politikker og procedurer til identificering, forebyggelse, håndtering og oplysning om interessekonflikter. Ansvarssubjektet for overtrædelse af bestemmelserne er udbydere af kryptoaktivtjenester. Den strafbare handling består eksempelvis i, at udbydere af kryptoaktivtjenester ikke oplyser deres kunder og potentielle kunder om de skridt, udbyderen har taget for at begrænse interessekonflikter.
Artikel 73, stk. 2 og 3, i MiCA regulerer udbydere af kryptoaktivtjenesters outsourcing af tjenester eller aktiviteter til tredjeparter. Ansvarssubjektet for overtrædelse af bestemmelserne er udbydere af kryptoaktivtjenester. Den strafbare handling består eksempelvis i, at udbydere af kryptoaktivtjenester ikke træffer alle rimelige foranstaltninger for at undgå yderligere operationel risiko, eller at udbydere af kryptoaktiver ikke sikrer at betingelserne i artikel 73, stk. 1, litra a-g, til enhver tid er opfyldt.
Artikel 74 i MiCA omhandler velordnet afvikling af udbydere af kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af bestemmelsen er udbydere af kryptoaktivtjenester, som udfører de i artikel 75-79 i MiCA beskrevne aktiviteter. Den strafbare handling består eksempelvis i, at den i artikel 74 nævnte plan for velordnet afvikling ikke godtgør, at udbyderen af kryptoaktivtjenesten har evnen til at gennemføre en velordnet afvikling uden at påføre sine kunder unødig økonomisk skade.
Artikel 75, stk. 3-6 og 9, i MiCA fastsætter forpligtelser for udbydere af kryptoaktivtjenester, som leverer deponering og administration af kryptoaktiver på vegne af kunder. Ansvarssubjektet for overtrædelse af bestemmelserne er udbydere af kryptoaktivtjenester, som udbyder levering af deponering og administration af kryptoaktiver på vegne af kunder. Den strafbare handling består eksempelvis i, at kryptoaktivtjenesteudbyderens politik for deponering, som anført i artikel 75, stk. 3, ikke minimerer risikoen for tab af kunders kryptoaktiver som følge af svig, cybertrusler eller forsømmelighed.
Artikel 76, stk. 3, 4 og 9-15, i MiCA fastsætter en række krav til drift af handelsplatforme for kryptoaktiver, herunder krav til indholdet af handelsplatformens driftsregler, krav om offentliggørelse af handelsoplysninger, krav vedrørende afvikling af kryptoaktivtransaktioner, m.v. Ansvarssubjektet for overtrædelse af bestemmelserne er udbydere af kryptoaktivtjenester, der driver en handelsplatform for kryptoaktiver. Den strafbare handling består eksempelvis i, at udbydere af kryptoaktivtjenester, der driver handelsplatforme for kryptoaktiver, ikke offentliggør pris, volumen og tidspunkt for de transaktioner, der udføres i forbindelse med kryptoaktiver handlet på deres handelsplatforme.
Artikel 77 i MiCA fastsætter en række krav til udbydere af kryptoaktivtjenester, der veksler mellem kryptoaktiver og midler eller andre kryptoaktiver. Ansvarssubjektet for overtrædelse af bestemmelsen er udbydere af kryptoaktivtjenester, der veksler mellem kryptoaktiver og midler eller andre kryptoaktiver. Den strafbare handling består eksempelvis i, at udbydere ikke udfører kundernes ordrer til de viste priser på det tidspunkt, hvor ordren vedrørende veksling var endelig.
Artikel 78 i MiCA fastsætter en række krav til udbydere af kryptoaktivtjenester, der udfører ordrer vedrørende kryptoaktiver på vegne af kunder. Ansvarssubjektet for overtrædelse af bestemmelsen er udbydere af kryptoaktivtjenester, der udfører ordrer vedrørende kryptoaktiver på vegne af kunder. Den strafbare handling består eksempelvis i, at udbyderen ikke har udarbejdet og gennemført en politik for ordreudførelse, der sikrer, at udbyderen er i stand til at opnå det bedst mulige resultat i forbindelse med kundeordrer.
Artikel 79 i MiCA fastsætter en række krav til udbydere af kryptoaktivtjenester, der placerer kryptoaktiver, herunder krav om underretning af udbydere af kryptoaktiver, personer, der anmoder om optagelse af kryptoaktiver til handel, eller enhver tredjepart, der handler på disses vegne, om de oplysningerne, som fremgår af artikel 79, stk. 1, litra a-d. Ansvarssubjektet for overtrædelse af bestemmelsen er udbydere af kryptoaktivtjenester, der placerer kryptoaktiver. Placering af kryptoaktiver er defineret i artikel 3, stk. 1, nr. 21, i MiCA. Den strafbare handling består eksempelvis i, at udbydere af kryptoaktivtjenester i forbindelse med placering af kryptoaktiver ikke underretter en udbyder af kryptoaktiver om oplysningerne i artikel 79, stk. 1, litra a-d, inden der indgås kontrakt om placering af kryptoaktiver.
Artikel 80, stk. 1-3, i MiCA fastsætter en række krav til udbydere af kryptoaktivtjenester, der modtager og formidler ordrer vedrørende kryptoaktiver på vegne af kunder. Ansvarssubjektet for overtrædelse af bestemmelserne er udbydere af kryptoaktivtjenester, der modtager og formidler ordrer vedrørende kryptoaktiver på vegne af kunder. Den strafbare handling består eksempelvis i, at en udbyder af en kryptoaktivtjeneste, der modtager og formidler ordrer, ikke indfører procedurer og ordninger, der sikrer hurtig og korrekt formidling af kunders ordrer til udførelse på en handelsplatform for kryptoaktiver.
Artikel 81, stk. 1-14, i MiCA fastsætter en række krav til udbydere af kryptoaktivtjenester, der yder rådgivning om kryptoaktiver og udbydere af kryptoaktivtjenester, som yder porteføljepleje af kryptoaktiver. Ansvarssubjektet for overtrædelse af bestemmelserne er både udbydere af kryptoaktivtjenester, som yder rådgivning om kryptoaktiver, og udbydere af kryptoaktivtjenester, som yder porteføljepleje af kryptoaktiver. Den strafbare handling består eksempelvis i, at udbydere af kryptoaktivtjenester, der yder rådgivning om kryptoaktiver eller porteføljepleje af kryptoaktiver, undlader at advare deres kunder eller potentielle kunder om de forhold, som er oplistet i artikel 81, stk. 9, litra a-f.
Artikel 82, stk. 1, i MiCA fastsætter krav til indholdet af den aftale udbydere af kryptoaktivtjenester, der udbyder overførselstjenester på vegne af kunder, skal indgå med deres kunder. Ansvarssubjektet for overtrædelse af bestemmelserne er udbydere af kryptoaktivtjenester, der udbyder overførselstjenester på vegne af kunder. Den strafbare handling består eksempelvis i, at udbydere af overførelsestjenester ikke indgår en aftale med deres kunder, som indeholder de punkter, der er oplistet i artikel 82, stk. 1, litra a-e.
Artikel 83, stk. 1 og 2, i MiCA fastsætter krav til meddelelse af Finanstilsynet i forbindelse med erhvervelser af kvalificerede ejerandele i udbydere af kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af bestemmelserne er enhver fysisk eller juridisk person eller sådanne personer, som handler i forståelse med hinanden, og som har besluttet direkte eller indirekte at erhverve eller afhænde en kvalificeret andel i en udbyder af kryptoaktivtjenester. Den strafbare handling består eksempelvis i, at en fysisk person erhverver eller afhænder en kvalificeret andel i en udbyder af kryptoaktivtjenester uden forinden at meddele Finanstilsynet herom.
De foreslåede ændringer, for så vidt angår indsættelse af henvisning til artikler i MiCA, vil supplere artikel 111, stk. 1, afsnit 2, i MiCA.
Disse ændringer foreslås som en følge af, at MiCA finder anvendelse fra den 30. december 2024, hvorefter en række aktører, som beskæftiger sig med kryptoaktiver, skal leve op til kravene i forordningen.
I det følgende redegøres for de nævnte artikler i DORA-forordningen.
Med den foreslåede ændring vil en række overtrædelser af DORA-forordningen blive strafbelagt. Dette foreslås som følge af DORA-forordningens artikel 52, der giver medlemsstaterne mulighed for at fastsætte strafferetlige sanktioner fremfor administrative sanktioner.
Nedenfor er en uddybende beskrivelse af indholdet af de enkelte artikler i DORA-forordningen, der vil blive strafbelagt med den foreslåede bestemmelse. Når der nedenfor henvises til finansielle enheder, menes der hermed penge- og realkreditinstitutter, udbydere af kryptoaktivtjenester, crowdfundingtjenesteudbydere, securitiseringsregistre og kreditvurderingsbureauer, jf. artikel 2, stk. 1, litra a, s, t og q, jf. artikel 2, stk. 2, i DORA-forordningen.
Artikel 5 i DORA-forordningen indeholder regler om forvaltning og organisationen af en finansiel enheds it-risikostyring. Intern forvaltning og organisation af it-risikostyring omfatter fastlæggelsen og tilsynet af de foranstaltninger for it-risikostyring.
I medfør af artikel 5, stk. 1, skal en finansiel enhed have indført en intern forvaltnings og kontrolramme, der sikrer en effektiv og forsigtig styring af it-risiko, i overensstemmelse med artikel 6, stk. 4, der bl.a. fastsætter krav om, at finansielle enheder skal overdrage ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion og sikre, at denne kontrolfunktion har et passende uafhængighedsniveau for at undgå interessekonflikter mellem den finansielle enhed og kontrolfunktionen.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 1, er den finansielle enhed.
Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har overdraget ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion, der har et passende uafhængighedsniveau i forhold til den finansielle enhed.
Det fremgår af artikel 5, stk. 2, at ledelsesorganet i den finansielle enhed skal fastlægge, godkende og føre tilsyn med og har ansvaret for gennemførelsen af alle ordninger vedrørende rammer for it-risikostyring, der er omhandlet i artikel 6, stk. 1. Artikel 6, stk. 1, vedrører, at finansielle enheder indfører en robust, omfattende og veldokumenteret ramme for it-risikostyring. De nærmere krav til ledelsesorganet er nærmere beskrevet i artikel 5, stk. 2, litra a-i. Det fremgår bl.a. af stk. 2, litra b, at ledelsesorganet skal indføre politikker, der har til formål at sikre høje standarder for tilgængeligheden, autenticiteten, integriteten og fortroligheden af data. Videre fremgår det af stk. 2, litra f, at ledelsesorganet godkender og regelmæssigt gennemgår den finansielle enheds interne it-revisionsplaner, it-revisioner og væsentlige ændringer heraf.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 2, er den finansielle enhed. En strafbar handling kan eksempelvis være, at et ledelsesorgan ikke har indført politikker for tilgængeligheden, autenticiteten, integriteten og fortroligheden af data i henhold til stk. 2, litra b. En strafbar handling kan også være at ledelsesorganet enten ikke har godkendt eller gennemgået den finansielle enheds interne it-revisionsplan i henhold til stk. 2, litra f.
Artikel 5, stk. 3, fastsætter at finansielle enheder skal oprette en funktion med henblik på overvågning af de ordninger, der er indgået med tredjepartsudbydere af it-tjenester vedrørende brugen af it-tjenester, eller udpege et medlem af den øverste ledelse som tilsynsansvarlig for den dermed forbundne risikoeksponering og relevante dokumentation.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 3, er den finansielle enhed. Et eksempel på en strafbar handling kan være, at ledelsesorganet ikke har oprettet en funktion der har til formål at overvåge de ordninger, der er indgået med tredjepartsudbydere af it-tjenester vedrørende brugen af it-tjenester.
Artikel 6 indeholder regler om en finansiel enheds ramme for it-risikostyring. Rammen for it-risikostyring omfatter hvilke tiltag en operatør af et reguleret marked har opsat.
I medfør af artikel 6, stk. 1, skal en finansiel enhed have indført en robust, omfattende og veldokumenteret ramme for deres it-risikostyring, som en del af deres samlede risikostyringssystem der sikrer et højt niveau af digital operationel modstandsdygtighed.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 1, er den finansielle enhed.
Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har formået at dokumentere deres ramme for deres it-risikostyring i en tilstrækkelig grad.
Det fremgår af artikel 6, stk. 2, at rammen for it-risikostyring, som minimum skal omfatte strategier, politikker, procedurer, it-protokoller og værktøjer, som er nødvendige for på behørig vis og i tilstrækkelig grad, at beskytte alle informationsaktiver og it-aktiver.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 2, er ledelsesorganet. Det fremgår af artikel 5. stk. 2, at ledelsesorganet i den finansielle enhed skal fastlægge, godkende og føre tilsyn med og har ansvaret for gennemførelsen af alle ordninger vedrørende rammer for it-risikostyring, der er omhandlet i artikel 6, stk. 1.
Den strafbare handling kan eksempelvis bestå i, at ledelsesorganet ikke har indført sikkerhedsforanstaltninger der i tilstrækkeliggrad beskytter relevante fysiske komponenter, som eksempelvis virksomhedens lokaler, mod uautoriseret adgang.
Artikel 6, stk. 3, omhandler de finansielle enheders forpligtigelse til at forelægge fuldstændige og ajourførte oplysninger om deres it-risiko på de kompetente myndigheders anmodning. Ved at indføre passende strategier, politikker, procedurer, it-protokoller og -værktøjer, minimerer den finansielle enhed deres it-risiko.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 3, er den finansielle enhed. Et eksempel på den strafbare handling kan være, at den finansielle enhed ikke på Finanstilsynets anmodning, har fremlagt en opdateret strategi for deres it-risikostyring, efter nye tiltag trådte i kraft for virksomheden.
Det fremgår af artikel 6, stk. 4, at finansielle enheder skal overdrage ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion og sikre, at denne kontrolfunktion har et passende uafhængighedsniveau, så interessekonflikter kan undgås. Videre fremgår det af artikel 6, stk. 4, 2. pkt., at en finansiel enhed skal sikre en passende adskillelse og uafhængighed af it-risikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner efter modellen med tre forsvarslinjer eller en intern model for risikostyring og kontrol.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse af bestemmelsen kan eksempelvis bestå i, at en finansiel enhed har en intern styring af og tilsyn med it-risikoen og derfor ikke har sikret en passende adskillelse og uafhængighed af deres it-risikostyringsfunktioner.
Artikel 6, stk. 5, indeholder krav om dokumentationen og tilsyn med it-risikostyringens ramme. Det følger af bestemmelsen, at rammen for it-risikostyringen skal dokumenteres og gennemgås mindst én gang om året, samt når der forekommer større it-relaterede hændelser, og i henhold til tilsynsmæssige instrukser eller konklusioner, som er udledt af relevant test af digital operationel modstandsdygtighed eller revisionsprocesser. Den skal forbedres løbende på grundlag af indhøstede gennemførelses- og overvågningserfaringer. Der skal forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed på dens anmodning.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 5, er den finansielle virksomhed. Den strafbare handling kan eksempelvis bestå i, at en finansiel enhed ved en større it-relateret hændelse, efterfølgende ikke formår at dokumentere rammen for risikostyringen. En strafbar handling kunne også bestå i, at den finansielle enhed ikke har forbedret rammen for deres risikostyring på baggrund af løbende overvågningserfaringer.
Artikel 6, stk. 6, omhandler revisorernes interne revision af rammen for it-risikostyring. Det følger af bestemmelsen, at revisorerne skal besidde egenskaber som tilstrækkelig viden, faglig kompetence og ekspertise, samt være tilstrækkeligt uafhængige. Der skal være overensstemmelse mellem hyppigheden af revisioner og omfanget af it-risikoen hos den finansielle enhed.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse kan eksempelvis bestå i, at den finansielle enheds revisor har foretaget en revision af rammen for it-risikostyring, uden at have det fornødne egenskaber. Det kan ligeledes anses for strafbart såfremt revisoren ikke kan anses som værende uafhængig.
Artikel 6, stk. 7, omhandler den formelle opfølgningsproces på den interne revisionsgang som den finansielle enhed skal etablere. Opfølgningsprocessen skal indeholde regler for rettidig efterprøvning og udbedring af kritiske resultater af it-revisioner.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 7, er den finansielle enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke etablerer en opfølgningsproces, der indeholder regler for rettidig efterprøvning af kritiske konklusioner fra en interne revision.
I medfør af artikel 6, stk. 8, skal en finansiel enheds ramme for it-risikostyring omfatte en strategi for digital operationel modstandsdygtighed, der fastsætter, hvordan rammen gennemføres. Strategien for digital operationel modstandsdygtighed skal omfatte metoderne til håndtering af it-risiko og opfylde specifikke krav, som er oplistet i artikel 6, stk. 8, litra a-h. Et af disse krav er eksempelvis at fastlægge risikotoleranceniveauet for it-risiko i overensstemmelse med den finansielle enheds risikovillighed og analysere tolerancen over for virkninger af it-forstyrrelser, jf. litra b, eller dokumentere den nuværende situation for den digitale operationelle modstandsdygtighed på grundlag af antallet af indberettede større it-relaterede hændelser og de forebyggende foranstaltningers effektivitet, jf. litra f.
Ansvarssubjektet for en overtrædelse af artikel 6, stk. 8, er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enheds strategi, undlader at analysere for virkninger af it-forstyrrelser over for risikotoleranceniveauet. Den strafbare handling kan ligeledes bestå i, at den finansielle enhed ikke formår at dokumentere deres situation for den operationelle robusthed på baggrund af mængden af større it-relaterede hændelser og de forebyggende foranstaltningers effektivitet
Artikel 7, stk. 1, oplister en række krav til den finansielle enheds it-systemer, -protokoller og-værktøjer, jf. litra a-d. Den finansielle enhed skal eksempelvis anvende systemer der er pålidelige, jf. litra b, og som er teknologisk modstandsdygtige nok til i tilstrækkeligt omfang at håndtere yderligere behov for informationsbehandling som krævet under stressede markedsforhold eller i andre vanskelige situationer, jf. litra d.
Ansvarssubjektet for overtrædelse af bestemmelsen er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke anvender systemer eller værktøjer der er pålidelige eller proportionale i forhold til den finansielle enheds udbudte ydelser.
Artikel 8, stk. 1-7, i DORA-forordningen omhandler identifikation af kilder til it-risiko. Artikel 8, stk. 1, fastsætter, at en finansiel enhed, som led i deres ramme for it-risikostyring, skal foretage identifikation, klassificering og tilstrækkelig dokumentering af alle it-understøttede forretningsfunktioner, roller og ansvarsområder, informationsaktiver og it-aktiver, der understøtter disse funktioner, samt deres roller og afhængigheder med hensyn til it-risici. Bestemmelsen fastsætter endvidere, at en finansiel virksomhed efter behov og mindst én gang om året, vurderer hvorvidt denne klassificering og eventuel relevant dokumentation er tilstrækkelig.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke har identificeret, klassificeret eller dokumenteret deres it-understøttede forretningsfunktioner i en tilstrækkelig grad.
I medfør af artikel 8, stk. 2, skal en finansiel enhed løbende identificere alle kilder til it-risiko, navnlig risikoeksponeringen for og fra andre finansielle enheder, og vurderer cybertrusler og it-sårbarheder, der er relevante for deres it-understøttede forretningsfunktioner, informationsaktiver og it-aktiver. De finansielle enheder skal derfor regelmæssigt og mindst én gang om året gennemgå de risikoscenarier, der har virkninger for dem.
Ansvarssubjektet for overtrædelse af artikel 8, stk. 2, er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel virksomhed ikke mindst én gang årligt har gennemgået de risikoscenarier der er virkninger for dem.
Artikel 8, stk. 3, indeholder krav om, at en finansiel enhed skal foretage en risikovurdering efter hver større ændring af infrastrukturen i net- og informationssystemerne, i de processer eller procedurer, der påvirker deres it-understøttede forretningsfunktioner, informationsaktiver eller it-aktiver.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling kan bestå i, at en finansiel enhed har foretaget en større ændring infrastrukturen i deres net- og informationssystem og ikke foretager en ny risikovurdering, såfremt infrastrukturen påvirker deres it-understøttede forretningsfunktioner.
Det fremgår af artikel 8, stk. 4, at en finansiel enhed skal identificere alle informationsaktiver og it-aktiver, herunder på eksterne steder, netværksressourcer og hardwareudstyr, og kortlægger dem, der anses for kritiske. Den finansielle enhed kortlægger informationsaktivernes og it-aktivernes konfiguration samt forbindelserne og den indbyrdes forbundethed mellem de forskellige informationsaktiver og it-aktiver.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har kortlagt de kritiske informationsaktiver og it-aktiver, herunder på eksterne steder, netværksressourcer og hardwareudstyr.
Af artikel 8, stk. 5, fremgår det, at en finansiel enhed skal identificere og dokumentere alle processer, der er afhængige af tredjepartsudbydere af it-tjenester. Det fremgår endvidere, at den finansielle enhed identificerer sammenkoblinger med tredjepartsudbydere af it-tjenester, der udbyder tjenester, som understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed har undladt at dokumentere alle de processer der er afhængige af tredjepartsudbydere af it-tjenester, som den finansielle enhed bruger.
Det fremgår af artikel 8, stk. 6, at den finansielle enhed, med henblik på artikel 6, stk. 1, 4 og 5, opretholder relevante fortegnelser og ajourfører dem regelmæssigt, og hver gang der sker større ændringer som omhandlet i artikel 6, stk. 3.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse kan bestå i, at der ved en større ændring af infrastrukturen i net- og informationssystemerne, i de processer eller procedurer, der påvirker den finansielle enheds it-understøttede forretningsfunktioner, informationsaktiver eller it-aktiver, ikke er foretaget ajourførte fortegnelser over ændringerne.
Til sidst følger det af artikel 8, stk. 7, at en finansiel enhed skal foretage en specifik it-risikovurdering regelmæssigt og mindst én gang om året.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse består eksempelvis i, at en finansiel virksomhed ikke regelmæssigt eller mindst én gang årligt har foretaget en specifik it-risikovurdering.
Artikel 9 indeholder nærmere bestemmelser om beskyttelse af it-systemer og forebyggelse af it-risici.
Det følger af artikel 9, stk. 1, at en finansiel enhed skal sikre løbende overvågning af og kontrol med it-systemer og -værktøjernes sikkerhed og af, hvordan de fungerer, og minimerer virkningerne af it-risikoen for it-systemer ved at indføre passende it-sikkerhedsværktøjer, -politikker og -procedurer, med henblik på, at sikre en passende beskyttelse og tilrettelægge indsatsforanstaltninger der skal sikre de finansielle enheder.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, ikke løbende at overvåge og kontrollere den finansielle enheds it-systemer og -værktøjers sikkerhed igennem passende it-sikkerhedsværktøjer, -politikker og -procedurer.
I medfør af artikel 9, stk. 2, skal en finansiel enhed udforme, indkøbe og gennemføre it-sikkerhedspolitikker, -procedurer, -protokoller og -værktøjer, der har til formål at sikre it-systemernes modstandsdygtighed, stabilitet og tilgængelighed, især for dem, der understøtter kritiske eller vigtige funktioner, og at opretholde høje standarder for tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, hvad enten dataene er inaktive, i brug eller under overførsel.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 9, stk. 2, bestå i, at der ikke er gennemført en it-sikkerhedspolitik for at sikre den finansielle enheds it-systems modstandsdygtighed, stabilitet og tilgængelighed.
Artikel 9, stk. 3, omhandler de it-løsninger og it-processer som den finansielle enhed skal anvende for at nå de i artikel 9, stk. 2, omhandlede mål. It-løsningerne og it-processerne skal være i overensstemmelse med proportionalitetsprincippet i artikel 4 i DORA-forordningen og sikre sikkerheden for metoderne til overførsel af data, minimere risikoen for korruption eller tab af data, uautoriseret adgang og tekniske fejl, der kan hæmme erhvervsaktiviteten og forhindrer manglen på tilgængelighed, forringelsen af autenticiteten og integriteten, bruddene på fortroligheden og tabet af data. Samt sikre, at data beskyttes mod risici, der opstår i forbindelse med dataforvaltning, herunder dårlig administration, procesrelaterede risici og menneskelige fejl.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 9, stk. 3, bestå i at have utilstrækkelige it-løsninger og it-processer, der ikke lever op til proportionalitetsprincippet i artikel 4, i DORA-forordningen og de i artikel 9, stk. 3, fastsatte krav.
Det følger af artikel 9, stk. 4, at en finansiel enhed som led i deres it-risikostyring skal udvikle og dokumentere en informationspolitik, der fastlægger regler for beskyttelse af tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, informationsaktiver og it-aktiver, herunder deres kunders, hvis det er relevant, jf. litra a. Desuden skal en finansiel enhed følge en risikobaseret tilgang ved at indføre en forsvarlig forvaltningsstruktur for netværk og infrastrukturer ved anvendelse af passende teknikker, metoder og protokoller, der kan omfatte gennemførelse af automatiske mekanismer til isolering af de berørte informationsaktiver i tilfælde af cyberangreb, jf. litra b. Artikel 9, stk. 4, litra c, fastsætter også at en finansiel enhed skal gennemføre politikker, der begrænser den fysiske eller logiske adgang til informationsaktiver og it-aktiver udelukkende til, hvad der er påkrævet for legitime og godkendte funktioner og aktiviteter, og med henblik herpå indføre en række politikker, procedurer og kontroller, der vedrører adgangsrettigheder og sikrer forsvarlig forvaltning heraf.
Desuden skal den finansielle enhed gennemføre politikker og protokoller for stærke autentificeringsmekanismer på grundlag af relevante standarder og særlige kontrolsystemer og beskyttelsesforanstaltninger for krypteringsnøgler, hvorigennem data krypteres baseret på resultaterne fra godkendt dataklassificering og godkendte it-risikovurderingsprocesser, jf. litra d. Samt gennemføre dokumenterede politikker, procedurer og kontroller for styring af it-ændringer, herunder ændringer af software, hardware, firmwarekomponenter, systemer eller sikkerhedsparametre, som er baseret på en risikovurderingstilgang og er en integreret del af den finansielle enheds samlede ændringsstyringsproces, for at sikre, at alle ændringer af it-systemer registreres, testes, vurderes, godkendes, gennemføres og efterprøves på en kontrolleret måde, jf. litra e. Slutteligt anfører artikel 9, stk. 4, litra f, at en finansiel enhed skal sørge for, at der indføres passende og omfattende dokumenterede politikker for programrettelser og opdateringer.
Med henblik på første afsnit, litra b, udformer de finansielle enheder infrastrukturen for netværkstilslutning på en sådan måde, at den kan afbrydes eller segmenteres øjeblikkeligt for at minimere og forhindre afsmitning, navnlig i forbindelse med indbyrdes forbundne finansielle processer. Med henblik på første afsnit, litra e), skal it-ændringsstyringsprocessen godkendes på passende ledelsesniveauer og omfatte specifikke protokoller.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ikke forelægger en tilstrækkelig it-sikkerhedspolitik hos den finansielle enhed til at sikre beskyttelsen af deres kunders data. Den strafbare handling kan desuden også bestå i, at dokumenterede politikker, procedurer og kontroller for styring af it-ændringer, herunder ændringer af software, hardware, firmwarekomponenter, systemer eller sikkerhedsparametre, som er baseret på en risikovurderingstilgang og er en integreret del af den finansielle enheds samlede ændringsstyringsproces, for at sikre, at alle ændringer af it-systemer registreres, testes, vurderes, godkendes, gennemføres og efterprøves på en kontrolleret måde, ikke er blevet godkendt på passende ledelsesniveau.
Artikel 10, stk. 1-4, i DORA-forordningen omhandler detektion af anormale aktiviteter.
Det følger af artikel 10, stk. 1, at en finansiel enhed skal indføre mekanismer til omgående detektion af anormale aktiviteter i overensstemmelse med artikel 17, herunder problemer med it-netværkets ydeevne og it-relaterede hændelser, og til identifikation af potentielt væsentlige single points of failure. Artikel 17 omhandler proces for styring af it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. En overtrædelse af artikel 10, stk. 1, kan bestå i at der i den finansielle enhed ikke bliver opdaget anormale aktiviteter, idet enheden ikke har indført en mekaniske til detektion af disse.
Artikel 10, stk. 2, fastsætter krav til den finansielle enheds mekanismer. I medfør af artikel 10, stk. 2, skal de omtalte mekanismer i stk. 1, anvende flere kontrollag, fastlægge varslingstærskler og -kriterier, som skal udløse og igangsætte indsatsforanstaltninger mod it-relaterede hændelser, herunder automatiske varslingsmekanismer for det relevante personale, som har ansvar for indsatsen mod it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i at have utilstrækkelige mekanismer der ikke lever op til de af artikel 10, stk. 2, fastsatte krav.
Videre fremgår det af artikel 10, stk. 3, at finansielle enheder skal afsætte tilstrækkelige ressourcer og kapaciteter til overvågning af brugeraktiviteter, forekomsten af it-anomalier og it-relaterede hændelser, navnlig cyberangreb.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, ikke at have afsat ressourcer til overvågning af brugeraktiviteter.
Til slut fremgår det af artikel 10, stk. 4, at udbydere af dataindberetningstjenester desuden indfører systemer, som effektivt kan kontrollere, om handelsindberetningerne er fuldstændige, identificere udeladelser og åbenbare fejl og anmode om fornyet fremsendelse af disse indberetninger.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ikke er indført et system som kan identificere åbenbare fejl.
Artikel 11 i DORA-forordningen omhandler indsats og genopretning af it. Artikel 11, stk. 1, fastsætter, at en finansiel enhed skal indføre en omfattende politik for it-driftsstabilitet. Politikken skal være baseret på de krav til identifikation, der er fastsat i artikel 8 i DORA-forordningen. I henhold til artikel 8, stk. 1, skal en finansiel enhed f.eks. foretage en identifikation, klassificering og tilstrækkelig dokumentering af alle it-understøttende forretningsfunktioner, roller, ansvarsområder, informationsaktiviteter og it-aktiver, der understøtter disse funktioner, samt deres roller og afhængigheder med hensyn til it-risici.
Ansvarssubjektet for overtrædelse af artikel 11, stk. 1, er den finansielle enhed. Den strafbare handling kan enten bestå i ikke at have indført nogen politik for it-driftsstabilitet, eller at have indført en politik, der ikke omhandler alle it-understøttende forretningsfunktioner.
I medfør af artikel 11, stk. 2, skal en finansiel enhed gennemføre politikken for it-driftsstabilitet ved hjælp af særlige veldokumenterede ordninger, planer, procedurer og mekanismer, der skal tage sigte på en række forhold, der er oplistet i stk. 2, litra a - e. Et af disse forhold er eksempelvis at sikre, at en finansiel enheds kritiske eller vigtige funktioner er stabile, jf. litra a, eller omgående at aktivere særlige planer, der gør det muligt at anvende inddæmningsforanstaltninger, -processer og -teknologier, der er egnede til de enkelte typer af it-relaterede hændelser, og som forhindrer yderligere skade, jf. litra c.
Ansvarssubjektet for en overtrædelse af artikel 11, stk. 2, er den finansielle enhed. Den strafbare handling består i, ikke at have gennemført en politik for it-driftsstabilitet ved hjælp af særlige ordninger, planer, procedurer og mekanismer, der tager sigte på de forhold, der er oplistet i stk. 2, litra a – e.
Artikel 11, stk. 3, indeholder krav om, at en finansiel enhed skal gennemføre planer for it-indsats og -genopretning, som skal underkastes uafhængige interne revisionsgennemgange.
Ansvarssubjektet for en overtrædelse af artikel 11,stk. 3, er den finansielle enhed. Den strafbare handling består i, at en finansiel enhed ikke lader planer for it-indsats og -genopretning blive underkastet uafhængige interne revisionsgennemgange.
Det fremgår af artikel 11, stk. 4, at en finansiel enhed skal indføre, vedligeholde og foretage regelmæssig testning af passende planer for it-driftsstabilitet, navnlig med hensyn til kritiske eller vigtige funktioner, som outsources eller udliciteres gennem ordninger, der er indgået med tredjepartsudbydere af it-tjenester. Ved regelmæssig testning forstås mindst én gang om året, jf. artikel 11, stk. 6, litra a.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i ikke at vedligeholde planer for it-driftsstabilitet, f.eks. hvis en udskiftning af virksomhedens it-systemer nødvendiggør en opdatering af planerne for it-driftsstyring. En strafbar handling kan også bestå i ikke regelmæssigt at foretage en test af planer for it-driftsstabilitet. Herunder vil det være en særligt skærpende omstændighed, hvis der ikke er foretaget regelmæssig testning af planer for it-driftsstabilitet med hensyn til kritiske eller vigtige funktioner, som eksempelvis er outsourcet til en tredjepartsudbyder af it-tjenester.
Af artikel 11, stk. 5, 1. pkt., fremgår det, at en finansiel enhed som led i den samlede politik for driftsstabilitet skal foretage en forretningskonsekvensanalyse af deres eksponering for alvorlige driftsforstyrrelser. Det fremgår videre af stk. 5, 2. pkt., hvordan en finansiel enhed i konsekvensanalysen skal vurdere potentielle virkninger af alvorlige driftsforstyrrelser. I stk. 5, 3. pkt., fremgår det, at en konsekvensanalyse bl.a. skal tage hensyn til den kritiske betydning af identificerede og kortlagte forretningsfunktioner og andre forhold, der er nævnt i 3. pkt. Til sidst fremgår det af stk. 5, 4. pkt., at en finansiel enhed skal sikre, at it- aktiver og -tjenester udformes og anvendes i fuld overensstemmelse konsekvensanalysen, navnlig med hensyn til tilstrækkeligt at sikre alle kritiske komponenters redundans, dvs. at en kritisk komponent kan erstattes med en tilsvarende komponent, hvis det skulle blive nødvendigt.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå af ikke at foretage en forretningskonsekvensanalyse af enhedens eksponering for alvorlige driftsforstyrrelser. Den kan f.eks. også bestå i ikke at foretage en vurdering af alvorlige driftsforstyrrelser i overensstemmelse med stk. 5, 2. pkt., eller bestå i at konsekvensanalysen ikke tager hensyn til den kritiske betydning af identificerede og kortlagte forretningsfunktioner eller en af de andre forhold, der er nævnt i det pågældende punkt. Til sidst kan en strafbar handling bestå i f.eks. ikke at sikre, at en kritisk komponent kan erstattes af en tilsvarende komponent, hvis konsekvensanalysen tilsiger dette.
Det fremgår af artikel 11, stk. 6, 1. afsnit, litra a, at en finansiel enhed som led i it-risikostyring skal teste enhedens planer for it-driftsstabilitet og planer for it-indsats og genopretning i forbindelse med it-systemer, der understøtter alle funktioner. En test heraf skal finde sted mindst én gang årligt og i tilfælde af væsentlige ændringer af it-systemer, der understøtter kritiske eller vigtige funktioner. I medfør af stk. 6, 1. afsnit, litra b, skal en finansiel enhed også teste krisekommunikationsplaner, der er udarbejdet i medfør af artikel 14.
Stk. 6, 2. afsnit indeholder nærmere krav til, hvilke forskellige scenarier tests for it-driftsstabilitet og planer for it-indsats og genopretning, jf. stk. 6, litra a, skal medtage. Det drejer sig bl.a. om cyberangrebsscenarier og omstillingsscenarier mellem den primære it-infrastruktur og redundante kapacitet. Ved redundante kapacitet forstås en lignende kapacitet, der skal kunne erstatte den primære it-infrastruktur, hvis denne eksempelvis bliver beskadiget under et cyberangreb. Bestemmelsen gælder ikke for finansielle enheder, der er mikrovirksomheder. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Videre fremgår det af stk. 6, 3. afsnit, at en finansiel enhed regelmæssigt skal gennemgå sin politik for it-driftsstabilitet og planer for it-indsats og -genopretning. Her skal den finansielle enhed bl.a. tage hensyn til resultaterne af de test, som den finansielle enhed har gennemført i henhold til 1. afsnit.
Ansvarssubjektet for en overtrædelse af artikel 11, stk. 6, er den finansielle enhed. Den strafbare overtrædelse kan eksempelvis bestå i ikke at foretage test for planer for it-driftsstabilitet og planer for it-indsats og -genopretning eller ikke at foretage test af krisekommunikationsplaner, jf. stk. 6, 1. afsnit.
En strafbar overtrædelse kan f.eks. også bestå af ikke at medtage cyberangrebscenarier og omstillingsscenarier mellem den primære it-infrastruktur og den redundante kapacitet, eller i ikke regelmæssigt at gennemgå enhedens politik for it-driftsstabilitet og planer for it-indsats og -genopretning under hensyntagen til resultaterne af de test, som enheden har gennemført, jf. henholdsvis 2. og 3. afsnit.
I medfør af artikel 11, stk. 7, skal en finansiel enhed have en krisestyringsfunktion, som, hvis deres planer for it-driftsstabilitet og planer for it-indsats og -genopretning aktiveres, bl.a. skal indeholde klare procedurer for forvaltning af intern og ekstern krisekommunikation i overensstemmelse med artikel 14, der indeholder nærmere regler herfor.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i ikke at have en krisestyringsfunktion, der indeholder klare procedurer for intern og ekstern krisekommunikation i overensstemmelse med artikel 14.
Artikel 11, stk. 8, indeholder krav om, at en finansiel enhed skal føre let tilgængelige registre over aktiviteter før og under driftsforstyrrelser, når deres planer for it-driftsstabilitet og planer for it-indsats og -genopretning aktiveres.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at føre registre over aktiviteter før og under driftsforstyrrelser, hvor planerne for it-driftsstabilitet og for it-indsats og -genopretning er blevet aktiveret.
Til sidst følger det af artikel 11, stk. 10, at en finansiel enhed skal indberette et overslag over de samlede årlige omkostninger og tab, der opstår som følge af større it-relaterede hændelser, til de kompetente myndigheder på deres anmodning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at indberette et overslag over de samlede årlige omkostninger og tab, der opstår som følge af større it-relaterede hændelser, til de kompetente myndigheder, dvs. Finanstilsynet, hvis Finanstilsynet anmoder den finansielle enhed herom.
Artikel 12 indeholder nærmere bestemmelser om politikker og procedurer for sikkerhedskopiering og procedure og metoder for gendannelse og genopretning af it-systemer og data.
Det følger af artikel 12, stk. 1, at en finansiel enhed som led i it-risikostyring skal udvikle og dokumentere politikker og procedure for sikkerhedskopiering, der præciserer omfanget af de data, der er genstand for sikkerhedskopiering, og minimumshyppigheden af sikkerhedskopiering baseret på oplysningernes kritiske betydning eller fortrolighedsniveauet for dataene. Desuden skal en finansiel enhed udvikle og dokumentere procedurer og metoder for gendannelse og genopretning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at udvikle og dokumentere politikker og procedure for enten sikkerhedskopiering eller gendannelse og genopretning.
I medfør af artikel 12, stk. 2, 1. pkt., skal en finansiel enhed etablere systemer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning. Det følger videre af artikel 12, stk. 2, 2. pkt., at aktiveringen af systemerne for sikkerhedskopiering ikke må sætte sikkerheden i net- og informationssystemer eller tilgængeligheden, autenticiteten, integriteten eller fortroligheden af data over styr. Til sidst er det i medfør af stk. 2, 3. pkt., et krav, at der foretages regelmæssig test af procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i ikke at etablere systemer for sikkerhedskopiering eller for procedurer og metoder for gendannelse og genopretning. Den kan også bestå i at en finansiel enhed ikke sikrer sig, at systemerne for sikkerhedskopiering ikke sætter sikkerheden i net- og informationssystemer m.v. over styr. I henhold til stk. 2, 3. pkt., kan den bestå i at der ikke foretages regelmæssige test af procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning.
Det følger af artikel 12, stk. 3, 1 og 2. pkt., at når en finansiel enhed gendanner sikkerhedskopierede data ved anvendelse af egne systemer, skal de anvende de it-systemer, der er fysisk og logisk adskilt fra it-kildesystemet. It-systemerne skal være sikkert beskyttet mod uautoriseret adgang eller it-korruption og give mulighed for rettidig gendannelse af tjenester ved hjælp af data- og systemsikkerhedskopier efter behov.
Ansvarssubjektet i stk. 3, 1. og 2. pkt., er den finansielle enhed. Den strafbare handling kan i medfør af stk. 3, 1. pkt., bestå i at anvende egne it-systemer til gendannelse af sikkerhedskopierede data, der ikke er fysisk og logisk adskilt fra it-kildesystemet. Det vil eksempelvis sige it-systemer, der befinder sig på en anden adresse end kildesystemet, dvs. det it-system, som den finansielle enhed anvender i sit daglige virke. Det kan også være, hvor en finansiel enhed anvender eget it-system, der er fysisk adskilt fra kildesystemet, men hvor systemet ikke logisk er adskilt fra kildesystemet. Den strafbare handling i medfør af stk. 3, 2. pkt., kan f.eks. bestå i ikke at beskytte it-systemerne mod uautoriseret adgang eller it-korruption.
Videre følger det af stk. 3, 3. pkt., at for centrale modparter (CCP’er) skal genopretningsplaner gøre det muligt at genoptage alle transaktioner fra det tidspunkt, hvor de blev afbrudt, således at den berørte centrale modpart (CCP) kan opretholde driftssikkerheden og gennemføre afviklingen på den planlagte dato. Til sidst følger det af stk. 3, 4. pkt., at udbydere af dataindberetningstjenester desuden skal sørge for at råde over passende ressourcer og sikkerhedskopierings- og gendannelsesfaciliteter for til enhver tid at kunne udbyde og opretholde deres tjenester.
Det følger af artikel 12, stk. 4, 1. pkt., at en finansiel enhed opretholder redundante it-kapaciteter, der er udstyret med passende ressourcer og funktioner med henblik på at sikre forretningsmæssige behov. Videre fremgår det af stk. 4, 2. pkt., at mikrovirksomheder vurderer behovet for at opretholde redundante it-kapaciteter på grundlag af deres risikoprofil. Ved redundante it-kapaciteter forstås lignende it-kapaciteter, der skal kunne erstatte de primære it-kapaciteter en finansiel enhed, hvis disse it-kapaciteter eksempelvis bliver ramt af et cyberangreb.
Ansvarssubjektet i stk. 4, 1. pkt., er den finansielle enhed. Den strafbare handling består i ikke at have redundante it-kapaciteter, der sikrer forretningsmæssige behov.
Ansvarssubjektet i stk. 4, 2. pkt., er en finansiel enhed, som er en mikrovirksomhed. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Den strafbare handling består i ikke at have foretaget en vurdering af behovet for at opretholde redundante it-kapaciteter på baggrund af enhedens risikoprofil.
Det fremgår af artikel 12, stk. 6, 1. pkt., at når en finansiel enhed skal fastlægge målene for genopretningstid og genopretningstidspunkt for hver funktion, skal de tage hensyn til, om det er en kritisk eller vigtig funktion og de potentielle samlede virkninger for markedseffektiviteten. Videre fremgår det af stk. 6, 2. pkt., at tidsmålene skal sikre, at de aftalte serviceniveauer kan overholdes i ekstreme scenarier.
Ansvarssubjektet i stk. 6 er den finansielle enhed. Den strafbare handling består i, at en finansiel enhed i sin fastlæggelse af målene for genopretningstid og genopretningstidspunkt, ikke har taget hensyn til, om den pågældende funktion er kritisk, eller hvilken virkning disse tidsmål vil have på markedseffektiviteten. Den kan også bestå i, at den finansielle enhed ikke har sikret sig, at tidsmålene kan overholde de aftalte serviceniveauer i ekstreme scenarier.
Det fremgår af artikel 12, stk. 7, 1. pkt., at når en finansiel enhed foretager genopretning efter en it-relateret hændelse, skal den udføre de nødvendige kontroller, herunder eventuelt flere kontroller og afstemninger, for at sikre, at dataintegriteten bevares på højeste niveau. Videre fremgår det af stk. 7, 2. pkt., at kontroller også skal foretages i forbindelse med rekonstruktionen af data fra eksterne interessenter for at sikre, at alle systemernes data er sammenhængende.
Ansvarssubjektet i stk. 7 er den finansielle enhed. Den strafbare handling består i ikke at udføre de nødvendige kontroller eller afstemninger efter en genopretning for at sikre, at dataintegriteten bevares på et højt niveau. I den forbindelse kan den strafbare handling også bestå i ikke at foretage kontroller i forbindelse med rekonstruktionen af data fra eksterne interessenter for at sikre, at alle systemernes data er sammenhængende.
Artikel 13 indeholder regler om læring og udvikling omkring sårbarheder og cybertrusler, it-relaterede hændelser, herunder navnlig cyberangreb. Stk. 1 indeholder krav om, at en finansiel enhed skal sørge for at råde over kapaciteter og personale, som kan indsamle oplysninger herom, og som kan analysere de virkninger, de forventes at have på deres digitale operationelle modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at have afsat ressourcer til f.eks. et it-system og personale, hvormed enheden kan indsamle oplysninger om sårbarheder og cybertrusler eller it-relaterede hændelser som cyberangreb. Den strafbare handling kan eksempelvis også bestå i ikke at have personale med tilstrækkelige kompetencer til at kunne analysere de virkninger, som bl.a. et cyberangreb kan have på deres digitale operationelle infrastruktur.
Det fremgår af artikel 13, stk. 2, 1. afsnit, at en finansiel enhed skal foretage gennemgange af it-relaterede hændelser, efter at større it-relaterede hændelser har forstyrret deres kerneaktiviteter. Den finansielle enhed skal i den forbindelse analysere årsagerne til forstyrrelserne og identificere nødvendige forbedringer af it-operationerne eller indenfor rammerne af den i artikel 11 omhandlede politik for it-driftsstabilitet.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i ikke at foretage en gennemgang og analyse af en større it-relateret hændelse, der har forstyrret den finansielle enheds kerneaktivitet. Er der eksempelvis tale om et pengeinstitut, kan en kerneaktivitet være muligheden for at udstede lån til kunder. En gennemgang og en analyse af en it-relateret hændelse har til formål at mindske risikoen for, at en lignende hændelse opstår igen.
Videre fremgår det af stk. 2, 2. afsnit, at en finansiel enhed på anmodning fra den kompetente myndighed skal underrette den kompetente myndighed om ændringer, der er blevet gennemført efter en gennemgang af it-relaterede hændelser. Bestemmelsen gælder ikke for finansielle enheder, der er mikrovirksomheder. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke efter anmodning fra Finanstilsynet at underrette Finanstilsynet om ændringer, der er blevet gennemført efter en gennemgang af it-relaterede hændelser.
Til sidst fremgår det af stk. 2, 3. afsnit, at det i forbindelse med gennemgangen af it-relaterede hændelser skal fastslås, om de fastlagte procedurer er blevet fulgt, og om de iværksatte foranstaltninger har været effektive. Ved fastlagte procedurer forstås de procedurer, som den finansielle enhed har fastlagt i sin politik for it-driftsstabilitet. Det fremgår af artikel 11, stk. 2, at en finansiel enhed gennemfører politikken for it-driftsstabilitet ved hjælp af særlige, passende og veldokumenterede ordninger, planer, procedurer og mekanismer. Det er derfor procedurer og iværksatte foranstaltninger i henhold til de her ordninger m.v., som den finansielle enhed skal fastslå om har været effektive.
Det fremgår nærmere af artikel 13, stk. 2, 3. afsnit, at hvad en finansiel enhed bl.a. skal lægge nærmere vægt på i sin vurdering af, om de iværksatte foranstaltninger har været effektive. Den finansielle enhed skal bl.a. lægge vægt på den hastighed, med hvilken der er blevet sat ind overfor sikkerhedsvarsler, og med hvilken hastighed virkningerne af it-relaterede hændelser og deres omfang er blevet fastslået, jf. stk. 2, 3. afsnit, litra a. Det kan også være i forhold til effektiviteten af den finansielle enheds fejlafhjælpning i forbindelse med hændelser, jf. stk. 2, 3. afsnit, litra c.
Bestemmelsen har til formål at sikre, at en finansiel enhed efter en it-hændelse forholder sig kritisk til sine ordninger, planer, procedure m.v. i forbindelse med sin politik for it-driftsstabilitet for evt. at kunne forbedre disse til håndtering af en fremtidig it-relateret hændelse.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at fastslå, om ordninger, planer og procedure i forbindelse med politikken for it-driftsstabilitet er blevet fulgt. Den kan også bestå i ikke at fastslå, om de iværksatte foranstaltninger har været effektive, herunder eksempelvis i forhold til den hastighed, med hvilken der er blevet sat ind overfor sikkerhedsvarsler, og med hvilken hastighed virkningerne af it-relaterede hændelser og deres omfang er blevet fastslået, jf. stk. 2, 3. afsnit, litra a.
Det følger af artikel 13, stk. 3, 1. pkt., at erfaringer fra test af digital operationel modstandsdygtighed, som foretages i overensstemmelse med artikel 26 og 27, og fra faktiske it-relaterede hændelser, navnlig cyberangreb, samt udfordringer i forbindelse med aktiveringen af planer for it-driftsstabilitet og planer for it-indsats og -genopretning, sammen med relevante oplysninger, der udveksles med modparter, og som vurderes i forbindelse med tilsynsmæssige gennemgange, løbende skal indarbejdes i it-risikovurderingsprocessen.
Artikel 26 vedrører avancerede test af IKT-værktøjer, -systemer og -processer baseret på TLPT. TLPT står for Threat Led Penetration Testing, som er en testmetode, hvor en virksomhed engagerer etiske hackere, som skal angribe flere systemer og det tilhørende cyberforsvar i virksomheden. Testene foregår i livesystemer, hvilket vil sige de systemer, som anvendes direkte i den finansielle sektor, og er baseret på konkrete trusler, hvilket betyder, at testene simulerer taktikker, teknikker og procedurer fra aktive, avancerede hackergrupper. Artikel 27 fastsætter de nærmere krav til testere.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består f.eks. i ikke løbende at indarbejde erfaringer fra test af digital operationel modstandsdygtighed i overensstemmelse med artikel 26 og 27, og fra it-relaterede hændelser i it-risikostyringsprocessen.
Det fremgår af artikel 13, stk. 4, 1. pkt., at en finansiel enhed skal overvåge effektiviteten af gennemførelse af deres strategi for digital operationel modstandsdygtighed, jf. artikel 6, stk. 8, der fastsætter nærmere krav til strategien. Videre fremgår det af stk. 4, 2. pkt., at en finansiel enhed skal kortlægge it-risikoens udvikling over tid, analysere hyppigheden, typerne, omfanget af og udviklingen i it-relaterede hændelser, navnlig cyberangreb og mønstre forbundet hermed. Den finansielle enhed skal gøre dette med henblik på at forstå graden af it-risikoeksponering, navnlig i forbindelse med kritiske eller vigtige funktioner, og for at forbedre den finansielle enheds cybermodenhed og cyberberedskab.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at overvåge effektiviteten af gennemførelsen af enhedens strategi for digital operationel modstandsdygtighed eller i ikke at kortlægge it-risikoens udvikling over tid, analysere hyppigheden, typerne, omfanget af og udviklingen i it-relaterede hændelser, navnlig cyberangreb og mønstre forbundet hermed.
Det fremgår af artikel 13, stk. 5, at højtstående it-personale mindst én gang om året skal aflægge rapport til ledelsesorganet om de i stk. 3 omhandlede resultater og fremsætte anbefalinger. Indholdet af artikel 13, stk. 3, er nærmere gennemgået ovenfor under bemærkningerne til strafbelæggelsen af en overtrædelse af stk. 3.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i som finansiel enhed ikke at sørge for, at it-personale mindst én gang om året aflægger rapport for ledelsesorganet om resultater af f.eks. faktiske it-relaterede hændelser, jf. artikel 13, stk. 3, og fremsætter anbefalinger.
Det fremgår af artikel 13, stk. 6, 1. pkt., at en finansiel enhed skal udvikle programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed som obligatoriske moduler i deres personaleuddannelsesordninger. Videre fremgår det af stk. 6, 2. pkt., at disse kurser skal omfatte alle medarbejdere og den øverste ledelse og skal have en grad af kompleksitet, der svarer til deres opgavers ansvarsområde. Sidst fremgår det af stk. 6, 3. pkt., at en finansiel enhed, hvis det er relevant, inddrager tredjepartsudbydere af it-tjenester i relevante uddannelsesordninger, jf. artikel 30, stk. 2, litra i, om kontraktlige ordninger om betingelserne for deltagelse af tredjepartsudbydere i programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består f.eks. i ikke at udvikle programmer til alle medarbejdere og den øverste ledelse til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed som obligatoriske moduler i deres personaleuddannelse. Den strafbare handling kan også bestå i ikke at inddrage tredjepartsudbydere af it-tjenester i relevante uddannelsesordninger, hvis dette viser sig nødvendigt. Det kan eksempelvis være i det tilfælde, hvor kompleksiteten af et uddannelsesprogram når et niveau, hvor den finansielle enhed ikke selv har kompetencerne til at udvikle programmet.
Det fremgår af artikel 13, stk. 7, 1. pkt., at en finansiel enhed løbende skal overvåge den relevante teknologiske udvikling også med henblik på at forstå den mulige virkning af indførelsen af sådanne nye teknologier for kravene til it-sikkerhed og digital operationel modstandsdygtighed. Videre fremgår det af stk. 7, 2. pkt., at en finansiel enhed skal holde sig ajour med de seneste it-risikostyringsprocesser for effektivt at bekæmpe aktuelle eller nye former for cyberangreb. Bestemmelsen gælder ikke for mikrovirksomheder. Se definitionen af en mikrovirksomhed under bemærkningerne til strafbelæggelse af overtrædelse af artikel 11, stk. 6, 2. afsnit.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke løbende at overvåge den relevante teknologiske udvikling med henblik på evt. at indføre de nye teknologier i enheden i forhold til at leve op til kravene til it-sikkerhed og digital operationel modstandsdygtighed. Den kan også bestå i ikke at holde sig ajour med de seneste it-risikostyringsprocesser for effektivt at bekæmpe aktuelle eller nye former for cyberangreb.
Artikel 14, stk. 1, i DORA-forordningen omhandler, at der som led i den ramme for it-risiko-styring, der er omhandlet i artikel 6, stk. 1, at de finansielle enheder sørger for at have krisekommunikationsplaner, der giver mulighed for ansvarlig offentliggørelse af, som minimum større it-relaterede hændelser eller sårbarheder for kunder og modparter samt for offentligheden, alt efter hvad der er relevant.
Krisekommunikations-planer må forstås sådan, at når der opstår en større ulykke eller katastrofe, så er der et akut behov for viden, og det er derfor nødvendigt at have planer for at kommunikere dette ud til de relevante parter.
It-risiko-styring må forstås sådan, at det er en håndtering af en sådan trussel, som defineres i artikel 3, stk. 1, nr. 5.
Ansvarssubjektet for overtrædelse af artikel 14, stk. 1, er den finansielle enhed. Den strafbare handling kan f.eks. bestå i, at den finansielle enhed ikke har udarbejdet planer for kommunikation af en offentliggørelse af en større it-relateret hændelse.
I medfør af artikel 14, stk. 2, skal en finansiel enhed som led i rammen for it-risikostyring, der er omhandlet i artikel 6, stk. 1. gennemføre kommunikationsplaner for internt personale og eksterne interessenter. Artikel 6, stk. 1, vedrører, at finansielle enheder indfører en robust, omfattende og veldokumenteret ramme for it-risikostyring. Kommunikationspolitikkerne for personalet skal tage hensyn til behovet for at skelne mellem personale der er involveret i it-risiko-styring, navnlig det personale der er ansvarlig for indsats og genopretning, og personale, der skal underrettes.
Ansvarssubjektet for en overtrædelse af artikel 14, stk. 2, er den finansielle enhed. Den strafbare handling består i, ikke at have gennemført kommunikationsplaner for internt personale og eksterne interessenter.
Artikel 14, stk. 3, indeholder krav om, at mindst én person i den finansielle enhed skal have til opgave at gennemføre kommunikationsstrategien for it-relaterede hændelser, og til dette formål varetaget funktionen vedrørende offentligheden og medierne.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed ikke har mindst én person, der har til opgave at gennemføre kommunikationsstrategien for it-relaterede hændelser, og som til dette formål har varetaget funktionen vedrørende offentligheden og medierne.
Det fremgår af artikel 16, stk. 1, at forordningens artikel 5-15 ikke finder anvendelse på små og ikke indbyrdes forbundne investeringsselskaber, betalingsinstitutter, der er undtaget i henhold til direktiv (EU) 2015/2366, institutter, der er fritaget i henhold til direktiv 2013/36/EU, og for hvilke medlemsstaterne har besluttet ikke at anvende den mulighed, der er omhandlet i nærværende forordnings artikel 2, stk. 4, e-pengeinstitutter, der er undtaget i henhold til direktiv 2009/110/EF, og små arbejdsmarkedsrelaterede pensionskasser.
Uden at det berører første afsnit skal de i første afsnit omhandlede enheder overholde det anførte i artikel 16, stk. 1, litra a-e. Det fremgår af litra a, at enhederne skal indføre og vedligeholde en robust og dokumenteret ramme for it-risikostyring, der beskriver de mekanismer og foranstaltninger, der skal muliggøre en hurtig, effektiv og omfattende styring af it-risiko, herunder vedrørende beskyttelse af relevante fysiske komponenter og infrastrukturer.
Det fremgår af litra b, at der løbende skal overvåges alle it-systemers sikkerhed og drift.
Det fremgår af litra c, at virkningen af it-risiko gennem anvendelse af robuste, modstandsdygtige og ajourførte it-systemer, -protokoller og -værktøjer, som er egnede til at understøtte udførelsen af deres aktiviteter og leveringen af tjenester og i tilstrækkelig grad beskytte tilgængeligheden, autenticiteten, integriteten og fortroligheden af data i net- og informationssystemerne skal minimeres.
Det fremgår af litra d, at der hurtigst muligt skal konstateres og detekteres it-risikokilder og -anomalier i net- og informationssystemerne og hurtigt at håndtere it-relaterede hændelser.
Det fremgår af litra e, at der skal konstateres stor afhængighed af tredjepartsudbydere af it-tjenester.
Det fremgår af litra f, at der skal sikres kontinuiteten af kritiske eller vigtige funktioner gennem planer for driftsstabiliteten og indsats- og genopretningsforanstaltninger, der som minimum omfatter sikkerhedskopierings- og gendannelsesforanstaltninger.
Det fremgår af litra g, at der regelmæssigt skal testes de planer og foranstaltninger, der er omhandlet i litra f, samt effektiviteten af de gennemførte kontroller i overensstemmelse med litra a og c.
Det fremgår af litra h, at der skal gennemføres, alt efter hvad der er relevant, de relevante operationelle konklusioner, der følger af de test, der er omhandlet i litra g, og af de efterfølgende analyser af hændelserne, i it-risikovurderingsprocessen og efter behov og it-risikoprofil udvikle programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed for personale og ledelse.
Ansvarssubjektet i artikel 16, stk. 1 litra a-h, er den finansielle enhed. Den strafbare handling består i, at de i første afsnit omhandlede enheder ikke overholder det anførte i artikel 16, stk. 1, litra a-e.
I medfør af artikel 16, stk. 2, skal en finansiel enhed i den i stk. 1, andet afsnit, litra a, omhandlede ramme for it-risikostyring dokumenteres og gennemgås regelmæssigt og ved forekomst af større it-relaterede hændelser i overensstemmelse med de tilsynsmæssige instrukser. Den skal forbedres løbende på grundlag af indhøstede erfaringer fra gennemførelse og overvågning. Der skal forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed på dennes anmodning.
Ansvarssubjektet for overtrædelsen af artikel 16, stk. 2, er den finansielle enhed. Den strafbare handling består i, at ikke at have gennemført de handlinger der er oplistet i artikel 16, stk. 2. Dette er eksempelvis at sikre at der forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed ved anmodning.
Det følger af artikel 17, stk. 1, at de finansielle enheder definerer, fastlægger og gennemfører en proces for styring af it-relaterede hændelser for at detektere, styre og indberette it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 17, stk. 1, bestå i, at de finansielle enheder ikke definerer, fastlægger og gennemfører en proces for styring af it-relaterede hændelser, som kan detektere, styre og indberette it-relaterede hændelser.
Det følger af artikel 17, stk. 2, at de finansielle enheder er alle, der registrerer it-relaterede hændelser og væsentlige cybertrusler. De finansielle enheder fastlægger passende procedurer og processer, der skal sikre en konsekvent og integreret overvågning, håndtering og opfølgning af it-relaterede hændelser. Det skal ske således, at de grundlæggende årsager identificeres, dokumenteres og håndteres for at forhindre, at sådanne hændelser forekommer.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 17, stk. 2, bestå i, at den finansielle enhed fastlægger passende procedurer og processer, der skal sikre en konsekvent og integreret overvågning, håndtering og opfølgning af it-relaterede hændelser. Dette skal ske således, at de grundlæggende årsager identificeres, dokumenteres og håndteres for at forhindre, at sådanne hændelser kan opstå.
Det følger af artikel 17, stk. 3, at den finansielle enhed som led i den proces for styring af it-relaterede hændelser, der er omhandlet i stk. 1, overholder det anførte i artikel 17, stk. 3, litra a-f.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling i medfør af artikel 17, stk. 3, er en tilsidesættelse af overholdelse af de oplistede krav i artikel 17, stk. 3, litra a-f. Dette kan eksempelvis være, at der ikke tildeles roller og ansvarsområder, som skal aktiveres for forskellige it-relaterede hændelsestyper og -scenarier.
Artikel 18 indeholder en klassificering af it-relaterede hændelser og cybertrusler.
Det følger af artikel 18, stk. 1, at de finansielle enheder klassificerer it-relaterede hændelser og fastslår deres virkninger på grundlag af følgende kriterier oplistet i artikel 18, stk. 1, litra a-f.
Det fremgår af litra a, at antallet og/eller relevansen af kunder eller finansielle modparter, som er berørt, og, hvis det er relevant, beløbet på eller antallet af de transaktioner, som er berørt af den it-relaterede hændelse, og hvorvidt den it-relaterede hændelse har haft indvirkning på omdømmet.
Det fremgår af litra b, at varigheden af den it-relaterede hændelse, herunder tjenestens nedetid.
Det fremgår af litra c, at den geografiske udbredelse med hensyn til de områder, der er berørt af den it-relaterede hændelse, navnlig hvis den berører mere end to medlemsstater.
Det fremgår af litra d, at de datatab, som den it-relaterede hændelse medfører med hensyn til tilgængelighed, autenticitet, integritet eller fortrolighed af data.
Det fremgår af litra e, at den kritiske betydning af de berørte tjenester, herunder den finansielle enheds transaktioner og operationer.
Det fremgår af litra f, at de økonomiske virkninger, navnlig direkte og indirekte omkostninger og tab, af den it-relaterede hændelse i både absolutte og relative tal.
Ansvarssubjektet i stk. 1 er den finansielle enhed. Den strafbare handling består i, at de finansielle enheder ikke klassificerer it-relaterede hændelser og dermed ikke fastslår deres virkninger på grundlag af følgende kriterier oplistet i artikel 18, stk. 1, litra a-f.
Det fremgår af artikel 18, stk. 2, at de finansielle enheder klassificerer cybertrusler som væsentlige på grundlag af de udsatte tjenesters kritiske betydning, herunder den finansielle enheds transaktioner og operationer, antallet og/eller relevansen af de kunder eller finansielle modparter, som rammes, og risikoområdernes geografiske udbredelse.
Ansvarssubjektet i artikel 18, stk. 2, er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed undlader at klassificere cybertrusler som væsentlige, eksempelvis på grundlag af de udsattes tjenesters kritiske betydning.
Artikel 19, stk. 1, omhandler indberetning af større it-relaterede hændelser. Bestemmelsen forpligter den finansielle enhed til at indberette større it-relaterede hændelser til den relevante kompetente myndighed.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke underretter Finanstilsynet om en større it-relateret hændelse.
I medfør af artikel 19, stk. 3, skal den finansielle enhed underrette Finanstilsynet, uden unødigt ophold, i tilfælde af, at en større it-relateret hændelse indtræffer og har indflydelse på kunders finansielle interesser. Den finansielle enhed underretter også om de foranstaltninger, der er truffet for at afbøde de negative virkninger af en sådan hændelse. I tilfælde af en væsentlig cybertrussel underretter de finansielle enheder, hvis det er relevant, de af deres kunder, som potentielt er berørt heraf, om eventuelle passende beskyttelsesforanstaltninger, som sidstnævnte kan overveje at træffe
Ansvarssubjektet var overtrædelse af artikel 19, stk. 3, er den finansielle enhed. En strafbar handling kan bestå i, at den finansielle enhed ikke underretter Finanstilsynet rettidigt i tilfælde en større it-relateret hændelse indtræffer, som har indflydelse på kunders finansielle interesser. En strafbar handling kan også bestå i at underrette Finanstilsynet om den it-relaterede hændelse, uden at underrette om de foranstaltninger der er truffet for at afbøde de negative virkninger.
Det fremgår af artikel 19, stk. 4, at den finansielle enhed, i tilfælde af en it-relateret hændelse, skal indgive henholdsvis en indledende underretning, jf. litra a, en foreløbig rapport så snart den oprindelige hændelses status har ændret sig betydeligt, eller håndteringen af den større it-relaterede hændelse har ændret sig på grundlag af nye tilgængelige oplysninger, efterfulgt, alt efter hvad der er relevant, af ajourførte underretninger, hver gang der foreligger en relevant ajourføring af status, samt efter en specifik anmodning fra den kompetente myndighed, jf. litra b. Samt en endelig rapport, når den grundlæggende årsagsanalyse er afsluttet, uanset om der allerede er gennemført afbødende foranstaltninger, og når tallene for de faktiske virkninger foreligger og kan erstatte skøn, jf. litra c. Fristerne for disse skal fastsættes i overensstemmelse med artikel 20, stk. 1, litra a, nr. ii, og skal indgives til Finanstilsynet, som er den kompetente myndighed.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i, ikke at indgive en indledende underretning, en foreløbig rapport eller en endelig rapport til Finanstilsynet inden for de af artikel 20, stk. 1, litra a, nr. ii, fastsatte frister.
Artikel 24 i DORA-forordningen omhandler generelle krav til gennemførslen af test af digital operationel modstandsdygtighed.
Det følger af artikel 24, stk. 1, at en finansiel enhed skal udarbejde, opretholde og gennemgå et forsvarligt og omfattende program for test af digital operationel modstandsdygtighed, som en integreret del af den i artikel 6 omhandlede ramme for it-risikostyring. Dette skal ske med henblik på at vurdere beredskabet i forhold til håndtering af it-relaterede hændelser, identificere svagheder, mangler og huller i den digitale operationelle modstandsdygtighed og straks træffe korrigerende foranstaltninger.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har udarbejdet et program for test af digital operationel modstandsdygtighed. Den strafbare handling kan også bestå i, at den finansielle enheds program for test af digital operationel modstandsdygtighed ikke er forsvarligt eller omfattende nok.
I medfør af artikel 24, stk. 2, skal programmet for test af digital operationel modstandsdygtighed, omfatte en række vurderinger, test, metodologier, fremgangsmåder og værktøjer, der skal anvendes i overensstemmelse med artikel 25 og 26 i DORA-forordningen.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i, at den finansielle enhed gennemfører tests der ikke i tilstrækkelig grad omfatter kravene om vurderinger, test, metodologier, fremgangsmåder og værktøj, der skal anvendes i overensstemmelse med artikel 25 og artikel 26 i DORA-forordningen.
Artikel 24, stk. 3, pålægger den finansielle enhed at følge en risikobaseret tilgang for programmet for test af digital operationel modstandsdygtighed. Den finansielle enhed skal ved gennemførslen af programmet, tage hensyn til kriterierne i DORA-forordningens artikel 4, stk. 2, og til et it-risikomiljø i udvikling, eventuelle specifikke risici, som den berørte finansielle enhed udsættes for eller kan blive udsat for, informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre faktorer, som den finansielle enhed finder relevante.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse af artikel 24, stk. 3, kunne eksempelvis være, at den finansielle enhed gennemfører et program for test af digital operationel modstandsdygtighed uden at tage hensyn til den finansielles enheds it-risikomiljø.
I medfør af artikel 24, stk. 4, skal den finansielle enhed sikre, at tests gennemføres af uafhængige parter, hvad enten de er interne eller eksterne. Hvis en intern tester gennemfører test, skal de finansielle enheder afsætte tilstrækkelige ressourcer og sikre, at interessekonflikter undgås under testens udformnings- og gennemførelsesfaser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed der gennemfører tests af deres digitale operationelle modstandsdygtighed ikke sikrer, at testen gennemføres af uafhængige interne eller eksterne parter for at begrænse interessekonflikter.
Artikel 24, stk. 5, pålægger den finansielle enhed at fastlægge procedurer og politikker med henblik på at prioritere, klassificere og afhjælpe alle problemer, der identificeres i forbindelse med gennemførelsen af test, og fastlægger interne valideringsmetoder for at sikre, at alle konstaterede svagheder, mangler eller huller afhjælpes fuldt ud.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at fastlægge procedurer og politikker der prioriterer, klassificerer og afhjælper de problemer der identificeres med gennemførslen af testen.
I medfør af artikel 24, stk. 6, skal de finansielle enheder sikre, at der gennemføres passende test af alle it-systemer og -applikationer, der understøtter kritiske eller vigtige funktioner, mindst én gang om året.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kunne bestå i, at den finansielle enhed ikke mindst én gang årligt gennemfører tests af alle it-systemer og it-applikationer, der kan anses for passende.
Artikel 25 omhandler test af it-værktøjer og -systemer.
Det følger af artikel 25, stk. 1, at programmet for test af den digitale operationelle modstandsdygtighed skal være i overensstemmelse med de af artikel 4, stk. 2, kriterier for proportionalitet. I medfør af artikel 4, stk. 2, skal den finansielle enheds styring, klassificering, indberetning af it-relaterede hændelser, test af digital operationel modstandsdygtighed og styring af it-tredjepartsrisici stå i et rimeligt forhold til deres størrelse og samlede risikoprofil og til karakteren, omfanget og kompleksiteten af deres tjenester, aktiviteter og operationer, som specifikt fastsat i de relevante regler i de nævnte kapitler.
I overensstemmelse med de oplistede kriterier i artikel 4, stk. 2, skal programmet for test af digital operationel modstandsdygtighed, nævnt i artikel 24, indeholde bestemmelser om gennemførelse af relevante test såsom sårbarhedsvurderinger og -scanninger, open source-analyser, vurderinger af netsikkerheden, mangelanalyser, fysiske sikkerhedsgennemgange, spørgeskemaer og scanningssoftwareløsninger, gennemgange af kildekoder, når det er praktisk muligt, scenariebaserede test, kompatibilitetstest, præstationstest, end-to-end-test og penetrationstest.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at den finansielle enhed har vedtaget et program for test der ikke er tilstrækkeligt, mangelfuldt eller lever op til de fastsatte krav for programmer for test af digital operationel modstandsdygtighed i artikel 25, stk. 1.
I medfør af artikel 25, stk. 3, skal mikrovirksomheder gennemføre de i artikel 25, stk. 1, omhandlede test ved at kombinere en risikobaseret tilgang med strategisk planlægning af it-test under behørig hensyntagen til behovet for at opretholde en afbalanceret tilgang mellem omfanget af ressourcer og den tid, der skal afsættes til it-test som omhandlet i denne artikel, på den ene side og den hastende karakter, risikotype og informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre relevante faktorer, herunder den finansielle enheds evne til at tage kalkulerede risici, på den anden side.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i, at en mikrovirksomhed ikke har taget tilstrækkelig hensyn til at opretholde en balanceret tilgang til henholdsvis omfanget af ressourcer og andre faktorer, som eksempelvis den finansielle enheds evne til at tage kalkulerede risici.
Artikel 28 omhandler generelle principper for forsvarlig styring af it-tredjepartsrisici.
I medfør af artikel 28, stk. 1, skal den finansielle enhed styre deres it-tredjepartsrisiko som en integreret del af it-risiko, inden for deres ramme for it-risikostyring.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at den finansielle enheds it-tredjepartsrisiko ikke bliver styret som en integreret del af deres samlede it-risiko, inden for den finansielle enheds it-risikostyring.
I medfør af artikel 28, stk. 1, litra b, skal styringen af it-tredjepartsrisikoen hos den finansielle enhed foregå under hensyntagen til proportionalitetsprincippet og skal derfor tage hensyn til henholdsvis artikel 28, stk. 1, litra b, nr. i, som omhandler karakteren, omfanget, kompleksiteten og betydningen af den it-relaterede afhængighed og artikel 28, stk. 1, litra b, nr. ii, som omhandler de risici, der opstår som følge af kontraktlige ordninger for brugen af it-tjenester, der er indgået med tredjepartsudbydere af it-tjenester, under hensyntagen til den kritiske betydning eller vigtighed af den pågældende tjeneste, proces eller funktion og til de potentielle virkninger for driftsstabiliteten og tilgængeligheden af finansielle tjenesteydelser og aktiviteter på individuelt plan og koncernniveau.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at kravene i artikel 28, stk. 1, litra b, nr. i-ii, ikke tages under betragtning ved udformningen af den finansielle enheds styring af it-tredjepartsrisiko.
Artikel 28, stk. 2, omhandler strategien for den finansielle enheds it-tredjepartsrisiko. Den finansielle enhed skal vedtage og gennemgå deres strategi regelmæssigt som led i deres ramme for it-risikostyring. Strategien skal omfatte en politik for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og som leveres af tredjepartsudbydere af it-tjenester. Strategien skal gælde på individuelt grundlag og, hvor det er relevant, på delkonsolideret og konsolideret grundlag. Ledelsesorganet i den finansielle enhed skal på grundlag af en vurdering af den finansielle enheds samlede risikoprofil og omfanget og kompleksiteten af forretningstjenesterne regelmæssigt gennemgå de risici, der er konstateret i forbindelse med kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i at ledelsesorganet i den finansielle enhed ikke ved vurderingen af den samlede risikoprofil har gennemgået de risici, der er konstateret i forbindelse med kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner.
Artikel 28, stk. 3, fastsætter krav for den finansielle enheds dokumentation af kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere. Den finansielle enhed skal som et led i deres ramme for it-risikostyring sørge for at opretholde og ajourføre et register over kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere på både enhedsniveau, delkonsolideret niveau og konsolideret niveau. De kontraktsretlige ordninger skal være skelnet mellem de it-tjenester der understøtter kritiske eller vigtige funktioner, og dem, der ikke gør.
Desuden skal den finansielle enhed mindst én gang årligt indberette nye ordninger for brugen af it-tjenester, kategorierne af tredjepartsudbydere af IKT-tjenester, typen af kontraktlige ordninger og de it-tjenester og funktioner, der leveres, til Finanstilsynet.
Til sidst skal den finansielle enhed efter anmodning, stille det fulde register over oplysninger eller, som anmodet, nærmere angivne afsnit heraf til rådighed for Finanstilsynet sammen med eventuelle oplysninger, som anses for nødvendige for at muliggøre et effektivt tilsyn med den finansielle enhed. Den finansielle enhed underretter rettidigt Finanstilsynet om enhver planlagt kontraktlig ordning for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og når en funktion er blevet kritisk eller vigtig.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at den finansielle enhed efter anmodning fra Finanstilsynet, ikke kan stille det fulde register over kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere til rådighed.
Artikel 28, stk. 4, litra a-e, fastsætter krav til den finansielle enhed før der indgås en kontraktlig ordning for brugen af it-tjenester. Den finansielle enhed skal vurdere, om den kontraktlige ordning omfatter brugen af it-tjenester, der understøtter en kritisk eller vigtig funktion, jf. litra a, vurdere, om de tilsynsmæssige betingelser for udlicitering er opfyldt, jf. litra b, identificere og vurdere alle relevante risici i forbindelse med den kontraktlige ordning, herunder muligheden for, at sådanne kontraktlige ordninger kan bidrage til at øge it-koncentrationsrisikoen, jf. artikel 29, jf. litra c, foretage fornøden due diligence over for potentielle tredjepartsudbydere af it-tjenester og under alle udvælgelses- og vurderingsprocesserne sikre, at den pågældende tredjepartsudbyder af it-tjenester er egnet jf. litra d, og identificere og vurdere interessekonflikter, som de kontraktlige ordninger kan give anledning til, jf. litra e.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at den finansielle enhed indgår en kontraktlig ordning for brugen af it-tjenester, uden at have identificeret og vurderet interessekonflikter, som den kontraktlige ordning kan give anledning til.
I medfør af artikel 28, stk. 7, litra a-d, skal den finansielle enhed sikre sig, at de indgåede kontraktlige ordninger kan opsiges på baggrund af væsentlig overtrædelse begået af tredjepartsudbyderen af it-tjenester af gældende love, administrative bestemmelser eller kontraktvilkår, jf. litra a. Forhold, der er identificeret under overvågningen af it-tredjepartsrisiko, og som anses for at kunne ændre udførelsen af de funktioner, der er leveret gennem den kontraktlige ordning, herunder væsentlige ændringer, der påvirker ordningen eller situationen for tredjepartsudbyderen af it-tjenester skal også kunne lægges til grund for opsigelse af den kontraktlige ordning, jf. litra b.
Ligeledes skal dokumenterede svagheder hos tredjepartsudbyderen af it-tjenester, som vedrører dennes samlede it-risikostyring, og navnlig i den måde, hvorpå denne garanterer tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, hvad enten det drejer sig om personoplysninger eller på anden måde følsomme data eller andre oplysninger end personoplysninger, kunne lægges til grund for opsigelse af den kontraktlige ordning, jf. litra c. Til sidst skal den kontraktlige ordning kunne opsiges, såfremt Finanstilsynet ikke længere kan føre effektivt tilsyn med den finansielle enhed som følge af betingelserne eller omstændighederne vedrørende de respektive kontraktlige ordninger.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at den kontraktlige ordning ikke kan opsiges på baggrund af de af artikel 28, stk. 7, oplistede situationer.
Artikel 28, stk. 8, omhandler exitstrategier. Den finansielle enhed skal indføre exitstrategier for it-tjenester, der understøtter kritiske eller vigtige funktioner.
Exitstrategierne skal tage højde for de risici, der kan opstå hos tredjepartsudbydere af it-tjenester, navnlig mulige svigt fra deres side, en forringelse af kvaliteten af de leverede it-tjenester, eventuelle driftsforstyrrelser som følge af uhensigtsmæssig eller manglende levering af it-tjenester eller eventuelle væsentlige risici i forbindelse med en passende og løbende anvendelse af de pågældende it-tjenester eller opsigelse af kontraktlige ordninger med tredjepartsudbydere af it-tjenester i en af de i artikel 28, stk. 7, anførte situationer.
Den finansielle enhed skal sikre, at den kan opsige den kontraktlige ordning uden at dens forretningsaktivitet afbrydes, jf. litra a, uden at efterlevelsen af de forskriftsmæssige krav begrænses, jf. litra b, og uden at kontinuiteten og kvaliteten af de leverede tjenester til kunder lider skade, jf. litra c.
Ligeledes skal exitstrategierne være i overensstemmelse med kriterierne i artikel 4, stk. 2, om proportionalitet, samt være omfattende og veldokumenterede.
Der skal desuden være udarbejdet overgangsplaner der kan fratage tredjepartsudbyderen af it-tjenester de udliciterede it-tjenester og de relevante data og sikkert og fuldstændigt kan overføre disse til alternative udbydere eller på ny indarbejde dem internt. Den finansielle enhed skal derudover identificere alternative løsninger.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke har sikret sig at indføre en exitstrategi i tilfælde af, at en kontrakt ordning med en tredjepartsudbyder af it-tjenester opsiges.
Artikel 29, stk. 1, omhandler foreløbig vurdering af it-koncentrationsrisiko på enhedsniveau. Bestemmelsen fastsætter krav, som den finansielle enhed skal tage hensyn til ved identifikation og vurdering af risici i forbindelse med en kontraktlige ordning, herunder muligheden for, at en kontraktlig ordning kan bidrage til at øge it-koncentrationsrisikoen. Ved indgåelse af en kontraktlig ordning i forbindelse med it-tjenester, der understøtter kritiske eller vigtige funktioner tager den finansielle enhed hensyn til udlicitering til en tredjepartsudbyder af it-tjenester, som ikke er let at erstatte, jf. litra a og indgåelse af flere kontraktlige ordninger om levering af it-tjenester, der understøtter kritiske eller vigtige funktioner, med den samme tredjepartsudbyder af it-tjenester eller med tredjepartsudbydere af it-tjenester, som har tætte forbindelser til denne, jf. litra b.
Den finansielle enhed skal i medfør af bestemmelsen afveje fordele og omkostninger ved alternative løsninger såsom brug af forskellige tredjepartsudbydere af it-tjenester under hensyntagen til, hvorvidt og hvordan de påtænkte løsninger svarer til de forretningsmæssige behov og mål, der er fastsat i deres strategi for digital modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed ikke har taget hensyn til udliciteringen til en tredjepartsudbyder af it-tjenester som ikke er lette at erstatte, ved indgåelsen af en kontraktlig ordning om it-tjenester der understøtter kritiske eller vigtige funktioner.
I medfør af artikel 29, stk. 2, skal den finansielle enhed i tilfælde af, at den kontraktlige ordning for brug af it-tjenester med en tredjepartsudbyder, kan komme videre i underentreprise med hjemsted i tredjeland, overveje de fordele og risici, der kan opstå i forbindelse med underentreprisen, særligt hvis it-tjenesten understøtter kritiske eller vigtige funktioner.
Den finansielle enhed skal tage hensyn til de bestemmelser i insolvensretten, som finder anvendelse, hvis tredjepartsudbyderen af it-tjenester går konkurs, samt eventuelle begrænsninger, der kan opstå i forbindelse med en hastende genopretning af den finansielle enheds data, såfremt den kontraktlige ordning vedrører it-tjenester, der understøtter kritiske eller vigtige funktioner.
Den finansielle enhed tager derudover hensyn til overholdelsen af Unionens databeskyttelsesregler og en effektiv håndhævelse af retten i det pågældende tredjeland, såfremt der er indgået kontraktlige ordninger for brug af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, med en tredjepartsudbyder af IKT-tjenester med hjemsted i et tredjeland.
Til sidst vurderer den finansielle enhed hvorvidt og hvordan potentielt lange eller komplekse underentreprisekæder kan påvirke deres evne til fuldt ud at overvåge de udliciterede funktioner og den kompetente myndigheds evne til i denne henseende at føre effektivt tilsyn med den finansielle enhed, såfremt den kontraktlige ordning for brugen af IKT-tjenester, understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ved indgåelse af kontraktlige ordninger med en tredjepartsudbyder af it-tjenester, der understøtter kritiske funktioner, ikke er foretaget en afvejning af fordele og risici såfremt tredjepartsudbyderen giver it-tjenesterne videre til en underentreprise med hjemsted i udlandet.
Artikel 30 omhandler centrale kontrakts bestemmelser.
Artikel 30, stk. 1, fastsætter at rettigheder og forpligtelser mellem den finansielle enhed og tredjepartsudbyderen skal fordeles klart og fastlægges skriftligt. Serviceniveauaftaler skal være omfattet af den samlede kontrakt og dokumenteres i ét skriftligt dokument. Parterne skal have adgang til dokumentet i papir, eller i et andet varigt og permanent format, der kan downloades.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke tager højde for, at rettighederne og forpligtelserne mellem parterne skal nedfattes skriftligt og have varig karakter, som enten kan tilgås på papir eller i et format, der kan downloades.
Artikel 30, stk. 2, fastsætter en række minimumskrav til den kontraktlige ordning for brugen af it-tjenester.
Den kontraktlige ordning skal sikre en klar og fuldstændig beskrivelse af alle funktioner og it-tjenester, som tredjepartsudbyderen af it-tjenester skal levere, med angivelse af, om underentreprise af en it-tjeneste, der understøtter en kritisk eller vigtig funktion eller væsentlige dele heraf er tilladt, og, hvis det er tilfældet, de betingelser, der gælder for en sådan underentreprise, jf. litra a.
De steder, navnlig de regioner eller lande, hvor de udliciterede funktioner og it-tjenester eller funktionerne og it-tjenesterne i underentreprise skal leveres, og hvor data skal behandles, herunder lagringsstedet, og kravet om, at tredjepartsudbyderen af it-tjenester på forhånd skal underrette den finansielle enhed, hvis den har planer om at ændre disse steder, jf. litra b.
Den kontraktlige ordning skal ligeledes indeholde bestemmelser om tilgængelighed, autenticitet, integritet og fortrolighed med hensyn til databeskyttelse, herunder personoplysninger, jf. litra c.
Bestemmelser om sikring af adgang, genopretning og tilbagesendelse i et lettilgængeligt format af personoplysninger og andre data end personoplysninger, der behandles af den finansielle enhed, i tilfælde af insolvens, afvikling eller afbrydelse af de forretningsaktiviteter, som tredjepartsudbyderen af it-tjenester varetager, eller i tilfælde af opsigelse af de kontraktlige ordninger skal medtages i den kontraktlige ordning, jf. litra d.
Den kontraktlige ordning skal derudover indeholde beskrivelser af serviceniveauet, herunder ajourføringer og revisioner heraf, jf. litra e.
Forpligtelsen for tredjepartsudbyderen af it-tjenester til at yde bistand til den finansielle enhed uden yderligere omkostninger eller til en omkostning, der fastsættes på forhånd, hvis der opstår en IKT-hændelse, der vedrører den it-tjeneste, som leveres til den finansielle enhed, skal også indgå i den kontraktlige ordning, jf. litra f.
Derudover skal den finansielle enhed medtage forpligtelsen for tredjepartsudbyderen af it-tjenester til at samarbejde fuldt ud med den finansielle enheds kompetente myndigheder og afviklingsmyndigheder, herunder personer, som de har udpeget, jf. litra g, og opsigelsesrettigheder og dertil knyttet minimumsfrister for opsigelse af de kontraktlige ordninger i overensstemmelse med de kompetente myndigheders og afviklingsmyndighedernes forventninger, jf. litra h.
Slutteligt skal betingelserne for deltagelse af tredjepartsudbydere af it-tjenester i de finansielle enheders programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed, jf. artikel 13, stk. 6, medtages i den kontraktlige ordning.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en kontrakt mellem en finansiel enhed og en tredjepartsudbyder af it-tjenester er mangelfuld og ikke på en klar og tilstrækkelig måde, omfatter de af artikel 30, stk. 2, omfattede minimumskrav til kontraktlige ordninger for brugen af it-tjenester som eksempelvis beskrivelserne af serviceniveauet, herunder ajourføringer og revisioner, jf. litra e og opsigelsesrettigheder, jf. litra h.
Artikel 30, stk. 3, fastsætter en række minimumskrav til den kontraktlige ordning for brugen af it-tjenester der understøtter kritiske eller vigtige funktioner.
Den kontraktlige ordning skal sikre en fuldstændig beskrivelse af serviceniveauer, herunder ajourføringer og revisioner heraf, med præcise kvantitative og kvalitative præstationsmål inden for de aftalte serviceniveauer, således at den finansielle enhed kan foretage en effektiv overvågning af it-tjenester, og således at der uden unødigt ophold kan træffes passende afhjælpende foranstaltninger, når de aftalte serviceniveauer ikke overholdes, jf. litra a.
Den kontraktlige ordning skal derudover omfatte opsigelsesfrister og indberetningsforpligtelser for tredjepartsudbyderen af it-tjenester over for den finansielle enhed, herunder underretning om enhver udvikling, som kan have væsentlig indvirkning på, hvorvidt tredjepartsudbyderen af it-tjenester har evnen til effektivt at levere it-tjenester, der understøtter kritiske eller vigtige funktioner i overensstemmelse med de aftalte serviceniveauer, jf. litra b.
Artikel 30, stk. 3, litra c, fastsætter krav til tredjepartsudbyderen af it-tjenester om at gennemføre og teste beredskabsplaner og indføre it-sikkerhedsforanstaltninger, -værktøjer og -politikker, som giver et passende niveau af sikkerhed for, at den finansielle enhed kan foretage levering af tjenester i overensstemmelse med dens reguleringsramme.
Derudover skal den kontraktlige ordning omfatte en forpligtelse for tredjepartsudbyderen af it-tjenester til at deltage i og fuldt ud samarbejde om den finansielle enheds TLPT som omhandlet i artikel 26 og 27, jf. litra d.
Den kontraktlige ordning skal desuden omfatte retten til løbende at overvåge det præstationsniveau, som tredjepartsudbyderen af it-tjenester leverer for den finansielle enhed, en udpeget tredjeparts og Finanstilsynet. Dette indebærer en uindskrænket ret til adgang, inspektion og revision og ret til at tage kopier af relevant dokumentation på stedet, hvis denne har afgørende betydning for tredjepartsudbyderen af it-tjenesters operationer, hvis faktiske udøvelse ikke hindres eller begrænses af andre kontraktlige ordninger eller gennemførelsespolitikker, jf. litra e, nr. i.
Dernæst fastsætter artikel 30, stk. 3, litra e, nr. ii-iv, retten til at nå til enighed om alternative sikkerhedsniveauer, hvis andre kunders rettigheder påvirkes, forpligtelsen for tredjepartsudbyderen af it-tjenester til fuldt ud at samarbejde under de inspektioner og revisioner på stedet, som de kompetente myndigheder, den ledende tilsynsførende, den finansielle enhed eller en udpeget tredjepart udfører og forpligtelsen til at give nærmere oplysninger om omfanget af, de procedurer, som skal følges, og hyppigheden af sådanne inspektioner og revisioner.
I medfør af artikel 30, stk. 3, litra f, skal den finansielle enhed ved en kontraktlig ordning, sørge for at medtage exitstrategier som indeholder en obligatorisk overgangsperiode. I løbet af denne overgangsperiode skal tredjepartsudbyderen af it-tjenester fortsat levere de respektive funktioner eller it-tjenester med henblik på at mindske risikoen for forstyrrelser i den finansielle enhed eller sikre en effektiv afvikling eller omstrukturering heraf. Exitstrategien skal også give den finansielle enhed mulighed for at migrere til en anden tredjepartsudbyder af it-tjenester eller skifte til interne løsninger, der stemmer overens med den leverede tjenestes kompleksitet.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed, ikke formår at vedtage en exitstrategi i deres kontraktlige ordning som sikrer den finansielle enhed fortsat, får leveret de respektive funktioner af it-tjenester fra tredjepartsudbyderen.
Overtrædelser af DORA-forordningen og MiCA kan ske af både fysiske og juridiske personer. I de situationer, hvor ansvarssubjektet er en virksomhed, vil det være udgangspunktet, at tiltalen rejses mod den juridiske person. Der kan i en række tilfælde være anledning til – ud over tiltalen mod den juridiske person – tillige at rejse tiltale mod en eller flere fysiske personer, hvis den eller de pågældende har handlet forsætligt eller udvist grov uagtsomhed. For virksomheder under stiftelse vil ansvarssubjektet være de personer, der stifter virksomheden, da en virksomhed under stiftelse ikke kan være ansvarssubjekt.
Bødeniveauet for overtrædelse af de bestemmelser, der fremgår af den foreslåede ændring tiltænkes fastsat i overensstemmelse med § 373, stk. 12, i lov om finansiel virksomhed. Det fremgår heraf, at der ved udmåling af bøder lægges vægt på overtrædelsens grovhed og gerningsmandens økonomiske forhold. For overtrædelser begået af juridiske personer lægges ved vurderingen af gerningsmandens økonomiske forhold vægt på virksomhedens nettoårsomsætning på gerningstidspunktet. For overtrædelser begået af fysiske personer lægges vægt på den pågældendes indtægtsforhold på gerningstidspunktet.
Til nr. 50 (§ 373, stk.10, i lov om finansiel virksomhed)
Det følger af § 373, stk. 10, i lov om finansiel virksomhed, at forældelsesfristen er 10 år for overtrædelse af de oplistede bestemmelser.
Overtrædelse af de oplistede bestemmelser er enten grove, da de kan have alvorlige økonomiske konsekvenser for en virksomhed, indskyderne, investorerne m.v., eller være egnet til at skade tilliden til den finansielle sektor.
Artikel 16, stk. 1, i MiCA fastsætter, at en person ikke må udbyde en aktivbaseret token til offentligheden eller anmode om optagelse til handel heraf i Unionen, medmindre denne person er udstederen af denne aktivbaserede token og er en juridisk person eller virksomhed, der er etableret i Unionen, og er meddelt tilladelse hertil af den kompetente myndighed i sit hjemland i overensstemmelse med artikel 21, eller et kreditinstitut, der opfylder kravene i artikel 17 i forordningen.
Det foreslås i § 373, stk. 10, at ændre » (PRIIP'er) samt« til: (PRIIP'er),« og efter »for erhvervslivet« at indsætte: »og artikel 16, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«.
Den foreslåede ændring vil medføre, at forældelsesfristen for strafansvar bliver 10 år for overtrædelse af artikel 16, stk. 1, i MiCA.
Ændringen foreslås som følge af MiCA, hvorefter udstedelse af aktivbaserede tokens skal leve op til en række krav i forordningen.
Til nr. 51 (bilag 1, nr. 13, i lov om finansiel virksomhed)
Det gældende bilag 1 i lov om finansiel virksomhed indeholder en liste med de aktiviteter, som en virksomhed med tilladelse som pengeinstitut kan udføre. Det fremgår ikke, at et pengeinstitut kan udstede e-pengetokens.
Det foreslås at nyaffatte bilag 1, nr. 13, således: »Udstedelse af elektroniske penge, herunder elektroniske pengetokens, som defineret i § 332, nr. 3«.
Det foreslåede vil medføre, at pengeinstitutter kan udstede elektroniske penge, herunder e-pengetokens, som defineret i artikel 3, stk. 1, nr. 7, i MiCA.
Bestemmelsen vil supplere artikel 146 i MiCA.
Til nr. 52 (bilag 1, nr. 14 og 15, i lov om finansiel virksomhed)
Det gældende bilag 1 i lov om finansiel virksomhed indeholder en liste med de aktiviteter, som en virksomhed med tilladelse som pengeinstitut kan udføre. Det fremgår ikke, at et pengeinstitut kan udstede aktivbaserede tokens som defineret i artikel 3, stk. 1, nr. 6, i MiCA og udbyde kryptoaktivtjenester som defineret i artikel 3, stk. 1, nr. 16, i MiCA.
Det foreslås, at der i bilag 1 til lov om finansiel virksomhed indsættes nyt nr. 14, hvorefter pengeinstitutvirksomhed omfatter udstedelse af aktivbaserede tokens som defineret i § 332, nr. 2.
Det foreslås, at der i bilag 1 til lov om finansiel virksomhed indsættes nyt nr. 15, hvorefter pengeinstitutvirksomhed omfatter udbud af kryptoaktivtjenester som defineret i § 332, nr. 7.
Det foreslåede vil medføre, at en virksomhed med tilladelse som pengeinstitut kan udstede aktivbaserede tokens og udbyde kryptoaktivtjenester i medfør af MiCA.
Bestemmelsen vil supplere artikel 146 i MiCA.
Til nr. 53 (bilag 2, nr. 11-13, i lov om finansiel virksomhed)
Det gældende bilag 2 i lov om finansiel virksomhed indeholder en liste med de aktiviteter, som en virksomhed med tilladelse som kreditinstitut kan udføre. Det fremgår ikke, at et kreditinstitut kan udstede aktivbaserede tokens som defineret i artikel 3, stk. 1, nr. 6, i MiCA, udstede e-pengetokens, som defineret i artikel 3, stk. 1, nr. 7 og udbyde kryptoaktivtjenester som defineret i artikel 3, stk. 1, nr. 15, i MiCA.
Det foreslås i bilag 2 at indsætte følgende som nr. 11-13: »11) Udstedelse af elektroniske penge, herunder elektroniske pengetokens som defineret i § 332, nr. 3. 12) Udstedelse af aktivbaserede tokens som defineret i § 332, nr. 2. 13) Udbud af kryptoaktivtjenester som defineret i § 332, nr. 7.«
Det foreslåede vil medføre, at en virksomhed med tilladelse som kreditinstitut kan udstede elektroniske penge, herunder elektroniske pengetokens, aktivbaserede tokens og udbyde kryptoaktivtjenester i medfør af MiCA.
Det foreslåede indsættes med henblik på, at en udenlandsk virksomhed, som vil kunne udføre aktiviteter i Danmark i henhold til §§ 30 og 31, i lov om finansiel virksomhed, også kan udstede elektroniske penge, herunder elektroniske pengetokens, aktivbaserede tokens og udbyde kryptoaktivtjenester i medfør af MiCA.
Bestemmelsen vil endvidere supplere artikel 146 i MiCA.
Ændringen foreslås som følge af MiCA, hvorefter kreditinstitutter, der udsteder aktivbaserede tokens, udsteder e-pengetokens eller udbyder kryptoaktivtjenester, skal leve op til en række krav i forordningen.
Til nr. 1 (fodnoten i lov om betalinger)
Fodnoten til lov om betalinger indeholder en oplistning af de direktiver, der er helt eller delvist gennemført ved loven.
I fodnoten til lovens titel ændres »(2. e-pengedirektiv) og« til: »(2. e-pengedirektiv),« og efter » side 253 (CRD V)« indsættes: »og dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«.
Med den foreslåede ændring til fodnoten vil der blive indsat en henvisning til, at der med denne lov foretages en gennemførelse af dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022 om ændring af direktiv 2009/65/EF, 2009/138/EF, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341 for så vidt angår digital operationel modstandsdygtighed i den finansielle sektor. Denne henvisning vil blive tilføjet, idet lovforslaget vil gennemføre artikel 3 i direktivet, der fastsætter ændringer til Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 af 25. november 2015 om betalingstjenester i det indre marked. Direktivet er et følgedirektiv til DORA-forordningen.
Der henvises til lovforslagets § 2, nr. 15, der foreslår, at Finanstilsynet skal påse overholdelsen af DORA-forordningen.
Til nr. 2 (§ 5, nr. 10, i lov om betalinger)
Det følger af det gældende § 5, nr. 10, at loven ikke finder anvendelse på tjenester leveret af en udbyder af tekniske tjenester, der understøtter udbuddet af betalingstjenester, såfremt udbyderen ikke på noget tidspunkt er i besiddelse af de midler, som skal overføres, og der ikke er tale om tjenester omfattet af bilag 1, nr. 7 og 8, jf. dog § 122.
Det foreslås, at § 5, nr. 10, nyaffattes, så loven ikke finder anvendelse på tjenester leveret af en udbyder af tekniske tjenester, der understøtter udbuddet af betalingstjenester, når udbyderen ikke på noget tidspunkt er i besiddelse af de midler, som skal overføres, og der ikke er tale om tjenester omfattet af bilag 1, nr. 7 og 8, jf. dog § 122.
Bestemmelsen vil sikre en direktivnær implementering af artikel 3, stk. 1, litra j, i 2. betalingstjenestedirektiv, som er i overensstemmelse med Europa-Parlamentets og Rådets direktiv 2022/2556 (EU) af 13. december 2022 om ændring af direktiv 2009/65/EF, 2009/138/EF, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341 for så vidt angår digital operationel modstandsdygtighed i den finansielle sektor. Dette direktiv ændrer artikel 3, stk. 1, litra j, i det 2. betalingstjenestedirektiv og medfører, at også tjenester leveret af en udbyder af informations- og kommunikationsteknologi (it) er undtaget lov om betalinger, når denne på intet tidspunkt er i besiddelse af de midler, som skal overføres, og der ikke er tale om tjenester omfattet af bilag 1, nr. 7 og 8.
Det foreslåede vil medføre, at undtagelsen i § 5, nr. 10, vil omfatte en række tjenester leveret af tekniske leverandører. Det drejer sig eksempelvis om håndtering og lagring af data, databeskyttelse- og validering, levering af informations- og kommunikationsteknologi (it), drift af kommunikationsnetværk samt levering og vedligeholdelse af betalingsterminaler. Disse tjenester er kendetegnet ved, at de pågældende leverandører på intet tidspunkt er i besiddelse af midlerne, der overføres i betalingstransaktionen. Det er yderligere en betingelse, at den tekniske tjeneste understøtter udbuddet af betalingstjenester. Undtagelsen gælder derfor ikke, hvis det er udbyderen af den tekniske tjeneste, der indgår aftalen om betalingstjenester med betaler eller betalingsmodtager, desuagtet at udbyderen ikke kommer i besiddelse af midlerne på noget tidspunkt.
Som eksempel på virksomheder, der udbyder denne type tjenester, kan nævnes pengeinstitutternes datacentraler og leverandører af kortterminaler i fysisk handel eller betalingsmoduler til brug ved internethandel.
Dog gælder § 122 om urimelige priser og avancer desuagtet. Bestemmelsen viderefører § 4, stk. 1, nr. 10, i den gældende lov om betalingstjenester og elektroniske penge og gennemfører samtidig 2. betalingstjenestedirektivs artikel 3, stk. 1, litra j.
Til nr. 3 (§ 11, stk. 1, nr. 11, i lov om betalinger)
§ 11 i lov om betalinger indeholder regler om de oplysninger, som en ansøgning om tilladelse til et e-pengeinstitut eller et betalingsinstitut skal indeholde til brug for Finanstilsynets vurdering af, om kravene til at opnå en tilladelse hertil i henhold til § 10 i lov om betalinger er opfyldt.
Det fremgår af § 11, stk. 1, nr. 11, at en ansøgning som minimum skal indeholde virksomhedens forretningsgange og interne kontrolmekanismer, herunder administrative, risikostyringsmæssige og regnskabsmæssige procedurer, jf. § 25 i lov om betalinger.
Bestemmelsen gennemfører artikel 5, stk. 1, litra e, i 2. betalingstjenestedirektivet og artikel 3, stk. 1, i 2. e-pengedirektiv, jf. artikel 111, i 2. betalingstjenestedirektiv, hvorefter kravene til en ansøgning som betalingsinstitut i medfør af artikel 5 også finder anvendelse på en ansøgning som e-pengeinstitut.
Det foreslås i § 11, stk. 1, nr. 11, efter »procedurer, jf. § 25« at indsætte: »samt ordninger for brug af it-tjenester i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
Det foreslåede medfører, at en ansøgning om tilladelse som e-pengeinstitut som minimum skal indeholde virksomhedens forretningsgange og interne kontrolmekanismer, herunder administrative, risikostyringsmæssige og regnskabsmæssige procedurer samt ordninger for brug af it-tjenester i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Forordningen finder bl.a. anvendelse på betalingsinstitutter og e-pengeinstitutter, jf. artikel 2, stk. 1, litra b og d.
Den foreslåede ændring vil gennemføre artikel 7, nr. 2, litra a, i, i Europa-Parlamentets og rådets direktiv (EU) 2022/2556 af 14. december 2022, der ændrer i artikel 5, stk. 1, litra e, i 2. betalingstjenestedirektivet.
Til nr. 4 (§ 11, stk. 1, nr. 12, i lov om betalinger)
§ 11 i lov om betalinger indeholder regler om de oplysninger, som en ansøgning om tilladelse til et e-pengeinstitut eller et betalingsinstitut skal indeholde til brug for Finanstilsynets vurdering af, om kravene til at opnå en tilladelse hertil i henhold til § 10 i lov om betalinger er opfyldt.
Det fremgår af § 11, stk. 1, nr. 12, at en ansøgning som minimum skal indeholde virksomhedens forretningsgange for håndtering og opfølgning på sikkerhedshændelser og sikkerhedsrelaterede kundeklager, herunder procedurer for indberetning af sikkerhedshændelser, jf. § 127 i lov om betalinger.
§ 127 i lov om betalinger fastsætter regler om, at en udbyder af betalingstjenester skal underrette Finanstilsynet om større drifts- og sikkerhedshændelser.
Bestemmelsen gennemfører artikel 5, stk. 1, litra f, i 2. betalingstjenestedirektivet og artikel 3, stk. 1, i 2. e-pengedirektiv, jf. artikel 111, i 2. betalingstjenestedirektiv, hvorefter kravene til en ansøgning som betalingsinstitut i medfør af artikel 5 også finder anvendelse på en ansøgning som e-pengeinstitut.
Det foreslås i § 11, stk. 1, nr. 12, at ændre: »§ 127« til: »kapitel III i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
Det foreslåede vil medføre, at en ansøgning som minimum skal indeholde virksomhedens forretningsgange for håndtering og opfølgning på sikkerhedshændelser og sikkerhedsrelaterede kundeklager, herunder procedurer for indberetning af sikkerhedshændelser, jf. kapitel III i DORA-forordningen.
Kapitel III i DORA-forordningen indeholder regler om styring, klassificering og indberetning af it-relaterede hændelser. It-relaterede hændelser er defineret som hændelser, der kompromitterer sikkerheden i net- og informationssystemerne og har en negativ indvirkning på tilgængeligheden, autenticiteten, integriteten eller fortroligheden af data eller på de tjenester, som den finansielle enhed leverer, jf. artikel 3, nr. 8, i DORA-forordningen.
Den foreslåede ændring vil gennemføre artikel 7, nr. 2, litra a, ii, i Europa-Parlamentets og rådets direktiv (EU) 2022/2556 af 14. december 2022, der ændrer i artikel 5, stk. 1, litra f, i 2. betalingstjenestedirektivet.
Der henvises i øvrigt til lovforslagets § 2, nr. 13, og bemærkningerne hertil.
Til nr. 5 (§ 11, stk. 1, nr. 15, i lov om betalinger)
§ 11 i lov om betalinger indeholder regler om de oplysninger, som en ansøgning om tilladelse til et e-pengeinstitut eller et betalingsinstitut skal indeholde til brug for Finanstilsynets vurdering af, om kravene til at opnå en tilladelse hertil i henhold til § 10 i lov om betalinger er opfyldt.
Det fremgår af § 11, stk. 1, nr. 15, at en ansøgning som minimum skal indeholde virksomhedens beredskabsplan, herunder en klar beskrivelse af de kritiske funktioner, effektive beredskabsplaner og procedurer til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige.
§ 11, stk. 1, nr. 15, skal ses i sammenhæng med § 10, stk. 1, nr. 7, som stiller krav om, at virksomheden har forsvarlige og effektive organisatoriske strukturer, forretningsgange og procedurer.
I forbindelse med ansøgningen skal virksomheden som minimum indsende en kopi af virksomhedens beredskabsplan også kaldet “business continuity arrangements”, jf. Folketingstidende 2016-2017, tillæg A, L 157 som fremsat, side 117.
Bestemmelsen gennemfører artikel 5, stk. 1, litra h, i 2. betalingstjenestedirektivet og artikel 3, stk. 1, i 2. e-pengedirektiv, jf. artikel 111, i 2. betalingstjenestedirektiv, hvorefter kravene til en ansøgning som betalingsinstitut i medfør af artikel 5 også finder anvendelse på en ansøgning som e-pengeinstitut.
Det foreslås at nyaffatte § 11, stk. 1, nr. 15, således, at en ansøgning som minimum skal indeholde virksomhedens beredskabsplan, herunder en klar beskrivelse af de kritiske funktioner, effektive politikker og planer for it-driftsstabilitet og planer for it-indsats- og genopretning og procedurer til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige og effektive i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Den foreslåede ændring vil gennemføre artikel 7, nr. 2, litra a, iii, i Europa-Parlamentets og rådets direktiv (EU) 2022/2556 af 14. december 2022, som er et følgedirektiv til DORA, der ændrer i artikel 5, stk. 1, litra h, i 2. betalingstjenestedirektivet.
DORA-forordningen finder bl.a. anvendelse på betalingsinstitutter og e-pengeinstitutter, jf. artikel 2, stk. 1, litra b og d.
I forordningen er kritiske eller vigtige funktioner defineret som en funktion, hvis forstyrrelse i væsentlig grad kan forringe en finansiel enheds finansielle resultater, eller robustheden eller kontinuiteten af dens tjenester og aktiviteter, eller som, hvis den pågældende funktion afbrydes, er fejlbehæftet eller mislykkes, i væsentlig grad kan forringe en finansiel enheds opfyldelse af de betingelser og forpligtelser, der er forbundet med dens tilladelse, eller af dens andre forpligtelser i henhold til gældende finansiel tjenesteydelsesret, jf. artikel 3, nr. 22.
Forordningen indeholder bl.a. regler om indsats og genopretning, herunder indførelse af en politik for it-driftsstabilitet og gennemførelse af denne politik ved hjælp af planer, procedurer og mekanismer, der bl.a. tager sigte på at sikre, at den finansielle enheds kritiske eller vigtige funktioner er stabile, jf. artikel 11, stk. 1 og 2. Desuden indeholder artikel 11, stk. 3, krav om, at de finansielle enheder gennemfører planer for it-indsats og genopretning. Artikel 11, stk. 6, litra a, indeholder krav om test af planer for it-driftsstabilitet og planer for it-indsats og genopretning.
Til nr. 6 (§ 11, stk. 1, nr. 17, 2. pkt., i lov om betalinger)
§ 11 i lov om betalinger indeholder regler om de oplysninger, som en ansøgning om tilladelse til et e-pengeinstitut eller et betalingsinstitut skal indeholde til brug for Finanstilsynets vurdering af, om kravene til at opnå en tilladelse hertil i henhold til § 10 i lov om betalinger er opfyldt.
Det fremgår af § 11, stk. 1, nr. 17, 1. pkt., at en ansøgning som minimum skal indeholde virksomhedens sikkerhedspolitik, en detaljeret risikovurdering i tilknytning til de betalingstjenester, som virksomheden påtænker at udbyde, og en beskrivelse af de foranstaltninger, som virksomheden har foretaget for at imødegå de identificerede risici, herunder svig og misbrug af følsomme betalingsdata og personoplysninger. Videre fremgår det af 2. pkt., at beskrivelsen af foranstaltningerne skal indeholde oplysninger om, hvordan virksomheden sikrer et højt niveau af teknisk sikkerhed og databeskyttelse, herunder vedrørende de software- og it-systemer, der anvendes af ansøgeren eller de virksomheder, som ansøgeren outsourcer alle eller dele af sine aktiviteter til.
§ 11, stk. 1, nr. 17, 1. pkt., gennemfører artikel 5, stk. 1, litra j, i 2. betalingstjenestedirektiv, og 2. pkt. gennemfører artikel 5, stk. 1, tredje afsnit, i 2. betalingstjenestedirektiv. Bestemmelsen gennemfører også artikel 3, stk. 1, i 2. e-pengedirektiv, jf. artikel 111, i 2. betalingstjenestedirektiv, hvorefter kravene til en ansøgning som betalingsinstitut i medfør af artikel 5 også finder anvendelse på en ansøgning som e-pengeinstitut.
Det foreslås af nyaffatte § 11, stk. 1, nr. 17, 2. pkt., således, at beskrivelsen af de foranstaltninger, som virksomheden har foretaget for at imødegå de identificerede risici, herunder svig og misbrug af følsomme betalingsdata og personoplysninger, jf. 1. pkt., skal indeholde oplysninger om, hvordan virksomheden sikrer et højt niveau af digital operationel modstandsdygtighed i overensstemmelse med kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, navnlig med hensyn til teknisk sikkerhed og databeskyttelse, herunder vedrørende de software- og it-systemer, der anvendes af ansøgeren eller de virksomheder, som ansøgeren outsourcer alle eller dele af sine aktiviteter til.
§ 11, stk. 1, nr. 17, skal ses i sammenhæng med § 10, stk. 1, nr. 7, som stiller krav om, at virksomheden har forsvarlige og effektive organisatoriske strukturer, forretningsgange og procedurer.
Virksomheden skal have betryggende kontrol- og sikringsforanstaltninger på it-området, jf. § 25, stk. 1, nr. 8, i lov om betalinger. Disse skal tage udgangspunkt i beskrivelsen af virksomhedens it-anvendelse, samt hvilke iboende risici virksomheden har på it-området. Dokumenterne omtalt i nr. 17, skal gøre Finanstilsynet i stand til at vurdere om virksomheden lever op til dette krav. Yderligere kræves det at outsourcing af væsentlige driftsmæssige funktioner kun må ske under visse betingelser, jf. §§ 39-41. Virksomheden skal ved outsourcing af væsentlige driftsmæssige funktioner sikre sig, at outsourcing ikke indebærer en væsentlig forringelse af kvaliteten af betalingsinstituttets interne kontrol og ledelsesrapportering eller Finanstilsynets mulighed for at overvåge, om instituttet overholder lov om betalingstjenester og elektroniske penge. Betalingsinstitutter og e-pengeinstitutter skal ifølge lovforslagets §§ 122 og 124, udarbejde og indføre en række foranstaltninger og kontrolmekanismer med henblik på at imødegå operationelle og sikkerhedsmæssige risici, der er forbundet med de betalingstjenester der udbydes. § 11, stk. 1, nr. 17, skal således ses i sammenhæng med §§ 122 og 124, og den dokumentation en virksomhed, der søger om tilladelse som betalings eller e-pengeinstitut, skal vedlægge skal gøre det muligt for Finanstilsynet at sikre, at virksomheden lever op til kravene i lovforslagets §§ 122 og 124, jf. Folketingstidende 2016-2017, tillæg A, L 157 som fremsat, side 118.
Den foreslåede ændring vil gennemføre artikel 7, nr. 2, litra b, i Europa-Parlamentets og rådets direktiv (EU) 2022/2556 af 14. december 2022, som er et følgedirektiv til DORA, der ændrer i artikel 5, stk. 1, 3. afsnit, i 2. betalingstjenestedirektivet.
Med nyaffattelsen vil der blive indsat en henvisning til kapitel II i DORA-forordningen i forhold til at sikre et højt niveau af digital operationel modstandsdygtighed.
Digital operationel modstandsdygtighed er i artikel 3, nr. 1, i DORA-forordningen defineret ved en finansiel enheds evne til at opbygge, sikre og gennemgå sin operationelle integritet og pålidelighed ved enten direkte eller indirekte gennem anvendelse af tjenester, der leveres af en tredjepartsudbyder af it-tjenester, at sikre det fulde spektrum af nødvendige it-relaterede kapaciteter med henblik på at varetage sikkerheden i de net- og informationssystemer, som en finansiel enhed anvender, og som understøtter det løbende udbud af finansielle tjenesteydelser og kvaliteten heraf, herunder i forbindelse med forstyrrelser
Kapitel II i DORA-forordningen vedrører it-risikostyring. Artikel 5, stk. 1, fastsætter bl.a. krav om, at finansielle enheder, herunder e-pengeinstitutter og betalingsinstitutter, skal have indført en intern forvaltnings- og kontrolramme, der sikrer en effektiv og forsigtig styring af it-risiko for at opnå et højt niveau af digital operationel modstandsdygtighed. Videre fremgår det bl.a. også af artikel 6, stk. 1, at finansielle enheder, skal indføre en robust, omfattende og veldokumenteret ramme for it-risikostyring som en del af deres samlede risikostyringssystem, der sætter dem i stand til at håndtere it-risikoen hurtigt, effektivt og fyldestgørende, og som sikrer et højt niveau af digital operationel modstandsdygtighed.
Til nr. 7 (§ 54, nr. 8, litra c, i lov om betalinger)
§ 54 i lov om betalinger indeholder regler om de oplysninger, som en ansøgning om begrænset tilladelse til at udbyde betalingstjenester betalingsinstitut eller udstede elektroniske penge skal indeholde til brug for Finanstilsynets vurdering af, om kravene til at opnå en tilladelse hertil i henhold til § 52 i lov om betalinger er opfyldt.
Det fremgår af § 54, nr. 8, litra c, at en ansøgning som minimum skal indeholde oplysninger om virksomhedens forretningsgange og interne kontrolmekanismer, herunder administrative, risikostyringsmæssige og regnskabsmæssige procedurer, der omfatter virksomhedens forretningsgange for håndtering af og opfølgning på sikkerhedshændelser og sikkerhedsrelaterede kundeklager, herunder for indberetning af sikkerhedshændelser, jf. §§ 126 og 127.
§ 127 i lov om betalinger fastsætter regler om, at en udbyder af betalingstjenester skal underrette Finanstilsynet om større drifts- og sikkerhedshændelser. § 127, stk. 1 og 2, bliver ophævet med § 2, nr. 13, i nærværende lovforslag.
Kravet i § 54, nr. 8, litra c, svarer til kravet i § 11, stk. 1, nr. 12, 1. pkt., i lov om betalinger om, at en ansøgning om tilladelse som betalingsinstitut eller e-pengeinstitut som minimum skal indeholdevirksomhedens forretningsgange for håndtering og opfølgning på sikkerhedshændelser og sikkerhedsrelaterede kundeklager, herunder procedurer for indberetning af sikkerhedshændelser, jf. § 127.
§ 11, stk. 1, nr. 12, gennemfører artikel 5, stk. 1, litra f, i 2. betalingstjenestedirektiv. Bestemmelsen gennemfører også artikel 3, stk. 1, i 2. e-pengedirektiv, jf. artikel 111, i 2. betalingstjenestedirektiv, hvorefter kravene til en ansøgning som betalingsinstitut i medfør af artikel 5 også finder anvendelse på en ansøgning som e-pengeinstitut.
Artikel 7, nr. 2, litra a, ii, i Europa-Parlamentets og rådets direktiv (EU) 2022/2556 af 14. december 2022, ændrer i artikel 5, stk. 1, litra f, i 2. betalingstjenestedirektivet og dermed også en ændring af § 11, stk. 1, nr. 12, jf. de specielle bemærkninger til § 3, nr. 4, i nærværende lovforslag.
Det foreslås, at § 54, nr. 8, litra c, ændres således, at en ansøgning som minimum skal indeholde virksomhedens forretningsgange for håndtering af og opfølgning på sikkerhedshændelser og sikkerhedsrelaterede kundeklager, herunder for indberetning af sikkerhedshændelser, jf. § 126 og kapitel III i DORA-forordningen.
Med ændringen vil henvisningen til § 127 udgå af bestemmelsen. Der vil i stedet blive indsat en henvisning til kapitel III i DORA-forordningen. Da kapitel III i DORA-forordningen også finder anvendelse på betalingsinstitutter og e-pengeinstitutter med begrænset tilladelse, jf. artikel 2, stk. 1, litra b og d, i forordningen, findes det hensigtsmæssigt også at ændre i § 54, stk. 1, nr. 8, litra c.
Kapitel III i DORA-forordningen indeholder regler om styring, klassificering og indberetning af it-relaterede hændelser. It-relaterede hændelser er defineret som hændelser, der kompromitterer sikkerheden i net- og informationssystemerne og har en negativ indvirkning på tilgængeligheden, autenticiteten, integriteten eller fortroligheden af data eller på de tjenester, som den finansielle enhed leverer, jf. artikel 3, nr. 8, i DORA-forordningen.
Til nr. 8 (§ 60, stk. 3, nr. 5, i lov om betalinger)
§ 60, stk. 3, i lov om betalinger indeholder regler om de oplysninger, som en ansøgning om tilladelse til udbyder af kontooplysningstjenester skal indeholde, for at Finanstilsynet kan vurdere, om kravene til at opnå en tilladelse hertil i henhold til § 60, stk. 2, er opfyldt.
Det fremgår af § 60, stk. 3, nr. 5, at en ansøgning som minimum skal indeholde oplysninger om virksomhedens forretningsgange og interne kontrolmekanismer, herunder administrative, risikostyringsmæssige og regnskabsmæssige procedurer.
Bestemmelsen gennemfører artikel 33, stk. 1, i 2. betalingstjenestedirektiv, hvorefter kravene til en ansøgning som betalingsinstitut i medfør af artikel 5, stk. 1, litra e, også finder anvendelse på udbydere af kontooplysningstjenester.
Det foreslås i § 60, stk. 3, nr. 5, at ændre bestemmelsen således, at det fremgår, at en ansøgning som minimum skal indeholde virksomhedens forretningsgange og interne kontrolmekanismer, herunder administrative, risikostyringsmæssige og regnskabsmæssige procedurer samt ordninger for brug af it-tjenester i overensstemmelse med DORA-forordningen.
Forordningen finder bl.a. anvendelse på udbydere af kontooplysningstjenester, jf. artikel 2, stk. 1, litra c.
Den foreslåede ændring vil gennemføre artikel 7, nr. 2, litra a, i, i Europa-Parlamentets og rådets direktiv (EU) 2022/2556 af 14. december 2022, der ændrer i artikel 5, stk. 1, litra e, i 2. betalingstjenestedirektivet.
Der henvises i øvrigt til lovforslagets § 2, nr. 4, og bemærkningerne hertil.
Til nr. 9 (§ 60, stk. 3, nr. 6, i lov om betalinger)
§ 60, stk. 3, i lov om betalinger indeholder regler om de oplysninger, som en ansøgning om tilladelse til udbyder af kontooplysningstjenester skal indeholde, for at Finanstilsynet kan vurdere, om kravene til at opnå en tilladelse hertil i henhold til § 60, stk. 2, er opfyldt.
Det fremgår af § 60, stk. 3, nr. 6, at en ansøgning som minimum skal indeholde oplysninger om virksomhedens forretningsgange for håndtering af og opfølgning på sikkerhedshændelser og sikkerhedsrelaterede kundeklager, herunder procedurer for indberetning af sikkerhedshændelser, jf. § 126, i lov om betalinger.
§ 126 fastsættes en række forpligtelser med hensyn til håndtering af operationelle og sikkerhedsmæssige risici for en udbyder af betalingstjenester.
Bestemmelsen gennemfører artikel 33, stk. 1, i 2. betalingstjenestedirektiv, hvorefter kravene til en ansøgning som betalingsinstitut i medfør af artikel 5, stk. 1, litra f, også finder anvendelse på udbydere af kontooplysningstjenester.
Det foreslås at ændre § 60, stk. 3, nr. 6, således, at en ansøgning som minimum skal indeholde virksomhedens forretningsgange for håndtering og opfølgning på sikkerhedshændelser og sikkerhedsrelaterede kundeklager, herunder procedurer for indberetning af sikkerhedshændelser, jf. kapitel III i DORA-forordningen.
Kapitel III i DORA-forordningen indeholder regler om styring, klassificering og indberetning af it-relaterede hændelser. It-relaterede hændelser er defineret som hændelser, der kompromitterer sikkerheden i net- og informationssystemerne og har en negativ indvirkning på tilgængeligheden, autenticiteten, integriteten eller fortroligheden af data eller på de tjenester, som den finansielle enhed leverer, jf. artikel 3, nr. 8, i DORA-forordningen.
Den foreslåede ændring vil gennemføre artikel 7, nr. 2, litra a, ii, i Europa-Parlamentets og rådets direktiv (EU) 2022/2556 af 14. december 2022, der ændrer i artikel 5, stk. 1, litra f, i 2. betalingstjenestedirektivet.
Der henvises i øvrigt til lovforslagets § 2, nr. 4, og bemærkningerne hertil.
Til nr. 10 (§ 60, stk. 3, nr. 8, i lov om betalinger)
§ 60, stk. 3, i lov om betalinger indeholder regler om de oplysninger, som en ansøgning om tilladelse til udbyder af kontooplysningstjenester skal indeholde, for at Finanstilsynet kan vurdere, om kravene til at opnå en tilladelse hertil i henhold til § 60, stk. 2, er opfyldt.
Det følger af stk. 3, nr. 8, at en ansøgning som minimum skal indeholde en beskrivelse af virksomhedens beredskabsplan, herunder en klar beskrivelse af de kritiske funktioner, effektive beredskabsplaner og procedurer til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige.
Formålet med bestemmelsen er at sikre, at virksomheden har tilstrækkelige beredskabsplaner eksempelvis i tilfælde af kritiske nedbrud af kritiske it-funktioner. Virksomheden skal jævnligt udføre test af beredskabsplanen, jf. Folketingstidende 2016-2017, tillæg A, L 157 som fremsat, side 182.
Bestemmelsen gennemfører artikel 33, stk. 1, i 2. betalingstjenestedirektiv, hvorefter kravene til en ansøgning som betalingsinstitut i medfør af artikel 5, stk. 1, litra h, også finder anvendelse på udbydere af kontooplysningstjenester.
Det foreslås at nyaffatte § 60, stk. 3, nr. 8, således, at en ansøgning som minimum skal indeholde en beskrivelse af virksomhedens beredskabsplan, herunder en klar beskrivelse af de kritiske funktioner, effektive politikker og planer for it-driftsstabilitet og planer for it-indsats- og genopretning og procedurer til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige og effektive i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Den foreslåede ændring vil gennemføre artikel 7, nr. 2, litra a, iii, i Europa-Parlamentets og rådets direktiv (EU) 2022/2556 af 14. december 2022, som er et følgedirektiv til DORA, der ændrer i artikel 5, stk. 1, litra h, i 2. betalingstjenestedirektivet.
DORA-forordningen finder bl.a. anvendelse på udbydere af kontooplysningstjenester, jf. artikel 2, stk. 1, litra c.
I forordningen er kritiske eller vigtige funktioner defineret som en funktion, hvis forstyrrelse i væsentlig grad kan forringe en finansiel enheds finansielle resultater, eller robustheden eller kontinuiteten af dens tjenester og aktiviteter, eller som, hvis den pågældende funktion afbrydes, er fejlbehæftet eller mislykkes, i væsentlig grad kan forringe en finansiel enheds opfyldelse af de betingelser og forpligtelser, der er forbundet med dens tilladelse, eller af dens andre forpligtelser i henhold til gældende finansiel tjenesteydelsesret, jf. artikel 3, nr. 22.
Forordningen indeholder bl.a. regler om indsats og genopretning, herunder indførelse af en politik for it-driftsstabilitet og gennemførelse af denne politik ved hjælp af planer, procedurer og mekanismer, der bl.a. tager sigte på at sikre, at den finansielle enheds kritiske eller vigtige funktioner er stabile, jf. artikel 11, stk. 1 og 2. Desuden indeholder artikel 11, stk. 3, krav om, at de finansielle enheder gennemfører planer for it-indsats og genopretning. Artikel 11, stk. 6, litra a, indeholder krav om test af planer for it-driftsstabilitet og planer for it-indsats og genopretning.
Der henvises i øvrigt til lovforslagets § 2, nr. 5, og bemærkningerne hertil.
Til nr. 11 (§ 126, stk. 2, i lov om betalinger)
Det fremgår af § 126, stk. 1, nr. 1 og 2, at en udbyder af betalingstjenester skal fastlægge og opretholde procedurer og kontrolmekanismer til styring af drifts- og sikkerhedsrisici, der er forbundet med de betalingstjenester, som de udbyder og have effektive procedurer for håndtering af drifts- og sikkerhedshændelser.
Bestemmelsen gennemfører artikel 95, stk. 1, i 2. betalingstjenestedirektiv.
Kapitel II i DORA-forordningen fastsætter bl.a. krav om, at finansielle enheder, herunder betalingsinstitutter, e-pengeinstitutter, udbydere af kontooplysningstjenester og virksomheder med begrænset tilladelse til at udstede elektroniske penge eller udbyde betalingstjenester, skal have interne forvaltnings- og kontrolrammer til at sikre en effektiv og forsigtig styring af risiciene.
Det foreslås at indsætte et nyt § 126, stk. 2, hvoraf det fremgår, at stk. 1, nr. 1 og 2, ikke berører anvendelsen af kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Bestemmelsen vil gennemføre artikel 7, stk. nr. 4, i Europa-Parlamentets og rådets direktiv (EU) 2022/2556 af 14. december 2022, som er et følgedirektiv til DORA, hvoraf det fremgår, at artikel 95, stk. 1, ikke berører anvendelsen af kapitel II i DORA-forordningen for så vidt betalingsinstitutter, e-pengeinstitutter, udbydere af kontooplysningstjenester og virksomheder med begrænset tilladelse til at udstede elektroniske penge eller udbyde betalingstjenester.
Til nr. 12 (§ 126, stk. 5, i lov om betalinger)
Det følger af § 126, stk. 5, at Finanstilsynet kan fastsætte nærmere regler om de procedurer og kontrolmekanismer, en udbyder af betalingstjenester skal have, jf. stk. 1, nr. 1 og 2, og stk. 2.
Det foreslås i § 126, stk. 5, der bliver stk. 6, at ændre »stk. 2« til: »stk. 3«.
Den foreslåede ændring er en konsekvensrettelse på baggrund af lovforslagets § 2, nr. 11.
Til nr. 13 og 14 (§ 127, stk. 1, 2 og 4, i lov om betalinger)
Det fremgår af § 127, stk. 1, i lov om betalinger, at en udbyder af betalingstjenester snarest muligt skal underrette Finanstilsynet om større drifts- og sikkerhedshændelser. Finanstilsynet skal uden unødig forsinkelse vurdere underretningen og videregive oplysninger, der er relevante, til ECB, EBA og relevante tilsynsmyndigheder i de lande, der er berørt af hændelsen. Videre fremgår det af stk. 2, at i den situation, hvor hændelsen har eller kan få indvirkning på brugerne af betalingstjenestens økonomiske interesser, skal udbyderen snarest muligt orientere brugerne om denne og om de tilgængelige foranstaltninger, som de kan træffe for at begrænse hændelsens negative følger.
Det fremgår af § 127, stk. 4, at Finanstilsynet fastsætter nærmere regler om den tekniske gennemførelse af indberetningspligten i henhold til bl.a. stk. 1 og 2.
Bestemmelsen gennemfører artikel 96, stk. 1, og artikel 96, stk. 2, 1. afsnit, i 2. betalingstjenestedirektiv, der omhandler indberetning af hændelser.
Det foreslås, at § 127, stk. 1 og 2, ophæves.
Det foreslås i § 127, stk. 4, der bliver stk. 2, at ændre »stk. 1-3« til: »stk. 1«.
Det foreslåede vil medføre, at Finanstilsynet ikke længere vil kunne fastsætte nærmere regler om indberetningspligten i henhold til stk. 1 og 2, men derimod kun i henhold til stk. 3, der bliver til stk. 1. Ændringen bevirker, at Finanstilsynet herefter kun kan fastsætte nærmere regler om, hvordan udbydere en gang årligt skal indrapportere statistik om drift og misbrug af de betalingstjenester, som denne udbyder, til Finanstilsynet
Bestemmelsen vil gennemføre artikel 7, nr. 5, i Europa-Parlamentets og rådets direktiv (EU) 2022/2556 af 14. december 2022, som er et følgedirektiv til DORA, hvorefter bl.a. artikel 96, stk. 1, og artikel 96, stk. 2, 1. afsnit, i 2. betalingstjenestedirektivet ikke længere skal finde anvendelse på betalingsinstitutter, e-pengeinstitutter, udbydere af kontooplysningstjenester og virksomheder med begrænset tilladelse til at udstede elektroniske penge eller udbyde betalingstjenester.
DORA-forordningen, der bl.a. finder anvendelse på betalingsinstitutter, e-pengeinstitutter, udbydere af kontooplysningstjenester og virksomheder med begrænset tilladelse til at udstede elektroniske penge eller udbyde betalingstjenester, jf. artikel 2, stk. 1, litra b, c og d, indeholder i artikel 19, stk. 1, krav om indberetning af større it-relaterede hændelser til de kompetente myndigheder, dvs. Finanstilsynet. Når Finanstilsynet modtager en underretning om en større it-hændelse, skal Finanstilsynet rettidigt forelægge nærmere oplysninger om hændelsen for andre myndigheder, for hvem hændelsen er relevant, jf. artikel 19, stk. 6, i DORA-forordningen. Artikel 19, stk. 6, nævner de myndigheder, som Finanstilsynet kan forelægge en hændelse for, herunder CSIRT, dvs. Center for Cybersikkerhed.
Til nr. 15 (§ 130, stk. 1, 2. pkt., i lov om betalinger)
Det gældende § 130, stk. 1, 1. og 2. pkt., i lov om betalinger fastlægger Finanstilsynets generelle beføjelse til at påse overholdelsen af loven, regler udstedt i medfør heraf samt overholdelsen af nærmere angivne forordninger.
Efter artikel 46, litra b, i DORA-forordningen skal den kompetente myndighed, der er udpeget i medfør af 2. betalingstjenestedirektiv, sikre overholdelsen af DORA-forordningen for betalingsinstitutter, e-pengeinstitutter, udbydere af kontooplysningstjenester og virksomheder med begrænset tilladelse til at udstede elektroniske penge eller udbyde betalingstjenester.
Det foreslås, at der i § 130, stk. 1, 2. pkt., indsættes en henvisning til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.
Forordningen finder bl.a. anvendelse på betalingsinstitutter, e-pengeinstitutter, udbydere af kontooplysningstjenester og virksomheder med begrænset tilladelse til at udstede elektroniske penge eller udbyde betalingstjenester, jf. artikel 2, stk. 1, litra b, c og d. Formålet med den foreslåede bestemmelse er, at Finanstilsynet vil bliveudpeget som kompetent myndighed efter forordningen til at føre tilsyn med overholdelsen af forordningen.
Med den foreslåede ændring vil Finanstilsynet desuden kunne påse overholdelsen af de forordninger, som Kommissionen har hjemmel til at udstede i medfør af DORA-forordningen.
Den foreslåede ændring vil medføre, at Finanstilsynet bl.a. vil kunne udstede påbud og påtaler for overtrædelser af DORA-forordningen.
Den foreslåede ændring vil supplere artikel 46, litra b, i DORA-forordningen.
Til nr. 16 (§ 130, stk. 1, 3. pkt., i lov om betalinger)
Det gældende § 130, stk. 1, i lov om betalinger fastlægger Finanstilsynets generelle beføjelse til at påse overholdelsen af loven, regler udstedt i medfør heraf samt overholdelsen af nærmere angivne forordninger.
Det foreslås at der i § 130, stk. 1, indsættes et 3.pkt., hvorefter Finanstilsynet påser udstedere af e-pengetokens overholdelse af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf.
Den foreslåede bestemmelse vil indebære, at Finanstilsynet vil få beføjelse til at påse overholdelsen af MiCA, herunder give påbud og påtaler og evt. politianmelde for overtrædelse heraf.
Med den foreslåede bestemmelse vil Finanstilsynet blive udpeget i henhold til artikel 93, stk. 1, i MiCA, som den kompetente myndighed, der er ansvarlig for at udføre de i MiCA fastsatte funktioner og opgaver, herunder til at påse udstedere af e-pengetokens overholdelse af MiCA.
Kommissionen er i medfør af MiCA bemyndiget til at udstede reguleringsmæssige tekniske standarder, som Finanstilsynet i medfør af den foreslåede bestemmelse også vil skulle føre tilsyn med.
Tilsyn efter MiCA vil først blive ført fra tidspunktet for forordningernes ikrafttrædelse.
Til nr. 17 (§ 135, stk. 1, nr. 7, i lov om betalinger)
Det gældende § 135, stk. 1, nr. 7, i lov om betalinger fastsætter, at Finanstilsynet kan inddrage en virksomheds tilladelse som e-pengeinstitut eller betalingsinstitut eller en begrænset tilladelse til udstedelse af elektroniske penge eller udbud af betalingstjenester, hvis virksomheden gør sig skyldig i grove eller gentagne overtrædelser af hvidvaskloven.
Det foreslås i § 135, stk. 1, nr. 7, efter »af hvidvaskloven« at indsætte »eller Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.«
Det foreslåede vil medføre, at Finanstilsynet kan inddrage en virksomheds tilladelse som e-pengeinstitut, hvis virksomheden gør sig skyldig i grove eller gentagne overtrædelser af MiCA.
Der forudsættes en høj grad af væsentlighed, hvis inddragelse af tilladelse skal finde sted med henvisning hertil. Vurderingen skal foretages på baggrund af overtrædelsens grovhed og de risici, det medfører for forbrugere, samfundet og den finansielle stabilitet. Der må tages hensyn til overtrædelsens karakter, omfang, tidsmæssige aspekt osv. En afgørelse om inddragelse af en virksomheds tilladelse er af indgribende karakter for virksomheden. Medmindre forholdet er af meget væsentlig karakter, eller inddragelsen sker efter anmodning fra virksomheden, forudsættes det derfor, at inddragelse af tilladelse typisk kun bliver aktuel, efter der har været givet frist til berigtigelse af forholdet, og at berigtigelse ikke er sket.
Til nr. 18 (§ 136, stk. 6, nr. 27, i lov om betalinger)
Det fremgår af § 136, stk. 1, i lov om betalinger, at Finanstilsynets ansatte under ansvar efter straffelovens §§ 152-152 e bl.a. er forpligtet til at hemmeligholde fortrolige oplysninger, som de får kendskab til gennem tilsynsvirksomheden.
§ 136, stk. 6, fastsætter til hvem og i hvilke tilfælde, Finanstilsynet kan videregive fortrolige oplysninger.
I medfør af § 136, stk. 1, har Finanstilsynet ikke mulighed for at videregive oplysninger til Center for Cybersikkerhed, Den Fælles Afviklingsinstans (SRB) eller Den Europæiske Unions Agentur for Cybersikkerhed (ENISA).
Det foreslås at indsætte § 136, stk. 6, nr. 27, hvorefter Finanstilsynet kan videregive oplysninger til myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor under forudsætning af, at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.
Med den foreslåede bestemmelse, vil det bl.a. blive muligt for Finanstilsynet at videregive fortrolige oplysninger til Center for Cybersikkerhed, SRB og ENISA.
Når Finanstilsynet modtager en indberetning om en større it-relateret hændelse fra et betalingsinstitut, et e-pengeinstitut, en udbyder af kontooplysningstjenester eller en virksomhed med begrænset tilladelse til enten at udstede elektroniske penge eller udbyde betalingstjenester, jf. artikel 19, stk. 1, 1. pkt., i DORA-forordningen, skal Finanstilsynet alt efter hvad der er relevant, rettidigt forelægge nærmere oplysninger om hændelsen til nationale og EU-retlige myndigheder og organer, jf. artikel 19, stk. 6, i DORA-forordningen.
Artikel 19, stk. 6, nævner bl.a. de centrale kontaktpunkter eller CSIRT’er, der er udpeget eller oprettet i overensstemmelse med NIS 2-direktivet, dvs. Center for Cybersikkerhed. Bestemmelsen nævner også SRB for så vidt angår de enheder eller koncerner, der er omhandlet i henholdsvis artikel 7, stk. 2, artikel 7, stk. 4, litra b, og artikel 7, stk. 5, i Europa-Parlamentets og Rådets forordning (EU) nr. 806/2014 af 15. juli 2014 om ensartede regler og en ensartet procedure for afvikling af kreditinstitutter og visse investeringsselskaber inden for rammerne af en fælles afviklingsmekanisme og en fælles afviklingsfond, dvs. bl.a. pengeinstitutter, der er underlagt tilsyn af Den Europæiske Centralbank, hvis sådanne oplysninger vedrører hændelser, der udgør en risiko for sikringen af kritiske funktioner, jf. artikel 2, stk. 1, nr. 35, i direktiv 2014/59/EU Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 om et regelsæt for genopretning og afvikling af kreditinstitutter og investeringsselskaber (BRRD).
En underretning om større it-relaterede hændelser til SRB kan eksempelvis blive relevant, hvor en hændelse kan få systemiske konsekvenser og dermed også konsekvenser for virksomheder, der er omfatter af Den Fælles Afviklingsmekanisme.
For så vidt angår videregivelse af fortrolige oplysninger til ENISA kan dette bl.a. blive relevant i de tilfælde, hvor hændelsesindberetninger til Finanstilsynet videreformidles i forbindelse med det samarbejde, der bliver iværksat på tværs af de nationale og europæiske finansielle tilsynsmyndigheder og afviklingsmyndigheder, SRB og ENISA i henhold til artikel 49 i DORA-forordningen. Samarbejdet i henhold til artikel 49 går ud på udveksling af effektive fremgangsmåder på tværs af den finansielle sektor for at forbedre situationskendskabet og identificere fælles cybersårbarheder og risici på tværs af sektorer.
Det fremgår af artikel 56 i DORA-forordningen, at de kompetente myndigheder kun må behandle personoplysninger, hvis det er nødvendigt for, at de kan opfylde deres respektive forpligtigelser og udføre deres opgaver i henhold til DORA-forordningen. Det fremgår også af artikel 56 i DORA-forordningen, at personoplysninger skal behandles i overensstemmelse med forordning (EU) 2016/679 eller (EU) 2018/1725, alt efter hvilken forordning, der finder anvendelse.
Det foreslåede vil medføre, at Finanstilsynet som kompetent myndighed kun må behandle personoplysninger i relation til det foreslåede, hvis det er nødvendigt for at kunne opfylde sine forpligtigelser og udføre sine opgaver i henhold til DORA-forordningen. Finanstilsynet skal behandle alle personoplysninger i overensstemmelse med forordning (EU) 2016/679.
Artikel 56 indeholder en hjemmel til at behandle personoplysninger, når nødvendighedskravet er opfyldt i forhold til at opfylde forpligtigelser og udføre opgaver i henhold til DORA-formodningen og stiller krav om, at Finanstilsynet skal behandle alle personoplysninger i overensstemmelse med forordning (EU) 2016/679.
Det foreslåede vil medføre, at Finanstilsynet ved videregivelse af fortrolige oplysninger til myndigheder, der varetager opgaver i henhold til DORA-forordningen, og som indeholder personoplysninger, kun må foretage denne behandling af personoplysninger, hvis den er nødvendig for at kunne opfylde forpligtigelser og udføre opgaver i henhold til DORA-forordningen. Derudover skal videregivelsen af personoplysninger ske i overensstemmelse med forordning (EU) 2016/679.
Til nr. 19 (§ 138, stk. 1, 8. pkt., i lov om betalinger)
Det følger af § 138, stk. 1, 8. pkt., at reaktioner givet af Finanstilsynets bestyrelse i henhold til lovens § 130, stk. 2, jf. § 345, stk. 12, nr. 6, i lov om finansiel virksomhed, dvs. beslutninger om at overgive sager af principiel karakter, og sager der har videregående betydelige følger til politimæssig efterforskning, og Finanstilsynets beslutninger om at overgive sager efter denne lov eller regler udstedt i medfør af loven eller efter forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, artikel 3-4 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro til politimæssig efterforskning skal offentliggøres på Finanstilsynets hjemmeside med angivelse af virksomhedens navn, jf. dog stk. 3.
Det foreslås i § 138, stk. 1, 8. pkt., at indsætte en henvisning til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor (DORA-forordningen) og forordninger udstedt i medfør heraf.
Den foreslåede ændring vil medføre, at Finanstilsynet også skal offentliggøre beslutninger truffet af bestyrelsen eller af Finanstilsynet efter delegation fra bestyrelsen om at overgive sager om overtrædelse af bestemmelser i DORA-forordningen, som er strafbelagte til politimæssig efterforskning. Der henvises i det hele til bemærkningerne til § 138 tidligere § 137, jf. Folketingstidende 2016-2017, tillæg A, L 157 som fremsat, side 298-303.
Der henvises i øvrigt til § 2, nr. 25, i lovforslaget, der nævner de bestemmelser i forordningen, der er strafbelagte.
Til nr. 20 og 21 (§ 138, stk. 1, 9. og 10. pkt., i lov om betalinger)
§ 138, stk. 1, 1. pkt., i lov om betalinger fastsætter regler om offentliggørelse af reaktioner, som Finanstilsynets bestyrelse har truffet beslutning om, eller som Finanstilsynet har givet efter delegation fra Finanstilsynets bestyrelse. Bestemmelsen regulerer ikke det tilfælde, hvor det alene er Finanstilsynet, der har truffet en afgørelse om at give en reaktion til en virksomhed omfattet af loven.
I medfør af § 138, stk. 1, 2. pkt., skal en virksomhed, der har modtaget en reaktion, offentliggøre oplysningerne herom på sin eventuelle hjemmeside på et sted, hvor de naturligt hører hjemme. Finanstilsynet skal også offentliggøre reaktionen på Finanstilsynets hjemmeside i medfør af § 138, stk. 1, 7. pkt.
Videre fremgår det af § 138, stk. 1, 9. pkt., at indbringes en reaktion, der offentliggøres i henhold til 1. pkt., for Erhvervsankenævnet eller domstolene, skal dette fremgå af Finanstilsynets offentliggørelse, og det efterfølgende resultat af Erhvervsankenævnets eller domstolenes afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt.
Det foreslås i § 138, stk. 1, at indsætte et 9. pkt., hvoraf fremgår, at reaktioner givet i henhold til DORA-forordningen skal offentliggøres på Finanstilsynets hjemmeside.
Med den foreslåede ændring vil Finanstilsynet skulle offentliggøre reaktioner, der er givet af Finanstilsynet til en virksomhed for en overtrædelse af DORA-forordningen. Ved reaktioner forstås f.eks. påbud eller påtaler. Reaktionen vil skulle offentliggøres på Finanstilsynets hjemmeside. Derimod er virksomheden ikke selv forpligtet til at offentliggøre reaktionen. Virksomheden vil kun være forpligtet til at offentliggøre reaktionen, hvis bestyrelsen har truffet beslutning herom i henhold til DORA-forordningen, jf. § 138, stk. 1, 2. pkt.
Desuden foreslås det i § 138, stk. 1., 9. pkt., der bliver 10. pkt., at indsætte en henvisning til 9. pkt.
Det foreslåede vil medføre, at Finanstilsynets offentliggørelse, at en reaktion, der offentliggøres i henhold til enten stk. 1, 1. pkt., eller 9. pkt., og som indbringes for Erhvervsankenævnet eller domstolene, og det efterfølgende resultat af Erhvervsankenævnets eller domstolenes afgørelse, ligeledes skal offentliggøres på Finanstilsynets hjemmeside hurtigst muligt.
Den foreslåede ændring vil gennemføre artikel 54, stk. 1, i DORA-forordningen, hvormed de kompetente myndigheder uden unødigt ophold på deres officielle websteder skal offentliggøre enhver afgørelse om pålæggelse af en administrativ sanktion, som ikke kan påklages, efter at modtageren af sanktionen er blevet underrettet om afgørelsen. En administrativ sanktion kan bl.a. kan være et påbud eller en påtale.
Det fremgår dog videre af artikel 54, stk. 5, i DORA-forordningen, at hvis den kompetente myndighed offentliggør en afgørelse om at pålægge en administrativ sanktion, der kan indbringes for de relevante judicielle myndigheder, lægger de kompetente myndigheder straks denne oplysning på deres officielle websted sammen med eventuelle efterfølgende oplysninger om resultatet af denne indbringelse på et senere tidspunkt. En judiciel afgørelse, som annullerer en afgørelse om at pålægge en administrativ sanktion, skal også offentliggøres.
For nærmere om § 138 og offentliggørelse henvises der i det hele til de specielle bemærkningerne til § 138 tidligere § 137, jf. Folketingstidende 2016-2017, tillæg A, L 157 som fremsat, side 298-303.
Til nr. 22 (§ 142, stk. 1, i lov om betalinger)
Det følger af § 142, stk. 1, at som part i forhold til Finanstilsynet anses virksomheder eller personer, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af denne lov eller regler udstedt i medfør af denne lov, jf. dog stk. 2.
Det foreslås i § 142, stk. 1, at indsætte en henvisning til forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, artikel 3-4 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og om ophævelse af forordning (EF) nr. 2560/2001, Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro og Europa-Parlamentets, Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og forordninger udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning nr. 2023/1114 (EU) om markeder for kryptoaktiver og regler udstedt i medfør heraf.«.
Det foreslåede vil medføre, at virksomheder eller personer, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af forordninger udstedt i medfør af 2. betalingstjenestedirektiv, artikel 3-4 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og om ophævelse af forordning (EF) nr. 2560/2001, Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro, DORA-forordningen eller forordninger udstedt i medfør heraf samt MiCA og regler udstedt i medfør heraf, også vil være at anse som parter i afgørelsessager.
Til nr. 23 (§ 143 i lov om betalinger)
Den gældende § 143 i lov om betalinger, indeholder en klageadgang til Erhvervsankenævnet for den, som en afgørelse truffet af Finanstilsynet retter sig mod. Bestemmelsen nævner bl.a. afgørelser truffet af Finanstilsynet i henhold til lov om betalinger og en række EU-retsakter på det finansielle område.
Det foreslås i § 143 at indsætte efter »udstedt i medfør heraf«: »Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.«
Det foreslåede vil medføre, at afgørelser truffet af Finanstilsynet i medfør af DORA-forordningen og MiCA kan indbringes for Erhvervsankenævnet senest 4 uger efter, at afgørelsen er meddelt den pågældende, som afgørelsen retter sig til.
Til nr. 24 (§ 152, stk. 1, i lov om betalinger)
Den gældende § 152, stk. 1, i lov om betalinger bestemmer, at en række overtrædelser af lov om betalinger kan straffes med bøde eller fængsel indtil 4 måneder, medmindre højere straf er forskyldt efter den øvrige lovgivning.
Det foreslås i § 152, stk. 1, efter »og § 60, stk. 1« at indsætte: » i denne lov og artikel 48, stk. 1, artikel 49, stk. 4, artikel 50, stk. 1 og 2, artikel 54, artikel 59, stk. 1, artikel 60, stk. 4, artikel 67, stk. 4, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«.
Det foreslåede vil medføre, at overtrædelse af de nævnte artikler i MiCA kan straffes med bøde eller fængsel indtil 4 måneder, medmindre højere straf er forskyldt efter den øvrige lovgivning.
Artikel 48, stk. 1, i MiCA fastsætter krav til personer, der udbyder e-pengetokens til offentligheden eller anmoder om optagelse af e-pengetokens til handel. Ansvarssubjektet for overtrædelse af bestemmelsen er et e-pengeinstitut, der udbyder e-pengetokens til offentligheden eller anmoder om optagelse af e-pengetokens til handel i EU. Ansvarssubjektet kan endvidere være andre personer, der efter skriftligt samtykke fra e-pengeinstituttet udbyder eller anmoder om optagelse til handel af e-pengetokens, Den strafbare handling består eksempelvis i, at et e-pengeinstitutudbyder e-pengetokens til offentligheden eller anmoder om optagelse af e-pengetokens til handel i EU, uden at e-pengeinstituttet er udstederen af disse e-pengetokens.
Artikel 49, stk. 4, i MiCA omhandler kravene til at genindløse e-pengetokens til kurs pari. Ansvarssubjektet for overtrædelse af bestemmelsen er et e-pengeinstitut, der udsteder e-pengetokens. Den strafbare handling består eksempelvis i, at et e-pengeinstitut, der udsteder e-pengetokens, opkræver et gebyr eller anden betaling for at indløse indehaveres e-pengetokens.
Artikel 50, stk. 1 og 2, i MiCA omhandler forbud mod rentetilskrivning. Ansvarssubjekterne for overtrædelse af bestemmelserne er et e-pengeinstitut, der udsteder e-pengetokens, og udbydere af kryptoaktivtjenester. Den strafbare handling består eksempelvis i, at et e-pengeinstitut, der udsteder e-pengetokens, overfører e-pengetokens eller andre kryptoaktiver til holdere af udstederens e-pengetokens som vederlag for den tid, i hvilken en indehaver af e-pengetokens besidder sådanne. Den strafbare handling kan endvidere bestå i, at udbydere af kryptoaktivtjenester, som leverer deponering og administration af kryptoaktiver på vegne af kunder, tilbyder disse kunder renter eller andet vederlag.
Artikel 54 i MiCA fastsætter krav vedrørende investering af pengemidler modtaget som betaling for e-pengetokens. Ansvarssubjektet for overtrædelse af bestemmelsen er et e-pengeinstitut, der udsteder e-pengetokens. Den strafbare handling består eksempelvis i, at et e-pengeinstitut, der udsteder e-pengetokens, investerer alle de modtagne midler i sikre aktiver med lav risiko og dermed undlader at indsætte mindst 30% af de modtagne pengemidler på en særskilt konto i et pengeinstitut.
Artikel 59, stk. 1, i MiCA omhandler tilladelseskrav til at udbyde kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af bestemmelsen er enhver fysisk eller juridisk person, der udbyder kryptoaktivtjenester, uden den nødvendige tilladelse. Den strafbare handling består i at udbyde kryptoaktivtjenester uden enten at være meddelt tilladelse efter artikel 63 eller uden at have tilladelse til at levere kryptoaktivtjenester efter artikel 60 i MiCA.
Artikel 60, stk. 4, i MiCA fastsætter krav om underretning af Finanstilsynet førend e-pengeinstitutter kan udbyde deponering og administration af kryptoaktiver på kunders vegne og overførsler af kryptoaktiver på kunders vegne, med hensyn til de e-pengetokens, de udsteder. Ansvarssubjektet for overtrædelsen af bestemmelserne er e-pengeinstitutter. Den strafbare handling består eksempelvis i, at et e-pengeinstitut påbegynder levering af de benævnte kryptoaktivtjenester uden at have underrettet Finanstilsynet med de oplysninger, der er anført i artikel 60, stk. 7, i MiCA, mindst 40 arbejdsdage inden e-pengeinstituttet leverer disse tjenester første gang.
Artikel 70, stk. 1-4, i MiCA omhandler krav vedrørende opbevaring af kundernes kryptoaktiver og midler. Ansvarssubjektet for overtrædelse af bestemmelserne er udbydere af kryptoaktivtjenester. Den strafbare handling består eksempelvis i, at udbydere af kryptoaktivtjenester, der opbevarer kryptoaktiver på vegne af deres kunder, ikke træffer passende foranstaltninger til at forhindre, at kundernes kryptoaktiver anvendes til handel for deres egen regning.
Artikel 72, stk. 1, i MiCA fastsætter krav om effektive politikker og procedurer til identificering, forebyggelse, håndtering og oplysning om interessekonflikter. Ansvarssubjektet for overtrædelse af bestemmelsen er udbydere af kryptoaktivtjenester. Den strafbare handling består eksempelvis i, at udbydere af kryptoaktivtjenester ikke opretholder og anvender effektive politikker til at identificere mellem dem selv og personerne opregnet i artikel 72, stk. 1, litra a-e.
Artikel 75, stk. 1, 2 og 7, i MiCA indebærer specifikke krav til udbydere af kryptoaktivtjenester, som leverer deponering og administration af kryptoaktiver på vegne af kunder. Ansvarssubjektet for overtrædelse af bestemmelserne er udbydere af kryptoaktivtjenester, som udbyder levering af deponering og administration af kryptoaktiver på vegne af kunder. Den strafbare handling består eksempelvis i, at udbydere, der leverer deponering og administration af kryptoaktiver på vegne af kunder, ikke holder deres kunders kryptoaktiver adskilt fra udbydernes egne kryptoaktiver.
Den foreslåede ændring vil supplere artikel 111, stk. 1, 2. afsnit, i MiCA.
Ændringen foreslås som følge af, at MiCA finder anvendelse fra den 30. december 2024, hvorefter udstedere af e-pengetokens og udbydere af kryptoaktivtjenester skal efterleve en række krav i forordningen.
Til nr. 25 (§ 152, stk. 2, i lov om betalinger)
Det gældende § 152, stk. 2, i lov om betalinger fastsætter, hvilke overtrædelser af lov om betalinger, der kan straffes med bøde, medmindre højere straf er forskyldt efter den øvrige lovgivning.
Det foreslås i § 152, stk. 2, efter: »(SEPA-forordningen)« at indsætte: », artikel 46, stk. 1 og 2, artikel 47, stk. 1-3, artikel 48, stk. 6 og 7, artikel 49, stk. 5, artikel 51, stk. 1-9, 11-13 og stk. 14, 1. pkt., artikel 53, stk. 1-3, 5 og 6, artikel 55, artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9 og artikel 82, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.«.
Det foreslåede vil medføre, at overtrædelse af de oplistede artikler i MiCA og DORA-forordningen straffes med bøde, medmindre højere straf er forskyldt efter den øvrige lovgivning.
I det følgende redegøres for de nævnte artikler i MiCA.
Artikel 46, stk. 1 og 2, i MiCA omhandler krav til udstedere af aktivbaserede tokens om at udarbejde og opretholde en genopretningsplan, samt underrette Finanstilsynet om genopretningsplanen. Det fremgår i artikel 55 i MiCA, at tilsvarende krav finder anvendelse på udstedere af e-pengetokens. Ansvarssubjektet for overtrædelse af bestemmelserne er et e-pengeinstitut, der udsteder e-pengetokens. Den strafbare handling består eksempelvis i, at udstederens genopretningsplan ikke indeholder passende betingelser og procedurer for at sikre rettidig gennemførelse af genopretningsforanstaltninger.
Artikel 47, stk. 1-3, i MiCA omhandler udstedere af aktivbaserede tokens forpligtigelse til at udarbejde og opretholde en operationel plan til støtte for en velordnet genindløsning af hver aktivbaseret token. Det fremgår af artikel 55 i MiCA, at tilsvarende krav finder anvendelse på udstedere af e-pengetokens. Ansvarssubjektet for overtrædelse af bestemmelserne er et e-pengeinstitut, der udsteder e-pengetokens. Den strafbare handling består eksempelvis i, at udstederens genindløsningsplan ikke sikrer kontinuitet i kritiske aktiviteter, der udføres af udstederen eller af eventuelle tredjepartsenheder, og som er nødvendige for en velordnet genindløsning.
Artikel 48, stk. 6 og 7, i MiCA omhandler pligten til at underrette Finanstilsynet, inden e-pengeinstitut udbyder e-pengetokens til offentligheden eller anmoder om at få optaget e-pengetokens til handel. Ansvarssubjektet for overtrædelse af bestemmelserne er et e-pengeinstitut, der udsteder e-pengetokens. Den strafbare handling består eksempelvis i, at et e-pengeinstitut, der udsteder e-pengetokens, ikke underretter Finanstilsynet senest 40 arbejdsdage før den dato, hvor det har til hensigt at udbyde disse e-pengetokens til offentligheden eller anmode om e-pengenes optagelse til handel.
Artikel 49, stk. 5, i MiCA omhandler oplysningspligten vedrørende betingelserne for genindløsningen. I denne lov skal ”genindløsning” forstås i overensstemmelse med § 96 i lov om betalinger. Ansvarssubjektet for overtrædelse af bestemmelsen er et e-pengeinstitut, der udsteder e-pengetokens. Den strafbare handling består i, at et e-pengeinstitut, der udsteder e-pengetokens, ikke oplyser om betingelserne for genindløsning på en fremtrædende plads i hvidbogen om kryptoaktiver.
Artikel 51, stk. 1-9, 11-13 og stk. 14, 1. pkt., i MiCA omhandler kravene til indhold og form af hvidbogen om kryptoaktiver vedrørende e-pengetokens. Ansvarssubjektet for overtrædelse af bestemmelserne er et e-pengeinstitut, der udsteder e-pengetokens. Den strafbare handling består eksempelvis i, at hvidbogen ikke indeholder alle oplysninger, som fremgår af artikel 51, stk. 1, i MiCA eller at oplysningerne i hvidbogen er vildledende.
Artikel 53, stk. 1-3, 5 og 6, i MiCA omhandler markedsføringskommunikation, der vedrører et udbud til offentligheden af e-pengetokens eller optagelse af sådanne e-pengetokens til handel. Ansvarssubjektet for overtrædelse af bestemmelserne er et e-pengeinstitut, der udsteder e-pengetokens. Den strafbare handling består eksempelvis i, at markedsføringskommunikationen ikke indeholder en klar og utvetydig erklæring om, at indehavere af e-pengetokens har ret til, når som helst, at genindløse disse e-pengetokens over for udstederen til pariværdi.
Artikel 55 i MiCA fastsætter at udstedere af e-pengetokens er omfattet af kravene i artikel 46 og 47 i MiCA. Derudover fastsætter bestemmelsen datoen, hvorpå genopretningsplanen senest skal meddeles Finanstilsynet. Ansvarssubjektet for overtrædelse af bestemmelsen er et e-pengeinstitut, der udsteder e-pengetokens. Den strafbare handling består eksempelvis i, at et e-pengeinstitut, der udsteder e-pengetokens, ikke har udarbejdet eller opretholdt en genopretningsplan, som er i overensstemmelse med kravene i artikel 46 og 47.
Artikel 65, stk. 4, i MiCA omhandler oplysningskrav ved grænseoverskridende levering af kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af bestemmelsen er e-pengeinstitutter, som udbyder kryptoaktivtjenester efter artikel 60, stk. 4, i MiCA. Den strafbare handling består i, at e-pengeinstitut påbegynder leveringen af kryptoaktivtjenester i en anden medlemsstat end Danmark inden 15 kalenderdage efter at have indgivet oplysninger, efter artikel 65, stk. 1, eller inden at have modtaget meddelelse fra Finanstilsynet den efter artikel 65, stk. 2.
Artikel 66, stk. 1-5, i MiCA omhandler udbydere af kryptoaktivtjenesters forpligtelse til at handle ærligt, redeligt og professionelt i kundernes bedste interesse. Ansvarssubjektet for overtrædelse af bestemmelsen er e-pengeinstitutter, som udbyder kryptoaktivtjenester efter artikel 60, stk. 4, i MiCA. Den strafbare handling består eksempelvis i, at e-pengeinstitutter giver deres kunder vildledende oplysninger.
Artikel 68, stk. 4-9, i MiCA omhandler kravene til ledelsesordninger og indretningen af udbydere af kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af artikel 68, stk. 4, 5 og stk. 7-9, er e-pengeinstitutter. Ansvarssubjektet for overtrædelse af artikel 68, stk. 6, er ledelsesorganet hos e-pengeinstitutter. Den strafbare handling består eksempelvis i, at e-pengeinstitutter ikke har vedtaget procedurer, som er tilstrækkelige til at sikre overholdelsen af MiCA. Den strafbare handling kan endvidere bestå i, at ledelsesorganer hos et e-pengeinstitut ikke regelmæssigt vurderer og evaluerer effektiviteten af den politik og de ordninger og procedurer, der er indført for at opfylde forpligtelserne i artikel 66-83 i MiCA, herunder ikke træffer passende foranstaltninger til at afhjælpe eventuelle mangler.
Artikel 69 i MiCA omhandler krav til at meddele Finanstilsynet eventuelle ændringer i ledelsesorganet hos en udbyder af kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af bestemmelsen er e-pengeinstitutter, som udbyder kryptoaktivtjenester efter artikel 60, stk. 4, i MiCA. Den strafbare handling består eksempelvis i, at e-pengeinstitutter ikke giver Finanstilsynet alle oplysninger, som er nødvendige for Finanstilsynets vurdering af overholdelsen af artikel 68 i MiCA, inden nye medlemmer af ledelsesorganet tiltræder deres stilling.
Artikel 71, stk. 1-4, i MiCA fastsætter krav til udbydere af kryptoaktivtjenesters klagebehandlingsprocedurer. Ansvarssubjektet for overtrædelse af bestemmelsen er e-pengeinstitutter, som udbyder kryptoaktivtjenester efter artikel 60, stk. 4, i MiCA. Den strafbare handling består eksempelvis i, at et e-pengeinstitut kræver betaling af gebyr eller anden afgift i forbindelse med behandling af klager fra deres kunder.
Artikel 72, stk. 2-4, i MiCA fastsætter krav om effektive politikker og procedurer til identificering, forebyggelse, håndtering og oplysning om interessekonflikter. Ansvarssubjektet for overtrædelse af bestemmelsen er e-pengeinstitutter, som udbyder kryptoaktivtjenester efter artikel 60, stk. 4, i MiCA. Den strafbare handling består eksempelvis i, at et e-pengeinstitut ikke oplyser sine kunder og potentielle kunder om de skridt, e-pengeinstituttet har taget for at begrænse interessekonflikter.
Artikel 73, stk. 2 og 3, i MiCA regulerer udbydere af kryptoaktivtjenesters outsourcing af tjenester eller aktiviteter til tredjeparter. Ansvarssubjektet for overtrædelse af bestemmelsen er e-pengeinstitutter, som udbyder kryptoaktivtjenester efter artikel 60, stk. 4, i MiCA. Den strafbare handling består eksempelvis i, at et e-pengeinstitut ikke træffer alle rimelige foranstaltninger for at undgå yderligere operationel risiko, eller at et e-pengeinstitut ikke sikrer at betingelserne i artikel 73, stk. 1, litra a-g, til enhver tid er opfyldt.
Artikel 74 i MiCA omhandler velordnet afvikling af udbydere af kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af bestemmelsen er e-pengeinstitutter, som leverer deponering og administration af kryptoaktiver på vegne af kunder. Den strafbare handling består eksempelvis i, at den i artikel 74, nævnte plan for velordnet afvikling ikke godtgør, at e-pengeinstituttet har evnen til at gennemføre en velordnet afvikling uden at påføre sine kunder unødig økonomisk skade.
Artikel 75, stk. 3-6 og 9, i MiCA fastsætter forpligtelser for udbydere af kryptoaktivtjenester, som leverer deponering og administration af kryptoaktiver på vegne af kunder. Ansvarssubjektet for overtrædelse af bestemmelserne er e-pengeinstitutter, som udbyder levering af deponering og administration af kryptoaktiver på vegne af kunder. Den strafbare handling består eksempelvis i, at e-pengeinstituttets politik for deponering, som anført i artikel 75, stk. 3, ikke minimerer risikoen for tab af kunders kryptoaktiver som følge af svig, cybertrusler eller forsømmelighed.
Artikel 82, stk. 1, i MiCA fastsætter krav til indholdet af den aftale udbydere af kryptoaktivtjenester, der udbyder overførselstjenester på vegne af kunder, skal indgå med deres kunder. Ansvarssubjektet for overtrædelse af bestemmelserne er e-pengeinstitutter, der udbyder overførselstjenester på vegne af kunder. Den strafbare handling består eksempelvis i, at e-pengeinstitutter ikke indgår en aftale med deres kunder, der indeholder de punkter, som er oplistet i artikel 82, stk. 1, litra a-e.
Den foreslåede ændring vil for så vidt angår henvisninger til MiCA supplere artikel 111, stk. 1, 2. afsnit, i MiCA.
I det følgende redegøres for de nævnte artikler i DORA-forordningen.
Med den foreslåede bestemmelse strafbelægges en række overtrædelser af DORA-forordningen i overensstemmelse med forordningens artikel 52, hvorefter medlemsstaterne kan beslutte ikke at fastsætte bestemmelser om administrative sanktioner eller afhjælpende foranstaltninger for overtrædelser, der er omfattet af strafferetlige sanktioner i henhold til national ret.
Nedenfor anføres en uddybende beskrivelse af indholdet af de enkelte artikler i DORA-forordningen, der strafbelægges med den foreslåede bestemmelse. Når der nedenfor henvises til finansielle enheder, menes der hermed betalingsinstitutter, e-pengeinstitutter, udbydere af kontooplysningstjenester og virksomheder med begrænset tilladelse til at udstede elektroniske penge eller udbyde betalingstjenester, jf. artikel 2, stk. 1, litra b, d, c, jf. artikel 2, stk. 2, i DORA-forordningen.
Artikel 5 indeholder regler om forvaltning og organisationen af en finansiel enheds it-risikostyring. Intern forvaltning og organisation af it-risikostyring omfatter fastlæggelsen og tilsynet af de foranstaltninger for it-risikostyring. En sikker forvaltning af risikostyringen sikrer et højt niveau af digital operationel modstandsdygtighed og bidrager til den finansielle stabilitet.
I medfør af artikel 5, stk. 1, skal en finansiel enhed have indført en intern forvaltnings- og kontrolramme, der sikrer en effektiv og forsigtig styring af it-risiko, i overensstemmelse med artikel 6, stk. 4, der bl.a. fastsætter krav om, at finansielle enheder skal overdrage ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion og sikre, at denne kontrolfunktion har et passende uafhængighedsniveau for at undgå interessekonflikter mellem den finansielle enhed og kontrolfunktionen.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 1, er den finansielle enhed.
Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har overdraget ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion, der har et passende uafhængighedsniveau i forhold til den finansielle enhed.
Det fremgår af artikel 5, stk. 2, at ledelsesorganet i den finansielle enhed skal fastlægge, godkende og føre tilsyn med og har ansvaret for gennemførelsen af alle ordninger vedrørende rammer for it-risikostyring, der er omhandlet i artikel 6, stk. 1. Artikel 6, stk. 1, vedrører at finansielle enheder indfører en robust, omfattende og veldokumenteret ramme for it-risikostyring. De nærmere krav til ledelsesorganet er nærmere beskrevet i artikel 5, stk. 2, litra a-i. Det fremgår bl.a. af stk. 2, litra b, at ledelsesorganet skal indføre politikker, der har til formål at sikre høje standarder for tilgængeligheden, autenticiteten, integriteten og fortroligheden af data. Videre fremgår det af stk. 2, litra f, at ledelsesorganet godkender og regelmæssigt gennemgår den finansielle enheds interne it-revisionsplaner, it-revisioner og væsentlige ændringer heraf.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 2, er den finansielle enhed. En strafbar handling kan eksempelvis være, at et ledelsesorgan ikke har indført politikker for tilgængeligheden, autenticiteten, integriteten og fortroligheden af data i henhold til stk. 2, litra b. En strafbar handling kan også være at ledelsesorganet enten ikke har godkendt eller gennemgået den finansielle enheds interne it-revisionsplan i henhold til stk. 2, litra f.
Artikel 5, stk. 3, fastsætter at finansielle enheder skal oprette en funktion med henblik på overvågning af de ordninger, der er indgået med tredjepartsudbydere af it-tjenester vedrørende brugen af it-tjenester, eller udpege et medlem af den øverste ledelse som tilsynsansvarlig for den dermed forbundne risikoeksponering og relevante dokumentation.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 3, er den finansielle enhed. Et eksempel på en strafbar handling kan være, at ledelsesorganet ikke har oprettet en funktion der har til formål at overvåge de ordninger, der er indgået med tredjepartsudbydere af it-tjenester vedrørende brugen af it-tjenester.
Artikel 6 indeholder regler om en finansiel enheds ramme for it-risikostyring. Rammen for it-risikostyring omfatter hvilke tiltag en operatør af et reguleret marked har opsat.
I medfør af artikel 6, stk. 1, skal en finansiel enhed have indført en robust, omfattende og veldokumenteret ramme for deres it-risikostyring, som en del af deres samlede risikostyringssystem der sikrer et højt niveau af digital operationel modstandsdygtighed.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 1, er den finansielle enhed.
Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har formået at dokumentere deres ramme for deres it-risikostyring i en tilstrækkelig grad.
Det fremgår af artikel 6, stk. 2, at rammen for it-risikostyring, som minimum skal omfatte strategier, politikker, procedurer, it-protokoller og værktøjer, som er nødvendige for på behørig vis og i tilstrækkelig grad, at beskytte alle informationsaktiver og it-aktiver.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 2, er ledelsesorganet. Det fremgår af artikel 5. stk. 2, at ledelsesorganet i den finansielle enhed skal fastlægge, godkende og føre tilsyn med og har ansvaret for gennemførelsen af alle ordninger vedrørende rammer for it-risikostyring, der er omhandlet i artikel 6, stk. 1.
Den strafbare handling kan eksempelvis bestå i, at ledelsesorganet ikke har indført sikkerhedsforanstaltninger der i tilstrækkelig grad beskytter relevante fysiske komponenter, som eksempelvis virksomhedens lokaler, mod uautoriseret adgang.
Artikel 6, stk. 3, omhandler de finansielle enheders forpligtigelse til at forelægge fuldstændige og ajourførte oplysninger om deres it-risiko på de kompetente myndigheders anmodning. Ved at indføre passende strategier, politikker, procedurer, it-protokoller og -værktøjer, minimerer den finansielle enhed deres it-risiko.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 3, er den finansielle enhed. Et eksempel på den strafbare handling kan være, at den finansielle enhed ikke på den kompetente myndigheds anmodning, har fremlagt en opdateret strategi for deres it-risikostyring, efter nye tiltag trådte i kraft for virksomheden.
Det fremgår af artikel 6, stk. 4, at finansielle enheder skal overdrage ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion og sikre, at denne kontrolfunktion har et passende uafhængighedsniveau, så interessekonflikter kan undgås. Videre fremgår det af artikel 6, stk. 4, 2. pkt., at en finansiel enhed skal sikre en passende adskillelse og uafhængighed af it-risikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner efter modellen med tre forsvarslinjer eller en intern model for risikostyring og kontrol.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse af bestemmelsen kan eksempelvis bestå i, at en finansiel enhed har en intern styring af og tilsyn med it-risikoen og derfor ikke har sikret en passende adskillelse og uafhængighed af deres it-risikostyringsfunktioner.
Artikel 6, stk. 5, indeholder krav om dokumentationen og tilsyn med it-risikostyringens ramme. Det følger af bestemmelsen, at rammen for it-risikostyringen skal dokumenteres og gennemgås mindst én gang om året, samt når der forekommer større it-relaterede hændelser, og i henhold til tilsynsmæssige instrukser eller konklusioner, som er udledt af relevant test af digital operationel modstandsdygtighed eller revisionsprocesser. Den skal forbedres løbende på grundlag af indhøstede gennemførelses- og overvågningserfaringer. Der skal forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed på dens anmodning.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 5, er den finansielle virksomhed. Den strafbare handling kan eksempelvis bestå i, at en finansiel enhed ved en større it-relateret hændelse, efterfølgende ikke formår at dokumentere rammen for risikostyringen. En strafbar handling kan også bestå i, at den finansielle enhed ikke har forbedret rammen for deres risikostyring på baggrund af løbende overvågningserfaringer.
Artikel 6, stk. 6, omhandler revisorernes interne revision af rammen for it-risikostyring. Det følger af bestemmelsen, at revisorerne skal besidde egenskaber som tilstrækkelig viden, faglig kompetence og ekspertise, samt være tilstrækkeligt uafhængige. Der skal være overensstemmelse mellem hyppigheden af revisioner og omfanget af it-risikoen hos den finansielle enhed.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse kan eksempelvis bestå i, at den finansielle enheds revisor har foretaget en revision af rammen for it-risikostyring, uden at have det fornødne egenskaber. Det kan ligeledes anses for strafbart såfremt revisoren ikke kan anses som værende uafhængig.
Artikel 6, stk. 7, omhandler den formelle opfølgningsproces på den interne revisionsgang som den finansielle enhed skal etablere. Opfølgningsprocessen skal indeholde regler for rettidig efterprøvning og udbedring af kritiske resultater af it-revisioner.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 7, er den finansielle enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke etablerer en opfølgningsproces, der indeholder regler for rettidig efterprøvning af kritiske konklusionerne fra en interne revision.
I medfør af artikel 6, stk. 8, skal en finansiel enheds ramme for it-risikostyring omfatte en strategi for digital operationel modstandsdygtighed, der fastsætter, hvordan rammen gennemføres. Strategien for digital operationel modstandsdygtighed skal omfatte metoderne til håndtering af it-risiko og opfylde specifikke krav, som er oplistet i artikel 6, stk. 8, litra a-h. Et af disse krav er eksempelvis at fastlægge risikotoleranceniveauet for it-risiko i overensstemmelse med den finansielle enheds risikovillighed og analysere tolerancen over for virkninger af it-forstyrrelser, jf. litra b, eller dokumentere den nuværende situation for den digitale operationelle modstandsdygtighed på grundlag af antallet af indberettede større it-relaterede hændelser og de forebyggende foranstaltningers effektivitet, jf. litra f.
Ansvarssubjektet for en overtrædelse af artikel 6, stk. 8, er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enheds strategi, undlader at analysere for virkninger af it-forstyrrelser over for risikotoleranceniveauet. Den strafbare handling kan ligeledes bestå i, at den finansielle enhed ikke formår at dokumentere deres situation for den operationelle robusthed på baggrund af mængden af større it-relaterede hændelser og de forebyggende foranstaltningers effektivitet
Artikel 7, stk. 1, oplister en række krav til den finansielle enheds it-systemer, -protokoller og-værktøjer, jf. litra a-d. Den finansielle enhed skal eksempelvis anvende systemer der er pålidelige, jf. litra b, og som er teknologisk modstandsdygtige nok til i tilstrækkeligt omfang at håndtere yderligere behov for informationsbehandling som krævet under stressede markedsforhold eller i andre vanskelige situationer, jf. litra d.
Ansvarssubjektet for overtrædelse af bestemmelsen er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke anvender systemer eller værktøjer der pålidelige eller proportionale i forhold til den finansielle enheds udbudte ydelser.
Artikel 8, stk. 1-7, i DORA-forordningen omhandler identifikation af kilder til it-risiko. Artikel 8, stk. 1, fastsætter, at en finansiel enhed, som led i deres ramme for it-risikostyring, skal foretage identifikation, klassificering og tilstrækkelig dokumentering af alle it-understøttede forretningsfunktioner, roller og ansvarsområder, informationsaktiver og it-aktiver, der understøtter disse funktioner, samt deres roller og afhængigheder med hensyn til it-risici. Bestemmelsen fastsætter endvidere, at en finansiel virksomhed efter behov og mindst én gang om året, vurderer hvorvidt denne klassificering og eventuel relevant dokumentation er tilstrækkelig.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke har identificeret, klassificeret eller dokumenteret deres it-understøttede forretningsfunktioner i en tilstrækkelig grad.
I medfør af artikel 8, stk. 2, skal en finansiel enhed løbende identificere alle kilder til it-risiko, navnlig risikoeksponeringen for og fra andre finansielle enheder, og vurderer cybertrusler og it-sårbarheder, der er relevante for deres it-understøttede forretningsfunktioner, informationsaktiver og it-aktiver. De finansielle enheder skal derfor regelmæssigt og mindst én gang om året gennemgå de risikoscenarier, der har virkninger for dem.
Ansvarssubjektet for overtrædelse af artikel 8, stk. 2, er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel virksomhed ikke mindst én gang årligt har gennemgået de risikoscenarier der er virkninger for dem.
Artikel 8, stk. 3, indeholder krav om, at en finansiel enhed skal foretage en risikovurdering efter hver større ændring af infrastrukturen i net- og informationssystemerne, i de processer eller procedurer, der påvirker deres it-understøttede forretningsfunktioner, informationsaktiver eller it-aktiver.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling kan bestå i, at en finansiel enhed har foretaget en større ændring infrastrukturen i deres net- og informationssystem og ikke foretager en ny risikovurdering, såfremt infrastrukturen påvirker deres it-understøttede forretningsfunktioner.
Det fremgår af artikel 8, stk. 4, at en finansiel enhed skal identificere alle informationsaktiver og it-aktiver, herunder på eksterne steder, netværksressourcer og hardwareudstyr, og kortlægger dem, der anses for kritiske. Den finansielle enhed kortlægger informationsaktivernes og it-aktivernes konfiguration samt forbindelserne og den indbyrdes forbundethed mellem de forskellige informationsaktiver og it-aktiver.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har kortlagt de kritiske informationsaktiver og it-aktiver, herunder på eksterne steder, netværksressourcer og hardwareudstyr.
Artikel 8, stk. 5, fremgår det, at en finansiel enhed skal identificere og dokumentere alle processer, der er afhængige af tredjepartsudbydere af it-tjenester. Det fremgår endvidere, at den finansielle enhed identificerer sammenkoblinger med tredjepartsudbydere af it-tjenester, der udbyder tjenester, som understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed har undladt at dokumentere alle de processer der er afhængige af tredjepartsudbydere af it-tjenester, som den finansielle enhed bruger.
Det fremgår af artikel 8, stk. 6, at den finansielle enhed, med henblik på artikel 6, stk. 1, 4 og 5, opretholder relevante fortegnelser og ajourfører dem regelmæssigt, og hver gang der sker større ændringer som omhandlet i artikel 6, stk. 3.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse kan bestå i, at der ved en større ændring af infrastrukturen i net- og informationssystemerne, i de processer eller procedurer, der påvirker den finansielle enheds it-understøttede forretningsfunktioner, informationsaktiver eller it-aktiver, ikke er foretaget ajourførte fortegnelser over ændringerne.
Til sidst følger det af artikel 8, stk. 7, at en finansiel enhed skal foretage en specifik it-risikovurdering regelmæssigt og mindst én gang om året.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse består eksempelvis i, at en finansiel virksomhed ikke regelmæssigt eller mindst én gang årligt har foretaget en specifik it-risikovurdering.
Artikel 9 indeholder nærmere bestemmelser om beskyttelse af it-systemer og forebyggelse af it-risici.
Det følger af artikel 9, stk. 1, at en finansiel enhed skal sikre løbende overvågning af og kontrol med it-systemer og -værktøjernes sikkerhed og af, hvordan de fungerer, og minimerer virkningerne af it-risikoen for it-systemer ved at indføre passende it-sikkerhedsværktøjer, -politikker og -procedurer, med henblik på, at sikre en passende beskyttelse og tilrettelægge indsatsforanstaltninger der skal sikre de finansielle enheder.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, ikke løbende at overvåge og kontrollere den finansielle enheds it-systemer og -værktøjers sikkerhed igennem passende it-sikkerhedsværktøjer, -politikker og -procedurer.
I medfør af artikel 9, stk. 2, skal en finansiel enhed udforme, indkøbe og gennemføre it-sikkerhedspolitikker, -procedurer, -protokoller og -værktøjer, der har til formål at sikre it-systemernes modstandsdygtighed, stabilitet og tilgængelighed, især for dem, der understøtter kritiske eller vigtige funktioner, og at opretholde høje standarder for, tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, hvad enten dataene er inaktive, i brug eller under overførsel.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 9, stk. 2, bestå i, at der ikke er gennemført en it-sikkerhedspolitik for at sikre den finansielle enheds it-systems modstandsdygtighed, stabilitet og tilgængelighed.
Artikel 9, stk. 3, omhandler de it-løsninger og it-processer som den finansielle enhed skal anvende for at nå de i artikel 9, stk. 2, omhandlede mål. It-løsningerne og it-processerne skal være i overensstemmelse med proportionalitetsprincippet i artikel 4 i DORA-forordningen og sikre sikkerheden for metoderne til overførsel af data, minimere risikoen for korruption eller tab af data, uautoriseret adgang og tekniske fejl, der kan hæmme erhvervsaktiviteten og forhindrer manglen på tilgængelighed, forringelsen af autenticiteten og integriteten, bruddene på fortroligheden og tabet af data. Samt sikre, at data beskyttes mod risici, der opstår i forbindelse med dataforvaltning, herunder dårlig administration, procesrelaterede risici og menneskelige fejl.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 9, stk. 3, bestå i at have utilstrækkelige it-løsninger og it-processer, der ikke lever op til proportionalitetsprincippet i artikel 4, i DORA-forordningen og de i artikel 9, stk. 3, fastsatte krav.
Det følger af artikel 9, stk. 4, at en finansiel enhed som led i deres it-risikostyring skal udvikle og dokumentere en informationspolitik, der fastlægger regler for beskyttelse af tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, informationsaktiver og it-aktiver, herunder deres kunders, hvis det er relevant, jf. litra a. Desuden skal en finansiel enhed følge en risikobaseret tilgang ved at indføre en forsvarlig forvaltningsstruktur for netværk og infrastrukturer ved anvendelse af passende teknikker, metoder og protokoller, der kan omfatte gennemførelse af automatiske mekanismer til isolering af de berørte informationsaktiver i tilfælde af cyberangreb, jf. litra b. Artikel 9, stk. 4, litra c, fastsætter også at en finansiel enhed skal gennemføre politikker, der begrænser den fysiske eller logiske adgang til informationsaktiver og it-aktiver udelukkende til, hvad der er påkrævet for legitime og godkendte funktioner og aktiviteter, og med henblik herpå indføre en række politikker, procedurer og kontroller, der vedrører adgangsrettigheder og sikrer forsvarlig forvaltning heraf.
Desuden skal den finansielle enhed gennemføre politikker og protokoller for stærke autentificeringsmekanismer på grundlag af relevante standarder og særlige kontrolsystemer og beskyttelsesforanstaltninger for krypteringsnøgler, hvorigennem data krypteres baseret på resultaterne fra godkendt dataklassificering og godkendte it-risikovurderingsprocesser, jf. litra d. Samt gennemføre dokumenterede politikker, procedurer og kontroller for styring af it-ændringer, herunder ændringer af software, hardware, firmwarekomponenter, systemer eller sikkerhedsparametre, som er baseret på en risikovurderingstilgang og er en integreret del af den finansielle enheds samlede ændringsstyringsproces, for at sikre, at alle ændringer af it-systemer registreres, testes, vurderes, godkendes, gennemføres og efterprøves på en kontrolleret måde, jf. litra e. Slutteligt anfører artikel 9, stk. 4, litra f, at en finansiel enhed skal sørge for, at der indføres passende og omfattende dokumenterede politikker for programrettelser og opdateringer.
Med henblik på første afsnit, litra b, udformer de finansielle enheder infrastrukturen for netværkstilslutning på en sådan måde, at den kan afbrydes eller segmenteres øjeblikkeligt for at minimere og forhindre afsmitning, navnlig i forbindelse med indbyrdes forbundne finansielle processer. Med henblik på første afsnit, litra e, skal it-ændringsstyringsprocessen godkendes på passende ledelsesniveauer og omfatte specifikke protokoller.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ikke forelægger en tilstrækkelig it-sikkerhedspolitik hos den finansielle enhed til at sikre beskyttelsen af deres kunders data. Den strafbare handling kan desuden også bestå i, at dokumenterede politikker, procedurer og kontroller for styring af it-ændringer, herunder ændringer af software, hardware, firmwarekomponenter, systemer eller sikkerhedsparametre, som er baseret på en risikovurderingstilgang og er en integreret del af den finansielle enheds samlede ændringsstyringsproces, for at sikre, at alle ændringer af it-systemer registreres, testes, vurderes, godkendes, gennemføres og efterprøves på en kontrolleret måde, ikke er blevet godkendt på passende ledelsesniveau.
Artikel 10, stk. 1-4, i DORA-forordningen omhandler detektion af anormale aktiviteter.
Det følger af artikel 10, stk. 1, at en finansiel enhed skal indføre mekanismer til omgående detektion af anormale aktiviteter i overensstemmelse med artikel 17, herunder problemer med it-netværkets ydeevne og it-relaterede hændelser, og til identifikation af potentielt væsentlige single points of failure. Artikel 17 omhandler proces for styring af it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. En overtrædelse af artikel 10, stk. 1, kan bestå i at der i den finansielle enhed ikke bliver opdaget anormale aktiviteter, idet enheden ikke har indført en mekaniske til detektion af disse.
Artikel 10, stk. 2, fastsætter krav til den finansielle enheds mekanismer. I medfør af artikel 10, stk. 2, skal de omtalte mekanismer i stk. 1, anvende flere kontrollag, fastlægge varslingstærskler og -kriterier, som skal udløse og igangsætte indsatsforanstaltninger mod it-relaterede hændelser, herunder automatiske varslingsmekanismer for det relevante personale, som har ansvar for indsatsen mod it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i at have utilstrækkelige mekanismer der ikke lever op til de af artikel 10, stk. 2, fastsatte krav.
Videre fremgår det af artikel 10, stk. 3, at finansielle enheder skal afsætte tilstrækkelige ressourcer og kapaciteter til overvågning af brugeraktiviteter, forekomsten af it-anomalier og it-relaterede hændelser, navnlig cyberangreb.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, ikke at have afsat ressourcer til overvågning af brugeraktiviteter.
Til slut fremgår det af artikel 10, stk. 4, at udbydere af dataindberetningstjenester indfører desuden systemer, som effektivt kan kontrollere, om handelsindberetningerne er fuldstændige, identificere udeladelser og åbenbare fejl og anmode om fornyet fremsendelse af disse indberetninger.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ikke er indført et system som kan identificere åbenbare fejl.
Artikel 11 i DORA-forordningen omhandler indsats og genopretning af it. Artikel 11, stk. 1, fastsætter, at en finansiel enhed skal indføre en omfattende politik for it-driftsstabilitet. Politikken skal være baseret på de krav til identifikation, der er fastsat i artikel 8 i DORA-forordningen. I henhold til artikel 8, stk. 1, skal en finansiel enhed f.eks. foretage en identifikation, klassificering og tilstrækkelig dokumentering af alle it-understøttende forretningsfunktioner, roller, ansvarsområder, informationsaktiviteter og it-aktiver, der understøtter disse funktioner, samt deres roller og afhængigheder med hensyn til it-risici.
Ansvarssubjektet for overtrædelse af artikel 11, stk. 1, er den finansielle enhed. Den strafbare handling kan enten bestå i ikke at have indført nogen politik for it-driftsstabilitet, eller at have indført en politik, der ikke omhandler alle it-understøttende forretningsfunktioner.
I medfør af artikel 11, stk. 2, skal en finansiel enhed gennemføre politikken for it-driftsstabilitet ved hjælp af særlige veldokumenterede ordninger, planer, procedurer og mekanismer, der skal tage sigte på en række forhold, der er oplistet i stk. 2, litra a - e. Et af disse forhold er eksempelvis at sikre, at en finansiel enheds kritiske eller vigtige funktioner er stabile, jf. litra a, eller omgående at aktivere særlige planer, der gør det muligt at anvende inddæmningsforanstaltninger, -processer og -teknologier, der er egnede til de enkelte typer af it-relaterede hændelser, og som forhindrer yderligere skade, jf. litra c.
Ansvarssubjektet for en overtrædelse af artikel 11, stk. 2, er den finansielle enhed. Den strafbare handling består i, ikke at have gennemført en politik for it-driftsstabilitet ved hjælp af særlige ordninger, planer, procedurer og mekanismer, der tager sigte på de forhold, der er oplistet i stk. 2, litra a – e.
Artikel 11, stk. 3, indeholder krav om, at en finansiel enhed skal gennemføre planer for it-indsats og -genopretning, som skal underkastes uafhængige interne revisionsgennemgange.
Ansvarssubjektet for en overtrædelse af stk. 3, er den finansielle enhed. Den strafbare handling består i at en finansiel enhed ikke lader planer for it-indsats og -genopretning blive underkastet uafhængige interne revisionsgennemgange.
Det fremgår af artikel 11, stk. 4, at en finansiel enhed skal indføre, vedligeholde og foretage regelmæssig testning af passende planer for it-driftsstabilitet, navnlig med hensyn til kritiske eller vigtige funktioner, som outsources eller udliciteres gennem ordninger, der er indgået med tredjepartsudbydere af it-tjenester. Ved regelmæssig testning forstås mindst én gang om året, jf. artikel 11, stk. 6, litra a.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i ikke at vedligeholde planer for it-driftsstabilitet, f.eks. hvis en udskiftning af virksomhedens it-systemer nødvendiggør en opdatering af planerne for it-driftsstyring. En strafbar handling kan også bestå i ikke regelmæssigt at foretage en test af planer for it-driftsstabilitet. Herunder vil det være en særligt skærpende omstændighed, hvis der ikke er foretaget regelmæssig testning af planer for it-driftsstabilitet med hensyn til kritiske eller vigtige funktioner, som eksempelvis er outsourcet til en tredjepartsudbyder af it-tjenester.
Af artikel 11, stk. 5, 1. pkt., fremgår det, at en finansiel enhed som led i den samlede politik for driftsstabilitet skal foretage en forretningskonsekvensanalyse af deres eksponering for alvorlige driftsforstyrrelser. Det fremgår videre af stk. 5, 2. pkt., hvordan en finansiel enhed i konsekvensanalysen skal vurdere potentielle virkninger af alvorlige driftsforstyrrelser. I stk. 5, 3. pkt., fremgår det, at en konsekvensanalyse bl.a. skal tage hensyn til den kritiske betydning af identificerede og kortlagte forretningsfunktioner og andre forhold, der er nævnt i 3. pkt. Til sidst fremgår det af stk. 5, 4. pkt., at en finansiel enhed skal sikre, at it- aktiver og -tjenester udformes og anvendes i fuld overensstemmelse konsekvensanalysen, navnlig med hensyn til tilstrækkeligt at sikre alle kritiske komponenters redundans, dvs. at en kritisk komponent kan erstattes med en tilsvarende komponent, hvis det skulle blive nødvendigt.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå af ikke at foretage en forretningskonsekvensanalyse af enhedens eksponering for alvorlige driftsforstyrrelser. Den kan f.eks. også bestå i ikke at foretage en vurdering af alvorlige driftsforstyrrelser i overensstemmelse med stk. 5, 2. pkt., eller bestå i at konsekvensanalysen ikke tager hensyn til den kritiske betydning af identificerede og kortlagte forretningsfunktioner eller en af de andre forhold, der er nævnt i det pågældende punkt. Til sidst kan en strafbar handling bestå i f.eks. ikke at sikre, at en kritisk komponent kan erstattes af en tilsvarende komponent, hvis konsekvensanalysen tilsiger dette.
Det fremgår af artikel 11, stk. 6, 1. afsnit, litra a, at en finansiel enhed som led i it-risikostyring skal teste enhedens planer for it-driftsstabilitet og planer for it-indsats og genopretning i forbindelse med it-systemer, der understøtter alle funktioner. En test heraf skal finde sted mindst én gang årligt og i tilfælde af væsentlige ændringer af it-systemer, der understøtter kritiske eller vigtige funktioner. I medfør af stk. 6, 1. afsnit, litra b, skal en finansiel enhed også teste krisekommunikationsplaner, der er udarbejdet i medfør af artikel 14.
Stk. 6, 2. afsnit, indeholder nærmere krav til, hvilke forskellige scenarier tests for it-driftsstabilitet og planer for it-indsats og genopretning, jf. stk. 6, litra a, skal medtage. Det drejer sig bl.a. om cyberangrebsscenarier og omstillingsscenarier mellem den primære it-infrastruktur og redundante kapacitet. Ved redundante kapacitet forstås en lignende kapacitet, der skal kunne erstatte den primære it-infrastruktur, hvis denne eksempelvis bliver beskadiget under et cyberangreb. Bestemmelsen gælder ikke for finansielle enheder, der er mikrovirksomheder. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Videre fremgår det af stk. 6, 3. afsnit, at en finansiel enhed regelmæssigt skal gennemgå sin politik for it-driftsstabilitet og planer for it-indsats og -genopretning. Her skal den finansielle enhed bl.a. tage hensyn til resultaterne af de test, som den finansielle enhed har gennemført i henhold til 1. afsnit.
Ansvarssubjektet for en overtrædelse af artikel 11, stk. 6, er den finansielle enhed. Den strafbare overtrædelse kan eksempelvis bestå i ikke at foretage test for planer for it-driftsstabilitet og planer for it-indsats og -genopretning eller ikke at foretage test af krisekommunikationsplaner, jf. stk. 6, 1. afsnit.
En strafbar overtrædelse kan f.eks. også bestå af ikke at medtage cyberangrebscenarier og omstillingsscenarier mellem den primære it-infrastruktur og den redundante kapacitet, eller i ikke regelmæssigt at gennemgå enhedens politik for it-driftsstabilitet og planer for it-indsats og -genopretning under hensyntagen til resultaterne af de test, som enheden har gennemført, jf. henholdsvis 2. og 3. afsnit.
I medfør af artikel 11, stk. 7, skal en finansiel enhed have en krisestyringsfunktion, som, hvis deres planer for it-driftsstabilitet og planer for it-indsats og -genopretning aktiveres, bl.a. skal indeholde klare procedurer for forvaltning af intern og ekstern krisekommunikation i overensstemmelse med artikel 14, der indeholder nærmere regler herfor.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i ikke at have en krisestyringsfunktion, der indeholder klare procedurer for intern og ekstern krisekommunikation i overensstemmelse med artikel 14.
Artikel 11, stk. 8, indeholder krav om, at en finansiel enhed skal føre let tilgængelige registre over aktiviteter før og under driftsforstyrrelser, når deres planer for it-driftsstabilitet og planer for it-indsats og -genopretning aktiveres.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at føre registre over aktiviteter før og under driftsforstyrrelser, hvor planerne for it-driftsstabilitet og for it-indsats og -genopretning er blevet aktiveret.
Til sidst følger det af artikel 11, stk. 10, at en finansiel enhed skal indberette et overslag over de samlede årlige omkostninger og tab, der opstår som følge af større it-relaterede hændelser, til de kompetente myndigheder på deres anmodning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at indberette et overslag over de samlede årlige omkostninger og tab, der opstår som følge af større it-relaterede hændelser, til de kompetente myndigheder, dvs. Finanstilsynet, hvis Finanstilsynet anmoder den finansielle enhed herom.
Artikel 12 indeholder nærmere bestemmelser om politikker og procedurer for sikkerhedskopiering og procedure og metoder for gendannelse og genopretning af it-systemer og data.
Det følger af artikel 12, stk. 1, at en finansiel enhed som led i it-risikostyring skal udvikle og dokumentere politikker og procedure for sikkerhedskopiering, der præciserer omfanget af de data, der er genstand for sikkerhedskopiering, og minimumshyppigheden af sikkerhedskopiering baseret på oplysningernes kritiske betydning eller fortrolighedsniveauet for dataene. Desuden skal en finansiel enhed udvikle og dokumentere procedurer og metoder for gendannelse og genopretning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at udvikle og dokumentere politikker og procedure for enten sikkerhedskopiering eller gendannelse og genopretning.
I medfør af artikel 12, stk. 2, 1. pkt., skal en finansiel enhed etablere systemer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning. Det følger videre af artikel 12, stk. 2, 2. pkt., at aktiveringen af systemerne for sikkerhedskopiering ikke må sætte sikkerheden i net- og informationssystemer eller tilgængeligheden, autenticiteten, integriteten eller fortroligheden af data over styr. Til sidst er det i medfør af stk. 2, 3. pkt., et krav, at der foretages regelmæssig test af procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i ikke at etablere systemer for sikkerhedskopiering eller for procedurer og metoder for gendannelse og genopretning. Den kan også bestå i at en finansiel enhed ikke sikrer sig, at systemerne for sikkerhedskopiering ikke sætter sikkerheden i net- og informationssystemer m.v. over styr. I henhold til stk. 2, 3. pkt., kan den bestå i at der ikke foretages regelmæssige test af procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning.
Det følger af artikel 12, stk. 3, 1 og 2. pkt., at når en finansiel enhed gendanner sikkerhedskopierede data ved anvendelse af egne systemer, skal de anvende de it-systemer, der er fysisk og logisk adskilt fra it-kildesystemet. It-systemerne skal være sikkert beskyttet mod uautoriseret adgang eller it-korruption og give mulighed for rettidig gendannelse af tjenester ved hjælp af data- og systemsikkerhedskopier efter behov.
Ansvarssubjektet i stk. 3, 1. og 2. pkt., er den finansielle enhed. Den strafbare handling kan i medfør af stk. 3, 1. pkt., bestå i at anvende egne it-systemer til gendannelse af sikkerhedskopierede data, der ikke er fysisk og logisk adskilt fra it-kildesystemet. Det vil eksempelvis sige it-systemer, der befinder sig på en anden adresse end kildesystemet, dvs. det it-system, som den finansielle enhed anvender i sit daglige virke. Det kan også være, hvor en finansiel enhed anvender eget it-system, der er fysisk adskilt fra kildesystemet, men hvor systemet ikke logisk er adskilt fra kildesystemet. Den strafbare handling i medfør af stk. 3, 2. pkt., kan f.eks. bestå i ikke at beskytte it-systemerne mod uautoriseret adgang eller it-korruption.
Videre følger det af stk. 3, 3. pkt., at for centrale modparter (CCP’er) skal genopretningsplaner gøre det muligt at genoptage alle transaktioner fra det tidspunkt, hvor de blev afbrudt, således at den berørte centrale modpart (CCP) kan opretholde driftssikkerheden og gennemføre afviklingen på den planlagte dato. Til sidst følger det af stk. 3, 4. pkt., at udbydere af dataindberetningstjenester desuden skal sørge for at råde over passende ressourcer og sikkerhedskopierings- og gendannelsesfaciliteter for til enhver tid at kunne udbyde og opretholde deres tjenester.
Det følger af artikel 12, stk. 4, 1. pkt., at en finansiel enhed opretholder redundante it-kapaciteter, der er udstyret med passende ressourcer og funktioner med henblik på at sikre forretningsmæssige behov. Videre fremgår det af stk. 4, 2. pkt., at mikrovirksomheder vurderer behovet for at opretholde redundante it-kapaciteter på grundlag af deres risikoprofil. Ved redundante it-kapaciteter forstås lignende it-kapaciteter, der skal kunne erstatte de primære it-kapaciteter i en finansiel enhed, hvis disse it-kapaciteter eksempelvis bliver ramt af et cyberangreb.
Ansvarssubjektet i stk. 4, 1. pkt., er den finansielle enhed. Den strafbare handling består i ikke at have redundante it-kapaciteter, der sikrer forretningsmæssige behov.
Ansvarssubjektet i stk. 4, 2. pkt., er en finansiel enhed, som er en mikrovirksomhed. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Den strafbare handling består i ikke at have foretaget en vurdering af behovet for at opretholde redundante it-kapaciteter på baggrund af enhedens risikoprofil.
Det fremgår af artikel 12, stk. 6, 1. pkt., at når en finansiel enhed skal fastlægge målene for genopretningstid og genopretningstidspunkt for hver funktion, skal de tage hensyn til, om det er en kritisk eller vigtig funktion og de potentielle samlede virkninger for markedseffektiviteten. Videre fremgår det af stk. 6, 2. pkt., at tidsmålene skal sikre, at de aftalte serviceniveauer kan overholdes i ekstreme scenarier.
Ansvarssubjektet i stk. 6, er den finansielle enhed. Den strafbare handling består i, at en finansiel enhed i sin fastlæggelse af målene for genopretningstid og genopretningstidspunkt, ikke har taget hensyn til, om den pågældende funktion er kritisk, eller hvilken virkning disse tidsmål vil have på markedseffektiviteten. Den kan også bestå i, at den finansielle enhed ikke har sikret sig, at tidsmålene kan overholde de aftalte serviceniveauer i ekstreme scenarier.
Det fremgår af artikel 12, stk. 7, 1. pkt., at når en finansiel enhed foretager genopretning efter en it-relateret hændelse, skal den udføre de nødvendige kontroller, herunder eventuelt flere kontroller og afstemninger, for at sikre, at dataintegriteten bevares på højeste niveau. Videre fremgår det af stk. 7, 2. pkt., at kontroller også skal foretages i forbindelse med rekonstruktionen af data fra eksterne interessenter for at sikre, at alle systemernes data er sammenhængende.
Ansvarssubjektet i stk. 7 er den finansielle enhed. Den strafbare handling består i ikke at udføre de nødvendige kontroller eller afstemninger efter en genopretning for at sikre, at dataintegriteten bevares på højt niveau. I den forbindelse kan den strafbare handling også bestå i ikke at foretage kontroller i forbindelse med rekonstruktionen af data fra eksterne interessenter for at sikre, at alle systemernes data er sammenhængende.
Artikel 13 indeholder regler om læring og udvikling omkring sårbarheder og cybertrusler, it-relaterede hændelser, herunder navnlig cyberangreb. Stk. 1 indeholder krav om, at en finansiel enhed skal sørge for at råde over kapaciteter og personale, som kan indsamle oplysninger herom, og som kan analysere de virkninger, de forventes at have på deres digitale operationelle modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at have afsat ressourcer til f.eks. et it-system og personale, hvormed enheden kan indsamle oplysninger om sårbarheder og cybertrusler eller it-relaterede hændelser som cyberangreb. Den strafbare handling kan eksempelvis også bestå i ikke at have personale med tilstrækkelige kompetencer til at kunne analysere de virkninger, som bl.a. et cyberangreb kan have på deres digitale operationelle infrastruktur.
Det fremgår af artikel 13, stk. 2, 1. afsnit, at en finansiel enhed skal foretage gennemgange af it-relaterede hændelser, efter at større it-relaterede hændelser har forstyrret deres kerneaktiviteter. Den finansielle enhed skal i den forbindelse analysere årsagerne til forstyrrelserne og identificere nødvendige forbedringer af it-operationerne eller indenfor rammerne af den i artikel 11 omhandlede politik for it-driftsstabilitet.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, ikke at foretage en gennemgang og analyse af en større it-relateret hændelse, der har forstyrret den finansielle enheds kerneaktivitet.
Videre fremgår det af stk. 2, 2. afsnit, at en finansiel enhed på anmodning fra den kompetente myndighed skal underrette den kompetente myndighed om ændringer, der er blevet gennemført efter en gennemgang af it-relaterede hændelser. Bestemmelsen gælder ikke for finansielle enheder, der er mikrovirksomheder. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke efter anmodning fra Finanstilsynet at underrette den Finanstilsynet om ændringer, der er blevet gennemført efter en gennemgang af it-relaterede hændelser.
Til sidst fremgår det af stk. 2, 3. afsnit, at det i forbindelse med gennemgangen af it-relaterede hændelser skal fastslås, om de fastlagte procedurer er blevet fulgt, og om de iværksatte foranstaltninger har været effektive. Ved fastlagte procedurer forstås de procedurer, som den finansielle enhed har fastlagt i sin politik for it-driftsstabilitet. Det fremgår af artikel 11, stk. 2, at en finansiel enhed gennemfører politikken for it-driftsstabilitet ved hjælp af særlige, passende og veldokumenterede ordninger, planer, procedurer og mekanismer. Det er derfor procedurer og iværksatte foranstaltninger i henhold til de her ordninger m.v., som den finansielle enhed skal fastslå om har været effektive.
Det fremgår nærmere af artikel 13, stk. 2, 3. afsnit, at hvad en finansiel enhed bl.a. skal lægge nærmere vægt på i sin vurdering af, om de iværksatte foranstaltninger har været effektive. Den finansielle enhed skal bl.a. lægge vægt på den hastighed, med hvilken der er blevet sat ind overfor sikkerhedsvarsler, og med hvilken hastighed virkningerne af it-relaterede hændelser og deres omfang er blevet fastslået, jf. stk. 2, 3. afsnit, litra a. Det kan også være i forhold til effektiviteten af den finansielle enheds fejlafhjælpning i forbindelse med hændelser, jf. stk. 2, 3. afsnit, litra c.
Bestemmelsen har til formål at sikre, at en finansiel enhed efter en it-hændelse forholder sig kritisk til sine ordninger, planer, procedure m.v. i forbindelse med sin politik for it-driftsstabilitet for evt. at kunne forbedre disse til håndtering af en fremtidig it-relateret hændelse.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i, ikke at fastslå om ordninger, planer og procedure i forbindelse med politikken for it-driftsstabilitet er blevet fulgt. Den kan også bestå i ikke at fastslå, om de iværksatte foranstaltninger har været effektive, herunder eksempelvis i forhold til den hastighed, med hvilken der er blevet sat ind overfor sikkerhedsvarsler, og med hvilken hastighed virkningerne af it-relaterede hændelser og deres omfang er blevet fastslået, jf. stk. 2, 3. afsnit, litra a.
Det følger af artikel 13, stk. 3, 1. pkt., at erfaringer fra test af digital operationel modstandsdygtighed, som foretages i overensstemmelse med artikel 26 og 27, og fra faktiske it-relaterede hændelser, navnlig cyberangreb, samt udfordringer i forbindelse med aktiveringen af planer for it-driftsstabilitet og planer for it-indsats og -genopretning, sammen med relevante oplysninger, der udveksles med modparter, og som vurderes i forbindelse med tilsynsmæssige gennemgange, løbende skal indarbejdes i it-risikovurderingsprocessen.
Artikel 26 vedrører avancerede test af IKT-værktøjer, -systemer og -processer baseret på TLPT. TLPT står for Threat Led Penetration Testing, som er en testmetode, hvor en virksomhed engagerer etiske hackere, som skal angribe flere systemer og det tilhørende cyberforsvar i virksomheden. Testene foregår i livesystemer, hvilket vil sige de systemer, som anvendes direkte i den finansielle sektor, og er baseret på konkrete trusler, hvilket betyder, at testene simulerer taktikker, teknikker og procedurer fra aktive, avancerede hackergrupper. Artikel 27 fastsætter de nærmere krav til testere.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består f.eks. i ikke løbende at indarbejde erfaringer fra test af digital operationel modstandsdygtighed i overensstemmelse med artikel 26 og 27, og fra it-relaterede hændelser i it-risikostyringsprocessen.
Det fremgår af artikel 13, stk. 4, 1. pkt., at en finansiel enhed skal overvåge effektiviteten af gennemførelse af deres strategi for digital operationel modstandsdygtighed, jf. artikel 6, stk. 8, der fastsætter nærmere krav til strategien. Videre fremgår det af stk. 4, 2. pkt., at en finansiel enhed skal kortlægge it-risikoens udvikling over tid, analysere hyppigheden, typerne, omfanget af og udviklingen i it-relaterede hændelser, navnlig cyberangreb og mønstre forbundet hermed. Den finansielle enhed skal gøre dette med henblik på at forstå graden af it-risikoeksponering, navnlig i forbindelse med kritiske eller vigtige funktioner, og for at forbedre den finansielle enheds cybermodenhed og cyberberedskab.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at overvåge effektiviteten af gennemførelsen af enhedens strategi for digital operationel modstandsdygtighed eller i ikke at kortlægge it-risikoens udvikling over tid, analysere hyppigheden, typerne, omfanget af og udviklingen i it-relaterede hændelser, navnlig cyberangreb og mønstre forbundet hermed.
Det fremgår af artikel 13, stk. 5, at højtstående it-personale mindst én gang om året skal aflægge rapport til ledelsesorganet om de i stk. 3 omhandlede resultater og fremsætte anbefalinger. Indholdet af artikel 13, stk. 3, er nærmere gennemgået ovenfor under bemærkningerne til strafbelæggelsen af en overtrædelse af stk. 3.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i som finansiel enhed ikke at sørge for, at it-personale mindst én gang om året aflægger rapport for ledelsesorganet om resultater af f.eks. faktiske it-relaterede hændelser, jf. artikel 13, stk. 3, og fremsætter anbefalinger.
Det fremgår af artikel 13, stk. 6, 1. pkt., at en finansiel enhed skal udvikle programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed som obligatoriske moduler i deres personaleuddannelsesordninger. Videre fremgår det af stk. 6, 2. pkt., at disse kurser skal omfatte alle medarbejdere og den øverste ledelse og skal have en grad af kompleksitet, der svarer til deres opgavers ansvarsområde. Sidst fremgår det af stk. 6, 3. pkt., at en finansiel enhed, hvis det er relevant, inddrager tredjepartsudbydere af it-tjenester i relevante uddannelsesordninger, jf. artikel 30, stk. 2, litra i, om kontraktlige ordninger om betingelserne for deltagelse af tredjepartsudbydere i programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består f.eks. i ikke at udvikle programmer til alle medarbejdere og den øverste ledelse til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed som obligatoriske moduler i deres personaleuddannelse. Den strafbare handling kan også bestå i ikke at inddrage tredjepartsudbydere af it-tjenester i relevante uddannelsesordninger, hvis dette viser sig nødvendigt. Det kan eksempelvis være i det tilfælde, hvor kompleksiteten af et uddannelsesprogram når et niveau, hvor den finansielle enhed ikke selv har kompetencerne til at udvikle programmet.
Det fremgår af artikel 13, stk. 7, 1. pkt., at en finansiel enhed løbende skal overvåge den relevante teknologiske udvikling også med henblik på at forstå den mulige virkning af indførelsen af sådanne nye teknologier for kravene til it-sikkerhed og digital operationel modstandsdygtighed. Videre fremgår det af stk. 7, 2. pkt., at en finansiel enhed skal holde sig ajour med de seneste it-risikostyringsprocesser for effektivt at bekæmpe aktuelle eller nye former for cyberangreb. Bestemmelsen gælder ikke for mikrovirksomheder. Se definitionen af en mikrovirksomhed under bemærkningerne til strafbelæggelse af overtrædelse af artikel 11, stk. 6, 2. afsnit.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke løbende at overvåge den relevante teknologiske udvikling med henblik på evt. at indføre de nye teknologier i enheden i forhold til at leve op til kravene til it-sikkerhed og digital operationel modstandsdygtighed. Den kan også bestå i ikke at holde sig ajour med de seneste it-risikostyringsprocesser for effektivt at bekæmpe aktuelle eller nye former for cyberangreb.
Artikel 14, stk. 1, i DORA-forordningen omhandler, at der som led i den ramme for it-risiko-styring, der er omhandlet i artikel 6, stk. 1, at de finansielle enheder sørger for at have krisekommunikationsplaner, der giver mulighed for ansvarlig offentliggørelse af, som minimum større it-relaterede hændelser eller sårbarheder for kunder og modparter samt for offentligheden, alt efter hvad der er relevant.
Krisekommunikationsplaner må forstås sådan, at når der opstår en større ulykke eller katastrofe, så er der et akut behov for viden, og det er derfor nødvendigt at have planer for at kommunikere dette ud til de relevante parter.
It-risiko-styring må forstås sådant, at det er en håndtering af en sådan trussel, som defineres i artikel 3, stk. 1, nr. 5.
Ansvarssubjektet for overtrædelse af artikel 14, stk. 1, er den finansielle enhed. Den strafbare handling kan f.eks. bestå i, at den finansielle enhed ikke har udarbejdet planer for kommunikation af en offentliggørelse af en større it-relateret hændelse.
I medfør af artikel 14, stk. 2, skal en finansiel enhed som led i rammen for it-risikostyring, der er omhandlet i artikel 6, stk. 1. gennemføre kommunikationsplaner for internt personale og eksterne interessenter. Artikel 6, stk. 1, vedrører, at finansielle enheder indfører en robust, omfattende og veldokumenteret ramme for it-risikostyring. Kommunikationspolitikkerne for personalet skal tage hensyn til behovet for at skelne mellem personale der er involveret i it-risiko-styring, navnlig det personale der er ansvarlig for indsats og genopretning, og personale, der skal underrettes.
Ansvarssubjektet for en overtrædelse af artikel 14, stk. 2, er den finansielle enhed. Den strafbare handling består i, ikke at have gennemført kommunikationsplaner for internt personale og eksterne interessenter.
Artikel 14, stk. 3, indeholder krav om, at mindst én person i den finansielle enhed skal have til opgave at gennemføre kommunikationsstrategien for it-relaterede hændelse, og til dette formål varetage funktionen vedrørende offentligheden og medierne.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed ikke har mindst én person, der har til opgave at gennemføre kommunikationsstrategien for it-relaterede hændelse, og som til dette formål har varetage funktionen vedrørende offentligheden og medierne.
Det fremgår af artikel 16, stk. 1, at forordningens artikel 5-15 ikke finder anvendelse på små og ikke indbyrdes forbundne investeringsselskaber, betalingsinstitutter, der er undtaget i henhold til direktiv (EU) 2015/2366, institutter, der er fritaget i henhold til direktiv 2013/36/EU, og for hvilke medlemsstaterne har besluttet ikke at anvende den mulighed, der er omhandlet i nærværende forordnings artikel 2, stk. 4, e-pengeinstitutter, der er undtaget i henhold til direktiv 2009/110/EF, og små arbejdsmarkedsrelaterede pensionskasser.
Uden at det berører første afsnit skal de i første afsnit omhandlede enheder overholde det anførte i artikel 16, stk. 1, litra a-e. Det fremgår af litra a, at enhederne skal indføre og vedligeholde en robust og dokumenteret ramme for it-risikostyring, der beskriver de mekanismer og foranstaltninger, der skal muliggøre en hurtig, effektiv og omfattende styring af it-risiko, herunder vedrørende beskyttelse af relevante fysiske komponenter og infrastrukturer.
Det fremgår af litra b, at der løbende skal overvåges alle it-systemers sikkerhed og drift.
Det fremgår af litra c, at virkningen af it-risiko gennem anvendelse af robuste, modstandsdygtige og ajourførte it-systemer, -protokoller og -værktøjer, som er egnede til at understøtte udførelsen af deres aktiviteter og leveringen af tjenester og i tilstrækkelig grad beskytte tilgængeligheden, autenticiteten, integriteten og fortroligheden af data i net- og informationssystemerne skal minimeres.
Det fremgår af litra d, at det hurtigst muligt skal konstateres og detekteres it-risikokilder og -anomalier i net- og informationssystemerne og hurtigt at håndtere it-relaterede hændelser.
Det fremgår af litra e, at der skal konstateres stor afhængighed af tredjepartsudbydere af it-tjenester.
Det fremgår af litra f, at der skal sikres kontinuiteten af kritiske eller vigtige funktioner gennem planer for driftsstabiliteten og indsats- og genopretningsforanstaltninger, der som minimum omfatter sikkerhedskopierings- og gendannelsesforanstaltninger.
Det fremgår af litra g, at der regelmæssigt skal testes de planer og foranstaltninger, der er omhandlet i litra f, samt effektiviteten af de gennemførte kontroller i overensstemmelse med litra a og c.
Det fremgår af litra h, at der skal gennemføres, alt efter hvad der er relevant, de relevante operationelle konklusioner, der følger af de test, der er omhandlet i litra g, og af de efterfølgende analyser af hændelserne, i it-risikovurderingsprocessen og efter behov og it-risikoprofil udvikle programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed for personale og ledelse.
Ansvarssubjektet i artikel 16, stk. 1 litra a-h, er den finansielle enhed. Den strafbare handling består i, at de i første afsnit omhandlede enheder ikke overholder det anførte i artikel 16, stk. 1, litra a-e.
I medfør af artikel 16, stk. 2, skal en finansiel enhed i den i stk. 1, andet afsnit, litra a, omhandlede ramme for it-risikostyring dokumenteres og gennemgås regelmæssigt og ved forekomst af større it-relaterede hændelser i overensstemmelse med de tilsynsmæssige instrukser. Den skal forbedres løbende på grundlag af indhøstede erfaringer fra gennemførelse og overvågning. Der skal forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed på dennes anmodning.
Ansvarssubjektet for overtrædelsen af artikel 16, stk. 2, er den finansielle enhed. Den strafbare handling består i, at ikke at have gennemført de handlinger der er oplistet i artikel 16, stk. 2. Dette er eksempelvis at sikre at der forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed ved anmodning.
Det følger af artikel 17, stk. 1, at de finansielle enheder definerer, fastlægger og gennemfører en proces for styring af it-relaterede hændelser for at detektere, styre og indberette it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 17, stk. 1 bestå i, at de finansielle enheder ikke definerer, fastlægger og gennemfører en proces for styring af it-relaterede hændelser, som kan detektere, styre og indberette it-relaterede hændelser.
Det følger af artikel 17, stk. 2, at de finansielle enheder er alle, der registrerer it-relaterede hændelser og væsentlige cybertrusler. De finansielle enheder fastlægger passende procedurer og processer, der skal sikre en konsekvent og integreret overvågning, håndtering og opfølgning af it-relaterede hændelser. Det skal ske således, at de grundlæggende årsager identificeres, dokumenteres og håndteres for at forhindre, at sådanne hændelser forekommer.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 17, stk. 2, bestå i, at den finansielle enhed fastlægger passende procedurer og processer, der skal sikre en konsekvent og integreret overvågning, håndtering og opfølgning af it-relaterede hændelser. Dette skal ske således, at de grundlæggende årsager identificeres, dokumenteres og håndteres for at forhindre, at sådanne hændelser kan opstå.
Det følger af artikel 17, stk. 3, at den finansielle enhed som led i den proces for styring af it-relaterede hændelser, der er omhandlet i stk. 1, overholder det anførte i artikel 17, stk. 3, litra a-f.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling i medfør af artikel 17, stk. 3, er en tilsidesættelse af overholdelse af de oplistede krav i artikel 17, stk. 3, litra a-f. Dette kan eksempelvis være, at der ikke tildeles roller og ansvarsområder, som skal aktiveres for forskellige it-relaterede hændelsestyper og -scenarier.
Artikel 18 indeholder en klassificering af it-relaterede hændelser og cybertrusler.
Det følger af artikel 18, stk. 1, at de finansielle enheder klassificerer it-relaterede hændelser og fastslår deres virkninger på grundlag af følgende kriterier oplistet i artikel 18, stk. 1, litra a-f.
Det fremgår af litra a, at antallet og/eller relevansen af kunder eller finansielle modparter, som er berørt, og, hvis det er relevant, beløbet på eller antallet af de transaktioner, som er berørt af den it-relaterede hændelse, og hvorvidt den it-relaterede hændelse har haft indvirkning på omdømmet.
Det fremgår af litra b, at varigheden af den it-relaterede hændelse, herunder tjenestens nedetid.
Det fremgår af litra c, at den geografiske udbredelse med hensyn til de områder, der er berørt af den it-relaterede hændelse, navnlig hvis den berører mere end to medlemsstater.
Det fremgår af litra d, at de datatab, som den it-relaterede hændelse medfører med hensyn til tilgængelighed, autenticitet, integritet eller fortrolighed af data.
Det fremgår af litra e, at den kritiske betydning af de berørte tjenester, herunder den finansielle enheds transaktioner og operationer.
Det fremgår af litra f, at de økonomiske virkninger, navnlig direkte og indirekte omkostninger og tab, af den it-relaterede hændelse i både absolutte og relative tal.
Ansvarssubjektet i stk. 1 er den finansielle enhed. Den strafbare handling består i, at de finansielle enheder ikke klassificerer it-relaterede hændelser og dermed ikke fastslår deres virkninger på grundlag af følgende kriterier oplistet i artikel 18, stk. 1, litra a-f.
Det fremgår af stk. 2, at de finansielle enheder klassificerer cybertrusler som væsentlige på grundlag af de udsatte tjenesters kritiske betydning, herunder den finansielle enheds transaktioner og operationer, antallet og/eller relevansen af de kunder eller finansielle modparter, som rammes, og risikoområdernes geografiske udbredelse.
Ansvarssubjektet i artikel 18, stk. 2, er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed undlader at klassificere cybertrusler som væsentlige, eksempelvis på grundlag af de udsattes tjenesters kritiske betydning.
Artikel 19, stk. 1, omhandler indberetning af større it-relaterede hændelser. Bestemmelsen forpligter den finansielle enhed til at indberette større it-relaterede hændelser til den relevante kompetente myndighed.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke underretter Finanstilsynet om en større it-relateret hændelse.
I medfør af artikel 19, stk. 3, skal den finansielle enhed underrette Finanstilsynet, uden unødigt ophold, i tilfælde af, at en større it-relateret hændelse indtræffer og har indflydelse på kunders finansielle interesser. Den finansielle enhed underretter også om de foranstaltninger, der er truffet for at afbøde de negative virkninger af en sådan hændelse. I tilfælde af en væsentlig cybertrussel underretter de finansielle enheder, hvis det er relevant, de af deres kunder, som potentielt er berørt heraf, om eventuelle passende beskyttelsesforanstaltninger, som sidstnævnte kan overveje at træffe
Ansvarssubjektet ved overtrædelse af artikel 19, stk. 3, er den finansielle enhed. En strafbar handling kan bestå i, at den finansielle enhed ikke underretter Finanstilsynet rettidigt i tilfælde af en større it-relateret hændelse indtræffer, som har indflydelse på kunders finansielle interesser. En strafbar handling kan også bestå i at underrette Finanstilsynet om den it-relaterede hændelse, uden at underrette om de foranstaltninger der er truffet for at afbøde de negative virkninger.
Det fremgår af artikel 19, stk. 4, at den finansielle enhed, i tilfælde af en it-relateret hændelse, skal indgive henholdsvis en indledende underretning, jf. litra a, en foreløbig rapport så snart den oprindelige hændelses status har ændret sig betydeligt, eller håndteringen af den større it-relaterede hændelse har ændret sig på grundlag af nye tilgængelige oplysninger, efterfulgt, alt efter hvad der er relevant, af ajourførte underretninger, hver gang der foreligger en relevant ajourføring af status, samt efter en specifik anmodning fra den kompetente myndighed, jf. litra b. Samt en endelig rapport, når den grundlæggende årsagsanalyse er afsluttet, uanset om der allerede er gennemført afbødende foranstaltninger, og når tallene for de faktiske virkninger foreligger og kan erstatte skøn, jf. litra c. Fristerne for disse skal fastsættes i overensstemmelse med artikel 20, stk. 1, litra a, nr. ii, og skal indgives til Finanstilsynet, som er den kompetente myndighed.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i, ikke at indgive en indledende underretning, en foreløbig rapport eller en endelig rapport til Finanstilsynet inden for de af artikel 20, stk. 1, litra a, nr. ii, fastsatte frister.
Artikel 24 i DORA-forordningen omhandler generelle krav til gennemførslen af test af digital operationel modstandsdygtighed.
Det følger af artikel 24, stk. 1, at en finansiel enhed skal udarbejde, opretholde og gennemgå et forsvarligt og omfattende program for test af digital operationel modstandsdygtighed, som en integreret del af den i artikel 6 omhandlede ramme for it-risikostyring. Dette skal ske med henblik på at vurdere beredskabet i forhold til håndtering af it-relaterede hændelser, identificere svagheder, mangler og huller i den digitale operationelle modstandsdygtighed og straks træffe korrigerende foranstaltninger.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har udarbejdet et program for test af digital operationel modstandsdygtighed. Den strafbare handling kan også bestå i, at den finansielle enheds program for test af digital operationel modstandsdygtighed ikke er forsvarligt eller omfattende nok.
I medfør af artikel 24, stk. 2, skal programmet for test af digital operationel modstandsdygtighed, omfatte en række vurderinger, test, metodologier, fremgangsmåder og værktøjer, der skal anvendes i overensstemmelse med artikel 25 og 26 i DORA-forordningen.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i, at den finansielle enhed gennemfører tests der ikke i tilstrækkelig grad omfatter kravene om vurderinger, test, metodologier, fremgangsmåder og værktøj, der skal anvendes i overensstemmelse med artikel 25 og artikel 26 i DORA-forordningen.
Artikel 24, stk. 3, pålægger den finansielle enhed at følge en risikobaseret tilgang for programmet for test af digital operationel modstandsdygtighed. Den finansielle enhed skal ved gennemførslen af programmet, tage hensyn til kriterierne i DORA-forordningens artikel 4, stk. 2, og til et it-risikomiljø i udvikling, eventuelle specifikke risici, som den berørte finansielle enhed udsættes for eller kan blive udsat for, informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre faktorer, som den finansielle enhed finder relevante.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse af artikel 24, stk. 3, kunne eksempelvis være, at den finansielle enhed gennemfører et program for test af digital operationel modstandsdygtighed uden at tage hensyn til den finansielles enheds it-risikomiljø.
I medfør af artikel 24, stk. 4, skal den finansielle enhed sikre, at tests gennemføres af uafhængige parter, hvad enten de er interne eller eksterne. Hvis en intern tester gennemfører test, skal de finansielle enheder afsætte tilstrækkelige ressourcer og sikre, at interessekonflikter undgås under testens udformnings- og gennemførelsesfaser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed der gennemfører tests af deres digitale operationelle modstandsdygtighed ikke sikrer, at testen gennemføres af uafhængige interne eller eksterne parter for at begrænse interessekonflikter.
Artikel 24, stk. 5, pålægger den finansielle enhed at fastlægge procedurer og politikker med henblik på at prioritere, klassificere og afhjælpe alle problemer, der identificeres i forbindelse med gennemførelsen af test, og fastlægger interne valideringsmetoder for at sikre, at alle konstaterede svagheder, mangler eller huller afhjælpes fuldt ud.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at fastlægge procedurer og politikker der prioriterer, klassificerer og afhjælper de problemer der identificeres med gennemførslen af testen.
I medfør af artikel 24, stk. 6, skal de finansielle enheder sikre, at der gennemføres passende test af alle it-systemer og -applikationer, der understøtter kritiske eller vigtige funktioner, mindst én gang om året.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kunne bestå i at den finansielle enhed ikke mindst én gang årligt gennemfører tests af alle it-systemer og it-applikationer, der kan anses for passende.
Artikel 25 omhandler test af it-værktøjer og -systemer.
Det følger af artikel 25, stk. 1, at programmet for test af den digitale operationelle modstandsdygtighed skal være i overensstemmelse med de af artikel 4, stk. 2, kriterier for proportionalitet. I medfør af artikel 4, stk. 2, skal den finansielle enheds styring, klassificering, indberetning af it-relaterede hændelser, test af digital operationel modstandsdygtighed og styring af it-tredjepartsrisici stå i et rimeligt forhold til deres størrelse og samlede risikoprofil og til karakteren, omfanget og kompleksiteten af deres tjenester, aktiviteter og operationer, som specifikt fastsat i de relevante regler i de nævnte kapitler.
I overensstemmelse med de oplistede kriterier i artikel 4, stk. 2, skal programmet for test af digital operationel modstandsdygtighed, nævnt i artikel 24, indeholde bestemmelser om gennemførelse af relevante test såsom sårbarhedsvurderinger og -scanninger, open source-analyser, vurderinger af netsikkerheden, mangelanalyser, fysiske sikkerhedsgennemgange, spørgeskemaer og scanningssoftwareløsninger, gennemgange af kildekoder, når det er praktisk muligt, scenariebaserede test, kompatibilitetstest, præstationstest, end-to-end-test og penetrationstest.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at den finansielle enhed har vedtaget et program for test der ikke er tilstrækkeligt, mangelfuldt eller lever op til de fastsatte krav for programmer for test af digital operationel modstandsdygtighed i artikel 25, stk. 1.
I medfør af artikel 25, stk. 3, skal mikrovirksomheder gennemføre de i artikel 25, stk. 1 omhandlede test ved at kombinere en risikobaseret tilgang med strategisk planlægning af it-test under behørig hensyntagen til behovet for at opretholde en afbalanceret tilgang mellem omfanget af ressourcer og den tid, der skal afsættes til it-test som omhandlet i denne artikel, på den ene side og den hastende karakter, risikotype og informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre relevante faktorer, herunder den finansielle enheds evne til at tage kalkulerede risici, på den anden side.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i, at en mikrovirksomhed ikke har taget tilstrækkelig hensyn til at opretholde en balanceret tilgang til henholdsvis omfanget af ressourcer og andre faktorer, som eksempelvis den finansielle enheds evne til at tage kalkulerede risici.
Artikel 28 omhandler generelle principper for forsvarlig styring af it-tredjepartsrisici.
I medfør af artikel 28, stk. 1, skal den finansielle enhed styre deres it-tredjepartsrisiko som en integreret del af it-risiko, inden for deres ramme for it-risikostyring.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at den finansielle enheds it-tredjepartsrisiko ikke bliver styret som en integreret del af deres samlede it-risiko, inden for den finansielle enheds it-risikostyring.
I medfør af artikel 28, stk. 1, litra b, skal styringen af it-tredjepartsrisikoen hos den finansielle enhed foregå under hensyntagen til proportionalitetsprincippet og skal derfor tage hensyn til henholdsvis artikel 28, stk. 1, litra b, nr. i, som omhandler karakteren, omfanget, kompleksiteten og betydningen af den it-relaterede afhængighed og artikel 28, stk. 1, litra b, nr. ii, som omhandler de risici, der opstår som følge af kontraktlige ordninger for brugen af it-tjenester, der er indgået med tredjepartsudbydere af it-tjenester, under hensyntagen til den kritiske betydning eller vigtighed af den pågældende tjeneste, proces eller funktion og til de potentielle virkninger for driftsstabiliteten og tilgængeligheden af finansielle tjenesteydelser og aktiviteter på individuelt plan og koncernniveau.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at kravene i artikel 28, stk. 1, litra b, nr. i-ii, ikke tages under betragtning ved udformningen af den finansielle enheds styring af it-tredjepartsrisiko.
Artikel 28, stk. 2, omhandler strategien for den finansielle enheds it-tredjepartsrisiko. Den finansielle enhed skal vedtage og gennemgå deres strategi regelmæssigt som led i deres ramme for it-risikostyring. Strategien skal omfatte en politik for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og som leveres af tredjepartsudbydere af it-tjenester. Strategien skal gælde på individuelt grundlag og, hvor det er relevant, på delkonsolideret og konsolideret grundlag. Ledelsesorganet i den finansielle enhed skal på grundlag af en vurdering af den finansielle enheds samlede risikoprofil og omfanget og kompleksiteten af forretningstjenesterne regelmæssigt gennemgå de risici, der er konstateret i forbindelse med kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at ledelsesorganet i den finansielle enhed ikke ved vurderingen af den samlede risikoprofil har gennemgået de risici, der er konstateret i forbindelse med kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner.
Artikel 28, stk. 3, fastsætter krav for den finansielle enheds dokumentation af kontraktsretlige ordninger for brugen af it-tjenester, der leveres af tredjepartsudøvere. Den finansielle enhed skal som et led i deres ramme for it-risikostyring sørge for at opretholde og ajourføre et register over kontraktsretlige ordninger for brugen af it-tjenester, der leveres af tredjepartsudøvere på både enhedsniveau, delkonsolideret niveau og konsolideret niveau. De kontraktsretlige ordninger skal være skelnet mellem de it-tjenester der understøtter kritiske eller vigtige funktioner, og dem, der ikke gør.
Desuden skal den finansielle enhed mindst én gang årligt indberette nye ordninger for brugen af it-tjenester, kategorierne af tredjepartsudbydere af IKT-tjenester, typen af kontraktlige ordninger og de it-tjenester og funktioner, der leveres, til Finanstilsynet.
Til sidst skal den finansielle enhed efter anmodning, stille det fulde register over oplysninger eller, som anmodet, nærmere angivne afsnit heraf til rådighed for Finanstilsynet sammen med eventuelle oplysninger, som anses for nødvendige for at muliggøre et effektivt tilsyn med den finansielle enhed. Den finansielle enhed underretter rettidigt Finanstilsynet om enhver planlagt kontraktlig ordning for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og når en funktion er blevet kritisk eller vigtig.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at den finansielle enhed efter anmodning fra Finanstilsynet, ikke kan stille det fulde register over kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere til rådighed.
Artikel 28, stk. 4, litra a-e, fastsætter krav til den finansielle enhed før der indgås en kontraktlig ordning for brugen af it-tjenester. Den finansielle enhed skal vurdere, om den kontraktlige ordning omfatter brugen af it-tjenester, der understøtter en kritisk eller vigtig funktion, jf. litra a, vurdere, om de tilsynsmæssige betingelser for udlicitering er opfyldt, jf. litra b, identificere og vurdere alle relevante risici i forbindelse med den kontraktlige ordning, herunder muligheden for, at sådanne kontraktlige ordninger kan bidrage til at øge it-koncentrationsrisikoen, jf. artikel 29, jf. litra c, foretage fornøden due diligence over for potentielle tredjepartsudbydere af it-tjenester og under alle udvælgelses- og vurderingsprocesserne sikre, at den pågældende tredjepartsudbyder af it-tjenester er egnet jf. litra d, og identificere og vurdere interessekonflikter, som de kontraktlige ordninger kan give anledning til, jf. litra e.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i at den finansielle enhed indgår en kontraktlig ordning for brugen af it-tjenester, uden at have identificeret og vurderet interessekonflikter, som den kontraktlige ordning kan give anledning til.
I medfør af artikel 28, stk. 7, litra a-d, skal den finansielle enhed sikre sig, at de indgåede kontraktlige ordninger kan opsiges på baggrund af væsentlig overtrædelse begået af tredjepartsudbyderen af it-tjenester af gældende love, administrative bestemmelser eller kontraktvilkår, jf. litra a. Forhold, der er identificeret under overvågningen af it-tredjepartsrisiko, og som anses for at kunne ændre udførelsen af de funktioner, der er leveret gennem den kontraktlige ordning, herunder væsentlige ændringer, der påvirker ordningen eller situationen for tredjepartsudbyderen af it-tjenester skal også kunne lægges til grund for opsigelse af den kontraktlige ordning, jf. litra b.
Ligeledes skal dokumenterede svagheder hos tredjepartsudbyderen af it-tjenester, som vedrører dennes samlede it-risikostyring, og navnlig i den måde, hvorpå denne garanterer tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, hvad enten det drejer sig om personoplysninger eller på anden måde følsomme data eller andre oplysninger end personoplysninger, kunne lægges til grund for opsigelse af den kontraktlige ordning, jf. litra c. Til sidst skal den kontraktlige ordning kunne opsiges, såfremt Finanstilsynet ikke længere kan føre effektivt tilsyn med den finansielle enhed som følge af betingelserne eller omstændighederne vedrørende de respektive kontraktlige ordninger.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at den kontraktlige ordning ikke kan opsiges på baggrund af de af artikel 28, stk. 7, oplistede situationer.
Artikel 28, stk. 8, omhandler exitstrategier. Den finansielle enhed skal indføre exitstrategier for it-tjenester, der understøtter kritiske eller vigtige funktioner.
Exitstrategierne skal tage højde for de risici, der kan opstå hos tredjepartsudbydere af it-tjenester, navnlig mulige svigt fra deres side, en forringelse af kvaliteten af de leverede it-tjenester, eventuelle driftsforstyrrelser som følge af uhensigtsmæssig eller manglende levering af it-tjenester eller eventuelle væsentlige risici i forbindelse med en passende og løbende anvendelse af de pågældende it-tjenester eller opsigelse af kontraktlige ordninger med tredjepartsudbydere af it-tjenester i en af de i artikel 28, stk. 7, anførte situationer.
Den finansielle enhed skal sikre, at de kan opsige den kontraktlige ordning uden at deres forretningsaktivitet afbrydes, jf. litra a, uden at efterlevelsen af de forskriftsmæssige krav begrænses, jf. litra b og uden at kontinuiteten og kvaliteten af de leverede tjenester til kunder lider skade, jf. litra c.
Ligeledes skal exitstrategierne være i overensstemmelse med kriterierne i artikel 4, stk. 2, om proportionalitet, samt være omfattende og veldokumenterede.
Der skal desuden være udarbejdet overgangsplaner der kan fratage tredjepartsudbyderen af it-tjenester de udliciterede it-tjenester og de relevante data og sikkert og fuldstændigt kan overføre disse til alternative udbydere eller på ny indarbejde dem internt. Den finansielle enhed skal derudover identificere alternative løsninger.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke har sikret sig at indføre en exitstrategi i tilfælde af, at en kontrakt ordning med en tredjepartsudbyder af it-tjenester opsiges.
Artikel 29, stk. 1, omhandler foreløbig vurdering af it-koncentrationsrisiko på enhedsniveau. Bestemmelsen fastsætter krav, som den finansielle enhed skal tage hensyn til ved identifikation og vurdering af risici i forbindelse med en kontraktlige ordning, herunder muligheden for, at en kontraktlig ordning kan bidrage til at øge it-koncentrationsrisikoen. Ved indgåelse af en kontraktlig ordning i forbindelse med it-tjenester, der understøtter kritiske eller vigtige funktioner tager den finansielle enhed hensyn til udlicitering til en tredjepartsudbyder af it-tjenester, som ikke er let at erstatte, jf. litra a og indgåelse af flere kontraktlige ordninger om levering af it-tjenester, der understøtter kritiske eller vigtige funktioner, med den samme tredjepartsudbyder af it-tjenester eller med tredjepartsudbydere af it-tjenester, som har tætte forbindelser til denne, jf. litra b.
Den finansielle enhed skal i medfør af bestemmelsen afveje fordele og omkostninger ved alternative løsninger såsom brug af forskellige tredjepartsudbydere af it-tjenester under hensyntagen til, hvorvidt og hvordan de påtænkte løsninger svarer til de forretningsmæssige behov og mål, der er fastsat i deres strategi for digital modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed ikke har taget hensyn til udliciteringen til en tredjepartsudbyder af it-tjenester som ikke er lette at erstatte, ved indgåelsen af en kontraktlig ordning om it-tjenester der understøtter kritiske eller vigtige funktioner.
I medfør af artikel 29, stk. 2, skal den finansielle enhed i tilfælde af, at den kontraktlige ordning for brug af it-tjenester med en tredjepartsudbyder, kan komme videre i underentreprise med hjemsted i tredjeland, overveje de fordele og risici, der kan opstå i forbindelse med underentreprisen, særligt hvis it-tjenesten understøtter kritiske eller vigtige funktioner.
Den finansielle enhed skal tage hensyn til de bestemmelser i insolvensretten, som finder anvendelse, hvis tredjepartsudbyderen af it-tjenester går konkurs, samt eventuelle begrænsninger, der kan opstå i forbindelse med en hastende genopretning af den finansielle enheds data, såfremt den kontraktlige ordning vedrører it-tjenester, der understøtter kritiske eller vigtige funktioner.
Den finansielle enhed tager derudover hensyn til overholdelsen af Unionens databeskyttelsesregler og en effektiv håndhævelse af retten i det pågældende tredjeland, såfremt der er indgået kontraktlige ordninger for brug af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, med en tredjepartsudbyder af IKT-tjenester med hjemsted i et tredjeland.
Til sidst vurderer den finansielle enhed hvorvidt og hvordan potentielt lange eller komplekse underentreprisekæder kan påvirke deres evne til fuldt ud at overvåge de udliciterede funktioner og den kompetente myndigheds evne til i denne henseende at føre effektivt tilsyn med den finansielle enhed, såfremt den kontraktlige ordning for brugen af IKT-tjenester, understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ved indgåelse af kontraktlige ordninger med en tredjepartsudbyder af it-tjenester, der understøtter kritiske funktioner, ikke er foretaget en afvejning af fordele og risici såfremt tredjepartsudbyderen giver it-tjenesterne videre til en underentreprise med hjemsted i udlandet.
Artikel 30 omhandler centrale kontraktsbestemmelser.
Artikel 30, stk. 1, fastsætter at rettigheder og forpligtelser mellem den finansielle enhed og tredjepartsudbyderen skal fordeles klart og fastlægges skriftligt. Serviceniveauaftaler skal være omfattet af den samlede kontrakt og dokumenteres i ét skriftligt dokument. Parterne skal have adgang til dokumentet i papir, eller i et andet varigt og permanent format, der kan downloades.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke tager højde for, at rettighederne og forpligtelserne mellem parterne skal nedfattes skriftligt og have varig karakter, som enten kan tilgås på papir eller i et format, der kan downloades.
Artikel 30, stk. 2, fastsætter en række minimumskrav til den kontraktlige ordning for brugen af it-tjenester.
Den kontraktlige ordning skal sikre en klar og fuldstændig beskrivelse af alle funktioner og it-tjenester, som tredjepartsudbyderen af it-tjenester skal levere, med angivelse af, om underentreprise af en it-tjeneste, der understøtter en kritisk eller vigtig funktion eller væsentlige dele heraf er tilladt, og, hvis det er tilfældet, de betingelser, der gælder for en sådan underentreprise, jf. litra a.
De steder, navnlig de regioner eller lande, hvor de udliciterede funktioner og it-tjenester eller funktionerne og it-tjenesterne i underentreprise skal leveres, og hvor data skal behandles, herunder lagringsstedet, og kravet om, at tredjepartsudbyderen af it-tjenester på forhånd skal underrette den finansielle enhed, hvis den har planer om at ændre disse steder, jf. litra b.
Den kontraktlige ordning skal ligeledes indeholde bestemmelser om tilgængelighed, autenticitet, integritet og fortrolighed med hensyn til databeskyttelse, herunder personoplysninger, jf. litra c.
Bestemmelser om sikring af adgang, genopretning og tilbagesendelse i et lettilgængeligt format af personoplysninger og andre data end personoplysninger, der behandles af den finansielle enhed, i tilfælde af insolvens, afvikling eller afbrydelse af de forretningsaktiviteter, som tredjepartsudbyderen af it-tjenester varetager, eller i tilfælde af opsigelse af de kontraktlige ordninger skal medtages i den kontraktlige ordning, jf. litra d.
Den kontraktlige ordning skal derudover indeholde beskrivelser af serviceniveauet, herunder ajourføringer og revisioner heraf, jf. litra e.
Forpligtelsen for tredjepartsudbyderen af it-tjenester til at yde bistand til den finansielle enhed uden yderligere omkostninger eller til en omkostning, der fastsættes på forhånd, hvis der opstår en IKT-hændelse, der vedrører den it-tjeneste, som leveres til den finansielle enhed skal også indgå i den kontraktlige ordning, jf. litra f.
Derudover skal den finansielle enhed medtage forpligtelsen for tredjepartsudbyderen af it-tjenester til at samarbejde fuldt ud med den finansielle enheds kompetente myndigheder og afviklingsmyndigheder, herunder personer, som de har udpeget, jf. litra g og opsigelsesrettigheder og dertil knyttet minimumsfrister for opsigelse af de kontraktlige ordninger i overensstemmelse med de kompetente myndigheders og afviklingsmyndighedernes forventninger, jf. litra h.
Slutteligt skal betingelserne for deltagelse af tredjepartsudbydere af it-tjenester i de finansielle enheders programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed, jf. artikel 13, stk. 6, medtages i den kontraktlige ordning.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en kontrakt mellem en finansiel enhed og en tredjepartsudbyder af it-tjenester er mangelfuld og ikke på en klar og tilstrækkelig måde, omfatter de af artikel 30, stk. 2, omfattede minimumskrav til kontraktlige ordninger for brugen af it-tjenester som eksempelvis beskrivelserne af serviceniveauet, herunder ajourføringer og revisioner, jf. litra e og opsigelsesrettigheder, jf. litra h.
Artikel 30, stk. 3, fastsætter en række minimumskrav til den kontraktlige ordning for brugen af it-tjenester der understøtter kritiske eller vigtige funktioner.
Den kontraktlige ordning skal sikre en fuldstændig beskrivelse af serviceniveauer, herunder ajourføringer og revisioner heraf, med præcise kvantitative og kvalitative præstationsmål inden for de aftalte serviceniveauer, således at den finansielle enhed kan foretage en effektiv overvågning af it-tjenester, og således at der uden unødigt ophold kan træffes passende afhjælpende foranstaltninger, når de aftalte serviceniveauer ikke overholdes, jf. litra a.
Den kontraktlige ordning skal derudover omfatte opsigelsesfrister og indberetningsforpligtelser for tredjepartsudbyderen af it-tjenester over for den finansielle enhed, herunder underretning om enhver udvikling, som kan have væsentlig indvirkning på, hvorvidt tredjepartsudbyderen af it-tjenester har evnen til effektivt at levere it-tjenester, der understøtter kritiske eller vigtige funktioner i overensstemmelse med de aftalte serviceniveauer, jf. litra b.
Artikel 30, stk. 3, litra c, fastsætter krav til tredjepartsudbyderen af it-tjenester om at gennemføre og teste beredskabsplaner og indføre it-sikkerhedsforanstaltninger, -værktøjer og -politikker, som giver et passende niveau af sikkerhed for, at den finansielle enhed kan foretage levering af tjenester i overensstemmelse med dens reguleringsramme.
Derudover skal den kontraktlige ordning omfatte en forpligtelse for tredjepartsudbyderen af it-tjenester til at deltage i og fuldt ud samarbejde om den finansielle enheds TLPT som omhandlet i artikel 26 og 27, jf. litra d.
Den kontraktlige ordning skal desuden omfatte retten til løbende at overvåge det præstationsniveau, som tredjepartsudbyderen af it-tjenester leverer for den finansielle enhed, en udpeget tredjeparts og Finanstilsynet. Dette indebærer en uindskrænket ret til adgang, inspektion og revision og ret til at tage kopier af relevant dokumentation på stedet, hvis denne har afgørende betydning for tredjepartsudbyderen af it-tjenesters operationer, hvis faktiske udøvelse ikke hindres eller begrænses af andre kontraktlige ordninger eller gennemførelsespolitikker, jf. litra e, nr. i.
Dernæst fastsætter artikel 30, stk. 3, litra e, nr. ii-iv, retten til at nå til enighed om alternative sikkerhedsniveauer, hvis andre kunders rettigheder påvirkes, forpligtelsen for tredjepartsudbyderen af it-tjenester til fuldt ud at samarbejde under de inspektioner og revisioner på stedet, som de kompetente myndigheder, den ledende tilsynsførende, den finansielle enhed eller en udpeget tredjepart udfører og forpligtelsen til at give nærmere oplysninger om omfanget af, de procedurer, som skal følges, og hyppigheden af sådanne inspektioner og revisioner.
I medfør af artikel 30, stk. 3, litra f, skal den finansielle enhed ved en kontraktlig ordning, sørge for at medtage exitstrategier som indeholder en obligatorisk overgangsperiode. I løbet af denne overgangsperiode skal tredjepartsudbyderen af it-tjenester fortsat levere de respektive funktioner eller it-tjenester med henblik på at mindske risikoen for forstyrrelser i den finansielle enhed eller sikre en effektiv afvikling eller omstrukturering heraf. Exitstrategien skal også give den finansielle enhed mulighed for at migrere til en anden tredjepartsudbyder af it-tjenester eller skifte til interne løsninger, der stemmer overens med den leverede tjenestes kompleksitet.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed, ikke formår at vedtage en exitstrategi i deres kontraktlige ordning som sikrer den finansielle enhed fortsat, får leveret de respektive funktioner af it-tjenester fra tredjepartsudbyderen.
Overtrædelser af MICA- og DORA-forordningen kan ske af både fysiske og juridiske personer. I de situationer, hvor ansvarssubjektet er en virksomhed, vil det være udgangspunktet, at tiltalen rejses mod den juridiske person. Der kan i en række tilfælde være anledning til – ud over tiltalen mod den juridiske person – tillige at rejse tiltale mod en eller flere fysiske personer, hvis den eller de pågældende har handlet forsætligt eller udvist grov uagtsomhed. For virksomheder under stiftelse vil ansvarssubjektet være de personer, der stifter virksomheden, da en virksomhed under stiftelse ikke kan være ansvarssubjekt.
Bødeniveauet tiltænkes fastsat i overensstemmelse med § 372, stk. 12, i lov om finansiel virksomhed. Det fremgår heraf, at der ved udmåling af bøder lægges vægt på overtrædelsens grovhed og gerningsmandens økonomiske forhold. For overtrædelser begået af juridiske personer lægges ved vurderingen af gerningsmandens økonomiske forhold vægt på virksomhedens nettoårsomsætning på gerningstidspunktet. For overtrædelser begået af fysiske personer lægges vægt på den pågældendes indtægtsforhold på gerningstidspunktet. Det er afgørende, at der ved strafudmålingen lægges vægt på de nævnte faktorer, således at bøder vil have en pønal og præventiv effekt på alle aktører på markedet, og således at det finansielle incitament til at overtræde bestemmelserne reduceres. Vurderingen af overtrædelsens grovhed bør foregå uafhængig af gerningsmandens økonomiske forhold.
Til nr. 1 (fodnoten i lov om kapitalmarkeder)
Lov om kapitalmarkeder gennemfører i dag dele af NIS-direktivet, herunder bestemmelser om udpegning af operatører af væsentlige tjenester, jf. § 58 a i loven, og bestemmelser om Finanstilsynets og Center For Cybersikkerheds orientering af offentligheden om hændelser, hvis offentlighedens kendskab hertil er nødvendig for at forebygge eller håndtere igangværende hændelser, jf. § 236 a.
Det foreslås i fodnoten til lovens titel, at »dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016, EU-Tidende 2016, nr. L 194, side 1,« udgår, og at »og dele af Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296« ændres til: »dele af Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296, og dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«.
Det foreslåede vil medføre, at henvisning til NIS direktivet udgår fra fodnoten. Det skal ses i sammenhæng med, at NIS 2-direktivet ophæver NIS-direktivet. Det betyder også, at de dele af NIS-direktivet, der er gennemført i lov om kapitalmarkeder, foreslås ophævet i nærværende lovforslag, herunder bestemmelserne om udpegning af operatører af væsentlige tjenester og orientering af offentligheden om hændelser.
Det foreslåede vil desuden medføre, at der indsættes en henvisning til, at der med denne lov foretages en gennemførelse af dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022 om ændring af direktiv 2009/65/EF, 2009/138/EF, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341 for så vidt angår digital operationel modstandsdygtighed i den finansielle sektor. Denne henvisning tilføjes, idet lovforslaget vil gennemføre dele af artikel 6 i direktivet, der vedrører ændringer til 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter (MiFID II) i lov om kapitalmarkeder. Direktivet er et følgedirektiv til DORA-forordningen. Med forslaget til § 2, nr. 12, foreslås det, at Finanstilsynet skal påse overholdelsen af DORA-forordningen. Der henvises til lovforslagets § 3, nr. 17.
Til nr. 2 (overskriften før § 58 a i lov om kapitalmarkeder)
Den gældende overskrift før § 58 a vedrører identifikation af operatører af væsentlige tjenester.
Det foreslås at overskriften før § 58 a ophæves.
Det foreslåede er en konsekvensrettelse på baggrund af lovforslagets § 3, nr. 3, hvorved § 58 a foreslås ophævet, der fastsætter regler om identifikation af operatører af væsentlige tjenester.
Til nr. 3 (§ 58 a i lov om kapitalmarkeder)
Det fremgår af § 58 a, stk. 1, at Finanstilsynet mindst hvert andet år udpeger de operatører af markedspladser og centrale modparter (CCP’er), der er operatører af væsentlige tjenester. Det fremgår af stk. 2, hvilke kriterier Finanstilsynet skal lægge vægt på i forbindelse med udpegningen efter stk. 1. Videre fremgår det af stk. 3, at Finanstilsynet på sin hjemmeside offentliggør, hvilke operatører af markedspladser og centrale modparter (CCP’er), der er udpeget som operatører af væsentlige tjenester.
Bestemmelsen gennemfører NIS-direktivets artikel 5, stk. 1-3 og 5, hvorefter medlemsstaterne identificerer operatører af væsentlige tjenester ud fra, at de tjenester, der leveres, er væsentlige for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter, at leveringen af tjenesterne afhænger af net- og informationssystemer, og at en hændelse vil få væsentlige forstyrrende virkninger for leveringen af tjenesterne.
Med en hændelse forstås enhver begivenhed, der har en negativ indvirkning på sikkerheden i en operatørs net- og informationssystemer. Med sikkerhed i net- og informationssystemer forstås net- og informationssystemers evne til, på et givet sikkerhedsniveau, at modstå handlinger, der er til skade for tilgængeligheden, autenticiteten, integriteten eller fortroligheden i forbindelse med lagrede eller overførte eller behandlede data eller de dermed forbundne tjenester, der tilbydes af eller er tilgængelige via disse net- og informationssystemer.
Til sidst fremgår det af stk. 4, at Finanstilsynet kan fastsætte nærmere regler om udpegningen og kriterierne herfor i medfør af stk. 1 og 2, og regler om hændelsesrapportering, herunder om, at Finanstilsynet og Center for Cybersikkerhed underrettes ved en hændelse, der har en negativ indvirkning på sikkerheden i virksomhedens net- og informationssystemer.
Bestemmelsen giver mulighed for at udstede regler, der gennemfører NIS-direktivets artikel 14, stk. 3, hvorefter en operatør af væsentlige tjenester hurtigst muligt skal foretage en underretning til den kompetente myndighed eller CSIRT, af hændelser, der har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som virksomheden leverer. Ved CSIRT forstås en national it-beredskabsenhed, der håndterer hændelser, og som har ansvar for at sikre samarbejdet om sikkerheden i net- og informationssystemer i EU, jf. definitionen heraf i § 2, nr. 17, i lov om net- og informationssikkerhed for domænenavnssystemer og visse digitale tjenester. I Danmark er det Forsvarets Efterretningstjeneste, herunder Center for Cybersikkerhed, der er udpeget som CSIRT.
Der henvises i det hele til de specielle bemærkningerne til § 58 a i Folketingstidende 2017-18, tillæg A, L 144 som fremsat, side 33-35.
Det foreslås at ophæve § 58 a.
Ophævelsen foreslås, da NIS 2-direktivet ophæver NIS-direktivet, herunder reglerne i artikel 5 om medlemsstaternes identifikation af operatører af væsentlige tjenester og kriterierne herfor, og kravene i artikel 14, stk. 3, om underretning af hændelser til den kompetente myndighed eller CSIRT.
Kravet om underretning af hændelser i artikel 14, stk. 3, i NIS-direktivet bliver erstattet af kravet om indberetning af større informations- og kommunikationsteknologirelaterede hændelser i medfør af artikel 19, stk. 1, i DORA-forordningen, der gælder for finansielle enheder, herunder operatører af markedspladser og centrale modparter (CCP’er), jf. artikel 2, stk. 1, litra h og i. Når Finanstilsynet modtager en underretning om en større it-hændelse, skal Finanstilsynet rettidigt forelægge nærmere oplysninger om hændelsen for andre myndigheder, for hvem hændelsen er relevant, jf. artikel 19, stk. 6, i DORA-forordningen. Artikel 19, stk. 6, nævner de myndigheder, som Finanstilsynet kan forelægge en hændelse for, herunder CSIRT, dvs. Center for Cybersikkerhed.
Til nr. 4 (§ 60, stk. 1, nr. 7, i lov om kapitalmarkeder)
Det gældende § 60, stk. 1, nr. 7, i lov om kapitalmarkeder fastsætter, at Finanstilsynet kan inddrage en tilladelse efter lovens § 59, når en operatør af et reguleret marked groft eller gentagne gange har tilsidesat sine forpligtelser efter denne lov, bestemmelser fastsat i medfør af denne lov, påbud i henhold til lovforslagets kapitel 37 eller pligter efter Europa-Parlamentets og Rådet forordning nr. 600/2014 (EU) om markeder for finansielle instrumenter og om ændring af forordning nr. 648/2012 (EU) (MiFIR) og bestemmelser fastsat i medfør heraf.
Det foreslås i § 60, stk. 1, nr. 7, at ændre »eller pligter efter Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter og regler fastsat i medfør heraf.« til », pligter efter Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter og regler fastsat i medfør heraf eller pligter efter Europa-Parlamentets og Rådets (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler fastsat i medfør heraf.«
Den foreslåede ændring vil medføre, at Finanstilsynet kan inddrage en tilladelse efter lovens § 59, når en operatør af et reguleret marked groft eller gentagne gange har tilsidesat sine forpligtelser efter MiCA. Inddragelsen af tilladelsen må kun ske, hvis der ikke findes en mindre vidtgående reaktion, som vil kunne opnå samme resultat.
Til nr. 5 (§ 71, stk. 2, nr. 3, i lov om kapitalmarkeder)
§ 71 i lov om kapitalmarkeder fastsætter regler for en operatør af et reguleret markeds ansvar for en betryggende og hensigtsmæssig drift af det regulerede marked. Stk. 2 i bestemmelsen fastsætter en række organisatoriske krav til det regulerede marked, som operatøren af det regulerede marked er ansvarlig for efterleves både generelt og i konkrete sager.
Bestemmelsen gennemfører artikel 47, stk. 1, i Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter (MiFID II).
Det følger af § 71, stk. 2, nr. 3, i lov om kapitalmarkeder, at en operatør af et reguleret marked skal sikre en ordentlig forvaltning af den tekniske funktion af markedspladsens systemer, herunder etablere effektive nødsystemer.
Bestemmelsen gennemfører artikel 47, stk. 1, litra c, i MiFID II.
Det foreslås, at § 71, stk. 2, nr. 3, affattes således, at det fremgår, at en operatør af et reguleret marked skal kunne styre it-risici i overensstemmelse med kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Den foreslåede ændring vil gennemføre artikel 6, nr. 3, litra a, i Europa-Parlamentets og rådets direktiv (EU) 2022/2556 af 14. december 2022, der er et følgedirektiv til DORA, der ændrer i artikel 47, stk. 1, i MiFID II.
Kapitel II i DORA-forordningen fastsætter bl.a. krav om, at finansielle enheder, herunder operatører af et reguleret marked, skal kunne styre it-risici. Kapitlet indeholder bl.a. regler om interne forvaltnings- og kontrolrammer til at sikre en effektiv og forsigtig styring af risiciene, anvendelse og vedligeholdelse af opdaterede systemer og løbende overvågning og kontrol hermed samt indførelse af en politik for driftsstabilitet.
Overtrædelse af § 71, stk. 2, nr. 3, er strafbelagt, jf. § 247 i lov om kapitalmarkeder. Ansvarssubjektet for overtrædelse af bestemmelsen er operatøren af et reguleret marked. Med indsættelsen af den nye bestemmelse i nr. 3, vil den strafbare handling bestå i manglende styring af it-risici i henhold til reglerne herom i kapitel II i DORA-forordningen. Som eksempel herpå kan nævnes det tilfælde, hvor operatøren af et reguleret marked ikke indfører en ramme for it-risikostyring, der som minimum omfatter strategier, politikker, procedurer, it-protokoller og -værktøjer, som er nødvendige for på behørig vis og i tilstrækkelig grad at beskytte alle informationsaktiver og it-aktiver, jf. artikel 6, stk. 2, i DORA-forordningen.
Der henvises i øvrigt til § 3, nr. 20, i nærværende forslag og bemærkningerne hertil.
Til nr. 6-8 (§ 114 og § 114, nr. 1 og 5, i lov om kapitalmarkeder)
§ 114 stiller en række krav til systemer, procedurer og ordninger hos operatøren af en markedsplads, der skal sikre, at markedspladsens handelssystemer kan fungere i perioder med spidsbelastninger og alvorlig markedsstress.
Det følger af § 114, at en operatør af en markedsplads skal have systemer, procedurer og ordninger, der sikrer, at markedspladsens handelssystemer 1) er fleksible, 2) har tilstrækkelig kapacitet til at håndtere perioder med spidsbelastning med hensyn til ordrer og meddelelser, 3) kan sikre korrekt handel i tilfælde af alvorlig markedsstress, 4) er fuldt gennemprøvede og 5) er omfattet af driftsstabilitetsordninger, der effektivt sikrer, at markedets tjenester kan opretholdes, i tilfælde af at markedspladsens handelssystem svigter.
Bestemmelsen gennemfører artikel 18, stk. 5, og artikel 48, stk. 1, i MiFID II. Artikel 48, stk. 1, retter sig mod operatører af et reguleret marked. Det fremgår af artikel 18, stk. 5, at artikel 48, stk. 1, også gælder for operatører af en multilateral handelsfacilitet (MHF) eller en organiseret handelsfacilitet (OHF).
Det foreslås i § 114 at ændre »have systemer, procedurer og ordninger, der sikrer« til: »etablere og opretholde operationel modstandsdygtighed i overensstemmelse med kravene i kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor for at sikre«.
Det foreslåede medfører, at en operatør af en markedsplads skal etablere og opretholde operationel modstandsdygtighed i overensstemmelse med kravene i kapitel II i DORA-forordningen.
Kapitel II i DORA-forordningen fastsætter krav om, at finansielle enheder, herunder operatører af et reguleret marked, skal kunne styre it-risici. Kapitlet indeholder bl.a. regler om interne forvaltnings- og kontrolrammer til at sikre en effektiv og forsigtig styring af risiciene, anvendelse og vedligeholdelse af opdaterede systemer og løbende overvågning og kontrol hermed samt indførelse af en politik for driftsstabilitet.
Desuden foreslås det i § 114, nr. 1, at ændre »fleksible« til: »modstandsdygtige«.
Til sidst foreslås det at ændre § 114, nr. 5, hvorefter en operatør af en markedsplads skal sikre, at markedspladsens handelssystemer er omfattet af driftsstabiliseringsordninger, herunder politikker og planer for it-driftsstabilitet og planer for it-indsats- og genopretning udarbejdet i overensstemmelse med artikel 11 i DORA-forordningen, der effektivt sikrer, at markedets tjenester kan opretholdes, i tilfælde af at markedspladsens handelssystem svigter.
Artikel 11 i DORA-forordningen fastsætter regler om indsats og genopretning af informations- og kommunikationsteknologi, herunder regler om, at finansielle enheder, bl.a. operatører af markedspladser, indfører en politik og planer for driftsstabilitet og planer for indsats- og genopretning.
De foreslåede ændringer vil gennemføre artikel 6, nr. 4, litra a, i Europa-Parlamentets og rådets direktiv (EU) 2022/2556 af 14. december 2022, der er et følgedirektiv til DORA, der ændrer i artikel 48, stk. 1, i MiFID II.
Overtrædelse af § 114 er strafbelagt, jf. § 247 i lov om kapitalmarkeder. Ansvarssubjektet for overtrædelse af bestemmelsen er operatøren, der driver den pågældende markedsplads. Den strafbare handling består i drift af en markedsplads uden tilstedeværelse af systemer, procedurer og ordninger for markedspladsens handelssystem, der opfylder kravene i nr. 1-5, jf. de specielle bemærkninger til § 114, Folketingstidende 2016-17, tillæg A, L 155 som fremsat, side 220. Med de foreslåede ændringer vil den strafbare handling også kunne bestå i manglende etablering og opretholdelse af operationel modstandsdygtighed i overensstemmelse med kravene i kapitel II i DORA-forordningen, i at handelssystemerne ikke er modstandsdygtige, eller at operatøren ikke indfører politikker og planer for it-driftsstabilitet og planer for it-indsats- og genopretning i overensstemmelse med artikel 11 i DORA-forordningen.
Der henvises i øvrigt til lovforslagets § 2, nr. 20, og bemærkningerne hertil.
Til nr. 9 (§ 118, stk. 2, nr. 1, i lov om kapitalmarkeder)
§ 118 i lov om kapitalmarkeder fastsætter krav til de systemer, procedurer og ordninger, som en operatør af en markedsplads skal have til at forhindre ureglementerede handelsvilkår som følge af algoritmiske handelssystemer.
I medfør af § 118, stk. 2, nr. 1, skal de ordninger, som en operatør af en markedsplads skal have, som minimum sikre og lette medlemmers afprøvning af algoritmer.
Bestemmelsen gennemfører artikel 18, stk. 5, og artikel 48, stk. 1, i MiFID II. Artikel 48, stk. 1, der retter sig mod operatører af et reguleret marked. Det fremgår af artikel 18, stk. 5, at artikel 48, stk. 6, også gælder for operatører af en multilateral handelsfacilitet (MHF) eller en organiseret handelsfacilitet (OHF).
Det foreslås i § 118, stk. 2, nr. 1, efter »afprøvning af algoritmer«, at indsætte: »i overensstemmelse med kravene til it-risikostyring af informations- og kommunikationsteknologi og til test af digital operationel modstandsdygtighed i kapitel II og IV i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
Det foreslåede vil medføre, at en operatør af en markedsplads skal have ordninger, som minimum skal sikre og lette medlemmers afprøvning af algoritmer i overensstemmelse med kravene til it-risikostyring og til test af digital operationel modstandsdygtighed i II og IV i DORA-forordningen.
Kapitel II i DORA-forordningen fastsætter krav om, at finansielle enheder, herunder operatører af et reguleret marked, skal kunne styre it-risici. Kapitlet indeholder bl.a. regler om interne forvaltnings- og kontrolrammer til at sikre en effektiv og forsigtig styring af risiciene, anvendelse og vedligeholdelse af opdaterede systemer og løbende overvågning og kontrol hermed samt indførelse af en politik for driftsstabilitet.
Kapitel IV i DORA-forordningen fastsætter krav om test af digital operationel modstandsdygtighed i forhold til håndteringen af it-hændelser. Hændelser er defineret som hændelser, der kompromitterer sikkerheden i net- og informationssystemerne og har en negativ indvirkning på tilgængeligheden, autenticiteten, integriteten eller fortroligheden af data eller på de tjenester, som den finansielle enhed leverer, jf. artikel 3, nr. 8, i forordningen.
Den foreslåede ændring vil gennemføre artikel 6, nr. 4, litra b, i Europa-Parlamentets og rådets direktiv (EU) 2022/2556 af 14. december 2022, der er et følgedirektiv til DORA, der ændrer i artikel 48, stk. 6, i MiFID II.
Overtrædelse af § 118, stk. 2, nr. 1, er strafbelagt, jf. § 247 i lov om kapitalmarkeder. Ansvarssubjektet for overtrædelse af bestemmelsen er operatøren, der driver den pågældende markedsplads. Den strafbare handling består i, at en operatør af en markedsplads ikke har ordninger, der sikrer og letter medlemmers afprøvning af algoritmer. Med den foreslåede ændring vil den strafbare handling bestå i ikke at have ordninger, der sikrer og letter medlemmers afprøvning af algoritmer i overensstemmelse med kravene i kapitel II og IV i DORA-forordningen.
Der henvises i øvrigt til § 3, nr. 20, i nærværende forslag og bemærkningerne hertil for så vidt angår.
Til nr. 10 (§ 129, stk. 2, nr. 1-3, i lov om kapitalmarkeder)
Den gældende § 129, stk. 1 i lov om kapitalmarkeder fastsætter, at ved opgørelsen af en nettoposition som nævnt i § 128, stk. 1 og 2, medregnes alle de positioner, som en fysisk eller juridisk person selv besidder, og de positioner, der besiddes på vegne af personen på samlet koncernniveau, jf. dog stk. 2.
Den gældende § 129, stk. 2, i lov om kapitalmarkeder fastsætter, at de positioner, der følger af bestemmelsens nr. 1-4, ikke skal medregnes i opgørelsen af en persons nettoposition som nævnt i stk. 1.
Det følger af § 129, stk. 2, nr. 1, at det gælder positioner, der besiddes af eller på vegne af en ikkefinansiel enhed, og som reducerer de risici, der er direkte knyttet til den ikkefinansielle enheds forretningsmæssige aktivitet.
Det følger af § 129, stk. 2, nr. 2, at det ligeledes gælder positioner, der besiddes af eller på vegne af en finansiel enhed, der indgår i en overvejende kommerciel koncern, såfremt den finansielle enhed handler på vegne af en ikkefinansiel enhed i koncernen og positionerne reducerer de risici, der er knyttet til den pågældende ikkefinansielle enheds forretningsmæssige aktivitet.
Det følger af § 129, stk. 2, nr. 3, at det desuden gælder positioner, der besiddes af finansielle og ikkefinansielle modparter, og som hidrører fra transaktioner, der er indgået for at opfylde en forpligtelse til at tilføre en markedsplads likviditet.
Det foreslås i § 129, stk. 2, nr. 1 og 2, at ændre »reducerer« til: » objektiv kan måles til at reducere«, og i nr. 3, at ændre », og som hidrører« til: »med hensyn til positioner, som objektivt kan måles til at hidrøre«.
Det foreslåede vil medføre, at det vil fremgå, at de positioner, som kan undtages fra opgørelsen af en persons nettoposition, er positioner, som objektivt kan måles til dels at reducere de risici, der er direkte tilknyttet den ikkefinancielle enheds forretningsmæssige aktivitet og dels at hidrøre fra transaktioner, der er indgået for at opfylde en forpligtelse til at tilføre en markedsplads likviditet.
De foreslåede ændringer er præciseringer, der skal sikre direktivnær implementering af artikel 57, stk. 1, andet afsnit, litra a-d, i Europa-Parlamentets og Rådets direktiv om markeder for finansielle instrumenter (MiFID II), som blev ændret ved artikel 1, stk. 10, litra a, i Europa-Parlamentets og Rådets direktiv (EU) 2021/338 af 16. februar 2021 om ændring af direktiv 2014/65/EU, for så vidt angår oplysningskrav, produktstyring og positionslofter, og direktiv 2013/36/EU og (EU) 2019/878, for så vidt angår deres anvendelse på investeringsvirksomheder med henblik på at bidrage til genopretningen efter covid-19-krisen (CMRP MiFID II-del).
Til nr. 11 (§ 130, stk. 1, nr. 5, i lov om kapitalmarkeder)
Det følger af den gældende § 130, stk. 1, nr. 5, i lov om kapitalmarkeder, at en operatør af en markedsplads i forbindelse med positionskontrol kan kræve, at en person midlertidigt tilbagefører likviditet til markedspladsen til en aftalt pris og en aftalt mængde.
Det foreslås i § 130, stk. 1, nr. 5, efter »aftalt mængde« at indsætte: »med det udtrykkelige formål at afbøde virkningen af en stor og dominerende position«.
Det foreslåede medfører, at en operatør af en markedsplads i forbindelse med positionskontrol kan kræve, at en person midlertidigt tilbagefører likviditet til markedspladsen til en aftalt pris og en aftalt mængde med det udtrykkelige formål at afbøde virkningen af en stor og dominerende position.
Ændringen vil sørge for, at bestemmelsen er direktivnært implementeret, således at det nu fremgår, at det skal være med det udtrykkelige formål at afbøde virkningen af en stor og dominerende position. Det har ikke tidligere fremgået.
Formålet med § 130, stk. 1, er at sikre, at en operatør af en markedsplads, der skal kontrollere og indberette om de enkelte positionslofter, skal kunne indhente den korrekte information til at udføre dette hverv.
Den foreslåede ændring vil gennemføre artikel 57, stk. 8, første afsnit, litra d, i Europa-Parlamentets og Rådets direktiv 2014/65/EU om markeder for finansielle instrumenter (MiFID II).
Til nr. 12-14 (§ 135, stk. 1, nr. 1, litra a, § 135, stk. 1, nr. 3 og 4, i lov om kapitalmarkeder)
§ 135 fastsætter krav til de handelssystemer, som et fondsmæglerselskab, der benytter sig af algoritmisk handel, anvender.
Det fremgår af § 135, stk. 1, nr. 1, litra a, at et fondsmæglerselskab, der benytter sig af algoritmisk handel, skal have effektive systemer og risikokontrolforanstaltninger, der sikrer, at vedkommendes handelssystemer er modstandsdygtige over for forstyrrelser på markedet og har tilstrækkelig kapacitet til at håndtere perioder med spidsbelastning.
Videre fremgår det af § 135, stk. 1, nr. 3 og 4, at et fondsmæglerselskab, der benytter sig af algoritmisk handel, skal have effektive ordninger, der sikrer, at fondsmæglerselskabet kan håndtere en brist i fondsmæglerselskabets handelssystemer, og sikre, at fondsmæglerselskabets systemer er grundigt afprøvet, og underlægge sine handelssystemer behørig overvågning, der sikrer, at kravene i nr. 1-3 er overholdt.
Bestemmelsen gennemfører artikel 17, stk. 1, i MiFID II.
Det foreslås i § 135, stk. 1, nr. 1, litra a, at ændre »til at håndtere perioder med spidsbelastning« til: »i overensstemmelse med kravene til it-risikostyring i kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
Det foreslåede vil medføre, at et fondsmæglerselskab, der benytter sig af algoritmisk handel, skal have effektive systemer og risikokontrolforanstaltninger, der sikrer, at vedkommendes handelssystemer er modstandsdygtige over for forstyrrelser på markedet og har tilstrækkelig kapacitet i overensstemmelse med kravene til it-risikostyring i kapitel II i DORA-forordningen.
Kapitel II i DORA-forordningen fastsætter krav om, at finansielle enheder, herunder fondsmæglerselskaber, skal kunne styre it-risici. Kapitlet indeholder bl.a. regler om interne forvaltnings- og kontrolrammer til at sikre en effektiv og forsigtig styring af risiciene, anvendelse og vedligeholdelse af opdaterede systemer og løbende overvågning og kontrol hermed samt indførelse af en politik for driftsstabilitet.
Desuden foreslås i § 135, stk. 1, nr. 3, efter »handelssystemer,« at indsætte: »herunder planer for it-driftsstabilitet og planer for it-indsats og genopretning i overensstemmelse med artikel 11 i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
Det foreslåede vil medføre, at et fondsmæglerselskab, der benytter sig af algoritmisk handel, skal have effektive ordninger, der sikrer, at fondsmæglerselskabet kan håndtere en brist i fondsmæglerselskabets handelssystemer, herunder planer for it-driftsstabilitet og planer for it-indsats- og genopretning indenfor informations- og kommunikationsteknologi i henhold til artikel 11 i DORA-forordningen, og sikrer, at fondsmæglerselskabets systemer er grundigt afprøvet.
Artikel 11 i DORA-forordningen fastsætter regler om it-indsats og genopretning, herunder regler om, at finansielle enheder, som bl.a. fondsmæglerselskaber, indfører en politik og planer for driftsstabilitet og planer for indsats- og genopretning.
Til sidst foreslås i § 135, stk. 1, nr. 4, efter »kravene i nr. 1-3« at indsætte: »og kravene til it-risikostyring og til test af digital operationel modstandsdygtighed i kapitel II og IV i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
Det foreslåede vil medføre, at et fondsmæglerselskab, der benytter sig af algoritmisk handel, skal underlægge sine handelssystemer behørig overvågning, der sikrer, at kravene i nr. 1-3 og kravene til it-risikostyring og til test af digital operationel modstandsdygtighed i kapitel II og IV i DORA-forordningen er overholdt.
Kapitel II i DORA-forordningen fastsætter krav om, at finansielle enheder, herunder fondsmæglerselskaber, skal kunne styre it-risici. Kapitlet indeholder bl.a. regler om interne forvaltnings- og kontrolrammer til at sikre en effektiv og forsigtig styring af risiciene, anvendelse og vedligeholdelse af opdaterede systemer og løbende overvågning og kontrol hermed samt indførelse af en politik for driftsstabilitet.
Kapitel IV i DORA-forordningen fastsætter krav om test af digital operationel modstandsdygtighed i forhold til håndteringen af it-relaterede hændelser. It-relaterede hændelser er defineret som hændelser, der kompromitterer sikkerheden i net- og informationssystemerne og har en negativ indvirkning på tilgængeligheden, autenticiteten, integriteten eller fortroligheden af data eller på de tjenester, som den finansielle enhed leverer, jf. artikel 3, nr. 8, i forordningen.
De foreslåede ændringer vil gennemføre artikel 6, nr. 2, litra a, i Europa-Parlamentets og rådets direktiv (EU) 2022/2556 af 14. december 2022, der ændrer i artikel 17, stk. 1, i MiFID II.
Overtrædelse af § 135 er strafbelagt, jf. § 247 i lov om kapitalmarkeder. Ansvarssubjektet for overtrædelsen af bestemmelsen er det fondsmæglerselskab, der benytter sig af algoritmisk handel. Den strafbare handling består i at benytte algoritmisk handel uden at have systemer, kontrolforanstaltninger og ordninger, der i tilstrækkelig grad sikrer et sikkerhedsniveau i overensstemmelse med kravene i bestemmelsen. Med den foreslåede ændring vil den strafbare handling i medfør af § 135, stk. 1, nr. 1, litra a, bestå i enten ikke at have effektive systemer og risikokontrolforanstaltninger, der sikrer, at vedkommendes handelssystemer er modstandsdygtige over for forstyrrelser på markedet eller ikke at have tilstrækkelig kapacitet i overensstemmelse med kravene i kapitel II i DORA-forordningen. I medfør af § 135, stk. 1, nr. 3 og 4, vil den strafbare handling kunne bestå i ikke at have effektive planer til at kunne håndtere en brist i handelssystemerne, herunder planer for it-driftsstabilitet og planer for it-indsats- og genopretning i henhold til artikel 11 i DORA-forordningen. Derudover vil en strafbar handling i medfør af § 135, stk. 1, nr. 4, kunne bestå i ikke at overholde kravene i kapitel II og IV i DORA.
Der henvises i øvrigt til § 3, nr. 22, i nærværende forslag og bemærkningerne hertil.
Til nr. 15 (§ 180 g, stk. 3, i lov om kapitalmarkeder)
Det fremgår af § 180 g, stk. 1, at en it-operatør af et detailbetalingssystem er ansvarlig for, at it-driften af det pågældende detailbetalingssystem udføres på en betryggende måde. I medfør af § 180 g, stk. 2, nr. 1, skal en it-operatør kunne styre de risici, som it-driften af detailbetalingssystemet indebærer, og i medfør af stk. 2, nr. 2, skal en it- operatøren også have betryggende kontrol- og sikringsforanstaltninger på it-området. Stk. 3 i bestemmelsen indeholder en bemyndigelse til, at Finanstilsynet kan fastsætte nærmere regler om de foranstaltninger, som en it-operatør skal træffe for at have betryggende kontrol- og sikringsforanstaltninger på it-området, jf. stk. 2, nr. 2. De nærmere regler herom fremgår af bilag 5 til bekendtgørelse nr. 1103 af 30. juni 2022 om og ledelse og styring af pengeinstitutter m.fl. (ledelsesbekendtgørelsen). Der henvises også til de specielle bemærkninger til § 180 g, Folketingstidende 2021-22, tillæg A, L 12 som fremsat, side 112.
Det foreslås i § 180 g, stk. 3, efter »detailbetalingssystem« at indsætte: », der ikke er udpeget som operatør af finansiel digital infrastruktur, jf. § 333, stk. 3, i lov om finansiel virksomhed«.
Det foreslåede vil medføre, at Finanstilsynet kan fastsætte nærmere regler om de foranstaltninger, som en it-operatør af et detailbetalingssystem, der ikke er udpeget som finansiel digital infrastruktur, jf. § 333, stk. 3, i lov om finansiel virksomhed, skal træffe for at have betryggende kontrol- og sikringsforanstaltninger på it-området, jf. stk. 2, nr. 2.
Den foreslåede bestemmelse foreslås som følge af, at Finanstilsynet i medfør af det foreslåede § 333, stk. 1, i lov om finansiel virksomhed, som affattet ved lovforslagets § 1, nr. 28, foreslås at kunne udpege virksomheder, der udbyder digital infrastruktur eller forvalter it-tjenester, som omhandlet i bilag I i NIS 2-direktivet, og hvis væsentligste aktiviteter består i at drive, administrere eller udvikle tjenester, der er nødvendige for finansielle virksomheders kritiske og vigtige forretningsfunktioner, som en finansiel digital infrastruktur. Det fremgår af forslaget til § 333, stk. 3, at bl.a. it- operatører af detailbetalingssystemer kan udpeges som finansielle digitale infrastrukturer efter stk. 1.
I det tilfælde, hvor en it-operatør af et detailbetalingssystem bliver udpeget som en finansiel digital infrastruktur, vil det i stedet være de nærmere regler om it- og cyberrisikostyring og kontrol- og sikringsforanstaltninger i finansielle digitale infrastrukturer, som Finanstilsynet vil få bemyndigelse til at fastsætte i medfør af forslaget til nyt § 333 p, stk. 1, i lov om finansiel virksomhed, som affattet ved lovforslagets § 1, nr. 28, der vil finde anvendelse på it-operatøren. Der henvises i det hele til forslaget til § 333 p og de specielle bemærkninger hertil, jf. lovforslagets § 1, nr. 28.
Til nr. 16 (§ 180 h i lov om kapitalmarkeder)
Det fremgår af § 180 h i lov om kapitalmarkeder, at Finanstilsynet fastsætter bestemmelser om intern it-revision og om systemrevisionens gennemførelse for en it-operatør af et detailbetalingssystem. Finanstilsynet har i dag fastsat regler herom i bekendtgørelse nr. 1581 af 22. december 2022 om systemrevisionens gennemførelse i fælles datacentraler m.fl., der også finder anvendelse for it-operatører af detailbetalingssystemer, jf. § 1, stk. 1, i bekendtgørelsen.
Ved systemrevision forstås intern og ekstern revision af, at de generelle it-kontroller fungerer betryggende. Ved de generelle it-kontroller forstås styringen af den grundlæggende it-sikkerhed, men ikke sikkerheden i specifikke it-systemer. Finanstilsynet fører tilsyn med, at systemrevisionen opfylder forpligtelserne i bekendtgørelsen, jf. de specielle bemærkninger til § 180 h, jf. Folketingstidende 2021-22, tillæg A, L 12 som fremsat, side 113.
Det foreslås i § 180 h, at Finanstilsynet fastsætter bestemmelser om intern it-revision og om systemrevisionens gennemførelse for en it-operatør af et detailbetalingssystem, der ikke er udpeget som operatør af finansiel digital infrastruktur, jf. § 333, stk. 3, i lov om finansiel virksomhed.
Den foreslåede bestemmelse er en følge af, at Finanstilsynet i medfør af forslag til et nyt § 333, stk. 1, i lov om finansiel virksomhed, jf. lovforslagets § 1, nr. 28, foreslås at kunne udpege virksomheder, der udbyder digital infrastruktur eller forvalter it-tjenester, som omhandlet i bilag I i NIS 2-direktivet, og hvis væsentligste aktiviteter består i at drive, administrere eller udvikle tjenester, der er nødvendige for finansielle virksomheders kritiske og vigtige forretningsfunktioner, som en finansiel digital infrastruktur. Det fremgår af forslaget til § 333, stk. 3, at bl.a. it- operatører af detailbetalingssystemer kan udpeges som finansielle digitale infrastrukturer efter stk. 1.
I det tilfælde, hvor en it-operatør af et detailbetalingssystem bliver udpeget som en finansiel digital infrastruktur, vil det i stedet være de nærmere regler om it- og cyberrisikostyring og kontrol- og sikringsforanstaltninger i finansielle digitale infrastrukturer, herunder i forhold til den interne og eksterne systemrevision i finansielle digitale infrastrukturer, som Finanstilsynet vil få bemyndigelse til at fastsætte i medfør af forslaget til nyt § 333 p, stk. 1, litra d, i lov om finansiel virksomhed, der vil finde anvendelse på it-operatøren. Der henvises i det hele til forslaget til § 333 p og de specielle bemærkninger hertil.
Til nr. 17 (§ 211, stk. 2, nr. 15 og 16, i lov om kapitalmarkeder)
Det fremgår af § 211, stk. 1, i lov om kapitalmarkeder, at Finanstilsynet påser overholdelsen af denne lov og regler fastsat i medfør heraf. Det fremgår videre af § 211, stk. 2, at Finanstilsynet påser overholdelsen af en række regler og forordninger.
Det foreslås, at indsætte § 211, stk. 2, nr. 15, hvorefter Finanstilsynet påser overholdelsen af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf.
Det foreslås, at indsætte § 211, stk. 2, nr. 16, hvorefter Finanstilsynet påser overholdelsen af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.
Formålet med de foreslåede bestemmelser er, at Finanstilsynet udpeges som kompetent myndighed til at føre tilsyn med overholdelsen af forordningerne og regler udstedt i medfør heraf.
Finanstilsynet vil med bestemmelsen bl.a. også få mulighed for at give påbud for overtrædelser af forordningerne, jf. § 220, stk. 1, i lov om kapitalmarkeder og mulighed for at offentliggøre et påbud til en virksomhed eller en fysisk person, jf. § 234, stk. 1, i lov om kapitalmarkeder. Se nærmere om Finanstilsynets mulighed for offentliggørelse af reaktioner i medfør af kapitalmarkedsloven i bemærkningerne til §§ 234-240, jf. Folketingstidende 2016-2017, tillæg A, L 155 som fremsat, side 339 ff.
I tilfælde af, at en virksomhed undlader at efterkomme et påbud fra Finanstilsynet, vil virksomheden kunne straffes med bøde i medfør af § 254, stk. 1, 1. pkt., i lov om kapitalmarkeder.
DORA-forordningen finder bl.a. anvendelse på operatører af markedspladser, værdipapircentraler (CSD’er), centrale modparter (CCP’er), transaktionsregistre, udbydere af dataindberetningstjenester og administratorer af benchmarks, jf. artikel 2, stk. 1, litra g, h, i, j, m og r.
I forbindelse med udførelsen af sit tilsyn vil Finanstilsynet bl.a. få mulighed for at kræve alle oplysninger m.v., som Finanstilsynet skønner nødvendige for Finanstilsynets virksomhed eller til afgørelse af, om der er sket en overtrædelse af forordningen, jf. § 214 i lov om kapitalmarkeder.
Efter artikel 46, litra e, f og h, i DORA-forordningen, skal den kompetente myndighed, der er udpeget i medfør af Europa-Parlamentets og Rådets forordning (EU) nr. 909/2014 af 23. juli 2014 om forbedring af værdipapirafviklingen i Den Europæiske Union og om værdipapircentraler og Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 af 4. juli 2012 om OTC-derivater, centrale modparter og transaktionsregistre, sikre overholdelsen af DORA-forordningen for værdipapircentraler (CSD’er), centrale modparter (CCP’er) og transaktionsregistre. Efter artikel 46, litra g, i DORA-forordningen skal den kompetente myndighed, der er udpeget i medfør af MiFID II, sikre overholdelsen af DORA-forordningen for markedspladser og udbydere af dataindberetningstjenester. Efter artikel 46, litra o, i DORA-forordningen skal den kompetente myndighed, der er udpeget efter Europa-Parlamentets og Rådets forordning (EU) nr. 1011/2016 af 8. juni 2016 om indeks, der bruges som benchmarks i finansielle instrumenter og finansielle kontrakter eller med henblik på at måle investeringsfondes økonomiske resultater og regler fastsat i medfør heraf, sikre overholdelsen af DORA-forordningen for administratorer af benchmark.
Det foreslåede § 211, stk. 2, nr. 16, vil supplere artikel 46, litra e, f, g, h, i og o, i DORA-forordningen.
Til nr. 18 (§ 226, nr. 17, i lov om kapitalmarkeder)
I medfør af § 224, stk. 1, i lov om kapitalmarkeder er Finanstilsynets ansatte under ansvar efter straffelovens §§ 152-152 e forpligtet til at hemmeligholde fortrolige oplysninger, som de får kendskab til gennem tilsynsvirksomheden.
§ 226 i lov om kapitalmarkeder fastsætter i hvilke tilfælde, der ikke er noget til hinder for, at fortrolige oplysninger videregives til en række institutioner, myndigheder og organer m.v. i et andet EU/EØS-land m.v.
I medfør af § 226 har Finanstilsynet ikke mulighed for at videregive oplysninger til Den Fælles Afviklingsinstans (SRB) eller Den Europæiske Unions Agentur for Cybersikkerhed (ENISA).
Det foreslås at indsætte § 226, nr. 17, hvorefter Finanstilsynet kan videregive oplysninger til myndigheder, der varetager opgaver i henhold til DORA-forordningen, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.
Med den foreslåede bestemmelse, vil det bl.a. blive muligt for Finanstilsynet at videregive fortrolige oplysninger til SRB og ENISA.
Når Finanstilsynet modtager en indberetning om en større it-relateret hændelse fra en operatør af en markedsplads, en værdipapircentral (CSD), en central modpart (CCP), et transaktionsregistre, en udbyder af dataindberetningstjenester eller en administratorer af benchmark, jf. artikel 19, stk. 1, 1. pkt., i DORA-forordningen, skal Finanstilsynet, alt efter hvad der er relevant, rettidigt forelægge nærmere oplysninger om hændelsen til nationale og EU-retlige myndigheder og organer, jf. artikel 19, stk. 6, i DORA-forordningen.
Artikel 19, stk. 6, nævner bl.a. SRB for så vidt angår de enheder eller koncerner, der er omhandlet i henholdsvis artikel 7, stk. 2, artikel 7, stk. 4, litra b, og artikel 7, stk. 5, i Europa-Parlamentets og Rådets forordning (EU) nr. 806/2014 af 15. juli 2014 om ensartede regler og en ensartet procedure for afvikling af kreditinstitutter og visse investeringsselskaber inden for rammerne af en fælles afviklingsmekanisme og en fælles afviklingsfond, dvs. bl.a. pengeinstitutter, der er underlagt tilsyn af Den Europæiske Centralbank, hvis sådanne oplysninger vedrører hændelser, der udgør en risiko for sikringen af kritiske funktioner, jf. artikel 2, stk. 1, nr. 35, i direktiv 2014/59/EU Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 om et regelsæt for genopretning og afvikling af kreditinstitutter og investeringsselskaber (BRRD).
En underretning om større it-relaterede hændelser til SRB kan eksempelvis blive relevant, hvor en hændelse kan få systemiske konsekvenser og dermed også konsekvenser for virksomheder, der er omfatter af Den Fælles Afviklingsmekanisme.
For så vidt angår videregivelse af fortrolige oplysninger til ENISA, kan dette bl.a. blive relevant i de tilfælde, hvor hændelsesindberetninger til Finanstilsynet videreformidles i forbindelse med det samarbejde, der bliver iværksat på tværs af de nationale og europæiske finansielle tilsynsmyndigheder og afviklingsmyndigheder, SRB og ENISA i henhold til artikel 49 i DORA-forordningen. Samarbejdet i henhold til artikel 49 går ud på udveksling af effektive fremgangsmåder på tværs af den finansielle sektor for at forbedre situationskendskabet og identificere fælles cybersårbarheder og risici på tværs af sektorer.
Til nr. 19 (§ 236 a i lov om kapitalmarkeder)
Det fremgår af § 236 a, 1. pkt., i lov om kapitalmarkeder, at Finanstilsynet efter høring af en operatør af en markedsplads eller central modpart (CCP), der underretter Finanstilsynet og Center for Cybersikkerhed om en hændelse, som har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer, kan orientere offentligheden om hændelsen, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge eller håndtere en igangværende hændelse. I 2. og 3. pkt. i bestemmelsen fremgår nærmere om, at en offentliggørelse ikke må indeholde fortrolige oplysninger.
Bestemmelsen gennemfører artikel 14, stk. 6, i NIS-direktivet om, at den kompetente myndighed kan oplyse offentligheden om konkrete hændelser, hvis offentlighedens kendskab hertil er nødvendig for at forebygge en hændelse eller håndtere en igangværende hændelse.
Med NIS 2-direktivet sker der en ophævelse af NIS-direktivet, herunder reglerne i artikel 14, stk. 6.
Det foreslås derfor at ophæve § 236 a.
Det foreslåede vil medføre, at Finanstilsynet fremadrettet ikke kan offentliggøre hændelser i henhold til det gældende § 236 a.
Til nr. 20 og 21 (§ 248 i lov om kapitalmarkeder)
Den gældende § 248 i lov om kapitalmarkeder fastlægger, hvilke overtrædelser af reglerne i Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter (MiFIR), der straffes med bøde, medmindre højere straf er forskyldt efter den øvrige lovgivning.
Bestemmelsen implementerer artikel 70, stk. 3, litra b, og stk. 4, litra b, i Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter (MiFID II).
Det foreslås at ændre § 248, så overtrædelse af artikel 27 b, stk. 1 og 2, i MiFIR kan straffes med bøde medmindre højere straf er forskyldt efter den øvrige lovgivning.
Konkret foreslås det at lade artikel 27 f, stk. 1-3, artikel 27 g, stk. 1-5, og artikel 27 i, stk. 1-4, når en godkendt offentliggørelsesordning (APA) eller en godkendt indberetningsmekanisme (ARM) har en undtagelse i overensstemmelse med artikel 2, stk. 3, udgå af § 248 for derefter at indsætte de samme bestemmelser inklusiv artikel 27 b, stk. 1 og 2, i et nyt 2. pkt. i § 248.
Den foreslåede ændring er en følge af, at bl.a. artikel 70, stk. 4, litra b, i MiFID II blev ændret ved artikel 1, stk. 5, litra b, i Europa-Parlamentets og Rådets direktiv (EU) 2019/2177 af 18. december 2019 om ændring af direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), direktiv 2014/65/EU om markeder for finansielle instrumenter og af direktiv (EU) 2015/849 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme (omnibusdirektivet). Ændringen medførte, at artikel 27 b i MiFIR blev strafbelagt i henhold til MIFID II.
Artikel 27 b i MiFIR blev indsat ved artikel 4, stk. 6, i Europa-Parlamentets og Rådets forordning (EU) 2019/2175 af 18. december 2019 om ændring af forordning (EU) nr. 1093/2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Banktilsynsmyndighed), forordning (EU) nr. 1094/2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Tilsynsmyndighed for Forsikrings- og Arbejdsmarkedspensionsordninger), forordning (EU) nr. 1095/2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Værdipapir- og Markedstilsynsmyndighed), forordning (EU) nr. 600/2014 om markeder for finansielle instrumenter, forordning (EU) 2016/1011 om indeks, der bruges som benchmarks i finansielle instrumenter og finansielle kontrakter eller med henblik på at måle investeringsfondes økonomiske resultater, og forordning (EU) 2015/847 om oplysninger, der skal medsendes ved pengeoverførsler (omnibusforordningen). Artikel 27 b blev indsat som følge af, at udbydere af dataindberetningstjenester pr. 1. januar 2022 blev reguleret i MiFIR i stedet for i national ret. Herefter blev den Europæiske Værdipapir- og Markedstilsynsmyndighed (ESMA) som udgangspunkt den kompetente tilsynsmyndighed for udbydere af dataindberetningstjenester. Dog er nogle godkendte offentliggørelsesordninger (APA’er) eller godkendte indberetningsmekanismer (ARM’er) undtaget fra MiFIR og i stedet meddelt tilladelse og underlagt tilsyn fra Finanstilsynet. Disse er fortsat reguleret i lov om kapitalmarkeder.
Artikel 27 b i MiFIR indeholder betingelser for meddelelse af tilladelse som en APA, en CTP eller en ARM.
En APA er en godkendt offentliggørelsesordning, defineret som en person, der er godkendt efter MiFIR til at udøve virksomhed, der består i at offentliggøre handelsindberetninger på vegne af investeringsselskaber i medfør af artikel 20 og 21 i MiFIR.
En ARM er en godkendt indberetningsmekanisme, defineret som en person, der er godkendt efter MiFIR til på vegne af investeringsselskaber at udøve virksomhed, der består i at levere indberetningsoplysninger om transaktioner til de kompetente myndigheder eller ESMA.
En CTP er en udbyder af konsolideret løbende handelsinformation, defineret som en person, der er godkendt efter MiFIR til at udøve virksomhed, der består i at indsamle handelsindberetninger for finansielle instrumenter fra regulerede markeder, MHF’er, OHF’er og APA’er og i at konsolidere disse i form af en kontinuerlig elektronisk live-datastrøm med data om priser og volumen for hvert enkelt finansielt instrument. En CTP kan dog ikke længere være underlagt nationalt tilsyn og er alene reguleret af reglerne i MiFIR.
Det følger af artikel 27 b, stk. 1, i MiFIR, at en APA eller ARM, der er udpeget i overensstemmelse med den i artikel 2, stk. 3, omhandlede delegerede retsakt, og derfor undtaget fra MiFIR, er underlagt krav om forudgående meddelelse af tilladelse og tilsyn fra den relevante nationale kompetente myndighed.
Af artikel 27, stk. 2, i MIFIR følger det, at et investeringsselskab eller en markedsoperatør, der driver en markedsplads, også kan levere APA-, CTP- eller ARM-tjenesteydelser, under forudsætning af, at ESMA eller den relevante nationale kompetente myndighed først har verificeret, at investeringsselskabet eller markedsoperatøren overholder afsnit IVa i MiFIR. Leveringen af de pågældende tjenesteydelser skal være indeholdt i vedkommendes tilladelse. Ved en fejl blev artikel 27 b i MiFIR ikke skrevet ind i § 248 i lov om kapitalmarkeder, da omnibusdirektivet ved § 8 i lov nr. 1163 af 8. juni 2021 blev implementeret. Derfor foreslås bestemmelsen nu indført i § 248, så overtrædelse vil blive strafbelagt. For at tydeliggøre hvilke bestemmelser, som vedrører APA’er og ARM’er, som er underlagt tilsyn fra Finanstilsynet, foreslås det at lade disse bestemmelser udgå af den nugældende § 248 for i stedet at indsætte disse i et nyt 2. pkt. i § 248, herunder artikel 27 b, stk. 1 og 2.
Ansvarssubjektet for overtrædelse af artikel 27, stk. 1, i MIFIR er den fysiske eller juridiske person, der driver en APA eller ARM. Den strafbare handling består i at drive en APA eller en ARM uden den nødvendige tilladelse.
Ansvarssubjektet for overtrædelse af artikel 27, stk. 2, i MIFIR er et investeringsselskab eller en markedsoperatør, der driver en markedsplads, og som leverer dataindberetningsydelser. Den strafbare handling består i at levere dataindberetningsydelser uden at overholde afsnit IVa i MiFIR, som indeholder reglerne for dataindberetningstjenester.
Det følger af § 255, stk. 3, at der kan pålægges selskaber m.v. (juridiske personer) strafansvar efter 5. kapitel i straffeloven. Af § 27, stk. 1, 1. pkt., i straffeloven fremgår, at strafansvar for en juridisk person forudsætter, at der inden for dens virksomhed er begået en overtrædelse, der kan tilregnes en eller flere til den juridiske person knyttede personer eller den juridiske person som sådan.
I de tilfælde, hvor de strafbelagte bestemmelser omhandler pligter eller forbud for virksomheden, er de mulige ansvarssubjekter virksomheden og/eller en eller flere personer med tilknytning til virksomheden, som oftest medlemmer af ledelsen. Ved valg af ansvarssubjekt rejses tiltalen som udgangspunkt mod den juridiske person. Der kan i nogle tilfælde være anledning til også at rejse tiltale mod en eller flere fysiske personer, hvis den eller de pågældende har handlet forsætligt eller udvist grov uagtsomhed.
Det følger endvidere af § 255, stk. 5, at der ved udmåling af bøder efter § 248 skal lægges vægt på overtrædelsens grovhed og gerningsmandens økonomiske forhold.
Til nr. 22 (§ 251 b og § 251 c i lov om kapitalmarkeder)
Der findes i dag ikke regler om straf for overtrædelse af bestemmelserne i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 om markeder for kryptoaktiver.
Det foreslås i § 251 b, stk. 1, at medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde overtrædelse af artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9, artikel 76, stk. 3, 4 og 9-15, artikel 88, stk. 1-3, og artikel 92, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 13. maj 2023 om markeder for kryptoaktiver.
Det foreslåede vil medføre, at overtrædelse af de oplistede artikler i MiCA, straffes med bøde, medmindre højere straf er forskyldt efter den øvrige lovgivning.
Artikel 65, stk. 4, i MiCA omhandler oplysningskrav ved grænseoverskridende levering af kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af bestemmelsen er en værdipapircentral eller en markedsoperatør, der udbyder kryptoaktivtjenester efter hhv. artikel 60, stk. 2 eller 6, i MiCA. Den strafbare handling består eksempelvis i, at en værdipapircentral påbegynder leveringen af kryptoaktivtjenester i en anden medlemsstat end Danmark inden 15 kalenderdage efter at have indgivet oplysninger efter artikel 65, stk. 1, eller inden at have modtaget meddelelse fra Finanstilsynet efter artikel 65, stk. 2.
Artikel 66, stk. 1-5, i MiCA omhandler udbydere af kryptoaktivtjenesters forpligtelse til at handle ærligt, redeligt og professionelt i kundernes bedste interesse. Ansvarssubjektet for overtrædelse af bestemmelsen er en værdipapircentral eller en markedsoperatør, der udbyder kryptoaktivtjenester efter hhv. artikel 60, stk. 2 eller 6, i MiCA. Den strafbare handling består eksempelvis i, at en markedsoperatør giver sine kunder vildledende oplysninger.
Artikel 68, stk. 4-9, i MiCA omhandler kravene til ledelsesordninger og indretningen af udbydere af kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af artikel 68, stk. 4, 5 og 7-9, er en værdipapircentral eller markedsoperatør, der udbyder kryptoaktivtjenester efter hhv. artikel 60, stk. 2 eller 6, i MiCA. Ansvarssubjektet for overtrædelse af artikel 68, stk. 6, er ledelsesorganet hos en værdipapircentral eller ledelsesorganet hos en markedsoperatør. Den strafbare handling består eksempelvis i, at en markedsoperatør ikke har vedtaget procedurer, som er tilstrækkelige til at sikre overholdelsen af MiCA. Den strafbare handling kan endvidere bestå i, at ledelsesorganet hos en markedsoperatør ikke regelmæssigt vurderer og evaluerer effektiviteten af den politik og de ordninger og procedurer, der er indført for at opfylde forpligtelserne i artikel 66-83 i MiCA, herunder ikke træffer passende foranstaltninger til at afhjælpe eventuelle mangler.
Artikel 69 i MiCA omhandler krav om at meddele Finanstilsynet eventuelle ændringer i ledelsesorganet hos en markedsoperatør eller værdipapircentral, der udbyder kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af bestemmelsen er en værdipapircentral eller en markedsoperatør, der udbyder kryptoaktivtjenester efter hhv. artikel 60, stk. 2 eller 6, i MiCA. Den strafbare handling består eksempelvis i, at en markedsoperatør ikke giver Finanstilsynet alle oplysninger, som er nødvendige for Finanstilsynets vurdering af overholdelsen af artikel 68 i MiCA, inden nye medlemmer af ledelsesorganet tiltræder deres stilling.
Artikel 71, stk. 1-4, i MiCA fastsætter krav til udbydere af kryptoaktivtjenesters klagebehandlingsprocedurer. Ansvarssubjektet for overtrædelse af bestemmelsen er en værdipapircentral eller en markedsoperatør, der udbyder kryptoaktivtjenester efter hhv. artikel 60, stk. 2 eller 6, i MiCA. Den strafbare handling består eksempelvis i, at en markedsoperatør kræver betaling af gebyr eller anden afgift i forbindelse med behandling af klager fra sine kunder.
Artikel 72, stk. 2-4, i MiCA fastsætter krav om effektive politikker og procedurer til identificering, forebyggelse, håndtering og oplysning om interessekonflikter. Ansvarssubjektet for overtrædelse af bestemmelsen er en værdipapircentral eller en markedsoperatør, der udbyder kryptoaktivtjenester efter hhv. artikel 60, stk. 2 eller 6, i MiCA. Den strafbare handling består eksempelvis i, at en markedsoperatør ikke oplyser sine kunder og potentielle kunder om de skridt, som markedsoperatøren har taget for at begrænse interessekonflikter.
Artikel 73, stk. 2 og 3, i MiCA regulerer udbydere af kryptoaktivtjenesters outsourcing af tjenester eller aktiviteter til tredjeparter. Ansvarssubjektet for overtrædelse af bestemmelsen er en værdipapircentral eller en markedsoperatør, der udbyder kryptoaktivtjenester efter hhv. artikel 60, stk. 2 eller 6, i MiCA. Den strafbare handling består eksempelvis i, at en markedsoperatør ikke træffer alle rimelige foranstaltninger for at undgå yderligere operationel risiko, eller at en markedsoperatør ikke sikrer, at betingelserne i artikel 73, stk. 1, litra a-g, til enhver tid er opfyldt.
Artikel 74 i MiCA omhandler velordnet afvikling af udbydere af kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af bestemmelsen er en værdipapircentral eller en markedsoperatør, der udbyder kryptoaktivtjenester efter hhv. artikel 60, stk. 2 eller 6, i MiCA, og som udfører de i artikel 75 og 76, i MiCA, beskrevne aktiviteter. Den strafbare handling består eksempelvis i, at den i artikel 74, nævnte plan for velordnet afvikling ikke godtgør, at markedsoperatøren har evnen til at gennemføre en velordnet afvikling uden at påføre sine kunder unødig økonomisk skade.
Artikel 75, stk. 3-6 og 9, i MiCA fastsætter forpligtelser for udbydere af kryptoaktivtjenester, som leverer deponering og administration af kryptoaktiver på vegne af kunder. Ansvarssubjektet for overtrædelse af bestemmelsen er en værdipapircentral, der udbyder kryptoaktivtjenester efter artikel 60, stk. 2, i MiCA, som udbyder levering af deponering og administration af kryptoaktiver på vegne af kunder. Den strafbare handling består eksempelvis i, at værdipapircentralens politik for deponering, som anført i artikel 75, stk. 3, ikke minimerer risikoen for tab af kunders kryptoaktiver som følge af svig, cybertrusler eller forsømmelighed.
Artikel 76, stk. 3, 4 og 9-15, i MiCA fastsætter en række krav til drift af handelsplatforme for kryptoaktiver, herunder krav til indholdet handelsplatformens driftsregler, krav om offentliggørelse af handelsoplysninger, krav vedrørende afvikling af kryptoaktivtransaktioner, m.v. Ansvarssubjektet for overtrædelse af bestemmelsen er en markedsoperatør, der udbyder kryptoaktivtjenester efter artikel 60, stk. 6, i MiCA, som driver en handelsplatform for kryptoaktiver. Den strafbare handling består eksempelvis i, at markedsoperatøren, der driver en handelsplatform for kryptoaktiver, ikke offentliggør pris, volumen og tidspunkt for transaktioner, der udføres i forbindelse med kryptoaktiver handlet på deres handelsplatforme.
Artikel 88, stk. 1-3, i MiCA omhandler pligten til at offentliggøre intern viden. Ansvarssubjektet for overtrædelse af bestemmelserne er udstedere, udbydere og personer, der anmoder om optagelse til handel af kryptoaktiver. Den strafbare handling består eksempelvis i, at udbydere af kryptoaktiver ikke offentliggør intern viden som beskrevet i artikel 87 hurtigst muligt.
Artikel 92, stk. 1, i MiCA omhandler forebyggelse og afsløring af markedsmisbrug. Ansvarssubjektet for overtrædelse af bestemmelsen er enhver person, der som led i sit erhverv organiserer eller udfører transaktioner med kryptoaktiver. Den strafbare handling består eksempelvis i, at en virksomhed, som udfører transaktioner med kryptoaktiver, ikke har indført effektive ordninger og procedurer med henblik på at forebygge og afsløre markedsmisbrug, eller at den pågældende virksomhed undlader straks at underrette Finanstilsynet om enhver begrundet mistanke om en ordre eller transaktion.
Den foreslåede bestemmelse vil supplere artikel 111, stk. 1, litra 2. afsnit, i MiCA.
Det foreslås i § 251 b, stk. 2, at medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller fængsel indtil 4 måneder overtrædelse af artikel 59, stk. 1, artikel 60, stk. 2 og 6, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, og artikel 76, stk. 1, 2 og 5-8, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
Det foreslåede vil medføre, at overtrædelse af de oplistede artikler i MiCA straffes med bøde eller fængsel indtil 4 måneder, medmindre højere straf er forskyldt efter den øvrige lovgivning.
Artikel 59, stk. 1, i MiCA omhandler tilladelseskrav til at udbyde kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af bestemmelsen er en markedsoperatør eller en værdipapircentral, der udbyder kryptoaktivtjenester, uden den nødvendige tilladelse. Den strafbare handling består i, at en markedsoperatør eller en værdipapircentral udbyder kryptoaktivtjenester uden at have tilladelse til at levere kryptoaktivtjenester efter artikel 60 i MiCA.
Artikel 60, stk. 2 og 6, i MiCA fastsætter krav om underretning af Finanstilsynet førend en værdipapircentral eller en markedsoperatør kan levere kryptoaktivtjenester. Ansvarssubjektet for overtrædelsen af bestemmelserne er værdipapircentraler og markedsoperatører. Den strafbare handling består eksempelvis i, at en markedsoperatør påbegynder levering af en kryptoaktivtjeneste uden at have underrettet Finanstilsynet med de oplysninger, der er anført i artikel 60, stk. 7, mindst 40 arbejdsdage før markedsoperatøren leverer disse tjenester første gang.
Artikel 70, stk. 1-4, i MiCA omhandler krav vedrørende opbevaring af kundernes kryptoaktiver og midler. Ansvarssubjektet for overtrædelse af bestemmelsen er en værdipapircentral eller en markedsoperatør, der udbyder kryptoaktivtjenester efter hhv. artikel 60, stk. 2 eller 6, i MiCA. Den strafbare handling består eksempelvis i, at markedsoperatører, der opbevarer kryptoaktiver på vegne af deres kunder, ikke træffer passende foranstaltninger til at forhindre, at kundernes kryptoaktiver anvendes til handel for deres egen regning.
Artikel 72, stk. 1, i MiCA fastsætter krav om effektive politikker og procedurer til identificering, forebyggelse, håndtering og oplysning om interessekonflikter. Ansvarssubjektet for overtrædelse af bestemmelsen er en værdipapircentral eller en markedsoperatør, der udbyder kryptoaktivtjenester efter hhv. artikel 60, stk. 2 eller 6, i MiCA. Den strafbare handling består eksempelvis i, at en markedsoperatør ikke opretholder og anvender effektive politikker til at identificere mellem dem selv og personerne opregnet i artikel 72, stk. 1, litra a-e.
Artikel 75, stk. 1, 2 og 7, i MiCA fastsætter specifikke forpligtigelser for udbydere af kryptoaktivtjenester, som leverer deponering og administration af kryptoaktiver på vegne af kunder. Ansvarssubjektet for overtrædelse af bestemmelsen er en værdipapircentral, der udbyder kryptoaktivtjenester efter artikel 60, stk. 2, i MiCA, som udbyder levering af deponering og administration af kryptoaktiver på vegne af kunder. Den strafbare handling består eksempelvis i, at en værdipapircentral, der leverer deponering og administration af kryptoaktiver på vegne af kunder, ikke holder sine kunders kryptoaktiver adskilt fra sine egne kryptoaktiver.
Artikel 76, stk. 1, 2 og stk. 5-8, i MiCA fastsætter specifikke krav til udbydere af kryptoaktivtjenester, der driver en handelsplatform for kryptoaktiver. Ansvarssubjektet for overtrædelse af bestemmelserne er en markedsoperatør, der udbyder kryptoaktivtjenester efter artikel 60, stk. 6, i MiCA, der driver en handelsplatform for kryptoaktiver. Den strafbare handling består eksempelvis i, at en markedsoperatør, der driver handelsplatforme, handler for egen regning på den handelsplatform for kryptoaktiver, som den driver.
Den foreslåede bestemmelse vil supplere artikel 111, stk. 1, 2. afsnit, i MiCA.
Det foreslås i § 251 b, stk. 3, at medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller fængsel indtil 1 år og 6 måneder overtrædelser af artikel 89, stk. 1 og 3, artikel 90, stk. 1, og artikel 91, stk. 1, i MiCA.
Det foreslåede vil medføre, at overtrædelse af artikel 89, stk. 1 og 3, artikel 90, stk. 1, og artikel 91, stk. 1, i MiCA, straffes med bøde eller fængsel indtil 1 år og 6 måneder, medmindre højere straf er forskyldt efter den øvrige lovgivning.
Artikel 89, stk. 1-3, i MiCA omhandler forbuddet mod insiderhandel. Ansvarssubjektet for overtrædelse af bestemmelserne er enhver fysisk eller juridisk person. En fysisk person kan endvidere gøres ansvarlig, i det omfang handlingerne er udført på vegne af og til gavn for den juridiske person. Den strafbare handling består eksempelvis i, at en person er kommet i besiddelse af intern viden og benytter denne viden til at enten afhænde eller erhverve kryptoaktiver, som den pågældende viden vedrører.
Artikel 90, stk. 1, i MiCA omhandler forbud mod uretmæssig videregivelse af intern viden. Ansvarssubjektet for overtrædelse af bestemmelsen er enhver fysisk eller juridisk person, som udfører de strafbare handlinger. Den strafbare handling består i uretmæssigt at videregive intern viden.
Artikel 91, stk. 1, i MiCA omhandler forbuddet mod markedsmanipulation. Ansvarssubjektet for overtrædelse af bestemmelsen er enhver fysisk eller juridisk person, som udfører de strafbare handlinger opregnet i artikel 91, stk. 2 og 3, i MiCA. Den strafbare handling består eksempelvis i at give eller antages at give urigtige eller vildledende signaler om udbuddet af, efterspørgslen efter eller prisen på et kryptoaktiv.
Den foreslåede § 251 b vil supplere artikel 111, stk. 1, 2. afsnit, i MiCA.
Det foreslås i § 251 c, at medmindre højere straf er forskyldt efter den øvrige lovgivning straffes med bøde overtrædelse af artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-10, artikel 12, stk. 1-7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1-3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Det foreslåede er i overensstemmelse med forordningens artikel 52, hvorefter medlemsstaterne kan beslutte ikke at fastsætte bestemmelser om administrative sanktioner eller afhjælpende foranstaltninger for overtrædelser, der er omfattet af strafferetlige sanktioner i henhold til national ret.
Nedenfor anføres en uddybende beskrivelse af indholdet af de enkelte artikler i DORA-forordningen, der vil foreslås strafbelagt ved den foreslåede bestemmelse. Når der nedenfor henvises til finansielle enheder, menes der operatører af markedspladser, værdipapircentraler (CSD’er), centrale modparter (CCP’er), transaktionsregistre, udbydere af dataindberetningstjenester og administratorer af benchmarks jf. artikel 2, stk. 1, litra i, g, j, h, m r, i DORA-forordningen, medmindre det fremgår specifikt af den uddybende beskrivelse af indholdet af de enkelte artikler, at ansvarssubjektet kun gælder for en bestemt type virksomhed.
Artikel 5 indeholder regler om forvaltning og organisationen af en finansiel enheds it-risikostyring. Intern forvaltning og organisation af it-risikostyring omfatter fastlæggelsen og tilsynet af de foranstaltninger for it-risikostyring. En sikker forvaltning af risikostyringen sikrer et højt niveau af digital operationel modstandsdygtighed og bidrager til den finansielle stabilitet.
I medfør af artikel 5, stk. 1, skal en finansiel enhed have indført en intern forvaltnings og kontrolramme, der sikrer en effektiv og forsigtig styring af it-risiko, i overensstemmelse med artikel 6, stk. 4, der bl.a. fastsætter krav om, at finansielle enheder skal overdrage ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion og sikre, at denne kontrolfunktion har et passende uafhængighedsniveau for at undgå interessekonflikter mellem den finansielle enhed og kontrolfunktionen.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 1, er den finansielle enhed.
Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har overdraget ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion, der har et passende uafhængighedsniveau i forhold til den finansielle enhed.
Det fremgår af artikel 5, stk. 2, at ledelsesorganet i den finansielle enhed skal fastlægge, godkende og føre tilsyn med og har ansvaret for gennemførelsen af alle ordninger vedrørende rammer for it-risikostyring, der er omhandlet i artikel 6, stk. 1. Artikel 6, stk. 1, vedrører at finansielle enheder indfører en robust, omfattende og veldokumenteret ramme for it-risikostyring. De nærmere krav til ledelsesorganet er nærmere beskrevet i artikel 5, stk. 2, litra a-i. Det fremgår bl.a. af stk. 2, litra b, at ledelsesorganet skal indføre politikker, der har til formål at sikre høje standarder for tilgængeligheden, autenticiteten, integriteten og fortroligheden af data. Videre fremgår det af stk. 2, litra f, at ledelsesorganet godkender og regelmæssigt gennemgår den finansielle enheds interne it-revisionsplaner, it-revisioner og væsentlige ændringer heraf.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 2, er den finansielle enhed. En strafbar handling kan eksempelvis være, at et ledelsesorgan ikke har indført politikker for tilgængeligheden, autenticiteten, integriteten og fortroligheden af data i henhold til stk. 2, litra b. En strafbar handling kan også være, at ledelsesorganet enten ikke har godkendt eller gennemgået den finansielle enheds interne it-revisionsplan i henhold til stk. 2, litra f.
Artikel 5, stk. 3, fastsætter at finansielle enheder skal oprette en funktion med henblik på overvågning af de ordninger, der er indgået med tredjepartsudbydere af it-tjenester vedrørende brugen af it-tjenester, eller udpege et medlem af den øverste ledelse som tilsynsansvarlig for den dermed forbundne risikoeksponering og relevante dokumentation.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 3, er den finansielle enhed. Et eksempel på en strafbar handling kan være, at ledelsesorganet ikke har oprettet en funktion, der har til formål at overvåge de ordninger, der er indgået med tredjepartsudbydere af it-tjenester vedrørende brugen af it-tjenester.
Artikel 6 indeholder regler om en finansiel enheds ramme for it-risikostyring. Rammen for it-risikostyring omfatter, hvilke tiltag en operatør af et reguleret marked har opsat.
I medfør af artikel 6, stk. 1, skal en finansiel enhed have indført en robust, omfattende og veldokumenteret ramme for deres it-risikostyring, som en del af deres samlede risikostyringssystem, der sikrer et højt niveau af digital operationel modstandsdygtighed.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 1, er den finansielle enhed.
Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har formået at dokumentere deres ramme for deres it-risikostyring i en tilstrækkelig grad.
Det fremgår af artikel 6, stk. 2, at rammen for it-risikostyring, som minimum skal omfatte strategier, politikker, procedurer, it-protokoller og værktøjer, som er nødvendige for på behørig vis og i tilstrækkelig grad, at beskytte alle informationsaktiver og it-aktiver.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 2, er ledelsesorganet. Det fremgår af artikel 5. stk. 2, at ledelsesorganet i den finansielle enhed skal fastlægge, godkende og føre tilsyn med og har ansvaret for gennemførelsen af alle ordninger vedrørende rammer for it-risikostyring, der er omhandlet i artikel 6, stk. 1.
Den strafbare handling kan eksempelvis bestå i, at ledelsesorganet ikke har indført sikkerhedsforanstaltninger, der i tilstrækkeliggrad beskytter relevante fysiske komponenter, som eksempelvis virksomhedens lokaler, mod uautoriseret adgang.
Artikel 6, stk. 3, omhandler de finansielle enheders forpligtigelse til at forelægge fuldstændige og ajourførte oplysninger om deres it-risiko på de kompetente myndigheders anmodning. Ved at indføre passende strategier, politikker, procedurer, it-protokoller og -værktøjer, minimerer den finansielle enhed deres it-risiko.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 3, er den finansielle enhed. Et eksempel på den strafbare handling kan være, at den finansielle enhed ikke på Finanstilsynets anmodning, har fremlagt en opdateret strategi for deres it-risikostyring, efter nye tiltag trådte i kraft for virksomheden.
Det fremgår af artikel 6, stk. 4, at finansielle enheder skal overdrage ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion og sikre, at denne kontrolfunktion har et passende uafhængighedsniveau, så interessekonflikter kan undgås. Videre fremgår det af artikel 6, stk. 4, 2. pkt., at en finansiel enhed skal sikre en passende adskillelse og uafhængighed af it-risikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner, efter modellen med tre forsvarslinjer eller en intern model for risikostyring og kontrol.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse af bestemmelsen kan eksempelvis bestå i, at en finansiel enhed har en intern styring af og tilsyn med it-risikoen og derfor ikke har sikret en passende adskillelse og uafhængighed af deres it-risikostyringsfunktioner.
Artikel 6, stk. 5, indeholder krav om dokumentationen og tilsyn med it-risikostyringens ramme. Det følger af bestemmelsen, at rammen for it-risikostyringen skal dokumenteres og gennemgås mindst én gang om året, samt når der forekommer større it-relaterede hændelser, og i henhold til tilsynsmæssige instrukser eller konklusioner, som er udledt af relevant test af digital operationel modstandsdygtighed eller revisionsprocesser. Den skal forbedres løbende på grundlag af indhøstede gennemførelses- og overvågningserfaringer. Der skal forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed på dens anmodning.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 5, er den finansielle virksomhed. Den strafbare handling kan eksempelvis bestå i, at en finansiel enhed ved en større it-relateret hændelse, efterfølgende ikke formår at dokumentere rammen for risikostyringen. En strafbar handling kunne også bestå i, at den finansielle enhed ikke har forbedret rammen for deres risikostyring på baggrund af løbende overvågningserfaringer.
Artikel 6, stk. 6, omhandler revisorernes interne revision af rammen for it-risikostyring. Det følger af bestemmelsen, at revisorerne skal besidde egenskaber som tilstrækkelig viden, faglig kompetence og ekspertise, samt være tilstrækkeligt uafhængige. Der skal være overensstemmelse mellem hyppigheden af revisioner og omfanget af it-risikoen hos den finansielle enhed.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse kan eksempelvis bestå i, at den finansielle enheds revisor har foretaget en revision af rammen for it-risikostyring, uden at have det fornødne egenskaber. Det kan ligeledes anses for strafbart, såfremt revisoren ikke kan anses som værende uafhængig.
Artikel 6, stk. 7, omhandler den formelle opfølgningsproces på den interne revisionsgang, som den finansielle enhed skal etablere. Opfølgningsprocessen skal indeholde regler for rettidig efterprøvning og udbedring af kritiske resultater af it-revisioner.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 7, er den finansielle enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke etablerer en opfølgningsproces, der indeholder regler for rettidig efterprøvning af kritiske konklusionerne fra en interne revision.
I medfør af artikel 6, stk. 8, skal en finansiel enheds ramme for it-risikostyring omfatte en strategi for digital operationel modstandsdygtighed, der fastsætter, hvordan rammen gennemføres. Strategien for digital operationel modstandsdygtighed skal omfatte metoderne til håndtering af it-risiko og opfylde specifikke krav, som er oplistet i artikel 6, stk. 8, litra a-h. Et af disse krav er eksempelvis at fastlægge risikotoleranceniveauet for it-risiko i overensstemmelse med den finansielle enheds risikovillighed og analysere tolerancen over for virkninger af it-forstyrrelser, jf. litra b, eller dokumentere den nuværende situation for den digitale operationelle modstandsdygtighed på grundlag af antallet af indberettede større it-relaterede hændelser og de forebyggende foranstaltningers effektivitet, jf. litra f.
Ansvarssubjektet for en overtrædelse af artikel 6, stk. 8, er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enheds strategi, undlader at analysere for virkninger af it-forstyrrelser over for risikotoleranceniveauet. Den strafbare handling kan ligeledes bestå i, at den finansielle enhed ikke formår at dokumentere deres situation for den operationelle robusthed på baggrund af mængden af større it-relaterede hændelser og de forebyggende foranstaltningers effektivitet
Artikel 7, stk. 1, oplister en række krav til den finansielle enheds it-systemer, -protokoller og-værktøjer, jf. litra a-d. Den finansielle enhed skal eksempelvis anvende systemer der er pålidelige, jf. litra b, og som er teknologisk modstandsdygtige nok til i tilstrækkeligt omfang at håndtere yderligere behov for informationsbehandling som krævet under stressede markedsforhold eller i andre vanskelige situationer, jf. litra d.
Ansvarssubjektet for overtrædelse af bestemmelsen er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke anvender systemer eller værktøjer, der pålidelige eller proportionale i forhold til den finansielle enheds udbudte ydelser.
Artikel 8, stk. 1-7, i DORA-forordningen omhandler identifikation af kilder til it-risiko. Artikel 8, stk. 1, fastsætter, at en finansiel enhed, som led i deres ramme for it-risikostyring, skal foretage identifikation, klassificering og tilstrækkelig dokumentering af alle it-understøttede forretningsfunktioner, roller og ansvarsområder, informationsaktiver og it-aktiver, der understøtter disse funktioner, samt deres roller og afhængigheder med hensyn til it-risici. Bestemmelsen fastsætter endvidere, at en finansiel virksomhed efter behov og mindst én gang om året, vurderer hvorvidt denne klassificering og eventuel relevant dokumentation er tilstrækkelig.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke har identificeret, klassificeret eller dokumenteret deres it-understøttede forretningsfunktioner i en tilstrækkelig grad.
I medfør af artikel 8, stk. 2, skal en finansiel enhed løbende identificere alle kilder til it-risiko, navnlig risikoeksponeringen for og fra andre finansielle enheder, og vurderer cybertrusler og it-sårbarheder, der er relevante for deres it-understøttede forretningsfunktioner, informationsaktiver og it-aktiver. De finansielle enheder skal derfor regelmæssigt og mindst én gang om året gennemgå de risikoscenarier, der har virkninger for dem.
Ansvarssubjektet for overtrædelse af artikel 8, stk. 2, er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel virksomhed ikke mindst én gang årligt har gennemgået de risikoscenarier der er virkninger for dem.
Artikel 8, stk. 3, indeholder krav om, at en finansiel enhed skal foretage en risikovurdering efter hver større ændring af infrastrukturen i net- og informationssystemerne, i de processer eller procedurer, der påvirker deres it-understøttede forretningsfunktioner, informationsaktiver eller it-aktiver.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling kan bestå i, at en finansiel enhed har foretaget en større ændring af infrastrukturen i deres net- og informationssystem og ikke foretager en ny risikovurdering, såfremt infrastrukturen påvirker deres it-understøttede forretningsfunktioner.
Det fremgår af artikel 8, stk. 4, at en finansiel enhed skal identificere alle informationsaktiver og it-aktiver, herunder på eksterne steder, netværksressourcer og hardwareudstyr, og kortlægger dem, der anses for kritiske. Den finansielle enhed kortlægger informationsaktivernes og it-aktivernes konfiguration samt forbindelserne og den indbyrdes forbundethed mellem de forskellige informationsaktiver og it-aktiver.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har kortlagt de kritiske informationsaktiver og it-aktiver, herunder på eksterne steder, netværksressourcer og hardwareudstyr.
Af artikel 8, stk. 5, fremgår det, at en finansiel enhed skal identificere og dokumentere alle processer, der er afhængige af tredjepartsudbydere af it-tjenester. Det fremgår endvidere, at den finansielle enhed identificerer sammenkoblinger med tredjepartsudbydere af it-tjenester, der udbyder tjenester, som understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed har undladt at dokumentere alle de processer der er afhængige af tredjepartsudbydere af it-tjenester, som den finansielle enhed bruger.
Det fremgår af artikel 8, stk. 6, at den finansielle enhed, med henblik på artikel 6, stk. 1, 4 og 5, opretholder relevante fortegnelser og ajourfører dem regelmæssigt, og hver gang der sker større ændringer som omhandlet i artikel 6, stk. 3.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse kan bestå i, at der ved en større ændring af infrastrukturen i net- og informationssystemerne, i de processer eller procedurer, der påvirker den finansielle enheds it-understøttede forretningsfunktioner, informationsaktiver eller it-aktiver, ikke er foretaget ajourførte fortegnelser over ændringerne.
Til sidst følger det af artikel 8, stk. 7, at en finansiel enhed skal foretage en specifik it-risikovurdering regelmæssigt og mindst én gang om året.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse består eksempelvis i, at en finansiel virksomhed ikke regelmæssigt eller mindst én gang årligt har foretaget en specifik it-risikovurdering.
Artikel 9 indeholder nærmere bestemmelser om beskyttelse af it-systemer og forebyggelse af it-risici.
Det følger af artikel 9, stk. 1, at en finansiel enhed skal sikre løbende overvågning af og kontrol med it-systemer og -værktøjernes sikkerhed og af, hvordan de fungerer, og minimerer virkningerne af it-risikoen for it-systemer ved at indføre passende it-sikkerhedsværktøjer, -politikker og -procedurer, med henblik på, at sikre en passende beskyttelse og tilrettelægge indsatsforanstaltninger, der skal sikre de finansielle enheder.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, ikke løbende at overvåge og kontrollere den finansielle enheds it-systemer og -værktøjers sikkerhed igennem passende it-sikkerhedsværktøjer, -politikker og -procedurer.
I medfør af artikel 9, stk. 2, skal en finansiel enhed udforme, indkøbe og gennemføre it-sikkerhedspolitikker, -procedurer, -protokoller og -værktøjer, der har til formål at sikre it-systemernes modstandsdygtighed, stabilitet og tilgængelighed, især for dem, der understøtter kritiske eller vigtige funktioner, og at opretholde høje standarder for, tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, hvad enten dataene er inaktive, i brug eller under overførsel.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 9, stk. 2, bestå i, at der ikke er gennemført en it-sikkerhedspolitik for at sikre den finansielle enheds it-systems modstandsdygtighed, stabilitet og tilgængelighed.
Artikel 9, stk. 3, omhandler de it-løsninger og it-processer, som den finansielle enhed skal anvende for at nå de i artikel 9, stk. 2, omhandlede mål. It-løsningerne og it-processerne skal være i overensstemmelse med proportionalitetsprincippet i artikel 4 i DORA-forordningen og sikre sikkerheden for metoderne til overførsel af data, minimere risikoen for korruption eller tab af data, uautoriseret adgang og tekniske fejl, der kan hæmme erhvervsaktiviteten og forhindrer manglen på tilgængelighed, forringelsen af autenticiteten og integriteten, bruddene på fortroligheden og tabet af data. Samt sikre, at data beskyttes mod risici, der opstår i forbindelse med dataforvaltning, herunder dårlig administration, procesrelaterede risici og menneskelige fejl.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 9, stk. 3, bestå i at have utilstrækkelige it-løsninger og it-processer, der ikke lever op til proportionalitetsprincippet i artikel 4, i DORA-forordningen og de i artikel 9, stk. 3, fastsatte krav.
Det følger af artikel 9, stk. 4, at en finansiel enhed som led i deres it-risikostyring skal udvikle og dokumentere en informationspolitik, der fastlægger regler for beskyttelse af tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, informationsaktiver og it-aktiver, herunder deres kunders, hvis det er relevant, jf. litra a. Desuden skal en finansiel enhed følge en risikobaseret tilgang ved at indføre en forsvarlig forvaltningsstruktur for netværk og infrastrukturer ved anvendelse af passende teknikker, metoder og protokoller, der kan omfatte gennemførelse af automatiske mekanismer til isolering af de berørte informationsaktiver i tilfælde af cyberangreb, jf. litra b. Artikel 9, stk. 4, litra c, fastsætter også at en finansiel enhed skal gennemføre politikker, der begrænser den fysiske eller logiske adgang til informationsaktiver og it-aktiver udelukkende til, hvad der er påkrævet for legitime og godkendte funktioner og aktiviteter, og med henblik herpå indføre en række politikker, procedurer og kontroller, der vedrører adgangsrettigheder og sikrer forsvarlig forvaltning heraf.
Desuden skal den finansielle enhed gennemføre politikker og protokoller for stærke autentificeringsmekanismer på grundlag af relevante standarder og særlige kontrolsystemer og beskyttelsesforanstaltninger for krypteringsnøgler, hvorigennem data krypteres baseret på resultaterne fra godkendt dataklassificering og godkendte it-risikovurderingsprocesser, jf. litra d. Samt gennemføre dokumenterede politikker, procedurer og kontroller for styring af it-ændringer, herunder ændringer af software, hardware, firmwarekomponenter, systemer eller sikkerhedsparametre, som er baseret på en risikovurderingstilgang og er en integreret del af den finansielle enheds samlede ændringsstyringsproces, for at sikre, at alle ændringer af it-systemer registreres, testes, vurderes, godkendes, gennemføres og efterprøves på en kontrolleret måde, jf. litra e. Slutteligt anfører artikel 9, stk. 4, litra f, at en finansiel enhed skal sørge for, at der indføres passende og omfattende dokumenterede politikker for programrettelser og opdateringer.
Med henblik på første afsnit, litra b, udformer de finansielle enheder infrastrukturen for netværkstilslutning på en sådan måde, at den kan afbrydes eller segmenteres øjeblikkeligt for at minimere og forhindre afsmitning, navnlig i forbindelse med indbyrdes forbundne finansielle processer. Med henblik på første afsnit, litra e, skal it-ændringsstyringsprocessen godkendes på passende ledelsesniveauer og omfatte specifikke protokoller.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ikke forelægger en tilstrækkelig it-sikkerhedspolitik hos den finansielle enhed til at sikre beskyttelsen af deres kunders data. Den strafbare handling kan desuden også bestå i, at dokumenterede politikker, procedurer og kontroller for styring af it-ændringer, herunder ændringer af software, hardware, firmwarekomponenter, systemer eller sikkerhedsparametre, som er baseret på en risikovurderingstilgang og er en integreret del af den finansielle enheds samlede ændringsstyringsproces, for at sikre, at alle ændringer af it-systemer registreres, testes, vurderes, godkendes, gennemføres og efterprøves på en kontrolleret måde, ikke er blevet godkendt på passende ledelsesniveau.
Artikel 10, stk. 1-4, i DORA-forordningen omhandler detektion af anormale aktiviteter.
Det følger af artikel 10, stk. 1, at en finansiel enhed skal indføre mekanismer til omgående detektion af anormale aktiviteter i overensstemmelse med artikel 17, herunder problemer med it-netværkets ydeevne og it-relaterede hændelser, og til identifikation af potentielt væsentlige single points of failure. Artikel 17 omhandler proces for styring af it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. En overtrædelse af artikel 10, stk. 1, kan bestå i at der i den finansielle enhed ikke bliver opdaget anormale aktiviteter, idet enheden ikke har indført en mekaniske til detektion af disse.
Artikel 10, stk. 2, fastsætter krav til den finansielle enheds mekanismer. I medfør af artikel 10, stk. 2, skal de omtalte mekanismer i stk. 1, anvende flere kontrollag, fastlægge varslingstærskler og -kriterier, som skal udløse og igangsætte indsatsforanstaltninger mod it-relaterede hændelser, herunder automatiske varslingsmekanismer for det relevante personale, som har ansvar for indsatsen mod it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i at have utilstrækkelige mekanismer der ikke lever op til de af artikel 10, stk. 2, fastsatte krav.
Videre fremgår det af artikel 10, stk. 3, at finansielle enheder skal afsætte tilstrækkelige ressourcer og kapaciteter til overvågning af brugeraktiviteter, forekomsten af it-anomalier og it-relaterede hændelser, navnlig cyberangreb.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, ikke at have afsat ressourcer til overvågning af brugeraktiviteter.
Til slut fremgår det af artikel 10, stk. 4, at udbydere af dataindberetningstjenester indfører desuden systemer, som effektivt kan kontrollere, om handelsindberetningerne er fuldstændige, identificere udeladelser og åbenbare fejl og anmode om fornyet fremsendelse af disse indberetninger.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ikke er indført et system som kan identificere åbenbare fejl.
Artikel 11 i DORA-forordningen omhandler indsats og genopretning af it. Artikel 11, stk. 1, fastsætter, at en finansiel enhed skal indføre en omfattende politik for it-driftsstabilitet. Politikken skal være baseret på de krav til identifikation, der er fastsat i artikel 8 i DORA-forordningen. I henhold til artikel 8, stk. 1, skal en finansiel enhed f.eks. foretage en identifikation, klassificering og tilstrækkelig dokumentering af alle it-understøttende forretningsfunktioner, roller, ansvarsområder, informationsaktiviteter og it-aktiver, der understøtter disse funktioner, samt deres roller og afhængigheder med hensyn til it-risici.
Ansvarssubjektet for overtrædelse af artikel 11, stk. 1, er den finansielle enhed. Den strafbare handling kan enten bestå i ikke at have indført nogen politik for it-driftsstabilitet, eller at have indført en politik, der ikke omhandler alle it-understøttende forretningsfunktioner.
I medfør af artikel 11, stk. 2, skal en finansiel enhed gennemføre politikken for it-driftsstabilitet ved hjælp af særlige veldokumenterede ordninger, planer, procedurer og mekanismer, der skal tage sigte på en række forhold, der er oplistet i stk. 2, litra a - e. En af disse forhold er eksempelvis at sikre, at en finansiel enheds kritiske eller vigtige funktioner er stabile, jf. litra a, eller omgående at aktivere særlige planer, der gør det muligt at anvende inddæmningsforanstaltninger, -processer og -teknologier, der er egnede til de enkelte typer af it-relaterede hændelser, og som forhindrer yderligere skade, jf. litra c.
Ansvarssubjektet for en overtrædelse af artikel 11, stk. 2, er den finansielle enhed. Den strafbare handling består i, ikke at have gennemført en politik for it-driftsstabilitet ved hjælp af særlige ordninger, planer, procedurer og mekanismer, der tager sigte på de forhold, der er oplistet i stk. 2, litra a – e.
Artikel 11, stk. 3, indeholder krav om, at en finansiel enhed skal gennemføre planer for it-indsats og -genopretning, som skal underkastes uafhængige interne revisionsgennemgange.
Ansvarssubjektet for en overtrædelse af stk. 3, er den finansielle enhed. Den strafbare handling består i, at en finansiel enhed ikke lader planer for it-indsats og -genopretning blive underkastet uafhængige interne revisionsgennemgange.
Det fremgår af artikel 11, stk. 4, at en finansiel enhed skal indføre, vedligeholde og foretage regelmæssig testning af passende planer for it-driftsstabilitet, navnlig med hensyn til kritiske eller vigtige funktioner, som outsources eller udliciteres gennem ordninger, der er indgået med tredjepartsudbydere af it-tjenester. Ved regelmæssig testning forstås mindst én gang om året, jf. artikel 11, stk. 6, litra a.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i ikke at vedligeholde planer for it-driftsstabilitet, f.eks. hvis en udskiftning af virksomhedens it-systemer nødvendiggør en opdatering af planerne for it-driftsstyring. En strafbar handling kan også bestå i ikke regelmæssigt at foretage en test af planer for it-driftsstabilitet. Herunder vil det være en særligt skærpende omstændighed, hvis der ikke er foretaget regelmæssig testning af planer for it-driftsstabilitet med hensyn til kritiske eller vigtige funktioner, som eksempelvis er outsourcet til en tredjepartsudbyder af it-tjenester.
Af artikel 11, stk. 5, 1. pkt., fremgår det, at en finansiel enhed som led i den samlede politik for driftsstabilitet skal foretage en forretningskonsekvensanalyse af deres eksponering for alvorlige driftsforstyrrelser. Det fremgår videre af stk. 5, 2. pkt., hvordan en finansiel enhed i konsekvensanalysen skal vurdere potentielle virkninger af alvorlige driftsforstyrrelser. I stk. 5, 3. pkt., fremgår det, at en konsekvensanalyse bl.a. skal tage hensyn til den kritiske betydning af identificerede og kortlagte forretningsfunktioner og andre forhold, der er nævnt i 3. pkt. Til sidst fremgår det af stk. 5, 4. pkt., at en finansiel enhed skal sikre, at it- aktiver og -tjenester udformes og anvendes i fuld overensstemmelse konsekvensanalysen, navnlig med hensyn til tilstrækkeligt at sikre alle kritiske komponenters redundans, dvs. at en kritisk komponent kan erstattes med en tilsvarende komponent, hvis det skulle blive nødvendigt.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå af ikke at foretage en forretningskonsekvensanalyse af enhedens eksponering for alvorlige driftsforstyrrelser. Den kan f.eks. også bestå i ikke at foretage en vurdering af alvorlige driftsforstyrrelser i overensstemmelse med stk. 5, 2. pkt., eller bestå i at konsekvensanalysen ikke tager hensyn til den kritiske betydning af identificerede og kortlagte forretningsfunktioner eller en af de andre forhold, der er nævnt i det pågældende punkt. Til sidst kan en strafbar handling bestå i f.eks. ikke at sikre, at en kritisk komponent kan erstattes af en tilsvarende komponent, hvis konsekvensanalysen tilsiger dette.
Det fremgår af artikel 11, stk. 6, 1. afsnit, litra a, at en finansiel enhed, som led i it-risikostyring, skal teste enhedens planer for it-driftsstabilitet og planer for it-indsats og genopretning i forbindelse med it-systemer, der understøtter alle funktioner. En test heraf skal finde sted mindst én gang årligt og i tilfælde af væsentlige ændringer af it-systemer, der understøtter kritiske eller vigtige funktioner. I medfør af stk. 6, 1. afsnit, litra b, skal en finansiel enhed også teste krisekommunikationsplaner, der er udarbejdet i medfør af artikel 14.
Stk. 6, 2. afsnit indeholder nærmere krav til, hvilke forskellige scenarier tests for it-driftsstabilitet og planer for it-indsats og genopretning, jf. stk. 6, litra a, skal medtage. Det drejer sig bl.a. om cyberangrebsscenarier og omstillingsscenarier mellem den primære it-infrastruktur og redundante kapacitet. Ved redundante kapacitet forstås en lignende kapacitet, der skal kunne erstatte den primære it-infrastruktur, hvis denne eksempelvis bliver beskadiget under et cyberangreb. Bestemmelsen gælder ikke for finansielle enheder, der er mikrovirksomheder. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Videre fremgår det af stk. 6, 3. afsnit, at en finansiel enhed regelmæssigt skal gennemgå sin politik for it-driftsstabilitet og planer for it-indsats og -genopretning. Her skal den finansielle enhed bl.a. tage hensyn til resultaterne af de test, som den finansielle enhed har gennemført i henhold til 1. afsnit.
Ansvarssubjektet for en overtrædelse af artikel 11, stk. 6, er den finansielle enhed. Den strafbare overtrædelse kan eksempelvis bestå i ikke at foretage test for planer for it-driftsstabilitet og planer for it-indsats og -genopretning eller ikke at foretage test af krisekommunikationsplaner, jf. stk. 6, 1. afsnit.
En strafbar overtrædelse kan f.eks. også bestå af ikke at medtage cyberangrebscenarier og omstillingsscenarier mellem den primære it-infrastruktur og den redundante kapacitet, eller i ikke regelmæssigt at gennemgå enhedens politik for it-driftsstabilitet og planer for it-indsats og -genopretning under hensyntagen til resultaterne af de test, som enheden har gennemført, jf. henholdsvis 2. og 3. afsnit.
I medfør af artikel 11, stk. 7, skal en finansiel enhed have en krisestyringsfunktion, som, hvis deres planer for it-driftsstabilitet og planer for it-indsats og -genopretning aktiveres, bl.a. skal indeholde klare procedurer for forvaltning af intern og ekstern krisekommunikation i overensstemmelse med artikel 14, der indeholder nærmere regler herfor.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i ikke at have en krisestyringsfunktion, der indeholder klare procedurer for intern og ekstern krisekommunikation i overensstemmelse med artikel 14.
Artikel 11, stk. 8, indeholder krav om, at en finansiel enhed skal føre let tilgængelige registre over aktiviteter før og under driftsforstyrrelser, når deres planer for it-driftsstabilitet og planer for it-indsats og -genopretning aktiveres.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at føre registre over aktiviteter før og under driftsforstyrrelser, hvor planerne for it-driftsstabilitet og for it-indsats og -genopretning er blevet aktiveret.
Til sidst følger det af artikel 11, stk. 10, at en finansiel enhed skal indberette et overslag over de samlede årlige omkostninger og tab, der opstår som følge af større it-relaterede hændelser, til de kompetente myndigheder på deres anmodning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at indberette et overslag over de samlede årlige omkostninger og tab, der opstår som følge af større it-relaterede hændelser, til de kompetente myndigheder, dvs. Finanstilsynet, hvis Finanstilsynet anmoder den finansielle enhed herom.
Artikel 12 indeholder nærmere bestemmelser om politikker og procedurer for sikkerhedskopiering og procedure og metoder for gendannelse og genopretning af it-systemer og data.
Det følger af artikel 12, stk. 1, at en finansiel enhed som led i it-risikostyring skal udvikle og dokumentere politikker og procedure for sikkerhedskopiering, der præciserer omfanget af de data, der er genstand for sikkerhedskopiering, og minimumshyppigheden af sikkerhedskopiering baseret på oplysningernes kritiske betydning eller fortrolighedsniveauet for dataene. Desuden skal en finansiel enhed udvikle og dokumentere procedurer og metoder for gendannelse og genopretning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at udvikle og dokumentere politikker og procedure for enten sikkerhedskopiering eller gendannelse og genopretning.
I medfør af artikel 12, stk. 2, 1. pkt., skal en finansiel enhed etablere systemer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning. Det følger videre af artikel 12, stk. 2, 2. pkt., at aktiveringen af systemerne for sikkerhedskopiering ikke må sætte sikkerheden i net- og informationssystemer eller tilgængeligheden, autenticiteten, integriteten eller fortroligheden af data over styr. Til sidst er det i medfør af stk. 2, 3. pkt., et krav, at der foretages regelmæssig test af procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i ikke at etablere systemer for sikkerhedskopiering eller for procedurer og metoder for gendannelse og genopretning. Den kan også bestå i, at en finansiel enhed ikke sikrer sig, at systemerne for sikkerhedskopiering ikke sætter sikkerheden i net- og informationssystemer m.v. over styr. I henhold til stk. 2, 3. pkt., kan den bestå i at der ikke foretages regelmæssige test af procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning.
Det følger af artikel 12, stk. 3, 1 og 2. pkt., at når en finansiel enhed gendanner sikkerhedskopierede data ved anvendelse af egne systemer, skal de anvende de it-systemer, der er fysisk og logisk adskilt fra it-kildesystemet. It-systemerne skal være sikkert beskyttet mod uautoriseret adgang eller it-korruption og give mulighed for rettidig gendannelse af tjenester ved hjælp af data- og systemsikkerhedskopier efter behov.
Ansvarssubjektet i stk. 3, 1. og 2. pkt., er den finansielle enhed. Den strafbare handling kan i medfør af stk. 3, 1. pkt., bestå i at anvende egne it-systemer til gendannelse af sikkerhedskopierede data, der ikke er fysisk og logisk adskilt fra it-kildesystemet. Det vil eksempelvis sige it-systemer, der befinder sig på en anden adresse end kildesystemet, dvs. det it-system, som den finansielle enhed anvender i sit daglige virke. Det kan også være, hvor en finansiel enhed anvender eget it-system, der er fysisk adskilt fra kildesystemet, men hvor systemet ikke logisk er adskilt fra kildesystemet. Den strafbare handling i medfør af stk. 3, 2. pkt., kan f.eks. bestå i ikke at beskytte it-systemerne mod uautoriseret adgang eller it-korruption.
Videre følger det af stk. 3, 3. pkt., at for centrale modparter (CCP’er) skal genopretningsplaner gøre det muligt at genoptage alle transaktioner fra det tidspunkt, hvor de blev afbrudt, således at den berørte centrale modpart (CCP) kan opretholde driftssikkerheden og gennemføre afviklingen på den planlagte dato. Til sidst følger det af stk. 3, 4. pkt., at udbydere af dataindberetningstjenester desuden skal sørge for at råde over passende ressourcer og sikkerhedskopierings- og gendannelsesfaciliteter for til enhver tid at kunne udbyde og opretholde deres tjenester.
Ansvarssubjektet i stk. 3, 3. pkt., er den centrale modpart (CCP). Den strafbare handling består i, at en genopretningsplan ikke gør det muligt at genoptage alle transaktioner fra det tidspunkt, hvor transaktionerne blev afbrudt.
Ansvarssubjektet i stk. 3, 4. pkt., er udbyderen af dataindberetningstjenester. Den strafbare handling består i ikke at have ressourcer og sikkerhedskopierings- og gendannelsesfaciliteter for til enhver tid at kunne udbyde og opretholde sine tjenester.
Det følger af artikel 12, stk. 4, 1. pkt., at en finansiel enhed opretholder redundante it-kapaciteter, der er udstyret med passende ressourcer og funktioner med henblik på at sikre forretningsmæssige behov. Videre fremgår det af stk. 4, 2. pkt., at mikrovirksomheder vurderer behovet for at opretholde redundante it-kapaciteter på grundlag af deres risikoprofil. Ved redundante it-kapaciteter forstås lignende it-kapaciteter, der skal kunne erstatte de primære it-kapaciteter en finansiel enhed, hvis disse it-kapaciteter eksempelvis bliver ramt af et cyberangreb.
Ansvarssubjektet i stk. 4, 1. pkt., er den finansielle enhed. Den strafbare handling består i ikke at have redundante it-kapaciteter, der sikrer forretningsmæssige behov.
Ansvarssubjektet i stk. 4, 2. pkt., er en finansiel enhed, som er en mikrovirksomhed. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Den strafbare handling består i ikke at have foretaget en vurdering af behovet for at opretholde redundante it-kapaciteter på baggrund af enhedens risikoprofil.
Af artikel 12, stk. 5, fremgår det, at værdipapircentraler (CSD’er) skal bibeholde mindst ét sekundært afviklingssted, der er udstyret med passende ressourcer, kapaciteter, funktioner og personalemæssige ordninger med henblik på at sikre forretningsmæssige behov. Stk. 5, 2. afsnit indeholder nærmere krav til det sekundære afviklingssted. Det fremgår bl.a. af stk. 5, 2. afsnit, litra a, at afviklingsstedet skal befinde sig i en geografisk afstand fra det primære afviklingssted for bl.a. at forhindre, at det påvirkes af den hændelse, der har berørt det primære afviklingssted. Et eksempel på en hændelse kan være en oversvømmelse på det primære afviklingssted. I sådan et tilfælde skal det sekundære afviklingssted ligge i en tilpas afstand fra det primære afviklingssted for ikke at tage skade af oversvømmelsen.
Ansvarssubjektet i stk. 5 er en værdipapircentral (CSD). Den strafbare handling består f.eks. i ikke at have som minimum ét sekundært afviklingssted. Den kan eksempelvis også bestå i ikke at have oprettet det sekundære afviklingssted i en afstand fra det primære afviklingssted, der sikrer, at en hændelse i det primære afviklingssted ikke også rammer det sekundære afviklingssted.
Det fremgår af artikel 12, stk. 6, 1. pkt., at når en finansiel enhed skal fastlægge målene for genopretningstid og genopretningstidspunkt for hver funktion, skal de tage hensyn til, om det er en kritisk eller vigtig funktion og de potentielle samlede virkninger for markedseffektiviteten. Videre fremgår det af stk. 6, 2. pkt., at tidsmålene skal sikre, at de aftalte serviceniveauer kan overholdes i ekstreme scenarier.
Ansvarssubjektet i stk. 6, er den finansielle enhed. Den strafbare handling består i, at en finansiel enhed i sin fastlæggelse af målene for genopretningstid og genopretningstidspunkt, ikke har taget hensyn til, om den pågældende funktion er kritisk, eller hvilken virkning disse tidsmål vil have på markedseffektiviteten. Den kan også bestå i, at den finansielle enhed ikke har sikret sig, at tidsmålene kan overholde de aftalte serviceniveauer i ekstreme scenarier.
Det fremgår af artikel 12, stk. 7, 1. pkt., at når en finansiel enhed foretager genopretning efter en it-relateret hændelse, skal den udføre de nødvendige kontroller, herunder eventuelt flere kontroller og afstemninger, for at sikre, at dataintegriteten bevares på højeste niveau. Videre fremgår det af stk. 7, 2. pkt., at kontroller også skal foretages i forbindelse med rekonstruktionen af data fra eksterne interessenter for at sikre, at alle systemernes data er sammenhængende.
Ansvarssubjektet i stk. 7 er den finansielle enhed. Den strafbare handling består i ikke at udføre de nødvendige kontroller eller afstemninger efter en genopretning for at sikre, at dataintegriteten bevares på højt niveau. I den forbindelse kan den strafbare handling også bestå i ikke at foretage kontroller i forbindelse med rekonstruktionen af data fra eksterne interessenter for at sikre, at alle systemernes data er sammenhængende.
Artikel 13 indeholder regler om læring og udvikling omkring sårbarheder og cybertrusler, it-relaterede hændelser, herunder navnlig cyberangreb. Stk. 1 indeholder krav om, at en finansiel enhed skal sørge for at råde over kapaciteter og personale, som kan indsamle oplysninger herom, og som kan analysere de virkninger, de forventes at have på deres digitale operationelle modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at have afsat ressourcer til f.eks. et it-system og personale, hvormed enheden kan indsamle oplysninger om sårbarheder og cybertrusler eller it-relaterede hændelser som cyberangreb. Den strafbare handling kan eksempelvis også bestå i ikke at have personale med tilstrækkelige kompetencer til at kunne analysere de virkninger, som bl.a. et cyberangreb kan have på deres digitale operationelle infrastruktur.
Det fremgår af artikel 13, stk. 2, 1. afsnit, at en finansiel enhed skal foretage gennemgange af it-relaterede hændelser, efter at større it-relaterede hændelser har forstyrret deres kerneaktiviteter. Den finansielle enhed skal i den forbindelse analysere årsagerne til forstyrrelserne og identificere nødvendige forbedringer af it-operationerne eller indenfor rammerne af den i artikel 11 omhandlede politik for it-driftsstabilitet.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i ikke at foretage en gennemgang og analyse af en større it-relateret hændelse, der har forstyrret den finansielle enheds kerneaktivitet.
Videre fremgår det af stk. 2, 2. afsnit, at en finansiel enhed på anmodning fra den kompetente myndighed skal underrette den kompetente myndighed om ændringer, der er blevet gennemført efter en gennemgang af it-relaterede hændelser. Bestemmelsen gælder ikke for finansielle enheder, der er mikrovirksomheder. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke efter anmodning fra Finanstilsynet at underrette Finanstilsynet om ændringer, der er blevet gennemført efter en gennemgang af it-relaterede hændelser.
Til sidst fremgår det af stk. 2, 3. afsnit, at det i forbindelse med gennemgangen af it-relaterede hændelser skal fastslås, om de fastlagte procedurer er blevet fulgt, og om de iværksatte foranstaltninger har været effektive. Ved fastlagte procedurer forstås de procedurer, som den finansielle enhed har fastlagt i sin politik for it-driftsstabilitet. Det fremgår af artikel 11, stk. 2, at en finansiel enhed gennemfører politikken for it-driftsstabilitet ved hjælp af særlige, passende og veldokumenterede ordninger, planer, procedurer og mekanismer. Det er derfor procedurer og iværksatte foranstaltninger i henhold til de her ordninger m.v., som den finansielle enhed skal fastslå om har været effektive.
Det fremgår nærmere af artikel 13, stk. 2, 3. afsnit, at hvad en finansiel enhed bl.a. skal lægge nærmere vægt på i sin vurdering af, om de iværksatte foranstaltninger har været effektive. Den finansielle enhed skal bl.a. lægge vægt på den hastighed, med hvilken der er blevet sat ind overfor sikkerhedsvarsler, og med hvilken hastighed virkningerne af it-relaterede hændelser og deres omfang er blevet fastslået, jf. stk. 2, 3. afsnit, litra a. Det kan også være i forhold til effektiviteten af den finansielle enheds fejlafhjælpning i forbindelse med hændelser, jf. stk. 2, 3. afsnit, litra c.
Bestemmelsen har til formål at sikre, at en finansiel enhed efter en it-hændelse forholder sig kritisk til sine ordninger, planer, procedure m.v. i forbindelse med sin politik for it-driftsstabilitet for evt. at kunne forbedre disse til håndtering af en fremtidig it-relateret hændelse.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at fastslå om ordninger, planer og procedure i forbindelse med politikken for it-driftsstabilitet er blevet fulgt. Den kan også bestå i ikke at fastslå, om de iværksatte foranstaltninger har været effektive, herunder eksempelvis i forhold til den hastighed, med hvilken der er blevet sat ind overfor sikkerhedsvarsler, og med hvilken hastighed virkningerne af it-relaterede hændelser og deres omfang er blevet fastslået, jf. stk. 2, 3. afsnit, litra a.
Det følger af artikel 13, stk. 3, 1. pkt., at erfaringer fra test af digital operationel modstandsdygtighed, som foretages i overensstemmelse med artikel 26 og 27, og fra faktiske it-relaterede hændelser, navnlig cyberangreb, samt udfordringer i forbindelse med aktiveringen af planer for it-driftsstabilitet og planer for it-indsats og -genopretning, sammen med relevante oplysninger, der udveksles med modparter, og som vurderes i forbindelse med tilsynsmæssige gennemgange, løbende skal indarbejdes i it-risikovurderingsprocessen.
Artikel 26 vedrører avancerede test af IKT-værktøjer, -systemer og -processer baseret på TLPT. TLPT står for Threat Led Penetration Testing, som er en testmetode, hvor en virksomhed engagerer etiske hackere, som skal angribe flere systemer og det tilhørende cyberforsvar i virksomheden. Testene foregår i livesystemer, hvilket vil sige de systemer, som anvendes direkte i den finansielle sektor, og er baseret på konkrete trusler, hvilket betyder, at testene simulerer taktikker, teknikker og procedurer fra aktive, avancerede hackergrupper. Artikel 27 fastsætter de nærmere krav til testere.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består f.eks. i ikke løbende at indarbejde erfaringer fra test af digital operationel modstandsdygtighed i overensstemmelse med artikel 26 og 27, og fra it-relaterede hændelser i it-risikostyringsprocessen.
Det fremgår af artikel 13, stk. 4, 1. pkt., at en finansiel enhed skal overvåge effektiviteten af gennemførelse af deres strategi for digital operationel modstandsdygtighed, jf. artikel 6, stk. 8, der fastsætter nærmere krav til strategien. Videre fremgår det af stk. 4, 2. pkt., at en finansiel enhed skal kortlægge it-risikoens udvikling over tid, analysere hyppigheden, typerne, omfanget af og udviklingen i it-relaterede hændelser, navnlig cyberangreb og mønstre forbundet hermed. Den finansielle enhed skal gøre dette med henblik på at forstå graden af it-risikoeksponering, navnlig i forbindelse med kritiske eller vigtige funktioner, og for at forbedre den finansielle enheds cybermodenhed og cyberberedskab.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at overvåge effektiviteten af gennemførelsen af enhedens strategi for digital operationel modstandsdygtighed eller i ikke at kortlægge it-risikoens udvikling over tid, analysere hyppigheden, typerne, omfanget af og udviklingen i it-relaterede hændelser, navnlig cyberangreb og mønstre forbundet hermed.
Det fremgår af artikel 13, stk. 5, at højtstående it-personale mindst én gang om året skal aflægge rapport til ledelsesorganet om de i stk. 3 omhandlede resultater og fremsætte anbefalinger. Indholdet af artikel 13, stk. 3, er nærmere gennemgået ovenfor under bemærkningerne til strafbelæggelsen af en overtrædelse af stk. 3.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i som finansiel enhed ikke at sørge for, at it-personale mindst én gang om året aflægger rapport for ledelsesorganet om resultater af f.eks. faktiske it-relaterede hændelser, jf. artikel 13, stk. 3, og fremsætter anbefalinger.
Det fremgår af artikel 13, stk. 6, 1. pkt., at en finansiel enhed skal udvikle programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed som obligatoriske moduler i deres personaleuddannelsesordninger. Videre fremgår det af stk. 6, 2. pkt., at disse kurser skal omfatte alle medarbejdere og den øverste ledelse og skal have en grad af kompleksitet, der svarer til deres opgavers ansvarsområde. Sidst fremgår det af stk. 6, 3. pkt., at en finansiel enhed, hvis det er relevant, inddrager tredjepartsudbydere af it-tjenester i relevante uddannelsesordninger, jf. artikel 30, stk. 2, litra i, om kontraktlige ordninger om betingelserne for deltagelse af tredjepartsudbydere i programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består f.eks. i ikke at udvikle programmer til alle medarbejdere og den øverste ledelse til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed som obligatoriske moduler i deres personaleuddannelse. Den strafbare handling kan også bestå i ikke at inddrage tredjepartsudbydere af it-tjenester i relevante uddannelsesordninger, hvis dette viser sig nødvendigt. Det kan eksempelvis være i det tilfælde, hvor kompleksiteten af et uddannelsesprogram når et niveau, hvor den finansielle enhed ikke selv har kompetencerne til at udvikle programmet.
Det fremgår af artikel 13, stk. 7, 1. pkt., at en finansiel enhed løbende skal overvåge den relevante teknologiske udvikling også med henblik på at forstå den mulige virkning af indførelsen af sådanne nye teknologier for kravene til it-sikkerhed og digital operationel modstandsdygtighed. Videre fremgår det af stk. 7, 2. pkt., at en finansiel enhed skal holde sig ajour med de seneste it-risikostyringsprocesser for effektivt at bekæmpe aktuelle eller nye former for cyberangreb. Bestemmelsen gælder ikke for mikrovirksomheder. Se definitionen af en mikrovirksomhed under bemærkningerne til strafbelæggelse af overtrædelse af artikel 11, stk. 6, 2. afsnit.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke løbende at overvåge den relevante teknologiske udvikling med henblik på evt. at indføre de nye teknologier i enheden i forhold til at leve op til kravene til it-sikkerhed og digital operationel modstandsdygtighed. Den kan også bestå i ikke at holde sig ajour med de seneste it-risikostyringsprocesser for effektivt at bekæmpe aktuelle eller nye former for cyberangreb.
Artikel 14, stk. 1 i DORA-forordningen omhandler, at der som led i den ramme for it-risiko-styring, der er omhandlet i artikel 6, stk. 1, at de finansielle enheder sørger for at have krisekommunikationsplaner, der giver mulighed for ansvarlig offentliggørelse af, som minimum større it-relaterede hændelser eller sårbarheder for kunder og modparter samt for offentligheden, alt efter hvad der er relevant.
Krisekommunikations-planer må forstås sådant, at når der opstår en større ulykke eller katastrofe, så er der et akut behov for viden, og det er derfor nødvendigt at have planer for at kommunikere dette ud til de relevante parter.
It-risiko-styring må forstås sådant, at det er en håndtering af en sådan trussel, som defineres i artikel 3, stk. 1 nr. 5.
Ansvarssubjektet for overtrædelse af artikel 14, stk. 1, er den finansielle enhed. Den strafbare handling kan f.eks. bestå i, at den finansielle enhed ikke har udarbejdet planer for kommunikation af en offentliggørelse af en større it-relateret hændelse.
I medfør af artikel 14, stk. 2, skal en finansiel enhed som led i rammen for it-risikostyring, der er omhandlet i artikel 6, stk. 1. gennemføre kommunikationsplaner for internt personale og eksterne interessenter. Artikel 6, stk. 1, vedrører, at finansielle enheder indfører en robust, omfattende og veldokumenteret ramme for it-risikostyring. Kommunikationspolitikkerne for personalet skal tage hensyn til behovet for at skelne mellem personale der er involveret i it-risiko-styring, navnlig det personale der er ansvarlig for indsats og genopretning, og personale, der skal underrettes.
Ansvarssubjektet for en overtrædelse af artikel 14, stk. 2, er den finansielle enhed. Den strafbare handling består i, ikke at have gennemført kommunikationsplaner for internt personale og eksterne interessenter.
Artikel 14, stk. 3, indeholder krav om, at mindst én person i den finansielle enhed skal have til opgave at gennemføre kommunikationsstrategien for it-relaterede hændelse, og til dette formål varetage funktionen vedrørende offentligheden og medierne.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed ikke har mindst én person, der har til opgave at gennemføre kommunikationsstrategien for it-relaterede hændelse, og som til dette formål har varetage funktionen vedrørende offentligheden og medierne.
Det fremgår af artikel 16, stk. 1, at forordningens artikel 5-15 ikke finder anvendelse på små og ikke indbyrdes forbundne investeringsselskaber, betalingsinstitutter, der er undtaget i henhold til direktiv (EU) 2015/2366, institutter, der er fritaget i henhold til direktiv 2013/36/EU, og for hvilke medlemsstaterne har besluttet ikke at anvende den mulighed, der er omhandlet i nærværende forordnings artikel 2, stk. 4, e-pengeinstitutter, der er undtaget i henhold til direktiv 2009/110/EF, og små arbejdsmarkedsrelaterede pensionskasser.
Uden at det berører første afsnit, skal de i første afsnit omhandlede enheder overholde det anførte i artikel 16, stk. 1, litra a-e. Det fremgår af litra a, at enhederne skal indføre og vedligeholde en robust og dokumenteret ramme for it-risikostyring, der beskriver de mekanismer og foranstaltninger, der skal muliggøre en hurtig, effektiv og omfattende styring af it-risiko, herunder vedrørende beskyttelse af relevante fysiske komponenter og infrastrukturer.
Det fremgår af litra b, at der løbende skal overvåges alle it-systemers sikkerhed og drift.
Det fremgår af litra c, at virkningen af it-risiko gennem anvendelse af robuste, modstandsdygtige og ajourførte it-systemer, -protokoller og -værktøjer, som er egnede til at understøtte udførelsen af deres aktiviteter og leveringen af tjenester og i tilstrækkelig grad beskytte tilgængeligheden, autenticiteten, integriteten og fortroligheden af data i net- og informationssystemerne skal minimeres.
Det fremgår af litra d, at det hurtigst muligt skal konstateres og detekteres it-risikokilder og -anomalier i net- og informationssystemerne og hurtigt at håndtere it-relaterede hændelser.
Det fremgår af litra e, at der skal konstateres stor afhængighed af tredjepartsudbydere af it-tjenester.
Det fremgår af litra f, at der skal sikres kontinuiteten af kritiske eller vigtige funktioner gennem planer for driftsstabiliteten og indsats- og genopretningsforanstaltninger, der som minimum omfatter sikkerhedskopierings- og gendannelsesforanstaltninger.
Det fremgår af litra g, at der regelmæssigt skal testes de planer og foranstaltninger, der er omhandlet i litra f, samt effektiviteten af de gennemførte kontroller i overensstemmelse med litra a og c.
Det fremgår af litra h, at der skal gennemføres, alt efter hvad der er relevant, de relevante operationelle konklusioner, der følger af de test, der er omhandlet i litra g, og af de efterfølgende analyser af hændelserne, i it-risikovurderingsprocessen og efter behov og it-risikoprofil udvikle programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed for personale og ledelse.
Ansvarssubjektet i artikel 16, stk. 1 litra a-h, er den finansielle enhed. Den strafbare handling består i, at de i første afsnit omhandlede enheder ikke overholder det anførte i artikel 16, stk. 1, litra a-e.
I medfør af artikel 16, stk. 2, skal en finansiel enhed i den i stk. 1, andet afsnit, litra a, omhandlede ramme for it-risikostyring dokumenteres og gennemgås regelmæssigt og ved forekomst af større it-relaterede hændelser i overensstemmelse med de tilsynsmæssige instrukser. Den skal forbedres løbende på grundlag af indhøstede erfaringer fra gennemførelse og overvågning. Der skal forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed på dennes anmodning.
Ansvarssubjektet for overtrædelsen af artikel 16, stk. 2, er den finansielle enhed. Den strafbare handling består i, at ikke at have gennemført de handlinger der er oplistet i artikel 16, stk. 2. Dette er eksempelvis at sikre at der forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed ved anmodning.
Det følger af artikel 17, stk. 1, at de finansielle enheder definerer, fastlægger og gennemfører en proces for styring af it-relaterede hændelser for at detektere, styre og indberette it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 17, stk. 1 bestå i, at de finansielle enheder ikke definerer, fastlægger og gennemfører en proces for styring af it-relaterede hændelser, som kan detektere, styre og indberette it-relaterede hændelser.
Det følger af artikel 17, stk. 2, at de finansielle enheder er alle, der registrerer it-relaterede hændelser og væsentlige cybertrusler. De finansielle enheder fastlægger passende procedurer og processer, der skal sikre en konsekvent og integreret overvågning, håndtering og opfølgning af it-relaterede hændelser. Det skal ske således, at de grundlæggende årsager identificeres, dokumenteres og håndteres for at forhindre, at sådanne hændelser forekommer.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 17, stk. 2, bestå i, at den finansielle enhed fastlægger passende procedurer og processer, der skal sikre en konsekvent og integreret overvågning, håndtering og opfølgning af it-relaterede hændelser. Dette skal ske således, at de grundlæggende årsager identificeres, dokumenteres og håndteres for at forhindre, at sådanne hændelser kan opstå.
Det følger af artikel 17, stk. 3, at den finansielle enhed som led i den proces for styring af it-relaterede hændelser, der er omhandlet i stk. 1, overholder det anførte i artikel 17, stk. 3, litra a-f.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling i medfør af artikel 17, stk. 3, er en tilsidesættelse af overholdelse af de oplistede krav i artikel 17, stk. 3, litra a-f. Dette kan eksempelvis være, at der ikke tildeles roller og ansvarsområder, som skal aktiveres for forskellige it-relaterede hændelsestyper og -scenarier.
Artikel 18 indeholder en klassificering af it-relaterede hændelser og cybertrusler.
Det følger af artikel 18, stk. 1, at de finansielle enheder klassificerer it-relaterede hændelser og fastslår deres virkninger på grundlag af følgende kriterier oplistet i artikel 18, stk. 1, litra a-f.
Det fremgår af litra a, at antallet og/eller relevansen af kunder eller finansielle modparter, som er berørt, og, hvis det er relevant, beløbet på eller antallet af de transaktioner, som er berørt af den it-relaterede hændelse, og hvorvidt den it-relaterede hændelse har haft indvirkning på omdømmet.
Det fremgår af litra b, at varigheden af den it-relaterede hændelse, herunder tjenestens nedetid.
Det fremgår af litra c, at den geografiske udbredelse med hensyn til de områder, der er berørt af den it-relaterede hændelse, navnlig hvis den berører mere end to medlemsstater.
Det fremgår af litra d, at de datatab, som den it-relaterede hændelse medfører med hensyn til tilgængelighed, autenticitet, integritet eller fortrolighed af data.
Det fremgår af litra e, at den kritiske betydning af de berørte tjenester, herunder den finansielle enheds transaktioner og operationer.
Det fremgår af litra f, at de økonomiske virkninger, navnlig direkte og indirekte omkostninger og tab, af den it-relaterede hændelse i både absolutte og relative tal.
Ansvarssubjektet i stk. 1 er den finansielle enhed. Den strafbare handling består i, at de finansielle enheder ikke klassificerer it-relaterede hændelser og dermed ikke fastslår deres virkninger på grundlag af følgende kriterier oplistet i artikel 18, stk. 1, litra a-f.
Det fremgår af stk. 2, at de finansielle enheder klassificerer cybertrusler som væsentlige på grundlag af de udsatte tjenesters kritiske betydning, herunder den finansielle enheds transaktioner og operationer, antallet og/eller relevansen af de kunder eller finansielle modparter, som rammes, og risikoområdernes geografiske udbredelse.
Ansvarssubjektet i artikel 18, stk. 2, er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed undlader at klassificere cybertrusler som væsentlige, eksempelvis på grundlag af de udsattes tjenesters kritiske betydning.
Artikel 19, stk. 1, omhandler indberetning af større it-relaterede hændelser. Bestemmelsen forpligter den finansielle enhed til at indberette større it-relaterede hændelser til den relevante kompetente myndighed.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke underretter Finanstilsynet om en større it-relateret hændelse.
I medfør af artikel 19, stk. 3, skal den finansielle enhed underrette Finanstilsynet, uden unødigt ophold, i tilfælde af, at en større it-relateret hændelse indtræffer og har indflydelse på kunders finansielle interesser. Den finansielle enhed underretter også om de foranstaltninger, der er truffet for at afbøde de negative virkninger af en sådan hændelse. I tilfælde af en væsentlig cybertrussel underretter de finansielle enheder, hvis det er relevant, de af deres kunder, som potentielt er berørt heraf, om eventuelle passende beskyttelsesforanstaltninger, som sidstnævnte kan overveje at træffe
Ansvarssubjektet var overtrædelse af artikel 19, stk. 3, er den finansielle enhed. En strafbar handling kan bestå i, at den finansielle enhed ikke underretter Finanstilsynet rettidigt i tilfælde af en større it-relateret hændelse indtræffer, som har indflydelse på kunders finansielle interesser. En strafbar handling kan også bestå i at underrette Finanstilsynet om den it-relaterede hændelse, uden at underrette om de foranstaltninger der er truffet for at afbøde de negative virkninger.
Det fremgår af artikel 19, stk. 4, at den finansielle enhed, i tilfælde af en it-relateret hændelse, skal indgive henholdsvis en indledende underretning, jf. litra a, en foreløbig rapport så snart den oprindelige hændelses status har ændret sig betydeligt, eller håndteringen af den større it-relaterede hændelse har ændret sig på grundlag af nye tilgængelige oplysninger, efterfulgt, alt efter hvad der er relevant, af ajourførte underretninger, hver gang der foreligger en relevant ajourføring af status, samt efter en specifik anmodning fra den kompetente myndighed, jf. litra b. Samt en endelig rapport, når den grundlæggende årsagsanalyse er afsluttet, uanset om der allerede er gennemført afbødende foranstaltninger, og når tallene for de faktiske virkninger foreligger og kan erstatte skøn, jf. litra c. Fristerne for disse skal fastsættes i overensstemmelse med artikel 20, stk. 1, litra a, nr. ii, og skal indgives til Finanstilsynet, som er den kompetente myndighed.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i, ikke at indgive en indledende underretning, en foreløbig rapport eller en endelig rapport til Finanstilsynet inden for de af artikel 20, stk. 1, litra a, nr. ii, fastsatte frister.
Artikel 24 i DORA-forordningen omhandler generelle krav til gennemførslen af test af digital operationel modstandsdygtighed.
Det følger af artikel 24, stk. 1, at en finansiel enhed skal udarbejde, opretholde og gennemgå et forsvarligt og omfattende program for test af digital operationel modstandsdygtighed, som en integreret del af den i artikel 6 omhandlede ramme for it-risikostyring. Dette skal ske med henblik på at vurdere beredskabet i forhold til håndtering af it-relaterede hændelser, identificere svagheder, mangler og huller i den digitale operationelle modstandsdygtighed og straks træffe korrigerende foranstaltninger.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har udarbejdet et program for test af digital operationel modstandsdygtighed. Den strafbare handling kan også bestå i, at den finansielle enheds program for test af digital operationel modstandsdygtighed ikke er forsvarligt eller omfattende nok.
I medfør af artikel 24, stk. 2, skal programmet for test af digital operationel modstandsdygtighed, omfatte en række vurderinger, test, metodologier, fremgangsmåder og værktøjer, der skal anvendes i overensstemmelse med artikel 25 og 26 i DORA-forordningen.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå, i at den finansielle enhed gennemfører tests der ikke i tilstrækkelig grad omfatter kravene om vurderinger, test, metodologier, fremgangsmåder og værktøj, der skal anvendes i overensstemmelse med artikel 25 og artikel 26 i DORA-forordningen.
Artikel 24, stk. 3, pålægger den finansielle enhed at følge en risikobaseret tilgang for programmet for test af digital operationel modstandsdygtighed. Den finansielle enhed skal ved gennemførslen af programmet, tage hensyn til kriterierne i DORA-forordningens artikel 4, stk. 2, og til et it-risikomiljø i udvikling, eventuelle specifikke risici, som den berørte finansielle enhed udsættes for eller kan blive udsat for, informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre faktorer, som den finansielle enhed finder relevante.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse af artikel 24, stk. 3, kunne eksempelvis være, at den finansielle enhed gennemfører et program for test af digital operationel modstandsdygtighed uden at tage hensyn til den finansielles enheds it-risikomiljø.
I medfør af artikel 24, stk. 4, skal den finansielle enhed sikre, at tests gennemføres af uafhængige parter, hvad enten de er interne eller eksterne. Hvis en intern tester gennemfører test, skal de finansielle enheder afsætte tilstrækkelige ressourcer og sikre, at interessekonflikter undgås under testens udformnings- og gennemførelsesfaser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed der gennemfører tests af deres digitale operationelle modstandsdygtighed ikke sikrer, at testen gennemføres af uafhængige interne eller eksterne parter for at begrænse interessekonflikter.
Artikel 24, stk. 5, pålægger den finansielle enhed at fastlægge procedurer og politikker med henblik på at prioritere, klassificere og afhjælpe alle problemer, der identificeres i forbindelse med gennemførelsen af test, og fastlægger interne valideringsmetoder for at sikre, at alle konstaterede svagheder, mangler eller huller afhjælpes fuldt ud.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at fastlægge procedurer og politikker der prioriterer, klassificerer og afhjælper de problemer der identificeres med gennemførslen af testen.
I medfør af artikel 24, stk. 6, skal de finansielle enheder sikre, at der gennemføres passende test af alle it-systemer og -applikationer, der understøtter kritiske eller vigtige funktioner, mindst én gang om året.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kunne bestå i at den finansielle enhed ikke mindst én gang årligt gennemfører tests af alle it-systemer og it-applikationer, der kan anses for passende.
Artikel 25 omhandler test af it-værktøjer og -systemer.
Det følger af artikel 25, stk. 1, at programmet for test af den digitale operationelle modstandsdygtighed skal være i overensstemmelse med de af artikel 4, stk. 2, kriterier for proportionalitet. I medfør af artikel 4, stk. 2, skal den finansielle enheds styring, klassificering, indberetning af it-relaterede hændelser, test af digital operationel modstandsdygtighed og styring af it-tredjepartsrisici stå i et rimeligt forhold til deres størrelse og samlede risikoprofil og til karakteren, omfanget og kompleksiteten af deres tjenester, aktiviteter og operationer, som specifikt fastsat i de relevante regler i de nævnte kapitler.
I overensstemmelse med de oplistede kriterier i artikel 4, stk. 2, skal programmet for test af digital operationel modstandsdygtighed, nævnt i artikel 24, indeholde bestemmelser om gennemførelse af relevante test såsom sårbarhedsvurderinger og -scanninger, open source-analyser, vurderinger af netsikkerheden, mangelanalyser, fysiske sikkerhedsgennemgange, spørgeskemaer og scanningssoftwareløsninger, gennemgange af kildekoder, når det er praktisk muligt, scenariebaserede test, kompatibilitetstest, præstationstest, end-to-end-test og penetrationstest.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at den finansielle enhed har vedtaget et program for test der ikke er tilstrækkeligt, mangelfuldt eller lever op til de fastsatte krav for programmer for test af digital operationel modstandsdygtighed i artikel 25, stk. 1.
Artikel 25, stk. 2, omhandler værdipapircentraler og centrale modparter. I medfør af bestemmelsen skal værdipapircentraler og centrale modparter foretage sårbarhedsvurderinger, inden indførelse eller genindførelse af nye eller eksisterende applikationer og infrastrukturkomponenter og it-tjenester, der understøtter den finansielle enheds kritiske eller vigtige funktioner.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i, at en værdipapircentral ikke har foretaget en sårbarhedsvurdering såfremt de skal have nye applikationer, intrastrukturkompotenter og it-tjenester der understøtter den finansielle enheds kritiske eller vigtige funktioner.
I medfør af artikel 25, stk. 3, skal mikrovirksomheder gennemføre de i artikel 25, stk. 1 omhandlede test ved at kombinere en risikobaseret tilgang med strategisk planlægning af it-test under behørig hensyntagen til behovet for at opretholde en afbalanceret tilgang mellem omfanget af ressourcer og den tid, der skal afsættes til it-test som omhandlet i denne artikel, på den ene side og den hastende karakter, risikotype og informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre relevante faktorer, herunder den finansielle enheds evne til at tage kalkulerede risici, på den anden side.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i, at en mikrovirksomhed ikke har taget tilstrækkeligt hensyn til at opretholde en balanceret tilgang til henholdsvis omfanget af ressourcer og andre faktorer, som eksempelvis den finansielle enheds evne til at tage kalkulerede risici.
Artikel 28 omhandler generelle principper for forsvarlig styring af it-tredjepartsrisici.
I medfør af artikel 28, stk. 1, skal den finansielle enhed styre deres it-tredjepartsrisiko som en integreret del af it-risiko, inden for deres ramme for it-risikostyring.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at den finansielle enheds it-tredjepartsrisiko ikke bliver styret som en integreret del af deres samlede it-risiko, inden for den finansielle enheds it-risikostyring.
I medfør af artikel 28, stk. 1, litra b, skal styringen af it-tredjepartsrisikoen hos den finansielle enhed foregå under hensyntagen til proportionalitetsprincippet og skal derfor tage hensyn til henholdsvis artikel 28, stk. 1, litra b, nr. i, som omhandler karakteren, omfanget, kompleksiteten og betydningen af den it-relaterede afhængighed og artikel 28, stk. 1, litra b, nr. ii, som omhandler de risici, der opstår som følge af kontraktlige ordninger for brugen af it-tjenester, der er indgået med tredjepartsudbydere af it-tjenester, under hensyntagen til den kritiske betydning eller vigtighed af den pågældende tjeneste, proces eller funktion og til de potentielle virkninger for driftsstabiliteten og tilgængeligheden af finansielle tjenesteydelser og aktiviteter på individuelt plan og koncernniveau.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at kravene i artikel 28, stk. 1, litra b, nr. i-ii, ikke tages under betragtning ved udformningen af den finansielle enheds styring af it-tredjepartsrisiko.
Artikel 28, stk. 2, omhandler strategien for den finansielle enheds it-tredjepartsrisiko. Den finansielle enhed skal vedtage og gennemgå deres strategi regelmæssigt som led i deres ramme for it-risikostyring. Strategien skal omfatte en politik for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og som leveres af tredjepartsudbydere af it-tjenester. Strategien skal gælde på individuelt grundlag og, hvor det er relevant, på delkonsolideret og konsolideret grundlag. Ledelsesorganet i den finansielle enhed skal på grundlag af en vurdering af den finansielle enheds samlede risikoprofil og omfanget og kompleksiteten af forretningstjenesterne regelmæssigt gennemgå de risici, der er konstateret i forbindelse med kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at ledelsesorganet i den finansielle enhed ikke ved vurderingen af den samlede risikoprofil har gennemgået de risici, der er konstateret i forbindelse med kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner.
Artikel 28, stk. 3, fastsætter krav for den finansielle enheds dokumentation af kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere. Den finansielle enhed skal som et led i deres ramme for it-risikostyring sørge for at opretholde og ajourføre et register over kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere på både enhedsniveau, delkonsolideret niveau og konsolideret niveau. De kontraktsretlige ordninger skal være skelnet mellem de it-tjenester der understøtter kritiske eller vigtige funktioner, og dem, der ikke gør.
Desuden skal den finansielle enhed mindst én gang årligt indberette nye ordninger for brugen af it-tjenester, kategorierne af tredjepartsudbydere af IKT-tjenester, typen af kontraktlige ordninger og de it-tjenester og funktioner, der leveres, til Finanstilsynet.
Til sidst skal den finansielle enhed efter anmodning, stille det fulde register over oplysninger eller, som anmodet, nærmere angivne afsnit heraf til rådighed for Finanstilsynet sammen med eventuelle oplysninger, som anses for nødvendige for at muliggøre et effektivt tilsyn med den finansielle enhed. Den finansielle enhed underretter rettidigt Finanstilsynet om enhver planlagt kontraktlig ordning for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og når en funktion er blevet kritisk eller vigtig.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at den finansielle enhed efter anmodning fra Finanstilsynet, ikke kan stille det fulde register over kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere til rådighed.
Artikel 28, stk. 4, litra a-e, fastsætter krav til den finansielle enhed før der indgås en kontraktlig ordning for brugen af it-tjenester. Den finansielle enhed skal vurdere, om den kontraktlige ordning omfatter brugen af it-tjenester, der understøtter en kritisk eller vigtig funktion, jf. litra a, vurdere, om de tilsynsmæssige betingelser for udlicitering er opfyldt, jf. litra b, identificere og vurdere alle relevante risici i forbindelse med den kontraktlige ordning, herunder muligheden for, at sådanne kontraktlige ordninger kan bidrage til at øge it-koncentrationsrisikoen, jf. artikel 29, jf. litra c, foretage fornøden due diligence over for potentielle tredjepartsudbydere af it-tjenester og under alle udvælgelses- og vurderingsprocesserne sikre, at den pågældende tredjepartsudbyder af it-tjenester er egnet jf. litra d, og identificere og vurdere interessekonflikter, som de kontraktlige ordninger kan give anledning til, jf. litra e.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at den finansielle enhed indgår en kontraktlig ordning for brugen af it-tjenester, uden at have identificeret og vurderet interessekonflikter, som den kontraktlige ordning kan give anledning til.
I medfør af artikel 28, stk. 7, litra a-d, skal den finansielle enhed sikre sig, at de indgåede kontraktlige ordninger kan opsiges på baggrund af væsentlig overtrædelse begået af tredjepartsudbyderen af it-tjenester af gældende love, administrative bestemmelser eller kontraktvilkår, jf. litra a. Forhold, der er identificeret under overvågningen af it-tredjepartsrisiko, og som anses for at kunne ændre udførelsen af de funktioner, der er leveret gennem den kontraktlige ordning, herunder væsentlige ændringer, der påvirker ordningen eller situationen for tredjepartsudbyderen af it-tjenester skal også kunne lægges til grund for opsigelse af den kontraktlige ordning, jf. litra b.
Ligeledes skal dokumenterede svagheder hos tredjepartsudbyderen af it-tjenester, som vedrører dennes samlede it-risikostyring, og navnlig i den måde, hvorpå denne garanterer tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, hvad enten det drejer sig om personoplysninger eller på anden måde følsomme data eller andre oplysninger end personoplysninger, kunne lægges til grund for opsigelse af den kontraktlige ordning, jf. litra c. Til sidst skal den kontraktlige ordning kunne opsiges, såfremt Finanstilsynet ikke længere kan føre effektivt tilsyn med den finansielle enhed som følge af betingelserne eller omstændighederne vedrørende de respektive kontraktlige ordninger.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at den kontraktlige ordning ikke kan opsiges på baggrund af de af artikel 28, stk. 7, oplistede situationer.
Artikel 28, stk. 8, omhandler exitstrategier. Den finansielle enhed skal indføre exitstrategier for it-tjenester, der understøtter kritiske eller vigtige funktioner.
Exitstrategierne skal tage højde for de risici, der kan opstå hos tredjepartsudbydere af it-tjenester, navnlig mulige svigt fra deres side, en forringelse af kvaliteten af de leverede it-tjenester, eventuelle driftsforstyrrelser som følge af uhensigtsmæssig eller manglende levering af it-tjenester eller eventuelle væsentlige risici i forbindelse med en passende og løbende anvendelse af de pågældende it-tjenester eller opsigelse af kontraktlige ordninger med tredjepartsudbydere af it-tjenester i en af de i artikel 28, stk. 7, anførte situationer.
Den finansielle enhed skal sikre, at de kan opsige den kontraktlige ordning uden at deres forretningsaktivitet afbrydes, jf. litra a, uden at efterlevelsen af de forskriftsmæssige krav begrænses, jf. litra b og uden at kontinuiteten og kvaliteten af de leverede tjenester til kunder lider skade, jf. litra c.
Ligeledes skal exitstrategierne være i overensstemmelse med kriterierne i artikel 4, stk. 2, om proportionalitet, samt være omfattende og veldokumenterede.
Der skal desuden være udarbejdet overgangsplaner, der kan fratage tredjepartsudbyderen af it-tjenester de udliciterede it-tjenester og de relevante data og sikkert og fuldstændigt kan overføre disse til alternative udbydere eller på ny indarbejde dem internt. Den finansielle enhed skal derudover identificere alternative løsninger.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke har sikret sig at indføre en exitstrategi i tilfælde af, at en kontrakt ordning med en tredjepartsudbyder af it-tjenester opsiges.
Artikel 29, stk. 1, omhandler foreløbig vurdering af it-koncentrationsrisiko på enhedsniveau. Bestemmelsen fastsætter krav, som den finansielle enhed skal tage hensyn til ved identifikation og vurdering af risici i forbindelse med en kontraktlige ordning, herunder muligheden for, at en kontraktlig ordning kan bidrage til at øge it-koncentrationsrisikoen. Ved indgåelse af en kontraktlig ordning i forbindelse med it-tjenester, der understøtter kritiske eller vigtige funktioner, tager den finansielle enhed hensyn til udlicitering til en tredjepartsudbyder af it-tjenester, som ikke er let at erstatte, jf. litra a og indgåelse af flere kontraktlige ordninger om levering af it-tjenester, der understøtter kritiske eller vigtige funktioner, med den samme tredjepartsudbyder af it-tjenester eller med tredjepartsudbydere af it-tjenester, som har tætte forbindelser til denne, jf. litra b.
Den finansielle enhed skal i medfør af bestemmelsen afveje fordele og omkostninger ved alternative løsninger, såsom brug af forskellige tredjepartsudbydere af it-tjenester under hensyntagen til, hvorvidt og hvordan de påtænkte løsninger svarer til de forretningsmæssige behov og mål, der er fastsat i deres strategi for digital modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed ikke har taget hensyn til udliciteringen til en tredjepartsudbyder af it-tjenester som ikke er lette at erstatte, ved indgåelsen af en kontraktlig ordning om it-tjenester der understøtter kritiske eller vigtige funktioner.
I medfør af artikel 29, stk. 2, skal den finansielle enhed i tilfælde af, at den kontraktlige ordning for brug af it-tjenester med en tredjepartsudbyder, kan komme videre i underentreprise med hjemsted i tredjeland, overveje de fordele og risici, der kan opstå i forbindelse med underentreprisen, særligt hvis it-tjenesten understøtter kritiske eller vigtige funktioner.
Den finansielle enhed skal tage hensyn til de bestemmelser i insolvensretten, som finder anvendelse, hvis tredjepartsudbyderen af it-tjenester går konkurs, samt eventuelle begrænsninger, der kan opstå i forbindelse med en hastende genopretning af den finansielle enheds data, såfremt den kontraktlige ordning vedrører it-tjenester, der understøtter kritiske eller vigtige funktioner.
Den finansielle enhed tager derudover hensyn til overholdelsen af Unionens databeskyttelsesregler og en effektiv håndhævelse af retten i det pågældende tredjeland, såfremt der er indgået kontraktlige ordninger for brug af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, med en tredjepartsudbyder af IKT-tjenester med hjemsted i et tredjeland.
Til sidst vurderer den finansielle enhed, hvorvidt og hvordan potentielt lange eller komplekse underentreprisekæder kan påvirke deres evne til fuldt ud at overvåge de udliciterede funktioner og den kompetente myndigheds evne til i denne henseende at føre effektivt tilsyn med den finansielle enhed, såfremt den kontraktlige ordning for brugen af IKT-tjenester, understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ved indgåelse af kontraktlige ordninger med en tredjepartsudbyder af it-tjenester, der understøtter kritiske funktioner, ikke er foretaget en afvejning af fordele og risici, såfremt tredjepartsudbyderen giver it-tjenesterne videre til en underentreprise med hjemsted i udlandet.
Artikel 30 omhandler centrale kontrakts bestemmelser.
Artikel 30, stk. 1, fastsætter at rettigheder og forpligtelser mellem den finansielle enhed og tredjepartsudbyderen skal fordeles klart og fastlægges skriftligt. Serviceniveauaftaler skal være omfattet af den samlede kontrakt og dokumenteres i ét skriftligt dokument. Parterne skal have adgang til dokumentet i papir, eller i et andet varigt og permanent format, der kan downloades.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke tager højde for, at rettighederne og forpligtelserne mellem parterne skal nedfattes skriftligt og have varig karakter, som enten kan tilgås på papir eller i et format, der kan downloades.
Artikel 30, stk. 2, fastsætter en række minimumskrav til den kontraktlige ordning for brugen af it-tjenester.
Den kontraktlige ordning skal sikre en klar og fuldstændig beskrivelse af alle funktioner og it-tjenester, som tredjepartsudbyderen af it-tjenester skal levere, med angivelse af, om underentreprise af en it-tjeneste, der understøtter en kritisk eller vigtig funktion eller væsentlige dele heraf er tilladt, og, hvis det er tilfældet, de betingelser, der gælder for en sådan underentreprise, jf. litra a.
De steder, navnlig de regioner eller lande, hvor de udliciterede funktioner og it-tjenester eller funktionerne og it-tjenesterne i underentreprise skal leveres, og hvor data skal behandles, herunder lagringsstedet, og kravet om, at tredjepartsudbyderen af it-tjenester på forhånd skal underrette den finansielle enhed, hvis den har planer om at ændre disse steder, jf. litra b.
Den kontraktlige ordning skal ligeledes indeholde bestemmelser om tilgængelighed, autenticitet, integritet og fortrolighed med hensyn til databeskyttelse, herunder personoplysninger, jf. litra c.
Bestemmelser om sikring af adgang, genopretning og tilbagesendelse i et lettilgængeligt format af personoplysninger og andre data end personoplysninger, der behandles af den finansielle enhed, i tilfælde af insolvens, afvikling eller afbrydelse af de forretningsaktiviteter, som tredjepartsudbyderen af it-tjenester varetager, eller i tilfælde af opsigelse af de kontraktlige ordninger skal medtages i den kontraktlige ordning, jf. litra d.
Den kontraktlige ordning skal derudover indeholde beskrivelser af serviceniveauet, herunder ajourføringer og revisioner heraf, jf. litra e.
Forpligtelsen for tredjepartsudbyderen af it-tjenester til at yde bistand til den finansielle enhed uden yderligere omkostninger eller til en omkostning, der fastsættes på forhånd, hvis der opstår en IKT-hændelse, der vedrører den it-tjeneste, som leveres til den finansielle enhed skal også indgå i den kontraktlige ordning, jf. litra f.
Derudover skal den finansielle enhed medtage forpligtelsen for tredjepartsudbyderen af it-tjenester til at samarbejde fuldt ud med den finansielle enheds kompetente myndigheder og afviklingsmyndigheder, herunder personer, som de har udpeget, jf. litra g og opsigelsesrettigheder og dertil knyttet minimumsfrister for opsigelse af de kontraktlige ordninger i overensstemmelse med de kompetente myndigheders og afviklingsmyndighedernes forventninger, jf. litra h.
Slutteligt skal betingelserne for deltagelse af tredjepartsudbydere af it-tjenester i de finansielle enheders programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed, jf. artikel 13, stk. 6, medtages i den kontraktlige ordning.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en kontrakt mellem en finansiel enhed og en tredjepartsudbyder af it-tjenester er mangelfuld og ikke på en klar og tilstrækkelig måde, omfatter de af artikel 30, stk. 2, omfattede minimumskrav til kontraktlige ordninger for brugen af it-tjenester som eksempelvis beskrivelserne af serviceniveauet, herunder ajourføringer og revisioner, jf. litra e og opsigelsesrettigheder, jf. litra h.
Artikel 30, stk. 3, fastsætter en række minimumskrav til den kontraktlige ordning for brugen af it-tjenester der understøtter kritiske eller vigtige funktioner.
Den kontraktlige ordning skal sikre en fuldstændig beskrivelse af serviceniveauer, herunder ajourføringer og revisioner heraf, med præcise kvantitative og kvalitative præstationsmål inden for de aftalte serviceniveauer, således at den finansielle enhed kan foretage en effektiv overvågning af it-tjenester, og således at der uden unødigt ophold kan træffes passende afhjælpende foranstaltninger, når de aftalte serviceniveauer ikke overholdes, jf. litra a.
Den kontraktlige ordning skal derudover omfatte opsigelsesfrister og indberetningsforpligtelser for tredjepartsudbyderen af it-tjenester over for den finansielle enhed, herunder underretning om enhver udvikling, som kan have væsentlig indvirkning på, hvorvidt tredjepartsudbyderen af it-tjenester har evnen til effektivt at levere it-tjenester, der understøtter kritiske eller vigtige funktioner i overensstemmelse med de aftalte serviceniveauer, jf. litra b.
Artikel 30, stk. 3, litra c, fastsætter krav til tredjepartsudbyderen af it-tjenester om at gennemføre og teste beredskabsplaner og indføre it-sikkerhedsforanstaltninger, -værktøjer og -politikker, som giver et passende niveau af sikkerhed for, at den finansielle enhed kan foretage levering af tjenester i overensstemmelse med dens reguleringsramme.
Derudover skal den kontraktlige ordning omfatte en forpligtelse for tredjepartsudbyderen af it-tjenester til at deltage i og fuldt ud samarbejde om den finansielle enheds TLPT som omhandlet i artikel 26 og 27, jf. litra d.
Den kontraktlige ordning skal desuden omfatte retten til løbende at overvåge det præstationsniveau, som tredjepartsudbyderen af it-tjenester leverer for den finansielle enhed, en udpeget tredjeparts og Finanstilsynet. Dette indebærer en uindskrænket ret til adgang, inspektion og revision og ret til at tage kopier af relevant dokumentation på stedet, hvis denne har afgørende betydning for tredjepartsudbyderen af it-tjenesters operationer, hvis faktiske udøvelse ikke hindres eller begrænses af andre kontraktlige ordninger eller gennemførelsespolitikker, jf. litra e, nr. i.
Dernæst fastsætter artikel 30, stk. 3, litra e, nr. ii-iv, retten til at nå til enighed om alternative sikkerhedsniveauer, hvis andre kunders rettigheder påvirkes, forpligtelsen for tredjepartsudbyderen af it-tjenester til fuldt ud at samarbejde under de inspektioner og revisioner på stedet, som de kompetente myndigheder, den ledende tilsynsførende, den finansielle enhed eller en udpeget tredjepart udfører og forpligtelsen til at give nærmere oplysninger om omfanget af, de procedurer, som skal følges, og hyppigheden af sådanne inspektioner og revisioner.
I medfør af artikel 30, stk. 3, litra f, skal den finansielle enhed ved en kontraktlig ordning, sørge for at medtage exitstrategier som indeholder en obligatorisk overgangsperiode. I løbet af denne overgangsperiode skal tredjepartsudbyderen af it-tjenester fortsat levere de respektive funktioner eller it-tjenester med henblik på at mindske risikoen for forstyrrelser i den finansielle enhed eller sikre en effektiv afvikling eller omstrukturering heraf. Exitstrategien skal også give den finansielle enhed mulighed for at migrere til en anden tredjepartsudbyder af it-tjenester eller skifte til interne løsninger, der stemmer overens med den leverede tjenestes kompleksitet.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed, ikke formår at vedtage en exitstrategi i deres kontraktlige ordning som sikrer den finansielle enhed fortsat, får leveret de respektive funktioner af it-tjenester fra tredjepartsudbyderen.
Overtrædelser af MiCA og DORA-forordningen kan ske af både fysiske og juridiske personer. I de situationer, hvor ansvarssubjektet er en virksomhed, vil det være udgangspunktet, at tiltalen rejses mod den juridiske person. Der kan i en række tilfælde være anledning til – ud over tiltalen mod den juridiske person – tillige at rejse tiltale mod en eller flere fysiske personer, hvis den eller de pågældende har handlet forsætligt eller udvist grov uagtsomhed. For virksomheder under stiftelse vil ansvarssubjektet være de personer, der stifter virksomheden, da en virksomhed under stiftelse ikke kan være ansvarssubjekt.
Bødeniveauet tiltænkes fastsat i overensstemmelse med § 372, stk. 12, i lov om finansiel virksomhed. Det fremgår heraf, at der ved udmåling af bøder lægges vægt på overtrædelsens grovhed og gerningsmandens økonomiske forhold. For overtrædelser begået af juridiske personer lægges ved vurderingen af gerningsmandens økonomiske forhold vægt på virksomhedens nettoårsomsætning på gerningstidspunktet. For overtrædelser begået af fysiske personer lægges vægt på den pågældendes indtægtsforhold på gerningstidspunktet. Det er afgørende, at der ved strafudmålingen lægges vægt på de nævnte faktorer, således at bøder vil have en pønal og præventiv effekt på alle aktører på markedet, og således at det finansielle incitament til at overtræde bestemmelserne reduceres. Vurderingen af overtrædelsens grovhed bør foregå uafhængig af gerningsmandens økonomiske forhold.
Til nr. 1 (fodnoten til lov om fondsmæglerselskaber og investeringsservice og -aktiviteter)
Fodnoten til lov om fondsmæglerselskaber og investeringsservice og -aktiviteter indeholder en oplistning af de direktiver, der er helt eller delvist gennemført ved loven.
Det foreslås i fodnoten til lov om fondsmæglerselskaber og investeringsservice og -aktiviteter at indsætte en henvisning til, at der med denne lov foretages en gennemførelse af dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022 om ændring af direktiv 2009/65/EF, 2009/138/EF, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341 for så vidt angår digital operationel modstandsdygtighed i den finansielle sektor.
Det foreslåede vil medføre, at det vil fremgå af fodnoten, at loven implementerer de dele af direktivet, der omfatter fondsmæglerselskaber. Det drejer sig om artikel 6 i direktivet, der fastsætter ændringer til Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter.
Direktivet er et følgedirektiv til DORA-forordningen. Med nærværende lovforslag vil Finanstilsynet også blive udpeget, som kompetent myndighed efter forordningen til at føre tilsyn med fondsmæglerselskabers overholdelsen af forordningen.
Der henvises til lovforslagets § 4, nr. 11.
Til nr. 2 (§ 13, stk. 2, 2. pkt., i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter)
Det gældende § 13, stk. 2, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter fastsætter, hvilke aktiviteter et fondsmæglerselskab må udføre. Bestemmelsen indebærer, at fondsmæglerselskaber kun må yde eller udføre investeringsservice og -aktiviteter nævnt i bilag 1, afsnit A, og i tilknytning hertil en eller flere accessoriske tjenesteydelser nævnt i bilag 1, afsnit B, jf. dog §§ 15-16 om muligheden for at yde og udføre investeringsservice og -aktiviteter med visse instrumenter og kontrakter ud over finansielle instrumenter omfattet af MiFID II. Fondsmæglerselskaber kan endvidere under visse betingelser drive anden virksomhed i fællesskab med andre virksomheder, jf. § 31 i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter.
Afgrænsningen i bestemmelsen indebærer, at et fondsmæglerselskab efter gældende ret ikke må udføre investeringstjenester og -aktiviteter med kryptoaktiver.
Det foreslås i § 13, stk. 2, 2. pkt., efter», jf. dog« at indsætte: »§ 13, stk. 6,«.
Den foreslåede ændring er en følge af, at det i artikel 60, stk. 3, i MiCA bestemmes, at et fondsmæglerselskab skal kunne udføre investeringstjenester og -aktiviteter med kryptoaktiver, såfremt betingelserne angivet i bestemmelsen er opfyldt. Der henvises i øvrigt til bemærkningerne til den foreslåede § 13, stk. 6, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter, jf. lovforslagets § 4, nr. 3, der angiver, hvilke kryptoaktivtjenester et fondsmæglerselskab må udbyde efter MiCA.
Den foreslåede bestemmelse vil medføre, at et fondsmæglerselskab fremadrettet kan udbyde kryptoaktivtjenester, hvis det opfylder betingelserne i artikel 60, stk. 3, i MiCA.
Til nr. 3 (§ 13, stk. 6, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter)
Det gældende § 13, stk. 2, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter fastsætter, hvilke aktiviteter et fondsmæglerselskab må udføre. Afgrænsningen i bestemmelsen indebærer, at et fondsmæglerselskab efter gældende ret ikke må udføre investeringstjenester eller accessoriske tjenesteydelser med kryptoaktiver.
Det foreslås i § 13, stk. 6, at et fondsmæglerselskab kan levere tjenester med kryptoaktiver som angivet i artikel 60, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, svarende til de tjenester, som det specifikt er meddelt tilladelse til i henhold til denne lov, hvis selskabet giver Finanstilsynet meddelelse mindst 40 arbejdsdage, inden disse tjenester leveres første gang. Meddelelsen skal ledsages af de oplysninger, der er omhandlet i artikel 60, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
Den foreslåede ændring er en følge af, at det i artikel 60, stk. 3, i MiCA bestemmes, at et fondsmæglerselskab skal kunne udføre disse aktiviteter, såfremt betingelserne angivet i bestemmelsen er opfyldt. Artikel 60, stk. 3, i MiCA benævner investeringsselskaber. Begrebet investeringsselskab er i dansk ret implementeret som fondsmæglerselskab, hvis det har hjemsted i Danmark.
Den foreslåede bestemmelse vil medføre, at et fondsmæglerselskab fremadrettet kan levere kryptoaktivtjenester som nævnt i artikel 60, stk. 3, i MiCA, såfremt det giver Finanstilsynet meddelelse i henhold til artikel 60, stk. 7, i MiCA.
Et fondsmæglerselskab er ikke forpligtet til selvstændigt at ansøge om tilladelse til at udbyde kryptoaktivtjenester, jf. artikel 59, stk. 1, litra b, i MiCA.
Den foreslåede bestemmelse vil fastlægge, at Finanstilsynet er kompetent myndighed til at vurdere en meddelelse indgivet af et fondsmæglerselskab i henhold til artikel 60, stk. 7, jf. artikel 60, stk. 8, i MiCA.
Et fondsmæglerselskab må ikke begynde at levere kryptoaktivtjenester, så længe meddelelsen er ufuldstændig.
Retten til at levere kryptoaktivtjenester ophæves ved inddragelsen af den tilladelse, der gav et fondsmæglerselskab mulighed for at levere kryptoaktivtjenester, uden at skulle indhente en tilladelse i henhold til artikel 59, jf. artikel 60, stk. 11, i MiCA.
Der henvises i øvrigt til bemærkningerne til lovforslagets § 4, nr. 4, der beskriver, at Finanstilsynet kan inddrage en virksomheds tilladelse som fondsmæglerselskab i en række situationer.
Bestemmelsen vil supplere artikel 60, stk. 3, i MiCA.
Til nr. 4 (§ 95, stk. 1, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter)
Det fremgår af § 95, stk. 1, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter, at et fondsmæglerselskab skal træffe de nødvendige forholdsregler for at sikre sammenhæng og regelmæssighed i sin virksomhed som værdipapirhandler og anvende ressourcer, systemer og procedurer, der er hensigtsmæssige hertil.
§ 95, stk. 1, gennemfører artikel 16, stk. 4, i Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter (MiFID II).
Det foreslås, at nyaffatte § 95, stk. 1, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter, så det følger, at et fondsmæglerselskab skal træffe de foranstaltninger, som er nødvendige for at sikre kontinuitet og regelmæssighed i ydelsen af investeringsservice og udførelsen af investeringsaktiviteter. Fondsmæglerselskabet skal med henblik herpå anvende hensigtsmæssige og forholdsmæssigt afpassede systemer, herunder it-systemer, som oprettes og styres i overensstemmelse med artikel 7 i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, samt hensigtsmæssige og forholdsmæssigt afpassede ressourcer og procedurer.
Bestemmelsen foreslås som følge af, at artikel 6, nr. 1, litra a, i Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022, nyaffatter artikel 16, stk. 4, i MiFID II. Med ændringen af § 95, stk. 1, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter foreslås en direktivnær implementering af den nye artikel 16, stk. 4, i MiFID II.
Bestemmelsen vil fortsat indebære, at fondsmæglerselskaber i tillæg til kravene til effektive former for virksomhedsstyring, jf. § 94, stk. 1, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter, skal træffe de nødvendige forholdsregler for at sikre sammenhæng og regelmæssighed i sin virksomhed som værdipapirhandler og anvende ressourcer, systemer og procedurer, der er hensigtsmæssige hertil. Det vil dog fremover også følge af bestemmelsen, at fondsmæglerselskabers it-systemer skal oprettes og styres i overensstemmelse med artikel 7 i DORA-forordningen.
Artikel 7 i DORA-forordningen indeholder bl.a. regler om anvendelsen og vedligeholdelsen af opdaterede it-systemer, som et fondsmæglerselskab, skal have for at håndtere og styre it-risici.
Overtrædelse af § 95, stk. 1, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter kan straffes med bøde, medmindre højere straf er forskyldt efter den øvrige lovgivning, jf. § 266, stk. 1, nr. 1, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter. Ansvarssubjektet i forhold til overtrædelse af § 95, stk. 1, er et fondsmæglerselskab. Det betyder, at hvis et fondsmæglerselskab ikke træffer de nødvendige forholds regler for at sikre sammenhæng og regelmæssighed i sin virksomhed som værdipapirhandler og anvender ressourcer, systemer og procedurer, der er hensigtsmæssige hertil og har de regler og procedurer, kan fondsmæglerselskabet straffes med bøde. Med den foreslåede ændring vil et fondsmæglerselskab også kunne straffes med bøde, hvis fondsmæglerselskabet ikke har it-systemer i overensstemmelse med artikel 7 i DORA-forordningen.
Til nr. 5 (§ 164, stk. 1, nr. 1, litra d og e, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter)
Den gældende § 164, stk. 1, nr. 1, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter, fastlægger, i hvilke tilfælde Finanstilsynet kan inddrage et fondsmæglerselskabs tilladelse.
Det foreslås i § 164, stk. 1, nr. 1, litra d, at ændre »instrumenter eller« til: »instrumenter,«, og i litra e, at ændre »terrorisme.« til: »terrorisme eller«.
Det foreslåede er en konsekvensrettelse på baggrund af lovforslagets § 4, nr. 6.
Til nr. 6 (§ 164, stk. 1, nr. 1, litra f, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter)
Den gældende § 164, stk. 1, nr. 1, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter, fastlægger, at Finanstilsynet kan inddrage et fondsmæglerselskabs tilladelse som fondsmæglerselskab, hvis fondsmæglerselskabet gør sig skyldig grove eller gentagne overtrædelser af de oplistede regler.
Det foreslås at indsætte § 164, stk. 1, nr. 1, litra f, hvorefter Finanstilsynet kan inddrage et fondsmæglerselskabs tilladelse i tilfælde af grove eller gentagne overtrædelser af Europa-Parlamentets og Rådets (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
Det foreslåede vil medføre, at Finanstilsynet kan inddrage et fondsmæglerselskabs tilladelse som fondsmæglerselskab i tilfælde af, at fondsmæglerselskabet gør sig skyldig i grove eller gentagne overtrædelser af MiCA.
Den foreslåede bestemmelse vil indebære, at der skal være tale om grove eller gentagne overtrædelser af MiCA. Det forudsættes som udgangspunkt, jf. også forvaltningsretlige principper, at en mindre indgribende reaktion er anvendt over for fondsmæglerselskabet, før Finanstilsynet inddrager fondsmæglerselskabets tilladelse i medfør af bestemmelsen, eller at forholdene i fondsmæglerselskabet indebærer, at fondsmæglerselskabet ikke har mulighed for at rette op på overtrædelserne inden for en tilpas kort tidshorisont. Kan forholdene i fondsmæglerselskabet rettes op ved en mindre indgribende reaktion end at inddrage fondsmæglerselskabets tilladelse, skal den mindre reaktion vælges. En mildere reaktion kan bl.a. være, at Finanstilsynet giver påbud om, at fondsmæglerselskabet retter op på de kritisable forhold i fondsmæglerselskabet eller at forholdet anmeldes til politiet.
Bestemmelsen vil eksempelvis, efter en konkret vurdering, kunne finde anvendelse i tilfælde, hvor et fondsmæglerselskab bevidst systematisk udfører kryptoaktivtjenester, som fondsmæglerselskabet ikke har tilladelse til i henhold til MiCA, eller som fondsmæglerselskabet ikke ville kunne opnå tilladelse til, og som indebærer risiko for kunder, investorer og andre interessenter. Bestemmelsen vil tilsvarende, efter en konkret vurdering, kunne finde anvendelse i tilfælde, hvor et fondsmæglerselskab udfører sin virksomhed på en groft uforsvarlig måde og i gentagen strid med relevant lovgivning samt kunders, investorers og øvriges interesser.
Til nr. 7 (§ 214, stk. 1, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter)
Den gældende § 214, stk. 1, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter fastsætter, at Finanstilsynet uden ugrundet ophold skal nedskrive eller konvertere hybride kapitalinstrumenter og supplerende kapitalinstrumenter, som opfylder kravene i artikel 9, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) nr. 2019/2033 af 27. november 2019 om tilsynsmæssige krav til investeringsselskaber, i et fondsmæglerselskab, der har tilladelse til at yde eller udføre en eller begge af de i bilag 1, afsnit A, nr. 3 og 6, nævnte investeringsservicer og -aktiviteter, til egentlige kernekapitalinstrumenter. Det samme gælder for nedskrivningsegnede forpligtelser, som opfylder betingelserne i § 205, nr. 4, uanset om forpligtelserne opfylder betingelsen i § 205, nr. 4, litra b, om en restløbetid på mindst 1 år.
Bestemmelsen implementerer artikel 59, stk. 3, litra b, i BRRD.
Bestemmelsen er endvidere en videreførelse af § 272 i lov om finansiel virksomhed for så vidt angår fondsmæglerselskaber, der har tilladelse til at yde eller udføre en eller begge af de i bilag 1, afsnit A, nr. 3 og 6, nævnte investeringsservice og -aktiviteter. Der var ved videreførelsen ikke tilsigtet materielle ændringer i forhold til § 272 i lov om finansiel virksomhed.
Det fremgår imidlertid ikke af den gældende § 214, stk. 1, under hvilke betingelser nedskrivningen eller konverteringen skal ske, i modsætning til § 272, stk. 1, i lov om finansiel virksomhed og artikel 59, stk. 3, litra b, i BRRD.
Det foreslås derfor at ændre § 214, stk. 1, 1. pkt., således, at der efter »egentlige kernekapitalinstrumenter« indsættes: »hvis Finanstilsynet vurderer, at fondsmæglerselskabet ikke vil være levedygtigt, medmindre beføjelsen anvendes«.
Det foreslåede vil i overensstemmelse med artikel 59, stk. 3, litra b, i BRRD, medføre, at det er en betingelse for anvendelse af Finanstilsynets beføjelse om nedskrivning eller konvertering, at Finanstilsynet skal vurdere, at den pågældende virksomhed ikke vil være levedygtig, medmindre beføjelsen til nedskrivning eller konvertering anvendes. Denne betingelse fremgår også af de specielle bemærkninger til den gældende § 214, stk. 1, jf. Folketingstidende 2020-21, Tillæg A, L 207 som fremsat, side 497, ligesom § 214, stk. 2, forudsætter, at § 214, stk. 1, indeholder betingelsen.
Den foreslåede bestemmelse vil medføre, at der skabes klarhed om anvendelsesområdet for Finanstilsynets nedskrivnings- og konverteringsbeføjelser for fondsmæglerselskaber.
Til nr. 8 (§ 214, stk. 8 og 9, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter)
Der findes i dag ikke regler, som sikrer kapitalejere og kreditorer mod at blive stillet værre end ved konkursbehandling af fondsmæglerselskaber, såfremt Finanstilsynet udøver sine nedskrivnings- og konverteringsbeføjelser i en situation, hvor virksomheden ikke vurderes levedygtig, medmindre beføjelserne anvendes, men ikke er under afvikling.
Det foreslås i § 214, stk. 8, at kapitalejere og kreditorer, hvis krav er blevet nedskrevet eller konverteret i henhold til stk. 1, ikke må lide større tab end ved konkursbehandling af fondsmæglerselskabet.
Det foreslås i § 214, stk. 9, at Finanstilsynets vurdering efter stk. 8 foretages på baggrund af værdiansættelsen i § 8 i lov om restrukturering og afvikling af visse finansielle virksomheder. Værdiansættelsen skal foretages af Finansiel Stabilitet efter anmodning fra Finanstilsynet. Konstateres det, at en kapitalejer eller kreditor, herunder Garantiformuen, har lidt større tab, end den ville have gjort ved konkursbehandling af fondsmæglerselskabet, betales forskellen af Afviklingsformuen, jf. kapitel 11 i lov om restrukturering og afvikling af visse finansielle virksomheder.
De foreslåede bestemmelser er nye og skal implementere artikel 59, stk. 1, 3. afsnit, i BRRD for så vidt angår Finanstilsynets nedskrivnings- og konverteringsbeføjelser, jf. § 272, stk. 1.
Princippet om, at ingen kreditorer eller aktionærer må stilles økonomisk værre i afvikling, end hvis der var tale om en konkurssituation (det såkaldte no-creditor-worse-off-princip) er et afgørende princip i krisehåndtering. Bestemmelsen skal sikre, at princippet overholdes ved Finanstilsynets nedskrivning eller konvertering i henhold til § 214, stk. 1, på samme måde som det allerede er tilfældet for isolerede nedskrivninger eller konverteringer, som foretages af Finansiel Stabilitet uden for afviklingssituationer efter § 18 a i lov om restrukturering og afvikling af visse finansielle virksomheder.
Til nr. 9 (§ 216, stk. 3, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter)
Efter den gældende § 216, stk. 3, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter finder kravet om kontraktmæssig anerkendelse af bail-in, jf. § 216, stk. 1, ikke anvendelse, hvis forpligtelsen er undtaget fra bail-in, jf. § 25, stk. 3, i lov om restrukturering og afvikling af visse finansielle virksomheder, eller hvis forpligtelsen er et berettiget indskud, jf. § 2, nr. 7, i lov om restrukturering og afvikling af visse finansielle virksomheder.
Det bemærkes, at henvisningen til § 2, nr. 5, med rette bør være en henvisning til § 2, nr. 7. Det vurderes ikke, at denne fejlhenvisning har haft konsekvenser.
§ 216, stk. 3, har til hensigt at implementere artikel 55, stk. 1, 1. afsnit, i BRRD, jf. Folketingstidende 2020-21, tillæg A, L 207 som fremsat, side 501.
Bestemmelsen omfatter imidlertid alle berettigede indskud, mens artikel 55, stk. 1, 1. afsnit, litra b, i BRRD alene omfatter indskud som omhandlet i BRRD artikel 108, litra a.
Det foreslås derfor at nyaffatte § 273, stk. 3, således, at stk. 1 ikke vil finde anvendelse, hvis 1) forpligtelsen er undtaget fra bail-in, jf. § 25, stk. 3, i lov om restrukturering og afvikling af visse finansielle virksomheder, eller 2) forpligtelsen er en del af berettigede kontante midler tilhørende fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, jf. § 2, nr. 19, i lov om restrukturering og afvikling af visse finansielle virksomheder, og overstiger beløbsgrænsen for dækkede kontante midler, jf. § 10 i lov om en indskyder- og investorgarantiordning, eller 3) forpligtelsen ville være berettigede kontante midler fra fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, hvis ikke det var indsat gennem filialer af institutter, der er etableret inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, når filialen er beliggende uden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område.
Den foreslåede ændring vil indskrænke undtagelsen for så vidt angår berettigede kontante midler, således at den fremover alene vil gælde den del af berettigede kontante midler tilhørende fysiske personer, mikrovirksomheder eller små eller mellemstore virksomheder, som defineret i § 2, nr. 19, i lov om restrukturering og afvikling af visse finansielle virksomheder, som overstiger beløbsgrænsen for dækkede indskud, jf. § 10 i lov om en indskyder- og investorgarantiordning.
Det foreslåede vil ligeledes medføre, at undtagelsen gælder forpligtelser, som ville være berettigede kontante midler fra samme kreds af fysiske personer og virksomheder, hvis de ikke var indsat gennem filialer af institutter, der er etableret inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, når filialen er beliggende uden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område.
Endelig afspejler det foreslåede den terminologi, der anvendes for pengetilgodehavender i bl.a. fondsmæglerselskaber, som omfattes af indskyder- og investorgarantiordningen, dvs. kontante midler, jf. § 10 i lov om en indskyder- og investorgarantiordning.
Den foreslåede ændring har til formål at bringe undtagelsen om anerkendelse af kontraktmæssig bail-in i § 274, stk. 1, i overensstemmelse med artikel 55, stk. 1, 1. afsnit, litra b, i BRRD.
Forpligtelser, der er undtaget fra bail-in, kan ikke nedskrives eller konverteres. På den baggrund skal kravet i stk. 1 ikke gælde kontrakter vedrørende disse forpligtelser.
Berettigede indskud er indestående beløb på en konto i et pengeinstitut m.v., som ikke er udelukket fra dækning efter § 13 i lov om en indskyder- og investorgarantiordning. Dækkede indskud henholdsvis kontante midler, jf. §§ 9 og 10 i lov om en indskyder- og investorgarantiordning, udgør den del af det berettigede indskud henholdsvis de kontante midler, som er dækket af Garantiformuen. Den tidligere gældende henvisning til § 2, nr. 5, i lov om restrukturering af visse finansielle virksomheder, som rettelig skulle have været til § 2, nr. 7, er udeladt i den foreslåede bestemmelse, idet bestemmelsen henviser til § 7, stk. 8, i lov om en indskyder- og investorgarantiordning, som ikke i sig selv definerer dækkede indskud eller kontante midler. Med lovforslaget vil der derfor blive indsat en mere præcis henvisning til kontante midler for så vidt angår fondsmæglerselskaber. Der er ikke tilsigtet nogen materiel ændring på dette punkt.
De dækkede kontante midler kan være mindre end de berettigede kontante midler som følge af de fastsatte maksimumsgrænser for dækning. Dækkede kontante midler er undtaget fra bail-in, jf. § 25, stk. 3, i lov om restrukturering og afvikling af visse finansielle virksomheder.
Til nr. 10 (§ 217, stk. 1, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter)
Efter § 217, stk. 1, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter skal en virksomhed underrette Finanstilsynet, hvis det ikke er muligt at opfylde § 216, stk. 1, om kontraktmæssig anerkendelse af bail-in, i forhold til en kontrakt vedrørende en forpligtelse omfattet af konkurslovens § 97. Underretningen skal angive kategorien af forpligtelsen og begrundelsen for, at det ikke er muligt at indføre kontraktbestemmelsen.
Bestemmelsen implementerer artikel 55, stk. 2, 1. afsnit, 1. pkt., og stk. 2, 4. afsnit, i BRRD, jf. Folketingstidende 2020-21, tillæg A, L 207 som fremsat, side 504.
Ifølge artikel 55, stk. 2, 4. afsnit, i BRRD, finder bestemmelsen ikke anvendelse på en række forpligtelser, hvis disse indeholder hybride kernekapitalinstrumenter, supplerende kapitalinstrumenter og gældsinstrumenter som omhandlet i artikel 2, stk. 1, nr. 48, nr. ii, hvis disse instrumenter er usikrede passiver.
§ 217, stk. 1, henviser til konkurslovens § 97, som omhandler simple krav, f.eks. almindelige fakturakrav for indkøb af varer og tjenesteydelser. Det er ifølge bemærkningerne til § 275, stk. 1, hensigten, at bestemmelsen alene skal finde anvendelse på sådanne forpligtelser. Hybride kernekapitalinstrumenter og supplerende kapitalinstrumenter er efterstillet simple krav, som er omfattet af konkurslovens § 97, hvorfor de er udelukket fra bestemmelsens anvendelsesområde. For så vidt angår gældsinstrumenter som omhandlet i artikel 2, stk. 1, nr. 48, nr. ii, defineres disse som obligationer og andre former for omsættelig gæld og instrumenter, der skaber eller anerkender en gæld. Sådanne instrumenter vil, hvis de er omfattet af konkurslovens § 97, definitorisk være usikrede. Indehavere af fordringer med sikkerhed i pant vil således kunne søge fyldestgørelse i pantet ved debitors betalingsmisligholdelse. Dermed har indehaverne ikke i udgangspunktet et krav efter konkurslovens § 97. Den nuværende formulering af § 217, stk. 1, indebærer således, at usikrede gældsinstrumenter vil kunne undtages fra kravet om kontraktmæssig anerkendelse af bail-in.
Det foreslås derfor i § 217, stk. 1, efter 1. pkt. at indsætte som nyt punktum: »Dette omfatter dog ikke usikrede obligationer og andre former for omsættelig gæld og instrumenter, der skaber eller anerkender en gæld«.
Det foreslåede vil indskrænke anvendelsesområdet for § 217, stk. 1, til forpligtelser omfattet af konkurslovens § 97, som ikke er usikrede obligationer og andre former for omsættelig gæld og instrumenter, der skaber eller anerkender en gæld.
Den foreslåede bestemmelse har til formål at bringe undtagelsen i § 275, stk. 1, i overensstemmelse med artikel 55, stk. 2, 4. afsnit i BRRD.
Til nr. 11 (§ 219, stk. 2, nr. 12 og 13, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter)
Den gældende § 219, stk. 2, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter fastlægger Finanstilsynets forpligtelse til at påse overholdelsen af en række europæiske retsakter. Det indebærer, at Finanstilsynet kan give påtaler, påbud, m.v. for overtrædelse af de oplistede retsakter.
Det foreslås at indsætte § 219, stk. 2, nr. 12, hvorefter Finanstilsynet påser overholdelsen af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf.
Det foreslås at indsætte § 291, stk. 2, nr. 13, hvorefter Finanstilsynet påser overholdelsen af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.
De foreslåede ændringer vil medføre, at Finanstilsynet bliver udpeget som kompetent myndighed efter DORA-forordningen og MiCA til at føre tilsyn med overholdelsen af forordningernes bestemmelser og regler udstedt i medfør af forordningerne.
Finanstilsynet får med de foreslåede nr. 12 og 13 bl.a. også mulighed for at give påbud og påtaler for overtrædelser af forordningen, jf. § 219 og mulighed for at offentliggøre påbud og påtaler til en virksomhed eller en fysisk person, jf. § 279. Se nærmere om Finanstilsynets mulighed for offentliggørelse af reaktioner i medfør af lov om fondsmæglerselskaber og investeringsservice og -aktiviteter i bemærkningerne til §§ 277-286, jf. Folketingstidende 2020-21, tillæg A, L 207 som fremsat, side 590-599.
I forbindelse med udførelsen af sit tilsyn får Finanstilsynet bl.a. mulighed for at kræve alle oplysninger m.v., som Finanstilsynet skønner nødvendige for Finanstilsynets virksomhed eller til afgørelse af, om der er sket en overtrædelse af forordningerne, jf. § 232 i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter.
DORA-forordningen finder bl.a. anvendelse på investeringsselskaber, jf. artikel 2, stk. 1, litra e.
Efter artikel 46, litra c, i DORA-forordningen skal den kompetente myndighed, der er udpeget i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2019/2034 af 27. november 2019 om tilsyn med investeringsselskaber sikre overholdelsen af DORA-forordningen for investeringsselskaber.
Bestemmelsen vil supplere artikel 46, litra c, i DORA-forordningen.
Det foreslåede vil medføre, at Finanstilsynet udpeges i henhold til artikel 93, stk. 1, i MiCA, som den kompetente myndighed, der er ansvarlig for at udføre de i MiCA fastsatte funktioner og opgaver.
Kommissionen er i medfør af MiCA bemyndiget til at udstede reguleringsmæssige tekniske standarder, som Finanstilsynet i medfør af den foreslåede bestemmelse også vil skulle føre tilsyn med.
Til nr. 12 (§ 257, stk. 1, nr. 15, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter)
I medfør af § 255, stk. 1, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter er Finanstilsynets ansatte under ansvar efter straffelovens §§ 152-152 e forpligtet til at hemmeligholde fortrolige oplysninger, som de får kendskab til gennem tilsynsvirksomheden.
§ 257, stk. 1, fastsætter i hvilke tilfælde, der fortrolige oplysninger kan videregives til en række institutioner, myndigheder og organer m.v. i et andet EU/EØS-land m.v.
I medfør af § 257, stk. 1, har Finanstilsynet ikke mulighed for at videregive oplysninger til Den Fælles Afviklingsinstans (SRB) eller Den Europæiske Unions Agentur for Cybersikkerhed (ENISA).
Det foreslås at indsætte § 257, stk. 1, nr. 15, hvorefter Finanstilsynet kan videregive oplysninger til myndigheder, der varetager opgaver i henhold til DORA-forordningen, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.
Med den foreslåede bestemmelse, vil det bl.a. blive muligt for Finanstilsynet at videregive fortrolige oplysninger til SRB og ENISA.
Når Finanstilsynet modtager en indberetning om en større IKT-relateret hændelse fra et fondsmæglerselskab, jf. artikel 19, stk. 1, 1. pkt., i DORA-forordningen, skal Finanstilsynet alt efter hvad der er relevant, rettidigt forelægge nærmere oplysninger om hændelsen til nationale og EU-retlige myndigheder og organer, jf. artikel 19, stk. 6, i DORA-forordningen.
Artikel 19, stk. 6, nævner bl.a. SRB for så vidt angår de enheder eller koncerner, der er omhandlet i henholdsvis artikel 7, stk. 2, artikel 7, stk. 4, litra b, og artikel 7, stk. 5, i Europa-Parlamentets og Rådets forordning (EU) nr. 806/2014 af 15. juli 2014 om ensartede regler og en ensartet procedure for afvikling af kreditinstitutter og visse investeringsselskaber inden for rammerne af en fælles afviklingsmekanisme og en fælles afviklingsfond, dvs. bl.a. pengeinstitutter, der er underlagt tilsyn af Den Europæiske Centralbank, hvis sådanne oplysninger vedrører hændelser, der udgør en risiko for sikringen af kritiske funktioner, jf. artikel 2, stk. 1, nr. 35, i direktiv 2014/59/EU Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 om et regelsæt for genopretning og afvikling af kreditinstitutter og investeringsselskaber (BRRD).
En underretning om større it-relaterede hændelser til SRB kan eksempelvis blive relevant, hvor en hændelse kan få systemiske konsekvenser og dermed også konsekvenser for virksomheder, der er omfatter af Den Fælles Afviklingsmekanisme.
For så vidt angår videregivelse af fortrolige oplysninger til ENISA, kan dette bl.a. blive relevant i de tilfælde, hvor hændelsesindberetninger til Finanstilsynet videreformidles i forbindelse med det samarbejde, der bliver iværksat på tværs af de nationale og europæiske finansielle tilsynsmyndigheder og afviklingsmyndigheder, SRB og ENISA i henhold til artikel 49 i DORA-forordningen. Samarbejdet i henhold til artikel 49 går ud på udveksling af effektive fremgangsmåder på tværs af den finansielle sektor for at forbedre situationskendskabet og identificere fælles cybersårbarheder og risici på tværs af sektorer.
Til nr. 13 (§ 259, stk. 1, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter)
Den gældende § 259, stk. 1, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter nævner de virksomheder, der kan anses som part i forhold til Finanstilsynet i sager, hvor Finanstilsynet har truffet eller vil træffe afgørelse over for den pågældende i medfør af bl.a. lov om fondsmæglerselskaber og investeringsservice og -aktiviteter og andre relevante forordninger.
Det foreslås at ændre § 259, stk. 1, således, at der vil indgå en henvisning til Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Det foreslåede vil medføre, at virksomheder, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af DORA-forordningen eller regler udstedt i medfør heraf, også vil være at anse som parter i afgørelsessagen.
Til nr. 14 (§ 266, stk. 1, nr. 5, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter)
Den gældende § 266, stk. 1, fastsætter, hvilke bestemmelser der kan straffes med bøde, medmindre højere straf er forskyldt efter den øvrige lovgivning.
Det foreslås at indsætte nyt § 266, stk. 1, nr. 5, hvorefter artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9, artikel 76, stk. 3, 4 og 9-15, artikel 77, artikel 78, artikel 79, artikel 80, stk. 1-3, artikel 81, stk. 1-14, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver kan straffes med bøde, medmindre højere straf er forskyldt efter den øvrige lovgivning.
Det foreslåede vil medføre, at overtrædelse af de oplistede artikler i MiCA, straffes med bøde, medmindre højere straf er forskyldt efter den øvrige lovgivning.
Artikel 65, stk. 4, i MiCA omhandler oplysningskrav ved grænseoverskridende levering af kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af bestemmelsen er et fondsmæglerselskab, der udbyder kryptoaktivtjenester efter artikel 60, stk. 3, i MiCA. Den strafbare handling består i, at et fondsmæglerselskab påbegynder leveringen af kryptoaktivtjenester i en anden medlemsstat end Danmark inden 15 kalenderdage efter at have indgivet de oplysninger, der er omhandlet i artikel 65, stk. 1, eller inden at have modtaget den i artikel 65, stk. 2, omtalte meddelelse fra Finanstilsynet.
Artikel 66, stk. 1-5, i MiCA omhandler udbydere af kryptoaktivtjenesters forpligtelse til at handle ærligt, redeligt og professionelt i kundernes bedste interesse. Ansvarssubjektet for overtrædelse af bestemmelsen er et fondsmæglerselskab, der udbyder kryptoaktivtjenester efter artikel 60, stk. 3, i MiCA. Den strafbare handling består eksempelvis i, at et fondsmæglerselskab giver sine kunder vildledende oplysninger.
Artikel 68, stk. 4-9, i MiCA omhandler kravene til ledelsesordninger og indretningen af udbydere af kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af artikel 68, stk. 4, 5 og 7-9, er et fondsmæglerselskab, der udbyder kryptoaktivtjenester efter artikel 60, stk. 3, i MiCA. Ansvarssubjektet for overtrædelse af artikel 68, stk. 6, er ledelsesorganet hos fondsmæglerselskabet. Den strafbare handling består eksempelvis i, at fondsmæglerselskabet ikke har vedtaget procedure, som er tilstrækkelige til at sikre overholdelsen af MiCA. Det strafbare forhold kan endvidere bestå i, at ledelsesorganer hos fondsmæglerskabet ikke regelmæssigt vurderer og evaluerer effektiviteten af den politik og de ordninger og procedurer, der er indført for at opfylde forpligtelserne i artikel 66-83 i MiCA, eller træffer passende foranstaltninger til at afhjælpe eventuelle mangler.
Artikel 69 i MiCA omhandler krav til meddelelse af Finanstilsynet om eventuelle ændringer i ledelsesorganet i udbydere af kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af bestemmelsen er et fondsmæglerselskab, der udbyder kryptoaktivtjenester efter artikel 60, stk. 3, i MiCA. Den strafbare handling består eksempelvis i, at fondsmæglerselskabet ikke giver Finanstilsynet alle oplysninger, som er nødvendige for Finanstilsynets vurdering af overholdelsen af artikel 68 i MiCA, inden nye medlemmerne af ledelsesorganet tiltræder deres stilling.
Artikel 71, stk. 1-4, i MiCA fastsætter krav til udbydere af kryptoaktivtjenesters klagebehandlingsprocedurer. Ansvarssubjektet for overtrædelse af bestemmelsen er et fondsmæglerselskab, der udbyder kryptoaktivtjenester efter artikel 60, stk. 3, i MiCA. Den strafbare handling består eksempelvis i, at fondsmæglerselskaber kræver betaling af gebyr eller anden afgift i forbindelse med behandling af klager fra deres kunder.
Artikel 72, stk. 2-4, i MiCA fastsætter krav om effektive politikker og procedurer til identificering, forebyggelse, håndtering og oplysning om interessekonflikter. Ansvarssubjektet for overtrædelse af bestemmelsen er et fondsmæglerselskab, der udbyder kryptoaktivtjenester efter artikel 60, stk. 3, i MiCA. Den strafbare handling består eksempelvis i, at fondsmæglerselskaber ikke oplyser deres kunder og potentielle kunder, om de skridt udbyderen har taget for at begrænse interessekonflikter.
Artikel 73, stk. 2 og 3, i MiCA regulerer udbydere af kryptoaktivtjenesters outsourcing af tjenester eller aktiviteter til tredjeparter. Ansvarssubjektet for overtrædelse af bestemmelsen er et fondsmæglerselskab, der udbyder kryptoaktivtjenester efter artikel 60, stk. 3, i MiCA. Den strafbare handling består eksempelvis i, at fondsmæglerselskaber ikke træffer alle rimelige foranstaltninger for at undgå yderligere operationel risiko, eller at fondsmæglerselskaber ikke sikrer, at betingelserne i artikel 73, stk. 1, litra a-g, til enhver tid er opfyldt.
Artikel 74, i MiCA omhandler velordnet afvikling af udbydere af kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af bestemmelsen er et fondsmæglerselskab, der udbyder kryptoaktivtjenester efter artikel 60, stk. 3, i MiCA, som udfører de i artikel 75-79 i MiCA beskrevne aktiviteter. Den strafbare handling består eksempelvis i, at den i artikel 74 nævnte plan for velordnet afvikling ikke godtgør, at fondsmæglerselskabet har evnen til at gennemføre en velordnet afvikling uden at påføre sine kunder unødig økonomisk skade.
Artikel 75, stk. 3-6 og 9, i MiCA fastsætter forpligtelser for udbydere af kryptoaktivtjenester, som leverer deponering og administration af kryptoaktiver på vegne af kunder. Ansvarssubjektet for overtrædelse af bestemmelsen er et fondsmæglerselskab, der udbyder levering af deponering og administration af kryptoaktiver på vegne af kunder. Den strafbare handling består eksempelvis i, at fondsmæglerselskabets politik for deponering, som anført i artikel 75, stk. 3, ikke minimerer risikoen for tab af kunders kryptoaktiver som følge af svig, cybertrusler eller forsømmelighed.
Artikel 76, stk. 3, 4 og 9-15, i MiCA fastsætter en række krav til drift af handelsplatforme for kryptoaktiver, herunder krav til indholdet af handelsplatformens driftsregler, krav om offentliggørelse af handelsoplysninger, krav vedrørende afvikling af kryptoaktivtransaktioner, m.v. Ansvarssubjektet for overtrædelse af bestemmelsen er et fondsmæglerselskab, der driver en handelsplatform for kryptoaktiver. Den strafbare handling består eksempelvis i, at fondsmæglerselskaber, der driver en handelsplatform for kryptoaktiver, ikke offentliggør pris, volumen og tidspunkt for de transaktioner, der udføres i forbindelse med kryptoaktiver handlet på deres handelsplatforme.
Artikel 77 i MiCA fastsætter en række krav til udbydere af kryptoaktivtjenester, der veksler mellem kryptoaktiver og midler eller andre kryptoaktiver. Ansvarssubjektet for overtrædelse af bestemmelsen er et fondsmæglerselskab, der veksler mellem kryptoaktiver og midler eller andre kryptoaktiver. Den strafbare handling består eksempelvis i, at fondsmæglerselskabet ikke udfører kundernes ordrer til de viste priser på det tidspunkt, hvor ordren vedrørende veksling var endelig.
Artikel 78 i MiCA fastsætter en række krav til udbydere af kryptoaktivtjenester, der udfører ordrer vedrørende kryptoaktiver på vegne af kunder. Ansvarssubjektet for overtrædelse af bestemmelsen er et fondsmæglerselskab, der udfører ordrer vedrørende kryptoaktiver på vegne af kunder. Den strafbare handling består eksempelvis i, at fondsmæglerselskabet ikke har udarbejdet og gennemført en politik for ordreudførelse, der sikrer at fondsmæglerselskabet er i stand til at opnå det bedst mulige resultat i forbindelse med kundeordrer.
Artikel 79 i MiCA fastsætter en række krav til udbydere af kryptoaktivtjenester, der placerer kryptoaktiver, om at underrette udbydere af kryptoaktiver, personer, der anmoder om optagelse til handel af kryptoaktiver, eller enhver tredjepart, der handler på dennes vegne om de oplysninger, som fremgår af artikel 79, stk. 1, litra a-d. Ansvarssubjektet for overtrædelse af bestemmelsen er et fondsmæglerselskab, der placerer kryptoaktiver. Placering af kryptoaktiver er defineret i artikel 3, stk. 1, nr. 21, i MiCA. Den strafbare handling består eksempelvis i, at fondsmæglerselskaber, der placerer kryptoaktiver, ikke underretter en udbyder af kryptoaktiver om oplysningerne i artikel 79, stk. 1, litra a-d, inden der indgås kontrakt om placering af kryptoaktiver.
Artikel 80, stk. 1-3, i MiCA fastsætter en række krav til udbydere af kryptoaktivtjenester, der modtager og formidler ordrer vedrørende kryptoaktiver på vegne af kunder. Ansvarssubjektet for overtrædelse af bestemmelsen er et fondsmæglerselskab, der modtager og formidler ordrer vedrørende kryptoaktiver på vegne af kunder. Den strafbare handling består eksempelvis i, at et fondsmæglerselskab, der modtager og formidler ordrer, ikke indfører procedurer og ordninger, der sikrer hurtig og korrekt formidling af kunders ordrer til udførelse på en handelsplatform for kryptoaktiver.
Artikel 81, stk. 1-14, i MiCA fastsætter en række krav til udbydere af kryptoaktivtjenester, der yder rådgivning om kryptoaktiver og udbyder af kryptoaktivtjenester, som yder porteføljepleje af kryptoaktiver. Ansvarssubjektet for overtrædelse af bestemmelsen er et fondsmæglerselskab, der yder rådgivning om kryptoaktiver og udbyder porteføljepleje af kryptoaktiver. Den strafbare handling består eksempelvis i, at et fondsmæglerselskab, der yder rådgivning om kryptoaktiver eller porteføljepleje af kryptoaktiver, undlader at advare sine kunder eller potentielle kunder om de forhold, som er oplistet i artikel 81, stk. 9, litra a-f.
Den foreslåede bestemmelse vil supplere artikel 111, stk. 1, 2. afsnit, i MiCA.
Til nr. 15 (§ 266, stk. 2, nr. 4 og 5, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter)
Den gældende § 266, stk. 2, fastsætter, hvilke bestemmelser der kan straffes med bøde eller fængsel indtil fire måneder, medmindre højere straf er forskyldt efter den øvrige lovgivning.
Det foreslås at indsætte § 266, stk. 2, nr. 4, hvorefter artikel 59, stk. 1, artikel 60, stk. 3, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, artikel 76, stk. 1, 2 og 5-8, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver kan straffes med bøde eller fængsel indtil fire måneder, medmindre højere straf er forskyldt efter den øvrige lovgivning.
Det foreslåede vil medføre, at overtrædelse af de oplistede artikler i MiCA, straffes med bøde eller fængsel indtil fire måneder, medmindre højere straf er forskyldt efter den øvrige lovgivning.
Artikel 59, stk. 1, i MiCA omhandler tilladelseskrav til at udbyde kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af bestemmelsen er et fondsmæglerselskab, der udbyder kryptoaktivtjenester uden den nødvendige tilladelse. Den strafbare handling består i at et fondsmæglerselskab udbyder kryptoaktivtjenester uden at have tilladelse til at levere kryptoaktivtjenester efter artikel 60 i MiCA.
Artikel 60, stk. 3, i MiCA fastsætter krav om underretning af Finanstilsynet, førend fondsmæglerselskaber kan levere kryptoaktivtjenester. Ansvarssubjektet for overtrædelsen af bestemmelserne er et fondsmæglerselskab. Den strafbare handling består eksempelvis i, at et fondsmæglerselskab påbegynder levering af en kryptoaktivtjeneste, uden at have underrettet Finanstilsynet med de oplysninger, der er anført i artikel 60, stk. 7, mindst 40 arbejdsdage inden fondsmæglerselskabet leverer disse tjenester første gang.
Artikel 70, stk. 1-4, i MiCA omhandler krav vedrørende opbevaring af kundernes kryptoaktiver og midler. Ansvarssubjektet for overtrædelse af bestemmelsen er et fondsmæglerselskab, der udbyder kryptoaktivtjenester. Den strafbare handling består eksempelvis i, at et fondsmæglerselskab opbevarer kryptoaktiver på vegne af deres kunder, uden at træffe passende foranstaltninger til at forhindre, at kundernes kryptoaktiver anvendes til handel for deres egen regning.
Artikel 72, stk. 1, i MiCA fastsætter krav om effektive politikker og procedurer til identificering, forebyggelse, håndtering og oplysning om interessekonflikter. Ansvarssubjektet for overtrædelse af bestemmelsen er et fondsmæglerselskab, der udbyder kryptoaktivtjenester. Den strafbare handling består eksempelvis i, at et fondsmæglerselskab ikke opretholder og anvender effektive politikker til at identificere mellem dem selv og personerne opregnet i artikel 72, stk. 1, litra a-e.
Artikel 75, stk. 1, 2 og 7, i MiCA omhandler specifikke forpligtigelser for udbydere af kryptoaktivtjenester, som leverer deponering og administration af kryptoaktiver på vegne af kunder. Ansvarssubjektet for overtrædelse af bestemmelsen er et fondsmæglerselskab, der udbyder levering af deponering og administration af kryptoaktiver på vegne af kunder. Den strafbare handling består eksempelvis i, at et fondsmæglerselskab, der leverer deponering og administration af kryptoaktiver på vegne af kunder, ikke holder sine kunders kryptoaktiver adskilt fra sine egne kryptoaktiver.
Artikel 76, stk. 1, 2 og 5-8, i MiCA fastsætter specifikke krav til udbydere af kryptoaktivtjenester, der driver en handelsplatform for kryptoaktiver. Ansvarssubjektet for overtrædelse af bestemmelsen er et fondsmæglerselskab, der driver en handelsplatform for kryptoaktiver. Den strafbare handling består eksempelvis i, at et fondsmæglerselskab, der driver handelsplatforme for kryptoaktiver, handler for egen regning på den handelsplatform for kryptoaktiver, som den driver.
Bestemmelsen vil supplere artikel 111, stk. 1, 2. afsnit, i MiCA.
Det foreslås at indsætte § 266, stk. 2, nr. 5, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter, hvorefter overtrædelser af artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor straffes med bøde.
Med den foreslåede bestemmelse vil en række overtrædelser af DORA-forordningen strafbelægges i overensstemmelse med forordningens artikel 52, hvorefter medlemsstaterne kan beslutte ikke at fastsætte bestemmelser om administrative sanktioner eller afhjælpende foranstaltninger for overtrædelser, der er omfattet af strafferetlige sanktioner i henhold til national ret.
Nedenfor anføres en uddybende beskrivelse af indholdet af de enkelte artikler i DORA-forordningen, der vil blive strafbelagt med den foreslåede bestemmelse. Når der nedenfor henvises til finansielle enheder, menes der fondsmæglerselskaber, jf. artikel 2, stk. 1, litra e, jf. artikel 2, stk. 2, i DORA-forordningen.
Artikel 5 indeholder regler om forvaltning og organisationen af en finansiel enheds it-risikostyring. Intern forvaltning og organisation af it-risikostyring omfatter fastlæggelsen og tilsynet af de foranstaltninger for it-risikostyring. En sikker forvaltning af risikostyringen sikrer et højt niveau af digital operationel modstandsdygtighed og bidrager til den finansielle stabilitet.
I medfør af artikel 5, stk. 1, skal en finansiel enhed have indført en intern forvaltnings og kontrolramme, der sikrer en effektiv og forsigtig styring af it-risiko, i overensstemmelse med artikel 6, stk. 4, der bl.a. fastsætter krav om, at finansielle enheder skal overdrage ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion og sikre, at denne kontrolfunktion har et passende uafhængighedsniveau for at undgå interessekonflikter mellem den finansielle enhed og kontrolfunktionen.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 1, er en finansiel enhed.
Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har overdraget ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion, der har et passende uafhængighedsniveau i forhold til den finansielle enhed.
Det fremgår af artikel 5. stk. 2, at ledelsesorganet i en finansiel enhed skal fastlægge, godkende og føre tilsyn med og har ansvaret for gennemførelsen af alle ordninger vedrørende rammer for it-risikostyring, der er omhandlet i artikel 6, stk. 1. Artikel 6, stk. 1, vedrører at den finansielle enhed indfører en robust, omfattende og veldokumenteret ramme for it-risikostyring. De nærmere krav til ledelsesorganet er nærmere beskrevet i artikel 5, stk. 2, litra a-i. Det fremgår bl.a. af stk. 2, litra b, at ledelsesorganet skal indføre politikker, der har til formål at sikre høje standarder for tilgængeligheden, autenticiteten, integriteten og fortroligheden af data. Videre fremgår det af stk. 2, litra f, at ledelsesorganet godkender og regelmæssigt gennemgår den finansielle enheds interne it-revisionsplaner, it-revisioner og væsentlige ændringer heraf.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 2, er en finansiel enhed. En strafbar handling kan eksempelvis være, at et ledelsesorgan ikke har indført politikker for tilgængeligheden, autenticiteten, integriteten og fortroligheden af data i henhold til stk. 2, litra b. En strafbar handling kan også være, at ledelsesorganet enten ikke har godkendt eller gennemgået den finansielle enheds interne it-revisionsplan i henhold til stk. 2, litra f.
Artikel 5, stk. 3, fastsætter at en finansiel enhed skal oprette en funktion med henblik på overvågning af de ordninger, der er indgået med tredjepartsudbydere af it-tjenester vedrørende brugen af it-tjenester, eller udpege et medlem af den øverste ledelse som tilsynsansvarlig for den dermed forbundne risikoeksponering og relevante dokumentation.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 3, er et fondsmæglerselskab. Et eksempel på en strafbar handling kan være, at ledelsesorganet ikke har oprettet en funktion, der har til formål at overvåge de ordninger, der er indgået med tredjepartsudbydere af it-tjenester vedrørende brugen af it-tjenester.
Artikel 6 indeholder regler om en finansiel enheds ramme for it-risikostyring. Rammen for it-risikostyring omfatter hvilke tiltag en operatør af et reguleret marked har opsat.
I medfør af artikel 6, stk. 1, skal en finansiel enhed have indført en robust, omfattende og veldokumenteret ramme for deres it-risikostyring, som en del af deres samlede risikostyringssystem der sikrer et højt niveau af digital operationel modstandsdygtighed.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 1, er et fondsmæglerselskab
Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har formået at dokumentere deres ramme for deres it-risikostyring i en tilstrækkelig grad.
Det fremgår af artikel 6, stk. 2, at rammen for it-risikostyring, som minimum skal omfatte strategier, politikker, procedurer, it-protokoller og værktøjer, som er nødvendige for på behørig vis og i tilstrækkelig grad, at beskytte alle informationsaktiver og it-aktiver.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 2, er ledelsesorganet i en finansiel enhed. Det fremgår af artikel 5. stk. 2, at ledelsesorganet i den en finansiel enhed skal fastlægge, godkende og føre tilsyn med og har ansvaret for gennemførelsen af alle ordninger vedrørende rammer for it-risikostyring, der er omhandlet i artikel 6, stk. 1.
Den strafbare handling kan eksempelvis bestå i, at ledelsesorganet ikke har indført sikkerhedsforanstaltninger, der i tilstrækkeliggrad beskytter relevante fysiske komponenter, som eksempelvis virksomhedens lokaler, mod uautoriseret adgang.
Artikel 6, stk. 3, omhandler en finansiel enheds forpligtigelse til at forelægge fuldstændige og ajourførte oplysninger om deres it-risiko på de kompetente myndigheders anmodning. Ved at indføre passende strategier, politikker, procedurer, it-protokoller og -værktøjer, minimerer den finansielle enhed deres it-risiko.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 3, er en finansiel enhed. Et eksempel på den strafbare handling kan være, at den finansielle enhed ikke på Finanstilsynets anmodning, har fremlagt en opdateret strategi for deres it-risikostyring, efter nye tiltag trådte i kraft for virksomheden.
Det fremgår af artikel 6, stk. 4, at en finansiel enhed skal overdrage ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion og sikre, at denne kontrolfunktion har et passende uafhængighedsniveau, så interessekonflikter kan undgås. Videre fremgår det af artikel 6, stk. 4, 2. pkt., at en finansiel enhed skal sikre en passende adskillelse og uafhængighed af it-risikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner, efter modellen med tre forsvarslinjer eller en intern model for risikostyring og kontrol.
Ansvarssubjektet er en finansiel enhed. En strafbar overtrædelse af bestemmelsen kan eksempelvis bestå i, at en finansiel enhed har en intern styring af og tilsyn med it-risikoen og derfor ikke har sikret en passende adskillelse og uafhængighed af deres it-risikostyringsfunktioner.
Artikel 6, stk. 5, indeholder krav om dokumentationen og tilsyn med it-risikostyringens ramme. Det følger af bestemmelsen, at rammen for it-risikostyringen skal dokumenteres og gennemgås mindst én gang om året, samt når der forekommer større it-relaterede hændelser, og i henhold til tilsynsmæssige instrukser eller konklusioner, som er udledt af relevant test af digital operationel modstandsdygtighed eller revisionsprocesser. Den skal forbedres løbende på grundlag af indhøstede gennemførelses- og overvågningserfaringer. Der skal forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed på dens anmodning.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 5, er en finansiel enhed. Den strafbare handling kan eksempelvis bestå i, at en finansiel enhed ved en større it-relateret hændelse, efterfølgende ikke formår at dokumentere rammen for risikostyringen. En strafbar handling kunne også bestå i, at den finansielle enhed ikke har forbedret rammen for deres risikostyring på baggrund af løbende overvågningserfaringer.
Artikel 6, stk. 6, omhandler revisorernes interne revision af rammen for it-risikostyring. Det følger af bestemmelsen, at revisorerne skal besidde egenskaber som tilstrækkelig viden, faglig kompetence og ekspertise, samt være tilstrækkeligt uafhængige. Der skal være overensstemmelse mellem hyppigheden af revisioner og omfanget af it-risikoen hos den finansielle enhed.
Ansvarssubjektet er en finansiel enhed. En strafbar overtrædelse kan eksempelvis bestå i, at en finansiel enheds revisor har foretaget en revision af rammen for it-risikostyring, uden at have det fornødne egenskaber. Det kan ligeledes anses for strafbart såfremt revisoren ikke kan anses som værende uafhængig.
Artikel 6, stk. 7, omhandler den formelle opfølgningsproces på den interne revisionsgang, som den finansielle enhed skal etablere. Opfølgningsprocessen skal indeholde regler for rettidig efterprøvning og udbedring af kritiske resultater af it-revisioner.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 7, er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke etablerer en opfølgningsproces, der indeholder regler for rettidig efterprøvning af kritiske konklusionerne fra en interne revision.
I medfør af artikel 6, stk. 8, skal en finansiel enheds ramme for it-risikostyring omfatte en strategi for digital operationel modstandsdygtighed, der fastsætter, hvordan rammen gennemføres. Strategien for digital operationel modstandsdygtighed skal omfatte metoderne til håndtering af it-risiko og opfylde specifikke krav, som er oplistet i artikel 6, stk. 8, litra a-h. Et af disse krav er eksempelvis at fastlægge risikotoleranceniveauet for it-risiko i overensstemmelse med den finansielle enheds risikovillighed og analysere tolerancen over for virkninger af it-forstyrrelser, jf. litra b, eller dokumentere den nuværende situation for den digitale operationelle modstandsdygtighed på grundlag af antallet af indberettede større it-relaterede hændelser og de forebyggende foranstaltningers effektivitet, jf. litra f.
Ansvarssubjektet for en overtrædelse af artikel 6, stk. 8, er en finansiel enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enheds strategi, undlader at analysere for virkninger af it-forstyrrelser over for risikotoleranceniveauet. Den strafbare handling kan ligeledes bestå i, at den finansielle enhed ikke formår at dokumentere deres situation for den operationelle robusthed på baggrund af mængden af større it-relaterede hændelser og de forebyggende foranstaltningers effektivitet
Artikel 7, stk. 1, oplister en række krav til den finansielle enheds it-systemer, -protokoller og-værktøjer, jf. litra a-d. Den finansielle enhed skal eksempelvis anvende systemer, der er pålidelige, jf. litra b, og som er teknologisk modstandsdygtige nok til i tilstrækkeligt omfang at håndtere yderligere behov for informationsbehandling som krævet under stressede markedsforhold eller i andre vanskelige situationer, jf. litra d.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke anvender systemer eller værktøjer der pålidelige eller proportionale i forhold til den finansielle enheds udbudte ydelser.
Artikel 8, stk. 1-7, omhandler identifikation af kilder til it-risiko. Artikel 8, stk. 1, fastsætter, at en finansiel enhed, som led i deres ramme for it-risikostyring, skal foretage identifikation, klassificering og tilstrækkelig dokumentering af alle it-understøttede forretningsfunktioner, roller og ansvarsområder, informationsaktiver og it-aktiver, der understøtter disse funktioner, samt deres roller og afhængigheder med hensyn til it-risici. Bestemmelsen fastsætter endvidere, at den finansielle enhed efter behov og mindst én gang om året, vurderer hvorvidt denne klassificering og eventuel relevant dokumentation er tilstrækkelig.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at den finansielle enhed ikke har identificeret, klassificeret eller dokumenteret deres it-understøttede forretningsfunktioner i en tilstrækkelig grad.
I medfør af artikel 8, stk. 2, skal en finansiel enhed løbende identificere alle kilder til it-risiko, navnlig risikoeksponeringen for og fra andre finansielle enheder, og vurderer cybertrusler og it-sårbarheder, der er relevante for deres it-understøttede forretningsfunktioner, informationsaktiver og it-aktiver. Den finansielle enhed skal derfor regelmæssigt og mindst én gang om året gennemgå de risikoscenarier, der har virkninger for dem.
Ansvarssubjektet for overtrædelse af artikel 8, stk. 2, er en finansiel enhed. Den strafbare handling består eksempelvis i, at den finansielle enhed ikke mindst én gang årligt har gennemgået de risikoscenarier der er virkninger for dem.
Artikel 8, stk. 3, indeholder krav om, at en finansiel enhed skal foretage en risikovurdering efter hver større ændring af infrastrukturen i net- og informationssystemerne, i de processer eller procedurer, der påvirker deres it-understøttede forretningsfunktioner, informationsaktiver eller it-aktiver.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling kan bestå i, at en finansiel enhed har foretaget en større ændring infrastrukturen i deres net- og informationssystem og ikke foretager en ny risikovurdering, såfremt infrastrukturen påvirker deres it-understøttede forretningsfunktioner.
Det fremgår af artikel 8, stk. 4, at den finansielle enhed skal identificere alle informationsaktiver og it-aktiver, herunder på eksterne steder, netværksressourcer og hardwareudstyr, og kortlægger dem, der anses for kritiske. Den finansielle enhed kortlægger informationsaktivernes og it-aktivernes konfiguration samt forbindelserne og den indbyrdes forbundethed mellem de forskellige informationsaktiver og it-aktiver.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har kortlagt de kritiske informationsaktiver og it-aktiver, herunder på eksterne steder, netværksressourcer og hardwareudstyr.
Artikel 8, stk. 5, fremgår det, at en finansiel enhed skal identificere og dokumentere alle processer, der er afhængige af tredjepartsudbydere af it-tjenester. Det fremgår endvidere, at den finansielle enhed identificerer sammenkoblinger med tredjepartsudbydere af it-tjenester, der udbyder tjenester, som understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed har undladt at dokumentere alle de processer, der er afhængige af tredjepartsudbydere af it-tjenester, som den finansielle enhed bruger.
Det fremgår af artikel 8, stk. 6, at en finansiel enhed, med henblik på artikel 6, stk. 1, 4 og 5, opretholder relevante fortegnelser og ajourfører dem regelmæssigt, og hver gang der sker større ændringer som omhandlet i artikel 6, stk. 3.
Ansvarssubjektet er en finansiel enhed. En strafbar overtrædelse kan bestå i, at der ved en større ændring af infrastrukturen i net- og informationssystemerne, i de processer eller procedurer, der påvirker den finansielle enheds it-understøttede forretningsfunktioner, informationsaktiver eller it-aktiver, ikke er foretaget ajourførte fortegnelser over ændringerne.
Til sidst følger det af artikel 8, stk. 7, at en finansiel enhed skal foretage en specifik it-risikovurdering regelmæssigt og mindst én gang om året.
Ansvarssubjektet er en finansiel enhed. En strafbar overtrædelse består eksempelvis i, at den finansielle enhed ikke regelmæssigt eller mindst én gang årligt har foretaget en specifik it-risikovurdering.
Artikel 9 indeholder nærmere bestemmelser om beskyttelse af it-systemer og forebyggelse af it-risici.
Det følger af artikel 9, stk. 1, at en finansiel enhed skal sikre løbende overvågning af og kontrol med it-systemer og -værktøjernes sikkerhed og af, hvordan de fungerer, og minimerer virkningerne af it-risikoen for it-systemer ved at indføre passende it-sikkerhedsværktøjer, -politikker og -procedurer, med henblik på at sikre en passende beskyttelse og tilrettelægge indsatsforanstaltninger, der skal sikre den finansielle enhed.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, ikke løbende at overvåge og kontrollere den finansielle enheds it-systemer og -værktøjers sikkerhed igennem passende it-sikkerhedsværktøjer, -politikker og -procedurer.
I medfør af artikel 9, stk. 2, skal den finansielle enhed udforme, indkøbe og gennemføre it-sikkerhedspolitikker, -procedurer, -protokoller og -værktøjer, der har til formål at sikre it-systemernes modstandsdygtighed, stabilitet og tilgængelighed, især for dem, der understøtter kritiske eller vigtige funktioner, og at opretholde høje standarder for, tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, hvad enten dataene er inaktive, i brug eller under overførsel.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan i medfør af artikel 9, stk. 2, bestå i, at der ikke er gennemført en it-sikkerhedspolitik for at sikre den finansielle enheds it-systems modstandsdygtighed, stabilitet og tilgængelighed.
Artikel 9, stk. 3, omhandler de it-løsninger og it-processer som den finansielle enhed skal anvende for at nå de i artikel 9, stk. 2, omhandlede mål. It-løsningerne og it-processerne skal være i overensstemmelse med proportionalitetsprincippet i artikel 4 i DORA-forordningen og sikre sikkerheden for metoderne til overførsel af data, minimere risikoen for korruption eller tab af data, uautoriseret adgang og tekniske fejl, der kan hæmme erhvervsaktiviteten og forhindrer manglen på tilgængelighed, forringelsen af autenticiteten og integriteten, bruddene på fortroligheden og tabet af data. Samt sikre, at data beskyttes mod risici, der opstår i forbindelse med dataforvaltning, herunder dårlig administration, procesrelaterede risici og menneskelige fejl.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan i medfør af artikel 9, stk. 3, bestå i at have utilstrækkelige it-løsninger og it-processer, der ikke lever op til proportionalitetsprincippet i artikel 4, i DORA-forordningen og de i artikel 9, stk. 3, fastsatte krav.
Det følger af artikel 9, stk. 4, at en finansiel enhed som led i deres it-risikostyring skal udvikle og dokumentere en informationspolitik, der fastlægger regler for beskyttelse af tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, informationsaktiver og it-aktiver, herunder deres kunders, hvis det er relevant, jf. litra a. Desuden skal en finansiel enhed følge en risikobaseret tilgang ved at indføre en forsvarlig forvaltningsstruktur for netværk og infrastrukturer ved anvendelse af passende teknikker, metoder og protokoller, der kan omfatte gennemførelse af automatiske mekanismer til isolering af de berørte informationsaktiver i tilfælde af cyberangreb, jf. litra b. Artikel 9, stk. 4, litra c, fastsætter også at den finansielle enhed skal gennemføre politikker, der begrænser den fysiske eller logiske adgang til informationsaktiver og it-aktiver udelukkende til, hvad der er påkrævet for legitime og godkendte funktioner og aktiviteter, og med henblik herpå indføre en række politikker, procedurer og kontroller, der vedrører adgangsrettigheder og sikrer forsvarlig forvaltning heraf.
Desuden skal en finansiel enhed gennemføre politikker og protokoller for stærke autentificeringsmekanismer på grundlag af relevante standarder og særlige kontrolsystemer og beskyttelsesforanstaltninger for krypteringsnøgler, hvorigennem data krypteres baseret på resultaterne fra godkendt dataklassificering og godkendte it-risikovurderingsprocesser, jf. litra d. Samt gennemføre dokumenterede politikker, procedurer og kontroller for styring af it-ændringer, herunder ændringer af software, hardware, firmwarekomponenter, systemer eller sikkerhedsparametre, som er baseret på en risikovurderingstilgang og er en integreret del af den finansielle enheds samlede ændringsstyringsproces, for at sikre, at alle ændringer af it-systemer registreres, testes, vurderes, godkendes, gennemføres og efterprøves på en kontrolleret måde, jf. litra e. Slutteligt anfører artikel 9, stk. 4, litra f, at den finansielle enhed skal sørge for, at der indføres passende og omfattende dokumenterede politikker for programrettelser og opdateringer.
Med henblik på første afsnit, litra b, udformer den finansielle enhed infrastrukturen for netværkstilslutning på en sådan måde, at den kan afbrydes eller segmenteres øjeblikkeligt for at minimere og forhindre afsmitning, navnlig i forbindelse med indbyrdes forbundne finansielle processer. Med henblik på første afsnit, litra e, skal it-ændringsstyringsprocessen godkendes på passende ledelsesniveauer og omfatte specifikke protokoller.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ikke forelægger en tilstrækkelig it-sikkerhedspolitik hos den finansielle enhed til at sikre beskyttelsen af deres kunders data. Den strafbare handling kan desuden også bestå i, at dokumenterede politikker, procedurer og kontroller for styring af it-ændringer, herunder ændringer af software, hardware, firmwarekomponenter, systemer eller sikkerhedsparametre, som er baseret på en risikovurderingstilgang og er en integreret del af den finansielle enheds samlede ændringsstyringsproces, for at sikre, at alle ændringer af it-systemer registreres, testes, vurderes, godkendes, gennemføres og efterprøves på en kontrolleret måde, ikke er blevet godkendt på passende ledelsesniveau.
Artikel 10, stk. 1-4, i DORA-forordningen omhandler detektion af anormale aktiviteter.
Det følger af artikel 10, stk. 1, at en finansiel enhed skal indføre mekanismer til omgående detektion af anormale aktiviteter i overensstemmelse med artikel 17, herunder problemer med it-netværkets ydeevne og it-relaterede hændelser, og til identifikation af potentielt væsentlige single points of failure. Artikel 17 omhandler proces for styring af it-relaterede hændelser.
Ansvarssubjektet er en finansiel enhed. En overtrædelse af artikel 10, stk. 1, kan bestå i at der i den finansielle enhed ikke bliver opdaget anormale aktiviteter, idet enheden ikke har indført en mekaniske til detektion af disse.
Artikel 10, stk. 2, fastsætter krav til den finansielle enheds mekanismer. I medfør af artikel 10, stk. 2, skal de omtalte mekanismer i stk. 1, anvende flere kontrollag, fastlægge varslingstærskler og -kriterier, som skal udløse og igangsætte indsatsforanstaltninger mod it-relaterede hændelser, herunder automatiske varslingsmekanismer for det relevante personale, som har ansvar for indsatsen mod it-relaterede hændelser.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består i at have utilstrækkelige mekanismer der ikke lever op til de af artikel 10, stk. 2, fastsatte krav.
Videre fremgår det af artikel 10, stk. 3, at fondsmæglerselskaber skal afsætte tilstrækkelige ressourcer og kapaciteter til overvågning af brugeraktiviteter, forekomsten af it-anomalier og it-relaterede hændelser, navnlig cyberangreb.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, ikke at have afsat ressourcer til overvågning af brugeraktiviteter.
Til slut fremgår det af artikel 10, stk. 4, at udbydere af dataindberetningstjenester indfører desuden systemer, som effektivt kan kontrollere, om handelsindberetningerne er fuldstændige, identificere udeladelser og åbenbare fejl og anmode om fornyet fremsendelse af disse indberetninger.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ikke er indført et system som kan identificere åbenbare fejl.
Artikel 11 i DORA-forordningen omhandler indsats og genopretning af it. Artikel 11, stk. 1, fastsætter, at en finansiel enhed skal indføre en omfattende politik for it-driftsstabilitet. Politikken skal være baseret på de krav til identifikation, der er fastsat i artikel 8 i DORA-forordningen. I henhold til artikel 8, stk. 1, skal en finansiel enhed f.eks. foretage en identifikation, klassificering og tilstrækkelig dokumentering af alle it-understøttende forretningsfunktioner, roller, ansvarsområder, informationsaktiviteter og it-aktiver, der understøtter disse funktioner, samt deres roller og afhængigheder med hensyn til it-risici.
Ansvarssubjektet for overtrædelse af artikel 11, stk. 1, er en finansiel enhed. Den strafbare handling kan enten bestå i ikke at have indført nogen politik for it-driftsstabilitet, eller at have indført en politik, der ikke omhandler alle it-understøttende forretningsfunktioner.
I medfør af artikel 11, stk. 2, skal en finansiel enhed gennemføre politikken for it-driftsstabilitet ved hjælp af særlige veldokumenterede ordninger, planer, procedurer og mekanismer, der skal tage sigte på en række forhold, der er oplistet i stk. 2, litra a - e. En af disse forhold er eksempelvis at sikre, at den finansielle enheds kritiske eller vigtige funktioner er stabile, jf. litra a, eller omgående at aktivere særlige planer, der gør det muligt at anvende inddæmningsforanstaltninger, -processer og -teknologier, der er egnet til de enkelte typer af it-relaterede hændelser, og som forhindrer yderligere skade, jf. litra c.
Ansvarssubjektet for en overtrædelse af artikel 11, stk. 2, er en finansiel enhed. Den strafbare handling består i, ikke at have gennemført en politik for it-driftsstabilitet ved hjælp af særlige ordninger, planer, procedurer og mekanismer, der tager sigte på de forhold, der er oplistet i stk. 2, litra a – e.
Artikel 11, stk. 3, indeholder krav om, at den finansielle enhed skal gennemføre planer for it-indsats og -genopretning, som skal underkastes uafhængige interne revisionsgennemgange.
Ansvarssubjektet for en overtrædelse af stk. 3, er en finansiel enhed. Den strafbare handling består i, at den finansielle enhed ikke lader planer for it-indsats og -genopretning blive underkastet uafhængige interne revisionsgennemgange.
Det fremgår af artikel 11, stk. 4, at en finansiel enhed skal indføre, vedligeholde og foretage regelmæssig testning af passende planer for it-driftsstabilitet, navnlig med hensyn til kritiske eller vigtige funktioner, som outsources eller udliciteres gennem ordninger, der er indgået med tredjepartsudbydere af it-tjenester. Ved regelmæssig testning forstås mindst én gang om året, jf. artikel 11, stk. 6, litra a.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan eksempelvis bestå i, ikke at vedligeholde planer for it-driftsstabilitet, f.eks. hvis en udskiftning af virksomhedens it-systemer nødvendiggør en opdatering af planerne for it-driftsstyring. En strafbar handling kan også bestå i, ikke regelmæssigt at foretage en test af planer for it-driftsstabilitet. Herunder vil det være en særligt skærpende omstændighed, hvis der ikke er foretaget regelmæssig testning af planer for it-driftsstabilitet med hensyn til kritiske eller vigtige funktioner, som eksempelvis er outsourcet til en tredjepartsudbyder af it-tjenester.
Af artikel 11, stk. 5, 1. pkt., fremgår det, at en finansiel enhed som led i den samlede politik for driftsstabilitet skal foretage en forretningskonsekvensanalyse af deres eksponering for alvorlige driftsforstyrrelser. Det fremgår videre af stk. 5, 2. pkt., hvordan en finansiel enhed i konsekvensanalysen skal vurdere potentielle virkninger af alvorlige driftsforstyrrelser. I stk. 5, 3. pkt., fremgår det, at en konsekvensanalyse bl.a. skal tage hensyn til den kritiske betydning af identificerede og kortlagte forretningsfunktioner og andre forhold, der er nævnt i 3. pkt. Til sidst fremgår det af stk. 5, 4. pkt., at en finansiel enhed skal sikre, at it- aktiver og -tjenester udformes og anvendes i fuld overensstemmelse konsekvensanalysen, navnlig med hensyn til tilstrækkeligt at sikre alle kritiske komponenters redundans, dvs. at en kritisk komponent kan erstattes med en tilsvarende komponent, hvis det skulle blive nødvendigt.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan eksempelvis bestå af ikke at foretage en forretningskonsekvensanalyse af enhedens eksponering for alvorlige driftsforstyrrelser. Den kan f.eks. også bestå i ikke at foretage en vurdering af alvorlige driftsforstyrrelser i overensstemmelse med stk. 5, 2. pkt., eller bestå i at konsekvensanalysen ikke tager hensyn til den kritiske betydning af identificerede og kortlagte forretningsfunktioner eller en af de andre forhold, der er nævnt i det pågældende punkt. Til sidst kan en strafbar handling bestå i f.eks. ikke at sikre, at en kritisk komponent kan erstattes af en tilsvarende komponent, hvis konsekvensanalysen tilsiger dette.
Det fremgår af artikel 11, stk. 6, 1. afsnit, litra a, at en finansiel enhed som led i it-risikostyring skal teste enhedens planer for it-driftsstabilitet og planer for it-indsats og genopretning i forbindelse med it-systemer, der understøtter alle funktioner. En test heraf skal finde sted mindst én gang årligt og i tilfælde af væsentlige ændringer af it-systemer, der understøtter kritiske eller vigtige funktioner. I medfør af stk. 6, 1. afsnit, litra b, skal den finansielle enhed også teste krisekommunikationsplaner, der er udarbejdet i medfør af artikel 14.
Stk. 6, 2. afsnit indeholder nærmere krav til, hvilke forskellige scenarier tests for it-driftsstabilitet og planer for it-indsats og genopretning, jf. stk. 6, litra a, skal medtage. Det drejer sig bl.a. om cyberangrebsscenarier og omstillingsscenarier mellem den primære it-infrastruktur og redundante kapacitet. Ved redundante kapacitet forstås en lignende kapacitet, der skal kunne erstatte den primære it-infrastruktur, hvis denne eksempelvis bliver beskadiget under et cyberangreb. Bestemmelsen gælder ikke for fondsmæglerselskaber, der er mikrovirksomheder. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Videre fremgår det af stk. 6, 3. afsnit, at den finansielle enhed regelmæssigt skal gennemgå sin politik for it-driftsstabilitet og planer for it-indsats og -genopretning. Her skal den finansielle enhed bl.a. tage hensyn til resultaterne af de test, som den finansielle enhed har gennemført i henhold til 1. afsnit.
Ansvarssubjektet for en overtrædelse af artikel 11, stk. 6, er en finansiel enhed. Den strafbare overtrædelse kan eksempelvis bestå i ikke at foretage test for planer for it-driftsstabilitet og planer for it-indsats og -genopretning eller ikke at foretage test af krisekommunikationsplaner, jf. stk. 6, 1. afsnit.
En strafbar overtrædelse kan f.eks. også bestå af at ikke medtage cyberangrebscenarier og omstillingsscenarier mellem den primære it-infrastruktur og den redundante kapacitet, eller i ikke regelmæssigt at gennemgå enhedens politik for it-driftsstabilitet og planer for it-indsats og -genopretning under hensyntagen til resultaterne af de test, som enheden har gennemført, jf. henholdsvis 2. og 3. afsnit.
I medfør af artikel 11, stk. 7, skal en finansiel enhed have en krisestyringsfunktion, som, hvis deres planer for it-driftsstabilitet og planer for it-indsats og -genopretning aktiveres, bl.a. skal indeholde klare procedurer for forvaltning af intern og ekstern krisekommunikation i overensstemmelse med artikel 14, der indeholder nærmere regler herfor.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i ikke at have en krisestyringsfunktion, der indeholder klare procedurer for intern og ekstern krisekommunikation i overensstemmelse med artikel 14.
Artikel 11, stk. 8, indeholder krav om, at en finansiel enhed skal føre let tilgængelige registre over aktiviteter før og under driftsforstyrrelser, når deres planer for it-driftsstabilitet og planer for it-indsats og -genopretning aktiveres.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består i ikke at føre registre over aktiviteter før og under driftsforstyrrelser, hvor planerne for it-driftsstabilitet og for it-indsats og -genopretning er blevet aktiveret.
Til sidst følger det af artikel 11, stk. 10, at en finansiel enhed skal indberette et overslag over de samlede årlige omkostninger og tab, der opstår som følge af større it-relaterede hændelser, til de kompetente myndigheder på deres anmodning.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består af ikke at indberette et overslag over de samlede årlige omkostninger og tab, der opstår som følge af større it-relaterede hændelser, til de kompetente myndigheder, dvs. Finanstilsynet, hvis Finanstilsynet anmoder den finansielle enhed herom.
Artikel 12 indeholder nærmere bestemmelser om politikker og procedurer for sikkerhedskopiering og procedure og metoder for gendannelse og genopretning af it-systemer og data.
Det følger af artikel 12, stk. 1, at et fondsmæglerselskab som led i it-risikostyring skal udvikle og dokumentere politikker og procedure for sikkerhedskopiering, der præciserer omfanget af de data, der er genstand for sikkerhedskopiering, og minimumshyppigheden af sikkerhedskopiering baseret på oplysningernes kritiske betydning eller fortrolighedsniveauet for dataene. Desuden skal en finansiel enhed udvikle og dokumentere procedurer og metoder for gendannelse og genopretning.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består af ikke at udvikle og dokumentere politikker og procedure for enten sikkerhedskopiering eller gendannelse og genopretning.
I medfør af artikel 12, stk. 2, 1. pkt., skal en finansiel enhed etablere systemer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning. Det følger videre af artikel 12, stk. 2, 2. pkt., at aktiveringen af systemerne for sikkerhedskopiering ikke må sætte sikkerheden i net- og informationssystemer eller tilgængeligheden, autenticiteten, integriteten eller fortroligheden af data over styr. Til sidst er det i medfør af stk. 2, 3. pkt., et krav, at der foretages regelmæssig test af procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i ikke at etablere systemer for sikkerhedskopiering eller for procedurer og metoder for gendannelse og genopretning. Den kan også bestå i, at en finansiel enhed ikke sikrer sig, at systemerne for sikkerhedskopiering ikke sætter sikkerheden i net- og informationssystemer m.v. over styr. I henhold til stk. 2, 3. pkt., kan den bestå i at der ikke foretages regelmæssige test af procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning.
Det følger af artikel 12, stk. 3, 1 og 2. pkt., at når en finansiel enhed gendanner sikkerhedskopierede data ved anvendelse af egne systemer, skal de anvende de it-systemer, der er fysisk og logisk adskilt fra it-kildesystemet. It-systemerne skal være sikkert beskyttet mod uautoriseret adgang eller it-korruption og give mulighed for rettidig gendannelse af tjenester ved hjælp af data- og systemsikkerhedskopier efter behov.
Ansvarssubjektet i stk. 3, 1. og 2. pkt., er den finansielle enhed. Den strafbare handling kan i medfør af stk. 3, 1. pkt., bestå i at anvende egne it-systemer til gendannelse af sikkerhedskopierede data, der ikke er fysisk og logisk adskilt fra it-kildesystemet. Det vil eksempelvis sige it-systemer, der befinder sig på en anden adresse end kildesystemet, dvs. det it-system, som den finansielle enhed anvender i sit daglige virke. Det kan også være, hvor en finansiel enhed anvender eget it-system, der er fysisk adskilt fra kildesystemet, men hvor systemet ikke logisk er adskilt fra kildesystemet. Den strafbare handling i medfør af stk. 3, 2. pkt., kan f.eks. bestå i ikke at beskytte it-systemerne mod uautoriseret adgang eller it-korruption.
Videre følger det af stk. 3, 3. pkt., at for centrale modparter (CCP’er), skal genopretningsplaner gøre det muligt at genoptage alle transaktioner fra det tidspunkt, hvor de blev afbrudt, således at den berørte centrale modpart (CCP) kan opretholde driftssikkerheden og gennemføre afviklingen på den planlagte dato. Til sidst følger det af stk. 3, 4. pkt., at udbydere af dataindberetningstjenester desuden skal sørge for at råde over passende ressourcer og sikkerhedskopierings- og gendannelsesfaciliteter for til enhver tid at kunne udbyde og opretholde deres tjenester.
Det følger af artikel 12, stk. 4, 1. pkt., at en finansiel enhed opretholder redundante it-kapaciteter, der er udstyret med passende ressourcer og funktioner med henblik på at sikre forretningsmæssige behov. Videre fremgår det af stk. 4, 2. pkt., at mikrovirksomheder vurderer behovet for at opretholde redundante it-kapaciteter på grundlag af deres risikoprofil. Ved redundante it-kapaciteter forstås lignende it-kapaciteter, der skal kunne erstatte de primære it-kapaciteter en finansiel enhed, hvis disse it-kapaciteter eksempelvis bliver ramt af et cyberangreb.
Ansvarssubjektet i stk. 4, 1. pkt., er en finansiel enhed. Den strafbare handling består i ikke at have redundante it-kapaciteter, der sikrer forretningsmæssige behov.
Ansvarssubjektet i stk. 4, 2. pkt., er en finansiel enhed, som er en mikrovirksomhed. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Den strafbare handling består i ikke at have foretaget en vurdering af behovet for at opretholde redundante it-kapaciteter på baggrund af enhedens risikoprofil.
Det fremgår af artikel 12, stk. 6, 1. pkt., at når en finansiel enhed skal fastlægge målene for genopretningstid og genopretningstidspunkt for hver funktion, skal de tage hensyn til, om det er en kritisk eller vigtig funktion og de potentielle samlede virkninger for markedseffektiviteten. Videre fremgår det af stk. 6, 2. pkt., at tidsmålene skal sikre, at de aftalte serviceniveauer kan overholdes i ekstreme scenarier.
Ansvarssubjektet i stk. 6, er en finansiel enhed. Den strafbare handling består i, at den finansielle enhed i sin fastlæggelse af målene for genopretningstid og genopretningstidspunkt, ikke har taget hensyn til, om den pågældende funktion er kritisk, eller hvilken virkning disse tidsmål vil have på markedseffektiviteten. Den kan også bestå i, at den finansielle enhed ikke har sikret sig, at tidsmålene kan overholde de aftalte serviceniveauer i ekstreme scenarier.
Det fremgår af artikel 12, stk. 7, 1. pkt., at når den finansielle enhed foretager genopretning efter en it-relateret hændelse, skal den udføre de nødvendige kontroller, herunder eventuelt flere kontroller og afstemninger, for at sikre, at dataintegriteten bevares på højeste niveau. Videre fremgår det af stk. 7, 2. pkt., at kontroller også skal foretages i forbindelse med rekonstruktionen af data fra eksterne interessenter for at sikre, at alle systemernes data er sammenhængende.
Ansvarssubjektet i stk. 7 er en finansiel enhed. Den strafbare handling består i ikke at udføre de nødvendige kontroller eller afstemninger efter en genopretning for at sikre, at dataintegriteten bevares på højt niveau. I den forbindelse kan den strafbare handling også bestå i ikke at foretage kontroller i forbindelse med rekonstruktionen af data fra eksterne interessenter for at sikre, at alle systemernes data er sammenhængende.
Artikel 13 indeholder regler om læring og udvikling omkring sårbarheder og cybertrusler, it-relaterede hændelser, herunder navnlig cyberangreb. Stk. 1 indeholder krav om, at en finansiel enhed skal sørge for at råde over kapaciteter og personale, som kan indsamle oplysninger herom, og som kan analysere de virkninger, de forventes at have på deres digitale operationelle modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at have afsat ressourcer til f.eks. et it-system og personale, hvormed enheden kan indsamle oplysninger om sårbarheder og cybertrusler eller it-relaterede hændelser som cyberangreb. Den strafbare handling kan eksempelvis også bestå i ikke at have personale med tilstrækkelige kompetencer til at kunne analysere de virkninger, som bl.a. et cyberangreb kan have på deres digitale operationelle infrastruktur.
Det fremgår af artikel 13, stk. 2, 1. afsnit, at en finansiel enhed skal foretage gennemgange af it-relaterede hændelser, efter at større it-relaterede hændelser har forstyrret deres kerneaktiviteter. Den finansielle enhed skal i den forbindelse analysere årsagerne til forstyrrelserne og identificere nødvendige forbedringer af it-operationerne eller indenfor rammerne af den i artikel 11 omhandlede politik for it-driftsstabilitet.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i ikke at foretage en gennemgang og analyse af en større it-relateret hændelse, der har forstyrret finansiel enheds kerneaktivitet. Er der eksempelvis tale om et pengeinstitut, kan en kerneaktivitet være muligheden for at udstede lån til kunder. En gennemgang og en analyse af en it-relateret hændelse har til formål at mindske risikoen for, at en lignende hændelse opstår igen.
Videre fremgår det af stk. 2, 2. afsnit, at en finansiel enhed på anmodning fra den kompetente myndighed skal underrette den kompetente myndighed om ændringer, der er blevet gennemført efter en gennemgang af it-relaterede hændelser. Bestemmelsen gælder ikke for finansielle enheder, der er mikrovirksomheder. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består i ikke efter anmodning fra Finanstilsynet at underrette Finanstilsynet om ændringer, der er blevet gennemført efter en gennemgang af it-relaterede hændelser.
Til sidst fremgår det af stk. 2, 3. afsnit, at det i forbindelse med gennemgangen af it-relaterede hændelser skal fastslås, om de fastlagte procedurer er blevet fulgt, og om de iværksatte foranstaltninger har været effektive. Ved fastlagte procedurer forstås de procedurer, som den finansielle enhed har fastlagt i sin politik for it-driftsstabilitet. Det fremgår af artikel 11, stk. 2, at den finansielle enhed gennemfører politikken for it-driftsstabilitet ved hjælp af særlige, passende og veldokumenterede ordninger, planer, procedurer og mekanismer. Det er derfor procedurer og iværksatte foranstaltninger i henhold til de her ordninger m.v., som den finansielle enhed skal fastslå om har været effektive.
Det fremgår nærmere af artikel 13, stk. 2, 3. afsnit, hvad den finansielle enhed bl.a. skal lægge nærmere vægt på i sin vurdering af, om de iværksatte foranstaltninger har været effektive. Den finansielle enhed skal bl.a. lægge vægt på den hastighed, med hvilken der er blevet sat ind overfor sikkerhedsvarsler, og med hvilken hastighed virkningerne af it-relaterede hændelser og deres omfang er blevet fastslået, jf. stk. 2, 3. afsnit, litra a. Det kan også være i forhold til effektiviteten af den finansielle enheds fejlafhjælpning i forbindelse med hændelser, jf. stk. 2, 3. afsnit, litra c.
Bestemmelsen har til formål at sikre, at en finansiel enhed efter en it-hændelse forholder sig kritisk til sine ordninger, planer, procedure m.v. i forbindelse med sin politik for it-driftsstabilitet for evt. at kunne forbedre disse til håndtering af en fremtidig it-relateret hændelse.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består i ikke at fastslå om ordninger, planer og procedure i forbindelse med politikken for it-driftsstabilitet er blevet fulgt. Den kan også bestå i ikke at fastslå, om de iværksatte foranstaltninger har været effektive, herunder eksempelvis i forhold til den hastighed, med hvilken der er blevet sat ind overfor sikkerhedsvarsler, og med hvilken hastighed virkningerne af it-relaterede hændelser og deres omfang er blevet fastslået, jf. stk. 2, 3. afsnit, litra a.
Det følger af artikel 13, stk. 3, 1. pkt., at erfaringer fra test af digital operationel modstandsdygtighed, som foretages i overensstemmelse med artikel 26 og 27, og fra faktiske it-relaterede hændelser, navnlig cyberangreb, samt udfordringer i forbindelse med aktiveringen af planer for it-driftsstabilitet og planer for it-indsats og -genopretning, sammen med relevante oplysninger, der udveksles med modparter, og som vurderes i forbindelse med tilsynsmæssige gennemgange, løbende skal indarbejdes i it-risikovurderingsprocessen.
Artikel 26 vedrører avancerede test af IKT-værktøjer, -systemer og -processer baseret på TLPT. TLPT står for Threat Led Penetration Testing, som er en testmetode, hvor en virksomhed engagerer etiske hackere, som skal angribe flere systemer og det tilhørende cyberforsvar i virksomheden. Testene foregår i livesystemer, hvilket vil sige de systemer, som anvendes direkte i den finansielle sektor, og er baseret på konkrete trusler, hvilket betyder, at testene simulerer taktikker, teknikker og procedurer fra aktive, avancerede hackergrupper. Artikel 27 fastsætter de nærmere krav til testere.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består f.eks. i ikke løbende at indarbejde erfaringer fra test af digital operationel modstandsdygtighed i overensstemmelse med artikel 26 og 27, og fra it-relaterede hændelser i it-risikostyringsprocessen.
Det fremgår af artikel 13, stk. 4, 1. pkt., at den finansielle enhed skal overvåge effektiviteten af gennemførelse af deres strategi for digital operationel modstandsdygtighed, jf. artikel 6, stk. 8, der fastsætter nærmere krav til strategien. Videre fremgår det af stk. 4, 2. pkt., at den finansielle enhed skal kortlægge it-risikoens udvikling over tid, analysere hyppigheden, typerne, omfanget af og udviklingen i it-relaterede hændelser, navnlig cyberangreb og mønstre forbundet hermed. Den finansielle enhed skal gøre dette med henblik på at forstå graden af it-risikoeksponering, navnlig i forbindelse med kritiske eller vigtige funktioner, og for at forbedre den finansielle enheds cybermodenhed og cyberberedskab.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består i ikke at overvåge effektiviteten af gennemførelsen af enhedens strategi for digital operationel modstandsdygtighed eller i ikke at kortlægge it-risikoens udvikling over tid, analysere hyppigheden, typerne, omfanget af og udviklingen i it-relaterede hændelser, navnlig cyberangreb og mønstre forbundet hermed.
Det fremgår af artikel 13, stk. 5, at højtstående it-personale mindst én gang om året skal aflægge rapport til ledelsesorganet om de i stk. 3 omhandlede resultater og fremsætte anbefalinger. Indholdet af artikel 13, stk. 3, er nærmere gennemgået ovenfor under bemærkningerne til strafbelæggelsen af en overtrædelse af stk. 3.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består i, at den finansielle enhed ikke at sørge for, at it-personale mindst én gang om året aflægger rapport for ledelsesorganet om resultater af f.eks. faktiske it-relaterede hændelser, jf. artikel 13, stk. 3, og fremsætter anbefalinger.
Det fremgår af artikel 13, stk. 6, 1. pkt., at den finansielle enhed skal udvikle programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed som obligatoriske moduler i deres personaleuddannelsesordninger. Videre fremgår det af stk. 6, 2. pkt., at disse kurser skal omfatte alle medarbejdere og den øverste ledelse og skal have en grad af kompleksitet, der svarer til deres opgavers ansvarsområde. Sidst fremgår det af stk. 6, 3. pkt., at en finansiel enhed, hvis det er relevant, inddrager tredjepartsudbydere af it-tjenester i relevante uddannelsesordninger, jf. artikel 30, stk. 2, litra i, om kontraktlige ordninger om betingelserne for deltagelse af tredjepartsudbydere i programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består f.eks. i ikke at udvikle programmer til alle medarbejdere og den øverste ledelse til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed som obligatoriske moduler i deres personaleuddannelse. Den strafbare handling kan også bestå i ikke at inddrage tredjepartsudbydere af it-tjenester i relevante uddannelsesordninger, hvis dette viser sig nødvendigt. Det kan eksempelvis være i det tilfælde, hvor kompleksiteten af et uddannelsesprogram når et niveau, hvor den finansielle enhed ikke selv har kompetencerne til at udvikle programmet.
Det fremgår af artikel 13, stk. 7, 1. pkt., at den finansielle enhed løbende skal overvåge den relevante teknologiske udvikling også med henblik på at forstå den mulige virkning af indførelsen af sådanne nye teknologier for kravene til it-sikkerhed og digital operationel modstandsdygtighed. Videre fremgår det af stk. 7, 2. pkt., at den finansielle enhed skal holde sig ajour med de seneste it-risikostyringsprocesser for effektivt at bekæmpe aktuelle eller nye former for cyberangreb. Bestemmelsen gælder ikke for mikrovirksomheder. Se definitionen af en mikrovirksomhed under bemærkningerne til strafbelæggelse af overtrædelse af artikel 11, stk. 6, 2. afsnit.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består i ikke løbende at overvåge den relevante teknologiske udvikling med henblik på evt. at indføre de nye teknologier i enheden i forhold til at leve op til kravene til it-sikkerhed og digital operationel modstandsdygtighed. Den kan også bestå i ikke at holde sig ajour med de seneste it-risikostyringsprocesser for effektivt at bekæmpe aktuelle eller nye former for cyberangreb.
Artikel 14, stk. 1 i DORA-forordningen omhandler, at der som led i den ramme for it-risiko-styring, der er omhandlet i artikel 6, stk. 1, at den finansielle enhed sørger for at have krisekommunikationsplaner, der giver mulighed for ansvarlig offentliggørelse af, som minimum større it-relaterede hændelser eller sårbarheder for kunder og modparter samt for offentligheden, alt efter hvad der er relevant.
Krisekommunikations-planer må forstås sådant, at når der opstår en større ulykke eller katastrofe, så er der et akut behov for viden, og det er derfor nødvendigt at have planer for at kommunikere dette ud til de relevante parter.
It-risiko-styring må forstås sådant, at det er en håndtering af en sådan trussel, som defineres i artikel 3, stk. 1 nr. 5.
Ansvarssubjektet for overtrædelse af artikel 14, stk. 1 er en finansiel enhed. Den strafbare handling kan f.eks. bestå i, at den finansielle enhed ikke har udarbejdet planer for kommunikation af en offentliggørelse af en større it-relateret hændelse.
I medfør af artikel 14, stk. 2, skal den finansielle enhed som led i rammen for it-risikostyring, der er omhandlet i artikel 6, stk. 1. gennemføre kommunikationsplaner for internt personale og eksterne interessenter. Artikel 6, stk. 1, vedrører, at den finansielle enhed indfører en robust, omfattende og veldokumenteret ramme for it-risikostyring. Kommunikationspolitikkerne for personalet skal tage hensyn til behovet for at skelne mellem personale der er involveret i it-risiko-styring, navnlig det personale, der er ansvarlig for indsats og genopretning, og personale, der skal underrettes.
Ansvarssubjektet for en overtrædelse af artikel 14, stk. 2, er en finansiel enhed. Den strafbare handling består i, ikke at have gennemført kommunikationsplaner for internt personale og eksterne interessenter.
Artikel 14, stk. 3, indeholder krav om, at mindst én person i den finansielle enhed skal have til opgave at gennemføre kommunikationsstrategien for it-relaterede hændelse, og til dette formål varetage funktionen vedrørende offentligheden og medierne.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består i, at den finansielle enhed ikke har mindst én person, der har til opgave at gennemføre kommunikationsstrategien for it-relaterede hændelse, og som til dette formål har varetaget funktionen vedrørende offentligheden og medierne.
Det fremgår af artikel 16, stk. 1, at forordningens artikel 5-15 ikke finder anvendelse på små og ikke indbyrdes forbundne investeringsselskaber, betalingsinstitutter, der er undtaget i henhold til direktiv (EU) 2015/2366, institutter, der er fritaget i henhold til direktiv 2013/36/EU, og for hvilke medlemsstaterne har besluttet ikke at anvende den mulighed, der er omhandlet i nærværende forordnings artikel 2, stk. 4, e-pengeinstitutter, der er undtaget i henhold til direktiv 2009/110/EF, og små arbejdsmarkedsrelaterede pensionskasser.
Uden at det berører første afsnit, skal de i første afsnit omhandlede enheder overholde det anførte i artikel 16, stk. 1, litra a-e. Det fremgår af litra a, at den finansielle enhed skal indføre og vedligeholde en robust og dokumenteret ramme for it-risikostyring, der beskriver de mekanismer og foranstaltninger, der skal muliggøre en hurtig, effektiv og omfattende styring af it-risiko, herunder vedrørende beskyttelse af relevante fysiske komponenter og infrastrukturer.
Det fremgår af litra b, at der løbende skal overvåges alle it-systemers sikkerhed og drift.
Det fremgår af litra c, at virkningen af it-risiko gennem anvendelse af robuste, modstandsdygtige og ajourførte it-systemer, -protokoller og -værktøjer, som er egnede til at understøtte udførelsen af deres aktiviteter og leveringen af tjenester og i tilstrækkelig grad beskytte tilgængeligheden, autenticiteten, integriteten og fortroligheden af data i net- og informationssystemerne skal minimeres.
Det fremgår af litra d, at det hurtigst muligt skal konstateres og detekteres it-risikokilder og -anomalier i net- og informationssystemerne og hurtigt at håndtere it-relaterede hændelser.
Det fremgår af litra e, at der skal konstateres stor afhængighed af tredjepartsudbydere af it-tjenester.
Det fremgår af litra f, at der skal sikres kontinuiteten af kritiske eller vigtige funktioner gennem planer for driftsstabiliteten og indsats- og genopretningsforanstaltninger, der som minimum omfatter sikkerhedskopierings- og gendannelsesforanstaltninger.
Det fremgår af litra g, at der regelmæssigt skal testes de planer og foranstaltninger, der er omhandlet i litra f), samt effektiviteten af de gennemførte kontroller i overensstemmelse med litra a og c.
Det fremgår af litra h, at der skal gennemføres, alt efter hvad der er relevant, de relevante operationelle konklusioner, der følger af de test, der er omhandlet i litra g, og af de efterfølgende analyser af hændelserne, i it-risikovurderingsprocessen og efter behov og it-risikoprofil udvikle programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed for personale og ledelse.
Ansvarssubjektet i artikel 16, stk. 1 litra a-h, er en finansiel enhed. Den strafbare handling består i, at de i første afsnit omhandlede enheder ikke overholder det anførte i artikel 16, stk. 1, litra a-e.
I medfør af artikel 16, stk. 2, skal den finansielle enhed i den i stk. 1, andet afsnit, litra a, omhandlede ramme for it-risikostyring dokumenteres og gennemgås regelmæssigt og ved forekomst af større it-relaterede hændelser i overensstemmelse med de tilsynsmæssige instrukser. Den skal forbedres løbende på grundlag af indhøstede erfaringer fra gennemførelse og overvågning. Der skal forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed på dennes anmodning.
Ansvarssubjektet for overtrædelsen af artikel 16, stk. 2, er en finansiel enhed. Den strafbare handling består i, at ikke at have gennemført de handlinger, der er oplistet i artikel 16, stk. 2. Dette er eksempelvis at sikre at der forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed ved anmodning.
Det følger af artikel 17, stk. 1, at den finansielle enhed definerer, fastlægger og gennemfører en proces for styring af it-relaterede hændelser for at detektere, styre og indberette it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 17, stk. 1, bestå i, at den finansielle enhed ikke definerer, fastlægger og gennemfører en proces for styring af it-relaterede hændelser, som kan detektere, styre og indberette it-relaterede hændelser.
Det følger af artikel 17, stk. 2, at fondsmæglerselskaber er alle, der registrerer it-relaterede hændelser og væsentlige cybertrusler. Den finansielle enhed fastlægger passende procedurer og processer, der skal sikre en konsekvent og integreret overvågning, håndtering og opfølgning af it-relaterede hændelser. Det skal ske således, at de grundlæggende årsager identificeres, dokumenteres og håndteres for at forhindre, at sådanne hændelser forekommer.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan i medfør af artikel 17, stk. 2, bestå i, at den finansielle enhed fastlægger passende procedurer og processer, der skal sikre en konsekvent og integreret overvågning, håndtering og opfølgning af it-relaterede hændelser. Dette skal ske således, at de grundlæggende årsager identificeres, dokumenteres og håndteres for at forhindre, at sådanne hændelser kan opstå.
Det følger af artikel 17, stk. 3, at den finansielle enhed som led i den proces for styring af it-relaterede hændelser, der er omhandlet i stk. 1, overholder det anførte i artikel 17, stk. 3, litra a-f.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling i medfør af artikel 17, stk. 3, er en tilsidesættelse af overholdelse af de oplistede krav i artikel 17, stk. 3, litra a-f. Dette kan eksempelvis være, at der ikke tildeles roller og ansvarsområder, som skal aktiveres for forskellige it-relaterede hændelsestyper og -scenarier.
Artikel 18 indeholder en klassificering af it-relaterede hændelser og cybertrusler.
Det følger af artikel 18, stk. 1, at den finansielle enhed klassificerer it-relaterede hændelser og fastslår deres virkninger på grundlag af følgende kriterier oplistet i artikel 18, stk. 1, litra a-f.
Det fremgår af litra a, at antallet og/eller relevansen af kunder eller finansielle modparter, som er berørt, og, hvis det er relevant, beløbet på eller antallet af de transaktioner, som er berørt af den it-relaterede hændelse, og hvorvidt den it-relaterede hændelse har haft indvirkning på omdømmet.
Det fremgår af litra b, at varigheden af den it-relaterede hændelse, herunder tjenestens nedetid.
Det fremgår af litra c, at den geografiske udbredelse med hensyn til de områder, der er berørt af den it-relaterede hændelse, navnlig hvis den berører mere end to medlemsstater.
Det fremgår af litra d, at de datatab, som den it-relaterede hændelse medfører med hensyn til tilgængelighed, autenticitet, integritet eller fortrolighed af data.
Det fremgår af litra e, at den kritiske betydning af de berørte tjenester, herunder den finansielle enheds transaktioner og operationer.
Det fremgår af litra f, at de økonomiske virkninger, navnlig direkte og indirekte omkostninger og tab, af den it-relaterede hændelse i både absolutte og relative tal.
Ansvarssubjektet i stk. 1 er en finansiel enhed. Den strafbare handling består i, at den finansielle enhed ikke klassificerer it-relaterede hændelser og dermed ikke fastslår deres virkninger på grundlag af følgende kriterier oplistet i artikel 18, stk. 1, litra a-f.
Det fremgår af stk. 2, at den finansielle enhed klassificerer cybertrusler som væsentlige på grundlag af de udsatte tjenesters kritiske betydning, herunder den finansielle enheds transaktioner og operationer, antallet og/eller relevansen af de kunder eller finansielle modparter, som rammes, og risikoområdernes geografiske udbredelse.
Ansvarssubjektet i artikel 18, stk. 2, er en finansiel enhed. Den strafbare handling består i, at den finansielle enhed undlader at klassificere cybertrusler som væsentlige, eksempelvis på grundlag af de udsattes tjenesters kritiske betydning.
Artikel 19, stk. 1, omhandler indberetning af større it-relaterede hændelser. Bestemmelsen forpligter den finansielle enhed til at indberette større it-relaterede hændelser til den relevante kompetente myndighed.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at den finansielle enhed ikke underretter Finanstilsynet om en større it-relateret hændelse.
I medfør af artikel 19, stk. 3, skal den finansielle enhed underrette Finanstilsynet, uden unødigt ophold, i tilfælde af, at en større it-relateret hændelse indtræffer og har indflydelse på kunders finansielle interesser. Den finansielle enhed underretter også om de foranstaltninger, der er truffet for at afbøde de negative virkninger af en sådan hændelse. I tilfælde af en væsentlig cybertrussel underretter den finansielle enhed, hvis det er relevant, de af deres kunder, som potentielt er berørt heraf, om eventuelle passende beskyttelsesforanstaltninger, som sidstnævnte kan overveje at træffe
Ansvarssubjektet var overtrædelse af artikel 19, stk. 3, er en finansiel enhed. En strafbar handling kan bestå i, at den finansielle enhed ikke underretter Finanstilsynet rettidigt i tilfælde en større it-relateret hændelse indtræffer, som har indflydelse på kunders finansielle interesser. En strafbar handling kan også bestå i at underrette Finanstilsynet om den it-relaterede hændelse, uden at underrette om de foranstaltninger der er truffet for at afbøde de negative virkninger.
Det fremgår af artikel 19, stk. 4, at den finansielle enhed, i tilfælde af en it-relateret hændelse, skal indgive henholdsvis en indledende underretning, jf. litra a, en foreløbig rapport så snart den oprindelige hændelses status har ændret sig betydeligt, eller håndteringen af den større it-relaterede hændelse har ændret sig på grundlag af nye tilgængelige oplysninger, efterfulgt, alt efter hvad der er relevant, af ajourførte underretninger, hver gang der foreligger en relevant ajourføring af status, samt efter en specifik anmodning fra den kompetente myndighed, jf. litra b. Samt en endelig rapport, når den grundlæggende årsagsanalyse er afsluttet, uanset om der allerede er gennemført afbødende foranstaltninger, og når tallene for de faktiske virkninger foreligger og kan erstatte skøn, jf. litra c. Fristerne for disse skal fastsættes i overensstemmelse med artikel 20, stk. 1, litra a, nr. ii, og skal indgives til Finanstilsynet, som er den kompetente myndighed.
Ansvarssubjektet er en finansiel enhed. En strafbar handling kan bestå i, ikke at indgive en indledende underretning, en foreløbig rapport eller en endelig rapport til Finanstilsynet inden for de af artikel 20, stk. 1, litra a, nr. ii, fastsatte frister.
Artikel 24 i DORA-forordningen omhandler generelle krav til gennemførslen af test af digital operationel modstandsdygtighed.
Det følger af artikel 24, stk. 1, at den finansielle enhed skal udarbejde, opretholde og gennemgå et forsvarligt og omfattende program for test af digital operationel modstandsdygtighed, som en integreret del af den i artikel 6 omhandlede ramme for it-risikostyring. Dette skal ske med henblik på at vurdere beredskabet i forhold til håndtering af it-relaterede hændelser, identificere svagheder, mangler og huller i den digitale operationelle modstandsdygtighed og straks træffe korrigerende foranstaltninger.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har udarbejdet et program for test af digital operationel modstandsdygtighed. Den strafbare handling kan også bestå i, at den finansielle enheds program for test af digital operationel modstandsdygtighed ikke er forsvarligt eller omfattende nok.
I medfør af artikel 24, stk. 2, skal programmet for test af digital operationel modstandsdygtighed omfatte en række vurderinger, test, metodologier, fremgangsmåder og værktøjer, der skal anvendes i overensstemmelse med artikel 25 og 26 i DORA-forordningen.
Ansvarssubjektet er en finansiel enhed. En strafbar handling kan bestå i at den finansielle enhed gennemfører tests der ikke i tilstrækkelig grad omfatter kravene om vurderinger, test, metodologier, fremgangsmåder og værktøj, der skal anvendes i overensstemmelse med artikel 25 og artikel 26 i DORA-forordningen.
Artikel 24, stk. 3, pålægger den finansielle enhed at følge en risikobaseret tilgang for programmet for test af digital operationel modstandsdygtighed. Den finansielle enhed skal ved gennemførslen af programmet, tage hensyn til kriterierne i DORA-forordningens artikel 4, stk. 2, og til et it-risikomiljø i udvikling, eventuelle specifikke risici, som det berørte fondsmæglerselskab udsættes for eller kan blive udsat for, informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre faktorer, som den finansielle enhed finder relevante.
Ansvarssubjektet er en finansiel enhed. En strafbar overtrædelse af artikel 24, stk. 3, kunne eksempelvis være, at den finansielle enhed gennemfører et program for test af digital operationel modstandsdygtighed uden at tage hensyn til den finansielles enheds it-risikomiljø.
I medfør af artikel 24, stk. 4, skal den finansielle enhed sikre, at tests gennemføres af uafhængige parter, hvad enten de er interne eller eksterne. Hvis en intern tester gennemfører test, skal de finansielle enheder afsætte tilstrækkelige ressourcer og sikre, at interessekonflikter undgås under testens udformnings- og gennemførelsesfaser.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at den finansielle enhed der gennemfører tests af deres digitale operationelle modstandsdygtighed ikke sikrer, at testen gennemføres af uafhængige interne eller eksterne parter for at begrænse interessekonflikter.
Artikel 24, stk. 5, pålægger den finansielle enhed at fastlægge procedurer og politikker med henblik på at prioritere, klassificere og afhjælpe alle problemer, der identificeres i forbindelse med gennemførelsen af test, og fastlægger interne valideringsmetoder for at sikre, at alle konstaterede svagheder, mangler eller huller afhjælpes fuldt ud.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består af ikke at fastlægge procedurer og politikker, der prioriterer, klassificerer og afhjælper de problemer, der identificeres med gennemførslen af testen.
I medfør af artikel 24, stk. 6, skal den finansielle enhed sikre, at der gennemføres passende test af alle it-systemer og -applikationer, der understøtter kritiske eller vigtige funktioner, mindst én gang om året.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kunne bestå i at den finansielle enhed ikke mindst én gang årligt gennemfører tests af alle it-systemer og it-applikationer, der kan anses for passende.
Artikel 25 omhandler test af it-værktøjer og -systemer.
Det følger af artikel 25, stk. 1, at programmet for test af den digitale operationelle modstandsdygtighed skal være i overensstemmelse med de af artikel 4, stk. 2, kriterier for proportionalitet. I medfør af artikel 4, stk. 2, skal den finansielle enheds styring, klassificering, indberetning af it-relaterede hændelser, test af digital operationel modstandsdygtighed og styring af it-tredjepartsrisici stå i et rimeligt forhold til deres størrelse og samlede risikoprofil og til karakteren, omfanget og kompleksiteten af deres tjenester, aktiviteter og operationer, som specifikt fastsat i de relevante regler i de nævnte kapitler.
I overensstemmelse med de oplistede kriterier i artikel 4, stk. 2, skal programmet for test af digital operationel modstandsdygtighed, nævnt i artikel 24, indeholde bestemmelser om gennemførelse af relevante test såsom sårbarhedsvurderinger og -scanninger, open source-analyser, vurderinger af netsikkerheden, mangelanalyser, fysiske sikkerhedsgennemgange, spørgeskemaer og scanningssoftwareløsninger, gennemgange af kildekoder, når det er praktisk muligt, scenariebaserede test, kompatibilitetstest, præstationstest, end-to-end-test og penetrationstest.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at den finansielle enhed har vedtaget et program for test der ikke er tilstrækkeligt, mangelfuldt eller lever op til de fastsatte krav for programmer for test af digital operationel modstandsdygtighed i artikel 25, stk. 1.
I medfør af artikel 25, stk. 3, skal mikrovirksomheder gennemføre de i artikel 25, stk. 1, omhandlede test ved at kombinere en risikobaseret tilgang med strategisk planlægning af it-test under behørig hensyntagen til behovet for at opretholde en afbalanceret tilgang mellem omfanget af ressourcer og den tid, der skal afsættes til it-test som omhandlet i denne artikel, på den ene side og den hastende karakter, risikotype og informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre relevante faktorer, herunder den finansielle enheds evne til at tage kalkulerede risici, på den anden side.
Ansvarssubjektet er en finansiel enhed. En strafbar handling kan bestå i, at en mikrovirksomhed ikke har taget tilstrækkeligt hensyn til at opretholde en balanceret tilgang til henholdsvis omfanget af ressourcer og andre faktorer, som eksempelvis den finansielle enheds evne til at tage kalkulerede risici.
Artikel 28 omhandler generelle principper for forsvarlig styring af it-tredjepartsrisici.
I medfør af artikel 28, stk. 1, skal den finansielle enhed styre deres it-tredjepartsrisiko som en integreret del af it-risiko, inden for deres ramme for it-risikostyring.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at den finansielle enheds it-tredjepartsrisiko ikke bliver styret som en integreret del af deres samlede it-risiko, inden for den finansielle enheds it-risikostyring.
I medfør af artikel 28, stk. 1, litra b, skal styringen af it-tredjepartsrisikoen hos den finansielle enhed foregå under hensyntagen til proportionalitetsprincippet og skal derfor tage hensyn til henholdsvis artikel 28, stk. 1, litra b, nr. i, som omhandler karakteren, omfanget, kompleksiteten og betydningen af den it-relaterede afhængighed og artikel 28, stk. 1, litra b, nr. ii, som omhandler de risici, der opstår som følge af kontraktlige ordninger for brugen af it-tjenester, der er indgået med tredjepartsudbydere af it-tjenester, under hensyntagen til den kritiske betydning eller vigtighed af den pågældende tjeneste, proces eller funktion og til de potentielle virkninger for driftsstabiliteten og tilgængeligheden af finansielle tjenesteydelser og aktiviteter på individuelt plan og koncernniveau.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at kravene i artikel 28, stk. 1, litra b, nr. i-ii, ikke tages under betragtning ved udformningen af den finansielle enheds styring af it-tredjepartsrisiko.
Artikel 28, stk. 2, omhandler strategien for den finansielle enheds it-tredjepartsrisiko. Den finansielle enhed skal vedtage og gennemgå deres strategi regelmæssigt som led i deres ramme for it-risikostyring. Strategien skal omfatte en politik for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og som leveres af tredjepartsudbydere af it-tjenester. Strategien skal gælde på individuelt grundlag og, hvor det er relevant, på delkonsolideret og konsolideret grundlag. Ledelsesorganet i den finansielle enhed skal på grundlag af en vurdering af den finansielle enhed samlede risikoprofil og omfanget og kompleksiteten af forretningstjenesterne regelmæssigt gennemgå de risici, der er konstateret i forbindelse med kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i at ledelsesorganet i den finansielle enhed ikke ved vurderingen af den samlede risikoprofil har gennemgået de risici, der er konstateret i forbindelse med kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner.
Artikel 28, stk. 3, fastsætter krav for den finansielle enheds dokumentation af kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere. Den finansielle enhed skal som et led i deres ramme for it-risikostyring sørge for at opretholde og ajourføre et register over kontraktsretlige ordninger for brugen af it-tjenester, der leveres af tredjepartsudøvere på både fondsmæglerselskaber på enhedsniveau, delkonsolideret niveau og konsolideret niveau. De kontraktsretlige ordninger skal være skelnet mellem de it-tjenester, der understøtter kritiske eller vigtige funktioner, og dem, der ikke gør.
Desuden skal den finansielle enhed mindst én gang årligt indberette nye ordninger for brugen af it-tjenester, kategorierne af tredjepartsudbydere af IKT-tjenester, typen af kontraktlige ordninger og de it-tjenester og funktioner, der leveres, til Finanstilsynet.
Til sidst skal den finansielle enhed efter anmodning, stille det fulde register over oplysninger eller, som anmodet, nærmere angivne afsnit heraf til rådighed for Finanstilsynet sammen med eventuelle oplysninger, som anses for nødvendige for at muliggøre et effektivt tilsyn med den finansielle enhed. Den finansielle enhed underretter rettidigt Finanstilsynet om enhver planlagt kontraktlig ordning for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og når en funktion er blevet kritisk eller vigtig.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed efter anmodning fra Finanstilsynet, ikke kan stille det fulde register over kontraktsretlige ordninger for brugen af it-tjenester, der leveres af tredjepartsudøvere til rådighed.
Artikel 28, stk. 4, litra a-e, fastsætter krav til den finansielle enhed, før der indgås en kontraktlig ordning for brugen af it-tjenester. Den finansielle enhed skal vurdere, om den kontraktlige ordning omfatter brugen af it-tjenester, der understøtter en kritisk eller vigtig funktion, jf. litra a, vurdere, om de tilsynsmæssige betingelser for udlicitering er opfyldt, jf. litra b, identificere og vurdere alle relevante risici i forbindelse med den kontraktlige ordning, herunder muligheden for, at sådanne kontraktlige ordninger kan bidrage til at øge it-koncentrationsrisikoen, jf. artikel 29, jf. litra c, foretage fornøden due diligence over for potentielle tredjepartsudbydere af it-tjenester og under alle udvælgelses- og vurderingsprocesserne sikre, at den pågældende tredjepartsudbyder af it-tjenester er egnet jf. litra d, og identificere og vurdere interessekonflikter, som de kontraktlige ordninger kan give anledning til, jf. litra e.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed indgår en kontraktlig ordning for brugen af it-tjenester, uden at have identificeret og vurderet interessekonflikter, som den kontraktlige ordning kan give anledning til.
I medfør af artikel 28, stk. 7, litra a-d, skal den finansielle enhed sikre sig, at de indgåede kontraktlige ordninger kan opsiges på baggrund af væsentlig overtrædelse begået af tredjepartsudbyderen af it-tjenester af gældende love, administrative bestemmelser eller kontraktvilkår, jf. litra a. Forhold, der er identificeret under overvågningen af it-tredjepartsrisiko, og som anses for at kunne ændre udførelsen af de funktioner, der er leveret gennem den kontraktlige ordning, herunder væsentlige ændringer, der påvirker ordningen eller situationen for tredjepartsudbyderen af it-tjenester skal også kunne lægges til grund for opsigelse af den kontraktlige ordning, jf. litra b.
Ligeledes skal dokumenterede svagheder hos tredjepartsudbyderen af it-tjenester, som vedrører dennes samlede it-risikostyring, og navnlig i den måde, hvorpå denne garanterer tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, hvad enten det drejer sig om personoplysninger eller på anden måde følsomme data eller andre oplysninger end personoplysninger, kunne lægges til grund for opsigelse af den kontraktlige ordning, jf. litra c. Til sidst skal den kontraktlige ordning kunne opsiges, såfremt Finanstilsynet ikke længere kan føre effektivt tilsyn med den finansielle enhed som følge af betingelserne eller omstændighederne vedrørende de respektive kontraktlige ordninger.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den kontraktlige ordning ikke kan opsiges på baggrund af de af artikel 28, stk. 7, oplistede situationer.
Artikel 28, stk. 8, omhandler exitstrategier. Den finansielle enhed skal indføre exitstrategier for it-tjenester, der understøtter kritiske eller vigtige funktioner.
Exitstrategierne skal tage højde for de risici, der kan opstå hos tredjepartsudbydere af it-tjenester, navnlig mulige svigt fra deres side, en forringelse af kvaliteten af de leverede it-tjenester, eventuelle driftsforstyrrelser som følge af uhensigtsmæssig eller manglende levering af it-tjenester eller eventuelle væsentlige risici i forbindelse med en passende og løbende anvendelse af de pågældende it-tjenester eller opsigelse af kontraktlige ordninger med tredjepartsudbydere af it-tjenester i en af de i artikel 28, stk. 7, anførte situationer.
Den finansielle enhed skal sikre, at de kan opsige den kontraktlige ordning uden at deres forretningsaktivitet afbrydes, jf. litra a, uden at efterlevelsen af de forskriftsmæssige krav begrænses, jf. litra b og uden at kontinuiteten og kvaliteten af de leverede tjenester til kunder lider skade, jf. litra c.
Ligeledes skal exitstrategierne være i overensstemmelse med kriterierne i artikel 4, stk. 2, om proportionalitet, samt være omfattende og veldokumenterede.
Der skal desuden være udarbejdet overgangsplaner, der kan fratage tredjepartsudbyderen af it-tjenester de udliciterede it-tjenester og de relevante data og sikkert og fuldstændigt kan overføre disse til alternative udbydere eller på ny indarbejde dem internt. Den finansielle enhed skal derudover identificere alternative løsninger.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke har sikret sig at indføre en exitstrategi i tilfælde af, at en kontrakt ordning med en tredjepartsudbyder af it-tjenester opsiges.
Artikel 29, stk. 1, omhandler foreløbig vurdering af it-koncentrationsrisiko på enhedsniveau. Bestemmelsen fastsætter krav, som den finansielle enhed skal tage hensyn til ved identifikation og vurdering af risici i forbindelse med en kontraktlige ordning, herunder muligheden for, at en kontraktlig ordning kan bidrage til at øge it-koncentrationsrisikoen. Ved indgåelse af en kontraktlig ordning i forbindelse med it-tjenester, der understøtter kritiske eller vigtige funktioner, tager den finansielle enhed hensyn til udlicitering til en tredjepartsudbyder af it-tjenester, som ikke er let at erstatte, jf. litra a og indgåelse af flere kontraktlige ordninger om levering af it-tjenester, der understøtter kritiske eller vigtige funktioner, med den samme tredjepartsudbyder af it-tjenester eller med tredjepartsudbydere af it-tjenester, som har tætte forbindelser til denne, jf. litra b.
Den finansielle enhed skal i medfør af bestemmelsen afveje fordele og omkostninger ved alternative løsninger, såsom brug af forskellige tredjepartsudbydere af it-tjenester under hensyntagen til, hvorvidt og hvordan de påtænkte løsninger svarer til de forretningsmæssige behov og mål, der er fastsat i deres strategi for digital modstandsdygtighed.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består i, at den finansielle enhed har taget hensyn til udliciteringen til en tredjepartsudbyder af it-tjenester, som ikke er lette at erstatte, ved indgåelsen af en kontraktlig ordning om it-tjenester der understøtter kritiske eller vigtige funktioner.
I medfør af artikel 29, stk. 2, skal den finansielle enhed i tilfælde af, at den kontraktlige ordning for brug af it-tjenester med en tredjepartsudbyder, kan komme videre i underentreprise med hjemsted i tredjeland, overveje de fordele og risici, der kan opstå i forbindelse med underentreprisen, særligt hvis it-tjenesten understøtter kritiske eller vigtige funktioner.
Den finansielle enhed skal tage hensyn til de bestemmelser i insolvensretten, som finder anvendelse, hvis tredjepartsudbyderen af it-tjenester går konkurs, samt eventuelle begrænsninger, der kan opstå i forbindelse med en hastende genopretning af den finansielle enheds data, såfremt den kontraktlige ordning vedrører it-tjenester, der understøtter kritiske eller vigtige funktioner.
Den finansielle enhed tager derudover hensyn til overholdelsen af Unionens databeskyttelsesregler og en effektiv håndhævelse af retten i det pågældende tredjeland, såfremt der er indgået kontraktlige ordninger for brug af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, med en tredjepartsudbyder af IKT-tjenester med hjemsted i et tredjeland.
Til sidst vurderer den finansielle enhed hvorvidt og hvordan potentielt lange eller komplekse underentreprisekæder kan påvirke deres evne til fuldt ud at overvåge de udliciterede funktioner og den kompetente myndigheds evne til i denne henseende at føre effektivt tilsyn med den finansielle enhed, såfremt den kontraktlige ordning for brugen af IKT-tjenester, understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ved indgåelse af kontraktlige ordninger med en tredjepartsudbyder af it-tjenester, der understøtter kritiske funktioner, ikke er foretaget en afvejning af fordele og risici, såfremt tredjepartsudbyderen giver it-tjenesterne videre til en underentreprise med hjemsted i udlandet.
Artikel 30 omhandler centrale kontrakts bestemmelser.
Artikel 30, stk. 1, fastsætter at rettigheder og forpligtelser mellem den finansielle enhed og tredjepartsudbyderen skal fordeles klart og fastlægges skriftligt. Serviceniveauaftaler skal være omfattet af den samlede kontrakt og dokumenteres i ét skriftligt dokument. Parterne skal have adgang til dokumentet i papir, eller i et andet varigt og permanent format, der kan downloades.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke tager højde for, at rettighederne og forpligtelserne mellem parterne skal nedfattes skriftligt og have varig karakter, som enten kan tilgås på papir eller i et format, der kan downloades.
Artikel 30, stk. 2, fastsætter en række minimumskrav til den kontraktlige ordning for brugen af it-tjenester.
Den kontraktlige ordning skal sikre en klar og fuldstændig beskrivelse af alle funktioner og it-tjenester, som tredjepartsudbyderen af it-tjenester skal levere, med angivelse af, om underentreprise af en it-tjeneste, der understøtter en kritisk eller vigtig funktion eller væsentlige dele heraf er tilladt, og, hvis det er tilfældet, de betingelser, der gælder for en sådan underentreprise, jf. litra a.
De steder, navnlig de regioner eller lande, hvor de udliciterede funktioner og it-tjenester eller funktionerne og it-tjenesterne i underentreprise skal leveres, og hvor data skal behandles, herunder lagringsstedet, og kravet om, at tredjepartsudbyderen af it-tjenester på forhånd skal underrette den finansielle enhed, hvis den har planer om at ændre disse steder, jf. litra b.
Den kontraktlige ordning skal ligeledes indeholde bestemmelser om tilgængelighed, autenticitet, integritet og fortrolighed med hensyn til databeskyttelse, herunder personoplysninger, jf. litra c.
Bestemmelser om sikring af adgang, genopretning og tilbagesendelse i et lettilgængeligt format af personoplysninger og andre data end personoplysninger, der behandles af den finansielle enhed, i tilfælde af insolvens, afvikling eller afbrydelse af de forretningsaktiviteter, som tredjepartsudbyderen af it-tjenester varetager, eller i tilfælde af opsigelse af de kontraktlige ordninger skal medtages i den kontraktlige ordning, jf. litra d.
Den kontraktlige ordning skal derudover indeholde beskrivelser af serviceniveauet, herunder ajourføringer og revisioner heraf, jf. litra e.
Forpligtelsen for tredjepartsudbyderen af it-tjenester til at yde bistand til den finansielle enhed uden yderligere omkostninger eller til en omkostning, der fastsættes på forhånd, hvis der opstår en IKT-hændelse, der vedrører den it-tjeneste, som leveres til den finansielle enhed skal også indgå i den kontraktlige ordning, jf. litra f.
Derudover skal den finansielle enhed medtage forpligtelsen for tredjepartsudbyderen af it-tjenester til at samarbejde fuldt ud med den finansielle enheds kompetente myndigheder og afviklingsmyndigheder, herunder personer, som de har udpeget, jf. litra g og opsigelsesrettigheder og dertil knyttet minimumsfrister for opsigelse af de kontraktlige ordninger i overensstemmelse med de kompetente myndigheders og afviklingsmyndighedernes forventninger, jf. litra h.
Slutteligt skal betingelserne for deltagelse af tredjepartsudbydere af it-tjenester i den finansielle enheds programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed, jf. artikel 13, stk. 6, medtages i den kontraktlige ordning.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en kontrakt mellem den finansielle enhed og en tredjepartsudbyder af it-tjenester er mangelfuld og ikke på en klar og tilstrækkelig måde, omfatter de af artikel 30, stk. 2, omfattede minimumskrav til kontraktlige ordninger for brugen af it-tjenester som eksempelvis beskrivelserne af serviceniveauet, herunder ajourføringer og revisioner, jf. litra e og opsigelsesrettigheder, jf. litra h.
Artikel 30, stk. 3, fastsætter en række minimumskrav til den kontraktlige ordning for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner.
Den kontraktlige ordning skal sikre en fuldstændig beskrivelse af serviceniveauer, herunder ajourføringer og revisioner heraf, med præcise kvantitative og kvalitative præstationsmål inden for de aftalte serviceniveauer, således at den finansielle enhed kan foretage en effektiv overvågning af it-tjenester, og således at der uden unødigt ophold kan træffes passende afhjælpende foranstaltninger, når de aftalte serviceniveauer ikke overholdes, jf. litra a.
Den kontraktlige ordning skal derudover omfatte opsigelsesfrister og indberetningsforpligtelser for tredjepartsudbyderen af it-tjenester over for den finansielle enhed, herunder underretning om enhver udvikling, som kan have væsentlig indvirkning på, hvorvidt tredjepartsudbyderen af it-tjenester har evnen til effektivt at levere it-tjenester, der understøtter kritiske eller vigtige funktioner i overensstemmelse med de aftalte serviceniveauer, jf. litra b.
Artikel 30, stk. 3, litra c, fastsætter krav til tredjepartsudbyderen af it-tjenester om at gennemføre og teste beredskabsplaner og indføre it-sikkerhedsforanstaltninger, -værktøjer og -politikker, som giver et passende niveau af sikkerhed for, at den finansielle enhed kan foretage levering af tjenester i overensstemmelse med dens reguleringsramme.
Derudover skal den kontraktlige ordning omfatte en forpligtelse for tredjepartsudbyderen af it-tjenester til at deltage i og fuldt ud samarbejde om den finansielle enheds TLPT, som omhandlet i artikel 26 og 27, jf. litra d.
Den kontraktlige ordning skal desuden omfatte retten til løbende at overvåge det præstationsniveau, som tredjepartsudbyderen af it-tjenester leverer for den finansielle enhed, en udpeget tredjeparts og Finanstilsynet. Dette indebærer en uindskrænket ret til adgang, inspektion og revision og ret til at tage kopier af relevant dokumentation på stedet, hvis denne har afgørende betydning for tredjepartsudbyderen af it-tjenesters operationer, hvis faktiske udøvelse ikke hindres eller begrænses af andre kontraktlige ordninger eller gennemførelsespolitikker, jf. litra e, nr. i.
Dernæst fastsætter artikel 30, stk. 3, litra e, nr. ii-iv, retten til at nå til enighed om alternative sikkerhedsniveauer, hvis andre kunders rettigheder påvirkes, forpligtelsen for tredjepartsudbyderen af it-tjenester til fuldt ud at samarbejde under de inspektioner og revisioner på stedet, som de kompetente myndigheder, den ledende tilsynsførende, den finansielle enhed eller en udpeget tredjepart udfører og forpligtelsen til at give nærmere oplysninger om omfanget af, de procedurer, som skal følges, og hyppigheden af sådanne inspektioner og revisioner.
I medfør af artikel 30, stk. 3, litra f, skal den finansielle enhed ved en kontraktlig ordning sørge for at medtage exitstrategier, som indeholder en obligatorisk overgangsperiode. I løbet af denne overgangsperiode skal tredjepartsudbyderen af it-tjenester fortsat levere de respektive funktioner eller it-tjenester med henblik på at mindske risikoen for forstyrrelser i den finansielle enhed eller sikre en effektiv afvikling eller omstrukturering heraf. Exitstrategien skal også give den finansielle enhed mulighed for at migrere til en anden tredjepartsudbyder af it-tjenester eller skifte til interne løsninger, der stemmer overens med den leverede tjenestes kompleksitet.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at den finansielle enhed ikke formår at vedtage en exitstrategi i deres kontraktlige ordning som sikrer den finansielle enhed fortsat, får leveret de respektive funktioner af it-tjenester fra tredjepartsudbyderen.
Overtrædelser af MiCA og DORA-forordningen kan ske af både fysiske og juridiske personer. I de situationer, hvor ansvarssubjektet er en virksomhed, vil det være udgangspunktet, at tiltalen rejses mod den juridiske person. Der kan i en række tilfælde være anledning til – ud over tiltalen mod den juridiske person – tillige at rejse tiltale mod en eller flere fysiske personer, hvis den eller de pågældende har handlet forsætligt eller udvist grov uagtsomhed. For virksomheder under stiftelse vil ansvarssubjektet være de personer, der stifter virksomheden, da en virksomhed under stiftelse ikke kan være ansvarssubjekt.
Bødeniveauet tiltænkes fastsat i overensstemmelse med § 372, stk. 12, i lov om finansiel virksomhed. Det fremgår heraf, at der ved udmåling af bøder lægges vægt på overtrædelsens grovhed og gerningsmandens økonomiske forhold. For overtrædelser begået af juridiske personer, lægges ved vurderingen af gerningsmandens økonomiske forhold vægt på virksomhedens nettoårsomsætning på gerningstidspunktet. For overtrædelser begået af fysiske personer, lægges vægt på den pågældendes indtægtsforhold på gerningstidspunktet. Det er afgørende, at der ved strafudmålingen lægges vægt på de nævnte faktorer, således at bøder vil have en pønal og præventiv effekt på alle aktører på markedet, og således at det finansielle incitament til at overtræde bestemmelserne reduceres. Vurderingen af overtrædelsens grovhed bør foregå uafhængig af gerningsmandens økonomiske forhold.
Til nr. 16 (§ 275, stk. 1, nr. 9 og 10, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter)
Den gældende § 275, stk. 1, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter, indeholder en klageadgang til Erhvervsankenævnet for den, som en afgørelse truffet af Finanstilsynet eller Erhvervsstyrelsen retter sig til. Bestemmelsen nævner bl.a. afgørelser truffet af Finanstilsynet eller Erhvervsstyrelsen i henhold til lov om fondsmæglerselskaber og investeringsservice og -aktiviteter og en række EU-retsakter på det finansielle område.
Det foreslås i § 275, stk. 1, nr. 9, at indsætte en henvisning til Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf.
Det foreslås i § 275, stk. 1, nr. 10, at indsætte en henvisning til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Det foreslåede vil medføre, at afgørelser truffet af Finanstilsynet i medfør af MiCA og regler udstedt i medfør heraf samt DORA-forordningen og regler udstedt i medfør heraf kan indbringes for Erhvervsankenævnet senest 4 uger efter, at afgørelsen er meddelt den pågældende, som afgørelsen retter sig til.
Til nr. 17 (§ 276, nr. 9 og 10, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter)
Den gældende § 276 i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter er en generel bemyndigelsesbestemmelse, der giver erhvervsministeren bemyndigelse til at fastsætte regler, som er nødvendige for at anvende eller gennemføre de afgørelser eller retsakter, som vedtages af Kommissionen i medfør af en række direktiver og forordninger.
Artikel 139 i MiCA tillægger Europa-Kommissionen beføjelser til at udstede en række delegerede retsakter.
Det foreslås i § 276, stk. 1, nr. 9, at indsætte en henvisning til Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
Det foreslås i § 276, stk. 1, nr. 10, at indsætte en henvisning til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Det foreslåede vil medføre, at erhvervsministeren bemyndiges til at fastsætte regulering på de områder, hvor det som følge af delegerede retsakter, udstedt i medfør af DORA-forordningen eller MiCA, måtte være nødvendigt.
Til nr. 1 (fodnoten til lov om forvaltere af alternative investeringsfonde m.v.)
Fodnoten til lov om forvaltere af alternative investeringsfonde m.v. indeholder en oplistning af de direktiver, der er helt eller delvist gennemført ved loven.
Det foreslås i fodnoten til lov om forvaltere af alternative investeringsfonde m.v. at indsætte, at der med denne lov foretages en gennemførelse af dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022 om ændring af direktiv 2009/65/EF, 2009/138/EF, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 og (EU) 2016/2341 for så vidt angår digital operationel modstandsdygtighed i den finansielle sektor, idet lovforslaget implementerer de dele af direktivet i lov om forvaltere af alternative investeringsfonde m.v., der omfatter forvaltere af alternative investeringsfonde. Det drejer sig om artikel 3 i direktivet, der fastsætter ændringer til Europa-Parlamentets og Rådets direktiv 2011/61/EU af 8. juni 2011 om forvaltere af alternative investeringsfonde.
Direktivet er et følgedirektiv til DORA-forordningen. Med nærværende lovforslag vil Finanstilsynet også blive udpeget som kompetent myndighed efter forordningen til at føre tilsyn med forvaltere af alternative investeringsfondes overholdelsen af forordningen. Der henvises til lovforslagets § 5, nr. 4.
Til nr. 2 (§ 8, stk. 6, i lov om forvaltere af alternative investeringsfonde m.v.)
Den gældende § 8, stk. 1, i lov om forvaltere af alternative investeringsfonde m.v. fastslår hvilke aktiviteter, en forvalter med tilladelse til at forvalte alternative investeringsfonde, og som ikke er selvforvaltende, må udføre. Det følger af bestemmelsen, at forvaltere, som ikke er selvforvaltende, ikke må udføre andre aktiviteter end dem, der er omhandlet i bilag 1, nr. 1 og 2, jf. dog stk. 2 og 3. Afgrænsningen i bestemmelsen indebærer, at en forvalter af alternative investeringsfonde efter gældende ret ikke må udføre investeringstjenester eller accessoriske tjenesteydelser med kryptoaktiver.
Det foreslås at indsætte § 8, stk. 6, hvorefter en forvalter af alternative investeringsfonde kan levere tjenester med kryptoaktiver som angivet i artikel 60, stk. 5, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, svarende til de tjenester, som der specifikt er meddelt tilladelse til i henhold til denne lov, hvis forvalteren giver Finanstilsynet meddelelse mindst 40 arbejdsdage, inden disse tjenester leveres første gang. Meddelelsen skal ledsages af de oplysninger, der er anført i artikel 60, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
Det foreslåede vil medføre, at en forvalter af alternative investeringsfonde fremadrettet må udbyde aktiviteter som angivet i artikel 60, stk. 5, i MiCA, hvis forvalteren lever op til betingelserne i artikel 60, stk. 7, i MiCA.
Den foreslåede bestemmelse er en følge af MiCA artikel 60, stk. 5, der fastsætter, at en forvalter af alternative investeringsfonde skal kunne udføre disse aktiviteter, såfremt betingelserne angivet i bestemmelsen er opfyldt.
En forvalter af alternative investeringsfonde er ikke forpligtet til at ansøge om tilladelse til at udbyde kryptoaktivtjenester, jf. artikel 59, stk. 1, litra b, i MiCA.
Den foreslåede bestemmelse vil fastlægge, at Finanstilsynet er kompetent myndighed til at vurdere en underretning efter artikel 60, stk. 8, i MiCA.
En forvalter af alternative investeringsfonde må ikke begynde at levere kryptoaktivtjenester, så længe meddelelsen er ufuldstændig.
Retten til at levere kryptoaktivtjenester vil blive ophæve ved inddragelsen af den tilladelse, der gav en forvalter af alternative investeringsfonde mulighed for at levere kryptoaktivtjenester uden at skulle indhente en tilladelse i henhold til § 332 c i lov om finansiel virksomhed, jf. artikel 60, stk. 11, i MiCA.
Bestemmelsen vil supplere artikel 60, stk. 5, i MiCA.
Til nr. 3 (§ 27, stk. 2, nr. 6, i lov om forvaltere af alternative investeringsfonde m.v.)
Det fremgår af § 27, stk. 2, nr. 6, at en forvalter, under hensyntagen til karakteren af de forvaltede alternative investeringsfonde, skal have effektive former for virksomhedsstyring, herunder betryggende kontrol- og sikringsforanstaltninger på it-området. Bestemmelsen gennemfører dele af artikel 18, stk. 1, i Europa-Parlamentets og Rådets direktiv 2011/61/EU af 8. juni 2011 om forvaltere af alternative investeringsfonde.
DORA-forordningen fastsætter ensartede krav til sikkerheden i de net- og informationssystemer, der understøtter finansielle enheders forretningsprocesser.
Det foreslås i § 27, stk. 2, nr. 6, efter »it-området« at indsætte: », inklusiv for net- og informationssystemer, der oprettes og styres i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.
Den foreslåede bestemmelse vil medføre, at en forvalter af alternative investeringsfonde også skal have betryggende kontrol- og sikringsforanstaltninger hvad angår net- og informationssystemer, der oprettes og styres i overensstemmelse med DORA-forordningen.
Ved net- og informationssystem forstås enhver it-infrastruktur, herunder teleinfrastruktur, it-aktiver, teknologier og enheder, der anvendes til lagring, behandling, overførsel eller anden brug af digitale data samt de digitale data, der indgår i ovenstående.
Den foreslåede ændring vil gennemføre artikel 3, nr. 1, i Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022, der ændrer i artikel 18, stk. 1, i Europa-Parlamentets og Rådets direktiv 2011/61/EU af 8. juni 2011 om forvaltere af alternative investeringsfonde.
Overtrædelse af § 27, stk. 2, nr. 6, kan straffes med bøde eller fængsel indtil 4 måneder, medmindre højere straf er forskyldt efter anden lovgivning, jf. den foreslåede ændring af § 190, stk. 1, i lov om forvaltere af alternative investeringsfonde m.v., jf. lovforslagets § 5, nr. 8. Ansvarssubjektet i forhold til overtrædelse af lovforslagets § 27, stk. 2, er en forvalter af alternative investeringsfonde. Det betyder, at hvis en forvalter ikke opfylder de i nr. 1-7 oplistede krav, herunder betryggende kontrol- og sikringsforanstaltninger på it-området, jf. nr. 6, vil forvalteren kunne straffes med bøde eller fængsel.
Med den foreslåede ændring vil en forvalter også kunne straffes med bøde eller fængsel, hvis forvalteren ikke har betryggende kontrol- og sikringsforanstaltninger hvad angår net- og informationssystemer, der oprettes og styres i overensstemmelse med DORA-forordningen. Der henvises i øvrigt til lovforslagets § 5, nr. 9, og bemærkningerne hertil.
Til nr. 4 (§ 155, stk. 1, 6. pkt., i lov om forvaltere af alternative investeringsfonde m.v.)
Den gældende § 155, stk. 1, i lov om forvaltere af alternative investeringsfonde m.v. fastlægger blandt andet Finanstilsynets forpligtelse til at påse overholdelsen af en række europæiske retsakter. Det indebærer, at Finanstilsynet kan give påtaler, påbud, m.v. for overtrædelse af de oplistede retsakter.
Det foreslås i § 155, stk. 1, 6. pkt., at Finanstilsynet endvidere påser overholdelsen af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.
Det foreslåede vil medføre, at Finanstilsynet udpeges i henhold til artikel 93, stk. 1, i MiCA, som den kompetente myndighed, der er ansvarlig for at udføre de i MiCA fastsatte funktioner og opgaver.
Kommissionen er i medfør af artikel 139 i MiCA bemyndiget til at udstede delegerede retsakter, som Finanstilsynet i medfør af den foreslåede bestemmelse også vil skulle føre tilsyn med.
Den foreslåede ændring vil ligeledes medføre, at Finanstilsynet bliver udpeget som kompetent myndighed til at påse overholdelsen af DORA-forordningen.
DORA-forordningen finder bl.a. anvendelse på forvaltere af alternative investeringsfonde, jf. artikel 2, stk. 1, litra k. Forordningen finder dog ikke anvendelse på forvaltere af alternative investeringsfonde, der har registreret hjemsted i Danmark, som ikke er omfattet af forpligtelsen til at søge om tilladelse som forvalter af alternative investeringsfonde, jf. § 6, stk. 1, og som ikke har valgt frivilligt at søge en sådan tilladelse til at forvalte alternative investeringsfonde (registrerede forvaltere af alternative investeringsfonde), jf. § 1, stk. 4, i lov om alternative investeringsfonde m.v., jf. artikel 2, stk. 3, litra a, i DORA-forordningen.
I forbindelse med udførelsen af sit tilsyn får Finanstilsynet bl.a. mulighed for at kræve alle oplysninger m.v., som Finanstilsynet skønner nødvendige for Finanstilsynets virksomhed eller til afgørelse af, om der er sket en overtrædelse af forordningen, jf. § 161 i lov om forvaltere af alternative investeringsfonde m.v.
Finanstilsynet vil med bestemmelsen bl.a. også få mulighed for at give påbud og påtaler for overtrædelser af forordningerne, jf. § 155.
Efter artikel 46, litra i, i DORA-forordningen skal den kompetente myndighed, der er udpeget i medfør af Europa-Parlamentets og Rådets direktiv 2011/61/EU af 8. juni 2011 om forvaltere af alternative investeringsfonde, sikre overholdelsen af DORA-forordningen for forvaltere af alternative investeringsfonde.
Bestemmelsen vil supplere artikel 46, litra i, i DORA-forordningen.
Til nr. 5 (§ 170, stk. 7, nr. 29, i lov om forvaltere af alternative investeringsfonde m.v.)
I medfør af § 170, stk. 1, i lov om forvaltere af alternative investeringsfonde er Finanstilsynets ansatte under ansvar efter straffelovens §§ 152-152 e forpligtet til at hemmeligholde fortrolige oplysninger, som de får kendskab til gennem tilsynsvirksomheden.
§ 170, stk. 7, fastsætter til hvem og i hvilke tilfælde, Finanstilsynet kan videregive fortrolige oplysninger.
I medfør af § 170, stk. 7, har Finanstilsynet ikke mulighed for at videregive oplysninger til Center for Cybersikkerhed, Den Fælles Afviklingsinstans (SRB) eller Den Europæiske Unions Agentur for Cybersikkerhed (ENISA).
Det foreslås at indsætte § 170, stk. 7, nr. 29, hvorefter Finanstilsynet kan videregive oplysninger til myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.
Med den foreslåede bestemmelse, vil det bl.a. blive muligt for Finanstilsynet at videregive fortrolige oplysninger til Center for Cybersikkerhed, SRB og ENISA.
Når Finanstilsynet modtager en indberetning om en større it-relateret hændelse fra en forvalter af alternative investeringsfonde, jf. artikel 19, stk. 1, 1. pkt., i DORA-forordningen, skal Finanstilsynet alt efter hvad der er relevant, rettidigt forelægge nærmere oplysninger om hændelsen til nationale og EU-retlige myndigheder og organer, jf. artikel 19, stk. 6, i DORA-forordningen.
Artikel 19, stk. 6, nævner bl.a. de centrale kontaktpunkter eller CSIRT’er, der er udpeget eller oprettet i overensstemmelse med NIS 2-direktivet, dvs. Center for Cybersikkerhed. Bestemmelsen nævner også SRB for så vidt angår de enheder eller koncerner, der er omhandlet i henholdsvis artikel 7, stk. 2, artikel 7, stk. 4, litra b, og artikel 7, stk. 5, i Europa-Parlamentets og Rådets forordning (EU) nr. 806/2014 af 15. juli 2014 om ensartede regler og en ensartet procedure for afvikling af kreditinstitutter og visse investeringsselskaber inden for rammerne af en fælles afviklingsmekanisme og en fælles afviklingsfond, bl.a. pengeinstitutter, der er underlagt tilsyn af Den Europæiske Centralbank, hvis sådanne oplysninger vedrører hændelser, der udgør en risiko for sikringen af kritiske funktioner, jf. artikel 2, stk. 1, nr. 35, i direktiv 2014/59/EU Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 om et regelsæt for genopretning og afvikling af kreditinstitutter og investeringsselskaber (BRRD).
En underretning om større it-relaterede hændelser til SRB kan eksempelvis blive relevant, hvor en hændelse kan få systemiske konsekvenser og dermed også konsekvenser for virksomheder, der er omfatter af Den Fælles Afviklingsmekanisme.
For så vidt angår videregivelse af fortrolige oplysninger til ENISA kan dette bl.a. blive relevant i de tilfælde, hvor hændelsesindberetninger til Finanstilsynet videreformidles i forbindelse med det samarbejde, der bliver iværksat på tværs af de nationale og europæiske finansielle tilsynsmyndigheder og afviklingsmyndigheder, SRB og ENISA i henhold til artikel 49 i DORA-forordningen. Samarbejdet i henhold til artikel 49 går ud på udveksling af effektive fremgangsmåder på tværs af den finansielle sektor for at forbedre situationskendskabet og identificere fælles cybersårbarheder og risici på tværs af sektorer.
Til nr. 6 (§ 171, stk. 1, 9-11. pkt., i lov om forvaltere af alternative investeringsfonde m.v.)
§ 171, stk. 1, i lov om forvaltere af alternative investeringsfonde m.v. fastsætter regler om offentliggørelse af reaktioner, som Finanstilsynets bestyrelse har truffet beslutning om, eller som Finanstilsynet har givet efter delegation fra Finanstilsynets bestyrelse.
Bestemmelsen regulerer derimod ikke det tilfælde, hvor det alene er Finanstilsynet, der har truffet en afgørelse om at give en reaktion til en virksomhed omfattet af loven, uden at der er tale om en delegation fra Finanstilsynets bestyrelse.
I medfør af § 171, stk. 1, 2. pkt., skal en virksomhed, der har modtaget en reaktion, som Finanstilsynets bestyrelse har truffet beslutning om, eller som Finanstilsynet har givet efter delegation fra Finanstilsynets bestyrelse, offentliggøre oplysningerne herom på sin eventuelle hjemmeside på et sted, hvor de naturligt hører hjemme. Finanstilsynet skal også offentliggøre reaktionen på Finanstilsynets hjemmeside i medfør af § 171, stk. 1, 6. pkt.
Det følger af § 189, at afgørelser truffet af Finanstilsynet i henhold til lov om forvaltere af alternative investeringsfonde m.v. og en række retsakter kan indbringes for Erhvervsankenævnet.
Det foreslås i § 171, stk. 1, 9. pkt., at reaktioner givet i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor skal offentliggøres på Finanstilsynets hjemmeside med angivelse af forvalterens navn, jf. dog stk. 4
Med den foreslåede ændring vil Finanstilsynet skulle offentliggøre reaktioner, der er givet af Finanstilsynet til en virksomhed for en overtrædelse af DORA-forordningen, uden at dette er sket efter en delegation fra Finanstilsynets bestyrelse. Ved reaktioner forstås f.eks. påbud eller påtaler. Reaktionen skal offentliggøres på Finanstilsynets hjemmeside. Derimod er virksomheden ikke selv forpligtet til at offentliggøre reaktionen. Virksomheden vil kun være forpligtet til at offentliggøre reaktionen, hvis bestyrelsen, eller Finanstilsynet efter delegation fra bestyrelsen, har truffet beslutning herom, i henhold til DORA-forordningen, jf. § 171, stk. 1, 1. pkt.
Det foreslås i § 171, stk. 1, 10. og 11. pkt., at hvis en reaktion givet i henhold til 1. pkt. eller 8. pkt. indbringes for Erhvervsankenævnet eller domstolene, skal det fremgå af Finanstilsynets offentliggørelse. Sagens status og resultatet af Erhvervsankenævnets eller domstolenes afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt.
Med bestemmelsen vil det både skulle fremgå af Finanstilsynets offentliggørelse, hvis en reaktion givet af Finanstilsynets bestyrelse, af Finanstilsynet efter delegation fra bestyrelsen, eller af Finanstilsynet i henhold til DORA-forordningen indbringes for Erhvervsankenævnet eller domstolene.
Offentliggørelsen vil skulle ske i naturlig sammenhæng med den offentliggørelse, som Finanstilsynet tidligere har foretaget.
I medfør af 10. pkt. vil Finanstilsynet desuden skulle tilføje oplysninger om status og det efterfølgende resultat af Erhvervsankenævnets eller domstolenes afgørelse til Finanstilsynets offentliggørelse. Status kan eksempelvis være, at parten efterfølgende trækker sin klage tilbage, eller at sagen afvises, hvorimod oplysninger om status quo ikke skal offentliggøres. Status for forløbet under sagens behandling i Erhvervsankenævnet vil heller ikke skulle offentliggøres. Det omfatter eksempelvis anmodning om processkrifter m.v.
Indbringes en afgørelse for Erhvervsankenævnet, vil Finanstilsynet blive orienteret herom af Erhvervsankenævnet. Finanstilsynet vil herefter – i de tilfælde hvor den indbragte afgørelse er offentliggjort i medfør af § 171, stk. 1 – offentliggøre oplysninger om afgørelsens indbringelse. Finanstilsynets offentliggørelse heraf skal som udgangspunkt ske inden for 1 til 2 hverdage.
Finanstilsynets offentliggørelse vil skulle ske på Finanstilsynets hjemmeside dér, hvor Finanstilsynet tidligere har offentliggjort reaktionen i henhold til DORA-forordningen efter § 171, stk. 1, 6. pkt., eller efter forslaget til nyt stk. 1, 8. pkt. Oplysningen om, at sagen er indbragt for Erhvervsankenævnet, skal fremgå tydeligt.
Finanstilsynet vil desuden skulle offentliggøre det endelige udfald af sagen. Det indebærer ikke, at Finanstilsynet skal offentliggøre Erhvervsankenævnets kendelser i sin helhed. Disse offentliggøres af Erhvervsankenævnet.
Den foreslåede ændring vil også gennemføre artikel 54, stk. 1, i DORA-forordningen, hvormed de kompetente myndigheder uden unødigt ophold på deres officielle websteder skal offentliggøre enhver afgørelse om at pålægge en administrativ sanktion, som ikke kan påklages, efter at modtageren af sanktionen er blevet underrettet om afgørelsen. En administrativ sanktion kan bl.a. kan være et påbud eller en påtale.
Det fremgår dog videre af artikel 54, stk. 5, i DORA-forordningen, at hvis den kompetente myndighed offentliggør en afgørelse om at pålægge en administrativ sanktion, der kan indbringes for de relevante judicielle myndigheder, lægger de kompetente myndigheder straks denne oplysning på deres officielle websted sammen med eventuelle efterfølgende oplysninger om resultatet af denne indbringelse på et senere tidspunkt. En judiciel afgørelse, som annullerer en afgørelse om at pålægge en administrativ sanktion, skal også offentliggøres.
For nærmere om § 171 og offentliggørelse henvises der i det hele til de specielle bemærkningerne til § 171, tidligere § 170, jf. Folketingstidende 2012-2013, tillæg A, L 175 som fremsat, side 186-189.
Til nr. 7 (§ 189 i lov om forvaltere af alternative investeringsfonde m.v.)
Den gældende § 189, stk. 1, i lov om forvaltere af alternative investeringsfonde m.v. indeholder en klageadgang til Erhvervsankenævnet for den, som en afgørelse truffet af Finanstilsynet retter sig mod. Bestemmelsen nævner bl.a. afgørelser truffet af Finanstilsynet i medfør af lov om forvaltere af alternative investeringsfonde og en række EU-retsakter på det finansielle område.
Det foreslås i § 189 at ændre »tjenesteydelser eller« til: »tjenesteydelser,« og efter » bæredygtige investeringer « indsættes:», Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver eller Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
Det foreslåede vil medføre, at afgørelser truffet af Finanstilsynet i medfør af DORA-forordningen eller MiCA og regler udstedt i medfør af disse forordninger kan indbringes for Erhvervsankenævnet senest 4 uger efter, at afgørelsen er meddelt den, som afgørelsen retter sig til.
Til nr. 8 (§ 190, stk. 1, i lov om forvaltere af alternative investeringsfonde m.v.)
Den gældende § 190, stk. 1, i lov om forvaltere af alternative investeringsfonde m.v. fastsætter, at overtrædelser af lovens bestemmelser og en række EU-retsakter kan straffes med bøde eller fængsel indtil fire måneder, medmindre højere straf er forskyldt efter den øvrige lovgivning.
Det foreslås i § 190, stk. 1, efter »om europæiske sociale iværksætterfonde« at indsætte »og artikel 59, stk. 1, artikel 60, stk. 5, artikel 70, stk. 1-4 og artikel 72, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«.
Det foreslåede vil medføre, at overtrædelse af artikel 59, stk. 1, artikel 60, stk. 5, artikel 70, stk. 1-4 og artikel 72, stk. 1, i MiCA straffes med bøde eller fængsel indtil fire måneder, medmindre højere straf er forskyldt efter den øvrige lovgivning.
Artikel 59, stk. 1, i MiCA omhandler tilladelseskrav til at udbyde kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af bestemmelsen er enhver fysisk eller juridisk person, der udbyder kryptoaktivtjenester uden den nødvendige tilladelse. Den strafbare handling består i at udbyde kryptoaktivtjenester uden enten at være meddelt tilladelse efter artikel 63 eller uden at have tilladelse til at levere kryptoaktivtjenester efter artikel 60 i MiCA.
Artikel 60, stk. 5, i MiCA fastsætter krav om underretning af Finanstilsynet, førend forvaltere af alternative investeringsfonde kan levere kryptoaktivtjenester svarende til forvaltning af porteføljer af investeringstjenester og accessoriske tjenesteydelser, som det specifikt er meddelt tilladelse til. Ansvarssubjektet for overtrædelsen af bestemmelserne er forvaltere af alternative investeringsfonde. Den strafbare handling består eksempelvis i, at en forvalter af alternative investeringsfonde påbegynder levering af en kryptoaktivtjeneste, uden at have underrettet Finanstilsynet med de oplysninger, der er anført i artikel 60, stk. 7, mindst 40 arbejdsdage inden forvalteren leverer disse tjenester første gang.
Artikel 70, stk. 1-4, i MiCA omhandler krav vedrørende opbevaring af kunders kryptoaktiver og midler. Ansvarssubjektet for overtrædelse af bestemmelserne er en forvalter af alternative investeringsfonde, der udbyder kryptoaktivtjenester efter artikel 60, stk. 5, i MiCA. Den strafbare handling består eksempelvis i, at forvaltere af alternative investeringsfonde, der opbevarer kryptoaktiver på vegne af deres kunder, ikke træffer passende foranstaltninger til at forhindre, at kundernes kryptoaktiver anvendes til handel for deres egen regning.
Artikel 72, stk. 1, i MiCA fastsætter krav om effektive politikker og procedurer til identificering, forebyggelse, håndtering og oplysning om interessekonflikter. Ansvarssubjektet for overtrædelse af bestemmelserne er en forvalter af alternative investeringsfonde, der udbyder kryptoaktivtjenester efter artikel 60, stk. 5, i MiCA. Den strafbare handling består eksempelvis i, at en forvalter af alternative investeringsfonde ikke opretholder og anvender effektive politikker til at identificere mellem dem selv og personerne opregnet i artikel 72, stk. 1, litra a-e.
Den foreslåede bestemmelse vil supplere artikel 111, stk. 1, 2. afsnit, i MiCA.
Til nr. 9 (§ 190, stk. 2, i lov om forvaltere af alternative investeringsfonde m.v.)
Den gældende § 190, stk. 2, fastsætter, at overtrædelser af lovens bestemmelser og en række EU-retsakter kan straffes med bøde, medmindre højere straf er forskyldt efter den øvrige lovgivning.
Det foreslås i § 190, stk. 2, efter »om pengemarkedsforeninger« at indsætte »samt artikel 64, stk. 8, artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, og artikel 81, stk. 1-14, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
Det foreslåede vil medføre, at overtrædelse af de oplistede artikler straffes med bøde, medmindre højere straf er forskyldt efter den øvrige lovgivning.
I det følgende redegøres for de nævnte artikler i MiCA.
Artikel 64, stk. 8, i MiCA regulerer udbydere af kryptoaktivtjenesters forpligtigelse til at sikre overførelse af deres kunders kryptoaktiver og midler i tilfælde af, at udbyderens tilladelse bliver inddraget. Ansvarssubjektet for overtrædelse af bestemmelserne er en forvalter af alternative investeringsfonde, der udbyder kryptoaktivtjenester efter artikel 60, stk. 5, i MiCA. Den strafbare handling består eksempelvis i, at en forvalter af alternative investeringsfonde ikke har passende procedurer for, hvorledes kryptoaktiver som opbevares på vegne af forvalterens kunder, vil blive overført til en anden udbyder af kryptoaktivtjenester, i tilfælde af inddragelse af forvalterens tilladelse.
Artikel 65, stk. 4, i MiCA omhandler oplysningskrav ved grænseoverskridende levering af kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af bestemmelserne er en forvalter af alternative investeringsfonde, der udbyder kryptoaktivtjenester efter artikel 60, stk. 5, i MiCA. Den strafbare handling består i, at en forvalter af alternative investeringsfonde påbegynder leveringen af kryptoaktivtjenester i en anden medlemsstat end Danmark inden 15 kalenderdage efter at have indgivet de oplysninger, der er omhandlet i artikel 65, stk. 1, eller inden at have modtaget den i artikel 65, stk. 2, omtalte meddelelse fra Finanstilsynet.
Artikel 66, stk. 1-5, i MiCA omhandler udbydere af kryptoaktivtjenesters forpligtelse til at handle ærligt, redeligt og professionelt i kundernes bedste interesse. Ansvarssubjektet for overtrædelse af bestemmelserne er en forvalter af alternative investeringsfonde, der udbyder kryptoaktivtjenester efter artikel 60, stk. 5, i MiCA. Den strafbare handling består eksempelvis i, at forvalter af alternative investeringsfonde giver sine kunder vildledende oplysninger.
Artikel 68, stk. 4-9, i MiCA omhandler kravene til ledelsesordninger og indretningen af udbydere af kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af artikel 68, stk. 4, 5 og 7-9 er en forvalter af alternative investeringsfonde, der udbyder kryptoaktivtjenester efter artikel 60, stk. 5, i MiCA. Ansvarssubjektet for overtrædelse af artikel 68, stk. 6, er ledelsesorganet hos en forvalter af alternative investeringsfonde. Den strafbare handling består eksempelvis i, at forvalteren ikke har vedtaget procedurer, som er tilstrækkelige til at sikre overholdelsen af MiCA. Det strafbare forhold kan endvidere bestå i, at ledelsesorganer hos en forvalter af alternative investeringsfonde ikke regelmæssigt vurderer og evaluerer effektiviteten af den politik og de ordninger og procedurer, der er indført for at opfylde forpligtelserne i artikel 66-83 i MiCA, herunder ikke træffer passende foranstaltninger til at afhjælpe eventuelle mangler i den henseende.
Artikel 69 i MiCA indebærer krav om at meddele Finanstilsynet eventuelle ændringer i ledelsesorganet hos en udbyder af kryptoaktivtjenester. Ansvarssubjektet for overtrædelse af bestemmelserne er en forvalter af alternative investeringsfonde, der udbyder kryptoaktivtjenester efter artikel 60, stk. 5, i MiCA. Den strafbare handling består eksempelvis i, at en forvalter af alternative investeringsfonde ikke giver Finanstilsynet alle oplysninger, som er nødvendige for Finanstilsynets vurdering af overholdelsen af artikel 68 i MiCA, inden nye medlemmer af ledelsesorganet tiltræder deres stilling.
Artikel 71, stk. 1-4, i MiCA fastsætter krav til udbydere af kryptoaktivtjenesters klagebehandlingsprocedurer. Ansvarssubjektet for overtrædelse af bestemmelserne er en forvalter af alternative investeringsfonde, der udbyder kryptoaktivtjenester efter artikel 60, stk. 5, i MiCA. Den strafbare handling består eksempelvis i, at en forvalter af alternative investeringsfonde kræver betaling af gebyr eller anden afgift i forbindelse med behandling af klager fra sine kunder.
Artikel 72, stk. 2-4, i MiCA fastsætter krav om effektive politikker og procedurer til identificering, forebyggelse, håndtering og oplysning om interessekonflikter. Ansvarssubjektet for overtrædelse af bestemmelserne er en forvalter af alternative investeringsfonde, der udbyder kryptoaktivtjenester efter artikel 60, stk. 5, i MiCA. Den strafbare handling består eksempelvis i, at en forvalter af alternative investeringsfonde ikke oplyser sine kunder og potentielle kunder om de skridt, forvalteren har taget for at begrænse interessekonflikter.
Artikel 73, stk. 2 og 3, i MiCA regulerer udbydere af kryptoaktivtjenesters outsourcing af tjenester eller aktiviteter til tredjeparter. Ansvarssubjektet for overtrædelse af bestemmelserne er en forvalter af alternative investeringsfonde, der udbyder kryptoaktivtjenester efter artikel 60, stk. 5, i MiCA. Den strafbare handling består eksempelvis i, at en forvalter af alternative investeringsfonde ikke træffer alle rimelige foranstaltninger for at undgå yderligere operationel risiko, eller at en forvalter af alternative investeringsfonde ikke sikrer, at betingelserne i artikel 73, stk. 1, litra a-g, til enhver tid er opfyldt.
Artikel 81, stk. 1-14, i MiCA fastsætter en række krav til udbydere af kryptoaktivtjenester, der yder rådgivning om kryptoaktiver og udbyder af kryptoaktivtjenester, som yder porteføljepleje af kryptoaktiver. Ansvarssubjektet for overtrædelse af bestemmelserne er en forvalter af alternative investeringsfonde, der yder porteføljepleje af kryptoaktiver. Den strafbare handling består eksempelvis i, at en forvalter af alternative investeringsfonde, der yder porteføljepleje af kryptoaktiver, undlader at advare sine kunder eller potentielle kunder om de forhold, som er oplistet i artikel 81, stk. 9, litra a-f.
Den foreslåede ændring vil supplere artikel 111, stk. 1, 2. afsnit, i MiCA.
I det følgende redegøres for de nævnte artikler i DORA-forordningen.
Med den foreslåede bestemmelse strafbelægges en række overtrædelser af DORA-forordningen i overensstemmelse med forordningens artikel 52, hvorefter medlemsstaterne kan beslutte ikke at fastsætte bestemmelser om administrative sanktioner eller afhjælpende foranstaltninger for overtrædelser, der er omfattet af strafferetlige sanktioner i henhold til national ret.
Nedenfor anføres en uddybende beskrivelse af indholdet af de enkelte artikler i DORA-forordningen, der vil blive strafbelagt med den foreslåede bestemmelse. Når der nedenfor henvises til finansielle enheder, menes der forvaltere af alternative investeringsfonde, jf. artikel 2, stk. 1, litra k, jf. artikel 2, stk. 2, i DORA-forordningen.
Artikel 5 indeholder regler om forvaltning og organisationen af en finansiel enheds it-risikostyring. Intern forvaltning og organisation af it-risikostyring omfatter fastlæggelsen og tilsynet af de foranstaltninger for it-risikostyring. En sikker forvaltning af risikostyringen sikrer et højt niveau af digital operationel modstandsdygtighed og bidrager til den finansielle stabilitet.
I medfør af artikel 5, stk. 1, skal en finansiel enhed have indført en intern forvaltnings og kontrolramme, der sikrer en effektiv og forsigtig styring af it-risiko, i overensstemmelse med artikel 6, stk. 4, der bl.a. fastsætter krav om, at finansielle enheder skal overdrage ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion og sikre, at denne kontrolfunktion har et passende uafhængighedsniveau for at undgå interessekonflikter mellem den finansielle enhed og kontrolfunktionen.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 1, er den finansielle enhed.
Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har overdraget ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion, der har et passende uafhængighedsniveau i forhold til den finansielle enhed.
Det fremgår af artikel 5. stk. 2, at ledelsesorganet i den finansielle enhed skal fastlægge, godkende og føre tilsyn med og har ansvaret for gennemførelsen af alle ordninger vedrørende rammer for it-risikostyring, der er omhandlet i artikel 6, stk. 1. Artikel 6, stk. 1, vedrører at finansielle enheder indfører en robust, omfattende og veldokumenteret ramme for it-risikostyring. De nærmere krav til ledelsesorganet er nærmere beskrevet i artikel 5, stk. 2, litra a-i. Det fremgår bl.a. af stk. 2, litra b, at ledelsesorganet skal indføre politikker, der har til formål at sikre høje standarder for tilgængeligheden, autenticiteten, integriteten og fortroligheden af data. Videre fremgår det af stk. 2, litra f, at ledelsesorganet godkender og regelmæssigt gennemgår den finansielle enheds interne it-revisionsplaner, it-revisioner og væsentlige ændringer heraf.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 2, er den finansielle enhed. En strafbar handling kan eksempelvis være, at et ledelsesorgan ikke har indført politikker for tilgængeligheden, autenticiteten, integriteten og fortroligheden af data i henhold til stk. 2, litra b. En strafbar handling kan også være at ledelsesorganet enten ikke har godkendt eller gennemgået den finansielle enheds interne it-revisionsplan i henhold til stk. 2, litra f.
Artikel 5, stk. 3, fastsætter at finansielle enheder skal oprette en funktion med henblik på overvågning af de ordninger, der er indgået med tredjepartsudbydere af it-tjenester vedrørende brugen af it-tjenester, eller udpege et medlem af den øverste ledelse som tilsynsansvarlig for den dermed forbundne risikoeksponering og relevante dokumentation.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 3, er den finansielle enhed. Et eksempel på en strafbar handling kan være, at ledelsesorganet ikke har oprettet en funktion der har til formål at overvåge de ordninger, der er indgået med tredjepartsudbydere af it-tjenester vedrørende brugen af it-tjenester.
Artikel 6 indeholder regler om en finansiel enheds ramme for it-risikostyring. Rammen for it-risikostyring omfatter hvilke tiltag en operatør af et reguleret marked har opsat.
I medfør af artikel 6, stk. 1, skal en finansiel enhed have indført en robust, omfattende og veldokumenteret ramme for deres it-risikostyring, som en del af deres samlede risikostyringssystem der sikrer et højt niveau af digital operationel modstandsdygtighed.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 1, er den finansielle enhed.
Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har formået at dokumentere deres ramme for deres it-risikostyring i en tilstrækkelig grad.
Det fremgår af artikel 6, stk. 2, at rammen for it-risikostyring, som minimum skal omfatte strategier, politikker, procedurer, it-protokoller og værktøjer, som er nødvendige for på behørig vis og i tilstrækkelig grad, at beskytte alle informationsaktiver og it-aktiver.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 2, er ledelsesorganet. Det fremgår af artikel 5. stk. 2, at ledelsesorganet i den finansielle enhed skal fastlægge, godkende og føre tilsyn med og har ansvaret for gennemførelsen af alle ordninger vedrørende rammer for it-risikostyring, der er omhandlet i artikel 6, stk. 1.
Den strafbare handling kan eksempelvis bestå i, at ledelsesorganet ikke har indført sikkerhedsforanstaltninger der i tilstrækkeliggrad beskytter relevante fysiske komponenter, som eksempelvis virksomhedens lokaler, mod uautoriseret adgang.
Artikel 6, stk. 3, omhandler de finansielle enheders forpligtigelse til at forelægge fuldstændige og ajourførte oplysninger om deres it-risiko på de kompetente myndigheders anmodning. Ved at indføre passende strategier, politikker, procedurer, it-protokoller og -værktøjer, minimerer den finansielle enhed deres it-risiko.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 3, er den finansielle enhed. Et eksempel på den strafbare handling kan være, at den finansielle enhed ikke på Finanstilsynets anmodning, har fremlagt en opdateret strategi for deres it-risikostyring, efter nye tiltag trådte i kraft for virksomheden.
Det fremgår af artikel 6, stk. 4, at finansielle enheder skal overdrage ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion og sikre, at denne kontrolfunktion har et passende uafhængighedsniveau, så interessekonflikter kan undgås. Videre fremgår det af artikel 6, stk. 4, 2. pkt., at en finansiel enhed skal sikre en passende adskillelse og uafhængighed af it-risikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner efter modellen med tre forsvarslinjer eller en intern model for risikostyring og kontrol.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse af bestemmelsen kan eksempelvis bestå i, at en finansiel enhed har en intern styring af og tilsyn med it-risikoen og derfor ikke har sikret en passende adskillelse og uafhængighed af deres it-risikostyringsfunktioner.
Artikel 6, stk. 5, indeholder krav om dokumentationen og tilsyn med it-risikostyringens ramme. Det følger af bestemmelsen, at rammen for it-risikostyringen skal dokumenteres og gennemgås mindst én gang om året, samt når der forekommer større it-relaterede hændelser, og i henhold til tilsynsmæssige instrukser eller konklusioner, som er udledt af relevant test af digital operationel modstandsdygtighed eller revisionsprocesser. Den skal forbedres løbende på grundlag af indhøstede gennemførelses- og overvågningserfaringer. Der skal forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed på dens anmodning.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 5, er den finansielle virksomhed. Den strafbare handling kan eksempelvis bestå i, at en finansiel enhed ved en større it-relateret hændelse, efterfølgende ikke formår at dokumentere rammen for risikostyringen. En strafbar handling kunne også bestå i, at den finansielle enhed ikke har forbedret rammen for deres risikostyring på baggrund af løbende overvågningserfaringer.
Artikel 6, stk. 6, omhandler revisorernes interne revision af rammen for it-risikostyring. Det følger af bestemmelsen, at revisorerne skal besidde egenskaber som tilstrækkelig viden, faglig kompetence og ekspertise, samt være tilstrækkeligt uafhængige. Der skal være overensstemmelse mellem hyppigheden af revisioner og omfanget af it-risikoen hos den finansielle enhed.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse kan eksempelvis bestå i, at den finansielle enheds revisor har foretaget en revision af rammen for it-risikostyring, uden at have det fornødne egenskaber. Det kan ligeledes anses for strafbart såfremt revisoren ikke kan anses som værende uafhængig.
Artikel 6, stk. 7, omhandler den formelle opfølgningsproces på den interne revisionsgang, som den finansielle enhed skal etablere. Opfølgningsprocessen skal indeholde regler for rettidig efterprøvning og udbedring af kritiske resultater af it-revisioner.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 7, er den finansielle enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke etablerer en opfølgningsproces, der indeholder regler for rettidig efterprøvning af kritiske konklusionerne fra en interne revision.
I medfør af artikel 6, stk. 8, skal en finansiel enheds ramme for it-risikostyring omfatte en strategi for digital operationel modstandsdygtighed, der fastsætter, hvordan rammen gennemføres. Strategien for digital operationel modstandsdygtighed skal omfatte metoderne til håndtering af it-risiko og opfylde specifikke krav, som er oplistet i artikel 6, stk. 8, litra a-h. Et af disse krav er eksempelvis at fastlægge risikotoleranceniveauet for it-risiko i overensstemmelse med den finansielle enheds risikovillighed og analysere tolerancen over for virkninger af it-forstyrrelser, jf. litra b, eller dokumentere den nuværende situation for den digitale operationelle modstandsdygtighed på grundlag af antallet af indberettede større it-relaterede hændelser og de forebyggende foranstaltningers effektivitet, jf. litra f.
Ansvarssubjektet for en overtrædelse af artikel 6, stk. 8, er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enheds strategi, undlader at analysere for virkninger af it-forstyrrelser over for risikotoleranceniveauet. Den strafbare handling kan ligeledes bestå i, at den finansielle enhed ikke formår at dokumentere deres situation for den operationelle robusthed på baggrund af mængden af større it-relaterede hændelser og de forebyggende foranstaltningers effektivitet
Artikel 7, stk. 1, oplister en række krav til den finansielle enheds it-systemer, -protokoller og-værktøjer, jf. litra a-d. Den finansielle enhed skal eksempelvis anvende systemer der er pålidelige, jf. litra b, og som er teknologisk modstandsdygtige nok til i tilstrækkeligt omfang at håndtere yderligere behov for informationsbehandling som krævet under stressede markedsforhold eller i andre vanskelige situationer, jf. litra d.
Ansvarssubjektet for overtrædelse af bestemmelsen er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke anvender systemer eller værktøjer der pålidelige eller proportionale i forhold til den finansielle enheds udbudte ydelser.
Artikel 8, stk. 1-7, i DORA-forordningen omhandler identifikation af kilder til it-risiko. Artikel 8, stk. 1, fastsætter, at en finansiel enhed, som led i deres ramme for it-risikostyring, skal foretage identifikation, klassificering og tilstrækkelig dokumentering af alle it-understøttede forretningsfunktioner, roller og ansvarsområder, informationsaktiver og it-aktiver, der understøtter disse funktioner, samt deres roller og afhængigheder med hensyn til it-risici. Bestemmelsen fastsætter endvidere, at en finansiel virksomhed efter behov og mindst én gang om året, vurderer hvorvidt denne klassificering og eventuel relevant dokumentation er tilstrækkelig.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke har identificeret, klassificeret eller dokumenteret deres it-understøttede forretningsfunktioner i en tilstrækkelig grad.
I medfør af artikel 8, stk. 2, skal en finansiel enhed løbende identificere alle kilder til it-risiko, navnlig risikoeksponeringen for og fra andre finansielle enheder, og vurderer cybertrusler og it-sårbarheder, der er relevante for deres it-understøttede forretningsfunktioner, informationsaktiver og it-aktiver. De finansielle enheder skal derfor regelmæssigt og mindst én gang om året gennemgå de risikoscenarier, der har virkninger for dem.
Ansvarssubjektet for overtrædelse af artikel 8, stk. 2, er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel virksomhed ikke mindst én gang årligt har gennemgået de risikoscenarier der er virkninger for dem.
Artikel 8, stk. 3, indeholder krav om, at en finansiel enhed skal foretage en risikovurdering efter hver større ændring af infrastrukturen i net- og informationssystemerne, i de processer eller procedurer, der påvirker deres it-understøttede forretningsfunktioner, informationsaktiver eller it-aktiver.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling kan bestå i, at en finansiel enhed har foretaget en større ændring infrastrukturen i deres net- og informationssystem og ikke foretager en ny risikovurdering, såfremt infrastrukturen påvirker deres it-understøttede forretningsfunktioner.
Det fremgår af artikel 8, stk. 4, at en finansiel enhed skal identificere alle informationsaktiver og it-aktiver, herunder på eksterne steder, netværksressourcer og hardwareudstyr, og kortlægger dem, der anses for kritiske. Den finansielle enhed kortlægger informationsaktivernes og it-aktivernes konfiguration samt forbindelserne og den indbyrdes forbundethed mellem de forskellige informationsaktiver og it-aktiver.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har kortlagt de kritiske informationsaktiver og it-aktiver, herunder på eksterne steder, netværksressourcer og hardwareudstyr.
Artikel 8, stk. 5, fremgår det, at en finansiel enhed skal identificere og dokumentere alle processer, der er afhængige af tredjepartsudbydere af it-tjenester. Det fremgår endvidere, at den finansielle enhed identificerer sammenkoblinger med tredjepartsudbydere af it-tjenester, der udbyder tjenester, som understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed har undladt at dokumentere alle de processer der er afhængige af tredjepartsudbydere af it-tjenester, som den finansielle enhed bruger.
Det fremgår af artikel 8, stk. 6, at den finansielle enhed, med henblik på artikel 6, stk. 1, 4 og 5, opretholder relevante fortegnelser og ajourfører dem regelmæssigt, og hver gang der sker større ændringer som omhandlet i artikel 6, stk. 3.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse kan bestå i, at der ved en større ændring af infrastrukturen i net- og informationssystemerne, i de processer eller procedurer, der påvirker den finansielle enheds it-understøttede forretningsfunktioner, informationsaktiver eller it-aktiver, ikke er foretaget ajourførte fortegnelser over ændringerne.
Til sidst følger det af artikel 8, stk. 7, at en finansiel enhed skal foretage en specifik it-risikovurdering regelmæssigt og mindst én gang om året.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse består eksempelvis i, at en finansiel virksomhed ikke regelmæssigt eller mindst én gang årligt har foretaget en specifik it-risikovurdering.
Artikel 9 indeholder nærmere bestemmelser om beskyttelse af it-systemer og forebyggelse af it-risici.
Det følger af artikel 9, stk. 1, at en finansiel enhed skal sikre løbende overvågning af og kontrol med it-systemer og -værktøjernes sikkerhed og af, hvordan de fungerer, og minimerer virkningerne af it-risikoen for it-systemer ved at indføre passende it-sikkerhedsværktøjer, -politikker og -procedurer, med henblik på, at sikre en passende beskyttelse og tilrettelægge indsatsforanstaltninger der skal sikre de finansielle enheder.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, ikke løbende at overvåge og kontrollere den finansielle enheds it-systemer og -værktøjers sikkerhed igennem passende it-sikkerhedsværktøjer, -politikker og -procedurer.
I medfør af artikel 9, stk. 2, skal en finansiel enhed udforme, indkøbe og gennemføre it-sikkerhedspolitikker, -procedurer, -protokoller og -værktøjer, der har til formål at sikre it-systemernes modstandsdygtighed, stabilitet og tilgængelighed, især for dem, der understøtter kritiske eller vigtige funktioner, og at opretholde høje standarder for, tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, hvad enten dataene er inaktive, i brug eller under overførsel.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 9, stk. 2, bestå i, at der ikke er gennemført en it-sikkerhedspolitik for at sikre den finansielle enheds it-systems modstandsdygtighed, stabilitet og tilgængelighed.
Artikel 9, stk. 3, omhandler de it-løsninger og it-processer som den finansielle enhed skal anvende for at nå de i artikel 9, stk. 2, omhandlede mål. It-løsningerne og it-processerne skal være i overensstemmelse med proportionalitetsprincippet i artikel 4 i DORA-forordningen og sikre sikkerheden for metoderne til overførsel af data, minimere risikoen for korruption eller tab af data, uautoriseret adgang og tekniske fejl, der kan hæmme erhvervsaktiviteten og forhindrer manglen på tilgængelighed, forringelsen af autenticiteten og integriteten, bruddene på fortroligheden og tabet af data. Samt sikre, at data beskyttes mod risici, der opstår i forbindelse med dataforvaltning, herunder dårlig administration, procesrelaterede risici og menneskelige fejl.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 9, stk. 3, bestå i at have utilstrækkelige it-løsninger og it-processer, der ikke lever op til proportionalitetsprincippet i artikel 4, i DORA-forordningen og de i artikel 9, stk. 3, fastsatte krav.
Det følger af artikel 9, stk. 4, at en finansiel enhed som led i deres it-risikostyring skal udvikle og dokumentere en informationspolitik, der fastlægger regler for beskyttelse af tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, informationsaktiver og it-aktiver, herunder deres kunders, hvis det er relevant, jf. litra a. Desuden skal en finansiel enhed følge en risikobaseret tilgang ved at indføre en forsvarlig forvaltningsstruktur for netværk og infrastrukturer ved anvendelse af passende teknikker, metoder og protokoller, der kan omfatte gennemførelse af automatiske mekanismer til isolering af de berørte informationsaktiver i tilfælde af cyberangreb, jf. litra b. Artikel 9, stk. 4, litra c, fastsætter også at en finansiel enhed skal gennemføre politikker, der begrænser den fysiske eller logiske adgang til informationsaktiver og it-aktiver udelukkende til, hvad der er påkrævet for legitime og godkendte funktioner og aktiviteter, og med henblik herpå indføre en række politikker, procedurer og kontroller, der vedrører adgangsrettigheder og sikrer forsvarlig forvaltning heraf.
Desuden skal den finansielle enhed gennemføre politikker og protokoller for stærke autentificeringsmekanismer på grundlag af relevante standarder og særlige kontrolsystemer og beskyttelsesforanstaltninger for krypteringsnøgler, hvorigennem data krypteres baseret på resultaterne fra godkendt dataklassificering og godkendte it-risikovurderingsprocesser, jf. litra d. Samt gennemføre dokumenterede politikker, procedurer og kontroller for styring af it-ændringer, herunder ændringer af software, hardware, firmwarekomponenter, systemer eller sikkerhedsparametre, som er baseret på en risikovurderingstilgang og er en integreret del af den finansielle enheds samlede ændringsstyringsproces, for at sikre, at alle ændringer af it-systemer registreres, testes, vurderes, godkendes, gennemføres og efterprøves på en kontrolleret måde, jf. litra e. Slutteligt anfører artikel 9, stk. 4, litra f, at en finansiel enhed skal sørge for, at der indføres passende og omfattende dokumenterede politikker for programrettelser og opdateringer.
Med henblik på første afsnit, litra b, udformer de finansielle enheder infrastrukturen for netværkstilslutning på en sådan måde, at den kan afbrydes eller segmenteres øjeblikkeligt for at minimere og forhindre afsmitning, navnlig i forbindelse med indbyrdes forbundne finansielle processer. Med henblik på første afsnit, litra e, skal it-ændringsstyringsprocessen godkendes på passende ledelsesniveauer og omfatte specifikke protokoller.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ikke forelægger en tilstrækkelig it-sikkerhedspolitik hos den finansielle enhed til at sikre beskyttelsen af deres kunders data. Den strafbare handling kan desuden også bestå i, at dokumenterede politikker, procedurer og kontroller for styring af it-ændringer, herunder ændringer af software, hardware, firmwarekomponenter, systemer eller sikkerhedsparametre, som er baseret på en risikovurderingstilgang og er en integreret del af den finansielle enheds samlede ændringsstyringsproces, for at sikre, at alle ændringer af it-systemer registreres, testes, vurderes, godkendes, gennemføres og efterprøves på en kontrolleret måde, ikke er blevet godkendt på passende ledelsesniveau.
Artikel 10, stk. 1-4, i DORA-forordningen omhandler detektion af anormale aktiviteter.
Det følger af artikel 10, stk. 1, at en finansiel enhed skal indføre mekanismer til omgående detektion af anormale aktiviteter i overensstemmelse med artikel 17, herunder problemer med it-netværkets ydeevne og it-relaterede hændelser, og til identifikation af potentielt væsentlige single points of failure. Artikel 17 omhandler proces for styring af it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. En overtrædelse af artikel 10, stk. 1, kan bestå i at der i den finansielle enhed ikke bliver opdaget anormale aktiviteter, idet enheden ikke har indført en mekaniske til detektion af disse.
Artikel 10, stk. 2, fastsætter krav til den finansielle enheds mekanismer. I medfør af artikel 10, stk. 2, skal de omtalte mekanismer i stk. 1, anvende flere kontrollag, fastlægge varslingstærskler og -kriterier, som skal udløse og igangsætte indsatsforanstaltninger mod it-relaterede hændelser, herunder automatiske varslingsmekanismer for det relevante personale, som har ansvar for indsatsen mod it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i at have utilstrækkelige mekanismer der ikke lever op til de af artikel 10, stk. 2, fastsatte krav.
Videre fremgår det af artikel 10, stk. 3, at finansielle enheder skal afsætte tilstrækkelige ressourcer og kapaciteter til overvågning af brugeraktiviteter, forekomsten af it-anomalier og it-relaterede hændelser, navnlig cyberangreb.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, ikke at have afsat ressourcer til overvågning af brugeraktiviteter.
Til slut fremgår det af artikel 10, stk. 4, at udbydere af dataindberetningstjenester indfører desuden systemer, som effektivt kan kontrollere, om handelsindberetningerne er fuldstændige, identificere udeladelser og åbenbare fejl og anmode om fornyet fremsendelse af disse indberetninger.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ikke er indført et system som kan identificere åbenbare fejl.
Artikel 11 i DORA-forordningen omhandler indsats og genopretning af it. Artikel 11, stk. 1, fastsætter, at en finansiel enhed skal indføre en omfattende politik for it-driftsstabilitet. Politikken skal være baseret på de krav til identifikation, der er fastsat i artikel 8 i DORA-forordningen. I henhold til artikel 8, stk. 1, skal en finansiel enhed f.eks. foretage en identifikation, klassificering og tilstrækkelig dokumentering af alle it-understøttende forretningsfunktioner, roller, ansvarsområder, informationsaktiviteter og it-aktiver, der understøtter disse funktioner, samt deres roller og afhængigheder med hensyn til it-risici.
Ansvarssubjektet for overtrædelse af artikel 11, stk. 1, er den finansielle enhed. Den strafbare handling kan enten bestå i ikke at have indført nogen politik for it-driftsstabilitet, eller at have indført en politik, der ikke omhandler alle it-understøttende forretningsfunktioner.
I medfør af artikel 11, stk. 2, skal en finansiel enhed gennemføre politikken for it-driftsstabilitet ved hjælp af særlige veldokumenterede ordninger, planer, procedurer og mekanismer, der skal tage sigte på en række forhold, der er oplistet i stk. 2, litra a - e. En af disse forhold er eksempelvis at sikre, at en finansiel enheds kritiske eller vigtige funktioner er stabile, jf. litra a, eller omgående at aktivere særlige planer, der gør det muligt at anvende inddæmningsforanstaltninger, -processer og -teknologier, der er egnede til de enkelte typer af it-relaterede hændelser, og som forhindrer yderligere skade, jf. litra c.
Ansvarssubjektet for en overtrædelse af artikel 11, stk. 2, er den finansielle enhed. Den strafbare handling består i, ikke at have gennemført en politik for it-driftsstabilitet ved hjælp af særlige ordninger, planer, procedurer og mekanismer, der tager sigte på de forhold, der er oplistet i stk. 2, litra a – e.
Artikel 11, stk. 3, indeholder krav om, at en finansiel enhed skal gennemføre planer for it-indsats og -genopretning, som skal underkastes uafhængige interne revisionsgennemgange.
Ansvarssubjektet for en overtrædelse af stk. 3, er den finansielle enhed. Den strafbare handling består i at en finansiel enhed ikke lader planer for it-indsats og -genopretning blive underkastet uafhængige interne revisionsgennemgange.
Det fremgår af artikel 11, stk. 4, at en finansiel enhed skal indføre, vedligeholde og foretage regelmæssig testning af passende planer for it-driftsstabilitet, navnlig med hensyn til kritiske eller vigtige funktioner, som outsources eller udliciteres gennem ordninger, der er indgået med tredjepartsudbydere af it-tjenester. Ved regelmæssig testning forstås mindst én gang om året, jf. artikel 11, stk. 6, litra a.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i ikke at vedligeholde planer for it-driftsstabilitet, f.eks. hvis en udskiftning af virksomhedens it-systemer nødvendiggør en opdatering af planerne for it-driftsstyring. En strafbar handling kan også bestå i ikke regelmæssigt at foretage en test af planer for it-driftsstabilitet. Herunder vil det være en særligt skærpende omstændighed, hvis der ikke er foretaget regelmæssig testning af planer for it-driftsstabilitet med hensyn til kritiske eller vigtige funktioner, som eksempelvis er outsourcet til en tredjepartsudbyder af it-tjenester.
Af artikel 11, stk. 5, 1. pkt., fremgår det, at en finansiel enhed som led i den samlede politik for driftsstabilitet skal foretage en forretningskonsekvensanalyse af deres eksponering for alvorlige driftsforstyrrelser. Det fremgår videre af stk. 5, 2. pkt., hvordan en finansiel enhed i konsekvensanalysen skal vurdere potentielle virkninger af alvorlige driftsforstyrrelser. I stk. 5, 3. pkt., fremgår det, at en konsekvensanalyse bl.a. skal tage hensyn til den kritiske betydning af identificerede og kortlagte forretningsfunktioner og andre forhold, der er nævnt i 3. pkt. Til sidst fremgår det af stk. 5, 4. pkt., at en finansiel enhed skal sikre, at it- aktiver og -tjenester udformes og anvendes i fuld overensstemmelse konsekvensanalysen, navnlig med hensyn til tilstrækkeligt at sikre alle kritiske komponenters redundans, dvs. at en kritisk komponent kan erstattes med en tilsvarende komponent, hvis det skulle blive nødvendigt.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå af ikke at foretage en forretningskonsekvensanalyse af enhedens eksponering for alvorlige driftsforstyrrelser. Den kan f.eks. også bestå i ikke at foretage en vurdering af alvorlige driftsforstyrrelser i overensstemmelse med stk. 5, 2. pkt., eller bestå i at konsekvensanalysen ikke tager hensyn til den kritiske betydning af identificerede og kortlagte forretningsfunktioner eller en af de andre forhold, der er nævnt i det pågældende punkt. Til sidst kan en strafbar handling bestå i f.eks. ikke at sikre, at en kritisk komponent kan erstattes af en tilsvarende komponent, hvis konsekvensanalysen tilsiger dette.
Det fremgår af artikel 11, stk. 6, 1. afsnit, litra a, at en finansiel enhed som led i it-risikostyring skal teste enhedens planer for it-driftsstabilitet og planer for it-indsats og genopretning i forbindelse med it-systemer, der understøtter alle funktioner. En test heraf skal finde sted mindst én gang årligt og i tilfælde af væsentlige ændringer af it-systemer, der understøtter kritiske eller vigtige funktioner. I medfør af stk. 6, 1. afsnit, litra b, skal en finansiel enhed også teste krisekommunikationsplaner, der er udarbejdet i medfør af artikel 14.
Stk. 6, 2. afsnit indeholder nærmere krav til, hvilke forskellige scenarier tests for it-driftsstabilitet og planer for it-indsats og genopretning, jf. stk. 6, litra a, skal medtage. Det drejer sig bl.a. om cyberangrebsscenarier og omstillingsscenarier mellem den primære it-infrastruktur og redundante kapacitet. Ved redundante kapacitet forstås en lignende kapacitet, der skal kunne erstattet den primære it-infrastruktur, hvis denne eksempelvis bliver beskadiget under et cyberangreb. Bestemmelsen gælder ikke for finansielle enheder, der er mikrovirksomheder. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Videre fremgår det af stk. 6, 3. afsnit, at en finansiel enhed regelmæssigt skal gennemgå sin politik for it-driftsstabilitet og planer for it-indsats og -genopretning. Her skal den finansielle enhed bl.a. tage hensyn til resultaterne af de test, som den finansielle enhed har gennemført i henhold til 1. afsnit.
Ansvarssubjektet for en overtrædelse af artikel 11, stk. 6, er den finansielle enhed. Den strafbare overtrædelse kan eksempelvis bestå i ikke at foretage test for planer for it-driftsstabilitet og planer for it-indsats og -genopretning eller ikke at foretage test af krisekommunikationsplaner, jf. stk. 6, 1. afsnit.
En strafbar overtrædelse kan f.eks. også bestå af ikke at ikke at medtage cyberangrebscenarier og omstillingsscenarier mellem den primære it-infrastruktur og den redundante kapacitet, eller i ikke regelmæssigt at gennemgå enhedens politik for it-driftsstabilitet og planer for it-indsats og -genopretning under hensyntagen til resultaterne af de test, som enheden har gennemført, jf. henholdsvis 2. og 3. afsnit.
I medfør af artikel 11, stk. 7, skal en finansiel enhed have en krisestyringsfunktion, som, hvis deres planer for it-driftsstabilitet og planer for it-indsats og -genopretning aktiveres, bl.a. skal indeholde klare procedurer for forvaltning af intern og ekstern krisekommunikation i overensstemmelse med artikel 14, der indeholder nærmere regler herfor.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i ikke at have en krisestyringsfunktion, der indeholder klare procedurer for intern og ekstern krisekommunikation i overensstemmelse med artikel 14.
Artikel 11, stk. 8, indeholder krav om, at en finansiel enhed skal føre let tilgængelige registre over aktiviteter før og under driftsforstyrrelser, når deres planer for it-driftsstabilitet og planer for it-indsats og -genopretning aktiveres.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at føre registre over aktiviteter før og under driftsforstyrrelser, hvor planerne for it-driftsstabilitet og for it-indsats og -genopretning er blevet aktiveret.
Til sidst følger det af artikel 11, stk. 10, at en finansiel enhed skal indberette et overslag over de samlede årlige omkostninger og tab, der opstår som følge af større it-relaterede hændelser, til de kompetente myndigheder på deres anmodning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at indberette et overslag over de samlede årlige omkostninger og tab, der opstår som følge af større it-relaterede hændelser, til de kompetente myndigheder, dvs. Finanstilsynet, hvis Finanstilsynet anmoder den finansielle enhed herom.
Artikel 12 indeholder nærmere bestemmelser om politikker og procedurer for sikkerhedskopiering og procedure og metoder for gendannelse og genopretning af it-systemer og data.
Det følger af artikel 12, stk. 1, at en finansiel enhed som led i it-risikostyring skal udvikle og dokumentere politikker og procedure for sikkerhedskopiering, der præciserer omfanget af de data, der er genstand for sikkerhedskopiering, og minimumshyppigheden af sikkerhedskopiering baseret på oplysningernes kritiske betydning eller fortrolighedsniveauet for dataene. Desuden skal en finansiel enhed udvikle og dokumentere procedurer og metoder for gendannelse og genopretning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at udvikle og dokumentere politikker og procedure for enten sikkerhedskopiering eller gendannelse og genopretning.
I medfør af artikel 12, stk. 2, 1. pkt., skal en finansiel enhed etablere systemer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning. Det følger videre af artikel 12, stk. 2, 2. pkt., at aktiveringen af systemerne for sikkerhedskopiering ikke må sætte sikkerheden i net- og informationssystemer eller tilgængeligheden, autenticiteten, integriteten eller fortroligheden af data over styr. Til sidst er det i medfør af stk. 2, 3. pkt., et krav, at der foretages regelmæssig test af procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i ikke at etablere systemer for sikkerhedskopiering eller for procedurer og metoder for gendannelse og genopretning. Den kan også bestå i at en finansiel enhed ikke sikrer sig, at systemerne for sikkerhedskopiering ikke sætter sikkerheden i net- og informationssystemer m.v. over styr. I henhold til stk. 2, 3. pkt., kan den bestå i at der ikke foretages regelmæssige test af procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning.
Det følger af artikel 12, stk. 3, 1 og 2. pkt., at når en finansiel enhed gendanner sikkerhedskopierede data ved anvendelse af egne systemer, skal de anvende de it-systemer, der er fysisk og logisk adskilt fra it-kildesystemet. It-systemerne skal være sikkert beskyttet mod uautoriseret adgang eller it-korruption og give mulighed for rettidig gendannelse af tjenester ved hjælp af data- og systemsikkerhedskopier efter behov.
Ansvarssubjektet i stk. 3, 1. og 2. pkt., er den finansielle enhed. Den strafbare handling kan i medfør af stk. 3, 1. pkt., bestå i at anvende egne it-systemer til gendannelse af sikkerhedskopierede data, der ikke er fysisk og logisk adskilt fra it-kildesystemet. Det vil eksempelvis sige it-systemer, der befinder sig på en anden adresse end kildesystemet, dvs. det it-system, som den finansielle enhed anvender i sit daglige virke. Det kan også være, hvor en finansiel enhed anvender eget it-system, der er fysisk adskilt fra kildesystemet, men hvor systemet ikke logisk er adskilt fra kildesystemet. Den strafbare handling i medfør af stk. 3, 2. pkt., kan f.eks. bestå i ikke at beskytte it-systemerne mod uautoriseret adgang eller it-korruption.
Videre følger det af stk. 3, 3. pkt., at for centrale modparter (CCP’er) skal genopretningsplaner gøre det muligt at genoptage alle transaktioner fra det tidspunkt, hvor de blev afbrudt, således at den berørte centrale modpart (CCP) kan opretholde driftssikkerheden og gennemføre afviklingen på den planlagte dato. Til sidst følger det af stk. 3, 4. pkt., at udbydere af dataindberetningstjenester desuden skal sørge for at råde over passende ressourcer og sikkerhedskopierings- og gendannelsesfaciliteter for til enhver tid at kunne udbyde og opretholde deres tjenester.
Ansvarssubjektet i stk. 3, 3. pkt., er den centrale modpart (CCP). Den strafbare handling består i, at en genopretningsplan ikke gør det muligt at genoptage alle transaktioner fra det tidspunkt, hvor transaktionerne blev afbrudt.
Ansvarssubjektet i stk. 3, 4. pkt., er udbyderen af dataindberetningstjenester. Den strafbare handling består i ikke at have ressourcer og sikkerhedskopierings- og gendannelsesfaciliteter for til enhver tid at kunne udbyde og opretholde sine tjenester.
Det følger af artikel 12, stk. 4, 1. pkt., at en finansiel enhed opretholder redundante it-kapaciteter, der er udstyret med passende ressourcer og funktioner med henblik på at sikre forretningsmæssige behov. Videre fremgår det af stk. 4, 2. pkt., at mikrovirksomheder vurderer behovet for at opretholde redundante it-kapaciteter på grundlag af deres risikoprofil. Ved redundante it-kapaciteter forstås lignende it-kapaciteter, der skal kunne erstatte de primære it-kapaciteter en finansiel enhed, hvis disse it-kapaciteter eksempelvis bliver ramt af et cyberangreb.
Ansvarssubjektet i stk. 4, 1. pkt., er den finansielle enhed. Den strafbare handling består i ikke at have redundante it-kapaciteter, der sikrer forretningsmæssige behov.
Ansvarssubjektet i stk. 4, 2. pkt., er en finansiel enhed, som er en mikrovirksomhed. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Den strafbare handling består i ikke at have foretaget en vurdering af behovet for at opretholde redundante it-kapaciteter på baggrund af enhedens risikoprofil.
Det fremgår af artikel 12, stk. 6, 1. pkt., at når en finansiel enhed skal fastlægge målene for genopretningstid og genopretningstidspunkt for hver funktion, skal de tage hensyn til, om det er en kritisk eller vigtig funktion og de potentielle samlede virkninger for markedseffektiviteten. Videre fremgår det af stk. 6, 2. pkt., at tidsmålene skal sikre, at de aftalte serviceniveauer kan overholdes i ekstreme scenarier.
Ansvarssubjektet i stk. 6, er den finansielle enhed. Den strafbare handling består i, at en finansiel enhed i sin fastlæggelse af målene for genopretningstid og genopretningstidspunkt, ikke har taget hensyn til, om den pågældende funktion er kritisk, eller hvilken virkning disse tidsmål vil have på markedseffektiviteten. Den kan også bestå i, at den finansielle enhed ikke har sikret sig, at tidsmålene kan overholde de aftalte serviceniveauer i ekstreme scenarier.
Det fremgår af artikel 12, stk. 7, 1. pkt., at når en finansiel enhed foretager genopretning efter en it-relateret hændelse, skal den udføre de nødvendige kontroller, herunder eventuelt flere kontroller og afstemninger, for at sikre, at dataintegriteten bevares på højeste niveau. Videre fremgår det af stk. 7, 2. pkt., at kontroller også skal foretages i forbindelse med rekonstruktionen af data fra eksterne interessenter for at sikre, at alle systemernes data er sammenhængende.
Ansvarssubjektet i stk. 7 er den finansielle enhed. Den strafbare handling består i ikke at udføre de nødvendige kontroller eller afstemninger efter en genopretning for at sikre, at dataintegriteten bevares på højt niveau. I den forbindelse kan den strafbare handling også bestå i ikke at foretage kontroller i forbindelse med rekonstruktionen af data fra eksterne interessenter for at sikre, at alle systemernes data er sammenhængende.
Artikel 13 indeholder regler om læring og udvikling omkring sårbarheder og cybertrusler, it-relaterede hændelser, herunder navnlig cyberangreb. Stk. 1 indeholder krav om, at en finansiel enhed skal sørge for at råde over kapaciteter og personale, som kan indsamle oplysninger herom, og som kan analysere de virkninger, de forventes at have på deres digitale operationelle modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at have afsat ressourcer til f.eks. et it-system og personale, hvormed enheden kan indsamle oplysninger om sårbarheder og cybertrusler eller it-relaterede hændelser som cyberangreb. Den strafbare handling kan eksempelvis også bestå i ikke at have personale med tilstrækkelige kompetencer til at kunne analysere de virkninger, som bl.a. et cyberangreb kan have på deres digitale operationelle infrastruktur.
Det fremgår af artikel 13, stk. 2, 1. afsnit, at en finansiel enhed skal foretage gennemgange af it-relaterede hændelser, efter at større it-relaterede hændelser har forstyrret deres kerneaktiviteter. Den finansielle enhed skal i den forbindelse analysere årsagerne til forstyrrelserne og identificere nødvendige forbedringer af it-operationerne eller indenfor rammerne af den i artikel 11 omhandlede politik for it-driftsstabilitet.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i ikke at foretage en gennemgang og analyse af en større it-relateret hændelse, der har forstyrret den finansielle enheds kerneaktivitet.
Videre fremgår det af stk. 2, 2. afsnit, at en finansiel enhed på anmodning fra den kompetente myndighed skal underrette den kompetente myndighed om ændringer, der er blevet gennemført efter en gennemgang af it-relaterede hændelser. Bestemmelsen gælder ikke for finansielle enheder, der er mikrovirksomheder. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke efter anmodning fra Finanstilsynet at underrette Finanstilsynet om ændringer, der er blevet gennemført efter en gennemgang af it-relaterede hændelser.
Til sidst fremgår det af stk. 2, 3. afsnit, at det i forbindelse med gennemgangen af it-relaterede hændelser skal fastslås, om de fastlagte procedurer er blevet fulgt, og om de iværksatte foranstaltninger har været effektive. Ved fastlagte procedurer forstås de procedurer, som den finansielle enhed har fastlagt i sin politik for it-driftsstabilitet. Det fremgår af artikel 11, stk. 2, at en finansiel enhed gennemfører politikken for it-driftsstabilitet ved hjælp af særlige, passende og veldokumenterede ordninger, planer, procedurer og mekanismer. Det er derfor procedurer og iværksatte foranstaltninger i henhold til de her ordninger m.v., som den finansielle enhed skal fastslå om har været effektive.
Det fremgår nærmere af artikel 13, stk. 2, 3. afsnit, at hvad en finansiel enhed bl.a. skal lægge nærmere vægt på i sin vurdering af, om de iværksatte foranstaltninger har været effektive. Den finansielle enhed skal bl.a. lægge vægt på den hastighed, med hvilken der er blevet sat ind overfor sikkerhedsvarsler, og med hvilken hastighed virkningerne af it-relaterede hændelser og deres omfang er blevet fastslået, jf. stk. 2, 3. afsnit, litra a. Det kan også være i forhold til effektiviteten af den finansielle enheds fejlafhjælpning i forbindelse med hændelser, jf. stk. 2, 3. afsnit, litra c.
Bestemmelsen har til formål at sikre, at en finansiel enhed efter en it-hændelse forholder sig kritisk til sine ordninger, planer, procedure m.v. i forbindelse med sin politik for it-driftsstabilitet for evt. at kunne forbedre disse til håndtering af en fremtidig it-relateret hændelse.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at fastslå om ordninger, planer og procedure i forbindelse med politikken for it-driftsstabilitet er blevet fulgt. Den kan også bestå i ikke at fastslå, om de iværksatte foranstaltninger har været effektive, herunder eksempelvis i forhold til den hastighed, med hvilken der er blevet sat ind overfor sikkerhedsvarsler, og med hvilken hastighed virkningerne af it-relaterede hændelser og deres omfang er blevet fastslået, jf. stk. 2, 3. afsnit, litra a.
Det følger af artikel 13, stk. 3, 1. pkt., at erfaringer fra test af digital operationel modstandsdygtighed, som foretages i overensstemmelse med artikel 26 og 27, og fra faktiske it-relaterede hændelser, navnlig cyberangreb, samt udfordringer i forbindelse med aktiveringen af planer for it-driftsstabilitet og planer for it-indsats og -genopretning, sammen med relevante oplysninger, der udveksles med modparter, og som vurderes i forbindelse med tilsynsmæssige gennemgange, løbende skal indarbejdes i it-risikovurderingsprocessen.
Artikel 26 vedrører avancerede test af IKT-værktøjer, -systemer og -processer baseret på TLPT. TLPT står for Threat Led Penetration Testing, som er en testmetode, hvor en virksomhed engagerer etiske hackere, som skal angribe flere systemer og det tilhørende cyberforsvar i virksomheden. Testene foregår i livesystemer, hvilket vil sige de systemer, som anvendes direkte i den finansielle sektor, og er baseret på konkrete trusler, hvilket betyder, at testene simulerer taktikker, teknikker og procedurer fra aktive, avancerede hackergrupper. Artikel 27 fastsætter de nærmere krav til testere.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består f.eks. i ikke løbende at indarbejde erfaringer fra test af digital operationel modstandsdygtighed i overensstemmelse med artikel 26 og 27, og fra it-relaterede hændelser i it-risikostyringsprocessen.
Det fremgår af artikel 13, stk. 4, 1. pkt., at en finansiel enhed skal overvåge effektiviteten af gennemførelse af deres strategi for digital operationel modstandsdygtighed, jf. artikel 6, stk. 8, der fastsætter nærmere krav til strategien. Videre fremgår det af stk. 4, 2. pkt., at en finansiel enhed skal kortlægge it-risikoens udvikling over tid, analysere hyppigheden, typerne, omfanget af og udviklingen i it-relaterede hændelser, navnlig cyberangreb og mønstre forbundet hermed. Den finansielle enhed skal gøre dette med henblik på at forstå graden af it-risikoeksponering, navnlig i forbindelse med kritiske eller vigtige funktioner, og for at forbedre den finansielle enheds cybermodenhed og cyberberedskab.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at overvåge effektiviteten af gennemførelsen af enhedens strategi for digital operationel modstandsdygtighed eller i ikke at kortlægge it-risikoens udvikling over tid, analysere hyppigheden, typerne, omfanget af og udviklingen i it-relaterede hændelser, navnlig cyberangreb og mønstre forbundet hermed.
Det fremgår af artikel 13, stk. 5, at højtstående it-personale mindst én gang om året skal aflægge rapport til ledelsesorganet om de i stk. 3 omhandlede resultater og fremsætte anbefalinger. Indholdet af artikel 13, stk. 3, er nærmere gennemgået ovenfor under bemærkningerne til strafbelæggelsen af en overtrædelse af stk. 3.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i som finansiel enhed ikke at sørge for, at it-personale mindst én gang om året aflægger rapport for ledelsesorganet om resultater af f.eks. faktiske it-relaterede hændelser, jf. artikel 13, stk. 3, og fremsætter anbefalinger.
Det fremgår af artikel 13, stk. 6, 1. pkt., at en finansiel enhed skal udvikle programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed som obligatoriske moduler i deres personaleuddannelsesordninger. Videre fremgår det af stk. 6, 2. pkt., at disse kurser skal omfatte alle medarbejdere og den øverste ledelse og skal have en grad af kompleksitet, der svarer til deres opgavers ansvarsområde. Sidst fremgår det af stk. 6, 3. pkt., at en finansiel enhed, hvis det er relevant, inddrager tredjepartsudbydere af it-tjenester i relevante uddannelsesordninger, jf. artikel 30, stk. 2, litra i, om kontraktlige ordninger om betingelserne for deltagelse af tredjepartsudbydere i programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består f.eks. i ikke at udvikle programmer til alle medarbejdere og den øverste ledelse til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed som obligatoriske moduler i deres personaleuddannelse. Den strafbare handling kan også bestå i ikke at inddrage tredjepartsudbydere af it-tjenester i relevante uddannelsesordninger, hvis dette viser sig nødvendigt. Det kan eksempelvis være i det tilfælde, hvor kompleksiteten af et uddannelsesprogram når et niveau, hvor den finansielle enhed ikke selv har kompetencerne til at udvikle programmet.
Det fremgår af artikel 13, stk. 7, 1. pkt., at en finansiel enhed løbende skal overvåge den relevante teknologiske udvikling også med henblik på at forstå den mulige virkning af indførelsen af sådanne nye teknologier for kravene til it-sikkerhed og digital operationel modstandsdygtighed. Videre fremgår det af stk. 7, 2. pkt., at en finansiel enhed skal holde sig ajour med de seneste it-risikostyringsprocesser for effektivt at bekæmpe aktuelle eller nye former for cyberangreb. Bestemmelsen gælder ikke for mikrovirksomheder. Se definitionen af en mikrovirksomhed under bemærkningerne til strafbelæggelse af overtrædelse af artikel 11, stk. 6, 2. afsnit.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke løbende at overvåge den relevante teknologiske udvikling med henblik på evt. at indføre de nye teknologier i enheden i forhold til at leve op til kravene til it-sikkerhed og digital operationel modstandsdygtighed. Den kan også bestå i ikke at holde sig ajour med de seneste it-risikostyringsprocesser for effektivt at bekæmpe aktuelle eller nye former for cyberangreb.
Artikel 14, stk. 1 i DORA-forordningen omhandler, at der som led i den ramme for it-risiko-styring, der er omhandlet i artikel 6, stk. 1, at de finansielle enheder sørger for at have krisekommunikationsplaner, der giver mulighed for ansvarlig offentliggørelse af, som minimum større it-relaterede hændelser eller sårbarheder for kunder og modparter samt for offentligheden, alt efter hvad der er relevant.
Krisekommunikations-planer må forstås sådant, at når der opstår en større ulykke eller katastrofe, så er der et akut behov for viden, og det er derfor nødvendigt at have planer for at kommunikere dette ud til de relevante parter.
It-risiko-styring må forstås sådant, at det er en håndtering af en sådan trussel, som defineres i artikel 3, stk. 1 nr. 5.
Ansvarssubjektet for overtrædelse af artikel 14, stk. 1, er den finansielle enhed. Den strafbare handling kan f.eks. bestå i, at den finansielle enhed ikke har udarbejdet planer for kommunikation af en offentliggørelse af en større it-relateret hændelse.
I medfør af artikel 14, stk. 2, skal en finansiel enhed som led i rammen for it-risikostyring, der er omhandlet i artikel 6, stk. 1. gennemføre kommunikationsplaner for internt personale og eksterne interessenter. Artikel 6, stk. 1, vedrører, at finansielle enheder indfører en robust, omfattende og veldokumenteret ramme for it-risikostyring. Kommunikationspolitikkerne for personalet skal tage hensyn til behovet for at skelne mellem personale der er involveret i it-risiko-styring, navnlig det personale der er ansvarlig for indsats og genopretning, og personale, der skal underrettes.
Ansvarssubjektet for en overtrædelse af artikel 14, stk. 2, er den finansielle enhed. Den strafbare handling består i, ikke at have gennemført kommunikationsplaner for internt personale og eksterne interessenter.
Artikel 14, stk. 3, indeholder krav om, at mindst én person i den finansielle enhed skal have til opgave at gennemføre kommunikationsstrategien for it-relaterede hændelse, og til dette formål varetage funktionen vedrørende offentligheden og medierne.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed ikke har mindst én person, der har til opgave at gennemføre kommunikationsstrategien for it-relaterede hændelse, og som til dette formål har varetage funktionen vedrørende offentligheden og medierne.
Det fremgår af artikel 16, stk. 1, at forordningens artikel 5-15 ikke finder anvendelse på små og ikke indbyrdes forbundne investeringsselskaber, betalingsinstitutter, der er undtaget i henhold til direktiv (EU) 2015/2366, institutter, der er fritaget i henhold til direktiv 2013/36/EU, og for hvilke medlemsstaterne har besluttet ikke at anvende den mulighed, der er omhandlet i nærværende forordnings artikel 2, stk. 4, e-pengeinstitutter, der er undtaget i henhold til direktiv 2009/110/EF, og små arbejdsmarkedsrelaterede pensionskasser.
Uden at det berører første afsnit skal de i første afsnit omhandlede enheder overholde det anførte i artikel 16, stk. 1, litra a-e. Det fremgår af litra a, at enhederne skal indføre og vedligeholde en robust og dokumenteret ramme for it-risikostyring, der beskriver de mekanismer og foranstaltninger, der skal muliggøre en hurtig, effektiv og omfattende styring af it-risiko, herunder vedrørende beskyttelse af relevante fysiske komponenter og infrastrukturer.
Det fremgår af litra b, at der løbende skal overvåges alle it-systemers sikkerhed og drift.
Det fremgår af litra c, at virkningen af it-risiko gennem anvendelse af robuste, modstandsdygtige og ajourførte it-systemer, -protokoller og -værktøjer, som er egnede til at understøtte udførelsen af deres aktiviteter og leveringen af tjenester og i tilstrækkelig grad beskytte tilgængeligheden, autenticiteten, integriteten og fortroligheden af data i net- og informationssystemerne skal minimeres.
Det fremgår af litra d, at det hurtigst muligt skal konstateres og detekteres it-risikokilder og -anomalier i net- og informationssystemerne og hurtigt at håndtere it-relaterede hændelser.
Det fremgår af litra e, at der skal konstateres stor afhængighed af tredjepartsudbydere af it-tjenester.
Det fremgår af litra f, at der skal sikres kontinuiteten af kritiske eller vigtige funktioner gennem planer for driftsstabiliteten og indsats- og genopretningsforanstaltninger, der som minimum omfatter sikkerhedskopierings- og gendannelsesforanstaltninger.
Det fremgår af litra g, at der regelmæssigt skal testes de planer og foranstaltninger, der er omhandlet i litra f, samt effektiviteten af de gennemførte kontroller i overensstemmelse med litra a og c.
Det fremgår af litra h, at der skal gennemføres, alt efter hvad der er relevant, de relevante operationelle konklusioner, der følger af de test, der er omhandlet i litra g, og af de efterfølgende analyser af hændelserne, i it-risikovurderingsprocessen og efter behov og it-risikoprofil udvikle programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed for personale og ledelse.
Ansvarssubjektet i artikel 16, stk. 1 litra a-h, er den finansielle enhed. Den strafbare handling består i, at de i første afsnit omhandlede enheder ikke overholder det anførte i artikel 16, stk. 1, litra a-e.
I medfør af artikel 16, stk. 2, skal en finansiel enhed i den i stk. 1, andet afsnit, litra a, omhandlede ramme for it-risikostyring dokumenteres og gennemgås regelmæssigt og ved forekomst af større it-relaterede hændelser i overensstemmelse med de tilsynsmæssige instrukser. Den skal forbedres løbende på grundlag af indhøstede erfaringer fra gennemførelse og overvågning. Der skal forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed på dennes anmodning.
Ansvarssubjektet for overtrædelsen af artikel 16, stk. 2, er den finansielle enhed. Den strafbare handling består i, at ikke at have gennemført de handlinger der er oplistet i artikel 16, stk. 2. Dette er eksempelvis at sikre at der forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed ved anmodning.
Det følger af artikel 17, stk. 1, at de finansielle enheder definerer, fastlægger og gennemfører en proces for styring af it-relaterede hændelser for at detektere, styre og indberette it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 17, stk. 1 bestå i, at de finansielle enheder ikke definerer, fastlægger og gennemfører en proces for styring af it-relaterede hændelser, som kan detektere, styre og indberette it-relaterede hændelser.
Det følger af artikel 17, stk. 2, at de finansielle enheder er alle, der registrerer it-relaterede hændelser og væsentlige cybertrusler. De finansielle enheder fastlægger passende procedurer og processer, der skal sikre en konsekvent og integreret overvågning, håndtering og opfølgning af it-relaterede hændelser. Det skal ske således, at de grundlæggende årsager identificeres, dokumenteres og håndteres for at forhindre, at sådanne hændelser forekommer.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 17, stk. 2, bestå i, at den finansielle enhed fastlægger passende procedurer og processer, der skal sikre en konsekvent og integreret overvågning, håndtering og opfølgning af it-relaterede hændelser. Dette skal ske således, at de grundlæggende årsager identificeres, dokumenteres og håndteres for at forhindre, at sådanne hændelser kan opstå.
Det følger af artikel 17, stk. 3, at den finansielle enhed som led i den proces for styring af it-relaterede hændelser, der er omhandlet i stk. 1, overholder det anførte i artikel 17, stk. 3, litra a-f.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling i medfør af artikel 17, stk. 3, er en tilsidesættelse af overholdelse af de oplistede krav i artikel 17, stk. 3, litra a-f. Dette kan eksempelvis være, at der ikke tildeles roller og ansvarsområder, som skal aktiveres for forskellige it-relaterede hændelsestyper og -scenarier.
Artikel 18 indeholder en klassificering af it-relaterede hændelser og cybertrusler.
Det følger af artikel 18, stk. 1, at de finansielle enheder klassificerer it-relaterede hændelser og fastslår deres virkninger på grundlag af følgende kriterier oplistet i artikel 18, stk. 1, litra a-f.
Det fremgår af litra a, at antallet og/eller relevansen af kunder eller finansielle modparter, som er berørt, og, hvis det er relevant, beløbet på eller antallet af de transaktioner, som er berørt af den it-relaterede hændelse, og hvorvidt den it-relaterede hændelse har haft indvirkning på omdømmet.
Det fremgår af litra b, at varigheden af den it-relaterede hændelse, herunder tjenestens nedetid.
Det fremgår af litra c, at den geografiske udbredelse med hensyn til de områder, der er berørt af den it-relaterede hændelse, navnlig hvis den berører mere end to medlemsstater.
Det fremgår af litra d, at de datatab, som den it-relaterede hændelse medfører med hensyn til tilgængelighed, autenticitet, integritet eller fortrolighed af data.
Det fremgår af litra e, at den kritiske betydning af de berørte tjenester, herunder den finansielle enheds transaktioner og operationer.
Det fremgår af litra f, at de økonomiske virkninger, navnlig direkte og indirekte omkostninger og tab, af den it-relaterede hændelse i både absolutte og relative tal.
Ansvarssubjektet i stk. 1 er den finansielle enhed. Den strafbare handling består i, at de finansielle enheder ikke klassificerer it-relaterede hændelser og dermed ikke fastslår deres virkninger på grundlag af følgende kriterier oplistet i artikel 18, stk. 1, litra a-f.
Det fremgår af stk. 2, at de finansielle enheder klassificerer cybertrusler som væsentlige på grundlag af de udsatte tjenesters kritiske betydning, herunder den finansielle enheds transaktioner og operationer, antallet og/eller relevansen af de kunder eller finansielle modparter, som rammes, og risikoområdernes geografiske udbredelse.
Ansvarssubjektet i artikel 18, stk. 2, er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed undlader at klassificere cybertrusler som væsentlige, eksempelvis på grundlag af de udsattes tjenesters kritiske betydning.
Artikel 19, stk. 1, omhandler indberetning af større it-relaterede hændelser. Bestemmelsen forpligter den finansielle enhed til at indberette større it-relaterede hændelser til den relevante kompetente myndighed.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke underretter Finanstilsynet om en større it-relateret hændelse.
I medfør af artikel 19, stk. 3, skal den finansielle enhed underrette Finanstilsynet, uden unødigt ophold, i tilfælde af, at en større it-relateret hændelse indtræffer og har indflydelse på kunders finansielle interesser. Den finansielle enhed underretter også om de foranstaltninger, der er truffet for at afbøde de negative virkninger af en sådan hændelse. I tilfælde af en væsentlig cybertrussel underretter de finansielle enheder, hvis det er relevant, de af deres kunder, som potentielt er berørt heraf, om eventuelle passende beskyttelsesforanstaltninger, som sidstnævnte kan overveje at træffe
Ansvarssubjektet var overtrædelse af artikel 19, stk. 3, er den finansielle enhed. En strafbar handling kan bestå i, at den finansielle enhed ikke underretter Finanstilsynet rettidigt i tilfælde en større it-relateret hændelse indtræffer, som har indflydelse på kunders finansielle interesser. En strafbar handling kan også bestå i at underrette Finanstilsynet om den it-relaterede hændelse, uden at underrette om de foranstaltninger der er truffet for at afbøde de negative virkninger.
Det fremgår af artikel 19, stk. 4, at den finansielle enhed, i tilfælde af en it-relateret hændelse, skal indgive henholdsvis en indledende underretning, jf. litra a, en foreløbig rapport så snart den oprindelige hændelses status har ændret sig betydeligt, eller håndteringen af den større it-relaterede hændelse har ændret sig på grundlag af nye tilgængelige oplysninger, efterfulgt, alt efter hvad der er relevant, af ajourførte underretninger, hver gang der foreligger en relevant ajourføring af status, samt efter en specifik anmodning fra den kompetente myndighed, jf. litra b. Samt en endelig rapport, når den grundlæggende årsagsanalyse er afsluttet, uanset om der allerede er gennemført afbødende foranstaltninger, og når tallene for de faktiske virkninger foreligger og kan erstatte skøn, jf. litra c. Fristerne for disse skal fastsættes i overensstemmelse med artikel 20, stk. 1, litra a, nr. ii, og skal indgives til Finanstilsynet, som er den kompetente myndighed.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i, ikke at indgive en indledende underretning, en foreløbig rapport eller en endelig rapport til Finanstilsynet inden for de af artikel 20, stk. 1, litra a, nr. ii, fastsatte frister.
Artikel 24 i DORA-forordningen omhandler generelle krav til gennemførslen af test af digital operationel modstandsdygtighed.
Det følger af artikel 24, stk. 1, at en finansiel enhed skal udarbejde, opretholde og gennemgå et forsvarligt og omfattende program for test af digital operationel modstandsdygtighed, som en integreret del af den i artikel 6 omhandlede ramme for it-risikostyring. Dette skal ske med henblik på at vurdere beredskabet i forhold til håndtering af it-relaterede hændelser, identificere svagheder, mangler og huller i den digitale operationelle modstandsdygtighed og straks træffe korrigerende foranstaltninger.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har udarbejdet et program for test af digital operationel modstandsdygtighed. Den strafbare handling kan også bestå i, at den finansielle enheds program for test af digital operationel modstandsdygtighed ikke er forsvarligt eller omfattende nok.
I medfør af artikel 24, stk. 2, skal programmet for test af digital operationel modstandsdygtighed, omfatte en række vurderinger, test, metodologier, fremgangsmåder og værktøjer, der skal anvendes i overensstemmelse med artikel 25 og 26 i DORA-forordningen.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i at den finansielle enhed gennemfører tests der ikke i tilstrækkelig grad omfatter kravene om vurderinger, test, metodologier, fremgangsmåder og værktøj, der skal anvendes i overensstemmelse med artikel 25 og artikel 26 i DORA-forordningen.
Artikel 24, stk. 3, pålægger den finansielle enhed at følge en risikobaseret tilgang for programmet for test af digital operationel modstandsdygtighed. Den finansielle enhed skal ved gennemførslen af programmet, tage hensyn til kriterierne i DORA-forordningens artikel 4, stk. 2, og til et it-risikomiljø i udvikling, eventuelle specifikke risici, som den berørte finansielle enhed udsættes for eller kan blive udsat for, informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre faktorer, som den finansielle enhed finder relevante.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse af artikel 24, stk. 3, kunne eksempelvis være, at den finansielle enhed gennemfører et program for test af digital operationel modstandsdygtighed uden at tage hensyn til den finansielles enheds it-risikomiljø.
I medfør af artikel 24, stk. 4, skal den finansielle enhed sikre, at tests gennemføres af uafhængige parter, hvad enten de er interne eller eksterne. Hvis en intern tester gennemfører test, skal de finansielle enheder afsætte tilstrækkelige ressourcer og sikre, at interessekonflikter undgås under testens udformnings- og gennemførelsesfaser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed der gennemfører tests af deres digitale operationelle modstandsdygtighed ikke sikrer, at testen gennemføres af uafhængige interne eller eksterne parter for at begrænse interessekonflikter.
Artikel 24, stk. 5, pålægger den finansielle enhed at fastlægge procedurer og politikker med henblik på at prioritere, klassificere og afhjælpe alle problemer, der identificeres i forbindelse med gennemførelsen af test, og fastlægger interne valideringsmetoder for at sikre, at alle konstaterede svagheder, mangler eller huller afhjælpes fuldt ud.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at fastlægge procedurer og politikker der prioriterer, klassificerer og afhjælper de problemer der identificeres med gennemførslen af testen.
I medfør af artikel 24, stk. 6, skal de finansielle enheder sikre, at der gennemføres passende test af alle it-systemer og -applikationer, der understøtter kritiske eller vigtige funktioner, mindst én gang om året.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kunne bestå i at den finansielle enhed ikke mindst én gang årligt gennemfører tests af alle it-systemer og it-applikationer, der kan anses for passende.
Artikel 25 omhandler test af it-værktøjer og -systemer.
Det følger af artikel 25, stk. 1, at programmet for test af den digitale operationelle modstandsdygtighed skal være i overensstemmelse med de af artikel 4, stk. 2, kriterier for proportionalitet. I medfør af artikel 4, stk. 2, skal den finansielle enheds styring, klassificering, indberetning af it-relaterede hændelser, test af digital operationel modstandsdygtighed og styring af it-tredjepartsrisici stå i et rimeligt forhold til deres størrelse og samlede risikoprofil og til karakteren, omfanget og kompleksiteten af deres tjenester, aktiviteter og operationer, som specifikt fastsat i de relevante regler i de nævnte kapitler.
I overensstemmelse med de oplistede kriterier i artikel 4, stk. 2, skal programmet for test af digital operationel modstandsdygtighed, nævnt i artikel 24, indeholde bestemmelser om gennemførelse af relevante test såsom sårbarhedsvurderinger og -scanninger, open source-analyser, vurderinger af netsikkerheden, mangelanalyser, fysiske sikkerhedsgennemgange, spørgeskemaer og scanningssoftwareløsninger, gennemgange af kildekoder, når det er praktisk muligt, scenariebaserede test, kompatibilitetstest, præstationstest, end-to-end-test og penetrationstest.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at den finansielle enhed har vedtaget et program for test der ikke er tilstrækkeligt, mangelfuldt eller lever op til de fastsatte krav for programmer for test af digital operationel modstandsdygtighed i artikel 25, stk. 1.
I medfør af artikel 25, stk. 3, skal mikrovirksomheder gennemføre de i artikel 25, stk. 1 omhandlede test ved at kombinere en risikobaseret tilgang med strategisk planlægning af it-test under behørig hensyntagen til behovet for at opretholde en afbalanceret tilgang mellem omfanget af ressourcer og den tid, der skal afsættes til it-test som omhandlet i denne artikel, på den ene side og den hastende karakter, risikotype og informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre relevante faktorer, herunder den finansielle enheds evne til at tage kalkulerede risici, på den anden side.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i, at en mikrovirksomhed ikke har taget tilstrækkeligt hensyn til at opretholde en balanceret tilgang til henholdsvis omfanget af ressourcer og andre faktorer, som eksempelvis den finansielle enheds evne til at tage kalkulerede risici.
Artikel 28 omhandler generelle principper for forsvarlig styring af it-tredjepartsrisici.
I medfør af artikel 28, stk. 1, skal den finansielle enhed styre deres it-tredjepartsrisiko som en integreret del af it-risiko, inden for deres ramme for it-risikostyring.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at den finansielle enheds it-tredjepartsrisiko ikke bliver styret som en integreret del af deres samlede it-risiko, inden for den finansielle enheds it-risikostyring.
I medfør af artikel 28, stk. 1, litra b, skal styringen af it-tredjepartsrisikoen hos den finansielle enhed foregå under hensyntagen til proportionalitetsprincippet og skal derfor tage hensyn til henholdsvis artikel 28, stk. 1, litra b, nr. i, som omhandler karakteren, omfanget, kompleksiteten og betydningen af den it-relaterede afhængighed og artikel 28, stk. 1, litra b, nr. ii, som omhandler de risici, der opstår som følge af kontraktlige ordninger for brugen af it-tjenester, der er indgået med tredjepartsudbydere af it-tjenester, under hensyntagen til den kritiske betydning eller vigtighed af den pågældende tjeneste, proces eller funktion og til de potentielle virkninger for driftsstabiliteten og tilgængeligheden af finansielle tjenesteydelser og aktiviteter på individuelt plan og koncernniveau.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at kravene i artikel 28, stk. 1, litra b, nr. i-ii, ikke tages under betragtning ved udformningen af den finansielle enheds styring af it-tredjepartsrisiko.
Artikel 28, stk. 2, omhandler strategien for den finansielle enheds it-tredjepartsrisiko. Den finansielle enhed skal vedtage og gennemgå deres strategi regelmæssigt som led i deres ramme for it-risikostyring. Strategien skal omfatte en politik for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og som leveres af tredjepartsudbydere af it-tjenester. Strategien skal gælde på individuelt grundlag og, hvor det er relevant, på delkonsolideret og konsolideret grundlag. Ledelsesorganet i den finansielle enhed skal på grundlag af en vurdering af den finansielle enheds samlede risikoprofil og omfanget og kompleksiteten af forretningstjenesterne regelmæssigt gennemgå de risici, der er konstateret i forbindelse med kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i at ledelsesorganet i den finansielle enhed ikke ved vurderingen af den samlede risikoprofil har gennemgået de de risici, der er konstateret i forbindelse med kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner.
Artikel 28, stk. 3, fastsætter krav for den finansielle enheds dokumentation af kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere. Den finansielle enhed skal som et led i deres ramme for it-risikostyring sørge for at opretholde og ajourføre et register over kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere på både enhedsniveau, delkonsolideret niveau og konsolideret niveau. De kontraktsretlige ordninger skal være skelnet mellem de it-tjenester der understøtter kritiske eller vigtige funktioner, og dem, der ikke gør.
Desuden skal den finansielle enhed mindst én gang årligt indberette nye ordninger for brugen af it-tjenester, kategorierne af tredjepartsudbydere af IKT-tjenester, typen af kontraktlige ordninger og de it-tjenester og funktioner, der leveres, til Finanstilsynet.
Til sidst skal den finansielle enhed efter anmodning, stille det fulde register over oplysninger eller, som anmodet, nærmere angivne afsnit heraf til rådighed for Finanstilsynet sammen med eventuelle oplysninger, som anses for nødvendige for at muliggøre et effektivt tilsyn med den finansielle enhed. Den finansielle enhed underretter rettidigt Finanstilsynet om enhver planlagt kontraktlig ordning for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og når en funktion er blevet kritisk eller vigtig.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at den finansielle enhed efter anmodning fra Finanstilsynet, ikke kan stille det fulde register over kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere til rådighed.
Artikel 28, stk. 4, litra a-e, fastsætter krav til den finansielle enhed før der indgås en kontraktlig ordning for brugen af it-tjenester. Den finansielle enhed skal vurdere, om den kontraktlige ordning omfatter brugen af it-tjenester, der understøtter en kritisk eller vigtig funktion, jf. litra a, vurdere, om de tilsynsmæssige betingelser for udlicitering er opfyldt, jf. litra b, identificere og vurdere alle relevante risici i forbindelse med den kontraktlige ordning, herunder muligheden for, at sådanne kontraktlige ordninger kan bidrage til at øge it-koncentrationsrisikoen, jf. artikel 29, jf. litra c, foretage fornøden due diligence over for potentielle tredjepartsudbydere af it-tjenester og under alle udvælgelses- og vurderingsprocesserne sikre, at den pågældende tredjepartsudbyder af it-tjenester er egnet, jf. litra d, og identificere og vurdere interessekonflikter, som de kontraktlige ordninger kan give anledning til, jf. litra e.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i at den finansielle enhed indgår en kontraktlig ordning for brugen af it-tjenester, uden at have identificeret og vurderet interessekonflikter, som den kontraktlige ordning kan give anledning til.
I medfør af artikel 28, stk. 7, litra a-d, skal den finansielle enhed sikre sig, at de indgåede kontraktlige ordninger kan opsiges på baggrund af væsentlig overtrædelse begået af tredjepartsudbyderen af it-tjenester af gældende love, administrative bestemmelser eller kontraktvilkår, jf. litra a. Forhold, der er identificeret under overvågningen af it-tredjepartsrisiko, og som anses for at kunne ændre udførelsen af de funktioner, der er leveret gennem den kontraktlige ordning, herunder væsentlige ændringer, der påvirker ordningen eller situationen for tredjepartsudbyderen af it-tjenester skal også kunne lægges til grund for opsigelse af den kontraktlige ordning, jf. litra b.
Ligeledes skal dokumenterede svagheder hos tredjepartsudbyderen af it-tjenester, som vedrører dennes samlede it-risikostyring, og navnlig i den måde, hvorpå denne garanterer tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, hvad enten det drejer sig om personoplysninger eller på anden måde følsomme data eller andre oplysninger end personoplysninger, kunne lægges til grund for opsigelse af den kontraktlige ordning, jf. litra c. Til sidst skal den kontraktlige ordning kunne opsiges, såfremt Finanstilsynet ikke længere kan føre effektivt tilsyn med den finansielle enhed som følge af betingelserne eller omstændighederne vedrørende de respektive kontraktlige ordninger.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at den kontraktlige ordning ikke kan opsiges på baggrund af de af artikel 28, stk. 7, oplistede situationer.
Artikel 28, stk. 8, omhandler exitstrategier. Den finansielle enhed skal indføre exitstrategier for it-tjenester, der understøtter kritiske eller vigtige funktioner.
Exitstrategierne skal tage højde for de risici, der kan opstå hos tredjepartsudbydere af it-tjenester, navnlig mulige svigt fra deres side, en forringelse af kvaliteten af de leverede it-tjenester, eventuelle driftsforstyrrelser som følge af uhensigtsmæssig eller manglende levering af it-tjenester eller eventuelle væsentlige risici i forbindelse med en passende og løbende anvendelse af de pågældende it-tjenester eller opsigelse af kontraktlige ordninger med tredjepartsudbydere af it-tjenester i en af de i artikel 28, stk. 7, anførte situationer.
Den finansielle enhed skal sikre at de kan opsige den kontraktlige ordning uden at deres forretningsaktivitet afbrydes, jf. litra a, uden at efterlevelsen af de forskriftsmæssige krav begrænses, jf. litra b og uden at kontinuiteten og kvaliteten af de leverede tjenester til kunder lider skade, jf. litra c.
Ligeledes skal exitstrategierne være i overensstemmelse med kriterierne i artikel 4, stk. 2, om proportionalitet, samt være omfattende og veldokumenterede.
Der skal desuden være udarbejdet overgangsplaner der kan fratage tredjepartsudbyderen af it-tjenester de udliciterede it-tjenester og de relevante data og sikkert og fuldstændigt kan overføre disse til alternative udbydere eller på ny indarbejde dem internt. Den finansielle enhed skal derudover identificere alternative løsninger.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke har sikret sig at indføre en exitstrategi i tilfælde af, at en kontrakt ordning med en tredjepartsudbyder af it-tjenester opsiges.
Artikel 29, stk. 1, omhandler foreløbig vurdering af it-koncentrationsrisiko på enhedsniveau. Bestemmelsen fastsætter krav, som den finansielle enhed skal tage hensyn til ved identifikation og vurdering af risici i forbindelse med en kontraktlige ordning, herunder muligheden for, at en kontraktlig ordning kan bidrage til at øge it-koncentrationsrisikoen. Ved indgåelse af en kontraktlig ordning i forbindelse med it-tjenester, der understøtter kritiske eller vigtige funktioner tager den finansielle enhed hensyn til udlicitering til en tredjepartsudbyder af it-tjenester, som ikke er let at erstatte, jf. litra a og indgåelse af flere kontraktlige ordninger om levering af it-tjenester, der understøtter kritiske eller vigtige funktioner, med den samme tredjepartsudbyder af it-tjenester eller med tredjepartsudbydere af it-tjenester, som har tætte forbindelser til denne, jf. litra b.
Den finansielle enhed skal i medfør af bestemmelsen afveje fordele og omkostninger ved alternative løsninger såsom brug af forskellige tredjepartsudbydere af it-tjenester under hensyntagen til, hvorvidt og hvordan de påtænkte løsninger svarer til de forretningsmæssige behov og mål, der er fastsat i deres strategi for digital modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed ikke har taget hensyn til udliciteringen til en tredjepartsudbyder af it-tjenester som ikke er lette at erstatte, ved indgåelsen af en kontraktlig ordning om it-tjenester der understøtter kritiske eller vigtige funktioner.
I medfør af artikel 29, stk. 2, skal den finansielle enhed i tilfælde af, at den kontraktlige ordning for brug af it-tjenester med en tredjepartsudbyder, kan komme videre i underentreprise med hjemsted i tredjeland, overveje de fordele og risici, der kan opstå i forbindelse med underentreprisen, særligt hvis it-tjenesten understøtter kritiske eller vigtige funktioner.
Den finansielle enhed skal tage hensyn til de bestemmelser i insolvensretten, som finder anvendelse, hvis tredjepartsudbyderen af it-tjenester går konkurs, samt eventuelle begrænsninger, der kan opstå i forbindelse med en hastende genopretning af den finansielle enheds data, såfremt den kontraktlige ordning vedrører it-tjenester, der understøtter kritiske eller vigtige funktioner.
Den finansielle enhed tager derudover hensyn til overholdelsen af Unionens databeskyttelsesregler og en effektiv håndhævelse af retten i det pågældende tredjeland, såfremt der er indgået kontraktlige ordninger for brug af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, med en tredjepartsudbyder af IKT-tjenester med hjemsted i et tredjeland.
Til sidst vurderer den finansielle enhed hvorvidt og hvordan potentielt lange eller komplekse underentreprisekæder kan påvirke deres evne til fuldt ud at overvåge de udliciterede funktioner og den kompetente myndigheds evne til i denne henseende at føre effektivt tilsyn med den finansielle enhed, såfremt den kontraktlige ordning for brugen af IKT-tjenester, understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ved indgåelse af kontraktlige ordninger med en tredjepartsudbyder af it-tjenester, der understøtter kritiske funktioner, ikke er foretaget en afvejning af fordele og risici såfremt tredjepartsudbyderen giver it-tjenesterne videre til en underentreprise med hjemsted i udlandet.
Artikel 30 omhandler centrale kontrakts bestemmelser.
Artikel 30, stk. 1, fastsætter at rettigheder og forpligtelser mellem den finansielle enhed og tredjepartsudbyderen skal fordeles klart og fastlægges skriftligt. Serviceniveauaftaler skal være omfattet af den samlede kontrakt og dokumenteres i ét skriftligt dokument. Parterne skal have adgang til dokumentet i papir, eller i et andet varigt og permanent format, der kan downloades.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke tager højde for, at rettighederne og forpligtelserne mellem parterne skal nedfattes skriftligt og have varig karakter, som enten kan tilgås på papir eller i et format, der kan downloades.
Artikel 30, stk. 2, fastsætter en række minimumskrav til den kontraktlige ordning for brugen af it-tjenester.
Den kontraktlige ordning skal sikre en klar og fuldstændig beskrivelse af alle funktioner og it-tjenester, som tredjepartsudbyderen af it-tjenester skal levere, med angivelse af, om underentreprise af en it-tjeneste, der understøtter en kritisk eller vigtig funktion eller væsentlige dele heraf er tilladt, og, hvis det er tilfældet, de betingelser, der gælder for en sådan underentreprise, jf. litra a.
De steder, navnlig de regioner eller lande, hvor de udliciterede funktioner og it-tjenester eller funktionerne og it-tjenesterne i underentreprise skal leveres, og hvor data skal behandles, herunder lagringsstedet, og kravet om, at tredjepartsudbyderen af it-tjenester på forhånd skal underrette den finansielle enhed, hvis den har planer om at ændre disse steder, jf. litra b.
Den kontraktlige ordning skal ligeledes indeholde bestemmelser om tilgængelighed, autenticitet, integritet og fortrolighed med hensyn til databeskyttelse, herunder personoplysninger, jf. litra c.
Bestemmelser om sikring af adgang, genopretning og tilbagesendelse i et lettilgængeligt format af personoplysninger og andre data end personoplysninger, der behandles af den finansielle enhed, i tilfælde af insolvens, afvikling eller afbrydelse af de forretningsaktiviteter, som tredjepartsudbyderen af it-tjenester varetager, eller i tilfælde af opsigelse af de kontraktlige ordninger skal medtages i den kontraktlige ordning, jf. litra d.
Den kontraktlige ordning skal derudover indeholde beskrivelser af serviceniveauet, herunder ajourføringer og revisioner heraf, jf. litra e.
Forpligtelsen for tredjepartsudbyderen af it-tjenester til at yde bistand til den finansielle enhed uden yderligere omkostninger eller til en omkostning, der fastsættes på forhånd, hvis der opstår en IKT-hændelse, der vedrører den it-tjeneste, som leveres til den finansielle enhed skal også indgå i den kontraktlige ordning, jf. litra f.
Derudover skal den finansielle enhed medtage forpligtelsen for tredjepartsudbyderen af it-tjenester til at samarbejde fuldt ud med den finansielle enheds kompetente myndigheder og afviklingsmyndigheder, herunder personer, som de har udpeget, jf. litra g og opsigelsesrettigheder og dertil knyttet minimumsfrister for opsigelse af de kontraktlige ordninger i overensstemmelse med de kompetente myndigheders og afviklingsmyndighedernes forventninger, jf. litra h.
Slutteligt skal betingelserne for deltagelse af tredjepartsudbydere af it-tjenester i de finansielle enheders programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed, jf. artikel 13, stk. 6, medtages i den kontraktlige ordning.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en kontrakt mellem en finansiel enhed og en tredjepartsudbyder af it-tjenester er mangelfuld og ikke på en klar og tilstrækkelig måde, omfatter de af artikel 30, stk. 2, omfattede minimumskrav til kontraktlige ordninger for brugen af it-tjenester som eksempelvis beskrivelserne af serviceniveauet, herunder ajourføringer og revisioner, jf. litra e og opsigelsesrettigheder, jf. litra h.
Artikel 30, stk. 3, fastsætter en række minimumskrav til den kontraktlige ordning for brugen af it-tjenester der understøtter kritiske eller vigtige funktioner.
Den kontraktlige ordning skal sikre en fuldstændig beskrivelse af serviceniveauer, herunder ajourføringer og revisioner heraf, med præcise kvantitative og kvalitative præstationsmål inden for de aftalte serviceniveauer, således at den finansielle enhed kan foretage en effektiv overvågning af it-tjenester, og således at der uden unødigt ophold kan træffes passende afhjælpende foranstaltninger, når de aftalte serviceniveauer ikke overholdes, jf. litra a.
Den kontraktlige ordning skal derudover omfatte opsigelsesfrister og indberetningsforpligtelser for tredjepartsudbyderen af it-tjenester over for den finansielle enhed, herunder underretning om enhver udvikling, som kan have væsentlig indvirkning på, hvorvidt tredjepartsudbyderen af it-tjenester har evnen til effektivt at levere it-tjenester, der understøtter kritiske eller vigtige funktioner i overensstemmelse med de aftalte serviceniveauer, jf. litra b.
Artikel 30, stk. 3, litra c, fastsætter krav til tredjepartsudbyderen af it-tjenester om at gennemføre og teste beredskabsplaner og indføre it-sikkerhedsforanstaltninger, -værktøjer og -politikker, som giver et passende niveau af sikkerhed for, at den finansielle enhed kan foretage levering af tjenester i overensstemmelse med dens reguleringsramme.
Derudover skal den kontraktlige ordning omfatte en forpligtelse for tredjepartsudbyderen af it-tjenester til at deltage i og fuldt ud samarbejde om den finansielle enheds TLPT som omhandlet i artikel 26 og 27, jf. litra d.
Den kontraktlige ordning skal desuden omfatte retten til løbende at overvåge det præstationsniveau, som tredjepartsudbyderen af it-tjenester leverer for den finansielle enhed, en udpeget tredjeparts og Finanstilsynet. Dette indebærer en uindskrænket ret til adgang, inspektion og revision og ret til at tage kopier af relevant dokumentation på stedet, hvis denne har afgørende betydning for tredjepartsudbyderen af it-tjenesters operationer, hvis faktiske udøvelse ikke hindres eller begrænses af andre kontraktlige ordninger eller gennemførelsespolitikker, jf. litra e, nr. i.
Dernæst fastsætter artikel 30, stk. 3, litra e, nr. ii-iv, retten til at nå til enighed om alternative sikkerhedsniveauer, hvis andre kunders rettigheder påvirkes, forpligtelsen for tredjepartsudbyderen af it-tjenester til fuldt ud at samarbejde under de inspektioner og revisioner på stedet, som de kompetente myndigheder, den ledende tilsynsførende, den finansielle enhed eller en udpeget tredjepart udfører og forpligtelsen til at give nærmere oplysninger om omfanget af, de procedurer, som skal følges, og hyppigheden af sådanne inspektioner og revisioner.
I medfør af artikel 30, stk. 3, litra f, skal den finansielle enhed ved en kontraktlig ordning, sørge for at medtage exitstrategier som indeholder en obligatorisk overgangsperiode. I løbet af denne overgangsperiode skal tredjepartsudbyderen af it-tjenester fortsat levere de respektive funktioner eller it-tjenester med henblik på at mindske risikoen for forstyrrelser i den finansielle enhed eller sikre en effektiv afvikling eller omstrukturering heraf. Exitstrategien skal også give den finansielle enhed mulighed for at migrere til en anden tredjepartsudbyder af it-tjenester eller skifte til interne løsninger, der stemmer overens med den leverede tjenestes kompleksitet.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed, ikke formår at vedtage en exitstrategi i deres kontraktlige ordning som sikrer den finansielle enhed fortsat, får leveret de respektive funktioner af it-tjenester fra tredjepartsudbyderen.
Overtrædelser af MiCA og DORA-forordningen kan ske af både fysiske og juridiske personer. I de situationer, hvor ansvarssubjektet er en virksomhed, vil det være udgangspunktet, at tiltalen rejses mod den juridiske person. Der kan i en række tilfælde være anledning til – ud over tiltalen mod den juridiske person – tillige at rejse tiltale mod en eller flere fysiske personer, hvis den eller de pågældende har handlet forsætligt eller udvist grov uagtsomhed. For virksomheder under stiftelse vil ansvarssubjektet være de personer, der stifter virksomheden, da en virksomhed under stiftelse ikke kan være ansvarssubjekt.
Bødeniveauet tiltænkes fastsat i overensstemmelse med § 372, stk. 12, i lov om finansiel virksomhed. Det fremgår heraf, at der ved udmåling af bøder lægges vægt på overtrædelsens grovhed og gerningsmandens økonomiske forhold. For overtrædelser begået af juridiske personer lægges ved vurderingen af gerningsmandens økonomiske forhold vægt på virksomhedens nettoårsomsætning på gerningstidspunktet. For overtrædelser begået af fysiske personer lægges vægt på den pågældendes indtægtsforhold på gerningstidspunktet. Det er afgørende, at der ved strafudmålingen lægges vægt på de nævnte faktorer, således at bøder vil have en pønal og præventiv effekt på alle aktører på markedet, og således at det finansielle incitament til at overtræde bestemmelserne reduceres. Vurderingen af overtrædelsens grovhed bør foregå uafhængig af gerningsmandens økonomiske forhold.
Til nr. 1 (§ 3, stk. 1, nr. 28-29, i lov om firmapensionskasser)
Den gældende bestemmelse i § 3 definerer en række begreber anvendt i lov om firmapensionskasser. Variable løndele og kønsneutrale lønpolitikker er ikke defineret heri.
Variable løndele defineres i den gældende § 5, stk. 1, i bekendtgørelse nr. 16 af 4. januar 2019 om lønpolitik og aflønning i forsikringsselskaber, forsikringsholdingvirksomheder og firmapensionskasser (aflønningsbekendtgørelsen) med senere ændringer som aflønningsordninger, hvor den endelige aflønning ikke er kendt på forhånd, herunder bonusordninger, resultatkontrakter, engangsvederlag og andre lignende ordninger, der ikke er en del af den faste løndel.
Det foreslås at indsætte § 3, stk. 1, nr. 28, hvorefter der ved variable løndele forstås aflønningsordninger, hvor den endelige aflønning ikke er kendt på forhånd, herunder bonusordninger, resultatkontrakter, engangsvederlag og andre lignende ordninger, der ikke er en del af den faste løndel.
Den foreslåede bestemmelse vil med redaktionelle ændringer videreføre aflønningsbekendtgørelsens § 5, stk. 1. Det foreslåede tilsigter ikke materielle ændringer.
Der er ikke i lovteksten tale om en udtømmende opremsning af variable løndele.
Direkte resultatafhængige eller performanceafhængige programmer som, f.eks. bonusordninger, resultatlønskontrakter og andre aflønningsordninger, der afhænger af, at den ansatte lever op til på forhånd fastsatte mål og kriterier, udgør variabel løn.
Fastholdelsesbonusser udgør ligeledes variabel løn, herunder både fastholdelsesbonusser, der udelukkende er bundet op på den ansattes forbliven i en vis periode, og fastholdelsesbonusser, der ligeledes er bundet op på resultatkrav. I forhold til nyansættelsesgodtgørelse (sign-on bonus) og fratrædelsesgodtgørelse reguleres dette i bekendtgørelse nr. 16 af 4. januar 2019 om lønpolitik og aflønning i forsikringsselskaber, forsikringsholdingvirksomheder og firmapensionskasser med senere ændringer.
Endvidere udgør andre ad-hoc beløb, engangsvederlag og diskretionære beløb, som ikke nødvendigvis er direkte resultatafhængige, ligeledes variabel løn. Dette kan både være engangsvederlag på baggrund af f.eks. en bonuspulje i firmapensionskassen, men det kan også være beløb, der tildeles som efterfølgende belønning på baggrund af f.eks. et stort arbejdspres, mange arbejdstimer, gode resultater, færdiggørelse af projekter, omstruktureringer m.v. Sådanne ad-hoc beløb, engangsvederlag og diskretionære beløb udgør også variabel løn, idet den ansatte ikke på forhånd ved, om et sådant vederlag modtages. Aflønningen er således ikke en del af den faste løn og derfor ikke kendt på forhånd.
Aftaletidspunktet er ikke afgørende for, om der er tale om variable løndele. Der kan således være tale om variable løndele, både hvis muligheden for opnåelse af bonus/vederlag er aftalt forudgående, og hvis virksomheden efterfølgende tildeler bonus/vederlag på engangsbasis.
For ansatte, som er omfattet af en aftale om overarbejdstidsbetaling, f.eks. timelønnede ansatte, anses overarbejdstidsbetaling for fast løn, forudsat at der på forhånd er aftalt faste rammer for honorering, herunder i forhold til timeregnskab, timesats, afregningsinterval m.v. Tilsvarende vil på forhånd aftalte faste tillæg til lønnen som udgangspunkt udgøre en del af den faste løndel.
For så vidt angår dividende eller afkast, der tilkommer en ejer af en firmapensionskasse, er der ikke tale om variabel løn i lovens forstand, idet afkast fra eksempelvis en aktie ikke kan anses for at være en løn, der betales af firmapensionskassen på grundlag af en kontrakt om vederlag for det arbejde, den pågældende har udført for firmapensionskassen. Omvendt vil det som udgangspunkt anses for at være variabel løn, såfremt en firmapensionskasse beslutter sig for diskretionært at foretage overskudsdeling til de ansatte, uanset om dette ikke er aftalt på forhånd med de ansatte.
Det foreslås at indsætte § 3, stk. 1, nr. 29, hvorefter der ved begrebet kønsneutral aflønningspolitik forstås en aflønningspolitik, der er baseret på lige løn for samme arbejde eller arbejde af samme værdi uanset den ansattes køn.
Med en kønsneutral lønpolitik menes en politik, som behandler alle køn på samme måde. Det vil sige, at lønpolitikken sikrer, at ansatte modtager lige løn for arbejde af samme art eller arbejde af samme værdi uanset vedkommendes køn og sikrer implementering af virksomhedsværdier, der fremmer ligebehandling af alle køn. Udover at sikre lige løn for samme arbejde skal lønpolitikken ligeledes sikre lige muligheder for ansatte, uanset vedkommendes køn, da dette er en forudsætning for kønsneutral løn.
Princippet om lige løn for samme arbejde eller arbejde af samme værdi uanset vedkommendes køn er nedfældet i artikel 157 i traktaten om Den Europæiske Unions funktionsmåde (TEUF). Dette princip skal anvendes på en konsekvent måde af firmapensionskasserne. Ifølge artikel 157 i TEUF inkluderer lige løn for samme arbejde eller arbejde af samme værdi den almindelige grundløn, mindsteløn eller løn og ethvert andet vederlag, hvad enten det er i kontanter eller naturalier, som medarbejdere modtager direkte eller indirekte for vedkommendes ansættelse af arbejdsgiveren. TEUF opfordrer til yderligere foranstaltninger for at sikre lige muligheder og ligebehandling af alle køn i spørgsmål om beskæftigelse og erhverv. Artikel 157 er udmøntet ved direktiv 2006/54/EF om gennemførelse af princippet om lige muligheder for og ligebehandling af mænd og kvinder i beskæftigelse af erhverv. Direktivet er implementeret ved lov om lige løn til mænd og kvinder.
Der henvises til bemærkningerne til forslagets § 43 e, stk. 2, som affattet ved lovforslagets § 6, nr. 2.
Til nr. 2 (§§ 43 e-43 h i lov om firmapensionskasser)
Den gældende § 8 i bekendtgørelse nr. 16 af 4. januar 2019 om lønpolitik og aflønning i forsikringsselskaber, forsikringsholdingvirksomheder og firmapensionskasser (aflønningsbekendtgørelsen), fastlægger, at en firmapensionskasse skal vedtage en skriftlig lønpolitik. Overtrædelser af bestemmelsen straffes med bøde, jf. § 29, stk. 1, i aflønningsbekendtgørelsen.
Det foreslås i § 43 e, stk. 1, at en firmapensionskasse skal vedtage en skriftlig lønpolitik, der er i overensstemmelse med og fremmer en sund og effektiv risikostyring.
Det foreslåede vil med enkelte redaktionelle ændringer videreføre § 8 i aflønningsbekendtgørelsen. Den foreslåede bestemmelse medfører ingen materielle ændringer.
Den foreslåede bestemmelse vil videreføre implementeringen af artikel 23, stk. 1, og stk. 3, litra d, i Europa-Parlamentets og Rådets direktiv 2016/2341/EU af 14. december 2016 om arbejdsmarkedsrelaterede pensionskassers (IORP’er) aktiviteter og tilsynet hermed. Det følger heraf, at IORP’erne skal udforme og anvende en forsvarlig aflønningspolitik for alle de personer, der reelt leder IORP’en, varetager nøglefunktioner og andre kategorier af personale, hvis professionelle aktiviteter har væsentlig indflydelse på IORP’ens risikoprofil, på en måde, der står i rimeligt forhold til deres størrelse og interne organisation samt størrelsen, arten, omfanget og kompleksiteten af dens aktiviteter. Aflønningspolitikken skal være forenelig med en sund og effektiv risikostyring og må ikke tilskynde til risikotagning, som er uforenelig med IORP’ens risikoprofiler og regler.
En lønpolitik udgør en ramme for firmapensionskassens aflønning af sine ansatte. Lønpolitikken skal være tilpasset virksomhedens forhold og understøtte virksomhedens risikostyring.
Lønpolitikken skal indføres, gennemføres og opretholdes i overensstemmelse med firmapensionskassens forretnings- og risikostyringsstrategi, risikoprofil, mål og risikostyringspraksis samt deres langsigtede interesser og resultater som helhed, ligesom den skal omfatte tiltag til at forhindre interessekonflikter. En lønpolitik bør derfor beskrive, hvilke overordnede mål virksomheden ønsker at opnå med sin aflønningsstruktur.
En lønpolitik skal finde anvendelse på firmapensionskassen som helhed og indeholde specifikke ordninger, som tager højde for opgaver og resultater for medlemmer af bestyrelsen og direktionen samt andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil.
Firmapensionskassens bestyrelse fastlægger de generelle principper for lønpolitikken, som skal omfatte alle ansatte i virksomheden, navnlig aflønning af direktionen, andre væsentlige risikotagere og andre personer, der handler på virksomhedens vegne. En lønpolitik bør endvidere fastlægge rammerne for personer, som handler på virksomhedens vegne, eksempelvis tilknyttede agenter, således at betaling af disse personer ikke tilskynder til uforholdsmæssig risikotagning eller uhensigtsmæssigt salg af produkter. Hvor det er relevant, bør en lønpolitik endvidere tage højde for personsammenfald mellem virksomhedens hovedaktionærer og ansatte samt adressere potentielle interessekonflikter i denne henseende. En lønpolitik skal ligeledes sikre, at der ikke opstår væsentlige interessekonflikter for ansatte i kontrolfunktioner.
Firmapensionskassen skal sikre, at der er en klar, gennemsigtig og effektiv ledelse med hensyn til aflønning, herunder tilsyn med lønpolitikken.
Lønpolitikken skal formidles til alle ansatte i firmapensionskassen.
En lønpolitik skal tage afsæt i virksomhedens størrelse, organisation samt omfanget og kompleksiteten af virksomhedens aktiviteter. Ved vurderingen af virksomhedens størrelse kan der bl.a. lægges vægt på værdien af virksomhedens aktiver og passiver, værdien af virksomhedens risikovægtede aktiver, summen af store engagementer, kapitalgrundlaget samt antallet af ansatte. Ved vurdering af virksomhedens organisation kan der bl.a. lægges vægt på virksomhedens organisering af passende risikostyringsfunktioner. Ved vurdering af arten samt omfanget og kompleksiteten af virksomhedens aktiviteter kan der bl.a. lægges vægt på kompleksiteten og karakteren af virksomhedens forretningsmodel, produkter og kontrakter samt underliggende aktiver og passiver.
En lønpolitik skal være i overensstemmelse med virksomhedens forretningsmodel og risikoprofil, værdier, langsigtede interesser, organisatoriske struktur samt iagttage forbruger og investorbeskyttelseshensyn, herunder tage hensyn til de langsigtede virkninger af trufne investeringsbeslutninger. En lønpolitik må ikke tilskynde til overdreven risikotagning, men skal derimod fremme ansvarlig forretningsadfærd og tilskynde til risikobevidsthed og forsigtig risikotagning.
En lønpolitik skal indeholde de overordnede mål for virksomhedens, forretningsenhedernes og ansattes resultater og de overordnede metoder for måling af resultaterne samt de overordnede resultatkriterier. Virksomhedens lønpolitik bør skelne mellem de forskellige forretningsenheder, ledelsesfunktioner samt kontrolfunktioner for så vidt angår variabel aflønning og de overordnede resultatkriterier.
En lønpolitik skal sikre, at der ved beslutninger om tildeling af variabel løn tages højde for de risici, som er forbundet med de resultatkrav, der kan udløse en variabel løn. Resultatkravene skal afspejle både de ansattes, forretningsenhedernes og virksomhedens samlede resultater.
En lønpolitik skal afspejle, om der er forskel på muligheden for at optjene variabel løn mellem de forskellige forretningsenheder, herunder hvilke risici der er forbundet hermed i de forskellige forretningsenheder, samt hvordan dette afspejles i muligheden for variabel løn. Det skal således være muligt at udlede af virksomhedens lønpolitik, om og hvordan virksomheden anvender variabel løn, herunder hvilke overordnede kriterier der gælder for, at en ansat kan få tildelt variabel løn. Virksomheden kan have fastsat kriterier som eksempelvis omkostningsudviklingen i virksomheden, kundetilfredshed og virksomhedens resultat før skat.
En firmapensionskasse skal have en lønpolitik uanset, om virksomheden alene anvender fast løn og således ikke anvender variabel aflønning. Anvender virksomheden alene variabel løn i ekstraordinære tilfælde, eksempelvis i tilfælde af at ansatte har ydet en ekstraordinær indsats, skal det fremgå af lønpolitikken, at virksomheden anvender variabel løn, herunder hvilke former for variabel løn virksomheden anvender i sådanne tilfælde samt kriterierne for tildeling af løndelen.
Da der gælder særlige begrænsninger for brugen af variabel løn til bestyrelse, direktion og andre væsentlige risikotagere, er det naturligt, at en lønpolitik særligt fokuserer på aflønningen af denne personkreds, uanset at den gælder for alle ansatte. Virksomhedens lønpolitik bør angive, hvilke former for variabel løn, eksempelvis resultatkontrakter, nyansættelsesgodtgørelser, fastholdelsesbonusser m.v., der kan tildeles, herunder tage stilling til de begrænsninger for brugen af variabel løn, som følger af det foreslåede § 43 h.
En lønpolitik skal eksempelvis fastlægge loftet for variabel løn for bestyrelsen, direktionen samt virksomhedens andre væsentlige risikotagere, hvis virksomheden anvender variabel løn. Loftets størrelse kan variere for bestyrelsen, direktionen og andre væsentlige risikotagere, så længe disse er fastsat indenfor rammerne af det foreslåede § 43 h, stk. 1, nr. 1-3. Bestyrelsen kan med generalforsamlingens godkendelse eksempelvis fastsætte et loft, som er lavere end det, der følger af det foreslåede § 43 h, stk. 1, nr. 1-3.
Såfremt virksomheden tildeler variabel løn til bestyrelsen, direktionen eller andre væsentlige risikotagere, skal lønpolitikken sikre en passende balance mellem den faste og den variable løndel. Den passende balance kan variere afhængigt af modtagerens funktion og virksomhedens forhold i øvrigt. Anvender virksomheden instrumenter som variabel løn, bør en lønpolitik oplyse, hvilke former for instrumenter en virksomhed kan tildele, eksempelvis efterstillet gæld, aktier i modervirksomheden m.m. Såfremt en virksomhed anvender eller gerne vil have mulighed for at anvende nyansættelsesgodtgørelser, som pr. definition er variabel løn, bør den maksimale størrelse heraf fremgå af lønpolitikken.
Hvis det er relevant, bør lønpolitikken endvidere indeholde virksomhedens krav til udskydelse af variable løndele samt begrundelse for, hvordan udskydelsesperioden er tilpasset virksomhedens risikoprofil. Lønpolitikken bør ligeledes, hvis relevant, indeholde en beskrivelse af, hvordan virksomheden forholder sig til kravene om forudgående og efterfølgende risikojustering af tildeling og udbetaling af variabel løn. I praksis medfører en effektiv lønpolitik, at variable løndele kan nedjusteres som følge af forudgående eller efterfølgende risikojusteringer. Eksempelvis kan det fremgå af en lønpolitik, at variable løndele nedjusteres på udbetalingstidspunktet som følge af, at virksomhedens økonomiske situation er væsentligt forringet siden tildelingstidspunktet. En lønpolitik bør således anføre, hvordan variable løndele kan justeres i forhold til ændringer i resultater for de enkelte ansatte, afdelingerne samt virksomheden. Endvidere kan det eksempelvis fremgå af lønpolitikken, at variable løndele kan nedjusteres eller kræves tilbagebetalt som følge af, at modtageren har været i ond tro.
En lønpolitik skal bidrage til opnåelse og opretholdelse af et sundt kapitalgrundlag og tage højde for eventuelle restriktioner for udlodninger. En lønpolitik bør således tage højde for, at udbetaling af variabel løn ikke svækker virksomhedens mulighed for at styrke sit kapitalgrundlag.
En lønpolitik bør angive fremgangsmåden for udpegning af væsentlige risikotagere.
I medfør af den foreslåede ændring til § 117, stk. 2, jf. lovforslagets § 6, nr. 9, kan overtrædelse af § 43 e, stk. 1, straffes med bøde. Ansvarssubjektet i forhold til overtrædelser af bestemmelsen er firmapensionskassen. Overtrædelser kan eksempelvis bestå i, at en firmapensionskasse helt undlader at udarbejde en skriftlig lønpolitik eller har en lønpolitik, som åbenlyst er i strid med aflønningsreglerne.
Det foreslås i § 43 e, stk. 2, at firmapensionskassens lønpolitik skal være kønsneutral.
Ved en kønsneutral lønpolitik forstås en lønpolitik baseret på lige løn for samme arbejde eller arbejde af samme værdi uanset den ansattes køn.
Firmapensionskassens bestyrelse skal således vedtage og opretholde en lønpolitik, der sikrer, at ansatte modtager lige løn for arbejde af samme art eller arbejde af samme værdi uanset vedkommendes køn, og sikrer implementering af virksomhedsværdier, der fremmer ligebehandling af alle køn. Udover at sikre lige løn for samme arbejde skal lønpolitikken ligeledes sikre lige muligheder for ansatte, uanset vedkommendes køn, da dette er en forudsætning for kønsneutral løn. Firmapensionskassens kønsneutrale lønpolitik skal finde anvendelse for alle firmapensionskassens ansatte, inklusive firmapensionskassens væsentlige risikotagere.
Lønpolitikken og alle tilknyttede ansættelsesvilkår, der har indflydelse på lønnen pr. måleenhed eller tidsrate, bør være kønsneutral. Dette inkluderer, men er ikke begrænset til løn, herunder tildelings- og udbetalingsbetingelser, rekrutteringspolitikker, karriereudviklings- og successionsplaner, adgang til uddannelse og muligheden for at søge om interne stillinger. Enhver form for kønsdiskrimination eller andre former for forskelsbehandling skal ikke tolereres. Dette omfatter eksempelvis forskelsbehandling som følge af forældreorlov.
Princippet om lige løn til mænd og kvinder for samme arbejde eller arbejde af samme værdi er nedfældet i artikel 157 i traktaten om Den Europæiske Unions funktionsmåde (TEUF). Dette princip skal anvendes på en konsekvent måde af institutterne. Ifølge artikel 157 i TEUF inkluderer lige løn for samme arbejde eller arbejde af samme værdi den almindelige grundløn, mindsteløn eller løn og ethvert andet vederlag, hvad enten det er i kontanter eller naturalier, som medarbejdere modtager direkte eller indirekte for vedkommendes ansættelse af arbejdsgiveren. TEUF opfordrer til yderligere foranstaltninger for at sikre lige muligheder og ligebehandling af ethvert køn i spørgsmål om beskæftigelse og erhverv. Artikel 157 er udmøntet ved direktiv 2006/54/EF om gennemførelse af princippet om lige muligheder for og ligebehandling af mænd og kvinder i beskæftigelse af erhverv. Direktivet er implementeret ved lov om lige løn til mænd og kvinder.
I medfør af de foreslåede ændringer af § 117, stk. 2, jf. lovforslagets § 6, nr. 9, kan overtrædelser af § 43 e, stk. 2, straffes med bøde. Ansvarssubjektet i forhold til overtrædelse af bestemmelsen vil være firmapensionskassen. Overtrædelser il eksempelvis kunne bestå i, at virksomhedens lønpolitik ikke er kønsneutral eller ikke sikrer lige muligheder for alle køn.
Den gældende § 14 i bekendtgørelse nr. 16 af 4. januar 2019 om lønpolitik og aflønning i forsikringsselskaber, forsikringsholdingvirksomheder og firmapensionskasse med senere ændringer (aflønningsbekendtgørelsen), fastsætter regler om godkendelse af lønpolitikken, om at bestyrelsesformanden skal redegøre for virksomhedens aflønning af bestyrelse og direktion samt om offentliggørelsen af oplysninger om aflønningen af ledelsen i virksomheden. Overtrædelser af bestemmelsen straffes med bøde, jf. § 29 i aflønningsbekendtgørelsen.
Det foreslås i § 43 f, stk. 1, 1. pkt., at firmapensionskassens øverste organ skal godkende firmapensionskassens lønpolitik, jf. § 43 e, herunder retningslinjer for tildeling af variabel løn og retningslinjer for fratrædelsesgodtgørelser, ved enhver væsentlig ændring og mindst hvert fjerde år.
Kravet om det øverste organs godkendelse af lønpolitikken (»say on pay«) er gennemført i overensstemmelse med den politiske aftale af 31. august 2010 mellem den daværende regering (Venstre og Det Konservative Folkeparti), Socialdemokraterne, Dansk Folkeparti, Socialistisk Folkeparti, Radikale Venstre og Liberal Alliance om forsvarlig lønpolitik i den finansielle sektor. Det følger af aftalen, at der skal være forsvarlige aflønningspolitikker i den finansielle sektor, som også sikrer kapitalejernes indflydelse på virksomhedens lønpolitik. Firmapensionskassens lønpolitik skal således efter den foreslåede bestemmelse godkendes af det øverste organ, hvilket typisk er generalforsamlingen, uanset om firmapensionskassen benytter variabel aflønning eller ej, idet en beslutning om ikke at benytte variabel aflønning ligeledes udgør en lønpolitik, som medlemmerne af det øverste organ skal tage stilling til.
Lønpolitikken vil skulle godkendes som et separat punkt på dagsordenen. En lønpolitik kan eksempelvis ikke godkendes som en del af formandens beretning.
Hvis det øverste organ ikke godkender lønpolitikken, skal bestyrelsen udarbejde en ny lønpolitik, der tager højde for det øverste organs bemærkninger, og som igen skal forelægges til godkendelse for det øverste organ.
Det følger af det foreslåede, at firmapensionskassens øverste organ skal godkende virksomhedens lønpolitik ved enhver væsentlig ændring og mindst hvert fjerde år.
En væsentlig ændring, som vil forudsætte en ny godkendelse, kan f.eks. være en justering af rammerne for fordelingen mellem fast og variabel løn eller introduktion af nye komponenter i lønpolitikken. Helt formelle ændringer i lønpolitikken, herunder tilpasning af formalia og lign., anses ikke for at udgøre en væsentlig ændring.
Enhver ændring af lønforholdene for medlemmer af direktionen og bestyrelsen anses for at udgøre en væsentlig ændring.
Som hidtil vil de ændrede dele af lønpolitikken først kunne benyttes for aftaler om variabel løn for direktionen og bestyrelsen, når den reviderede lønpolitik er godkendt af firmapensionskassens øverste organ. Det vil være i modstrid med det nævnte »say on-pay-princip«, hvis ændrede dele af lønpolitikken kan benyttes for direktionen og bestyrelsen, før virksomhedens øverste organ har taget stilling til den reviderede lønpolitik.
For væsentlige risikotagere kan ændrede dele af en revideret lønpolitik som hidtil benyttes, når den reviderede lønpolitik er godkendt af bestyrelsen. Den reviderede lønpolitik godkendes så af firmapensionskassens øverste organ ved førstkommende lejlighed. Lønpolitikken skal altid være i overensstemmelse med og fremme en sund og effektiv risikostyring, jf. den foreslåede § 43 e.
Lønpolitikken skal ikke berøre ansættelsesforhold, der er omfattet af kollektive overenskomster, medmindre der er tale om bonusordninger m.v. for overenskomstansatte, som ikke er fastsat i overenskomsten, hvilket betyder, at virksomhedens øverste organ ikke vil skulle godkende lønforhold, der reguleres af det overenskomstdækkede område.
Det foreslås i 43 f, stk. 1, 2. pkt., at firmapensionskassens lønpolitik hurtigst muligt efter godkendelsen skal offentliggøres på virksomhedens hjemmeside.
Det vil betyde, at lønpolitikken skal offentliggøres på virksomhedens hjemmeside umiddelbart efter godkendelsen uden unødigt ophold.
Det foreslås i § 43 f, stk. 1, 3. pkt., at lønpolitikken skal forblive offentligt tilgængelig på hjemmesiden, så længe den er gældende.
Den foreslåede bestemmelse vil indebære, at virksomheden ikke må fjerne en allerede offentliggjort lønpolitik fra sin hjemmeside, så længe den er gældende.
I medfør af det foreslåede § 117, stk. 2, jf. lovforslagets § 6, nr. 3, kan overtrædelse af § 43 f, stk. 1, straffes med bøde. Ansvarssubjektet i forhold til overtrædelser af bestemmelsen er firmapensionskassen. Overtrædelser kan eksempelvis bestå i, at firmapensionskassen undlader at offentliggøre sin lønpolitik, eller at firmapensionskassen undlader at forelægge en ny lønpolitik, der medfører væsentlige ændringer i aflønningen i den pågældende virksomhed, for det øverste organ.
Det foreslås i § 43 f, stk. 2, 1. pkt., at formanden for bestyrelsen i sin beretning for firmapensionskassens øverste organ skal redegøre for aflønningen af firmapensionskassens bestyrelse og direktion.
Den foreslåede bestemmelse vil indeholde en pligt for formanden for bestyrelsen i firmapensionskassen til at redegøre for aflønningen af firmapensionskassens bestyrelse og direktion. Redegørelsen skal indgå som et led i formandens beretning for virksomhedens øverste organ.
Formålet med kravet er, at generalforsamlingen i firmapensionskassen skal forholde sig til bestyrelsens og direktionens aflønning.
Det foreslås i § 43 f, stk. 2, 2. pkt., at redegørelsen skal indeholde oplysninger om aflønningen i det foregående regnskabsår og om den forventede aflønning i det indeværende samt det kommende regnskabsår.
Det foreslås i § 43 f, stk. 2, 3. pkt., at formanden for bestyrelsen skal forklare og begrunde lønpolitikkens indhold og dens efterlevelse i sin beretning for virksomhedens øverste organ.
Formandens beretning skal navnlig adressere de overordnede komponenter i virksomhedens lønpolitik og uddybe hensigten hermed. Derudover skal bestyrelsesformanden forklare lønpolitikkens efterlevelse, herunder tilfælde hvor lønpolitikken eventuelt ikke efterleves.
Hvis det øverste organ skal godkende forslag til revideret lønpolitik, jf. det foreslåede § 43 b, stk. 1, vil formanden for bestyrelsen kunne begrænse forklaringen af og begrundelsen for lønpolitikkens indhold og dens efterlevelse til ændringerne af lønpolitikken og formålet med disse ændringer.
I medfør af det foreslåede § 117, stk. 2, jf. lovforslagets § 6, nr. 3, kan overtrædelser af § 43 f, stk. 2, straffes med bøde. Ansvarssubjektet i forhold til overtrædelser af bestemmelsen er firmapensionskassen. Den strafbare handling kan eksempelvis bestå i, at formanden for bestyrelsen ikke forklarer lønpolitikkens indhold og dens efterlevelse i sin beretning for virksomhedens øverste organ.
Det foreslås i § 43 f, stk. 3, at firmapensionskassens øverste organ skal godkende aflønningen af virksomhedens bestyrelse for det igangværende regnskabsår.
Det foreslåede vil indebære, at virksomhedens øverste organ skal godkende aflønningen af firmapensionskassens bestyrelse for det igangværende regnskabsår særskilt. Der gælder allerede krav om, at bestyrelsesformanden i sin beretning redegør for aflønningen af firmapensionskassens bestyrelse og direktion. I naturlig forlængelse heraf foreslås krav om, at firmapensionskassens øverste ledelsesorgan godkender bestyrelsens aflønning.
I medfør af det foreslåede § 117, stk. 2, jf. lovforslagets § 6, nr. 3, kan overtrædelser af § 43 f, stk. 3, straffes med bøde. Ansvarssubjektet i forhold til overtrædelser af bestemmelsen er firmapensionskassen. Den strafbare handling kan eksempelvis bestå i, at firmapensionskassens øverste organ ikke får forelagt indstillingen om aflønningen af bestyrelsen for det igangværende regnskabsår, hvorefter firmapensionskassen vil kunne straffes herfor.
Det foreslås i § 43 f, stk. 4, at bestyrelsen i en firmapensionskasse årligt skal udarbejde og offentliggøre en vederlagsrapport.
Det foreslåede vil indebære, at bestyrelsen skal udarbejde en klar og forståelig vederlagsrapport, som giver et overblik over den samlede aflønning af ledelsesmedlemmerne i virksomheden i medfør af lønpolitikken, jf. stk. 1. Den samlede aflønning skal forstås som summen af fast og variabel løn, herunder eventuelle godtgørelser og lignende, som hvert medlem af bestyrelsen eller direktionen har optjent.
Alle goder uanset form betragtes i relation til vederlagsrapporten som aflønning, der således også gælder typer af goder, der ikke er nævnt direkte i virksomhedens lønpolitik.
Den foreslåede bestemmelse vil indebære, at firmapensionskassen skal offentliggøre oplysninger i vederlagsrapporten om enkeltpersoners lønforhold. Oplysninger om enkeltpersoners lønforhold er personoplysninger og reguleres af databeskyttelsesloven og databeskyttelsesforordning Europa-Parlamentets og Rådets forordning af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (2016/679). Databeskyttelseslovens § 1, stk. 3, fastslår, at regler om behandling af personoplysninger i anden lovgivning, som ligger inden for databeskyttelsesforordningens rammer for særregler om behandling af personoplysninger, går forud for reglerne i databeskyttelsesloven. Almindelige personoplysninger er omfattet af databeskyttelsesforordningens artikel 6. Behandlingen (offentliggørelsen) af oplysningerne skal ske i overensstemmelse med forordningens artikel 5, der indeholder grundlæggende principper for behandling af oplysninger, og behandlingsreglen i artikel 6. Endvidere skal firmapensionskassen i forbindelse med offentliggørelsen af de individuelle lønninger navnlig iagttage kravene i databeskyttelsesforordningens kapitel III om den registreredes rettigheder, herunder reglerne om gennemsigtighed, oplysning og indsigt i personoplysninger og om berigtigelse og sletning. Databeskyttelsesforordningens artikel 6 opregner en række betingelser for, hvornår det er muligt at offentliggøre personoplysninger, eksempelvis hvis den registrerede har givet sit samtykke hertil, jf. artikel 6 stk. 1, litra a, for at overholde en retlig forpligtelse, som påhviler den dataansvarlige, jf. artikel 6 stk. 1, litra c, eller hvis behandlingen er nødvendig af hensyn til udførelse af en opgave i samfundets interesse, jf. artikel 6 stk. 1, litra e. I henhold til databeskyttelsesforordningens artikel 5 skal personoplysninger behandles lovligt, rimeligt og på en gennemsigtig måde i forhold til den registrerede, jf. artikel 5, stk. 1, litra a, og må indsamles til udtrykkeligt angivne og legitime formål og må ikke viderebehandles på en måde, der er uforenelig med disse formål, jf. artikel 5, stk. 1, litra b.
Den foreslåede bestemmelse indebærer, at firmapensionskassen kan offentliggøre direktionens og bestyrelsesmedlemmernes vederlag, uden at de pågældende har givet deres udtrykkelige samtykke hertil, da det vurderes, at oplysninger om det enkelte ledelsesmedlems samlede vederlag på årsbasis er af væsentlig interesse for offentligheden, herunder navnlig for firmapensionskassens medlemmer. Det sikres herved, at firmapensionskassens medlemmer får et indblik i, hvordan virksomheden aflønner de personer, der står for firmapensionskassens daglige ledelse (direktionen), og de personer, der har det overordnede ansvar for firmapensionskassen og dennes overlevelse på længere sigt (bestyrelsen). Indsigten i aflønningen af ledelsen kan således være grundlæggende for medlemmernes vurdering af, om der er en fornuftig sammenhæng mellem firmapensionskassens resultater og belønning af ledelsen.
Udover de oplysnings- og offentliggørelseskrav, der stilles i det foreslåede stk. 5-6, stilles der ikke formkrav til, hvordan firmapensionskassen udformer vederlagsrapporten.
I medfør af det foreslåede § 117, stk. 2, jf. lovforslagets § 6, nr. 3, kan overtrædelse af § 43 f, stk. 4, straffes med bøde. Ansvarssubjektet i forhold til overtrædelser af bestemmelsen er firmapensionskassen. Den strafbare handling kan eksempelvis bestå i, at en virksomhed omfattet af bestemmelsen helt undlader at udarbejde en vederlagsrapport.
Det foreslås i § 43 f, stk. 5, at vederlagsrapporten skal indeholde oplysninger nævnt i stk. 5, nr. 1 og 2.
Oplysningerne har til formål at bibringe medlemmerne og øvrige interessenter et bedre grundlag for at vurdere, om der er forbindelse mellem løn og resultater for hvert enkelt ledelsesmedlem.
I medfør af det foreslåede § 117, stk. 2, jf. lovforslagets § 6, nr. 3, kan overtrædelser af det foreslåede § 43 f, stk. 5, straffes med bøde. Ansvarssubjektet i forhold til overtrædelser af bestemmelsen er firmapensionskassen. Den strafbare handling kan eksempelvis bestå i, at firmapensionskassens vederlagsrapport helt eller delvist ikke indeholder oplysningerne nævnt i stk. 5, nr. 1 og 2.
Det foreslås i § 43 f, stk. 5, nr. 1, at vederlagsrapporten skal indeholde oplysninger om det samlede vederlag, som hvert medlem af bestyrelsen og direktionen har optjent fra firmapensionskassen og andre virksomheder inden for samme koncern i de seneste tre år, herunder oplysninger om fastholdelses- og fratrædelsesordningers væsentligste indhold.
Vederlagsrapporten skal give et samlet overblik over den aflønning, som de enkelte ledelsesmedlemmer, herunder nye og tidligere, har optjent fra firmapensionskassen og andre virksomheder indenfor samme koncern i de seneste tre år. Vederlagsrapporten skal angive de pågældende ledelsesmedlemmer med navn og skal således oplyse vederlaget fordelt på individniveau.
Ved optjente beløb forstås både faste og variable løndele, som er udbetalt, såvel som løndele, der endnu ikke er kommet til udbetaling.
Der skal ikke kun rapporteres om ledelsesmedlemmer, der har fungeret i et helt regnskabsår eller samtlige af de tre seneste år, men om alle eksisterende, nye og tidligere ledelsesmedlemmer, der har optjent vederlag, som er udbetalt eller endnu ikke er kommet til udbetaling i den pågældende treårige periode. For tidligere ledelsesmedlemmer oplyses også eksempelvis om eventuelle fratrædelsesgodtgørelser, der er blevet udbetalt i perioden efter fratrædelsen.
Vederlagsrapporten må ikke indeholde de særlige kategorier af personoplysninger, som er omhandlet i artikel 9, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger (databeskyttelsesforordningen). Se også bemærkningerne til det foreslåede § 43, stk. 4, i lov om firmapensionskasser, jf. ovenfor, om forholdet til persondatabeskyttelsesreglerne.
Det foreslås i § 43 f, stk. 5, nr. 2, at vederlagsrapporten skal indeholde en redegørelse for sammenhængen mellem ledelsens aflønning og virksomhedens strategi og relevante mål herfor.
Det foreslåede vil indebære, at virksomheden i vederlagsrapporten skal beskrive sammenhængen mellem den faktiske aflønning af ledelsen, virksomhedens lønpolitik og de bagvedliggende mål, som aflønningspolitikken understøtter.
Det foreslås i § 43 f, stk. 6, 1. pkt., at hurtigst muligt efter generalforsamlingens afholdelse skal vederlagsrapporten offentliggøres på firmapensionskassens hjemmeside.
Det vil betyde, at vederlagsrapporten skal offentliggøres på firmapensionskassens hjemmeside umiddelbart efter generalforsamlingens afholdelse uden unødigt ophold.
Det foreslås i § 43 f, stk. 6, 2. pkt., at vederlagsrapporten skal forblive offentligt tilgængelig på hjemmesiden i en periode på 10 år.
Offentliggørelse af vederlagsrapporten er nødvendig for, at medlemmerne og øvrige interessenter bedre kan vurdere, hvordan virksomheden gennemfører sin lønpolitik i praksis, herunder aflønningen af de enkelte ledelsesmedlemmer, og i hvilken udstrækning denne aflønning er afpasset virksomhedens strategi og mål.
Det foreslås i § 43 f, stk. 6, 3. pkt., at vederlagsrapporten kan være tilgængelig i en længere periode, forudsat at den ikke længere indeholder personoplysninger.
Det foreslåede vil indebære at firmapensionskassens øverste organ kan vælge at lade vederlagsrapporten være tilgængelig i en længere periode end 10 år, forudsat at vederlagsrapporten ikke indeholder personoplysninger.
Det vil i praksis betyde, at der skal laves en version af vederlagsrapporten, hvor det ikke længere fremgår, hvilke ledelsesmedlemmer – nuværende eller tidligere - der har modtaget hvilke vederlag. Dette vil som minimum betyde, at navnene på alle ledelsesmedlemmer skal fjernes fra rapporten.
Overtrædelser af det foreslåede stk. 6 vil kunne straffes med bøde efter det foreslåede i § 117, stk. 2, jf. lovforslagets § 6, nr. 3. Ansvarssubjektet i forhold til overtrædelser af bestemmelsen er firmapensionskassen. Den strafbare handling kan eksempelvis bestå i, at en firmapensionskasse undlader at offentliggøre vederlagsrapporten, eller at firmapensionskassens vederlagsrapport er offentliggjort i kortere tid end 10 år.
Det følger af § 19 i bekendtgørelse nr. 16 af 4. januar 2010 om lønpolitik og aflønning i forsikringsselskaber, forsikringsholdvirksomheder og firmapensionskasser (aflønningsbekendtgørelsen), at firmapensionskassen, i tilfælde af outsourcing af firmapensionskassens aktiviteter til leverandører efter § 40 i lov om firmapensionskasser, skal sikre, at lønpolitikken overholdes af den virksomhed, som firmapensionskassen har outsourcet aktiviteterne til. Det indebærer, at firmapensionskassen skal sikre, at lønpolitikken skal overholdes for så vidt angår aflønning af ledelsen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, i det omfang aflønningen relaterer sig til arbejde, som er outsourcet fra firmapensionskassen. Det indebærer også, at det skal fremgå af de kontraktuelle forpligtelser mellem firmapensionskassen og virksomheden, som firmapensionskassen har outsourcet til, at lønpolitikken skal overholdes.
Den foreslåede § 43 g vil videreføre § 19 i aflønningsbekendtgørelsen.
Det følger af det foreslåede stk. 1, 1. pkt., at en firmapensionskasse ved outsourcing af aktiviteter til en leverandør skal sikre, at aflønning af ledelsen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, hos leverandøren sker inden for rammerne af firmapensionskassens lønpolitik.
Den foreslåede bestemmelse vil gennemføre artikel 31, stk. 2 og stk. 3, litra a, i Europa-Parlamentets og Rådets direktiv 2016/2341/EU af 14. december 2016 om arbejdsmarkedsrelaterede pensionskassers (IORP’er) aktiviteter og tilsynet hermed. Det følger heraf, at IORP’erne skal bevare det fulde ansvar for, at forpligtelserne i medfør af dette direktiv opfyldes, når de outsourcer nøglefunktioner eller andre aktiviteter. Outsourcing af nøglefunktioner eller andre aktiviteter må ikke foregå på en måde, der kan føre til forringelse af kvaliteten af ledelsessystemet i den pågældende IORP.
Den foreslåede bestemmelse vil medføre, at en firmapensionskasse som hidtil skal sikre, at firmapensionskassens lønpolitik overholdes af den leverandør, som firmapensionskassen har outsourcet firmapensionskassens aktiviteter til, herunder outsourcing af nøglefunktioner og ledelse, i det omfang aflønningen relaterer sig til arbejde, som er outsourcet fra firmapensionskassen.
Firmapensionskassen er således ikke forpligtet til at sikre, at den generelle aflønning hos leverandøren, som firmapensionskassen har outsourcet blandt andet nøglefunktioner og ledelse til, efterlever firmapensionskassens lønpolitik. Firmapensionskassens forpligtelse til at sikre, at lønpolitikken overholdes af leverandøren, er begrænset til de tilfælde, hvor firmapensionskassen har outsourcet aktiviteter, der vedrører firmapensionskassens ledelse eller ansatte, hvis aktiviteter har væsentlig indflydelse på virksomhedens risikoprofil.
Det er hensigten med bestemmelsen at sikre, at aflønningsreglerne ikke kan omgås ved outsourcing af opgaverne.
Det følger af det foreslåede § 43 g, stk. 1, 2. pkt., at det skal fremgå af aftalen mellem firmapensionskassen og leverandøren, at firmapensionskassens lønpolitik skal overholdes.
Den foreslåede bestemmelse vil gennemføre artikel 31, stk. 5, i Europa-Parlamentets og Rådets direktiv 2016/2341/EU af 14. december 2016 om arbejdsmarkedsrelaterede pensionskassers (IORP’er) aktiviteter og tilsynet hermed. Herefter skal IORP’er, der outsourcer nøglefunktioner, ledelse af disse IORP’er eller andre aktiviteter, der er omfattet af dette direktiv, indgå skriftlig aftale med tjenesteyderen. En sådan aftale skal have retsvirkning og skal klart beskrive IORP’ens og tjenesteyderens rettigheder og forpligtelser.
Firmapensionskassen vil således være forpligtet til at sikre, at det fremgår af aftalen med leverandøren, der outsources aktiviteter til, at firmapensionskassens lønpolitik overholdes i de tilfælde, hvor leverandøren varetager funktioner, hvis ansvarshavende almindeligvis ville være omfattet af firmapensionskassens lønpolitik.
Det foreslås i § 43 g, stk. 2, at stk. 1 ikke finder anvendelse i det omfang leverandøren allerede er underlagt regler om aflønning i den finansielle regulering.
Den gældende § 18 i bekendtgørelse nr. 16 af 4. januar 2019 om lønpolitik og aflønning i forsikringsselskaber, forsikringsholdingvirksomheder og firmapensionskasse (aflønningsbekendtgørelsen), med senere ændringer, indeholder regler om begrænsninger af brugen af variable løndele for medlemmer af bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på virksomhedens risikoprofil i firmapensionskasser. Overtrædelse af bestemmelsen straffes med bøde, jf. § 29, stk. 1, i aflønningsbekendtgørelsen.
Det foreslås i § 43 h, stk. 1, nr. 1, at firmapensionskasser ved aflønning af bestyrelsen og direktionen skal sikre, at de variable løndele til et medlem af bestyrelsen eller direktionen på tidspunktet for beregningen af den variable løndel højst må udgøre 50 pct. af henholdsvis honoraret eller den faste grundløn inklusive pension.
Bestemmelsen vil udgøre en offentligretlig regulering af firmapensionskassernes pligter, som har indflydelse på den pågældende virksomheds mulighed for at indgå aftaler om variabel løn med medlemmer af bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil.
Firmapensionskassen vil kunne vælge, at den variable løndel skal variere i forhold til bestyrelsen og direktionen. Den variable løndel kan dog ikke overstige den i forslaget fastsatte procentsats.
Loftet på 50 pct. for et medlem af bestyrelsen eller direktionen vil skulle opgøres på beregningstidspunktet, dvs. ved tildeling af en variabel løndel og inden udskydelse af en del af den variable løndel. Overholdelsen af grænsen for variabel løn skal ses i forhold til det indkomstår, hvor den variable løn optjenes.
Efter det foreslåede skal der være en passende balance mellem variable og faste løndele, så den faste løndel er så tilstrækkelig høj, at det er muligt at føre en fleksibel bonuspolitik, og for at sikre, at ledelsens privatøkonomi ikke skal være afhængig af, at de opnår deres bonus.
Det foreslås i § 43 h, stk. 1, nr. 2, at de variable løndele til firmapensionskassens andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil (væsentlige risikotagere), på beregningstidspunktet højst må udgøre 100 pct. af den faste grundløn, inklusive pension på tidspunktet for beregningen af den variable løn.
Loftet skal gælde for hver enkelt person.
Loftet på 100 pct. for firmapensionskassens væsentlige risikotagere skal opgøres på beregningstidspunktet, dvs. ved tildeling af en variabel løndel og inden udskydelse af en del af den variable løndel. Overholdelsen af grænsen for variabel løn skal ses i forhold til det indkomstår, hvor den variable løn optjenes. Dette svarer til fremgangsmåden ved opgørelse af loftet på 50 pct. for bestyrelse og direktion, jf. det foreslåede stk. 1, nr. 1.
Der skal være en passende balance mellem variable og faste løndele, så den faste løndel er tilstrækkelig høj til at muliggøre en fleksibel bonuspolitik, og for at sikre, at den ansattes privatøkonomi ikke skal være afhængig af, at de opnår bonus.
Det foreslås i § 43 h, stk. 1, nr. 3, at firmapensionskassens øverste organ kan beslutte, at de variable løndele til firmapensionskassens andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, kan udgøre op til 200 pct. af den faste grundløn inklusive pension, på tidspunktet for beregning af den variable løn, hvis betingelserne i litra a-e er opfyldt.
Kravene i de foreslåede litra a-e er kumulative. De skal således alle være opfyldt.
Beslutningen om benyttelse af et højere maksimalt loft vil enten kunne vedrøre alle firmapensionskassens væsentlige risikotagere eller vedrøre en del af disse ansatte, eksempelvis væsentlige risikotagere i en bestemt afdeling. Det øverste organ kan således beslutte, at der skal gælde forskellige maksimale lofter for forskellige grupper af væsentlige risikotagere.
Loftet på 200 pct. for væsentlige risikotagere vil skulle opgøres på beregningstidspunktet, dvs. ved tildeling af en variabel løndel og inden udskydelse af en del af den variable løndel. Overholdelsen af grænsen for variabel løn skal ses i forhold til det indkomstår, hvor den variable løn optjenes. Dette svarer til fremgangsmåden ved opgørelse af loftet på 50 og 100 pct., jf. det foreslåede § 43 h, stk. 1, nr. 1 og 2.
Der vil skulle være en passende balance mellem variable og faste løndele, således at den faste løndel er så tilstrækkelig høj, at det er muligt at føre en fleksibel bonuspolitik, og for at sikre, at den ansattes privatøkonomi ikke skal være afhængig af, at de opnår deres bonus.
Det foreslås i § 43 h, stk. 1, nr. 3, litra a, at firmapensionskassen senest ved indkaldelse til det øverste organs forsamling skal orientere det øverste organ om, at der ønskes stillingtagen til benyttelse af et højere maksimalt loft for de variable løndele.
Firmapensionskassens øverste organ er generalforsamlingen. Firmapensionskassen kan benytte de kommunikationsmidler, som firmapensionskassen normalt benytter ved indkaldelse til generalforsamling m.v.
Det foreslås i § 43 h, stk. 1, nr. 3, litra b, at det øverste organ skal træffe beslutning om benyttelse af et højere maksimalt loft for variable løndele på baggrund af en detaljeret anbefaling fra firmapensionskassen, der begrunder indstillingen herom, herunder antallet af berørte ansatte, disses arbejdsområder, det nye foreslåede maksimale loft og den forventede indvirkning på firmapensionskassens mulighed for at bevare et sundt kapitalgrundlag. Medlemmerne af det øverste organ skal modtage anbefalingen senest samtidig med indkaldelsen til det øverste organs forsamling.
Det vil være bestyrelsen, der på firmapensionskassens vegne fremsætter forslaget på generalforsamlingen, og det vil derfor også være bestyrelsen, der er ansvarlig for udarbejdelsen af den detaljerede anbefaling til medlemmerne.
Den detaljerede anbefaling skal gøre medlemmerne i stand til at træffe beslutningen om et højere maksimal loft på et oplyst grundlag, hvor bestyrelsen begrunder sin indstilling til det øverste organ. Væsentlige oplysninger, som eksempelvis hvor mange ansatte, der vil blive berørt af et højere loft samt deres arbejdsområder, skal fremgå af anbefalingen, så medlemmerne bl.a. kan udlede, om det foreslåede højere loft vil gælde for alle firmapensionskassens væsentlige risikotagere eller kun for nogle kategorier af disse, eksempelvis kun for de væsentlige risikotagere i nogle afdelinger i firmapensionskassen.
Desuden skal en vurdering af indvirkningen på firmapensionskassens kapitalgrundlag indgå i anbefalingen, så medlemmerne har mulighed for at inddrage en eventuel indvirkning på værdien af deres ejerandele i beslutningen.
Medlemmerne skal modtage anbefalingen senest samtidig med indkaldelsen til det øverste organs forsamling. Firmapensionskassen kan benytte de kommunikationsmidler, som firmapensionskassen normalt benytter ved indkaldelse til generalforsamling m.v.
Hvis firmapensionskassen ikke senest ved indkaldelsen til det øverste organs forsamling har orienteret det øverste organ om, at der ønskes stillingtagen til benyttelse af et højere maksimalt loft, kan beslutningen på det øverste organs forsamling efter omstændighederne være ugyldig. Det samme gælder, hvis firmapensionskassens bestyrelse ikke senest ved indkaldelsen til det øverste organs forsamling har sendt det øverste organ en detaljeret anbefaling om benyttelse af et højere maksimalt loft.
Det foreslås i § 43 h, stk. 1, nr. 3, litra c, at firmapensionskassen senest samtidig med fremsendelse af anbefalingen til medlemmerne af det øverste organ, jf. det foreslåede litra b, skal informere Finanstilsynet om anbefalingen til medlemmerne, herunder det foreslåede højere maksimale loft og begrundelsen for indstillingen. Firmapensionskassen vil på anmodning fra Finanstilsynet skulle godtgøre, at det foreslåede højere maksimale loft ikke er i strid med firmapensionskassens forpligtelser efter denne lov og regler udstedt i medfør af § 43, stk. 2, herunder kapitalgrundlagskravene.
Finanstilsynet vil i sådanne tilfælde lægge vægt på bestyrelsens drøftelse af forholdene, ligesom Finanstilsynet vil lægge vægt på firmapensionskassens kapitalforhold, herunder firmapensionskassens kapitalgrundlagskrav, solvens og likviditet. Hvis Finanstilsynet vurderer, at der er nærliggende risiko for, at firmapensionskassen som følge af et højere maksimalt loft og en senere udbetaling af en sådan variabel løn ikke vil overholde kapitalgrundlagskravenet eller solvenskravet, kan Finanstilsynet påbyde firmapensionskassen ikke at hæve loftet eller ikke at udbetale den variable løn på udbetalingstidspunktet i overensstemmelse med det foreslåede stk. 1, nr. 6.
Det foreslås i § 43 h, stk. 1, nr. 3, litra d, 1. og 2. pkt., at beslutningen om benyttelse af et højere maksimalt loft tiltrædes af firmapensionskassens øverste organ med mindst 66 pct. af de afgivne stemmer, forudsat at mindst 50 pct. af de stemmeberettigede medlemmer er repræsenteret på generalforsamlingen. Hvis mindre end 50 pct. af de stemmeberettigede medlemmer er repræsenteret på generalforsamlingen, skal beslutningen tiltrædes af mindst 75 pct. af de afgivne stemmer.
Majoritetskravet vil være skærpet i forhold til almindelige beslutninger på generalforsamlingen, som typisk kan tages ved simpelt flertal, jf. eksempelvis § 26 i lov om firmapensionskasser.
Eventuelle stemmeretsbegrænsninger og stemmelofter vil skulle respekteres efter bestemmelsen.
Det foreslås i § 43 h, stk. 1, nr. 3, litra d, 3. pkt., at en ansat, som er medlem af firmapensionskassen, ikke må deltage i afstemningen herom på det øverste organs forsamling, hvis den ansatte har en væsentlig interesse i beslutningen, der kan være stridende mod firmapensionskassens interesse.
Bestemmelsen vil følge princippet i § 86 i selskabsloven vedrørende kapitalejeres inhabilitet. Bestemmelsen skal sikre, at medlemmer ikke er med til at tage beslutninger, som de selv har en væsentlig interesse i.
Bestemmelsen vil være en undtagelse til den generelle regel om, at medlemmer som udgangspunkt frit kan udøve deres indflydelse på firmapensionskassens generalforsamlinger med henblik på at fremme egne interesser. I visse sammenhænge kan interessekonflikten dog være så åbenbar og væsentlig, at medlemmet anses for inhabil.
Et medlem vil kunne være omfattet af inhabilitetsbestemmelsen, hvis beslutningen om benyttelse af et højere maksimalt loft vedrører vedkommende selv, dvs. hvis vedkommende er udpeget som en af firmapensionskassens væsentlige risikotagere, og et eventuelt højere loft f.eks. vil gælde for alle væsentlige risikotagere.
Hvis generalforsamlingen kun skal tage stilling til, om der kan benyttes et højere maksimalt loft for visse ansatte, eksempelvis ansatte i en specifik afdeling, og den pågældende arbejder i en anden afdeling, vil beslutningen ikke vedrøre den ansatte.
Der kan dog forekomme andre situationer, hvor den ansatte er inhabil, uden at beslutningen vedrører vedkommende selv. Hvis beslutningen om forhøjelse af loftet for variabel løn eksempelvis vedrører et nærtstående familiemedlem til et medlem, må medlemmet anses for at være inhabil i forhold hertil.
Hvis beslutningen vedrører en ansat, som også er medlem, må bestyrelsen foretage en vurdering af, om den ansatte har en så åbenbar og væsentlig interesse i beslutningen, at det kan være i strid med firmapensionskassens interesse. Bestyrelsen må således foretage en konkret vurdering af, om beslutningen vedrører generelle medarbejderrelaterede spørgsmål vedrørende en større gruppe af ansatte, som ikke vil føre til inhabilitet, eller om beslutningen særligt angår den enkelte ansatte eller det enkelte medlem eller en mindre gruppe af ansatte eller medlemmer, som kan føre til inhabilitet. Det vil være afgørende, om beslutningen om benyttelse af et højere maksimalt loft er af så åbenbar og væsentlig betydning for den pågældende, at det må betragtes som tvivlsomt, om den pågældende vil kunne agere uden at lade sig påvirke af sin særlige egeninteresse. Dette kan f.eks. være tilfældet, hvis den pågældende er den eneste væsentlige risikotager i firmapensionskassen, eller hvis den pågældende er den eneste, der vil blive omfattet af et højere maksimalt loft. Bestyrelsens vurdering skal fremgå af bestyrelsens anbefaling til det øverste organ.
Hvis bestyrelsen vurderer, at en beslutning særligt angår den enkelte ansatte eller det enkelte medlem, eller en mindre gruppe af ansatte eller medlemmer, som kan føre til inhabilitet, er det bestyrelsens ansvar at sikre, at dirigenten, inden generalforsamlingen finder sted, får instruktion om, hvilke enkelte ansatte eller medlemmer, der efter bestyrelsens opfattelse vil være afskåret fra at deltage i afstemningen om forhøjelse af loft for variabel løn. Dette ændrer ikke på, at det ifølge selskabslovgivningens regler er det enkelte medlem, der selv har ansvaret for at vurdere, om vedkommende er inhabil.
En overtrædelse af det foreslåede nr. 3, litra d, kan efter omstændighederne medføre, at det øverste organs beslutning om et højere maksimalt loft må anses som ugyldig.
Det foreslås i § 43 h, stk. 1, nr. 3, litra e, at firmapensionskassen senest 8 dage efter det øverste organs forsamling skal informere Finanstilsynet om det øverste organs beslutning, herunder om størrelsen på et eventuelt besluttet højere maksimalt loft.
Firmapensionskassen vil skulle informere Finanstilsynet, både hvis det øverste organ beslutter at benytte et højere maksimalt loft for enten alle eller en del af firmapensionskassens væsentlige risikotagere, og hvis det øverste organ beslutter ikke at følge indstillingen ved ikke at vedtage forslaget med den krævede majoritet, jf. det foreslåede litra d ovenfor.
Det følger af det foreslåede § 117, stk. 2, jf. lovforslagets § 6, nr. 3, at overtrædelse af § 43 h, stk. 1, kan straffes med bøde. Overtrædelser kan eksempelvis bestå i, at en firmapensionskasse tildeler sin bestyrelse og direktion over 50 pct. af dennes faste løn eller honorar i variabel aflønning eller undlader at informere Finanstilsynet om firmapensionskassens vedtagelse af et højere maksimalt loft for variabel aflønning til væsentlige risikotagere. En overtrædelse af de foreslåede nr. 3, litra c-e, kan i øvrigt efter omstændighederne medføre, at det øverste organs beslutning om et højere maksimalt loft må anses som ugyldig.
Det foreslås i § 43 h, stk. 1, nr. 4, at mindst 50 pct. af en variabel løndel til bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, på tidspunktet for beregningen af den variable løn skal bestå af en balance af finansielle instrumenter. Balancen af finansielle instrumenter kan udgøres af efterstillet gæld i firmapensionskassen eller andre instrumenter, som i passende grad afspejler firmapensionskassens kreditværdighed som en firmapensionskasse, hvis aktivitet formodes at fortsætte. Instrumenterne kan udstedes i firmapensionskassen eller dennes modervirksomhed, der ejer firmapensionskassen fuldt ud.
Mindst 50 pct. af den variable løn vil skulle bestå af en balance af de nævnte typer af instrumenter. Ved vurderingen af om der foreligger en balance mellem de nævnte typer af instrumenter, må der tages hensyn til, hvilke typer af instrumenter det er muligt at benytte ud fra firmapensionskassens juridiske struktur og størrelse, samt hvad der afspejler firmapensionskassens kreditværdighed, ligesom der må tages hensyn til, at det kan være hensigtsmæssigt at benytte flere forskellige typer af instrumenter for på bedste vis at sikre en langsigtet interesse, herunder set ud fra en proportionalitetsbetragtning i forhold til bl.a. størrelsen af den variable løndel. Efter Finanstilsynets praksis kan en balance af instrumenter bestå af et enkelt finansielt produkt, hvis firmapensionskassen kan give en passende begrundelse herfor.
Kravet om, at mindst 50 pct. af den variable løn skal bestå af finansielle instrumenter, skal ses i forhold til tidspunktet for beregningen af den variable løndel (beregningstidspunktet), jf. bemærkningerne til det foreslåede stk. 1, nr. 5, hvor der angives et eksempel på samspillet mellem reglerne i det foreslåede stk. 1, nr. 4 og nr. 5. Ved beregningstidspunktet forstås det tidspunkt, hvor opgørelsen af den variable løn foretages i henhold til kriterier, der ligger til grund for beregningen af den variable løns størrelse i henhold til aftalen mellem firmapensionskassen og den pågældende modtager (direktør, væsentlig risikotager m.v.).
Ved fordelingen af den beregnede variable løndel på henholdsvis kontanter og finansielle instrumenter skal værdiansættelsen af de pågældende instrumenter ske efter anerkendte værdiansættelsesprincipper, som eksempelvis Black-Scholes modellen. Det foreslåede stk. 1, nr. 4, skal ses i sammenhæng med det foreslåede stk. 3, hvorefter firmapensionskassen skal sikre sig, at finansielle instrumenter, der overdrages til personer omfattet af stk. 1 som en del af den variable løn i medfør af det foreslåede stk. 1, nr. 4, ikke må afhændes af disse personer i en passende periode. Forslaget er udtryk for, at man vil sikre, at bestyrelsen og direktionen samt firmapensionskassens andre væsentlige risikotagere har samme økonomiske incitamenter som en langsigtet investor. Modtager direktøren i en firmapensionskasse en variabel løn, hvoraf halvdelen består af eksempelvis aktier i firmapensionskassens modervirksomhed, må det antages, at direktørens interesse i, at aktiekursen i firmapensionskassen stiger, øges. Tilsvarende må det antages, at interessen heri udstrækkes over en længere periode, hvis det ikke er muligt for direktøren at afhænde aktierne i en af firmapensionskassen fastsat passende periode. I det tilfælde, hvor aflønningen sker i aktier, har direktøren ligeledes i samme periode en interesse i, at aktien ikke falder.
Det foreslås i § 43 h, stk. 1, nr. 5, 1. pkt., at firmapensionskassens udbetaling af mindst 40 pct., eller ved større beløb mindst 60 pct., af en variabel løndel skal ske over en periode på mindst fire år med påbegyndelse 1 år efter beregningstidspunktet, dog for bestyrelsen og direktionen mindst fem år.
Den foreslåede bestemmelse vil indebære, at firmapensionskassen skal sikre, at udbetaling af mindst 40 pct. af den variable løn skal udskydes over en periode på mindst fire år med påbegyndelse 1 år efter beregningstidspunktet. For bestyrelsen og direktionen skal perioden dog mindst være fem år, med en ligelig fordeling over årene eller med en voksende andel i slutningen af udskydelsesperioden. Ved større variable løndele foreslås det, at mindst 60 pct. af den variable løn skal udskydes på samme måde.
Der er som udgangspunkt tale om større variable løndele, hvis den samlede variable løn før skat overstiger 750.000 kr. om året. For variable løndele, der ikke overstiger 750.000 kr. om året, må firmapensionskassen foretage en vurdering af, om de variable løndele konkret må anses for ”større beløb”. Ved vurderingen kan der lægges vægt på sammenhængen med den pågældendes løn og risikoprofil i øvrigt.
Bestemmelsen i det foreslåede stk. 1, nr. 5, vil skulle forstås således, at udbetalingen af den udskudte del af den variable løn først kan påbegyndes et år efter, at den variable løn er beregnet (beregningstidspunktet). Det betyder, at den del af den beregnede variable løn, der ikke udskydes, kan udbetales i umiddelbar forlængelse af beregningen. Ved ”beregningstidspunktet” forstås det tidspunkt, hvor opgørelsen af den variable løn, der sker i henhold til de kriterier, der ligger til grund for beregningen af den variable løns størrelse i henhold til aftalen mellem virksomheden og den pågældende modtager (direktør, væsentlig risikotager m.v.), foretages.
Endvidere forudsættes det i bestemmelsen, at den udskudte del af den variable løn udbetales i intervaller med et års mellemrum, da der skal være et passende tidsrum imellem udbetalingerne til at vurdere, om forudsætningerne har ændret sig, således at den udskudte del af den variable løn ikke skal udbetales helt eller delvist.
Formålet med bestemmelsen er at sikre, at en variabel løn, der baserer sig på kortsigtede resultater, eksempelvis resultater opnået på baggrund af en investering i indtjeningsåret, vil blive justeret for de risici, der viser sig ved den pågældende investering i årene efter. Da tidshorisonten for firmapensionskassens realisering af fortjenester og tab som følge af forskellige typer af aktiviteter varierer, vil der skulle være en tilsvarende mulighed for udskydelse af udbetalingen af en del af den relaterede variable løn til den pågældende medarbejder, der har været involveret i aktiviteterne. Ved at udskyde udbetalingen af som minimum 40-60 pct. af den beregnede variable løndel, vil det sikres, at firmapensionskassen får mulighed for at justere for de langsigtede virkninger, som en given investering medfører.
Da bestemmelsens formål er at begrænse muligheden for at opnå en variabel løn på baggrund af en kortsigtet indsats eller investering, der på længere sigt viser sig at være tabsgivende for firmapensionskassen, skal bestemmelsen endvidere ses i sammenhæng med det foreslåede stk. 4. Firmapensionskassen skal i henhold til det forslåede stk. 4, sikre, at udbetaling af den udskudte del af den variable løn til medlemmer af bestyrelsen, direktionen og firmapensionskassens andre væsentlige risikotagere er betinget af, at de kriterier, der har dannet grundlag for beregningen af den variable løn, fortsat er opfyldt, herunder at firmapensionskassens økonomiske situation ikke er væsentligt forringet i forhold til tidspunktet for beregningen af den variable løndel.
Den periode, der ligger til grund for beregningen, må gerne strække sig over mere end et år, jf. bemærkningerne til det foreslåede stk. 4.
Det foreslås i § 43 h, stk. 1, nr. 5, 2. pkt., at udbetalingen skal ske med en ligelig fordeling over årene eller med en voksende andel i slutningen af perioden.
Den foreslåede bestemmelse vil indebære, at den del af den variable løn, der skal udskydes, skal udskydes med en ligelig fordeling, eller med en voksende andel i slutningen af perioden, over mindst fire år for virksomhedens væsentlige risikotagere og for bestyrelsen og direktionen over mindst fem år. Det er muligt for firmapensionskassen at aftale en længere periode med den pågældende modtager, hvis firmapensionskassen eksempelvis vurderer, at de risici, der er knyttet til denne modtagers aktiviteter, har en længere tidshorisont end fire år. Det er dog ikke muligt at aftale en kortere periode end fire år. For bestyrelsen og direktionen kan der ikke aftales en kortere periode end fem år. Bestemmelsen skal endvidere forstås således, at det er muligt for firmapensionskassen at aftale med modtageren, at der udskydes mere end en fjerdedel om året, således at der eksempelvis i det sidste år udbetales tre fjerdedele. Det er således alene et mindstekrav, at fordelingen skal være ligelig over årene.
Bestemmelsen om udskydelse vil også skulle gælde også for den del af den variable løn, der består af finansielle instrumenter, der afspejler firmapensionskassens kreditværdighed, jf. forslaget til stk. 1, nr. 4.
I det følgende gennemgås et eksempel på samspillet mellem forslaget til stk. 1, nr. 4 og 5. Eksemplet tager udgangspunkt i, at der i forlængelse af år 0, dvs. beregningsåret, udbetales en fast grundløn inklusive pension på 2 mio. kr. til en direktør i en firmapensionskasse. Direktørens variable løndel udgør samme år 750 t.kr. efter aftale mellem direktøren og firmapensionskassen.
Som følge af forslaget til § 43 h, stk. 1, nr. 1, må den variable løndel i dette eksempel maksimalt udgøre 1 mio. kr. Den beregnede variable løn på 750 t.kr. overholder derfor grænsen.
Ifølge forslaget til § 43 h, stk. 1, nr. 4, skal mindst 50 pct. af den variable løndel – dvs. 375 t.kr. – bestå af eksempelvis efterstillet gæld. Det følger endvidere af § 43 h, stk. 3, at når disse gældsbreve er overdraget til direktøren, må direktøren ikke indfri disse i en passende periode, der fastsættes af firmapensionskassen.
Der tages i eksemplet udgangspunkt i, at der for direktøren er tale om en større variabel løndel, hvorfor 60 pct. af den variable løndel skal udskydes over en periode på mindst fem år med en ligelig fordeling over årene, jf. forslaget til § 43 h, stk. 1, nr. 5. Der skal således udskydes mindst 450 t.kr., som fordeles ligeligt over en periode på mindst fem år – dvs. 90 t.kr. pr år. Den del af den beregnede variable løn (300 t.kr.), der ikke skal udskydes i medfør af stk. 1, nr. 5, kan udbetales i forlængelse af beregningen.
Kravet om, at mindst halvdelen af den variable løn skal bestå af finansielle instrumenter, der afspejler firmapensionskassens kreditværdighed, gælder både den del af den beregnede variable løn, der udskydes og den del, der udbetales i forlængelse af beregningen. Firmapensionskassen kan altså ikke nøjes med at udskyde den kontante del af den variable løn. Den variable løndel, der udskydes, skal således bestå ligeligt af kontanter og finansielle instrumenter på beregningstidspunktet.
Lovforslagets krav kan opfyldes ved udbetaling af den variable løn med følgende fordeling:
Skema 1Løndel, der udbetalesÅr 0 (beregningsåret)År 1År 2År 3År 4År 5I alt Kontant150 t.kr.45 t.kr.45 t.kr.45 t.kr.45 t.kr.45 t.kr.375 t.kr.Efterstillet gæld150 t.kr.45 t.kr.45 t.kr.45 t.kr.45 t.kr.45 t.kr.375 t.kr.I alt300 t.kr.90 t.kr.90 t.kr.90 t.kr.90 t.kr.90 t.kr.750 t.kr.
Skema 1Løndel, der udbetalesÅr 0 (beregningsåret)År 1År 2År 3År 4År 5I alt Kontant150 t.kr.45 t.kr.45 t.kr.45 t.kr.45 t.kr.45 t.kr.375 t.kr.Efterstillet gæld150 t.kr.45 t.kr.45 t.kr.45 t.kr.45 t.kr.45 t.kr.375 t.kr.I alt300 t.kr.90 t.kr.90 t.kr.90 t.kr.90 t.kr.90 t.kr.750 t.kr.
Skema 1Løndel, der udbetalesÅr 0 (beregningsåret)År 1År 2År 3År 4År 5I alt Kontant150 t.kr.45 t.kr.45 t.kr.45 t.kr.45 t.kr.45 t.kr.375 t.kr.Efterstillet gæld150 t.kr.45 t.kr.45 t.kr.45 t.kr.45 t.kr.45 t.kr.375 t.kr.I alt300 t.kr.90 t.kr.90 t.kr.90 t.kr.90 t.kr.90 t.kr.750 t.kr.
Skema 1 viser, at der i forlængelse af det år, hvor den variable løn beregnes (beregningsåret), udbetales 150 t.kr kontant og overdrages efterstillet gæld til en værdi af 150 t.kr. til direktøren, svarende til 40 pct. af den samlede variable løn på 750 t.kr. Skemaet viser også, at udbetalingen af den efterstillede gæld skal udbetales over en periode på fem år med en ligelig fordeling over årene eller alternativt med en voksende andel i slutningen af perioden.
Både den del af aktierne, som overdrages til direktøren i forlængelse af beregningsåret og den del af aktierne, der først overdrages til direktøren i år et-fem, skal underlægges en passende tilbageholdelsesperiode, hvor disse ikke kan afhændes af direktøren, jf. det foreslåede § 43 h, stk. 3. Det er firmapensionskassen, der vurderer, hvad der skal forstås ved en passende periode i overensstemmelse med det foreslåede § 43 h, stk. 3.
I eksemplet i skema 2 anvendes aktier og aktieoptioner i modervirksomheden som instrumenter. I eksemplet er der tale om en direktør, alene 12,5 pct. af den faste grundløn, inklusive pension, vil derfor kunne bestå af aktieoptioner eller tilsvarende instrumenter, jf. det foreslåede § 43 h, stk. 2. Det betyder, at værdien af aktieoptionerne i eksemplet maksimalt kan udgøre 250 t.kr. svarende til en tredjedel af direktørens variable løn og 12,5 pct. af den faste grundløn inklusive pension. Som ved aktier skal der ved aktieoptioner, der skal udskydes, tages udgangspunkt i værdien på beregningstidspunktet (efter opgørelsen af beregningen i år 0). Der skal på dette tidspunkt foretages en beregning af, hvor mange aktieoptioner i firmapensionskassen direktøren ville få overdraget for et beløb maksimalt svarende til 250 t.kr. Firmapensionskassen i eksemplet vælger dog, at aktieoptionerne alene skal udgøre halvdelen af de tildelte aktiers værdi, og overdrager således aktieoptioner svarende til en værdi af 75 t.kr. i forlængelse af beregningsåret. Værdiansættelsen af aktieoptionerne skal ske efter anerkendte værdiansættelsesprincipper, såsom Black-Scholes modellen. Den resterende del af aktieoptionerne, hvis værdi udgør 112,5 t.kr., overdrages ligeligt med 22,5 t.kr. over de fem følgende år, og det er direktøren, som bærer risikoen for, at disses aktieoptionernes værdi ændres i udskydelsesperioden.
Lovforslagets krav kan opfyldes ved udbetaling af den variable løn med følgende fordeling:
Skema 2LøndelÅr 0 (beregningsåret)År 1År 2År 3År 4År 5I altKontant150 t.kr.45 t.kr.45 t.kr.45 t.kr.45 t.kr.45 t.kr.375 t.kr.Aktier m.v.75 t.kr.22,5 t.kr.22,5 t.kr.22,5 t.kr.22,5 t.kr.22,5 t.kr.187,5 t.kr.Aktieoptioner75 t.kr.22,5 t.kr.22,5 t.kr.22,5 t.kr.22,5 t.kr.22,5 t.kr.187,5 t.kr.I alt300 t.kr.90 t.kr.90 t.kr.90 t.kr.90 t.kr.90 t.kr.750 t.kr.
Skema 2LøndelÅr 0 (beregningsåret)År 1År 2År 3År 4År 5I altKontant150 t.kr.45 t.kr.45 t.kr.45 t.kr.45 t.kr.45 t.kr.375 t.kr.Aktier m.v.75 t.kr.22,5 t.kr.22,5 t.kr.22,5 t.kr.22,5 t.kr.22,5 t.kr.187,5 t.kr.Aktieoptioner75 t.kr.22,5 t.kr.22,5 t.kr.22,5 t.kr.22,5 t.kr.22,5 t.kr.187,5 t.kr.I alt300 t.kr.90 t.kr.90 t.kr.90 t.kr.90 t.kr.90 t.kr.750 t.kr.
Skema 2LøndelÅr 0 (beregningsåret)År 1År 2År 3År 4År 5I altKontant150 t.kr.45 t.kr.45 t.kr.45 t.kr.45 t.kr.45 t.kr.375 t.kr.Aktier m.v.75 t.kr.22,5 t.kr.22,5 t.kr.22,5 t.kr.22,5 t.kr.22,5 t.kr.187,5 t.kr.Aktieoptioner75 t.kr.22,5 t.kr.22,5 t.kr.22,5 t.kr.22,5 t.kr.22,5 t.kr.187,5 t.kr.I alt300 t.kr.90 t.kr.90 t.kr.90 t.kr.90 t.kr.90 t.kr.750 t.kr.
I forhold til den efterfølgende tilbageholdelsesperiode gælder den tilsvarende bestemmelse i det foreslåede § 43 h, stk. 3, hvorefter firmapensionskassen skal fastsætte en passende periode, hvori direktøren ikke kan udnytte eller afhænde de aktieoptioner, der er overdraget til direktøren. Eksempelvis vil de aktieoptioner, direktøren modtager efter udløbet af år 1, ikke kunne udnyttes eller afhændes før tilbageholdelsesperioden, som er fastsat af firmapensionskassen, er udløbet.
Kravet om udskydelse af en del af den variable løn i stk. 1, nr. 5, betyder, at den faktiske variable løn, som direktøren får rådighed over et givent indkomstår, både består af den del af den variable løn, som er udbetalt i året, samt den del af den udskudte variable løn fra tidligere indkomstår, som udbetales i det pågældende år. Det vil sige, at den samlede udbetalte variable løn, der relaterer sig til et givent indkomstår, kan overstige 50 pct. af den faste løn inklusive pension i dette indkomstår, uden at dette vil være i strid med grænsen på 50 pct. i § 43 h, stk. 1, nr. 1.
Kravet om udskydelse i det foreslåede stk. 1, nr. 5, rejser spørgsmål i forhold til, hvornår modtageren skal beskattes. Det skatteretlige udgangspunkt er, at en indtægt beskattes, når modtageren har erhvervet endelig ret til indtægten (retserhvervelsestidspunktet). Forslaget om udskydelse af en del af den variable løn skal ses i sammenhæng med kravet i det foreslåede stk. 4 om, at firmapensionskassen i aftalen med modtageren skal sikre sig, at udbetalingen af den udskudte del af den variable løn er betinget af, at de kriterier, der har dannet grundlag for beregningen af den variable løn, fortsat er opfyldt ved udbetalingen af den udskudte del samt betinget af, at firmapensionskassens økonomiske situation ikke er væsentligt forringet i forhold til tidspunktet for beregningen af den variable løndel.
Efter stk. 4, er det således et krav, at firmapensionskassen knytter betingelser til aftalen om den udskudte variable løn, der har en sådan karakter, at der hersker reel usikkerhed om, hvorvidt aftalen bliver gennemført – eksempelvis opfyldelsen af økonomiske mål. En aftale med modtageren, der indeholder en sådan reel usikkerhed omkring aftalens gennemførelse, og hvor betingelserne for udbetalingen af den udskudte del ikke er betingelser, som modtageren selv har kontrol over, vil udskyde den skattemæssige retserhvervelse, indtil betingelserne er opfyldt. Modtageren vil i sådanne tilfælde ikke skulle beskattes af den udskudte del af den variable løn, før den er endeligt retserhvervet. Det beror på en konkret vurdering i forhold til den enkelte lønaftale, om betingelserne er af en sådan karakter, at der foreligger en reel usikkerhed om, hvorvidt disse opfyldes.
I forhold til beregning af feriegodtgørelse af den udskudte variable løndel, fremgår det af ferieloven, at dette alene sker i forhold til indkomstskattepligtige beløb.
Det foreslås i § 43 h, stk. 1, nr. 6, at firmapensionskassen skal sikre, at firmapensionskassen kan undlade at udbetale en variabel løndel helt eller delvis, hvis firmapensionskassen på tidspunktet for udbetaling af den variable løn ikke overholder solvenskapitalkravet i § 54, eller Finanstilsynet vurderer, at der er nærliggende risiko herfor.
Det følger af forslaget sammenholdt med den foreslåede generelle hjemmel i lovens § 97 til at udstede påbud m.v. ved overtrædelser af loven, at Finanstilsynet kan påbyde firmapensionskassen at benytte det foreslåede stk. 1, nr. 6, hvis solvenskapitalkravet ikke er opfyldt, eller hvis Finanstilsynet vurderer, at der er nærliggende risiko herfor. Det vil eksempelvis kunne være tilfældet, hvis en firmapensionskasse med en lav solvens står overfor at skulle udbetale større summer i variabel løn. Finanstilsynet vil i disse tilfælde kunne påbyde firmapensionskassen at reducere sin udbetaling af den variable løn, eksempelvis til en nærmere angivet procentdel af firmapensionskassens indtjening. Bestemmelsen er, i modsætning til det foreslåede stk. 1, nr. 7, ikke til hinder for, at de personer, der på baggrund af bestemmelsen har fået reduceret deres variable løn helt eller delvist, får udbetalt den resterende del af den variable løn på et senere tidspunkt, hvis der ikke længere er nærliggende risiko for, at firmapensionskassen herved ikke overholder solvenskapitalkravet.
Det foreslås i § 43 h, stk. 1, nr. 7, at firmapensionskassen skal sikre, at firmapensionskassen ikke udbetaler variabel løn til medlemmer af bestyrelsen og direktionen, hvis Finanstilsynet i medfør af § 83 kræver, at virksomheden udarbejder en plan for genoprettelse af firmapensionskassens økonomiske stilling.
Forslaget vil betyde, at firmapensionskassen skal aftale med bestyrelsen og direktionen, at disses ret til variabel løn bortfalder, hvis Finanstilsynet, i den periode hvor aftalen løber, stiller krav efter § 83 i lov om firmapensionskasser. Retten til den variable løn vil således ikke genopstå, hvis firmapensionskassen opfylder minimumsbasiskapitalen indenfor den frist, Finanstilsynet har fastsat.
Det følger af det foreslåede § 117, stk. 2, at overtrædelse af § 43 h, stk. 1, kan straffes med bøde. Ansvarssubjektet i forhold til overtrædelse af det foreslåede § 43 h, stk. 1, er firmapensionskassen. Firmapensionskassen vil eksempelvis kunne straffes med bøde, hvis firmapensionskassen ikke overholder forpligtelserne i nr. 1-7. Dette vil eksempelvis være tilfældet, hvis virksomheden ikke sikrer, at udbetalingsbegrænsningerne for variabel løn overholdes. Firmapensionskassen kan således straffes med bøde, hvis en direktørs variable løndel overstiger 50 pct. af vedkommendes faste løn inklusive pension, eller hvis ikke 50 pct. af direktørens variable løndel er givet i instrumenter på tidspunktet for beregningen.
Det foreslås i § 43 h, stk. 2, at aktieoptioner eller lignende instrumenter for bestyrelsen og direktionen i firmapensionskassen højst må udgøre 12,5 pct. af henholdsvis honoraret og den faste grundløn inklusive pension på tidspunktet for beregningen heraf.
Aktieoptionerne vil kunne gives i firmapensionskassens modervirksomhed.
Grænsen på 12,5 pct. skal ses i forhold til aktieoptionernes værdi på tidspunktet for beregningen af den variable løn (beregningstidspunktet). Den faktiske værdi af aktieoptionerne på udnyttelsestidspunktet kan være væsentligt større eller væsentligt mindre. Bestemmelsen betyder, at i de tilfælde, hvor firmapensionskassen alene ønsker at tildele variabel løn i form af aktieoptioner, kan bestyrelsen og direktionen alene modtage op til 12,5 pct. i variabel løn. Den foreslåede begrænsning af brugen af aktieoptioner til bestyrelsen og direktionen udelukker ikke firmapensionskassen fra, udover at tildele aktieoptioner, samtidig at tildele anden form for variabel løn til disse personer, når blot grænsen på 50 pct. i stk. 1, nr. 1, overholdes.
Ved lignende instrumenter i det foreslåede stk. 2, skal forstås, instrumenter, der i lighed med aktieoptioner kan have en struktur, der kan medføre overdreven risikotagning.
Det følger af det foreslåede § 117, stk. 2, at overtrædelse af § 43 h, stk. 2, kan straffes med bøde. Ansvarssubjektet i forhold til overtrædelse af det foreslåede § 43 h, stk. 2, er firmapensionskassen. Firmapensionskassen vil kunne straffes med bøde, hvis et medlem af bestyrelsen eller direktionen modtager aktieoptioner eller lignende instrumenter, der udgør mere en 12,5 pct. af henholdsvis honoraret eller den faste løn inklusive pension på tidspunktet for beregningen.
Det foreslås i § 43 h, stk. 3, at firmapensionskassen skal sikre sig, at efterstillet gæld og instrumenter m.v., der overdrages til bestyrelsen, direktionen eller andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil som en del af den variable løn efter det foreslåede stk. 1, nr. 4, ikke må afhændes af disse personer i en passende periode.
Bestemmelsen vil understøtte forslaget i stk. 1, nr. 4, om, at mindst halvdelen af den variable løn skal udbetales i efterstillet gæld og andre instrumenter med det formål at sikre, at bestyrelsen, direktionen og de øvrige ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil (væsentlige risikotagere), har samme økonomiske incitamenter som en langsigtet investor.
Forpligtelsen til ikke at afhænde gældsbreve m.v. i en passende periode, som er nærmere fastsat af firmapensionskassen, vil skulle reguleres i aftalen mellem modtageren og firmapensionskassen.
Firmapensionskassen skal i forhold til det enkelte bestyrelsesmedlem, direktionsmedlem, ansatte eller grupper af ansatte vurdere, hvad der må anses for en passende periode. Det hensyn, der skal varetages ved en sådan passende tilbageholdelsesperiode, er, at firmapensionskassens mere langsigtede interesser på denne måde tilgodeses. Se bemærkningerne til stk. 1, nr. 5, hvor der gennemgås et eksempel på samspillet mellem kravene i stk. 1, nr. 4 og 5.
Det følger af det foreslåede § 117, stk. 2, jf. lovforslagets § 6, nr. 3, at overtrædelse af § 43 h, stk. 3, kan straffes med bøde. Ansvarssubjektet i forhold til overtrædelse af det foreslåede § 43 h, stk. 3, er firmapensionskassen. Overtrædelser kan eksempelvis bestå i, at firmapensionskassen ikke har sikret, at den del af den variable løn, som er givet i instrumenter, har været tilbageholdt i en passende periode.
Det foreslås i § 43 h, stk. 4, at en firmapensionskasse skal sikre, at udbetaling af udskudte variable løndel, jf. stk. 1, nr. 5, til bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på virksomhedens risikoprofil, er betinget af, at de kriterier, der har dannet grundlag for beregningen af den variable løndel, fortsat er opfyldt på udbetalingstidspunktet betinget af, at den pågældende ikke har deltaget i eller været ansvarlig for en adfærd, der har resulteret i betydelige tab for virksomheden, eller ikke har efterlevet passende krav til hæderlighed samt betinget af, at virksomhedens økonomiske situation ikke er væsentligt forringet i forhold til tidspunktet for beregningen af den variable løndel.
Den foreslåede bestemmelse vil indebære, at firmapensionskassens udbetaling af den efter stk. 1, nr. 5, udskudte variable løndel betinges af opfyldelsen af tre kriterier.
For det første skal firmapensionskassen sikre, at udbetalingen er betinget af, at de kriterier, der har dannet grundlag for beregningen af den variable løndel, fortsat er opfyldt på udbetalingstidspunktet. Det vil indebære, at den udskudte del af den variable løn alene udbetales eller overdrages, hvis dette er holdbart set i forhold til firmapensionskassens økonomiske situation som helhed, samt hvis det kan begrundes i de resultater, som forretningsafdelingen og den modtagende medarbejder har leveret. Den variable løn skal, under hensyn til aftale- og ansættelsesretlige principper, kunne reduceres væsentligt, hvis firmapensionskassen leverer et væsentligt underskud.
For det andet skal firmapensionskassen sikre, at udbetalingen betinges af, at den pågældende ikke har deltaget i eller været ansvarlig for en adfærd, der har resulteret i betydelige tab for firmapensionskassen, eller ikke har efterlevet passende krav til hæderlighed. Det vil indebære, at det indgår som en betingelse i vurderingen af, om den udskudte variable løndel skal udbetales, om den pågældende har deltaget i eller været ansvarlig for en adfærd, der har resulteret i betydelige tab for firmapensionskassen, eller ikke har efterlevet kravene til egnethed og hæderlighed.
Betingelsen har den betydning, at selv i en situation, hvor firmapensionskassen har haft et bonusudløsende resultat, og både den pågældende og dennes afdeling har opfyldt sine øvrige resultatlønsforpligtelser (performet), vil den pågældende kunne miste retten til op til 100 pct. af den udskudte variable løndel, hvis betingelsen ikke er opfyldt.
I forhold til, at den pågældende ikke må have deltaget i eller været ansvarlig for en adfærd, der har resulteret i betydelige tab for firmapensionskassen set i forhold til størrelsen af firmapensionskassens kapitalgrundlag, kan dette eksempelvis være tab som følge af retssager med baggrund i den pågældendes adfærd. Det kan også være tab, firmapensionskassen har lidt, f.eks. som følge af uansvarlige investeringer og långivning eller mangelfuld rådgivning af kunder eller lignende.
Derudover vil det skulle indgå i vurderingen, om vedkommende har efterlevet kravene til egnethed og hæderlighed, jf. § 42, stk. 1.
Ved indtræden i hvervet eller stillingen gælder der for medlemmer af bestyrelsen og direktionen krav om godkendelse efter reglerne om egnethed og hæderlighed i § 42, stk. 1, ligesom der må foretages en fornyet vurdering, hvis forholdene efterfølgende ændres. Både for personer, der er omfattet af egnetheds- og hæderlighedskravene, og for andre ansatte, hvis aktiviteter har væsentlig indflydelse på virksomhedens risikoprofil, vil vurderingen i høj grad svare til den vurdering, som foretages efter § 42, stk. 1, uden at der dog er tale om en egentlig egnetheds- og hæderlighedsvurdering.
Det må således vurderes, om den pågældende har udvist eller udviser en adfærd, hvor der er grund til at antage, at vedkommende ikke har varetaget eller vil varetage stillingen på en forsvarlig måde.
I det omfang væsentlige risikotagere udfører opgaver, der er fastlagt i den finansielle regulering, vil varetagelsen af opgaverne tillige indgå i en vurdering af de pågældendes adfærd. Vurderingen skal foretages på udbetalingstidspunktet efter udskydelsesperiodens udløb.
For det tredje, skal firmapensionskassen sikre, at udbetalingen betinges af, at firmapensionskassens økonomiske situation ikke er væsentligt forringet i forhold til tidspunktet for beregningen af den variable løndel (backtesting).
Reduktion eller bortfald af den variable løndel skal ske, hvis blot en af betingelserne om udløsning af tab eller manglende opfyldelse af kravene til egnethed og hæderlighed, eller en af de allerede gældende betingelser vedrørende opfyldelsen af kriterier, der har dannet grundlag for beregning af den variable løndel, eller vedrørende firmapensionskassens økonomiske situation, er opfyldt.
Som nævnt i bemærkningerne til det foreslåede til stk. 1, nr. 5, er det skatteretlige udgangspunkt, at en indtægt beskattes, når modtageren har erhvervet endelig ret til indtægten (retserhvervelsestidspunktet). Forslaget til stk. 4 skal derfor ses i sammenhæng med stk. 1, nr. 5.
Det følger af det foreslåede § 117, stk. 2, jf. lovforslagets § 6, nr. 3, at overtrædelse af § 43 h, stk. 4, kan straffes med bøde. Ansvarssubjektet i forhold til overtrædelse af det foreslåede § 43 h, stk. 4, er firmapensionskassen. Den strafbare handling består eksempelvis i, at firmapensionskassen i forbindelse med udbetalingen af den udskudte variable løndel ikke foretager en vurdering af, om de kriterier, der dannede grundlag for beregningen af den variable løn, fortsat er opfyldt på udbetalingstidspunktet. Firmapensionskassen vil eksempelvis kunne straffes med bøde, hvis firmapensionskassen ikke har reduceret den udskudte variable løndel i forbindelse med udbetalingen heraf, hvis firmapensionskassens økonomiske situation er væsentligt forringet på udbetalingstidspunktet set i forhold til beregningstidspunktet.
Det foreslås i § 43 h, stk. 5, at firmapensionskassen skal sikre sig, at bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, som modtager variabel løn, skal tilbagebetale den variable løn helt eller delvis, hvis den variable løn er udbetalt på grundlag af oplysninger om resultater, som kan dokumenteres at være fejlagtige, og hvis modtageren af den variable løn er i ond tro (clawback).
Det følger af den foreslåede bestemmelse, at hel eller delvis tilbagebetaling af allerede udbetalt variabel løn skal ske i de tilfælde, hvor den variable løn er udbetalt på grundlag af oplysninger om resultater, som kan dokumenteres at være fejlagtige, og modtageren er i ond tro herom.
Krav om tilbagebetaling skal stilles under hensyn til almindelige aftale- og ansættelsesretlige principper, herunder retsgrundsætningen om condictio indebiti. Det betyder, at det er en afgørende forudsætning for, om firmapensionskassen kan kræve tilbagebetaling af allerede udbetalt variabel løn, at modtageren har været i ond tro – eksempelvis i det tilfælde, hvor modtageren af den variable løn bevidst har været med til at afgive fejlagtige oplysninger om resultater, der ligger til grund for beregningen af modtagerens variable løn.
Det følger af det foreslåede § 117, stk. 2, jf. lovforslagets § 6, nr. 3, at overtrædelse af § 43 h, stk. 5, kan straffes med bøde. Ansvarssubjektet i forhold til overtrædelse af det foreslåede § 43 h, stk. 5, er firmapensionskassen. Den strafbare handling kan eksempelvis bestå i, at en direktør har fået udbetalt variabel løn på grundlag af oplysninger om resultater, som kan dokumenteres at være fejlagtige, og direktøren har været i ond tro herom, og firmapensionskassen ikke har krævet en sådan variabel løn tilbagebetalt.
Det foreslås i § 43 h, stk. 6, 1. pkt., at firmapensionskassen skal sikre, at hvis bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, tildeles en pensionsydelse, som udgør variabel løn, jf. § 3, stk. 1, nr. 28, skal firmapensionskassen, hvis modtageren forlader firmapensionskassen inden pensionstidspunktet, beholde denne pensionsydelse i form af instrumenter som nævnt i stk. 1, nr. 4, i fem år.
Den foreslåede bestemmelse vil finde anvendelse i tilfælde, hvor et medlem af bestyrelsen eller direktionen eller en ansat, hvis aktiviteter har væsentlig indflydelse på virksomhedens risikoprofil, modtager pension efter en ydelsesbaseret ordning, og hvor denne pension helt eller delvist kan sidestilles med variable løn. Der er således ikke tale om pensionsbidragsordninger.
Det følger af bestemmelsen, at firmapensionskassen skal sikre, at hvis medlemmer af bestyrelsen og direktionen eller andre væsentlige risikotagere, tildeles en pensionsydelse, som helt eller delvist kan sidestilles med variabel løn, skal firmapensionskassen, hvis modtageren forlader firmapensionskassen inden pensionstidspunktet, beholde denne del af pensionsydelsen i fem år i form af instrumenter som nævnt i forslaget til stk. 1, nr. 4 (instrumentkravet).
Formålet med denne udskudte betaling er den samme som i forslaget til stk. 1, nr. 5, om udskydelse af en del af den variable løn (udskydelseskravet).
Det foreslås i § 43 h, stk. 6, 2. pkt., at stk. 4 og 5 finder anvendelse på de i 1. pkt. nævnte tilfælde.
Den foreslåede bestemmelse vil indebære, at kravene om backtesting og clawback i forslagets stk. 4 og 5 finder anvendelse for en pensionsydelse som helt eller delvist kan sidestilles med variabel løn og som tilbageholdes af firmapensionskassen i form af instrumenter i fem år, i de tilfælde hvor modtageren har forladt firmapensionskassen inden pensionstidspunktet. Det medfører, at firmapensionskassen skal sikre, at kriterierne, der dannede grundlag for beregningen af den variable pensionsydelse, fortsat er opfyldt på udbetalingstidspunktet.
Udbetalingen af pensionsydelsen vil endvidere være betinget af, at modtageren har efterlevet kravene til hæderlighed, ikke har deltaget i eller været ansvarlig for en adfærd, der har resulteret i betydelige tab for firmapensionskassen, og at firmapensionskassens økonomiske situation ikke er væsentligt forringet i forhold til beregningstidspunktet af pensionsydelsen. Firmapensionskassen skal i øvrigt sikre sig, at modtageren af en variabel pensionsydelse skal tilbagebetale denne helt eller delvist, hvis pensionsydelsen er udbetalt på grundlag af oplysninger om resultater, som kan dokumenteres at være fejlagtige, og hvis modtageren er i ond tro herom.
Det foreslås i § 43 h, stk. 6, 3. pkt., at er modtageren er medlem et af bestyrelsen eller ansat i firmapensionskassen ved pensionsalderen, skal firmapensionskassen udbetale den variable del af pensionsydelsen til modtageren i form af de i stk. 1, nr. 4, nævnte instrumenter uden mulighed for afhændelse eller udnyttelse i en periode på fem år.
Bestemmelsen vil varetage samme hensyn som den foreslåede bestemmelses stk. 3, og der henvises derfor hertil.
Det foreslås i § 43 h, stk. 6, 4. pkt., at stk. 5 finder tilsvarende anvendelse på de i 3. pkt. nævnte tilfælde.
Efter det foreslåede vil kravet om clawback i det foreslåede stk. 5 finde anvendelse på en variabel pensionsydelse som tilbageholdes i form af instrumenter i fem år, hvor modtageren fortsat er medlem af bestyrelsen eller ansat i firmapensionskassen ved pensionsalderen. Det medfører, at firmapensionskassen skal sikre, at modtageren af en variabel pensionsydelse skal tilbagebetale denne helt eller delvist, hvis pensionsydelsen er udbetalt på grundlag af oplysninger om resultater, som kan dokumenteres af være fejlagtige, og hvis modtageren er i ond tro herom.
Det følger af det foreslåede § 117, stk. 2, jf. lovforslagets § 6, nr. 3, at overtrædelse af § 43 h, stk. 6, kan straffes med bøde. Ansvarssubjektet i forhold til overtrædelse af det foreslåede § 43 h, stk. 6, er firmapensionskassen. Den strafbare handling består i, at en firmapensionskasse eksempelvis ikke sikrer sig, at en skønsmæssig pensionsydelse tilbageholdes i form af finansielle instrumenter i fem år, i de tilfælde, hvor en direktør forlader firmapensionskassen inden pensionstidspunktet. Firmapensionskassen vil endvidere kunne straffes med bøde, hvis ikke firmapensionskassen sikrer, at udbetalingen af en skønsmæssig pensionsydelse reduceres, hvis de kriterier, der dannede grundlag for beregningen af den skønsmæssige pensionsydelse ikke længere er opfyldt på udbetalingstidspunktet. Dette kan bl.a. skyldes, at modtageren ikke har efterlevet kravene om egnethed og hæderlighed i den gældende § 42, stk. 1, i lov om firmapensionskasser.
Det foreslås i § 43 h, stk. 7, at for personer i ansættelsesforhold, der er omfattet af en kollektiv overenskomst, finder stk. 1-6 kun anvendelse på aftaler om variable løndele, hvis aftalerne om variabel løn ikke er fastsat i overenskomsten.
De foreslåede regler om aflønning har ikke til hensigt at berøre de rettigheder, som arbejdsmarkedets parter har i forbindelse med overenskomstforhandlinger. Aflønningsreglerne berører heller ikke de rettigheder, der følger af national aftale- og ansættelsesret, ligesom det ikke berører arbejdsmarkedets ret til at indgå og håndhæve kollektive overenskomster i overensstemmelse med nationale love og sædvaner.
Til nr. 3 (§ 97, stk. 1, 2. pkt., i lov om firmapensionskasser)
Det fremgår af § 97, stk. 1, 1. pkt., i lov om firmapensionskasser, at Finanstilsynet påser overholdelsen af denne lov og regler fastsat i medfør af loven. Det fremgår videre af § 97, stk. 1, 2. pkt., at Finanstilsynet påser overholdelsen af de i bestemmelsen nævnte forordninger og regler udstedt i medfør heraf.
Det foreslås i § 97, stk. 1, 2. pkt., at indsætte en henvisning til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Den foreslåede ændring vil medføre, at Finanstilsynet bliver udpeget som kompetent myndighed efter DORA-forordningen til at føre tilsyn med overholdelsen af forordningen.
Forordningen finder bl.a. anvendelse på arbejdsmarkedsrelaterede pensionskasser, jf. artikel 2, stk. 1, litra p.
I forbindelse med udførelsen af sit tilsyn vil Finanstilsynet få mulighed for bl.a. at kræve alle oplysninger m.v., som Finanstilsynet skønner nødvendige for Finanstilsynets virksomhed eller til afgørelse af, om der er sket en overtrædelse af forordningen, jf. § 102 i lov om firmapensionskasser.
Finanstilsynet vil med bestemmelsen bl.a. også få mulighed for at give påbud og påtaler for overtrædelser af forordningen, jf. § 97.
Efter artikel 46, litra m, i DORA-forordningen skal den kompetente myndighed, der er udpeget i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2016/2341 af 14. december 2016 om arbejdsmarkedsrelaterede pensionskassers (IORP'ers) sikre overholdelsen af DORA-forordningen for arbejdsmarkedsrelaterede pensionskasser.
Bestemmelsen vil supplere artikel 46, litra m, i DORA-forordningen.
Til nr. 4 (§ 103, stk. 6, nr. 30, i lov om firmapensionskasser)
I medfør af § 103, stk. 1, i lov om firmapensionskasser er Finanstilsynets ansatte under ansvar efter straffelovens §§ 152-152 e forpligtet til at hemmeligholde fortrolige oplysninger, som de bl.a. får kendskab til gennem tilsynsvirksomheden.
§ 103, stk. 6, i lov om firmapensionskasser er en undtagelse til tavshedspligten i stk. 1. Bestemmelsen fastsætter til hvem og i hvilke tilfælde Finanstilsynet kan videregive fortrolige oplysninger, uanset § 103, stk. 1.
I medfør af § 103, stk. 6, har Finanstilsynet ikke mulighed for at videregive oplysninger til Center for Cybersikkerhed, Den Fælles Afviklingsinstans (SRB) eller Den Europæiske Unions Agentur for Cybersikkerhed (ENISA).
Det foreslås i § 103, stk. 6, nr. 30, at Finanstilsynet kan videregive oplysninger til myndigheder, der varetager opgaver i henhold til DORA-forordningen, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.
Med den foreslåede bestemmelse, vil det bl.a. blive muligt for Finanstilsynet at videregive fortrolige oplysninger til Center for Cybersikkerhed, SRB og ENISA.
Når Finanstilsynet modtager en indberetning om en større it-relateret hændelse fra en firmapensionskasse, jf. artikel 19, stk. 1, 1. pkt., i DORA-forordningen, skal Finanstilsynet alt efter hvad der er relevant, rettidigt forelægge nærmere oplysninger om hændelsen til nationale og EU-retlige myndigheder og organer, jf. artikel 19, stk. 6, i DORA-forordningen.
Artikel 19, stk. 6, nævner bl.a. de centrale kontaktpunkter eller CSIRT'er, der er udpeget eller oprettet i overensstemmelse med NIS 2-direktivet, dvs. Center for Cybersikkerhed. Bestemmelsen nævner også SRB for så vidt angår de enheder eller koncerner, der er omhandlet i henholdsvis artikel 7, stk. 2, artikel 7, stk. 4, litra b, og artikel 7, stk. 5, i Europa-Parlamentets og Rådets forordning (EU) nr. 806/2014 af 15. juli 2014 om ensartede regler og en ensartet procedure for afvikling af kreditinstitutter og visse investeringsselskaber inden for rammerne af en fælles afviklingsmekanisme og en fælles afviklingsfond, bl.a. pengeinstitutter, der er underlagt tilsyn af Den Europæiske Centralbank, hvis sådanne oplysninger vedrører hændelser, der udgør en risiko for sikringen af kritiske funktioner, jf. artikel 2, stk. 1, nr. 35, i direktiv 2014/59/EU Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 om et regelsæt for genopretning og afvikling af kreditinstitutter og investeringsselskaber (BRRD).
En underretning om større it-relaterede hændelser til SRB kan eksempelvis blive relevant, hvor en hændelse kan få systemiske konsekvenser og dermed også konsekvenser for virksomheder, der er omfatter af Den Fælles Afviklingsmekanisme.
For så vidt angår videregivelse af fortrolige oplysninger til ENISA kan dette bl.a. blive relevant i de tilfælde, hvor hændelsesindberetninger til Finanstilsynet videreformidles i forbindelse med det samarbejde, der bliver iværksat på tværs af de nationale og europæiske finansielle tilsynsmyndigheder og afviklingsmyndigheder, SRB og ENISA i henhold til artikel 49 i DORA-forordningen. Samarbejdet i henhold til artikel 49 går ud på udveksling af effektive fremgangsmåder på tværs af den finansielle sektor for at forbedre situationskendskabet og identificere fælles cybersårbarheder og risici på tværs af sektorer.
Til nr. 5 (§ 104, stk. 1, og § 112, stk. 1, i lov om firmapensionskasser)
§ 104, stk. 1, i lov om firmapensionskasser nævner de virksomheder, der kan anses som part i forhold til Finanstilsynet i sager, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af bl.a. lov om firmapensionskasser.
§ 112, stk. 1, indeholder en klageadgang til Erhvervsankenævnet for den, som en afgørelse truffet af Finanstilsynet retter sig til. Bestemmelsen nævner bl.a. afgørelser truffet af Finanstilsynet i medfør af lov om firmapensionskasser og de i bestemmelsen nævnte forordninger.
Det foreslås i § 104, stk. 1, og § 112, stk. 1, at indsætte en henvisning til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Det foreslåede vil medføre, at virksomheder, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af DORA-forordningen eller regler udstedt i medfør heraf, også vil være at anse som parter i afgørelsessagen, og at afgørelser truffet af Finanstilsynet i medfør af DORA-forordningen og regler udstedt i medfør heraf kan indbringes for Erhvervsankenævnet senest 4 uger efter, at afgørelsen er meddelt den pågældende, som afgørelsen retter sig til.
Til nr. 6 (§ 105, stk. 1, 4. pkt., i lov om firmapensionskasser)
Det fremgår af § 105, stk. 1, 1. pkt., i lov om firmapensionskasser, at der skal ske offentliggørelse af reaktioner, som Finanstilsynets bestyrelse har truffet beslutning om, eller som Finanstilsynets har givet efter delegation fra Finanstilsynets bestyrelse. Offentliggørelsen skal ske med angivelse af firmapensionskassens navn. I medfør af stk. 1, 2. pkt., skal offentliggørelsen ske på Finanstilsynets hjemmeside. § 105, stk. 1, regulerer ikke det tilfælde, hvor det alene er Finanstilsynet uden delegation fra bestyrelsen, der har truffet afgørelse om at give en reaktion til en firmapensionskasse.
Det foreslås i § 105, stk. 1, efter 3. pkt., at indsætte et nyt punktum, der bliver 4. pkt., hvoraf fremgår, at reaktioner givet i henhold til DORA-forordningen skal offentliggøres på Finanstilsynets hjemmeside med angivelse af firmapensionskassens navn, jf. dog stk. 4.
Med den foreslåede ændring vil Finanstilsynet skulle offentliggøre reaktioner, der er givet af Finanstilsynet til en virksomhed for en overtrædelse af DORA-forordningen. Ved reaktioner forstås f.eks. påbud eller påtaler. Reaktionen skal offentliggøres på Finanstilsynets hjemmeside.
I bestemmelsen er der indsat en henvisning til § 105, stk. 4, der vedrører de tilfælde, hvor offentliggørelse ikke kan ske, og at offentliggørelsen ikke må indeholde fortrolige oplysninger, jf. nærmere herom i de specielle bemærkninger til § 105, tidligere § 104, jf. Folketingstidende 2018-2019, tillæg A, L 79 som fremsat, side 196-200.
Til nr. 7 (§ 105, stk. 1, 5. pkt., i lov om firmapensionskasser)
Det følger af § 105, stk. 1, 4. pkt., at indbringes en reaktion, der offentliggøres i henhold til 1. pkt., dvs. en reaktion, som Finanstilsynets bestyrelse har truffet beslutning om, eller som Finanstilsynet har givet en virksomhed efter delegation fra bestyrelsen, for domstolene, skal dette fremgå af Finanstilsynets offentliggørelse, og det efterfølgende resultat af domstolenes afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt.
Det foreslås i § 105, stk. 1, 4. pkt., der bliver 5. pkt., at ændre »1. pkt.« til »1. eller 4. pkt.«.
Med den foreslåede bestemmelse vil det også skulle fremgå af Finanstilsynets offentliggørelse af en reaktion givet i henhold til DORA-forordningen, hvis denne indbringes for domstolene, og det efterfølgende resultat af domstolenes afgørelse vil også skulle fremgå af Finanstilsynets hjemmeside. Offentliggørelsen heraf vil skulle ske hurtigst muligt.
Det foreslåede skal læses i sammenhæng med lovforslagets § 6, nr. 6, der vil fastsætte, at reaktioner givet i henhold til DORA-forordningen skal offentliggøres på Finanstilsynets hjemmeside.
Til nr. 8 (§ 105, stk. 1, 6. pkt., i lov om firmapensionskasser)
Det følger af § 105, stk. 1, 4. pkt., at indbringes en reaktion, der offentliggøres i henhold til 1. pkt., dvs. en reaktion, som Finanstilsynets bestyrelse har truffet beslutning om, eller som Finanstilsynet har givet en virksomhed efter delegation fra bestyrelsen, for domstolene, skal dette fremgå af Finanstilsynets offentliggørelse, og det efterfølgende resultat af domstolenes afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt.
Det foreslås at indsætte § 105, stk. 1, 6. pkt., hvoraf det fremgår, at indbringes reaktionen, der er offentliggjort i henhold til 4. pkt., for Erhvervsankenævnet, skal dette fremgå af Finanstilsynets offentliggørelse, og det efterfølgende resultat af Erhvervsankenævnets afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt.
Med den foreslåede bestemmelse vil det skulle fremgå af offentliggørelsen af en reaktion givet i henhold til DORA-forordningen, hvis denne indbringes for Erhvervsankenævnet, ligesom det efterfølgende resultat heraf skal fremgå af offentliggørelsen.
Offentliggørelsen skal ske i naturlig sammenhæng med den offentliggørelse, som Finanstilsynet tidligere har foretaget.
Det foreslåede skal læses i sammenhæng med lovforslagets § 6, nr. 6, der vil fastsætte, at reaktioner givet i henhold til DORA-forordningen skal offentliggøres på Finanstilsynets hjemmeside.
Den foreslåede ændring til § 112, stk. 1, i lovforslagets § 6, nr. 5, vil medføre, at afgørelser truffet af Finanstilsynet i henhold til DORA-forordningen vil kunne indbringes for Erhvervsankenævnet. Indbringes en afgørelse for Erhvervsankenævnet, vil Finanstilsynet blive orienteret herom af Erhvervsankenævnet. Finanstilsynet vil herefter – i de tilfælde hvor den indbragte afgørelse er offentliggjort – offentliggøre oplysninger om afgørelsens indbringelse. Finanstilsynets offentliggørelse heraf skal som udgangspunkt ske inden for 1 til 2 hverdage.
Finanstilsynets offentliggørelse vil skulle ske på Finanstilsynets hjemmeside dér, hvor Finanstilsynet tidligere har offentliggjort reaktionen. Oplysningen om, at sagen er indbragt for Erhvervsankenævnet, skal fremgå tydeligt.
Finanstilsynet skal desuden offentliggøre det endelige udfald af sagen. Det indebærer ikke, at Finanstilsynet skal offentliggøre Erhvervsankenævnets kendelser i deres helhed. Disse offentliggøres af Erhvervsankenævnet.
De foreslåede ændringer i § 105, stk. 1, 4.-6. pkt., vil gennemføre artikel 54, stk. 1, i DORA-forordningen, hvormed de kompetente myndigheder uden unødigt ophold på deres officielle websteder skal offentliggøre enhver afgørelse om pålæggelse af en administrativ sanktion, som ikke kan påklages, efter at modtageren af sanktionen er blevet underrettet om afgørelsen. En administrativ sanktion kan bl.a. kan være et påbud eller en påtale.
Det fremgår dog videre af artikel 54, stk. 5, i DORA-forordningen, at hvis den kompetente myndighed offentliggør en afgørelse om at pålægge en administrativ sanktion, der kan indbringes for de relevante judicielle myndigheder, lægger de kompetente myndigheder straks denne oplysning på deres officielle websted sammen med eventuelle efterfølgende oplysninger om resultatet af denne indbringelse på et senere tidspunkt. En judiciel afgørelse, som annullerer en afgørelse om at pålægge en administrativ sanktion, skal også offentliggøres.
For nærmere om § 105 og offentliggørelse henvises der i det hele til de specielle bemærkningerne til § 105, tidligere § 104, jf. Folketingstidende 2018-2019, tillæg A, L 79 som fremsat, side 196-200.
Til nr. 9 (§ 117, stk. 2, i lov om firmapensionskasser)
Den gældende bestemmelse i § 117 er en straffebestemmelse. Bestemmelsen indeholder i stk. 2 en opremsning af de bestemmelser, hvis overtrædelse kan straffes med bøde.
I § 117, stk. 2, indsættes efter »§ 42, stk. 2, jf. stk. 1, nr. 3 og 4,«: »§§ 43 e, 43 f, § 43 g, stk. 1, § 43 h, stk. 1-6,«, og efter »§ 111, stk. 3, 5 og 6,« indsættes: »og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.
Det foreslåede vil medføre, at overtrædelse af bestemmelserne i §§ 43 e, 43 f, § 43 g, stk. 1, § 43 h, stk. 1-6, vil kunne straffes med bøde. Bestemmelserne angår forpligtelser for aflønningsområdet.
Det foreslåede er en videreførelse af gældende ret, da pligterne indeholdt i de tilføjede bestemmelser hidtil har været strafbelagt i henhold til § 29, stk. 1, i bekendtgørelse nr. 16 af 4. januar 2019 om lønpolitik og aflønning i forsikringsselskaber, forsikringsholdingvirksomheder og firmapensionskasser. For en nærmere gennemgang henvises til bemærkningerne til de foreslåede bestemmelser, jf. de foreslåede § 43 e, § 43 f, § 43 g, stk. 1, og § 43 h, stk. 1-6.
Det foreslåede vil ligeledes medføre, at overtrædelse af en række artikler i DORA-forordningen vil kunne medføre straf. Dette foreslås i overensstemmelse med forordningens artikel 52, hvorefter medlemsstaterne kan beslutte ikke at fastsætte bestemmelser om administrative sanktioner eller afhjælpende foranstaltninger for overtrædelser, der er omfattet af strafferetlige sanktioner i henhold til national ret.
Overtrædelser af DORA-forordningen kan ske af både fysiske og juridiske personer. I de situationer, hvor ansvarssubjektet er en virksomhed, vil det være udgangspunktet, at tiltalen rejses mod den juridiske person. Der kan i en række tilfælde være anledning til – ud over tiltalen mod den juridiske person – tillige at rejse tiltale mod en eller flere fysiske personer, hvis den eller de pågældende har handlet forsætligt eller udvist grov uagtsomhed. For virksomheder under stiftelse vil ansvarssubjektet være de personer, der stifter virksomheden, da en virksomhed under stiftelse ikke kan være ansvarssubjekt.
Bødeniveauet tiltænkes fastsat i overensstemmelse med § 372, stk. 12, i lov om finansiel virksomhed. Det fremgår heraf, at der ved udmåling af bøder lægges vægt på overtrædelsens grovhed og gerningsmandens økonomiske forhold. For overtrædelser begået af juridiske personer lægges ved vurderingen af gerningsmandens økonomiske forhold vægt på virksomhedens nettoårsomsætning på gerningstidspunktet. For overtrædelser begået af fysiske personer lægges vægt på den pågældendes indtægtsforhold på gerningstidspunktet. Det er afgørende, at der ved strafudmålingen lægges vægt på de nævnte faktorer, således at bøder vil have en pønal og præventiv effekt på alle aktører på markedet, og således at det finansielle incitament til at overtræde bestemmelserne reduceres. Vurderingen af overtrædelsens grovhed bør foregå uafhængig af gerningsmandens økonomiske forhold.
Nedenfor anføres en uddybende beskrivelse af indholdet af de enkelte artikler i DORA-forordningen, der vil blive strafbelagt med den foreslåede bestemmelse. Når der nedenfor henvises til finansielle enheder, menes der firmapensionskasser.
Artikel 5 indeholder regler om forvaltning og organisationen af en finansiel enheds it-risikostyring. Intern forvaltning og organisation af it-risikostyring omfatter fastlæggelsen og tilsynet af de foranstaltninger for it-risikostyring. En sikker forvaltning af risikostyringen sikrer et højt niveau af digital operationel modstandsdygtighed og bidrager til den finansielle stabilitet.
I medfør af artikel 5, stk. 1, skal en finansiel enhed have indført en intern forvaltnings og kontrolramme, der sikrer en effektiv og forsigtig styring af it-risiko, i overensstemmelse med artikel 6, stk. 4, der bl.a. fastsætter krav om, at finansielle enheder skal overdrage ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion og sikre, at denne kontrolfunktion har et passende uafhængighedsniveau for at undgå interessekonflikter mellem den finansielle enhed og kontrolfunktionen.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 1, er den finansielle enhed.
Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har overdraget ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion, der har et passende uafhængighedsniveau i forhold til den finansielle enhed.
Det fremgår af artikel 5. stk. 2, at ledelsesorganet i den finansielle enhed skal fastlægge, godkende og føre tilsyn med og har ansvaret for gennemførelsen af alle ordninger vedrørende rammer for it-risikostyring, der er omhandlet i artikel 6, stk. 1. Artikel 6, stk. 1, vedrører at finansielle enheder indfører en robust, omfattende og veldokumenteret ramme for it-risikostyring. De nærmere krav til ledelsesorganet er nærmere beskrevet i artikel 5, stk. 2, litra a-i. Det fremgår bl.a. af stk. 2, litra b, at ledelsesorganet skal indføre politikker, der har til formål at sikre høje standarder for tilgængeligheden, autenticiteten, integriteten og fortroligheden af data. Videre fremgår det af stk. 2, litra f, at ledelsesorganet godkender og regelmæssigt gennemgår den finansielle enheds interne it-revisionsplaner, it-revisioner og væsentlige ændringer heraf.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 2, er den finansielle enhed. En strafbar handling kan eksempelvis være, at et ledelsesorgan ikke har indført politikker for tilgængeligheden, autenticiteten, integriteten og fortroligheden af data i henhold til stk. 2, litra b. En strafbar handling kan også være at ledelsesorganet enten ikke har godkendt eller gennemgået den finansielle enheds interne it-revisionsplan i henhold til stk. 2, litra f.
Artikel 5, stk. 3, fastsætter at finansielle enheder skal oprette en funktion med henblik på overvågning af de ordninger, der er indgået med tredjepartsudbydere af it-tjenester vedrørende brugen af it-tjenester, eller udpege et medlem af den øverste ledelse som tilsynsansvarlig for den dermed forbundne risikoeksponering og relevante dokumentation.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 3, er den finansielle enhed. Et eksempel på en strafbar handling kan være, at ledelsesorganet ikke har oprettet en funktion der har til formål at overvåge de ordninger, der er indgået med tredjepartsudbydere af it-tjenester vedrørende brugen af it-tjenester.
Artikel 6 indeholder regler om en finansiel enheds ramme for it-risikostyring. Rammen for it-risikostyring omfatter hvilke tiltag en operatør af et reguleret marked har opsat.
I medfør af artikel 6, stk. 1, skal en finansiel enhed have indført en robust, omfattende og veldokumenteret ramme for deres it-risikostyring, som en del af deres samlede risikostyringssystem der sikrer et højt niveau af digital operationel modstandsdygtighed.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 1, er den finansielle enhed.
Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har formået at dokumentere deres ramme for deres it-risikostyring i en tilstrækkelig grad.
Det fremgår af artikel 6, stk. 2, at rammen for it-risikostyring, som minimum skal omfatte strategier, politikker, procedurer, it-protokoller og værktøjer, som er nødvendige for på behørig vis og i tilstrækkelig grad, at beskytte alle informationsaktiver og it-aktiver.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 2, er ledelsesorganet. Det fremgår af artikel 5. stk. 2, at ledelsesorganet i den finansielle enhed skal fastlægge, godkende og føre tilsyn med og har ansvaret for gennemførelsen af alle ordninger vedrørende rammer for it-risikostyring, der er omhandlet i artikel 6, stk. 1.
Den strafbare handling kan eksempelvis bestå i, at ledelsesorganet ikke har indført sikkerhedsforanstaltninger der i tilstrækkeliggrad beskytter relevante fysiske komponenter, som eksempelvis virksomhedens lokaler, mod uautoriseret adgang.
Artikel 6, stk. 3, omhandler de finansielle enheders forpligtigelse til at forelægge fuldstændige og ajourførte oplysninger om deres it-risiko på de kompetente myndigheders anmodning. Ved at indføre passende strategier, politikker, procedurer, it-protokoller og -værktøjer, minimerer den finansielle enhed deres it-risiko.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 3, er den finansielle enhed. Et eksempel på den strafbare handling kan være, at den finansielle enhed ikke på Finanstilsynets anmodning, har fremlagt en opdateret strategi for deres it-risikostyring, efter nye tiltag trådte i kraft for virksomheden.
Det fremgår af artikel 6, stk. 4, at finansielle enheder skal overdrage ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion og sikre, at denne kontrolfunktion har et passende uafhængighedsniveau, så interessekonflikter kan undgås. Videre fremgår det af artikel 6, stk. 4, 2. pkt., at en finansiel enhed skal sikre en passende adskillelse og uafhængighed af it-risikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner efter modellen med tre forsvarslinjer eller en intern model for risikostyring og kontrol.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse af bestemmelsen kan eksempelvis bestå i, at en finansiel enhed har en intern styring af og tilsyn med it-risikoen og derfor ikke har sikret en passende adskillelse og uafhængighed af deres it-risikostyringsfunktioner.
Artikel 6, stk. 5, indeholder krav om dokumentationen og tilsyn med it-risikostyringens ramme. Det følger af bestemmelsen, at rammen for it-risikostyringen skal dokumenteres og gennemgås mindst én gang om året, samt når der forekommer større it-relaterede hændelser, og i henhold til tilsynsmæssige instrukser eller konklusioner, som er udledt af relevant test af digital operationel modstandsdygtighed eller revisionsprocesser. Den skal forbedres løbende på grundlag af indhøstede gennemførelses- og overvågningserfaringer. Der skal forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed på dens anmodning.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 5, er den finansielle virksomhed. Den strafbare handling kan eksempelvis bestå i, at en finansiel enhed ved en større it-relateret hændelse, efterfølgende ikke formår at dokumentere rammen for risikostyringen. En strafbar handling kunne også bestå i, at den finansielle enhed ikke har forbedret rammen for deres risikostyring på baggrund af løbende overvågningserfaringer.
Artikel 6, stk. 6, omhandler revisorernes interne revision af rammen for it-risikostyring. Det følger af bestemmelsen, at revisorerne skal besidde egenskaber som tilstrækkelig viden, faglig kompetence og ekspertise, samt være tilstrækkeligt uafhængige. Der skal være overensstemmelse mellem hyppigheden af revisioner og omfanget af it-risikoen hos den finansielle enhed.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse kan eksempelvis bestå i, at den finansielle enheds revisor har foretaget en revision af rammen for it-risikostyring, uden at have det fornødne egenskaber. Det kan ligeledes anses for strafbart såfremt revisoren ikke kan anses som værende uafhængig.
Artikel 6, stk. 7, omhandler den formelle opfølgningsproces på den interne revisionsgang som den finansielle enhed skal etablere. Opfølgningsprocessen skal indeholde regler for rettidig efterprøvning og udbedring af kritiske resultater af it-revisioner.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 7, er den finansielle enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke etablerer en opfølgningsproces, der indeholder regler for rettidig efterprøvning af kritiske konklusionerne fra en interne revision.
I medfør af artikel 6, stk. 8, skal en finansiel enheds ramme for it-risikostyring omfatte en strategi for digital operationel modstandsdygtighed, der fastsætter, hvordan rammen gennemføres. Strategien for digital operationel modstandsdygtighed skal omfatte metoderne til håndtering af it-risiko og opfylde specifikke krav, som er oplistet i artikel 6, stk. 8, litra a-h. Et af disse krav er eksempelvis at fastlægge risikotoleranceniveauet for it-risiko i overensstemmelse med den finansielle enheds risikovillighed og analysere tolerancen over for virkninger af it-forstyrrelser, jf. litra b, eller dokumentere den nuværende situation for den digitale operationelle modstandsdygtighed på grundlag af antallet af indberettede større it-relaterede hændelser og de forebyggende foranstaltningers effektivitet, jf. litra f.
Ansvarssubjektet for en overtrædelse af artikel 6, stk. 8, er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enheds strategi, undlader at analysere for virkninger af it-forstyrrelser over for risikotoleranceniveauet. Den strafbare handling kan ligeledes bestå i, at den finansielle enhed ikke formår at dokumentere deres situation for den operationelle robusthed på baggrund af mængden af større it-relaterede hændelser og de forebyggende foranstaltningers effektivitet
Artikel 7, stk. 1, oplister en række krav til den finansielle enheds it-systemer, -protokoller og-værktøjer, jf. litra a-d. Den finansielle enhed skal eksempelvis anvende systemer der er pålidelige, jf. litra b, og som er teknologisk modstandsdygtige nok til i tilstrækkeligt omfang at håndtere yderligere behov for informationsbehandling som krævet under stressede markedsforhold eller i andre vanskelige situationer, jf. litra d.
Ansvarssubjektet for overtrædelse af bestemmelsen er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke anvender systemer eller værktøjer der pålidelige eller proportionale i forhold til den finansielle enheds udbudte ydelser.
Artikel 8, stk. 1-7, i DORA-forordningen omhandler identifikation af kilder til it-risiko. Artikel 8, stk. 1, fastsætter, at en finansiel enhed, som led i deres ramme for it-risikostyring, skal foretage identifikation, klassificering og tilstrækkelig dokumentering af alle it-understøttede forretningsfunktioner, roller og ansvarsområder, informationsaktiver og it-aktiver, der understøtter disse funktioner, samt deres roller og afhængigheder med hensyn til it-risici. Bestemmelsen fastsætter endvidere, at en finansiel virksomhed efter behov og mindst én gang om året, vurderer hvorvidt denne klassificering og eventuel relevant dokumentation er tilstrækkelig.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke har identificeret, klassificeret eller dokumenteret deres it-understøttede forretningsfunktioner i en tilstrækkelig grad.
I medfør af artikel 8, stk. 2, skal en finansiel enhed løbende identificere alle kilder til it-risiko, navnlig risikoeksponeringen for og fra andre finansielle enheder, og vurderer cybertrusler og it-sårbarheder, der er relevante for deres it-understøttede forretningsfunktioner, informationsaktiver og it-aktiver. De finansielle enheder skal derfor regelmæssigt og mindst én gang om året gennemgå de risikoscenarier, der har virkninger for dem.
Ansvarssubjektet for overtrædelse af artikel 8, stk. 2, er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel virksomhed ikke mindst én gang årligt har gennemgået de risikoscenarier der er virkninger for dem.
Artikel 8, stk. 3, indeholder krav om, at en finansiel enhed skal foretage en risikovurdering efter hver større ændring af infrastrukturen i net- og informationssystemerne, i de processer eller procedurer, der påvirker deres it-understøttede forretningsfunktioner, informationsaktiver eller it-aktiver.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling kan bestå i, at en finansiel enhed har foretaget en større ændring infrastrukturen i deres net- og informationssystem og ikke foretager en ny risikovurdering, såfremt infrastrukturen påvirker deres it-understøttede forretningsfunktioner.
Det fremgår af artikel 8, stk. 4, at en finansiel enhed skal identificere alle informationsaktiver og it-aktiver, herunder på eksterne steder, netværksressourcer og hardwareudstyr, og kortlægger dem, der anses for kritiske. Den finansielle enhed kortlægger informationsaktivernes og it-aktivernes konfiguration samt forbindelserne og den indbyrdes forbundethed mellem de forskellige informationsaktiver og it-aktiver.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har kortlagt de kritiske informationsaktiver og it-aktiver, herunder på eksterne steder, netværksressourcer og hardwareudstyr.
Artikel 8, stk. 5, fremgår det, at en finansiel enhed skal identificere og dokumentere alle processer, der er afhængige af tredjepartsudbydere af it-tjenester. Det fremgår endvidere, at den finansielle enhed identificerer sammenkoblinger med tredjepartsudbydere af it-tjenester, der udbyder tjenester, som understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed har undladt at dokumentere alle de processer der er afhængige af tredjepartsudbydere af it-tjenester, som den finansielle enhed bruger.
Det fremgår af artikel 8, stk. 6, at den finansielle enhed, med henblik på artikel 6, stk. 1, 4 og 5, opretholder relevante fortegnelser og ajourfører dem regelmæssigt, og hver gang der sker større ændringer som omhandlet i artikel 6, stk. 3.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse kan bestå i, at der ved en større ændring af infrastrukturen i net- og informationssystemerne, i de processer eller procedurer, der påvirker den finansielle enheds it-understøttede forretningsfunktioner, informationsaktiver eller it-aktiver, ikke er foretaget ajourførte fortegnelser over ændringerne.
Til sidst følger det af artikel 8, stk. 7, at en finansiel enhed skal foretage en specifik it-risikovurdering regelmæssigt og mindst én gang om året.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse består eksempelvis i, at en finansiel virksomhed ikke regelmæssigt eller mindst én gang årligt har foretaget en specifik it-risikovurdering.
Artikel 9 indeholder nærmere bestemmelser om beskyttelse af it-systemer og forebyggelse af it-risici.
Det følger af artikel 9, stk. 1, at en finansiel enhed skal sikre løbende overvågning af og kontrol med it-systemer og -værktøjernes sikkerhed og af, hvordan de fungerer, og minimerer virkningerne af it-risikoen for it-systemer ved at indføre passende it-sikkerhedsværktøjer, -politikker og -procedurer, med henblik på, at sikre en passende beskyttelse og tilrettelægge indsatsforanstaltninger der skal sikre de finansielle enheder.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, ikke løbende at overvåge og kontrollere den finansielle enheds it-systemer og -værktøjers sikkerhed igennem passende it-sikkerhedsværktøjer, -politikker og -procedurer.
I medfør af artikel 9, stk. 2, skal en finansiel enhed udforme, indkøbe og gennemføre it-sikkerhedspolitikker, -procedurer, -protokoller og -værktøjer, der har til formål at sikre it-systemernes modstandsdygtighed, stabilitet og tilgængelighed, især for dem, der understøtter kritiske eller vigtige funktioner, og at opretholde høje standarder for, tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, hvad enten dataene er inaktive, i brug eller under overførsel.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 9, stk. 2, bestå i, at der ikke er gennemført en it-sikkerhedspolitik for at sikre den finansielle enheds it-systems modstandsdygtighed, stabilitet og tilgængelighed.
Artikel 9, stk. 3, omhandler de it-løsninger og it-processer som den finansielle enhed skal anvende for at nå de i artikel 9, stk. 2, omhandlede mål. It-løsningerne og it-processerne skal være i overensstemmelse med proportionalitetsprincippet i artikel 4 i DORA-forordningen og sikre sikkerheden for metoderne til overførsel af data, minimere risikoen for korruption eller tab af data, uautoriseret adgang og tekniske fejl, der kan hæmme erhvervsaktiviteten og forhindrer manglen på tilgængelighed, forringelsen af autenticiteten og integriteten, bruddene på fortroligheden og tabet af data. Samt sikre, at data beskyttes mod risici, der opstår i forbindelse med dataforvaltning, herunder dårlig administration, procesrelaterede risici og menneskelige fejl.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 9, stk. 3, bestå i at have utilstrækkelige it-løsninger og it-processer, der ikke lever op til proportionalitetsprincippet i artikel 4, i DORA-forordningen og de i artikel 9, stk. 3, fastsatte krav.
Det følger af artikel 9, stk. 4, at en finansiel enhed som led i deres it-risikostyring skal udvikle og dokumentere en informationspolitik, der fastlægger regler for beskyttelse af tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, informationsaktiver og it-aktiver, herunder deres kunders, hvis det er relevant, jf. litra a. Desuden skal en finansiel enhed følge en risikobaseret tilgang ved at indføre en forsvarlig forvaltningsstruktur for netværk og infrastrukturer ved anvendelse af passende teknikker, metoder og protokoller, der kan omfatte gennemførelse af automatiske mekanismer til isolering af de berørte informationsaktiver i tilfælde af cyberangreb, jf. litra b. Artikel 9, stk. 4, litra c, fastsætter også at en finansiel enhed skal gennemføre politikker, der begrænser den fysiske eller logiske adgang til informationsaktiver og it-aktiver udelukkende til, hvad der er påkrævet for legitime og godkendte funktioner og aktiviteter, og med henblik herpå indføre en række politikker, procedurer og kontroller, der vedrører adgangsrettigheder og sikrer forsvarlig forvaltning heraf.
Desuden skal den finansielle enhed gennemføre politikker og protokoller for stærke autentificeringsmekanismer på grundlag af relevante standarder og særlige kontrolsystemer og beskyttelsesforanstaltninger for krypteringsnøgler, hvorigennem data krypteres baseret på resultaterne fra godkendt dataklassificering og godkendte it-risikovurderingsprocesser, jf. litra d. Samt gennemføre dokumenterede politikker, procedurer og kontroller for styring af it-ændringer, herunder ændringer af software, hardware, firmwarekomponenter, systemer eller sikkerhedsparametre, som er baseret på en risikovurderingstilgang og er en integreret del af den finansielle enheds samlede ændringsstyringsproces, for at sikre, at alle ændringer af it-systemer registreres, testes, vurderes, godkendes, gennemføres og efterprøves på en kontrolleret måde, jf. litra e. Slutteligt anfører artikel 9, stk. 4, litra f, at en finansiel enhed skal sørge for, at der indføres passende og omfattende dokumenterede politikker for programrettelser og opdateringer.
Med henblik på første afsnit, litra b, udformer de finansielle enheder infrastrukturen for netværkstilslutning på en sådan måde, at den kan afbrydes eller segmenteres øjeblikkeligt for at minimere og forhindre afsmitning, navnlig i forbindelse med indbyrdes forbundne finansielle processer. Med henblik på første afsnit, litra e, skal it-ændringsstyringsprocessen godkendes på passende ledelsesniveauer og omfatte specifikke protokoller.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ikke forelægger en tilstrækkelig it-sikkerhedspolitik hos den finansielle enhed til at sikre beskyttelsen af deres kunders data. Den strafbare handling kan desuden også bestå i, at dokumenterede politikker, procedurer og kontroller for styring af it-ændringer, herunder ændringer af software, hardware, firmwarekomponenter, systemer eller sikkerhedsparametre, som er baseret på en risikovurderingstilgang og er en integreret del af den finansielle enheds samlede ændringsstyringsproces, for at sikre, at alle ændringer af it-systemer registreres, testes, vurderes, godkendes, gennemføres og efterprøves på en kontrolleret måde, ikke er blevet godkendt på passende ledelsesniveau.
Artikel 10, stk. 1-4, i DORA-forordningen omhandler detektion af anormale aktiviteter.
Det følger af artikel 10, stk. 1, at en finansiel enhed skal indføre mekanismer til omgående detektion af anormale aktiviteter i overensstemmelse med artikel 17, herunder problemer med it-netværkets ydeevne og it-relaterede hændelser, og til identifikation af potentielt væsentlige single points of failure. Artikel 17 omhandler proces for styring af it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. En overtrædelse af artikel 10, stk. 1, kan bestå i at der i den finansielle enhed ikke bliver opdaget anormale aktiviteter, idet enheden ikke har indført en mekaniske til detektion af disse.
Artikel 10, stk. 2, fastsætter krav til den finansielle enheds mekanismer. I medfør af artikel 10, stk. 2, skal de omtalte mekanismer i stk. 1, anvende flere kontrollag, fastlægge varslingstærskler og -kriterier, som skal udløse og igangsætte indsatsforanstaltninger mod it-relaterede hændelser, herunder automatiske varslingsmekanismer for det relevante personale, som har ansvar for indsatsen mod it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i at have utilstrækkelige mekanismer der ikke lever op til de af artikel 10, stk. 2, fastsatte krav.
Videre fremgår det af artikel 10, stk. 3, at finansielle enheder skal afsætte tilstrækkelige ressourcer og kapaciteter til overvågning af brugeraktiviteter, forekomsten af it-anomalier og it-relaterede hændelser, navnlig cyberangreb.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, ikke at have afsat ressourcer til overvågning af brugeraktiviteter.
Til slut fremgår det af artikel 10, stk. 4, at udbydere af dataindberetningstjenester indfører desuden systemer, som effektivt kan kontrollere, om handelsindberetningerne er fuldstændige, identificere udeladelser og åbenbare fejl og anmode om fornyet fremsendelse af disse indberetninger.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ikke er indført et system som kan identificere åbenbare fejl.
Artikel 11 i DORA-forordningen omhandler indsats og genopretning af it. Artikel 11, stk. 1, fastsætter, at en finansiel enhed skal indføre en omfattende politik for it-driftsstabilitet. Politikken skal være baseret på de krav til identifikation, der er fastsat i artikel 8 i DORA-forordningen. I henhold til artikel 8, stk. 1, skal en finansiel enhed f.eks. foretage en identifikation, klassificering og tilstrækkelig dokumentering af alle it-understøttende forretningsfunktioner, roller, ansvarsområder, informationsaktiviteter og it-aktiver, der understøtter disse funktioner, samt deres roller og afhængigheder med hensyn til it-risici.
Ansvarssubjektet for overtrædelse af artikel 11, stk. 1, er den finansielle enhed. Den strafbare handling kan enten bestå i ikke at have indført nogen politik for it-driftsstabilitet, eller at have indført en politik, der ikke omhandler alle it-understøttende forretningsfunktioner.
I medfør af artikel 11, stk. 2, skal en finansiel enhed gennemføre politikken for it-driftsstabilitet ved hjælp af særlige veldokumenterede ordninger, planer, procedurer og mekanismer, der skal tage sigte på en række forhold, der er oplistet i stk. 2, litra a - e. En af disse forhold er eksempelvis at sikre, at en finansiel enheds kritiske eller vigtige funktioner er stabile, jf. litra a, eller omgående at aktivere særlige planer, der gør det muligt at anvende inddæmningsforanstaltninger, -processer og -teknologier, der er egnede til de enkelte typer af it-relaterede hændelser, og som forhindrer yderligere skade, jf. litra c.
Ansvarssubjektet for en overtrædelse af artikel 11, stk. 2, er den finansielle enhed. Den strafbare handling består i, ikke at have gennemført en politik for it-driftsstabilitet ved hjælp af særlige ordninger, planer, procedurer og mekanismer, der tager sigte på de forhold, der er oplistet i stk. 2, litra a – e.
Artikel 11, stk. 3, indeholder krav om, at en finansiel enhed skal gennemføre planer for it-indsats og -genopretning, som skal underkastes uafhængige interne revisionsgennemgange.
Ansvarssubjektet for en overtrædelse af stk. 3, er den finansielle enhed. Den strafbare handling består i at en finansiel enhed ikke lader planer for it-indsats og -genopretning blive underkastet uafhængige interne revisionsgennemgange.
Det fremgår af artikel 11, stk. 4, at en finansiel enhed skal indføre, vedligeholde og foretage regelmæssig testning af passende planer for it-driftsstabilitet, navnlig med hensyn til kritiske eller vigtige funktioner, som outsources eller udliciteres gennem ordninger, der er indgået med tredjepartsudbydere af it-tjenester. Ved regelmæssig testning forstås mindst én gang om året, jf. artikel 11, stk. 6, litra a.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i ikke at vedligeholde planer for it-driftsstabilitet, f.eks. hvis en udskiftning af virksomhedens it-systemer nødvendiggør en opdatering af planerne for it-driftsstyring. En strafbar handling kan også bestå i ikke regelmæssigt at foretage en test af planer for it-driftsstabilitet. Herunder vil det være en særligt skærpende omstændighed, hvis der ikke er foretaget regelmæssig testning af planer for it-driftsstabilitet med hensyn til kritiske eller vigtige funktioner, som eksempelvis er outsourcet til en tredjepartsudbyder af it-tjenester.
Af artikel 11, stk. 5, 1. pkt., fremgår det, at en finansiel enhed som led i den samlede politik for driftsstabilitet skal foretage en forretningskonsekvensanalyse af deres eksponering for alvorlige driftsforstyrrelser. Det fremgår videre af stk. 5, 2. pkt., hvordan en finansiel enhed i konsekvensanalysen skal vurdere potentielle virkninger af alvorlige driftsforstyrrelser. I stk. 5, 3. pkt., fremgår det, at en konsekvensanalyse bl.a. skal tage hensyn til den kritiske betydning af identificerede og kortlagte forretningsfunktioner og andre forhold, der er nævnt i 3. pkt. Til sidst fremgår det af stk. 5, 4. pkt., at en finansiel enhed skal sikre, at it- aktiver og -tjenester udformes og anvendes i fuld overensstemmelse konsekvensanalysen, navnlig med hensyn til tilstrækkeligt at sikre alle kritiske komponenters redundans, dvs. at en kritisk komponent kan erstattes med en tilsvarende komponent, hvis det skulle blive nødvendigt.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå af ikke at foretage en forretningskonsekvensanalyse af enhedens eksponering for alvorlige driftsforstyrrelser. Den kan f.eks. også bestå i ikke at foretage en vurdering af alvorlige driftsforstyrrelser i overensstemmelse med stk. 5, 2. pkt., eller bestå i at konsekvensanalysen ikke tager hensyn til den kritiske betydning af identificerede og kortlagte forretningsfunktioner eller en af de andre forhold, der er nævnt i det pågældende punkt. Til sidst kan en strafbar handling bestå i f.eks. ikke at sikre, at en kritisk komponent kan erstattes af en tilsvarende komponent, hvis konsekvensanalysen tilsiger dette.
Det fremgår af artikel 11, stk. 6, 1. afsnit, litra a, at en finansiel enhed som led i it-risikostyring skal teste enhedens planer for it-driftsstabilitet og planer for it-indsats og genopretning i forbindelse med it-systemer, der understøtter alle funktioner. En test heraf skal finde sted mindst én gang årligt og i tilfælde af væsentlige ændringer af it-systemer, der understøtter kritiske eller vigtige funktioner. I medfør af stk. 6, 1. afsnit, litra b, skal en finansiel enhed også teste krisekommunikationsplaner, der er udarbejdet i medfør af artikel 14.
Stk. 6, 2. afsnit indeholder nærmere krav til, hvilke forskellige scenarier tests for it-driftsstabilitet og planer for it-indsats og genopretning, jf. stk. 6, litra a, skal medtage. Det drejer sig bl.a. om cyberangrebsscenarier og omstillingsscenarier mellem den primære it-infrastruktur og redundante kapacitet. Ved redundante kapacitet forstås en lignende kapacitet, der skal kunne erstattet den primære it-infrastruktur, hvis denne eksempelvis bliver beskadiget under et cyberangreb. Bestemmelsen gælder ikke for finansielle enheder, der er mikrovirksomheder. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Videre fremgår det af stk. 6, 3. afsnit, at en finansiel enhed regelmæssigt skal gennemgå sin politik for it-driftsstabilitet og planer for it-indsats og -genopretning. Her skal den finansielle enhed bl.a. tage hensyn til resultaterne af de test, som den finansielle enhed har gennemført i henhold til 1. afsnit.
Ansvarssubjektet for en overtrædelse af artikel 11, stk. 6, er den finansielle enhed. Den strafbare overtrædelse kan eksempelvis bestå i ikke at foretage test for planer for it-driftsstabilitet og planer for it-indsats og -genopretning eller ikke at foretage test af krisekommunikationsplaner, jf. stk. 6, 1. afsnit.
En strafbar overtrædelse kan f.eks. også bestå af ikke at ikke at medtage cyberangrebscenarier og omstillingsscenarier mellem den primære it-infrastruktur og den redundante kapacitet, eller i ikke regelmæssigt at gennemgå enhedens politik for it-driftsstabilitet og planer for it-indsats og -genopretning under hensyntagen til resultaterne af de test, som enheden har gennemført, jf. henholdsvis 2. og 3. afsnit.
I medfør af artikel 11, stk. 7, skal en finansiel enhed have en krisestyringsfunktion, som, hvis deres planer for it-driftsstabilitet og planer for it-indsats og -genopretning aktiveres, bl.a. skal indeholde klare procedurer for forvaltning af intern og ekstern krisekommunikation i overensstemmelse med artikel 14, der indeholder nærmere regler herfor.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i ikke at have en krisestyringsfunktion, der indeholder klare procedurer for intern og ekstern krisekommunikation i overensstemmelse med artikel 14.
Artikel 11, stk. 8, indeholder krav om, at en finansiel enhed skal føre let tilgængelige registre over aktiviteter før og under driftsforstyrrelser, når deres planer for it-driftsstabilitet og planer for it-indsats og -genopretning aktiveres.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at føre registre over aktiviteter før og under driftsforstyrrelser, hvor planerne for it-driftsstabilitet og for it-indsats og -genopretning er blevet aktiveret.
Til sidst følger det af artikel 11, stk. 10, at en finansiel enhed skal indberette et overslag over de samlede årlige omkostninger og tab, der opstår som følge af større it-relaterede hændelser, til de kompetente myndigheder på deres anmodning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at indberette et overslag over de samlede årlige omkostninger og tab, der opstår som følge af større it-relaterede hændelser, til de kompetente myndigheder, dvs. Finanstilsynet, hvis Finanstilsynet anmoder den finansielle enhed herom.
Artikel 12 indeholder nærmere bestemmelser om politikker og procedurer for sikkerhedskopiering og procedure og metoder for gendannelse og genopretning af it-systemer og data.
Det følger af artikel 12, stk. 1, at en finansiel enhed som led i it-risikostyring skal udvikle og dokumentere politikker og procedure for sikkerhedskopiering, der præciserer omfanget af de data, der er genstand for sikkerhedskopiering, og minimumshyppigheden af sikkerhedskopiering baseret på oplysningernes kritiske betydning eller fortrolighedsniveauet for dataene. Desuden skal en finansiel enhed udvikle og dokumentere procedurer og metoder for gendannelse og genopretning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at udvikle og dokumentere politikker og procedure for enten sikkerhedskopiering eller gendannelse og genopretning.
I medfør af artikel 12, stk. 2, 1. pkt., skal en finansiel enhed etablere systemer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning. Det følger videre af artikel 12, stk. 2, 2. pkt., at aktiveringen af systemerne for sikkerhedskopiering ikke må sætte sikkerheden i net- og informationssystemer eller tilgængeligheden, autenticiteten, integriteten eller fortroligheden af data over styr. Til sidst er det i medfør af stk. 2, 3. pkt., et krav, at der foretages regelmæssig test af procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i ikke at etablere systemer for sikkerhedskopiering eller for procedurer og metoder for gendannelse og genopretning. Den kan også bestå i at en finansiel enhed ikke sikrer sig, at systemerne for sikkerhedskopiering ikke sætter sikkerheden i net- og informationssystemer m.v. over styr. I henhold til stk. 2, 3. pkt., kan den bestå i at der ikke foretages regelmæssige test af procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning.
Det følger af artikel 12, stk. 3, 1 og 2. pkt., at når en finansiel enhed gendanner sikkerhedskopierede data ved anvendelse af egne systemer, skal de anvende de it-systemer, der er fysisk og logisk adskilt fra it-kildesystemet. It-systemerne skal være sikkert beskyttet mod uautoriseret adgang eller it-korruption og give mulighed for rettidig gendannelse af tjenester ved hjælp af data- og systemsikkerhedskopier efter behov.
Ansvarssubjektet i stk. 3, 1. og 2. pkt., er den finansielle enhed. Den strafbare handling kan i medfør af stk. 3, 1. pkt., bestå i at anvende egne it-systemer til gendannelse af sikkerhedskopierede data, der ikke er fysisk og logisk adskilt fra it-kildesystemet. Det vil eksempelvis sige it-systemer, der befinder sig på en anden adresse end kildesystemet, dvs. det it-system, som den finansielle enhed anvender i sit daglige virke. Det kan også være, hvor en finansiel enhed anvender eget it-system, der er fysisk adskilt fra kildesystemet, men hvor systemet ikke logisk er adskilt fra kildesystemet. Den strafbare handling i medfør af stk. 3, 2. pkt., kan f.eks. bestå i ikke at beskytte it-systemerne mod uautoriseret adgang eller it-korruption.
Videre følger det af stk. 3, 3. pkt., at for centrale modparter (CCP’er) skal genopretningsplaner gøre det muligt at genoptage alle transaktioner fra det tidspunkt, hvor de blev afbrudt, således at den berørte centrale modpart (CCP) kan opretholde driftssikkerheden og gennemføre afviklingen på den planlagte dato. Til sidst følger det af stk. 3, 4. pkt., at udbydere af dataindberetningstjenester desuden skal sørge for at råde over passende ressourcer og sikkerhedskopierings- og gendannelsesfaciliteter for til enhver tid at kunne udbyde og opretholde deres tjenester.
Ansvarssubjektet i stk. 3, 3. pkt., er den centrale modpart (CCP). Den strafbare handling består i, at en genopretningsplan ikke gør det muligt at genoptage alle transaktioner fra det tidspunkt, hvor transaktionerne blev afbrudt.
Ansvarssubjektet i stk. 3, 4. pkt., er udbyderen af dataindberetningstjenester. Den strafbare handling består i ikke at have ressourcer og sikkerhedskopierings- og gendannelsesfaciliteter for til enhver tid at kunne udbyde og opretholde sine tjenester.
Det følger af artikel 12, stk. 4, 1. pkt., at en finansiel enhed opretholder redundante it-kapaciteter, der er udstyret med passende ressourcer og funktioner med henblik på at sikre forretningsmæssige behov. Videre fremgår det af stk. 4, 2. pkt., at mikrovirksomheder vurderer behovet for at opretholde redundante it-kapaciteter på grundlag af deres risikoprofil. Ved redundante it-kapaciteter forstås lignende it-kapaciteter, der skal kunne erstatte de primære it-kapaciteter en finansiel enhed, hvis disse it-kapaciteter eksempelvis bliver ramt af et cyberangreb.
Ansvarssubjektet i stk. 4, 1. pkt., er den finansielle enhed. Den strafbare handling består i ikke at have redundante it-kapaciteter, der sikrer forretningsmæssige behov.
Ansvarssubjektet i stk. 4, 2. pkt., er en finansiel enhed, som er en mikrovirksomhed. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Den strafbare handling består i ikke at have foretaget en vurdering af behovet for at opretholde redundante it-kapaciteter på baggrund af enhedens risikoprofil.
Det fremgår af artikel 12, stk. 6, 1. pkt., at når en finansiel enhed skal fastlægge målene for genopretningstid og genopretningstidspunkt for hver funktion, skal de tage hensyn til, om det er en kritisk eller vigtig funktion og de potentielle samlede virkninger for markedseffektiviteten. Videre fremgår det af stk. 6, 2. pkt., at tidsmålene skal sikre, at de aftalte serviceniveauer kan overholdes i ekstreme scenarier.
Ansvarssubjektet i stk. 6, er den finansielle enhed. Den strafbare handling består i, at en finansiel enhed i sin fastlæggelse af målene for genopretningstid og genopretningstidspunkt, ikke har taget hensyn til, om den pågældende funktion er kritisk, eller hvilken virkning disse tidsmål vil have på markedseffektiviteten. Den kan også bestå i, at den finansielle enhed ikke har sikret sig, at tidsmålene kan overholde de aftalte serviceniveauer i ekstreme scenarier.
Det fremgår af artikel 12, stk. 7, 1. pkt., at når en finansiel enhed foretager genopretning efter en it-relateret hændelse, skal den udføre de nødvendige kontroller, herunder eventuelt flere kontroller og afstemninger, for at sikre, at dataintegriteten bevares på højeste niveau. Videre fremgår det af stk. 7, 2. pkt., at kontroller også skal foretages i forbindelse med rekonstruktionen af data fra eksterne interessenter for at sikre, at alle systemernes data er sammenhængende.
Ansvarssubjektet i stk. 7 er den finansielle enhed. Den strafbare handling består i ikke at udføre de nødvendige kontroller eller afstemninger efter en genopretning for at sikre, at dataintegriteten bevares på højt niveau. I den forbindelse kan den strafbare handling også bestå i ikke at foretage kontroller i forbindelse med rekonstruktionen af data fra eksterne interessenter for at sikre, at alle systemernes data er sammenhængende.
Artikel 13 indeholder regler om læring og udvikling omkring sårbarheder og cybertrusler, it-relaterede hændelser, herunder navnlig cyberangreb. Stk. 1 indeholder krav om, at en finansiel enhed skal sørge for at råde over kapaciteter og personale, som kan indsamle oplysninger herom, og som kan analysere de virkninger, de forventes at have på deres digitale operationelle modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at have afsat ressourcer til f.eks. et it-system og personale, hvormed enheden kan indsamle oplysninger om sårbarheder og cybertrusler eller it-relaterede hændelser som cyberangreb. Den strafbare handling kan eksempelvis også bestå i ikke at have personale med tilstrækkelige kompetencer til at kunne analysere de virkninger, som bl.a. et cyberangreb kan have på deres digitale operationelle infrastruktur.
Det fremgår af artikel 13, stk. 2, 1. afsnit, at en finansiel enhed skal foretage gennemgange af it-relaterede hændelser, efter at større it-relaterede hændelser har forstyrret deres kerneaktiviteter. Den finansielle enhed skal i den forbindelse analysere årsagerne til forstyrrelserne og identificere nødvendige forbedringer af it-operationerne eller indenfor rammerne af den i artikel 11 omhandlede politik for it-driftsstabilitet.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i ikke at foretage en gennemgang og analyse af en større it-relateret hændelse, der har forstyrret den finansielle enheds kerneaktivitet.
Videre fremgår det af stk. 2, 2. afsnit, at en finansiel enhed på anmodning fra den kompetente myndighed skal underrette den kompetente myndighed om ændringer, der er blevet gennemført efter en gennemgang af it-relaterede hændelser. Bestemmelsen gælder ikke for finansielle enheder, der er mikrovirksomheder. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke efter anmodning fra Finanstilsynet at underrette Finanstilsynet om ændringer, der er blevet gennemført efter en gennemgang af it-relaterede hændelser.
Til sidst fremgår det af stk. 2, 3. afsnit, at det i forbindelse med gennemgangen af it-relaterede hændelser skal fastslås, om de fastlagte procedurer er blevet fulgt, og om de iværksatte foranstaltninger har været effektive. Ved fastlagte procedurer forstås de procedurer, som den finansielle enhed har fastlagt i sin politik for it-driftsstabilitet. Det fremgår af artikel 11, stk. 2, at en finansiel enhed gennemfører politikken for it-driftsstabilitet ved hjælp af særlige, passende og veldokumenterede ordninger, planer, procedurer og mekanismer. Det er derfor procedurer og iværksatte foranstaltninger i henhold til de her ordninger m.v., som den finansielle enhed skal fastslå om har været effektive.
Det fremgår nærmere af artikel 13, stk. 2, 3. afsnit, at hvad en finansiel enhed bl.a. skal lægge nærmere vægt på i sin vurdering af, om de iværksatte foranstaltninger har været effektive. Den finansielle enhed skal bl.a. lægge vægt på den hastighed, med hvilken der er blevet sat ind overfor sikkerhedsvarsler, og med hvilken hastighed virkningerne af it-relaterede hændelser og deres omfang er blevet fastslået, jf. stk. 2, 3. afsnit, litra a. Det kan også være i forhold til effektiviteten af den finansielle enheds fejlafhjælpning i forbindelse med hændelser, jf. stk. 2, 3. afsnit, litra c.
Bestemmelsen har til formål at sikre, at en finansiel enhed efter en it-hændelse forholder sig kritisk til sine ordninger, planer, procedure m.v. i forbindelse med sin politik for it-driftsstabilitet for evt. at kunne forbedre disse til håndtering af en fremtidig it-relateret hændelse.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at fastslå om ordninger, planer og procedure i forbindelse med politikken for it-driftsstabilitet er blevet fulgt. Den kan også bestå i ikke at fastslå, om de iværksatte foranstaltninger har været effektive, herunder eksempelvis i forhold til den hastighed, med hvilken der er blevet sat ind overfor sikkerhedsvarsler, og med hvilken hastighed virkningerne af it-relaterede hændelser og deres omfang er blevet fastslået, jf. stk. 2, 3. afsnit, litra a.
Det følger af artikel 13, stk. 3, 1. pkt., at erfaringer fra test af digital operationel modstandsdygtighed, som foretages i overensstemmelse med artikel 26 og 27, og fra faktiske it-relaterede hændelser, navnlig cyberangreb, samt udfordringer i forbindelse med aktiveringen af planer for it-driftsstabilitet og planer for it-indsats og -genopretning, sammen med relevante oplysninger, der udveksles med modparter, og som vurderes i forbindelse med tilsynsmæssige gennemgange, løbende skal indarbejdes i it-risikovurderingsprocessen.
Artikel 26 vedrører avancerede test af IKT-værktøjer, -systemer og -processer baseret på TLPT. TLPT står for Threat Led Penetration Testing, som er en testmetode, hvor en virksomhed engagerer etiske hackere, som skal angribe flere systemer og det tilhørende cyberforsvar i virksomheden. Testene foregår i livesystemer, hvilket vil sige de systemer, som anvendes direkte i den finansielle sektor, og er baseret på konkrete trusler, hvilket betyder, at testene simulerer taktikker, teknikker og procedurer fra aktive, avancerede hackergrupper. Artikel 27 fastsætter de nærmere krav til testere.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består f.eks. i ikke løbende at indarbejde erfaringer fra test af digital operationel modstandsdygtighed i overensstemmelse med artikel 26 og 27, og fra it-relaterede hændelser i it-risikostyringsprocessen.
Det fremgår af artikel 13, stk. 4, 1. pkt., at en finansiel enhed skal overvåge effektiviteten af gennemførelse af deres strategi for digital operationel modstandsdygtighed, jf. artikel 6, stk. 8, der fastsætter nærmere krav til strategien. Videre fremgår det af stk. 4, 2. pkt., at en finansiel enhed skal kortlægge it-risikoens udvikling over tid, analysere hyppigheden, typerne, omfanget af og udviklingen i it-relaterede hændelser, navnlig cyberangreb og mønstre forbundet hermed. Den finansielle enhed skal gøre dette med henblik på at forstå graden af it-risikoeksponering, navnlig i forbindelse med kritiske eller vigtige funktioner, og for at forbedre den finansielle enheds cybermodenhed og cyberberedskab.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at overvåge effektiviteten af gennemførelsen af enhedens strategi for digital operationel modstandsdygtighed eller i ikke at kortlægge it-risikoens udvikling over tid, analysere hyppigheden, typerne, omfanget af og udviklingen i it-relaterede hændelser, navnlig cyberangreb og mønstre forbundet hermed.
Det fremgår af artikel 13, stk. 5, at højtstående it-personale mindst én gang om året skal aflægge rapport til ledelsesorganet om de i stk. 3 omhandlede resultater og fremsætte anbefalinger. Indholdet af artikel 13, stk. 3, er nærmere gennemgået ovenfor under bemærkningerne til strafbelæggelsen af en overtrædelse af stk. 3.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i som finansiel enhed ikke at sørge for, at it-personale mindst én gang om året aflægger rapport for ledelsesorganet om resultater af f.eks. faktiske it-relaterede hændelser, jf. artikel 13, stk. 3, og fremsætter anbefalinger.
Det fremgår af artikel 13, stk. 6, 1. pkt., at en finansiel enhed skal udvikle programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed som obligatoriske moduler i deres personaleuddannelsesordninger. Videre fremgår det af stk. 6, 2. pkt., at disse kurser skal omfatte alle medarbejdere og den øverste ledelse og skal have en grad af kompleksitet, der svarer til deres opgavers ansvarsområde. Sidst fremgår det af stk. 6, 3. pkt., at en finansiel enhed, hvis det er relevant, inddrager tredjepartsudbydere af it-tjenester i relevante uddannelsesordninger, jf. artikel 30, stk. 2, litra i, om kontraktlige ordninger om betingelserne for deltagelse af tredjepartsudbydere i programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består f.eks. i ikke at udvikle programmer til alle medarbejdere og den øverste ledelse til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed som obligatoriske moduler i deres personaleuddannelse. Den strafbare handling kan også bestå i ikke at inddrage tredjepartsudbydere af it-tjenester i relevante uddannelsesordninger, hvis dette viser sig nødvendigt. Det kan eksempelvis være i det tilfælde, hvor kompleksiteten af et uddannelsesprogram når et niveau, hvor den finansielle enhed ikke selv har kompetencerne til at udvikle programmet.
Det fremgår af artikel 13, stk. 7, 1. pkt., at en finansiel enhed løbende skal overvåge den relevante teknologiske udvikling også med henblik på at forstå den mulige virkning af indførelsen af sådanne nye teknologier for kravene til it-sikkerhed og digital operationel modstandsdygtighed. Videre fremgår det af stk. 7, 2. pkt., at en finansiel enhed skal holde sig ajour med de seneste it-risikostyringsprocesser for effektivt at bekæmpe aktuelle eller nye former for cyberangreb. Bestemmelsen gælder ikke for mikrovirksomheder. Se definitionen af en mikrovirksomhed under bemærkningerne til strafbelæggelse af overtrædelse af artikel 11, stk. 6, 2. afsnit.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke løbende at overvåge den relevante teknologiske udvikling med henblik på evt. at indføre de nye teknologier i enheden i forhold til at leve op til kravene til it-sikkerhed og digital operationel modstandsdygtighed. Den kan også bestå i ikke at holde sig ajour med de seneste it-risikostyringsprocesser for effektivt at bekæmpe aktuelle eller nye former for cyberangreb.
Artikel 14, stk. 1 i DORA-forordningen omhandler, at der som led i den ramme for it-risiko-styring, der er omhandlet i artikel 6, stk. 1, at de finansielle enheder sørger for at have krisekommunikationsplaner, der giver mulighed for ansvarlig offentliggørelse af, som minimum større it-relaterede hændelser eller sårbarheder for kunder og modparter samt for offentligheden, alt efter hvad der er relevant.
Krisekommunikations-planer må forstås sådant, at når der opstår en større ulykke eller katastrofe, så er der et akut behov for viden, og det er derfor nødvendigt at have planer for at kommunikere dette ud til de relevante parter.
It-risiko-styring må forstås sådant, at det er en håndtering af en sådan trussel, som defineres i artikel 3, stk. 1 nr. 5.
Ansvarssubjektet for overtrædelse af artikel 14, stk. 1, er den finansielle enhed. Den strafbare handling kan f.eks. bestå i, at den finansielle enhed ikke har udarbejdet planer for kommunikation af en offentliggørelse af en større it-relateret hændelse.
I medfør af artikel 14, stk. 2, skal en finansiel enhed som led i rammen for it-risikostyring, der er omhandlet i artikel 6, stk. 1. gennemføre kommunikationsplaner for internt personale og eksterne interessenter. Artikel 6, stk. 1, vedrører, at finansielle enheder indfører en robust, omfattende og veldokumenteret ramme for it-risikostyring. Kommunikationspolitikkerne for personalet skal tage hensyn til behovet for at skelne mellem personale der er involveret i it-risiko-styring, navnlig det personale der er ansvarlig for indsats og genopretning, og personale, der skal underrettes.
Ansvarssubjektet for en overtrædelse af artikel 14, stk. 2, er den finansielle enhed. Den strafbare handling består i, ikke at have gennemført kommunikationsplaner for internt personale og eksterne interessenter.
Artikel 14, stk. 3, indeholder krav om, at mindst én person i den finansielle enhed skal have til opgave at gennemføre kommunikationsstrategien for it-relaterede hændelse, og til dette formål varetage funktionen vedrørende offentligheden og medierne.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed ikke har mindst én person, der har til opgave at gennemføre kommunikationsstrategien for it-relaterede hændelse, og som til dette formål har varetage funktionen vedrørende offentligheden og medierne.
Det fremgår af artikel 16, stk. 1, at forordningens artikel 5-15 ikke finder anvendelse på små og ikke indbyrdes forbundne investeringsselskaber, betalingsinstitutter, der er undtaget i henhold til direktiv (EU) 2015/2366, institutter, der er fritaget i henhold til direktiv 2013/36/EU, og for hvilke medlemsstaterne har besluttet ikke at anvende den mulighed, der er omhandlet i nærværende forordnings artikel 2, stk. 4, e-pengeinstitutter, der er undtaget i henhold til direktiv 2009/110/EF, og små arbejdsmarkedsrelaterede pensionskasser.
Uden at det berører første afsnit skal de i første afsnit omhandlede enheder overholde det anførte i artikel 16, stk. 1, litra a-e. Det fremgår af litra a, at enhederne skal indføre og vedligeholde en robust og dokumenteret ramme for it-risikostyring, der beskriver de mekanismer og foranstaltninger, der skal muliggøre en hurtig, effektiv og omfattende styring af it-risiko, herunder vedrørende beskyttelse af relevante fysiske komponenter og infrastrukturer.
Det fremgår af litra b, at der løbende skal overvåges alle it-systemers sikkerhed og drift.
Det fremgår af litra c, at virkningen af it-risiko gennem anvendelse af robuste, modstandsdygtige og ajourførte it-systemer, -protokoller og -værktøjer, som er egnede til at understøtte udførelsen af deres aktiviteter og leveringen af tjenester og i tilstrækkelig grad beskytte tilgængeligheden, autenticiteten, integriteten og fortroligheden af data i net- og informationssystemerne skal minimeres.
Det fremgår af litra d, at det hurtigst muligt skal konstateres og detekteres it-risikokilder og -anomalier i net- og informationssystemerne og hurtigt at håndtere it-relaterede hændelser.
Det fremgår af litra e, at der skal konstateres stor afhængighed af tredjepartsudbydere af it-tjenester.
Det fremgår af litra f, at der skal sikres kontinuiteten af kritiske eller vigtige funktioner gennem planer for driftsstabiliteten og indsats- og genopretningsforanstaltninger, der som minimum omfatter sikkerhedskopierings- og gendannelsesforanstaltninger.
Det fremgår af litra g, at der regelmæssigt skal testes de planer og foranstaltninger, der er omhandlet i litra f, samt effektiviteten af de gennemførte kontroller i overensstemmelse med litra a og c.
Det fremgår af litra h, at der skal gennemføres, alt efter hvad der er relevant, de relevante operationelle konklusioner, der følger af de test, der er omhandlet i litra g, og af de efterfølgende analyser af hændelserne, i it-risikovurderingsprocessen og efter behov og it-risikoprofil udvikle programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed for personale og ledelse.
Ansvarssubjektet i artikel 16, stk. 1 litra a-h, er den finansielle enhed. Den strafbare handling består i, at de i første afsnit omhandlede enheder ikke overholder det anførte i artikel 16, stk. 1, litra a-e.
I medfør af artikel 16, stk. 2, skal en finansiel enhed i den i stk. 1, andet afsnit, litra a, omhandlede ramme for it-risikostyring dokumenteres og gennemgås regelmæssigt og ved forekomst af større it-relaterede hændelser i overensstemmelse med de tilsynsmæssige instrukser. Den skal forbedres løbende på grundlag af indhøstede erfaringer fra gennemførelse og overvågning. Der skal forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed på dennes anmodning.
Ansvarssubjektet for overtrædelsen af artikel 16, stk. 2, er den finansielle enhed. Den strafbare handling består i, at ikke at have gennemført de handlinger der er oplistet i artikel 16, stk. 2. Dette er eksempelvis at sikre at der forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed ved anmodning.
Det følger af artikel 17, stk. 1, at de finansielle enheder definerer, fastlægger og gennemfører en proces for styring af it-relaterede hændelser for at detektere, styre og indberette it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 17, stk. 1 bestå i, at de finansielle enheder ikke definerer, fastlægger og gennemfører en proces for styring af it-relaterede hændelser, som kan detektere, styre og indberette it-relaterede hændelser.
Det følger af artikel 17, stk. 2, at de finansielle enheder er alle, der registrerer it-relaterede hændelser og væsentlige cybertrusler. De finansielle enheder fastlægger passende procedurer og processer, der skal sikre en konsekvent og integreret overvågning, håndtering og opfølgning af it-relaterede hændelser. Det skal ske således, at de grundlæggende årsager identificeres, dokumenteres og håndteres for at forhindre, at sådanne hændelser forekommer.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 17, stk. 2, bestå i, at den finansielle enhed fastlægger passende procedurer og processer, der skal sikre en konsekvent og integreret overvågning, håndtering og opfølgning af it-relaterede hændelser. Dette skal ske således, at de grundlæggende årsager identificeres, dokumenteres og håndteres for at forhindre, at sådanne hændelser kan opstå.
Det følger af artikel 17, stk. 3, at den finansielle enhed som led i den proces for styring af it-relaterede hændelser, der er omhandlet i stk. 1, overholder det anførte i artikel 17, stk. 3, litra a-f.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling i medfør af artikel 17, stk. 3, er en tilsidesættelse af overholdelse af de oplistede krav i artikel 17, stk. 3, litra a-f. Dette kan eksempelvis være, at der ikke tildeles roller og ansvarsområder, som skal aktiveres for forskellige it-relaterede hændelsestyper og -scenarier.
Artikel 18 indeholder en klassificering af it-relaterede hændelser og cybertrusler.
Det følger af artikel 18, stk. 1, at de finansielle enheder klassificerer it-relaterede hændelser og fastslår deres virkninger på grundlag af følgende kriterier oplistet i artikel 18, stk. 1, litra a-f.
Det fremgår af litra a, at antallet og/eller relevansen af kunder eller finansielle modparter, som er berørt, og, hvis det er relevant, beløbet på eller antallet af de transaktioner, som er berørt af den it-relaterede hændelse, og hvorvidt den it-relaterede hændelse har haft indvirkning på omdømmet.
Det fremgår af litra b, at varigheden af den it-relaterede hændelse, herunder tjenestens nedetid.
Det fremgår af litra c, at den geografiske udbredelse med hensyn til de områder, der er berørt af den it-relaterede hændelse, navnlig hvis den berører mere end to medlemsstater.
Det fremgår af litra d, at de datatab, som den it-relaterede hændelse medfører med hensyn til tilgængelighed, autenticitet, integritet eller fortrolighed af data.
Det fremgår af litra e, at den kritiske betydning af de berørte tjenester, herunder den finansielle enheds transaktioner og operationer.
Det fremgår af litra f, at de økonomiske virkninger, navnlig direkte og indirekte omkostninger og tab, af den it-relaterede hændelse i både absolutte og relative tal.
Ansvarssubjektet i stk. 1 er den finansielle enhed. Den strafbare handling består i, at de finansielle enheder ikke klassificerer it-relaterede hændelser og dermed ikke fastslår deres virkninger på grundlag af følgende kriterier oplistet i artikel 18, stk. 1, litra a-f.
Det fremgår af stk. 2, at de finansielle enheder klassificerer cybertrusler som væsentlige på grundlag af de udsatte tjenesters kritiske betydning, herunder den finansielle enheds transaktioner og operationer, antallet og/eller relevansen af de kunder eller finansielle modparter, som rammes, og risikoområdernes geografiske udbredelse.
Ansvarssubjektet i artikel 18, stk. 2, er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed undlader at klassificere cybertrusler som væsentlige, eksempelvis på grundlag af de udsattes tjenesters kritiske betydning.
Artikel 19, stk. 1, omhandler indberetning af større it-relaterede hændelser. Bestemmelsen forpligter den finansielle enhed til at indberette større it-relaterede hændelser til den relevante kompetente myndighed.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke underretter Finanstilsynet om en større it-relateret hændelse.
I medfør af artikel 19, stk. 3, skal den finansielle enhed underrette Finanstilsynet, uden unødigt ophold, i tilfælde af, at en større it-relateret hændelse indtræffer og har indflydelse på kunders finansielle interesser. Den finansielle enhed underretter også om de foranstaltninger, der er truffet for at afbøde de negative virkninger af en sådan hændelse. I tilfælde af en væsentlig cybertrussel underretter de finansielle enheder, hvis det er relevant, de af deres kunder, som potentielt er berørt heraf, om eventuelle passende beskyttelsesforanstaltninger, som sidstnævnte kan overveje at træffe
Ansvarssubjektet var overtrædelse af artikel 19, stk. 3, er den finansielle enhed. En strafbar handling kan bestå i, at den finansielle enhed ikke underretter Finanstilsynet rettidigt i tilfælde en større it-relateret hændelse indtræffer, som har indflydelse på kunders finansielle interesser. En strafbar handling kan også bestå i at underrette Finanstilsynet om den it-relaterede hændelse, uden at underrette om de foranstaltninger der er truffet for at afbøde de negative virkninger.
Det fremgår af artikel 19, stk. 4, at den finansielle enhed, i tilfælde af en it-relateret hændelse, skal indgive henholdsvis en indledende underretning, jf. litra a, en foreløbig rapport så snart den oprindelige hændelses status har ændret sig betydeligt, eller håndteringen af den større it-relaterede hændelse har ændret sig på grundlag af nye tilgængelige oplysninger, efterfulgt, alt efter hvad der er relevant, af ajourførte underretninger, hver gang der foreligger en relevant ajourføring af status, samt efter en specifik anmodning fra den kompetente myndighed, jf. litra b. Samt en endelig rapport, når den grundlæggende årsagsanalyse er afsluttet, uanset om der allerede er gennemført afbødende foranstaltninger, og når tallene for de faktiske virkninger foreligger og kan erstatte skøn, jf. litra c. Fristerne for disse skal fastsættes i overensstemmelse med artikel 20, stk. 1, litra a, nr. ii, og skal indgives til Finanstilsynet, som er den kompetente myndighed.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i, ikke at indgive en indledende underretning, en foreløbig rapport eller en endelig rapport til Finanstilsynet inden for de af artikel 20, stk. 1, litra a, nr. ii, fastsatte frister.
Artikel 24 i DORA-forordningen omhandler generelle krav til gennemførslen af test af digital operationel modstandsdygtighed.
Det følger af artikel 24, stk. 1, at en finansiel enhed skal udarbejde, opretholde og gennemgå et forsvarligt og omfattende program for test af digital operationel modstandsdygtighed, som en integreret del af den i artikel 6 omhandlede ramme for it-risikostyring. Dette skal ske med henblik på at vurdere beredskabet i forhold til håndtering af it-relaterede hændelser, identificere svagheder, mangler og huller i den digitale operationelle modstandsdygtighed og straks træffe korrigerende foranstaltninger.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har udarbejdet et program for test af digital operationel modstandsdygtighed. Den strafbare handling kan også bestå i, at den finansielle enheds program for test af digital operationel modstandsdygtighed ikke er forsvarligt eller omfattende nok.
I medfør af artikel 24, stk. 2, skal programmet for test af digital operationel modstandsdygtighed, omfatte en række vurderinger, test, metodologier, fremgangsmåder og værktøjer, der skal anvendes i overensstemmelse med artikel 25 og 26 i DORA-forordningen.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i at den finansielle enhed gennemfører tests der ikke i tilstrækkelig grad omfatter kravene om vurderinger, test, metodologier, fremgangsmåder og værktøj, der skal anvendes i overensstemmelse med artikel 25 og artikel 26 i DORA-forordningen.
Artikel 24, stk. 3, pålægger den finansielle enhed at følge en risikobaseret tilgang for programmet for test af digital operationel modstandsdygtighed. Den finansielle enhed skal ved gennemførslen af programmet, tage hensyn til kriterierne i DORA-forordningens artikel 4, stk. 2, og til et it-risikomiljø i udvikling, eventuelle specifikke risici, som den berørte finansielle enhed udsættes for eller kan blive udsat for, informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre faktorer, som den finansielle enhed finder relevante.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse af artikel 24, stk. 3, kunne eksempelvis være, at den finansielle enhed gennemfører et program for test af digital operationel modstandsdygtighed uden at tage hensyn til den finansielles enheds it-risikomiljø.
I medfør af artikel 24, stk. 4, skal den finansielle enhed sikre, at tests gennemføres af uafhængige parter, hvad enten de er interne eller eksterne. Hvis en intern tester gennemfører test, skal de finansielle enheder afsætte tilstrækkelige ressourcer og sikre, at interessekonflikter undgås under testens udformnings- og gennemførelsesfaser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed der gennemfører tests af deres digitale operationelle modstandsdygtighed ikke sikrer, at testen gennemføres af uafhængige interne eller eksterne parter for at begrænse interessekonflikter.
Artikel 24, stk. 5, pålægger den finansielle enhed at fastlægge procedurer og politikker med henblik på at prioritere, klassificere og afhjælpe alle problemer, der identificeres i forbindelse med gennemførelsen af test, og fastlægger interne valideringsmetoder for at sikre, at alle konstaterede svagheder, mangler eller huller afhjælpes fuldt ud.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at fastlægge procedurer og politikker der prioriterer, klassificerer og afhjælper de problemer der identificeres med gennemførslen af testen.
I medfør af artikel 24, stk. 6, skal de finansielle enheder sikre, at der gennemføres passende test af alle it-systemer og -applikationer, der understøtter kritiske eller vigtige funktioner, mindst én gang om året.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kunne bestå i at den finansielle enhed ikke mindst én gang årligt gennemfører tests af alle it-systemer og it-applikationer, der kan anses for passende.
Artikel 25 omhandler test af it-værktøjer og -systemer.
Det følger af artikel 25, stk. 1, at programmet for test af den digitale operationelle modstandsdygtighed skal være i overensstemmelse med de af artikel 4, stk. 2, kriterier for proportionalitet. I medfør af artikel 4, stk. 2, skal den finansielle enheds styring, klassificering, indberetning af it-relaterede hændelser, test af digital operationel modstandsdygtighed og styring af it-tredjepartsrisici stå i et rimeligt forhold til deres størrelse og samlede risikoprofil og til karakteren, omfanget og kompleksiteten af deres tjenester, aktiviteter og operationer, som specifikt fastsat i de relevante regler i de nævnte kapitler.
I overensstemmelse med de oplistede kriterier i artikel 4, stk. 2, skal programmet for test af digital operationel modstandsdygtighed, nævnt i artikel 24, indeholde bestemmelser om gennemførelse af relevante test såsom sårbarhedsvurderinger og -scanninger, open source-analyser, vurderinger af netsikkerheden, mangelanalyser, fysiske sikkerhedsgennemgange, spørgeskemaer og scanningssoftwareløsninger, gennemgange af kildekoder, når det er praktisk muligt, scenariebaserede test, kompatibilitetstest, præstationstest, end-to-end-test og penetrationstest.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at den finansielle enhed har vedtaget et program for test der ikke er tilstrækkeligt, mangelfuldt eller lever op til de fastsatte krav for programmer for test af digital operationel modstandsdygtighed i artikel 25, stk. 1.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå at en værdipapircentral ikke har foretaget en sårbarhedsvurdering såfremt de skal have nye applikationer, intrastrukturkompotenter og it-tjenester der understøtter den finansielle enheds kritiske eller vigtige funktioner.
I medfør af artikel 25, stk. 3, skal mikrovirksomheder gennemføre de i artikel 25, stk. 1 omhandlede test ved at kombinere en risikobaseret tilgang med strategisk planlægning af it-test under behørig hensyntagen til behovet for at opretholde en afbalanceret tilgang mellem omfanget af ressourcer og den tid, der skal afsættes til it-test som omhandlet i denne artikel, på den ene side og den hastende karakter, risikotype og informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre relevante faktorer, herunder den finansielle enheds evne til at tage kalkulerede risici, på den anden side.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i, at en mikrovirksomhed ikke har taget tilstrækkeligt hensyn til at opretholde en balanceret tilgang til henholdsvis omfanget af ressourcer og andre faktorer, som eksempelvis den finansielle enheds evne til at tage kalkulerede risici.
Artikel 28 omhandler generelle principper for forsvarlig styring af it-tredjepartsrisici.
I medfør af artikel 28, stk. 1, skal den finansielle enhed styre deres it-tredjepartsrisiko som en integreret del af it-risiko, inden for deres ramme for it-risikostyring.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at den finansielle enheds it-tredjepartsrisiko ikke bliver styret som en integreret del af deres samlede it-risiko, inden for den finansielle enheds it-risikostyring.
I medfør af artikel 28, stk. 1, litra b, skal styringen af it-tredjepartsrisikoen hos den finansielle enhed foregå under hensyntagen til proportionalitetsprincippet og skal derfor tage hensyn til henholdsvis artikel 28, stk. 1, litra b, nr. i, som omhandler karakteren, omfanget, kompleksiteten og betydningen af den it-relaterede afhængighed og artikel 28, stk. 1, litra b, nr. ii, som omhandler de risici, der opstår som følge af kontraktlige ordninger for brugen af it-tjenester, der er indgået med tredjepartsudbydere af it-tjenester, under hensyntagen til den kritiske betydning eller vigtighed af den pågældende tjeneste, proces eller funktion og til de potentielle virkninger for driftsstabiliteten og tilgængeligheden af finansielle tjenesteydelser og aktiviteter på individuelt plan og koncernniveau.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at kravene i artikel 28, stk. 1, litra b, nr. i-ii, ikke tages under betragtning ved udformningen af den finansielle enheds styring af it-tredjepartsrisiko.
Artikel 28, stk. 2, omhandler strategien for den finansielle enheds it-tredjepartsrisiko. Den finansielle enhed skal vedtage og gennemgå deres strategi regelmæssigt som led i deres ramme for it-risikostyring. Strategien skal omfatte en politik for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og som leveres af tredjepartsudbydere af it-tjenester. Strategien skal gælde på individuelt grundlag og, hvor det er relevant, på delkonsolideret og konsolideret grundlag. Ledelsesorganet i den finansielle enhed skal på grundlag af en vurdering af den finansielle enheds samlede risikoprofil og omfanget og kompleksiteten af forretningstjenesterne regelmæssigt gennemgå de risici, der er konstateret i forbindelse med kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i at ledelsesorganet i den finansielle enhed ikke ved vurderingen af den samlede risikoprofil har gennemgået de de risici, der er konstateret i forbindelse med kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner.
Artikel 28, stk. 3, fastsætter krav for den finansielle enheds dokumentation af kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere. Den finansielle enhed skal som et led i deres ramme for it-risikostyring sørge for at opretholde og ajourføre et register over kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere på både enhedsniveau, delkonsolideret niveau og konsolideret niveau. De kontraktsretlige ordninger skal være skelnet mellem de it-tjenester der understøtter kritiske eller vigtige funktioner, og dem, der ikke gør.
Desuden skal den finansielle enhed mindst én gang årligt indberette nye ordninger for brugen af it-tjenester, kategorierne af tredjepartsudbydere af IKT-tjenester, typen af kontraktlige ordninger og de it-tjenester og funktioner, der leveres, til Finanstilsynet.
Til sidst skal den finansielle enhed efter anmodning, stille det fulde register over oplysninger eller, som anmodet, nærmere angivne afsnit heraf til rådighed for Finanstilsynet sammen med eventuelle oplysninger, som anses for nødvendige for at muliggøre et effektivt tilsyn med den finansielle enhed. Den finansielle enhed underretter rettidigt Finanstilsynet om enhver planlagt kontraktlig ordning for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og når en funktion er blevet kritisk eller vigtig.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at den finansielle enhed efter anmodning fra Finanstilsynet, ikke kan stille det fulde register over kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere til rådighed.
Artikel 28, stk. 4, litra a-e, fastsætter krav til den finansielle enhed før der indgås en kontraktlig ordning for brugen af it-tjenester. Den finansielle enhed skal vurdere, om den kontraktlige ordning omfatter brugen af it-tjenester, der understøtter en kritisk eller vigtig funktion, jf. litra a, vurdere, om de tilsynsmæssige betingelser for udlicitering er opfyldt, jf. litra b, identificere og vurdere alle relevante risici i forbindelse med den kontraktlige ordning, herunder muligheden for, at sådanne kontraktlige ordninger kan bidrage til at øge it-koncentrationsrisikoen, jf. artikel 29, jf. litra c, foretage fornøden due diligence over for potentielle tredjepartsudbydere af it-tjenester og under alle udvælgelses- og vurderingsprocesserne sikre, at den pågældende tredjepartsudbyder af it-tjenester er egnet, jf. litra d, og identificere og vurdere interessekonflikter, som de kontraktlige ordninger kan give anledning til, jf. litra e.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i at den finansielle enhed indgår en kontraktlig ordning for brugen af it-tjenester, uden at have identificeret og vurderet interessekonflikter, som den kontraktlige ordning kan give anledning til.
I medfør af artikel 28, stk. 7, litra a-d, skal den finansielle enhed sikre sig, at de indgåede kontraktlige ordninger kan opsiges på baggrund af væsentlig overtrædelse begået af tredjepartsudbyderen af it-tjenester af gældende love, administrative bestemmelser eller kontraktvilkår, jf. litra a. Forhold, der er identificeret under overvågningen af it-tredjepartsrisiko, og som anses for at kunne ændre udførelsen af de funktioner, der er leveret gennem den kontraktlige ordning, herunder væsentlige ændringer, der påvirker ordningen eller situationen for tredjepartsudbyderen af it-tjenester skal også kunne lægges til grund for opsigelse af den kontraktlige ordning, jf. litra b.
Ligeledes skal dokumenterede svagheder hos tredjepartsudbyderen af it-tjenester, som vedrører dennes samlede it-risikostyring, og navnlig i den måde, hvorpå denne garanterer tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, hvad enten det drejer sig om personoplysninger eller på anden måde følsomme data eller andre oplysninger end personoplysninger, kunne lægges til grund for opsigelse af den kontraktlige ordning, jf. litra c. Til sidst skal den kontraktlige ordning kunne opsiges, såfremt Finanstilsynet ikke længere kan føre effektivt tilsyn med den finansielle enhed som følge af betingelserne eller omstændighederne vedrørende de respektive kontraktlige ordninger.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at den kontraktlige ordning ikke kan opsiges på baggrund af de af artikel 28, stk. 7, oplistede situationer.
Artikel 28, stk. 8, omhandler exitstrategier. Den finansielle enhed skal indføre exitstrategier for it-tjenester, der understøtter kritiske eller vigtige funktioner.
Exitstrategierne skal tage højde for de risici, der kan opstå hos tredjepartsudbydere af it-tjenester, navnlig mulige svigt fra deres side, en forringelse af kvaliteten af de leverede it-tjenester, eventuelle driftsforstyrrelser som følge af uhensigtsmæssig eller manglende levering af it-tjenester eller eventuelle væsentlige risici i forbindelse med en passende og løbende anvendelse af de pågældende it-tjenester eller opsigelse af kontraktlige ordninger med tredjepartsudbydere af it-tjenester i en af de i artikel 28, stk. 7, anførte situationer.
Den finansielle enhed skal sikre at de kan opsige den kontraktlige ordning uden at deres forretningsaktivitet afbrydes, jf. litra a, uden at efterlevelsen af de forskriftsmæssige krav begrænses, jf. litra b og uden at kontinuiteten og kvaliteten af de leverede tjenester til kunder lider skade, jf. litra c.
Ligeledes skal exitstrategierne være i overensstemmelse med kriterierne i artikel 4, stk. 2, om proportionalitet, samt være omfattende og veldokumenterede.
Der skal desuden være udarbejdet overgangsplaner der kan fratage tredjepartsudbyderen af it-tjenester de udliciterede it-tjenester og de relevante data og sikkert og fuldstændigt kan overføre disse til alternative udbydere eller på ny indarbejde dem internt. Den finansielle enhed skal derudover identificere alternative løsninger.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke har sikret sig at indføre en exitstrategi i tilfælde af, at en kontrakt ordning med en tredjepartsudbyder af it-tjenester opsiges.
Artikel 29, stk. 1, omhandler foreløbig vurdering af it-koncentrationsrisiko på enhedsniveau. Bestemmelsen fastsætter krav, som den finansielle enhed skal tage hensyn til ved identifikation og vurdering af risici i forbindelse med en kontraktlige ordning, herunder muligheden for, at en kontraktlig ordning kan bidrage til at øge it-koncentrationsrisikoen. Ved indgåelse af en kontraktlig ordning i forbindelse med it-tjenester, der understøtter kritiske eller vigtige funktioner tager den finansielle enhed hensyn til udlicitering til en tredjepartsudbyder af it-tjenester, som ikke er let at erstatte, jf. litra a og indgåelse af flere kontraktlige ordninger om levering af it-tjenester, der understøtter kritiske eller vigtige funktioner, med den samme tredjepartsudbyder af it-tjenester eller med tredjepartsudbydere af it-tjenester, som har tætte forbindelser til denne, jf. litra b.
Den finansielle enhed skal i medfør af bestemmelsen afveje fordele og omkostninger ved alternative løsninger såsom brug af forskellige tredjepartsudbydere af it-tjenester under hensyntagen til, hvorvidt og hvordan de påtænkte løsninger svarer til de forretningsmæssige behov og mål, der er fastsat i deres strategi for digital modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed ikke har taget hensyn til udliciteringen til en tredjepartsudbyder af it-tjenester som ikke er lette at erstatte, ved indgåelsen af en kontraktlig ordning om it-tjenester der understøtter kritiske eller vigtige funktioner.
I medfør af artikel 29, stk. 2, skal den finansielle enhed i tilfælde af, at den kontraktlige ordning for brug af it-tjenester med en tredjepartsudbyder, kan komme videre i underentreprise med hjemsted i tredjeland, overveje de fordele og risici, der kan opstå i forbindelse med underentreprisen, særligt hvis it-tjenesten understøtter kritiske eller vigtige funktioner.
Den finansielle enhed skal tage hensyn til de bestemmelser i insolvensretten, som finder anvendelse, hvis tredjepartsudbyderen af it-tjenester går konkurs, samt eventuelle begrænsninger, der kan opstå i forbindelse med en hastende genopretning af den finansielle enheds data, såfremt den kontraktlige ordning vedrører it-tjenester, der understøtter kritiske eller vigtige funktioner.
Den finansielle enhed tager derudover hensyn til overholdelsen af Unionens databeskyttelsesregler og en effektiv håndhævelse af retten i det pågældende tredjeland, såfremt der er indgået kontraktlige ordninger for brug af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, med en tredjepartsudbyder af IKT-tjenester med hjemsted i et tredjeland.
Til sidst vurderer den finansielle enhed hvorvidt og hvordan potentielt lange eller komplekse underentreprisekæder kan påvirke deres evne til fuldt ud at overvåge de udliciterede funktioner og den kompetente myndigheds evne til i denne henseende at føre effektivt tilsyn med den finansielle enhed, såfremt den kontraktlige ordning for brugen af IKT-tjenester, understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ved indgåelse af kontraktlige ordninger med en tredjepartsudbyder af it-tjenester, der understøtter kritiske funktioner, ikke er foretaget en afvejning af fordele og risici såfremt tredjepartsudbyderen giver it-tjenesterne videre til en underentreprise med hjemsted i udlandet.
Artikel 30 omhandler centrale kontrakts bestemmelser.
Artikel 30, stk. 1, fastsætter at rettigheder og forpligtelser mellem den finansielle enhed og tredjepartsudbyderen skal fordeles klart og fastlægges skriftligt. Serviceniveauaftaler skal være omfattet af den samlede kontrakt og dokumenteres i ét skriftligt dokument. Parterne skal have adgang til dokumentet i papir, eller i et andet varigt og permanent format, der kan downloades.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke tager højde for, at rettighederne og forpligtelserne mellem parterne skal nedfattes skriftligt og have varig karakter, som enten kan tilgås på papir eller i et format, der kan downloades.
Artikel 30, stk. 2, fastsætter en række minimumskrav til den kontraktlige ordning for brugen af it-tjenester.
Den kontraktlige ordning skal sikre en klar og fuldstændig beskrivelse af alle funktioner og it-tjenester, som tredjepartsudbyderen af it-tjenester skal levere, med angivelse af, om underentreprise af en it-tjeneste, der understøtter en kritisk eller vigtig funktion eller væsentlige dele heraf er tilladt, og, hvis det er tilfældet, de betingelser, der gælder for en sådan underentreprise, jf. litra a.
De steder, navnlig de regioner eller lande, hvor de udliciterede funktioner og it-tjenester eller funktionerne og it-tjenesterne i underentreprise skal leveres, og hvor data skal behandles, herunder lagringsstedet, og kravet om, at tredjepartsudbyderen af it-tjenester på forhånd skal underrette den finansielle enhed, hvis den har planer om at ændre disse steder, jf. litra b.
Den kontraktlige ordning skal ligeledes indeholde bestemmelser om tilgængelighed, autenticitet, integritet og fortrolighed med hensyn til databeskyttelse, herunder personoplysninger, jf. litra c.
Bestemmelser om sikring af adgang, genopretning og tilbagesendelse i et lettilgængeligt format af personoplysninger og andre data end personoplysninger, der behandles af den finansielle enhed, i tilfælde af insolvens, afvikling eller afbrydelse af de forretningsaktiviteter, som tredjepartsudbyderen af it-tjenester varetager, eller i tilfælde af opsigelse af de kontraktlige ordninger skal medtages i den kontraktlige ordning, jf. litra d.
Den kontraktlige ordning skal derudover indeholde beskrivelser af serviceniveauet, herunder ajourføringer og revisioner heraf, jf. litra e.
Forpligtelsen for tredjepartsudbyderen af it-tjenester til at yde bistand til den finansielle enhed uden yderligere omkostninger eller til en omkostning, der fastsættes på forhånd, hvis der opstår en IKT-hændelse, der vedrører den it-tjeneste, som leveres til den finansielle enhed skal også indgå i den kontraktlige ordning, jf. litra f.
Derudover skal den finansielle enhed medtage forpligtelsen for tredjepartsudbyderen af it-tjenester til at samarbejde fuldt ud med den finansielle enheds kompetente myndigheder og afviklingsmyndigheder, herunder personer, som de har udpeget, jf. litra g og opsigelsesrettigheder og dertil knyttet minimumsfrister for opsigelse af de kontraktlige ordninger i overensstemmelse med de kompetente myndigheders og afviklingsmyndighedernes forventninger, jf. litra h.
Slutteligt skal betingelserne for deltagelse af tredjepartsudbydere af it-tjenester i de finansielle enheders programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed, jf. artikel 13, stk. 6, medtages i den kontraktlige ordning.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en kontrakt mellem en finansiel enhed og en tredjepartsudbyder af it-tjenester er mangelfuld og ikke på en klar og tilstrækkelig måde, omfatter de af artikel 30, stk. 2, omfattede minimumskrav til kontraktlige ordninger for brugen af it-tjenester som eksempelvis beskrivelserne af serviceniveauet, herunder ajourføringer og revisioner, jf. litra e og opsigelsesrettigheder, jf. litra h.
Artikel 30, stk. 3, fastsætter en række minimumskrav til den kontraktlige ordning for brugen af it-tjenester der understøtter kritiske eller vigtige funktioner.
Den kontraktlige ordning skal sikre en fuldstændig beskrivelse af serviceniveauer, herunder ajourføringer og revisioner heraf, med præcise kvantitative og kvalitative præstationsmål inden for de aftalte serviceniveauer, således at den finansielle enhed kan foretage en effektiv overvågning af it-tjenester, og således at der uden unødigt ophold kan træffes passende afhjælpende foranstaltninger, når de aftalte serviceniveauer ikke overholdes, jf. litra a.
Den kontraktlige ordning skal derudover omfatte opsigelsesfrister og indberetningsforpligtelser for tredjepartsudbyderen af it-tjenester over for den finansielle enhed, herunder underretning om enhver udvikling, som kan have væsentlig indvirkning på, hvorvidt tredjepartsudbyderen af it-tjenester har evnen til effektivt at levere it-tjenester, der understøtter kritiske eller vigtige funktioner i overensstemmelse med de aftalte serviceniveauer, jf. litra b.
Artikel 30, stk. 3, litra c, fastsætter krav til tredjepartsudbyderen af it-tjenester om at gennemføre og teste beredskabsplaner og indføre it-sikkerhedsforanstaltninger, -værktøjer og -politikker, som giver et passende niveau af sikkerhed for, at den finansielle enhed kan foretage levering af tjenester i overensstemmelse med dens reguleringsramme.
Derudover skal den kontraktlige ordning omfatte en forpligtelse for tredjepartsudbyderen af it-tjenester til at deltage i og fuldt ud samarbejde om den finansielle enheds TLPT som omhandlet i artikel 26 og 27, jf. litra d.
Den kontraktlige ordning skal desuden omfatte retten til løbende at overvåge det præstationsniveau, som tredjepartsudbyderen af it-tjenester leverer for den finansielle enhed, en udpeget tredjeparts og Finanstilsynet. Dette indebærer en uindskrænket ret til adgang, inspektion og revision og ret til at tage kopier af relevant dokumentation på stedet, hvis denne har afgørende betydning for tredjepartsudbyderen af it-tjenesters operationer, hvis faktiske udøvelse ikke hindres eller begrænses af andre kontraktlige ordninger eller gennemførelsespolitikker, jf. litra e, nr. i.
Dernæst fastsætter artikel 30, stk. 3, litra e, nr. ii-iv, retten til at nå til enighed om alternative sikkerhedsniveauer, hvis andre kunders rettigheder påvirkes, forpligtelsen for tredjepartsudbyderen af it-tjenester til fuldt ud at samarbejde under de inspektioner og revisioner på stedet, som de kompetente myndigheder, den ledende tilsynsførende, den finansielle enhed eller en udpeget tredjepart udfører og forpligtelsen til at give nærmere oplysninger om omfanget af, de procedurer, som skal følges, og hyppigheden af sådanne inspektioner og revisioner.
I medfør af artikel 30, stk. 3, litra f, skal den finansielle enhed ved en kontraktlig ordning, sørge for at medtage exitstrategier som indeholder en obligatorisk overgangsperiode. I løbet af denne overgangsperiode skal tredjepartsudbyderen af it-tjenester fortsat levere de respektive funktioner eller it-tjenester med henblik på at mindske risikoen for forstyrrelser i den finansielle enhed eller sikre en effektiv afvikling eller omstrukturering heraf. Exitstrategien skal også give den finansielle enhed mulighed for at migrere til en anden tredjepartsudbyder af it-tjenester eller skifte til interne løsninger, der stemmer overens med den leverede tjenestes kompleksitet.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed, ikke formår at vedtage en exitstrategi i deres kontraktlige ordning som sikrer den finansielle enhed fortsat, får leveret de respektive funktioner af it-tjenester fra tredjepartsudbyderen.
Til nr. 1 (§ 1, stk. 1, nr. 22-26, i hvidvaskloven)
Den gældende § 1, stk. 1, nr. 22-26, i hvidvaskloven fastlægger, at udbydere af veksling mellem virtuel valuta og fiatvaluta, udbydere af virtuelle tegnebøger, udbydere af veksling mellem en eller flere typer af virtuel valuta, udbydere af overførsel af virtuel valuta og udbydere af finansielle tjenester relateret til en udsteders udbud eller salg af virtuel valuta er omfattet af hvidvasklovens anvendelsesområde.
De gældende § 1, stk. 1, nr. 22-26, i hvidvaskloven gennemfører dele af FATF’s anbefaling nr. 15 om udbydere af tjenester med virtuel valuta.
Hvidvasklovens § 2, nr. 15-17, definerer virtuelle tegnebøger, virtuel valuta og fiatvaluta.
Det foreslås, at § 1, stk. 1, nr. 22-26, ophæves, og at indsætte udbydere af kryptoaktivtjenester som defineret i lov om finansiel virksomhed.
Udbydere af kryptoaktivtjenester er defineret i det foreslåede § 332, nr. 5, i lov om finansiel virksomhed, jf. lovforslagets § 1, nr. 28.
Kryptoaktiv er defineret i det foreslåede § 332, nr. 1, jf. lovforslagets § 1, nr. 28.
Den foreslåede bestemmelse vil medføre en formel ændring af hvidvasklovens anvendelsesområde, da loven fremadrettet ikke vil omfatte udbydere af veksling mellem virtuel valuta og fiatvaluta, udbydere af virtuelle tegnebøger, udbydere af veksling mellem en eller flere typer af virtuel valuta, udbydere af overførsel af virtuel valuta og udbydere af finansielle tjenester relateret til en udsteders udbud eller salg af virtuelle valutaer. Hvidvaskloven vil i stedet omfatte udbydere af kryptoaktivtjenester som defineret i lov om finansiel virksomhed.
Ændringen vil ikke medføre materielle ændringer, da fysiske og juridiske personer omfattet af de hidtil gældende § 1, stk. 1, nr. 22-26, også vil være omfattet af den nye § 1, stk. 1, nr. 22.
Den foreslåede bestemmelse vil gennemføre artikel 38, nr. 1 og 2, i Europa-Parlamentets og Rådets forordning (EU) 2023/1113 af 31. maj 2023 om oplysninger, der skal medsendes ved pengeoverførsler og ved overførsler af visse kryptoaktiver (den omarbejdede pengeoverførselsforordning), der er en ændring til artikel 2, stk. 1, nr. 3, og artikel 3, nr. 2, i Europa-Parlamentets og Rådets direktiv 2015/849/EU af 20. maj 2015 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme, om ændring af Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 og om ophævelse af Europa-Parlamentets og Rådets direktiv 2005/60/EF samt Kommissionens direktiv 2006/70/EF (herefter 4. hvidvaskdirektiv).
Der henvises i øvrigt til pkt. 2.4 lovforslagets almindelige bemærkninger, samt lovforslagets § 1, nr. 28, om supplering af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver (MiCA) og bemærkningerne hertil.
Til nr. 2 (§ 2, nr. 4, a og b, i hvidvaskloven)
Den gældende § 2 i hvidvaskloven indeholder en række definitioner.
En korrespondentforbindelse er defineret som værende levering af pengeinstitutydelser fra et pengeinstitut (korrespondenten) til et andet pengeinstitut (respondenten), herunder oprettelse af løbende konto eller passivkonto, og øvrige ydelser som likviditetsstyring, international overførsel af midler m.v., samt en forbindelse mellem en virksomhed omfattet af § 1, stk. 1, nr. 1-12 eller 18, (korrespondenten) til en anden virksomhed omfattet af § 1, stk. 1, nr. 1-12 eller 18, (respondenten), hvor der leveres lignende ydelser, herunder forbindelser indgået med henblik på værdipapirtransaktioner eller overførsler af midler. Det følger af den gældende § 2, nr. 4, litra a og b, i hvidvaskloven.
Definitionen af en korrespondentforbindelse, som beskrevet ovenfor, gennemfører artikel 3, stk. 8, litra a, i 4. hvidvaskdirektiv.
Definitionen af korrespondentforbindelse skal ses i sammenhæng med hvidvasklovens § 19, der fastsætter skærpede kundekendskabsprocedurer inden etablering af korrespondentforbindelser hjemmehørende i et land uden for EU/EØS.
Når der etableres korrespondentforbindelse med en respondent, anses der samtidig i hvidvasklovens forstand at være etableret en forretningsforbindelse til respondenten. Korrespondenten er den virksomhed, der leverer ydelser til en anden virksomhed, mens respondenten er den virksomhed, der modtager ydelserne.
Korrespondentforbindelser omfatter videre tilfælde, hvor der indgås forbindelser mellem virksomheder med henblik på værdipapirtransaktioner eller overførsler af midler. Dette forekommer ved udveksling af såkaldte SWIFT-nøgler mellem finansielle virksomheder. Internationale elektroniske pengeoverførsler understøttes af et meddelelsessystem, der udbydes af SWIFT (Society for Worldwide Interbank Financial Telecommunication). For at kunne kommunikere meddelelser om pengeoverførsler ved brug af SWIFT-nøgler er det en forudsætning, at de finansielle virksomheder i teknisk forstand har udvekslet såkaldte SWIFT-nøgler med hinanden. Udveksling af SWIFT-nøgler er i udgangspunktet et centralt skridt i etableringen af en korrespondentbankforbindelse. Det er i SWIFT-systemet muligt at styre, hvilke typer beskeder udveksling af SWIFT-nøgler giver adgang til. Der kan derfor udveksles SWIFT-nøgler, uden at dette automatisk bevirker, at de involverede virksomheder har mulighed for at gennemføre betalingstransaktioner med hinanden. Udveksling af SWIFT-nøgler medfører dermed ikke i sig selv, at der etableres en korrespondentforbindelse. Der er således visse typer af beskeder, f.eks. i relation til trade finance, der ikke giver mulighed for overførsel af midler.
Uanset den tekniske løsning er det op til det enkelte institut at vurdere, hvornår der skal foretages skærpede kundekendskabsprocedurer i henhold til definitionen af en korrespondentforbindelse, eller om der er risiko for misbrug til hvidvask eller finansiering af terrorisme.
Det foreslås at affatte hvidvasklovens § 2, nr. 4, litra a, således, at en korrespondentforbindelse defineres som levering af pengeinstitutydelser fra et pengeinstitut (korrespondenten) til et andet pengeinstitut (respondenten), herunder, men ikke begrænset til, oprettelse af løbende konto eller en anden passivkonto, samt tilknyttede ydelser som likviditetsstyring, internationale overførsler af midler, checkclearing, gennemstrømningskonti og valutatransaktioner
Den foreslåede ændring af litra a vil medføre, at det præciseres i bestemmelsens ordlyd, hvilke typer af tilknyttede ydelser som bl.a. hører under pengeinstitutydelser.
Det foreslås videre, at affatte hvidvasklovens § 2, nr. 4, litra b, således, at en korrespondentforbindelse defineres som en forbindelse mellem en virksomhed omfattet af § 1, stk. 1, nr. 1-12, 18 eller 22, (korrespondenten) og en virksomhed omfattet af § 1, stk. 1, nr. 1-12, 18 eller 22, (respondenten), herunder hvor der leveres lignende ydelser fra et korrespondentinstitut til et respondentinstitut, og forbindelser indgået med henblik på værdipapirtransaktioner eller overførsler af midler eller forbindelser indgået med henblik på transaktioner med kryptoaktiver eller overførsler af kryptoaktiver.
Den foreslåede ændring af litra b vil medføre, at udbydere af kryptoaktivtjenester omfattes af hvidvasklovens definition af korrespondentforbindelse i de tilfælde, hvor der leveres ydelser, der ligner pengeinstitutydelser.
Ligeledes vil den foreslåede litra b medføre, at forbindelser, som indgås med henblik på at gennemføre transaktioner med kryptoaktiver eller overførsler af kryptoaktiver, omfattes af definitionen af ydelser leveret mellem korrespondent og respondent.
Udbydere af kryptoaktivtjenester vil med den foreslåede litra b ved etablering af en korrespondentforbindelse blive underlagt krav om gennemførelse af kundekendskabsprocedurer i henhold til hvidvasklovens § 11 og skærpede kundekendskabsprocedurer i henhold til hvidvasklovens § 19.
Forbindelser, der etableres mellem udbydere af kryptoaktivtjenester og virksomheder og personer, der er etableret i tredjelande, med henblik på at gennemføre overførsler af kryptoaktiver eller levering af lignende kryptoaktivtjenester, er sammenlignelige med korrespondentforbindelser, der etableres af pengeinstitutter med et tredjelands respondentinstitut.
Definitionen af korrespondentforbindelse i forhold til udbydere af kryptoaktivtjenester skal ses i sammenhæng med hvidvasklovens § 19 om krav til skærpede kundekendskabsprocedurer ved etablering af en korrespondentforbindelse hjemmehørende i et land uden for EU/EØS.
Der henvises til bemærkningerne til § 2, nr. 4, og § 19, jf. Folketingstiden-de 2016-17, tillæg A, L 41 som fremsat, side 101.
I den omarbejdede pengeoverførselsforordning artikel 38 er der tilføjet en ny artikel 19 b til 4. hvidvaskdirektiv, som fastlægger en række krav om gennemførelse af kundekendskabsprocedurer, herunder skærpede kundekendskabsprocedurer, når udbydere af kryptoaktivtjenester etablerer korrespondentforbindelser.
Flere af disse krav følger i dag af hvidvasklovens § 11, om gennemførelse af kundekendskabsprocedurer, og hvidvasklovens § 19, om gennemførelse af skærpede kundekendskabsprocedurer ved etablering af korrespondentforbindelser udenfor EU/EØS, hvorfor disse krav ikke gennemføres i en selvstændig bestemmelse for udbydere af kryptoaktivtjenester. Kravene er gennemført som følger:
Artikel 19 b, stk. 1, litra b, fastsætter, at udbydere af kryptoaktivtjenester ved etablering af korrespondentforbindelser udenfor Unionen skal indhente tilstrækkelige oplysninger om respondenten til fuldt ud at forstå, hvori dens virksomhed består, og på grundlag af offentligt tilgængelige oplysninger at bedømme respondentens omdømme og kvaliteten af overvågningen. Kravet til udbydere af kryptoaktivtjenester i artikel 19 b, litra b, er enslydende med ordlyden i artikel 19, stk. 1, litra a.
Artikel 19, stk. 1, litra a, er implementeret i hvidvasklovens § 19, stk. 1, nr. 1, hvorefter korrespondenten inden etablering af en grænseoverskridende korrespondentforbindelse, der involverer gennemførelse af betalinger med et respondentinstitut uden for Den Europæiske Union, som Unionen ikke har indgået aftale med på det finansielle område, skal indhente tilstrækkelige oplysninger om respondenten til at forstå, hvori respondentens virksomhed består, og ud fra offentligt tilgængelige oplysninger bedømme respondentens omdømme og kvaliteten af det tilsyn, der føres med respondenten i det pågældende land.
Artikel 19 b, stk. 1, litra c, fastsætter, at udbydere af kryptoaktivtjenester ved etablering af korrespondentforbindelser udenfor Unionen skal vurdere respondentens kontrol med, at der ikke foregår hvidvask af penge eller finansiering af terrorisme. Kravet til udbydere af kryptoaktivtjenester i artikel 19 b, litra c, er enslydende med ordlyden i artikel 19, stk. 1, litra b. Artikel 19, stk. 1, litra b, er implementeret i hvidvasklovens § 19, stk. 1, nr. 2, hvorefter korrespondenten inden etablering af en grænseoverskridende korrespondentforbindelse, der involverer gennemførelse af betalinger med et respondentinstitut uden for Den Europæiske Union, som Unionen ikke har indgået aftale med på det finansielle område, skal indhente tilstrækkelige oplysninger til at sikre, at respondenten har effektive kontrolprocedurer med henblik på overholdelse af det pågældende lands regler om bekæmpelse af hvidvask og finansiering af terrorisme.
Artikel 19 b, stk. 1, litra d, fastsætter, at udbydere af kryptoaktivtjenester ved etablering af korrespondentforbindelser udenfor Union skal indhente den øverste ledelses godkendelse, inden der etableres nye korrespondent-forbindelser. Kravet til udbydere af kryptoaktivtjenester i artikel 19 b, litra d, er enslydende med ordlyden i artikel 19, stk. 1, litra c. Artikel 19, stk. 1, litra c, er implementeret i hvidvasklovens § 19, stk. 1, nr. 3, hvorefter korrespondenten inden etablering af en grænseoverskridende korrespondentforbindelse, der involverer gennemførelse af betalinger med et respondentinstitut uden for Den Europæiske Union, som Unionen ikke har indgået aftale med på det finansielle område, skal indhente godkendelse til etablering af korrespondentforbindelsen hos den person, der er udpeget i henhold til § 7, stk. 2.
Artikel 19 b, stk. 1, litra e, fastsætter, at udbydere af kryptoaktivtjenester ved etablering af korrespondentforbindelser udenfor Unionen skal dokumentere de respektive ansvarsområder, der påhviler hver part i korrespondentforbindelsen. Kravet til udbydere af kryptoaktivtjenester i artikel 19 b, litra e, er enslydende med ordlyden i artikel 19, stk. 1, litra d. Artikel 19, stk. 1, litra d, er implementeret i hvidvasklovens § 19, stk. 1, nr. 4, hvorefter korrespondenten skal dokumentere korrespondentens henholdsvis respondentens ansvar for opfyldelse af reglerne i denne lov.
Artikel 19 b, stk. 1, litra f, fastsætter, at udbydere af kryptoaktivtjenester ved etablering af korrespondentforbindelser udenfor Unionen i forbindelse med de såkaldte gennemstrømningskryptoaktivkonti skal sikre, at respondenten har identitetskontrolleret de kunder, der har direkte adgang til korrespondentenhedens konti, og løbende har gennemført kundekendskabsprocedurer, samt at den er i stand til at forelægge relevante kundekendskabsoplysninger for korrespondentenheden efter anmodning. Kravet til udbydere af kryptoaktivtjenester i artikel 19 b, litra f, er enslydende med ordlyden i artikel 19, stk. 1, litra e. Artikel 19, stk. 1, litra e, er implementeret i hvidvasklovens § 19, stk. 2, hvorefter korrespondenten skal sikre sig, at respondenten gennemfører kundekendskabsprocedurer, og at respondenten kan udlevere kundekendskabsoplysninger efter anmodning fra korrespondenten, hvis en respondentforbindelses kunde har direkte adgang til at disponere over midler, som indestår på en konto hos korrespondentforbindelsen.
Artikel 19, stk. 1, 2. led, fastsætter, at udbydere af kryptoaktivtjenester skal dokumentere og registrere beslutninger om at afslutte korrespondentforbindelser af årsager, som har tilknytning til politikker vedrørende bekæmpelse af hvidvask af penge og finansiering af terrorisme. Det følger af hvidvasklovens § 14, stk. 5, at såfremt kundekendskabskravene i hvidvasklovens § 11 ikke kan opfyldes, skal en etableret forretningsforbindelse afbrydes eller afvikles, og der må ikke gennemføres yderligere transaktioner. Det skal samtidig undersøges, om der skal foretages underretning efter hvidvasklovens § 26. Ydermere følger det af hvidvasklovens § 30, stk. 1, nr. 1, at virksomheder og personer omfattet af denne lov skal opbevare oplysninger indhentet i forbindelse med opfyldelse af kravene i hvidvasklovens kapitel 3 om kundekendskabsprocedurer. Da en korrespondentforbindelse i hvidvasklovens forstand anses som en forretningsforbindelse, gælder kravet om notering også ved korrespondentforbindelser.
Artikel 19, stk. 1, 3. led, fastsætter, at udbydere af kryptoaktivtjenester regelmæssigt skal ajourføre kundekendskabsoplysningerne for korrespondentforbindelsen, eller når der opstår nye risici i forbindelse med respondenten. Det følger af hvidvasklovens § 11, stk. 1, nr. 5, 2. pkt., at oplysninger om kunder løbende skal ajourføres. Da en korrespondentforbindelse i hvidvasklovens forstand anses som en forretningsforbindelse, gælder kravet om ajourføring også ved korrespondentforbindelser.
Artikel 19, stk. 2, fastsætter, at udbydere af kryptoaktivtjenester skal tage hensyn til de oplysninger, der er omhandlet i stk. 1, for på et risikofølsomt grundlag at fastlægge de passende foranstaltninger, der skal træffes for at begrænse de risici, der er forbundet med respondentenheden. Det følger af hvidvasklovens § 11, stk. 3, at virksomheder og personer skal gennemføre alle kundekendskabskrav, jf. § 11, stk. 1 og 2. Omfanget af kundekend-skabsproceduren kan gennemføres ud fra en risikovurdering. I vurderingen skal inddrages oplysninger om forretningsforbindelsens formål, omfang, regelmæssighed og varighed. I vurderingen skal som minimum inddrages de faktorer, som fremgår af hvidvasklovens bilag 2 om begrænsede risikofaktorer og bilag 3 om øgede risikofaktorer. Da en korrespondentforbindelse i hvidvasklovens forstand anses som en forretningsforbindelse, gælder kravet om gennemførelse af kundekendskabsprocedurer også ved korrespondentforbindelser.
Den foreslåede nyaffattelse vil gennemføre artikel 38, nr. 2, litra b i den omarbejdede pengeoverførselsforordning, der er en ændring til artikel 3, nr. 8, i 4. hvidvask-direktiv. Ligeledes gennemfører den foreslåede bestemmelse dele af artikel 38, nr. 5, i den omarbejdede pengeoverførselsforordning, som tilføjer en ny artikel 19 b, til 4. hvidvaskdirektiv.
Der henvises i øvrigt til pkt. 2.4 i lovforslagets almindelige bemærkninger, samt lovforslagets § 1, nr. 28, om supplering af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver (MiCA) og bemærkningerne hertil.
Til nr. 3 (§ 2, nr. 15 og 16, i hvidvaskloven)
Den gældende § 2 i hvidvaskloven indeholder en række definitioner.
Det følger af hvidvasklovens § 2, nr. 15, at en udbyder af virtuelle tegnebøger defineres som en enhed, som leverer tjenester til at beskytte private kryptografiske nøgler på vegne af sine kunder med henblik på at opbevare, lagre og overføre virtuelle valutaer.
Det følger videre af hvidvasklovens § 2, nr. 16, at virtuel valuta defineres som et digitalt udtryk for værdi, som ikke er udstedt eller garanteret af en centralbank eller en offentlig myndighed, ikke nødvendigvis er bundet til en lovligt oprettet valuta og ikke har samme retsstatus som valuta eller penge, men som accepteres af fysiske og juridiske personer som vekslingsmiddel, som kan overføres, lagres og handles elektronisk.
Det foreslås, at § 2, nr. 15 og 16, ophæves.
Forslaget er en følge af, at hvidvasklovens § 1, stk. 1, nr. 22-26, foreslås ophævet, og at udbydere af kryptoaktivtjenester foreslås indsat som en ny § 1, stk. 1, nr. 22, i medfør af dette lovforslags § 1, nr. 1. Som en følge heraf vil alle typer af udbydere af tjenester med virtuel valuta samles under den foreslåede § 1, stk. 1, nr. 22, i hvidvaskloven.
Der henvises til bemærkningerne til definitionerne af kryptoaktiver og udbydere af kryptoaktivtjenester i lov om finansiel virksomhed, jf. lovforslagets § 1, nr. 28.
Den foreslåede bestemmelse vil gennemføre artikel 38, nr. 2, litra c og d, i den omarbejdede pengeoverførselsforordning, der ophæver en række bestemmelser ved at ændre i artikel 3, nr. 18 og 19, i 4. hvidvaskdirektiv.
Der henvises i øvrigt til pkt. 2.4 i lovforslagets almindelige bemærkninger, samt lovforslagets § 1, nr. 28, om supplering af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver (MiCA) og bemærkningerne hertil.
Til nr. 4 (§ 2, nr. 19, i hvidvaskloven)
Den gældende § 2 i hvidvaskloven indeholder en række definitioner.
Det foreslås i § 2, nr. 19, at selvhostet adresse er en distributed ledger-adresse som defineret i Europa-Parlamentets og Rådets forordning 2023/1113/EU af 31. maj 2023 om oplysninger, der skal medsendes ved pengeoverførsler og ved overførsler af visse kryptoaktiver og om ændring af direktiv 2015/849/EU.
Selvhostet adresse er defineret i den omarbejdede pengeoverførselsforordning artikel 3, nr. 18, litra a. Ved selvhostet adresse forstås en distributed ledger-adresse, der ikke er knyttet til en udbyder af kryptoaktivtjenester eller en enhed, der ikke er etableret i Unionen, og som leverer tjenester svarende til dem, en udbyder af kryptoaktivtjenester leverer.
Distributed ledger-adresse er defineret i den omarbejdede pengeoverførselsforordning artikel 3, nr. 17. Ved distributed ledger-adresse forstås en alfanumerisk kode, der identificerer en adresse på et netværk, som anvender distributed ledger-teknologi (DLT) eller lignende teknologi, og hvortil der kan sendes eller modtages kryptoaktiver.
Distributed ledger-teknologi (DLT) er defineret i MiCA artikel 3, nr. 1, som en teknologi, der muliggør drift og brug af distributed ledgers.
Distributed ledger er defineret i MiCA artikel 3, nr. 2, som et informationsregister, der registrerer transaktioner, og som deles og synkroniseres mellem et sæt af DLT-netknudepunkter ved hjælp af en konsensusmekanisme.
Konsensusmekanisme er defineret i MiCA artikel 3, nr. 3, som regler og procedurer, hvorved der mellem DLT-knudepunkter opnås enighed om, at en transaktion er valideret.
DLT-knudepunkt er defineret i MiCA artikel 3, nr. 4, som en anordning eller proces, der indgår i et netværk, og som indeholder en fuldstændig eller delvis kopi af registreringer af alle transaktioner i en distributed ledger.
Det foreslåede vil implementere artikel 38, nr. 2, litra d, i den omarbejdede pengeoverførselsforordning, der tilføjer et nyt nr. 19, litra a, til artikel 3, i 4. hvidvaskdirektiv.
Der henvises i øvrigt til pkt. 2.4 i lovforslagets almindelige bemærkninger, samt lovforslagets § 1, nr. 28, om supplering af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver (MiCA) og bemærkningerne hertil.
Til nr. 5 (§ 7, stk. 1, 1. pkt., i hvidvaskloven)
Det følger af hvidvasklovens § 7, stk. 1, 1. pkt., at virksomheder og personer omfattet af hvidvaskloven skal identificere og vurdere risikoen for, at virksomheden eller personen kan blive misbrugt til hvidvask eller finansiering af terrorisme.
Det følger af hvidvasklovens § 7, stk. 1, 2. pkt., at risikovurderingen skal foretages med udgangspunkt i virksomhedens eller personens forretningsmodel og omfatte vurderingen af risikofaktorer, der er forbundet med kunder, produkter, tjenesteydelser og transaktioner samt leveringskanaler og lande eller geografiske områder, hvor forretningsaktiviteterne udøves.
Det foreslås i § 7, stk. 1, 1. pkt., at der efter »personer« indsættes », der er«.
Der er alene tale om en sproglig ændring af lovteksten, som har til formål at give mulighed for i bemærkningerne at angive, at virksomheder og personer, som udbyder kryptoaktivtjenester, også skal identificere og vurdere risikoen for at blive misbrugt til hvidvask eller finansiering af terrorisme i forbindelse med overførsler af kryptoaktiver, der er rettet mod eller stammer fra en selvhostet adresse.
Den foreslåede bestemmelse vil medføre, at udbydere af kryptoaktivtjenester skal identificere og vurdere den iboende risiko for, at virksomheden eller personen kan blive misbrugt til hvidvask eller finansiering af terrorisme ved overførsler af kryptoaktiver, som er rettet mod og stammer fra selvhostede adresser. Det betyder, at udbydere af kryptoaktivtjenester skal forstå hvor og i hvilket omfang, de kan blive misbrugt til hvidvask eller finansiering af terrorisme ved overførsler til og fra selvhostede adresser.
Der henvises til bemærkningerne til § 7, stk. 1, jf. Folketingstidende 2016-17, tillæg A, L 41 som fremsat, side 101.
Den foreslåede bestemmelse vil gennemføre artikel 38, nr. 4, i den omarbejdede pengeoverførselsforordning, der tilføjer artikel 19a til artikel 3, i 4. hvidvaskdirektiv.
Der henvises i øvrigt til pkt. 2.4 i lovforslagets almindelige bemærkninger, samt lovforslagets § 1, nr. 28, om supplering af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver (MiCA) og bemærkningerne hertil.
Til nr. 6 (§ 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, i hvidvaskloven)
Det følger af hvidvasklovens § 7, stk. 2, 1. pkt., at den daglige ledelse i virksomheder omfattet af lovens § 1, stk. 1, nr. 1-8, 9, 10, 18 og 22-26, skal udpege en hvidvaskansvarlig, altså en ansat, der har fuldmagt til at træffe beslutninger på vegne af virksomheden i henhold til lovens § 8, stk. 2, § 17, stk. 2, nr. 5, § 18, stk. 3, og § 19, stk. 1, nr. 3.
Det følger af hvidvasklovens § 38, stk. 3, at oplysninger om, at der er givet underretning efter lovens § 26, stk. 1 og 2, eller at dette overvejes, eller at der er eller vil blive iværksat en undersøgelse efter lovens § 25, stk. 1, kan videregives mellem virksomheder i koncerner omfattet af lovens § 1, stk. 1, nr. 1-12, 18 eller 22-26, og andre virksomheder i koncernen, der har hjemsted eller er hjemmehørende i et EU- eller EØS-land.
Det følger af hvidvasklovens § 38, stk. 6, at oplysninger om, at der er givet underretning efter § 26, stk. 1 og 2, eller at dette overvejes, eller at der er eller vil blive iværksat en undersøgelse efter § 25, stk. 1, kan videregives mellem virksomheder i koncerner omfattet af lovens § 1, stk. 1, nr. 1-14, 16, 20 og 22-26.
Det følger af hvidvasklovens § 47, stk. 1, 1. pkt., at Finanstilsynet fører tilsyn med, at virksomheder og personer omfattet af lovens § 1, stk. 1, nr. 1-12, 18 og 22-26, overholder hvidvaskloven, regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning 2015/847/EU af 20. maj 2015 om oplysninger, der skal medsendes ved pengeoverførsler, og forordninger indeholdende regler om finansielle sanktioner mod lande, personer, grupper, juridiske enheder eller organer.
Det følger af hvidvasklovens § 47, stk. 3, at Finanstilsynet skal samarbejde med de kompetente myndigheder i EU- eller EØS-lande om at medvirke ved tilsynsaktiviteter, kontroller på stedet eller inspektioner her i landet, når det gælder virksomheder og personer omfattet af lovens § 1, stk. 1, der er under tilsyn i et andet EU- eller EØS-land, eller en dansk virksomhed eller person omfattet af § 1, stk. 1, nr. 1-12, og 22-26, der er er underlagt dansk tilsyn, men opererer i andre EU- eller EØS-lande.
Det følger af hvidvasklovens § 49, stk. 1, 1. pkt., at virksomheder og personer som nævnt i lovens § 1, stk. 1, nr. 1-12, 18 og 22-26, samt leverandører og underleverandører til disse skal give Finanstilsynet de oplysninger, der er nødvendige for tilsynets virksomhed.
Det følger af hvidvasklovens § 51, at Finanstilsynet kan påbyde virksomheder og personer, som er nævnt i lovens § 1, stk. 1, nr. 1-12, 18 og 22-26, at foretage de nødvendige foranstaltninger i tilfælde af overtrædelse af hvidvaskloven, regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning 2015/847/EU af 20. maj 2015 om oplysninger, der skal medsendes ved pengeoverførsler, og forordninger indeholdende regler om finansielle sanktioner mod lande, personer, grupper, juridiske enheder eller organer.
Det følger af hvidvaskloven § 51 a, stk. 1, at Finanstilsynet kan påbyde en virksomhed omfattet af lovens § 1, stk. 1, nr. 1-8, 9, 10, 18 og 22-26 at afsætte den person, der er udpeget som hvidvaskansvarlig i henhold til lovens § 7, stk. 2, hvis personen ikke har tilstrækkelig godt omdømme eller personens adfærd giver grund til at antage, at personen ikke vil varetage stillingen på forsvarlig måde.
Det følger af hvidvaskloven § 51 b, stk. 1, 1. pkt., at Finanstilsynet kan påbyde en virksomhed eller person omfattet af lovens § 1, stk. 1, nr. 1-8, 9, 10, 18 og 22-26, at virksomheden eller personen midlertidigt ikke må optage nye kundeforhold, når der er konstateret en alvorlig overtrædelse af bestemmelser i denne lov eller regler udstedt i medfør heraf.
Det følger af hvidvasklovens § 52, at Finanstilsynet for virksomheder og personer som omfattet af lovens § 1, stk. 1, nr. 8, og 22-26, kan fastsætte nærmere regler om anmeldelse, registrering og offentliggørelse, herunder om, hvilke oplysninger der skal registreres, og hvilke forhold anmeldere eller andre kan indsende og registrere elektronisk i Finanstilsynets it-system ved at benytte digital eller tilsvarende elektronisk signatur, samt om brugen af dette system.
Det følger af hvidvasklovens § 53, at erhvervsministeren kan fastsætte regler om pligt for virksomheder omfattet af lovens § 1, stk. 1, nr. 1-12, 18 og 22-26, til at offentliggøre oplysninger om Finanstilsynets vurdering af virksomheden.
Det følger af hvidvasklovens § 54, stk. 1, at såfremt en virksomhed eller person omfattet af lovens § 1, stk. 1, nr. -12, 18 og 22-26, har videregivet oplysninger om virksomheden eller personen, og disse er kommet offentligheden til kendskab, kan Finanstilsynet påbyde virksomheden eller personen at offentliggøre berigtigende oplysninger inden for en af Finanstilsynet fastsat frist, hvis oplysningerne efter Finanstilsynets vurdering er misvisende, og hvis Finanstilsynet vurderer, at oplysningerne kan have skadevirkning for virksomhedens eller personens kunder, indskydere, øvrige kreditorer, de finansielle markeder, hvorpå aktierne i virksomheden eller værdipapirer udstedt af virksomheden handles, eller den finansielle stabilitet generelt.
Det foreslås, i § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, at »-26« udgår.
Det foreslåede er en konsekvens af at hvidvasklovens § 1, stk. 1, nr. 22-26, foreslås ophævet, og at udbydere af kryptoaktivtjenester foreslås indsat som en ny § 1, stk. 1, nr. 22, jf. lovforslagets § 7, nr. 1.
De foreslåede ændringer vil ikke medføre materielle ændringer af hvidvaskloven.
Til nr. 7 (§ 8, stk. 1, 1. pkt., i hvidvaskloven)
Det følger af hvidvasklovens § 8, stk. 1, at virksomheder og personer omfattet af hvidvaskloven skal have tilstrækkelige skriftlige politikker, forretningsgange og kontroller, som skal omfatte risikostyring, kundekendskabsprocedurer, undersøgelses-, noterings- og underretningspligt, opbevaring af oplysninger, screening af medarbejdere og intern kontrol til effektiv forebyggelse, begrænsning og styring af risici for hvidvask og finansiering af terrorisme. Politikker, kontroller og forretningsgange skal udarbejdes med udgangspunkt i risikovurderingen foretaget efter § 7 under hensyntagen til virksomhedens størrelse.
Det foreslås, at der i § 8, stk. 1, 1. pkt., efter »personer« indsættes », der er«.
Der er alene tale om en sproglig ændring af lovteksten, som har til formål at give mulighed for i bemærkningerne at angive, at udbydere af kryptoaktivtjenester, skal have tilstrækkelige skriftlige politikker, forretningsgange og kontroller til gennemførelse af kundekendskabsprocedurer, hvor der er tale om overførsel af kryptoaktiver, som er rettet mod og stammer fra selvhostede adresser.
Der henvises til bemærkningerne til § 8, stk. 1, jf. Folketingstidende 2016-17, tillæg A, L 41 som fremsat, side 101.
Den foreslåede bestemmelse vil gennemføre artikel 38, nr. 4, i den omarbejdede pengeoverførselsforordning, der tilføjer artikel 19 a, til artikel 3, i 4. hvidvaskdirektiv.
Der henvises i øvrigt til pkt. 2.4 i lovforslagets almindelige bemærkninger, samt lovforslagets § 1, nr. 28, om supplering af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver (MiCA) og bemærkningerne hertil.
Til nr. 8 (§ 10, nr. 2, litra c og d, i hvidvaskloven)
Det følger af hvidvasklovens § 10, nr. 2, litra c, at virksomheder og personer omfattet af hvidvaskloven skal gennemføre kundekendskabsprocedurer, når de udfører en enkeltstående transaktion på 500 euro eller derover ved valutaveksling, herunder veksling mellem virtuel valuta og fiatvaluta, hvad enten transaktionen sker på én gang eller som flere transaktioner, der er eller ser ud til at være indbyrdes forbundet.
Herudover følger det af § 10, nr. 2, litra d, at virksomheder og personer omfattet af hvidvaskloven skal gennemføre kundekendskabsprocedurer, når de udfører en enkeltstående transaktion på 1.000 euro eller derover ved veksling mellem en eller flere typer af virtuel valuta, overførsel af virtuel valuta eller udstedelse af virtuel valuta, hvad enten transaktionen sker på én gang eller som flere transaktioner, der er eller ser ud til at være indbyrdes forbundet.
Det foreslås et sted i § 10, nr. 2, litra c, og tre steder i § 10, nr. 2, litra d, at ændre »virtuel valuta« til »kryptoaktiver«.
Ændringen er en følge af, at definitionen af kryptoaktivtjenester i lov om finansiel virksomhed fremadrettet vil erstatte definition af virtuel valuta i hvidvaskloven.
Den foreslåede ændring vil ikke medføre en materiel ændring af hvidvaskloven.
Til nr. 9 (§ 17 a i hvidvaskloven)
Det følger af hvidvasklovens § 17, at virksomheder og personer omfattet af hvidvaskloven ud over kravene i §§ 11 og 12, skal gennemføre skærpede kundekendskabsprocedurer, hvor der vurderes at være øget risiko for hvidvask eller finansiering af terrorisme. Virksomheden eller personen skal i vurderingen tage de højrisikofaktorer i betragtning, som fremgår af bilag 3 til loven, og andre højrisikofaktorer, som skønnes at være relevante.
I den omarbejdede pengeoverførselsforordning artikel 38, nr. 4, er der tilføjet en ny artikel 19 a til 4. hvidvaskdirektiv, som fastlægger en række krav til overførsler af kryptoaktiver, der stammer fra eller er rettet mod selvhostede adresser.
Det fremgår af artikel 19 a, stk. 1., 3. pkt., at udbydere af kryptoaktivtjenester i forbindelse med overførsler af kryptoaktiver, der er rettet mod eller stammer fra en selvhostet adresse, skal træffe en eller flere risikobegrænsende foranstaltninger, der står i et rimeligt forhold til de identificerede risici ved sådanne overførsler. De begrænsende foranstaltninger skal omfatte en eller flere af de foranstaltninger, som er opregnet i artikel 19 a, stk. 1, 3. pkt., litra a-d.
Efter artikel 19 a, stk. 1, 3. pkt., litra a, kan en begrænsende foranstaltning omfatte identifikation og kontrol af identiteten af ordregiveren eller ordremodtageren af en overførsel, som stammer fra eller er rettet mod en selvhostet adresse eller en sådan ordregivers eller ordremodtagers reelle ejer, herunder gennem anvendelse af tredjeparter.
Efter artikel 19 a, stk. 1, 3. pkt., litra b, kan en begrænsende foranstaltning omfatte indhentelse af yderligere oplysninger om de overførte kryptoaktivers oprindelse og bestemmelsessted.
Efter artikel 19 a, stk. 1, 3. pkt., litra c, kan en begrænsende foranstaltning omfatte gennemførelse af skærpet overvågning af de pågældende overførsler.
Efter artikel 19 a, stk. 1, 3. pkt., litra d, kan en begrænsende foranstaltning omfatte enhver anden foranstaltning til begrænsning og styring af risikoen for hvidvask og finansiering af terrorisme, samt risikoen for manglende gennemførelse og unddragelse af målrettede finansielle sanktioner og målrettede finansielle sanktioner i forbindelse med finansiering af spredning af masseødelæggelsesvåben.
Det fremgår videre af artikel 19 a, stk. 2, at European Banking Authority (EBA) senest 18 måneder efter, at den omarbejdede pengeoverførselsforordning træder i kraft, udsteder retningslinjer med henblik på at præcisere de nævnte foranstaltninger i artikel 19 a, stk. 1, 3. pkt., under hensyntagen til den seneste teknologi.
Det foreslås i § 17 a, at erhvervsministeren kan fastsætte regler om gennemførelse af risikobegrænsende foranstaltninger ved overførsel af kryptoaktiver, der er rettet mod eller stammer fra en selvhostet adresse.
Det forventes, at EBA vil fastsætte retningslinjer, som vil klarlægge, hvordan de risikobegrænsende foranstaltninger skal gennemføres, herunder, hvordan man kan identificere og kontrollere ordremodtager og –giver, og hvilken dokumentation, der er tilstrækkelig til at fastslå overførte kryptoaktivers oprindelse og bestemmelsessted. Ydermere forventes EBA’s retningslinjer at klarlægge brug af distributed ledger-teknologi, som benyttes ved overførsel af kryptoaktiver til og fra selvhostede adresser.
Den foreslåede bemyndigelse vil kunne benyttes til at fastsætte regler, der er i overensstemmelse med retningslinjer udstedt af EBA i henhold til artikel 19 a, stk. 2, i 4. hvidvaskdirektiv, med de tilpasninger, der er nødvendige henset til den løbende tekniske udvikling på området for kryptoaktiver og -tjenester.
Den foreslåede bestemmelse vil fastsætte en bemyndigelse, der skal benyttes til at gennemføre dele af artikel 38, nr. 4, i den omarbejdede pengeoverførselsforordning, som tilføjer en ny artikel 19 a, til 4. hvidvaskdirektiv. Bestemmelsen gennemfører artikel 19 a, stk. 1, 3. pkt.
Det vil videre være muligt at fastsætte bødestraf for grove og gentagne overtrædelser af visse regler i bekendtgørelsen, jf. § 78, stk. 6, i hvidvaskloven.
Der henvises i øvrigt til pkt. 2.4 i lovforslagets almindelige bemærkninger, samt lovforslagets § 1, nr. 28, om supplering af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver (MiCA) og bemærkningerne hertil.
Til nr. 10 (§ 19, stk. 2, i hvidvaskloven)
Det følger af hvidvasklovens § 19, at inden etablering af en grænseoverskridende korrespondentforbindelse, der involverer gennemførelse af betalinger med et respondentinstitut, der hører hjemme i et land uden for Den Europæiske Union, som Unionen ikke har indgået aftale med på det finansielle område, skal korrespondenten, ud over kundekendskabsproceduren i medfør af § 11, for det første indhente tilstrækkelige oplysninger om respondenten til at forstå, hvori respondentens virksomhed består og ud fra offentligt tilgængelige oplysninger bedømme respondentens omdømme og kvaliteten af det tilsyn, der føres med respondenten i det pågældende land, jf. stk. 1, nr. 1. Korrespondenten skal for det andet indhente tilstrækkelige oplysninger til at sikre, at respondenten har effektive kontrolprocedurer med henblik på overholdelse af det pågældende lands regler om bekæmpelse af hvidvask og finansiering af terrorisme, jf. stk. 1, nr. 2, og indhente godkendelse til etablering af korrespondentforbindelsen hos den person, der er udpeget i henhold til § 7, stk. 2, jf. stk. 1, nr. 3. For det tredje skal korrespondenten dokumentere korrespondentens henholdsvis respondentens ansvar for opfyldelse af reglerne i hvidvaskloven, jf. stk. 1, nr. 4.
Det følger af hvidvasklovens § 19, stk. 2, at hvis en respondentforbindelses kunde har direkte adgang til at disponere over midler, som indestår på en konto hos korrespondentforbindelsen, skal korrespondenten sikre sig, at respondenten gennemfører kundekendskabsprocedurer, og at respondenten kan udlevere kundekendskabsoplysninger efter anmodning fra korrespondenten.
Det foreslås i § 19, stk. 2, at inden gennemførelse af kryptoaktivtjenester, skal korrespondenten fastslå, om respondenten er godkendt eller registreret i det pågældende land.
Den foreslåede ændring vil medføre, at udbydere af kryptoaktivtjenester ved oprettelse af korrespondentforbindelser, hvor respondenten er etableret i et land udenfor EU/EØS, skal korrespondenten fastslå om respondenten er registreret eller godkendt i det land, hvor respondenten er etableret.
Registrering eller godkendelse kan f.eks. fastslås ved indhentelse af dokumentation for registrering eller godkendelse hos det pågældende lands tilsynsmyndighed.
Den gældende § 19 i hvidvaskloven er strafbelagt i medfør af § 78, stk. 1, 2. pkt., og stk. 2. Den foreslåede bestemmelse i § 19, stk. 2, vil således også blive strafbelagt i medfør af § 78, stk. 1, 2. pkt. og stk. 2.
Ansvarssubjektet er udbydere af kryptoaktivtjenester, jf. det foreslåede § 1, stk. 1, nr. 22, i hvidvaskloven, jf. lovforslagets § 7, nr. 1. Den strafbare handling består f.eks. i, at en udbyder af kryptoaktivtjenester ved etablering af en korrespondentforbindelse, hvor respondenten er etableret i et land udenfor EU/EØS, ikke fastslår om respondenten er registreret eller godkendt i det land, hvor respondenten er etableret.
Den foreslåede bestemmelse vil gennemføre dele af artikel 38, nr. 4, i den omarbejdede pengeoverførselsforordning, som tilføjer en ny artikel 19 b til 4. hvidvaskdirektiv.
Der henvises i øvrigt til pkt. 2.4 i lovforslagets almindelige bemærkninger, samt lovforslagets § 1, nr. 28, om supplering af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver (MiCA) og bemærkningerne hertil.
Til nr. 11 (§ 33, 1. pkt., i hvidvaskloven)
Det følger af hvidvasklovens § 33, at Finanstilsynet kan fastsætte regler om, at betalingsinstitutter og e-pengeinstitutter, der er registreret i et EU- eller EØS-land, og som er etableret her i landet på anden måde end ved en filial, har pligt til at udpege en person med ansvar for at sikre, at virksomheden eller personen overholder reglerne i hvidvaskloven. Finanstilsynet kan fastsætte regler om, at personen skal have tilstedeværelse her i landet, og hvilke funktioner den pågældende person skal udføre på vegne af virksomheden.
I henhold til bemærkningerne til § 33, er kravet forholdsmæssigt, hvilket betyder, at regler om udpegning af en person ikke må gå videre end nødvendigt for at nå målene om at sikre overholdelsen af bestemmelserne om bekæmpelse af hvidvask af penge og finansiering af terrorisme samt at lette tilsynet, jf. Folketingstidende 2016-17, tillæg A, L 41 som fremsat, side 137.
Det foreslås i § 33, 1. pkt., at »udbydere af betalingstjenester og udstedere af elektroniske penge« ændres til »udbydere af betalingstjenester, udstedere af elektroniske penge og udbydere af kryptoaktivtjenester«.
Ændringen vil medføre, at Finanstilsynet kan fastsætte regler om, at udbydere af tjenester med kryptoaktiver, der er registreret i et EU- eller EØS-land, og som er etableret her i landet på anden måde end ved en filial, har pligt til at udpege en person med ansvar for at sikre, at virksomheden eller personen overholder reglerne i hvidvaskloven. Finanstilsynet vil kunne fastsætte regler om, at personen skal have tilstedeværelse her i landet, og hvilke funktioner den pågældende person skal udføre på vegne af virksomheden.
Udpegning af en person, der handler på den udpegede virksomheds vegne, vil sikre, at virksomhederne overholder bestemmelserne om bekæmpelse af hvidvask af penge og finansiering af terrorisme. Yderligere vil udpegningen sikre, at tilsynet med disse virksomheder lettes ved at sikre, at myndighederne på en effektiv måde kan modtage dokumenter og oplysninger fra en virksomhed.
Den foreslåede ændring vil fastsætte en bemyndigelse, der skal benyttes til at gennemføre artikel 38, nr. 6, i den omarbejdede pengeoverførselsforordning, der er en ændring til artikel 45, stk. 9, i 4. hvidvaskdirektiv.
Der henvises i øvrigt til pkt. 2.4 i lovforslagets almindelige bemærkninger, samt lovforslagets § 1, nr. 28, om supplering af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver (MiCA) og bemærkningerne hertil.
Til nr. 12 (§ 35, stk. 1, 1. pkt., og § 36, stk. 1, 1. pkt., i hvidvaskloven)
Det følger af hvidvasklovens § 35, stk. 1, 1. pkt., at virksomheder og personer omfattet af lovens § 1, stk. 1, nr. 12-19 og 21-26, for så vidt angår alternative investeringsfonde, skal have en ordning, hvor deres ansatte via en særlig, uafhængig og selvstændig kanal kan indberette overtrædelser eller potentielle overtrædelser af denne lov og regler udstedt i medfør heraf.
Det følger af hvidvasklovens § 36, stk. 1, 1. pkt., at virksomheder og personer omfattet af lovens § 1, stk. 1, nr. 12-19 og 21-26, ikke må udsætte den ansatte eller den tidligere ansatte for ufordelagtig behandling eller ufordelagtige følger som følge af, at den ansatte eller den tidligere ansatte har indberettet virksomhedens eller personens overtrædelse eller potentielle overtrædelse af denne lov og regler udstedt i medfør heraf til en tilsynsmyndighed eller til en ordning i virksomheden.
Det foreslås i § 35, stk. 1, 1. pkt., og § 36, stk. 1, 1. pkt., at ændre »og 21-26« til: », 21 og 22«.
Det foreslåede er en konsekvens af, at hvidvasklovens § 1, stk. 1, nr. 22-26, foreslås ophævet, og at udbydere af kryptoaktivtjenester foreslås indsat som en ny § 1, stk. 1, nr. 22, jf. lovforslagets § 7, nr. 1.
Den foreslåede ændring vil ikke ændre hvidvaskloven materielt.
Til nr. 13 (§ 48, stk. 2, i hvidvaskloven)
Det følger af hvidvasklovens § 48, stk. 2, at virksomheder og personer omfattet af hvidvasklovens § 1, stk. 1, nr. 22-26, skal registreres hos Finanstilsynet for at kunne udøve deres aktiviteter.
Det foreslås, at § 48, stk. 2, ophæves.
Den foreslåede ændring vil medføre, at udbydere af tjenester med virtuel valuta ikke længere er omfattet af registreringskrav efter hvidvaskloven.
MiCA fastsætter en omfattende lovgivningsmæssig ramme for udbydere af kryptoaktivtjenester, der harmoniserer reglerne vedrørende tilladelse til og drift af udbydere af kryptoaktivtjenester i hele EU/EØS. For at undgå overlappende registreringskrav foreslås det at fjerneregistreringskrav i forbindelse med de kategorier af udbydere af kryptoaktivtjenester, som vil blive omfattet af en fælles godkendelsesordning i henhold til MiCA.
Den foreslåede ændring vil gennemføre artikel 38, nr. 7 i den omarbejdede pengeoverførselsforordning, der ophæver dele af artikel 47, stk. 1, i 4. hvidvaskdirektiv, som ændret artikel 1, nr. 29, i 5. hvidvaskdirektiv.
Der henvises i øvrigt til pkt. 2.4 i lovforslagets almindelige bemærkninger.
Til nr. 14 (§ 48, stk. 3, 6 og 7, i hvidvaskloven)
Det følger af hvidvasklovens § 48, stk. 3, 1. pkt., at Finanstilsynet skal undlade at foretage registrering efter stk. 1 og 2, hvis et medlem af virksomhedens øverste eller daglige ledelse eller personen er dømt for et strafbart forhold, der medfører en nærliggende fare for misbrug af stillingen eller hvervet, jf. straffelovens § 78, stk. 2.
Det følger af hvidvasklovens § 48, stk. 3, 2. pkt., at Finanstilsynet skal undlade at foretage registrering efter stk. 1 og 2, hvis et medlem af virksomhedens øverste eller daglige ledelse eller personen ikke har et tilstrækkeligt godt omdømme og ikke kan udvise hæderlighed, integritet og tilstrækkelig uafhængighed ved varetagelsen af hvervet eller stillingen.
Videre følger det af hvidvasklovens § 48, stk. 6, at Finanstilsynet kan inddrage registreringen af en virksomhed eller en anden juridisk person foretaget efter stk. 1 og 2, hvis et medlem af virksomhedens øverste eller daglige ledelse eller personen efterfølgende omfattes af stk. 3, eller hvis virksomheden eller en reel ejer efterfølgende omfattes af stk. 4.
Efter § 48, stk. 7, kan Finanstilsynet inddrage registreringen af en virksomhed eller en person efter stk. 1 og 2, hvis virksomheden eller personen gør sig skyldig i grove eller gentagne overtrædelser af denne lov.
Det foreslås, at »og 2« udgår af § 48, stk. 3, 6 og 7.
Forslaget er en konsekvens af at hvidvasklovens § 48, stk. 2, foreslås ophævet, jf. lovforslagets § 7, nr. 13, hvorefter også henvisningerne til registreringskravet bør udgå.
De foreslåede ændringer vil ikke medføre en materiel ændring af hvidvaskloven.
Til nr. 15 (§ 48, stk. 5, i hvidvaskloven)
Det følger af hvidvasklovens § 48, stk. 5, at straffelovens § 78, stk. 3, finder tilsvarende anvendelse ved Finanstilsynets vurdering i henhold til bestemmelsens stk. 3 og 4, som omhandler Finanstilsynets pligt til at undlade registrering.
Det foreslås i § 48, stk. 5, at ændre »stk. 3 og 4« til »stk. 2 og 3«.
Forslaget er en konsekvens af, at registreringskravet i hvidvasklovens § 48, stk. 2, foreslås ophævet, jf. lovforslagets § 1, nr. 13, hvorefter henvisningerne i bestemmelsen skal ændres.
Den foreslåede ændring vil ikke medføre en materiel ændring af hvidvaskloven.
Til nr. 16 (§ 48, stk. 6, i hvidvaskloven)
Det følger af hvidvasklovens § 48, stk. 6, at Finanstilsynet kan inddrage registreringen af en virksomhed eller en person efter stk. 1 og 2, hvis virksomheden eller personen gør sig skyldig i grove eller gentagne overtrædelser af denne lov.
Det foreslås i § 48, stk. 6, at ændre »stk. 3« til »stk. 2« og »stk. 4« til »stk. 3«.
Forslaget er en konsekvens af, at registreringskravet i hvidvasklovens § 48, stk. 2, foreslås ophævet, jf. lovforslagets § 1, nr. 13, hvorefter henvisningerne i bestemmelsen skal ændres.
De foreslåede ændringer vil ikke medføre materielle ændringer af hvidvaskloven.
Til nr. 17 (§ 54, stk. 2, i hvidvaskloven)
Det følger af hvidvasklovens § 54, stk. 2, at såfremt virksomheden eller personen omfattet af lovens § 1, stk. 1, nr. 1-13, 19, 23-27, ikke berigtiger oplysningerne i overensstemmelse med Finanstilsynets påbud og inden for den af Finanstilsynet fastsatte frist, kan Finanstilsynet offentliggøre påbuddet.
Ved ændring af hvidvaskloven i 2022, jf. lov nr. 2382 af 14. december 2021 blev hvidvasklovens § 1, stk. 1, nr. 9, ophævet. Som følge heraf blev hvidvasklovens § 1, stk. 1, nr. 10-27, ændret til nr. 9-26.
Ved en fejl blev henvisningen til nr. 1-13, 19 og 23-27, i § 54, stk. 2, ikke rettet, som følge af ophævelsen af § 1, stk. 1, nr. 9.
Fejlen har medført, at Finanstilsynet ikke har haft hjemmel til at offentliggøre et påbud meddelt efter hvidvasklovens § 54, stk. 1, hvis et sådant påbud var givet til en valutavekslingsvirksomhed, som efter ophævelsen af hvidvasklovens § 1, stk. 1, nr. 9, er omfattet af hvidvasklovens § 1, stk. 1, nr. 18, og ikke § 1, stk. 1, nr. 19.
Der vil ikke blive offentliggjort sådanne påbud, før dette lovforslag måtte blive vedtaget og træde i kraft.
Det foreslås i § 54, stk. 2, at ændre »1-13, 19 og 23-27« til »1-12, 18 og 22«.
Ændringen foreslås som følge af ophævelsen af hvidvasklovens § 1, stk. 1, nr. 9, ved lov nr. 2382 af 14. december 2021. Det foreslåede vil sikre, at henvisninger til numrene i § 54, stk. 2, ændres, så bestemmelsen tager højde for de ryk, der er sket som følge af ophævelsen af § 1, stk. 1, nr. 9.
Ændringen foreslås ligeledes som følge af, at § 1, stk. 1, nr. 22-26, foreslås ophævet, og at udbydere af kryptoaktivtjenester foreslås indsat som en ny § 1, stk. 1, nr. 22, i dette lovforslags § 7, nr. 1.
Det foreslåede vil medføre, at henvisningen til de ophævede numre udgår.
Til nr. 18 (§ 78, stk. 1, 2. pkt., i hvidvaskloven)
Den gældende bestemmelse i hvidvasklovens § 78 er en strafbestemmelse. Bestemmelsen fastsætter, hvilke overtrædelser af hvidvaskloven og EU-forordninger, der kan straffes.
Det følger af § 78, stk. 1, 2. pkt., at forsætlig eller groft uagtsom overtrædelse af § 48, stk. 1 og 2, straffes med bøde, medmindre højere straf er forskyldt efter straffelovens regler.
Det foreslås i § 78, stk. 1, 2. pkt., at ændre »§ 48, stk. 1 og 2,« til »§ 48, stk. 1,«.
Forslaget er en konsekvens af, at registreringskravet i hvidvasklovens § 48, stk. 2, foreslås ophævet i medfør af dette lovforslags § 1, nr. 13, hvorefter henvisningen i bestemmelsen skal ændres.
Til nr. 19 (§ 85, stk. 4, i hvidvaskloven)
Det fremgår af § 85 i hvidvaskloven, at loven ikke gælder for Færøerne og Grønland, men ved kongelig anordning kan sættes helt eller delvist i kraft for Færøerne og Grønland med de ændringer, de færøske og grønlandske forhold tilsiger.
Det følger af § 59, stk. 1, i hvidvaskloven som sat i kraft for Grønland, at virksomheder og personer som nævnt i § 1, stk. 1, nr. 15 og 22, skal give Erhvervsstyrelsen de oplysninger, som er nødvendige for styrelsens virksomhed. Det følger af § 59, stk. 2, i hvidvaskloven som sat i kraft for Grønland, at Erhvervsstyrelsen, hvis formålet tilsiger det, til enhver tid mod behørig legitimation uden retskendelse, kan få adgang virksomheder og personer omfattet af § 1, stk. 1, nr. 15 og 22, med henblik på indhentelse af oplysninger, herunder ved kontrolbesøg.
Det følger af § 60 i hvidvaskloven som sat i kraft for Grønland, at Erhvervsstyrelsen inden for en af Erhvervsstyrelsen fastsat frist kan påbyde de virksomheder og personer, som er nævnt i § 1, stk. 1, nr. 15 og 22, at foretage de nødvendige foranstaltninger i tilfælde af overtrædelse af bestemmelser i denne lov eller de regler, der er fastsat i medfør heraf.
Det fremgår af § 59, stk. 1 og 2, i hvidvaskloven, jf. lov nr. 651 af 8. juni 2017, som ændret ved lov nr. 553 af 7. maj 2019, at virksomheder og personer som nævnt i § 1, stk. 1, nr. 15-18 og 22, skal give Erhvervsstyrelsen de oplysninger, der er nødvendige for styrelsens virksomhed, og at Erhvervsstyrelsen, hvis formålet tilsiger det, til enhver tid mod behørig legitimation uden retskendelse kan få adgang til virksomheder og personer omfattet af § 1, stk. 1, nr. 15-18 og 22, med henblik på indhentelse af oplysninger, herunder ved kontrolbesøg.
Det fremgår af § 60 i hvidvaskloven, jf. lov nr. 651 af 8. juni 2017, med de ændringer, der følger af lov nr. 553 af 7. maj 2019, at Erhvervsstyrelsen inden for en af Erhvervsstyrelsen fastsat frist kan påbyde de virksomheder og personer, som er nævnt i § 1, stk. 1, nr. 15-18 og 22, at foretage de nødvendige foranstaltninger i tilfælde af overtrædelse af bestemmelser i denne lov, de regler, der er fastsat i medfør heraf, eller Europa-Parlamentets og Rådets forordninger indeholdende regler om finansielle sanktioner mod lande, personer, grupper, juridiske enheder eller organer.
§ 1, stk. 1, nr. 15-18, omfatter revisorer og revisionsvirksomheder godkendt i henhold til revisorloven, jf. nr. 15, ejendomsmæglere og ejendomsmæglervirksomheder, jf. nr. 16, virksomheder og personer, der i øvrigt erhvervsmæssigt leverer samme ydelser som visse advokater, visse ejendomsmæglere og ejendomsmæglervirksomhed samt visse revisorer og revisionsvirksomheder, herunder revisorer, som ikke er godkendt i henhold til revisorloven, skatterådgivere samt eksterne bogholdere, jf. nr. 17, samt udbydere af tjenesteydelser til virksomheder, jf. nr. 18. § 1, stk. 1, nr. 22, omfatter virksomheder og personer, der erhvervsmæssigt opbevarer, handler med eller formidler handel med kunstværker, herunder gallerier og auktionshuse, hvor værdien af transaktionen eller af en række indbyrdes forbundne transaktioner udgør 50.000 kr. eller derover.
§ 1, stk. 1, nr. 16 og nr. 18, er ikke sat i kraft for Grønland, men det er § 1, stk. 1, nr. 15, 17 og 22.
Ved en fejl er § 1, stk. 1, nr. 17, imidlertid ikke nævnt i tilsynsbestemmelserne for Erhvervsstyrelsen i §§ 59 og 60 i hvidvaskloven, som sat i kraft for Grønland. Derfor har Erhvervsstyrelsen ikke de tilsynsbeføjelser, der følger af §§ 59 og 60 overfor personer omfattet af § 1, stk. 1, nr. 17. Erhvervsstyrelsen har som følge heraf ikke ført tilsyn med de angivne virksomheder og personer, og har derfor heller ikke benyttet sig af de pågældende reaktionsmuligheder.
Det foreslås at indsætte § 85 stk. 4, hvorefter de dele af §§ 59 og 60, som i medfør af stk. 1 er sat i kraft for Grønland, ved kongelig anordning vil kunne sættes helt eller delvist i kraft på ny for Grønland med de ændringer, som de grønlandske forhold tilsiger.
Det foreslåede stk. 4 vil medføre, at der indsættes en ny anordningshjemmel i § 85, som kan anvendes til på ny at sætte §§ 59 og 60 i kraft for Grønland med de ændringer, som de grønlandske forhold tilsiger.
Hvidvaskloven, som sat i kraft for Grønland, er senere ændret ved anordning nr. 2627 af 28. december 2021, som sætter lov nr. 553 af 7. maj 2019 i kraft. De seneste ændringer til den danske hvidvasklov, herunder til § 1, stk. 1, er derimod ikke sat i kraft for Grønland. Når §§ 59 og 60, sættes helt eller delvist i kraft på ny for Grønland, er der således retlige forhold i Grønland, der tilsiger, at de seneste ændringer af §§ 59 og 60, i den danske hvidvasklov ikke skal sættes i kraft for Grønland, da det vil medføre en forkert henvisning til § 1, stk. 1, i hvidvaskloven, som sat i kraft for Grønland.
Retlige forhold i Grønland tilsiger således, at §§ 59 og 60, skal sættes i kraft på ny uden de ændringer til den danske hvidvasklov, der er indført efter ændringerne ved lov nr. 553 af 7. maj 2019.
Formålet med den foreslåede § 85, stk. 4, er således, at den korrekte henvisning til § 1, stk. 1, nr. 17, i §§ 59 og 60, som sat i kraft for Grønland, kan tilføjes. Indsættelse af den korrekte henvisning vil medføre, at Erhvervsstyrelsens beføjelser og reaktionsmuligheder under tilsyn i Grønland kan udvides til også at gælde for virksomheder og personer, der i øvrigt erhvervsmæssigt leverer samme ydelser som de i nr. 14-16 nævnte persongrupper, herunder revisorer, som ikke er godkendt i henhold til revisorloven, skatterådgivere og eksterne bogholdere, jf. hvidvasklovens § 1, stk. 1, nr. 17.
Til nr. 1 (§ 2, stk. 1, i lov om forsikringsvirksomhed)
Det fremgår af § 2, stk. 1, i lov om forsikringsvirksomhed, at § 139 i lov om forsikringsvirksomhed også finder anvendelse for finansielle holdingvirksomheder og forsikringsholdingvirksomheder.
Det følger af bemærkningerne til § 2, stk. 1, i lov om forsikringsvirksomhed, at bestemmelsen er en videreførelse af § 2 i lov om finansiel virksomhed. Det følger også af bemærkningerne til § 2 i lov om forsikringsvirksomhed, at bestemmelsen alene blev videreført med redaktionelle ændringer i forhold til, hvad der var gældende ret på tidspunktet for vedtagelse af lov om forsikringsvirksomhed, jf. Folketingstidende 2022-23, tillæg A, L 88 som fremsat, side 129.
Det følger af bemærkningerne til § 139, at bestemmelsen er en videreførelse af § 108 i lov om finansiel virksomhed, jf. Folketingstidende 2022-23, tillæg A, L 88 som fremsat, side 338.
§ 108 i lov om finansiel virksomhed var ikke omfattet af opregningen i § 2 i lov om finansiel virksomhed på tidspunktet for vedtagelse af lov om forsikringsvirksomhed.
Det følger af bemærkningerne til § 138 i lov om forsikringsvirksomhed, at bestemmelsen viderefører § 75 i lov om finansiel virksomhed, jf. Folketingstidende 2022-23, tillæg A, L 88 som fremsat, side 336.
§ 75 i lov om finansiel virksomhed var omfattet af opregningen i § 2 i lov om finansiel virksomhed på tidspunktet for vedtagelse af lov om forsikringsvirksomhed.
Det foreslås at ændre i § 2, stk. 1, i lov om forsikringsvirksomhed ved at ændre henvisningen til § 139 til § 138 i bestemmelsen.
Formålet med ændringen er at rette op på en fejl i lov om forsikringsvirksomhed, der medførte, at § 139 i lov om forsikringsvirksomhed finder anvendelse for finansielle holdingvirksomheder og forsikringsholdingvirksomheder.
Den foreslåede bestemmelse vil medføre, at direktionen i finansielle holdingvirksomheder og forsikringsholdingvirksomheder ikke er forpligtet til at overholde § 139 i lov om forsikringsvirksomhed, men derimod § 138, hvilket var hensigten med det oprindelige lovforslag.
Til nr. 2 (overskriften før § 8 i lov om forsikringsvirksomhed)
Overskriften før § 8 i lov om forsikringsvirksomhed omhandler fælles datacentraler.
Det foreslås at ophæve overskriften før § 8.
Det foreslåede skal ses i sammenhæng med den foreslåede regulering af operatører af finansielle digitale infrastrukturer i afsnit IX c i lov om finansiel virksomhed, jf. lovforslagets § 1, nr. 28, der vil erstatte reglerne for datacentraler i den finansielle regulering.
Til nr. 3 (§ 8 i lov om forsikringsvirksomhed)
§ 8 i lov om forsikringsvirksomhed fastsætter, hvilke regler i loven, der finder anvendelse på fælles datacentraler.
Det foreslås at ophæve § 8.
Det foreslåede skal ses i sammenhæng med den foreslåede regulering af operatører af finansielle digitale infrastrukturer i afsnit IX c i lov om finansiel virksomhed, jf. lovforslagets § 1, nr. 28, der vil erstatte reglerne for datacentraler i den finansielle regulering.
Til nr. 4 (§ 9, stk. 1, nr. 13, i lov om forsikringsvirksomhed)
§ 9, stk. 1, nr. 13, i lov om forsikringsvirksomhed, definerer fælles datacentraler.
Det foreslås at ophæve § 9, stk. 1, nr. 13.
Det foreslåede skal ses i sammenhæng med den foreslåede regulering af operatører af finansielle digitale infrastrukturer i afsnit IX c i lov om finansiel virksomhed, jf. lovforslagets § 1, nr. 28, der vil erstatte reglerne for datacentraler i den finansielle regulering.
Til nr. 5 (§ 107, stk. 2, i lov om forsikringsvirksomhed)
Lov om forsikringsvirksomhed § 107 indeholder regler om et forsikringsselskabs eller en forsikringsholdingvirksomheds bestyrelses kollektive egnethed.
I § 107, stk. 2, i lov om forsikringsvirksomhed fastsættes, at i forsikringsselskaber, der har tilladelse til at udøve livsforsikringsvirksomhed, med en balancesum på over 30 mia. kr. og i forsikringsselskaber, der har tilladelse til at udøve skadesforsikringsvirksomhed, med en balancesum på over 4 mia. kr., skal mindst et medlem af bestyrelsen have ledelseserfaring fra et forsikringsselskab eller et relevant pengeinstitut eller realkreditinstitut.
Det fremgår af bemærkningerne til § 107, stk. 2, at bestemmelsen blev indsat som et nyt krav med vedtagelse af lov nr. 718 om forsikringsvirksomhed af 13. juni 2023, jf. Folketingstidende 2022-23, tillæg A, L 88 som fremsat, side 283. Det fremgår også af bemærkningerne, at indholdet i bestemmelsen allerede fremgik af Finanstilsynets vejledning af 4. juli 2012 til evaluering af bestyrelsens viden og erfaring i forsikringsselskaber, der har tilladelse til at udøve livsforsikringsvirksomhed, og til evaluering af bestyrelsens viden og erfaring i skadesforsikringsselskaber, og at bestemmelsen derfor havde til formål at kodificere Finanstilsynets praksis, jf. Folketingstidende 2022-23, tillæg A, L 88 som fremsat, side 283.
I vejledning af 4. juli 2012 til evaluering af bestyrelsens viden og erfaring i skadesforsikringsselskaber fremgår det, at kravet bør opfyldes i skadesforsikringsselskaber med en bruttopræmieindtægt på over 4 mia. kr.
Det er således en fejl, at der i § 107, stk. 2, angives krav for skadesforsikringsselskaber med en balancesum på over 4 mia. kr. Der burde i stedet angives krav for skadesforsikringsselskaber med en bruttopræmieindtægt på over 4 mia. kr.
Det foreslås, at ændre § 107, stk. 2, således at »balancesum på over 4 mia. kr.« ændres til »bruttopræmieindtægt på over 4 mia. kr.,«.
Til nr. 6 (§ 123, stk. 2, i lov om forsikringsvirksomhed)
§ 123, stk. 1, i lov om forsikringsvirksomhed indeholder et eksponeringsforbud.
§ 123, stk. 2, i lov om forsikringsvirksomhed fastsætter, at eksponeringsforbuddet i stk. 1 ikke finder anvendelse i forbindelse med deltagelse i bestyrelserne i en række angivne virksomheder, herunder i Landbrugets FinansieringsBank A/S.
Landbrugets FinansieringsBank A/S er ophørt i 2017.
Det foreslås at ændre § 123, stk. 2, så henvisningen til »Landbrugets FinansieringsBank A/S« udgår.
Den foreslåede ændring vil medføre, at Landbrugets FinansieringsBank A/S ikke længere vil fremgå af undtagelsesbestemmelsen i § 123, stk. 2, i lov om forsikringsvirksomhed. Forslaget vil derfor rette op på en fejl i lov om forsikringsvirksomhed.
Til nr. 7 (§ 134, stk. 1, i lov om forsikringsvirksomhed)
§ 134 i lov om forsikringsvirksomhed fastsætter regler om outsourcing for forsikringsselskaber.
Når DORA-forordningen finder anvendelse, vil der ikke længere være beføjelse til at fastsætte nationale regler om styring af tredjepartsrisici på det digitale operationelle område, herunder regler om outsourcing.
Det foreslås at indsætte et § 134, stk. 1, 2. pkt., i lov om forsikringsvirksomhed, hvorefter 1. pkt. ikke finder anvendelse for outsourcing på det digitale operationelle område.
Den foreslåede bestemmelse vil medføre, at reglerne om outsourcing i § 134 ikke vil omfatte outsourcing på det digitale operationelle område.
Outsourcing på det digitale operationelle område vil i stedet fremover blive reguleret i kapitel V, afdeling I, i DORA-forordningen.
Til nr. 8 (§ 134, stk. 7, i lov om forsikringsvirksomhed)
Det fremgår af § 134, stk. 7, at stk. 2-4 og regler fastsat i medfør af stk. 6 ikke gælder for virksomhedernes autentifikation af brugere ved anvendelse af MitID-løsningen, jf. lov om MitID og NemLog-in.
Når DORA-forordningen finder anvendelse, vil der ikke længere være beføjelse til at fastsætte nationale regler om styring af tredjepartsrisici på det digitale operationelle område, herunder regler om outsourcing.
Det foreslås derfor at ophæve § 134, stk. 7, i lov om forsikringsvirksomhed.
Virksomhedernes outsourcing af autentifikation af brugere ved anvendelse af MitID-løsningen angår det digitale operationelle område og vil derfor fremadrettet skulle følge DORA-forordningens regler. Det foreslåede skal ses i denne sammenhæng.
Til nr. 9 (§ 193, stk. 13, i lov om forsikringsvirksomhed)
Det følger af § 193, stk. 13, i lov om forsikringsvirksomhed, at Finanstilsynet fastsætter bestemmelser om revisionens gennemførelse i forsikringsselskaber og i forsikringsselskabers dattervirksomheder, herunder om intern revision og om systemrevisionens gennemførelse i fælles datacentraler.
Det foreslås i § 193, stk. 13, at »om systemrevisionens gennemførelse i fælles datacentraler« udgår.
Det foreslåede skal ses i sammenhæng med den foreslåede regulering af operatører af finansielle digitale infrastrukturer i afsnit IX c i lov om finansiel virksomhed, jf. lovforslagets § 1, nr. 28, der vil erstatte reglerne for datacentraler i den finansielle regulering.
Til nr. 10 (§ 195, stk. 6, i lov om forsikringsvirksomhed)
§ 195 i lov om forsikringsvirksomhed fastsætter regler om et forsikringsselskabs overdragelse af hele eller dele af sin bestand til et andet forsikringsselskab.
§ 195, stk. 6, fastsætter, at en række bestemmelser i selskabsloven ikke finder anvendelse ved bestandoverdragelser omfattet af stk. 1, bl.a. § 274, stk. 3, og § 294, stk. 3.
§§ 274 og 294 blev ophævet ved lov nr. 243 af 7. marts 2023.
Det foreslås at ændre § 195, stk. 6, så »§ 274, stk. 3,« og »§ 294, stk. 3,« udgår.
Det foreslåede er en konsekvensændring som følge af ophævelse af §§ 274 og 294 ved lov nr. 243 af 7. marts 2023.
Til nr. 11 (§ 253, i lov om forsikringsvirksomhed)
Det fremgår af § 253 i lov om forsikringsvirksomhed, at bestemmelserne i § 242, nr. 2, og § 158, stk. 2, ikke finder anvendelse ved stiftelse af gensidige selskaber, der har tilladelse til at udøve skadesforsikringsvirksomhed, med begrænset formål, jf. § 251. Bestemmelsen viderefører § 295 i lov om finansiel virksomhed, jf. Folketingstidende 2022-23 (2. samling), Tillæg A, L 88 som fremsat, side 490.
§ 295 i lov om finansiel virksomhed blev ophævet ved § 335, nr. 163, i lov nr. 718 af 13. juni 2023.
Den dagældende § 295 i lov om finansiel virksomhed medførte, at ved stiftelse af et gensidigt selskab fandt § 126, stk. 2, om minimumsbasiskapitalen for gruppe 2-forsikringsselskaber ikke anvendelse.
Den dagældende § 126 i lov om finansiel virksomhed er videreført i § 156 i lov om forsikringsvirksomhed uden ændringer, jf. Folketingstidende 2022-23 (2. samling), Tillæg A, L 88 som fremsat, side 384.
Den gældende § 253 i lov om forsikringsvirksomhed fastsætter ikke denne undtagelse, men indeholder i stedet en henvisning til § 158, der omhandler Finanstilsynets mulighed for tillade, at et gruppe 1-forsikringsselskab anvender en matchtilpasning til den risikofrie rentekurve i stk. 1 på en af selskabet udvalgt portefølje af forsikringsforpligtelser.
Det foreslås i § 253 at ændre »§ 158, stk. 2« til: »§ 156, stk. 2«.
Det foreslåede vil sikre, at reglerne i den dagældende § 295 i lov om finansiel virksomhed, om særlige undtagelser for stiftelse af gensidige forsikringsselskaber, videreføres til § 253 lov om forsikringsvirksomhed.
Til nr. 12 (§ 259, stk. 2, nr. 10, i lov om forsikringsvirksomhed)
Det fremgår af § 259, stk. 1, i lov om forsikringsvirksomhed, at Finanstilsynet påser overholdelsen af denne lov og regler fastsat i medfør heraf. Det fremgår videre af § 259, stk. 2, at Finanstilsynet påser overholdelsen af en række EU-retsakter og regler udstedt i medfør heraf.
Det foreslås i § 259, stk. 2, nr. 10, at Finanstilsynet påser overholdelsen af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Den foreslåede ændring vil medføre, at Finanstilsynet bliver udpeget som kompetent myndighed efter DORA-forordningen til at føre tilsyn med overholdelsen af forordningen.
Forordningen finder bl.a. anvendelse på forsikrings- og genforsikringsselskaber, jf. artikel 2, stk. 1, litra n.
I forbindelse med udførelsen af sit tilsyn vil Finanstilsynet bl.a. få mulighed for at kræve alle oplysninger m.v., som Finanstilsynet skønner nødvendige for Finanstilsynets virksomhed eller til afgørelse af, om der er sket en overtrædelse af forordningen, jf. 269 i lov om forsikringsvirksomhed.
Finanstilsynet vil med bestemmelsen bl.a. også få mulighed for at give påbud og påtaler for overtrædelser af forordningen, jf. § 259.
Efter artikel 46, litra k, i DORA-forordningen skal den kompetente myndighed, der er udpeget i medfør af Europa-Parlamentets og Rådets direktiv 2009/138/EF af 25. november 2009 om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II) sikre overholdelsen af DORA-forordningen for forsikrings- og genforsikringsselskaber.
Bestemmelsen vil supplere artikel 46, litra k, i DORA-forordningen.
Til nr. 13 (§ 280, stk. 7, 1. pkt., i lov om forsikringsvirksomhed)
Lov om forsikringsvirksomhed § 280 indeholder regler om påbud om afsættelse af direktører og bestyrelsesmedlemmer i et forsikringsselskab. § 280, stk. 7, 1. pkt., i lov om forsikringsvirksomhed fastsætter regler om, at Finanstilsynet af egen drift eller efter ansøgning kan tilbagekalde et påbud meddelt efter stk. 2, 3 eller 5.
Det fremgår af bemærkningerne til § 280, stk. 7, i lov om forsikringsvirksomhed, at bestemmelsen viderefører § 351, stk. 8, i lov om finansiel virksomhed uden ændringer, jf. Folketingstidende 2022-23, tillæg A, L 88 som fremsat, side 525.
I lov om finansiel virksomhed § 351, stk. 8, henvises der til § 351, stk. 5, 3. pkt., i lov om finansiel virksomhed. Med § 1, nr. 35, i lov nr. 409 af 25. april 2023 (Gennemførelse af Ansvarsudvalgets forslag om skærpet ansvarsvurdering for ledelsesmedlemmer m.v. i finansielle virksomheder og ændring af reglerne om egnethed og hæderlighed) blev der indsat to nye punktummer i § 351, stk. 5. Ved en fejl blev der ikke foretaget en konsekvensændring af henvisningen til stk. 5, 3. pkt., i § 351, stk. 8, i lov om finansiel virksomhed.
Det fremgår af bemærkningerne til § 280, stk. 4, i lov om forsikringsvirksomhed, at bestemmelsen viderefører § 351, stk. 5, i lov om finansiel virksomhed, jf. Folketingstidende 2022-23, tillæg A, L 88 som fremsat, side 524.
Det fremgår af bemærkningerne til § 280, stk. 5, i lov om forsikringsvirksomhed, at bestemmelsen viderefører § 351, stk. 6, i lov om finansiel virksomhed, jf. Folketingstidende 2022-23, tillæg A, L 88 som fremsat, side 524.
Henvisningen til stk. 5 i § 280, stk. 7, i lov om forsikringsvirksomhed er således en fejl. Der burde i stedet henvises til stk. 4, 3. pkt.
Det foreslås i § 280, stk. 7, 1. pkt., at »stk. 2, 3 eller 5« ændres til »stk. 2 eller 3, eller stk. 4, 3. pkt.«.
Det foreslåede vil medføre, at Finanstilsynet af egen drift eller efter ansøgning kan tilbagekalde et påbud meddelt efter stk. 2 eller 3, eller stk. 4, 3. pkt.
Der henvises derudover til bemærkningerne til lovforslagets § 1, nr. 35.
Til nr. 14 (§ 289, stk. 1, nr. 14, i lov om forsikringsvirksomhed)
Det fremgår af § 285, stk. 1, i lov om forsikringsvirksomhed, at Finanstilsynets ansatte under ansvar efter straffelovens §§ 152-152 e bl.a. er forpligtet til at hemmeligholde fortrolige oplysninger, som de får kendskab til gennem tilsynsvirksomheden.
§ 289, stk. 1, fastsætter i hvilke tilfælde fortrolige oplysninger kan videregives til en række institutioner, myndigheder og organer m.v. i et andet EU/EØS-land m.v.
I medfør af § 289, stk. 1, har Finanstilsynet ikke mulighed for at videregive oplysninger til Den Fælles Afviklingsinstans (SRB) eller Den Europæiske Unions Agentur for Cybersikkerhed (ENISA).
Det foreslås at indsætte § 289, stk. 1, nr. 14, hvorefter Finanstilsynet kan videregive oplysninger til myndigheder, der varetager opgaver i henhold til DORA-forordningen, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.
Med den foreslåede bestemmelse, vil det bl.a. blive muligt for Finanstilsynet at videregive fortrolige oplysninger til SRB og ENISA.
Når Finanstilsynet modtager en indberetning om en større it-relateret hændelse fra et forsikrings- eller genforsikringsselskab, jf. artikel 19, stk. 1, 1. pkt., i DORA-forordningen, skal Finanstilsynet alt efter hvad der er relevant, rettidigt forelægge nærmere oplysninger om hændelsen til nationale og EU-retlige myndigheder og organer, jf. artikel 19, stk. 6, i DORA-forordningen.
Artikel 19, stk. 6, nævner bl.a. SRB for så vidt angår de enheder eller koncerner, der er omhandlet i henholdsvis artikel 7, stk. 2, artikel 7, stk. 4, litra b, og artikel 7, stk. 5, i Europa-Parlamentets og Rådets forordning (EU) nr. 806/2014 af 15. juli 2014 om ensartede regler og en ensartet procedure for afvikling af kreditinstitutter og visse investeringsselskaber inden for rammerne af en fælles afviklingsmekanisme og en fælles afviklingsfond, dvs. bl.a. pengeinstitutter, der er underlagt tilsyn af Den Europæiske Centralbank, hvis sådanne oplysninger vedrører hændelser, der udgør en risiko for sikringen af kritiske funktioner, jf. artikel 2, stk. 1, nr. 35, i direktiv 2014/59/EU Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 om et regelsæt for genopretning og afvikling af kreditinstitutter og investeringsselskaber (BRRD).
En underretning om større it-relaterede hændelser til SRB kan eksempelvis blive relevant, hvor en hændelse kan få systemiske konsekvenser og dermed også konsekvenser for virksomheder, der er omfatter af Den Fælles Afviklingsmekanisme.
For så vidt angår videregivelse af fortrolige oplysninger til ENISA kan dette bl.a. blive relevant i de tilfælde, hvor hændelsesindberetninger til Finanstilsynet videreformidles i forbindelse med det samarbejde, der bliver iværksat på tværs af de nationale og europæiske finansielle tilsynsmyndigheder og afviklingsmyndigheder, SRB og ENISA i henhold til artikel 49 i DORA-forordningen. Samarbejdet i henhold til artikel 49 går ud på udveksling af effektive fremgangsmåder på tværs af den finansielle sektor for at forbedre situationskendskabet og identificere fælles cybersårbarheder og risici på tværs af sektorer.
Til nr. 15 (§ 302, stk. 1, i lov om forsikringsvirksomhed)
§ 302, stk. 1, i lov om forsikringsvirksomhed nævner de virksomheder, der kan anses som part i forhold til Finanstilsynet i sager, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af bl.a. lov om forsikringsvirksomhed.
Det foreslås at ændre § 302, stk. 1, således, at der fremgår en henvisning til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Det foreslåede vil medføre, at virksomheder, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af DORA-forordningen eller regler udstedt i medfør heraf, også vil være at anse som parter i afgørelsessagen.
Til nr. 16 (§ 309, stk. 1, nr. 9, i lov om forsikringsvirksomhed)
§ 309, stk. 1, i lov om forsikringsvirksomhed indeholder en klageadgang til Erhvervsankenævnet for den, som en afgørelse truffet af Finanstilsynet retter sig til. Bestemmelsen nævner bl.a. afgørelser truffet af Finanstilsynet i medfør af lov om forsikringsvirksomhed og en række forordninger.
Det foreslås i § 309, stk. 1, nr. 9, at indsætte en henvisning til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Det foreslåede vil medføre, at afgørelser truffet af Finanstilsynet i medfør af DORA-forordningen eller regler udstedt i medfør heraf kan indbringes for Erhvervsankenævnet senest 4 uger efter, at afgørelsen er meddelt den pågældende, som afgørelsen retter sig til.
Til nr. 17 (§ 310, nr. 9, i lov om forsikringsvirksomhed)
§ 310 i lov om forsikringsvirksomhed er en generel bemyndigelsesbestemmelse, der giver erhvervsministeren bemyndigelse til at fastsætte regler, som er nødvendige for at anvende eller gennemføre de afgørelser eller retsakter, som vedtages af Kommissionen i medfør af en række direktiver og forordninger.
Det foreslås i § 310, nr. 9, at indsætte en henvisning til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Det foreslåede vil medføre, at erhvervsministeren bemyndiges til at fastsætte regulering på de områder, hvor det som følge af delegerede retsakter, udstedt i medfør af DORA-forordningen, måtte være nødvendigt.
Til nr. 18 (§ 312, stk. 1, nr. 3, i lov om forsikringsvirksomhed)
§ 312, stk. 1, i lov om forsikringsvirksomhed fastsætter straf for overtrædelse af en række bestemmelser i loven såvel som forordninger, der finder anvendelse på forsikringsselskaber omfattet af loven.
Det foreslås at indsætte § 312, stk. 1, nr. 3, i lov om forsikringsvirksomhed, hvorefter overtrædelser af artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor straffes med bøde.
Med den foreslåede bestemmelse strafbelægges en række overtrædelser af DORA-forordningen i overensstemmelse med forordningens artikel 52, hvorefter medlemsstaterne kan beslutte ikke at fastsætte bestemmelser om administrative sanktioner eller afhjælpende foranstaltninger for overtrædelser, der er omfattet af strafferetlige sanktioner i henhold til national ret.
Overtrædelser af DORA-forordningen kan ske af både fysiske og juridiske personer. I de situationer, hvor ansvarssubjektet er en virksomhed, vil det være udgangspunktet, at tiltalen rejses mod den juridiske person. Der kan i en række tilfælde være anledning til – ud over tiltalen mod den juridiske person – tillige at rejse tiltale mod en eller flere fysiske personer, hvis den eller de pågældende har handlet forsætligt eller udvist grov uagtsomhed. For virksomheder under stiftelse vil ansvarssubjektet være de personer, der stifter virksomheden, da en virksomhed under stiftelse ikke kan være ansvarssubjekt.
Bødeniveauet tiltænkes fastsat i overensstemmelse med § 372, stk. 12, i lov om finansiel virksomhed. Det fremgår heraf, at der ved udmåling af bøder lægges vægt på overtrædelsens grovhed og gerningsmandens økonomiske forhold. For overtrædelser begået af juridiske personer lægges ved vurderingen af gerningsmandens økonomiske forhold vægt på virksomhedens nettoårsomsætning på gerningstidspunktet. For overtrædelser begået af fysiske personer lægges vægt på den pågældendes indtægtsforhold på gerningstidspunktet. Det er afgørende, at der ved strafudmålingen lægges vægt på de nævnte faktorer, således at bøder vil have en pønal og præventiv effekt på alle aktører på markedet, og således at det finansielle incitament til at overtræde bestemmelserne reduceres. Vurderingen af overtrædelsens grovhed bør foregå uafhængig af gerningsmandens økonomiske forhold.
Nedenfor anføres en uddybende beskrivelse af indholdet af de enkelte artikler i DORA-forordningen, der vil blive strafbelagt med den foreslåede bestemmelse. Når der nedenfor henvises til finansielle enheder, menes der forsikrings- og genforsikringsselskaber, jf. artikel 2, stk. 1, litra n, jf. artikel 2, stk. 2, i DORA-forordningen.
Artikel 5 indeholder regler om forvaltning og organisationen af en finansiel enheds it-risikostyring. Intern forvaltning og organisation af it-risikostyring omfatter fastlæggelsen og tilsynet af de foranstaltninger for it-risikostyring. En sikker forvaltning af risikostyringen sikrer et højt niveau af digital operationel modstandsdygtighed og bidrager til den finansielle stabilitet.
I medfør af artikel 5, stk. 1, skal en finansiel enhed have indført en intern forvaltnings og kontrolramme, der sikrer en effektiv og forsigtig styring af it-risiko, i overensstemmelse med artikel 6, stk. 4, der bl.a. fastsætter krav om, at finansielle enheder skal overdrage ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion og sikre, at denne kontrolfunktion har et passende uafhængighedsniveau for at undgå interessekonflikter mellem den finansielle enhed og kontrolfunktionen.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 1, er den finansielle enhed.
Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har overdraget ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion, der har et passende uafhængighedsniveau i forhold til den finansielle enhed.
Det fremgår af artikel 5. stk. 2, at ledelsesorganet i den finansielle enhed skal fastlægge, godkende og føre tilsyn med og har ansvaret for gennemførelsen af alle ordninger vedrørende rammer for it-risikostyring, der er omhandlet i artikel 6, stk. 1. Artikel 6, stk. 1, vedrører at finansielle enheder indfører en robust, omfattende og veldokumenteret ramme for it-risikostyring. De nærmere krav til ledelsesorganet er nærmere beskrevet i artikel 5, stk. 2, litra a-i. Det fremgår bl.a. af stk. 2, litra b, at ledelsesorganet skal indføre politikker, der har til formål at sikre høje standarder for tilgængeligheden, autenticiteten, integriteten og fortroligheden af data. Videre fremgår det af stk. 2, litra f, at ledelsesorganet godkender og regelmæssigt gennemgår den finansielle enheds interne it-revisionsplaner, it-revisioner og væsentlige ændringer heraf.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 2, er den finansielle enhed. En strafbar handling kan eksempelvis være, at et ledelsesorgan ikke har indført politikker for tilgængeligheden, autenticiteten, integriteten og fortroligheden af data i henhold til stk. 2, litra b. En strafbar handling kan også være at ledelsesorganet enten ikke har godkendt eller gennemgået den finansielle enheds interne it-revisionsplan i henhold til stk. 2, litra f.
Artikel 5, stk. 3, fastsætter at finansielle enheder skal oprette en funktion med henblik på overvågning af de ordninger, der er indgået med tredjepartsudbydere af it-tjenester vedrørende brugen af it-tjenester, eller udpege et medlem af den øverste ledelse som tilsynsansvarlig for den dermed forbundne risikoeksponering og relevante dokumentation.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 3, er den finansielle enhed. Et eksempel på en strafbar handling kan være, at ledelsesorganet ikke har oprettet en funktion der har til formål at overvåge de ordninger, der er indgået med tredjepartsudbydere af it-tjenester vedrørende brugen af it-tjenester.
Artikel 6 indeholder regler om en finansiel enheds ramme for it-risikostyring. Rammen for it-risikostyring omfatter hvilke tiltag en operatør af et reguleret marked har opsat.
I medfør af artikel 6, stk. 1, skal en finansiel enhed have indført en robust, omfattende og veldokumenteret ramme for deres it-risikostyring, som en del af deres samlede risikostyringssystem der sikrer et højt niveau af digital operationel modstandsdygtighed.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 1, er den finansielle enhed.
Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har formået at dokumentere deres ramme for deres it-risikostyring i en tilstrækkelig grad.
Det fremgår af artikel 6, stk. 2, at rammen for it-risikostyring, som minimum skal omfatte strategier, politikker, procedurer, it-protokoller og værktøjer, som er nødvendige for på behørig vis og i tilstrækkelig grad, at beskytte alle informationsaktiver og it-aktiver.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 2, er ledelsesorganet. Det fremgår af artikel 5. stk. 2, at ledelsesorganet i den finansielle enhed skal fastlægge, godkende og føre tilsyn med og har ansvaret for gennemførelsen af alle ordninger vedrørende rammer for it-risikostyring, der er omhandlet i artikel 6, stk. 1.
Den strafbare handling kan eksempelvis bestå i, at ledelsesorganet ikke har indført sikkerhedsforanstaltninger der i tilstrækkeliggrad beskytter relevante fysiske komponenter, som eksempelvis virksomhedens lokaler, mod uautoriseret adgang.
Artikel 6, stk. 3, omhandler de finansielle enheders forpligtigelse til at forelægge fuldstændige og ajourførte oplysninger om deres it-risiko på de kompetente myndigheders anmodning. Ved at indføre passende strategier, politikker, procedurer, it-protokoller og -værktøjer, minimerer den finansielle enhed deres it-risiko.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 3, er den finansielle enhed. Et eksempel på den strafbare handling kan være, at den finansielle enhed ikke på Finanstilsynets anmodning, har fremlagt en opdateret strategi for deres it-risikostyring, efter nye tiltag trådte i kraft for virksomheden.
Det fremgår af artikel 6, stk. 4, at finansielle enheder skal overdrage ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion og sikre, at denne kontrolfunktion har et passende uafhængighedsniveau, så interessekonflikter kan undgås. Videre fremgår det af artikel 6, stk. 4, 2. pkt., at en finansiel enhed skal sikre en passende adskillelse og uafhængighed af it-risikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner efter modellen med tre forsvarslinjer eller en intern model for risikostyring og kontrol.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse af bestemmelsen kan eksempelvis bestå i, at en finansiel enhed har en intern styring af og tilsyn med it-risikoen og derfor ikke har sikret en passende adskillelse og uafhængighed af deres it-risikostyringsfunktioner.
Artikel 6, stk. 5, indeholder krav om dokumentationen og tilsyn med it-risikostyringens ramme. Det følger af bestemmelsen, at rammen for it-risikostyringen skal dokumenteres og gennemgås mindst én gang om året, samt når der forekommer større it-relaterede hændelser, og i henhold til tilsynsmæssige instrukser eller konklusioner, som er udledt af relevant test af digital operationel modstandsdygtighed eller revisionsprocesser. Den skal forbedres løbende på grundlag af indhøstede gennemførelses- og overvågningserfaringer. Der skal forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed på dens anmodning.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 5, er den finansielle virksomhed. Den strafbare handling kan eksempelvis bestå i, at en finansiel enhed ved en større it-relateret hændelse, efterfølgende ikke formår at dokumentere rammen for risikostyringen. En strafbar handling kunne også bestå i, at den finansielle enhed ikke har forbedret rammen for deres risikostyring på baggrund af løbende overvågningserfaringer.
Artikel 6, stk. 6, omhandler revisorernes interne revision af rammen for it-risikostyring. Det følger af bestemmelsen, at revisorerne skal besidde egenskaber som tilstrækkelig viden, faglig kompetence og ekspertise, samt være tilstrækkeligt uafhængige. Der skal være overensstemmelse mellem hyppigheden af revisioner og omfanget af it-risikoen hos den finansielle enhed.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse kan eksempelvis bestå i, at den finansielle enheds revisor har foretaget en revision af rammen for it-risikostyring, uden at have det fornødne egenskaber. Det kan ligeledes anses for strafbart såfremt revisoren ikke kan anses som værende uafhængig.
Artikel 6, stk. 7, omhandler den formelle opfølgningsproces på den interne revisionsgang som den finansielle enhed skal etablere. Opfølgningsprocessen skal indeholde regler for rettidig efterprøvning og udbedring af kritiske resultater af it-revisioner.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 7, er den finansielle enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke etablerer en opfølgningsproces, der indeholder regler for rettidig efterprøvning af kritiske konklusionerne fra en interne revision.
I medfør af artikel 6, stk. 8, skal en finansiel enheds ramme for it-risikostyring omfatte en strategi for digital operationel modstandsdygtighed, der fastsætter, hvordan rammen gennemføres. Strategien for digital operationel modstandsdygtighed skal omfatte metoderne til håndtering af it-risiko og opfylde specifikke krav, som er oplistet i artikel 6, stk. 8, litra a-h. Et af disse krav er eksempelvis at fastlægge risikotoleranceniveauet for it-risiko i overensstemmelse med den finansielle enheds risikovillighed og analysere tolerancen over for virkninger af it-forstyrrelser, jf. litra b, eller dokumentere den nuværende situation for den digitale operationelle modstandsdygtighed på grundlag af antallet af indberettede større it-relaterede hændelser og de forebyggende foranstaltningers effektivitet, jf. litra f.
Ansvarssubjektet for en overtrædelse af artikel 6, stk. 8, er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enheds strategi, undlader at analysere for virkninger af it-forstyrrelser over for risikotoleranceniveauet. Den strafbare handling kan ligeledes bestå i, at den finansielle enhed ikke formår at dokumentere deres situation for den operationelle robusthed på baggrund af mængden af større it-relaterede hændelser og de forebyggende foranstaltningers effektivitet
Artikel 7, stk. 1, oplister en række krav til den finansielle enheds it-systemer, -protokoller og -værktøjer, jf. litra a-d. Den finansielle enhed skal eksempelvis anvende systemer der er pålidelige, jf. litra b, og som er teknologisk modstandsdygtige nok til i tilstrækkeligt omfang at håndtere yderligere behov for informationsbehandling som krævet under stressede markedsforhold eller i andre vanskelige situationer, jf. litra d.
Ansvarssubjektet for overtrædelse af bestemmelsen er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke anvender systemer eller værktøjer der pålidelige eller proportionale i forhold til den finansielle enheds udbudte ydelser.
Artikel 8, stk. 1-7, i DORA-forordningen omhandler identifikation af kilder til it-risiko. Artikel 8, stk. 1, fastsætter, at en finansiel enhed, som led i deres ramme for it-risikostyring, skal foretage identifikation, klassificering og tilstrækkelig dokumentering af alle it-understøttede forretningsfunktioner, roller og ansvarsområder, informationsaktiver og it-aktiver, der understøtter disse funktioner, samt deres roller og afhængigheder med hensyn til it-risici. Bestemmelsen fastsætter endvidere, at en finansiel virksomhed efter behov og mindst én gang om året, vurderer hvorvidt denne klassificering og eventuel relevant dokumentation er tilstrækkelig.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke har identificeret, klassificeret eller dokumenteret deres it-understøttede forretningsfunktioner i en tilstrækkelig grad.
I medfør af artikel 8, stk. 2, skal en finansiel enhed løbende identificere alle kilder til it-risiko, navnlig risikoeksponeringen for og fra andre finansielle enheder, og vurderer cybertrusler og it-sårbarheder, der er relevante for deres it-understøttede forretningsfunktioner, informationsaktiver og it-aktiver. De finansielle enheder skal derfor regelmæssigt og mindst én gang om året gennemgå de risikoscenarier, der har virkninger for dem.
Ansvarssubjektet for overtrædelse af artikel 8, stk. 2, er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel virksomhed ikke mindst én gang årligt har gennemgået de risikoscenarier der er virkninger for dem.
Artikel 8, stk. 3, indeholder krav om, at en finansiel enhed skal foretage en risikovurdering efter hver større ændring af infrastrukturen i net- og informationssystemerne, i de processer eller procedurer, der påvirker deres it-understøttede forretningsfunktioner, informationsaktiver eller it-aktiver.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling kan bestå i, at en finansiel enhed har foretaget en større ændring infrastrukturen i deres net- og informationssystem og ikke foretager en ny risikovurdering, såfremt infrastrukturen påvirker deres it-understøttede forretningsfunktioner.
Det fremgår af artikel 8, stk. 4, at en finansiel enhed skal identificere alle informationsaktiver og it-aktiver, herunder på eksterne steder, netværksressourcer og hardwareudstyr, og kortlægger dem, der anses for kritiske. Den finansielle enhed kortlægger informationsaktivernes og it-aktivernes konfiguration samt forbindelserne og den indbyrdes forbundethed mellem de forskellige informationsaktiver og it-aktiver.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har kortlagt de kritiske informationsaktiver og it-aktiver, herunder på eksterne steder, netværksressourcer og hardwareudstyr.
Artikel 8, stk. 5, fremgår det, at en finansiel enhed skal identificere og dokumentere alle processer, der er afhængige af tredjepartsudbydere af it-tjenester. Det fremgår endvidere, at den finansielle enhed identificerer sammenkoblinger med tredjepartsudbydere af it-tjenester, der udbyder tjenester, som understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed har undladt at dokumentere alle de processer der er afhængige af tredjepartsudbydere af it-tjenester, som den finansielle enhed bruger.
Det fremgår af artikel 8, stk. 6, at den finansielle enhed, med henblik på artikel 6, stk. 1, 4 og 5, opretholder relevante fortegnelser og ajourfører dem regelmæssigt, og hver gang der sker større ændringer som omhandlet i artikel 6, stk. 3.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse kan bestå i, at der ved en større ændring af infrastrukturen i net- og informationssystemerne, i de processer eller procedurer, der påvirker den finansielle enheds it-understøttede forretningsfunktioner, informationsaktiver eller it-aktiver, ikke er foretaget ajourførte fortegnelser over ændringerne.
Til sidst følger det af artikel 8, stk. 7, a en finansiel enhed skal foretage en specifik it-risikovurdering regelmæssigt og mindst én gang om året.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse består eksempelvis i, at en finansiel virksomhed ikke regelmæssigt eller mindst én gang årligt har foretaget en specifik it-risikovurdering.
Artikel 9 indeholder nærmere bestemmelser om beskyttelse af it-systemer og forebyggelse af it-risici.
Det følger af artikel 9, stk. 1, at en finansiel enhed skal sikre løbende overvågning af og kontrol med it-systemer og -værktøjernes sikkerhed og af, hvordan de fungerer, og minimerer virkningerne af it-risikoen for it-systemer ved at indføre passende it-sikkerhedsværktøjer, -politikker og -procedurer, med henblik på, at sikre en passende beskyttelse og tilrettelægge indsatsforanstaltninger der skal sikre de finansielle enheder.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, ikke løbende at overvåge og kontrollere den finansielle enheds it-systemer og -værktøjers sikkerhed igennem passende it-sikkerhedsværktøjer, -politikker og -procedurer.
I medfør af artikel 9, stk. 2, skal en finansiel enhed udforme, indkøbe og gennemføre it-sikkerhedspolitikker, -procedurer, -protokoller og -værktøjer, der har til formål at sikre it-systemernes modstandsdygtighed, stabilitet og tilgængelighed, især for dem, der understøtter kritiske eller vigtige funktioner, og at opretholde høje standarder for, tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, hvad enten dataene er inaktive, i brug eller under overførsel.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 9, stk. 2, bestå i, at der ikke er gennemført en it-sikkerhedspolitik for at sikre den finansielle enheds it-systems modstandsdygtighed, stabilitet og tilgængelighed.
Artikel 9, stk. 3, omhandler de it-løsninger og it-processer som den finansielle enhed skal anvende for at nå de i artikel 9, stk. 2, omhandlede mål. It-løsningerne og it-processerne skal være i overensstemmelse med proportionalitetsprincippet i artikel 4 i DORA-forordningen og sikre sikkerheden for metoderne til overførsel af data, minimere risikoen for korruption eller tab af data, uautoriseret adgang og tekniske fejl, der kan hæmme erhvervsaktiviteten og forhindrer manglen på tilgængelighed, forringelsen af autenticiteten og integriteten, bruddene på fortroligheden og tabet af data. Samt sikre, at data beskyttes mod risici, der opstår i forbindelse med dataforvaltning, herunder dårlig administration, procesrelaterede risici og menneskelige fejl.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 9, stk. 3, bestå i at have utilstrækkelige it-løsninger og it-processer, der ikke lever op til proportionalitetsprincippet i artikel 4, i DORA-forordningen og de i artikel 9, stk. 3, fastsatte krav.
Det følger af artikel 9, stk. 4, at en finansiel enhed som led i deres it-risikostyring skal udvikle og dokumentere en informationspolitik, der fastlægger regler for beskyttelse af tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, informationsaktiver og it-aktiver, herunder deres kunders, hvis det er relevant, jf. litra a. Desuden skal en finansiel enhed følge en risikobaseret tilgang ved at indføre en forsvarlig forvaltningsstruktur for netværk og infrastrukturer ved anvendelse af passende teknikker, metoder og protokoller, der kan omfatte gennemførelse af automatiske mekanismer til isolering af de berørte informationsaktiver i tilfælde af cyberangreb, jf. litra b. Artikel 9, stk. 4, litra c, fastsætter også at en finansiel enhed skal gennemføre politikker, der begrænser den fysiske eller logiske adgang til informationsaktiver og it-aktiver udelukkende til, hvad der er påkrævet for legitime og godkendte funktioner og aktiviteter, og med henblik herpå indføre en række politikker, procedurer og kontroller, der vedrører adgangsrettigheder og sikrer forsvarlig forvaltning heraf.
Desuden skal den finansielle enhed gennemføre politikker og protokoller for stærke autentificeringsmekanismer på grundlag af relevante standarder og særlige kontrolsystemer og beskyttelsesforanstaltninger for krypteringsnøgler, hvorigennem data krypteres baseret på resultaterne fra godkendt dataklassificering og godkendte it-risikovurderingsprocesser, jf. litra d. Samt gennemføre dokumenterede politikker, procedurer og kontroller for styring af it-ændringer, herunder ændringer af software, hardware, firmwarekomponenter, systemer eller sikkerhedsparametre, som er baseret på en risikovurderingstilgang og er en integreret del af den finansielle enheds samlede ændringsstyringsproces, for at sikre, at alle ændringer af it-systemer registreres, testes, vurderes, godkendes, gennemføres og efterprøves på en kontrolleret måde, jf. litra e. Slutteligt anfører artikel 9, stk. 4, litra f, at en finansiel enhed skal sørge for, at der indføres passende og omfattende dokumenterede politikker for programrettelser og opdateringer.
Med henblik på første afsnit, litra b, udformer de finansielle enheder infrastrukturen for netværkstilslutning på en sådan måde, at den kan afbrydes eller segmenteres øjeblikkeligt for at minimere og forhindre afsmitning, navnlig i forbindelse med indbyrdes forbundne finansielle processer. Med henblik på første afsnit, litra e, skal it-ændringsstyringsprocessen godkendes på passende ledelsesniveauer og omfatte specifikke protokoller.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ikke forelægger en tilstrækkelig it-sikkerhedspolitik hos den finansielle enhed til at sikre beskyttelsen af deres kunders data. Den strafbare handling kan desuden også bestå i, at dokumenterede politikker, procedurer og kontroller for styring af it-ændringer, herunder ændringer af software, hardware, firmwarekomponenter, systemer eller sikkerhedsparametre, som er baseret på en risikovurderingstilgang og er en integreret del af den finansielle enheds samlede ændringsstyringsproces, for at sikre, at alle ændringer af it-systemer registreres, testes, vurderes, godkendes, gennemføres og efterprøves på en kontrolleret måde, ikke er blevet godkendt på passende ledelsesniveau.
Artikel 10, stk. 1-4, i DORA-forordningen omhandler detektion af anormale aktiviteter.
Det følger af artikel 10, stk. 1, at en finansiel enhed skal indføre mekanismer til omgående detektion af anormale aktiviteter i overensstemmelse med artikel 17, herunder problemer med it-netværkets ydeevne og it-relaterede hændelser, og til identifikation af potentielt væsentlige single points of failure. Artikel 17 omhandler proces for styring af it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. En overtrædelse af artikel 10, stk. 1, kan bestå i at der i den finansielle enhed ikke bliver opdaget anormale aktiviteter, idet enheden ikke har indført en mekaniske til detektion af disse.
Artikel 10, stk. 2, fastsætter krav til den finansielle enheds mekanismer. I medfør af artikel 10, stk. 2, skal de omtalte mekanismer i stk. 1, anvende flere kontrollag, fastlægge varslingstærskler og -kriterier, som skal udløse og igangsætte indsatsforanstaltninger mod it-relaterede hændelser, herunder automatiske varslingsmekanismer for det relevante personale, som har ansvar for indsatsen mod it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i at have utilstrækkelige mekanismer der ikke lever op til de af artikel 10, stk. 2, fastsatte krav.
Videre fremgår det af artikel 10, stk. 3, at finansielle enheder skal afsætte tilstrækkelige ressourcer og kapaciteter til overvågning af brugeraktiviteter, forekomsten af it-anomalier og it-relaterede hændelser, navnlig cyberangreb.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, ikke at have afsat ressourcer til overvågning af brugeraktiviteter.
Til slut fremgår det af artikel 10, stk. 4, at udbydere af dataindberetningstjenester indfører desuden systemer, som effektivt kan kontrollere, om handelsindberetningerne er fuldstændige, identificere udeladelser og åbenbare fejl og anmode om fornyet fremsendelse af disse indberetninger.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ikke er indført et system som kan identificere åbenbare fejl.
Artikel 11 i DORA-forordningen omhandler indsats og genopretning af it. Artikel 11, stk. 1, fastsætter, at en finansiel enhed skal indføre en omfattende politik for it-driftsstabilitet. Politikken skal være baseret på de krav til identifikation, der er fastsat i artikel 8 i DORA-forordningen. I henhold til artikel 8, stk. 1, skal en finansiel enhed f.eks. foretage en identifikation, klassificering og tilstrækkelig dokumentering af alle it-understøttende forretningsfunktioner, roller, ansvarsområder, informationsaktiviteter og it-aktiver, der understøtter disse funktioner, samt deres roller og afhængigheder med hensyn til it-risici.
Ansvarssubjektet for overtrædelse af artikel 11, stk. 1, er den finansielle enhed. Den strafbare handling kan enten bestå i ikke at have indført nogen politik for it-driftsstabilitet, eller at have indført en politik, der ikke omhandler alle it-understøttende forretningsfunktioner.
I medfør af artikel 11, stk. 2, skal en finansiel enhed gennemføre politikken for it-driftsstabilitet ved hjælp af særlige veldokumenterede ordninger, planer, procedurer og mekanismer, der skal tage sigte på en række forhold, der er oplistet i stk. 2, litra a - e. En af disse forhold er eksempelvis at sikre, at en finansiel enheds kritiske eller vigtige funktioner er stabile, jf. litra a, eller omgående at aktivere særlige planer, der gør det muligt at anvende inddæmningsforanstaltninger, -processer og -teknologier, der er egnede til de enkelte typer af it-relaterede hændelser, og som forhindrer yderligere skade, jf. litra c.
Ansvarssubjektet for en overtrædelse af artikel 11, stk. 2, er den finansielle enhed. Den strafbare handling består i, ikke at have gennemført en politik for it-driftsstabilitet ved hjælp af særlige ordninger, planer, procedurer og mekanismer, der tager sigte på de forhold, der er oplistet i stk. 2, litra a – e.
Artikel 11, stk. 3, indeholder krav om, at en finansiel enhed skal gennemføre planer for it-indsats og -genopretning, som skal underkastes uafhængige interne revisionsgennemgange.
Ansvarssubjektet for en overtrædelse af stk. 3, er den finansielle enhed. Den strafbare handling består i at en finansiel enhed ikke lader planer for it-indsats og -genopretning blive underkastet uafhængige interne revisionsgennemgange.
Det fremgår af artikel 11, stk. 4, at en finansiel enhed skal indføre, vedligeholde og foretage regelmæssig testning af passende planer for it-driftsstabilitet, navnlig med hensyn til kritiske eller vigtige funktioner, som outsources eller udliciteres gennem ordninger, der er indgået med tredjepartsudbydere af it-tjenester. Ved regelmæssig testning forstås mindst én gang om året, jf. artikel 11, stk. 6, litra a.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i ikke at vedligeholde planer for it-driftsstabilitet, f.eks. hvis en udskiftning af virksomhedens it-systemer nødvendiggør en opdatering af planerne for it-driftsstyring. En strafbar handling kan også bestå i ikke regelmæssigt at foretage en test af planer for it-driftsstabilitet. Herunder vil det være en særligt skærpende omstændighed, hvis der ikke er foretaget regelmæssig testning af planer for it-driftsstabilitet med hensyn til kritiske eller vigtige funktioner, som eksempelvis er outsourcet til en tredjepartsudbyder af it-tjenester.
Af artikel 11, stk. 5, 1. pkt., fremgår det, at en finansiel enhed som led i den samlede politik for driftsstabilitet skal foretage en forretningskonsekvensanalyse af deres eksponering for alvorlige driftsforstyrrelser. Det fremgår videre af stk. 5, 2. pkt., hvordan en finansiel enhed i konsekvensanalysen skal vurdere potentielle virkninger af alvorlige driftsforstyrrelser. I stk. 5, 3. pkt., fremgår det, at en konsekvensanalyse bl.a. skal tage hensyn til den kritiske betydning af identificerede og kortlagte forretningsfunktioner og andre forhold, der er nævnt i 3. pkt. Til sidst fremgår det af stk. 5, 4. pkt., at en finansiel enhed skal sikre, at it- aktiver og -tjenester udformes og anvendes i fuld overensstemmelse konsekvensanalysen, navnlig med hensyn til tilstrækkeligt at sikre alle kritiske komponenters redundans, dvs. at en kritisk komponent kan erstattes med en tilsvarende komponent, hvis det skulle blive nødvendigt.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå af ikke at foretage en forretningskonsekvensanalyse af enhedens eksponering for alvorlige driftsforstyrrelser. Den kan f.eks. også bestå i ikke at foretage en vurdering af alvorlige driftsforstyrrelser i overensstemmelse med stk. 5, 2. pkt., eller bestå i at konsekvensanalysen ikke tager hensyn til den kritiske betydning af identificerede og kortlagte forretningsfunktioner eller en af de andre forhold, der er nævnt i det pågældende punkt. Til sidst kan en strafbar handling bestå i f.eks. ikke at sikre, at en kritisk komponent kan erstattes af en tilsvarende komponent, hvis konsekvensanalysen tilsiger dette.
Det fremgår af artikel 11, stk. 6, 1. afsnit, litra a, at en finansiel enhed som led i it-risikostyring skal teste enhedens planer for it-driftsstabilitet og planer for it-indsats og genopretning i forbindelse med it-systemer, der understøtter alle funktioner. En test heraf skal finde sted mindst én gang årligt og i tilfælde af væsentlige ændringer af it-systemer, der understøtter kritiske eller vigtige funktioner. I medfør af stk. 6, 1. afsnit, litra b, skal en finansiel enhed også teste krisekommunikationsplaner, der er udarbejdet i medfør af artikel 14.
Stk. 6, 2. afsnit indeholder nærmere krav til, hvilke forskellige scenarier tests for it-driftsstabilitet og planer for it-indsats og genopretning, jf. stk. 6, litra a, skal medtage. Det drejer sig bl.a. om cyberangrebsscenarier og omstillingsscenarier mellem den primære it-infrastruktur og redundante kapacitet. Ved redundante kapacitet forstås en lignende kapacitet, der skal kunne erstattet den primære it-infrastruktur, hvis denne eksempelvis bliver beskadiget under et cyberangreb. Bestemmelsen gælder ikke for finansielle enheder, der er mikrovirksomheder. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Videre fremgår det af stk. 6, 3. afsnit, at en finansiel enhed regelmæssigt skal gennemgå sin politik for it-driftsstabilitet og planer for it-indsats og -genopretning. Her skal den finansielle enhed bl.a. tage hensyn til resultaterne af de test, som den finansielle enhed har gennemført i henhold til 1. afsnit.
Ansvarssubjektet for en overtrædelse af artikel 11, stk. 6, er den finansielle enhed. Den strafbare overtrædelse kan eksempelvis bestå i ikke at foretage test for planer for it-driftsstabilitet og planer for it-indsats og -genopretning eller ikke at foretage test af krisekommunikationsplaner, jf. stk. 6, 1. afsnit.
En strafbar overtrædelse kan f.eks. også bestå af ikke at ikke at medtage cyberangrebscenarier og omstillingsscenarier mellem den primære it-infrastruktur og den redundante kapacitet, eller i ikke regelmæssigt at gennemgå enhedens politik for it-driftsstabilitet og planer for it-indsats og -genopretning under hensyntagen til resultaterne af de test, som enheden har gennemført, jf. henholdsvis 2. og 3. afsnit.
I medfør af artikel 11, stk. 7, skal en finansiel enhed have en krisestyringsfunktion, som, hvis deres planer for it-driftsstabilitet og planer for it-indsats og -genopretning aktiveres, bl.a. skal indeholde klare procedurer for forvaltning af intern og ekstern krisekommunikation i overensstemmelse med artikel 14, der indeholder nærmere regler herfor.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i ikke at have en krisestyringsfunktion, der indeholder klare procedurer for intern og ekstern krisekommunikation i overensstemmelse med artikel 14.
Artikel 11, stk. 8, indeholder krav om, at en finansiel enhed skal føre let tilgængelige registre over aktiviteter før og under driftsforstyrrelser, når deres planer for it-driftsstabilitet og planer for it-indsats og -genopretning aktiveres.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at føre registre over aktiviteter før og under driftsforstyrrelser, hvor planerne for it-driftsstabilitet og for it-indsats og -genopretning er blevet aktiveret.
Til sidst følger det af artikel 11, stk. 10, at en finansiel enhed skal indberette et overslag over de samlede årlige omkostninger og tab, der opstår som følge af større it-relaterede hændelser, til de kompetente myndigheder på deres anmodning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at indberette et overslag over de samlede årlige omkostninger og tab, der opstår som følge af større it-relaterede hændelser, til de kompetente myndigheder, dvs. Finanstilsynet, hvis Finanstilsynet anmoder den finansielle enhed herom.
Artikel 12 indeholder nærmere bestemmelser om politikker og procedurer for sikkerhedskopiering og procedure og metoder for gendannelse og genopretning af it-systemer og data.
Det følger af artikel 12, stk. 1, at en finansiel enhed som led i it-risikostyring skal udvikle og dokumentere politikker og procedure for sikkerhedskopiering, der præciserer omfanget af de data, der er genstand for sikkerhedskopiering, og minimumshyppigheden af sikkerhedskopiering baseret på oplysningernes kritiske betydning eller fortrolighedsniveauet for dataene. Desuden skal en finansiel enhed udvikle og dokumentere procedurer og metoder for gendannelse og genopretning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at udvikle og dokumentere politikker og procedure for enten sikkerhedskopiering eller gendannelse og genopretning.
I medfør af artikel 12, stk. 2, 1. pkt., skal en finansiel enhed etablere systemer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning. Det følger videre af artikel 12, stk. 2, 2. pkt., at aktiveringen af systemerne for sikkerhedskopiering ikke må sætte sikkerheden i net- og informationssystemer eller tilgængeligheden, autenticiteten, integriteten eller fortroligheden af data over styr. Til sidst er det i medfør af stk. 2, 3. pkt., et krav, at der foretages regelmæssig test af procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i ikke at etablere systemer for sikkerhedskopiering eller for procedurer og metoder for gendannelse og genopretning. Den kan også bestå i at en finansiel enhed ikke sikrer sig, at systemerne for sikkerhedskopiering ikke sætter sikkerheden i net- og informationssystemer m.v. over styr. I henhold til stk. 2, 3. pkt., kan den bestå i at der ikke foretages regelmæssige test af procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning.
Det følger af artikel 12, stk. 3, 1 og 2. pkt., at når en finansiel enhed gendanner sikkerhedskopierede data ved anvendelse af egne systemer, skal de anvende de it-systemer, der er fysisk og logisk adskilt fra it-kildesystemet. It-systemerne skal være sikkert beskyttet mod uautoriseret adgang eller it-korruption og give mulighed for rettidig gendannelse af tjenester ved hjælp af data- og systemsikkerhedskopier efter behov.
Ansvarssubjektet i stk. 3, 1. og 2. pkt., er den finansielle enhed. Den strafbare handling kan i medfør af stk. 3, 1. pkt., bestå i at anvende egne it-systemer til gendannelse af sikkerhedskopierede data, der ikke er fysisk og logisk adskilt fra it-kildesystemet. Det vil eksempelvis sige it-systemer, der befinder sig på en anden adresse end kildesystemet, dvs. det it-system, som den finansielle enhed anvender i sit daglige virke. Det kan også være, hvor en finansiel enhed anvender eget it-system, der er fysisk adskilt fra kildesystemet, men hvor systemet ikke logisk er adskilt fra kildesystemet. Den strafbare handling i medfør af stk. 3, 2. pkt., kan f.eks. bestå i ikke at beskytte it-systemerne mod uautoriseret adgang eller it-korruption.
Videre følger det af stk. 3, 3. pkt., at for centrale modparter (CCP’er) skal genopretningsplaner gøre det muligt at genoptage alle transaktioner fra det tidspunkt, hvor de blev afbrudt, således at den berørte centrale modpart (CCP) kan opretholde driftssikkerheden og gennemføre afviklingen på den planlagte dato. Til sidst følger det af stk. 3, 4. pkt., at udbydere af dataindberetningstjenester desuden skal sørge for at råde over passende ressourcer og sikkerhedskopierings- og gendannelsesfaciliteter for til enhver tid at kunne udbyde og opretholde deres tjenester.
Ansvarssubjektet i stk. 3, 3. pkt., er den centrale modpart (CCP). Den strafbare handling består i, at en genopretningsplan ikke gør det muligt at genoptage alle transaktioner fra det tidspunkt, hvor transaktionerne blev afbrudt.
Ansvarssubjektet i stk. 3, 4. pkt., er udbyderen af dataindberetningstjenester. Den strafbare handling består i ikke at have ressourcer og sikkerhedskopierings- og gendannelsesfaciliteter for til enhver tid at kunne udbyde og opretholde sine tjenester.
Det følger af artikel 12, stk. 4, 1. pkt., at en finansiel enhed opretholder redundante it-kapaciteter, der er udstyret med passende ressourcer og funktioner med henblik på at sikre forretningsmæssige behov. Videre fremgår det af stk. 4, 2. pkt., at mikrovirksomheder vurderer behovet for at opretholde redundante it-kapaciteter på grundlag af deres risikoprofil. Ved redundante it-kapaciteter forstås lignende it-kapaciteter, der skal kunne erstatte de primære it-kapaciteter en finansiel enhed, hvis disse it-kapaciteter eksempelvis bliver ramt af et cyberangreb.
Ansvarssubjektet i stk. 4, 1. pkt., er den finansielle enhed. Den strafbare handling består i ikke at have redundante it-kapaciteter, der sikrer forretningsmæssige behov.
Ansvarssubjektet i stk. 4, 2. pkt., er en finansiel enhed, som er en mikrovirksomhed. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Den strafbare handling består i ikke at have foretaget en vurdering af behovet for at opretholde redundante it-kapaciteter på baggrund af enhedens risikoprofil.
Det fremgår af artikel 12, stk. 6, 1. pkt., at når en finansiel enhed skal fastlægge målene for genopretningstid og genopretningstidspunkt for hver funktion, skal de tage hensyn til, om det er en kritisk eller vigtig funktion og de potentielle samlede virkninger for markedseffektiviteten. Videre fremgår det af stk. 6, 2. pkt., at tidsmålene skal sikre, at de aftalte serviceniveauer kan overholdes i ekstreme scenarier.
Ansvarssubjektet i stk. 6, er den finansielle enhed. Den strafbare handling består i, at en finansiel enhed i sin fastlæggelse af målene for genopretningstid og genopretningstidspunkt, ikke har taget hensyn til, om den pågældende funktion er kritisk, eller hvilken virkning disse tidsmål vil have på markedseffektiviteten. Den kan også bestå i, at den finansielle enhed ikke har sikret sig, at tidsmålene kan overholde de aftalte serviceniveauer i ekstreme scenarier.
Det fremgår af artikel 12, stk. 7, 1. pkt., at når en finansiel enhed foretager genopretning efter en it-relateret hændelse, skal den udføre de nødvendige kontroller, herunder eventuelt flere kontroller og afstemninger, for at sikre, at dataintegriteten bevares på højeste niveau. Videre fremgår det af stk. 7, 2. pkt., at kontroller også skal foretages i forbindelse med rekonstruktionen af data fra eksterne interessenter for at sikre, at alle systemernes data er sammenhængende.
Ansvarssubjektet i stk. 7 er den finansielle enhed. Den strafbare handling består i ikke at udføre de nødvendige kontroller eller afstemninger efter en genopretning for at sikre, at dataintegriteten bevares på højt niveau. I den forbindelse kan den strafbare handling også bestå i ikke at foretage kontroller i forbindelse med rekonstruktionen af data fra eksterne interessenter for at sikre, at alle systemernes data er sammenhængende.
Artikel 13 indeholder regler om læring og udvikling omkring sårbarheder og cybertrusler, it-relaterede hændelser, herunder navnlig cyberangreb. Stk. 1 indeholder krav om, at en finansiel enhed skal sørge for at råde over kapaciteter og personale, som kan indsamle oplysninger herom, og som kan analysere de virkninger, de forventes at have på deres digitale operationelle modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at have afsat ressourcer til f.eks. et it-system og personale, hvormed enheden kan indsamle oplysninger om sårbarheder og cybertrusler eller it-relaterede hændelser som cyberangreb. Den strafbare handling kan eksempelvis også bestå i ikke at have personale med tilstrækkelige kompetencer til at kunne analysere de virkninger, som bl.a. et cyberangreb kan have på deres digitale operationelle infrastruktur.
Det fremgår af artikel 13, stk. 2, 1. afsnit, at en finansiel enhed skal foretage gennemgange af it-relaterede hændelser, efter at større it-relaterede hændelser har forstyrret deres kerneaktiviteter. Den finansielle enhed skal i den forbindelse analysere årsagerne til forstyrrelserne og identificere nødvendige forbedringer af it-operationerne eller indenfor rammerne af den i artikel 11 omhandlede politik for it-driftsstabilitet.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i ikke at foretage en gennemgang og analyse af en større it-relateret hændelse, der har forstyrret den finansielle enheds kerneaktivitet.
Videre fremgår det af stk. 2, 2. afsnit, at en finansiel enhed på anmodning fra den kompetente myndighed skal underrette den kompetente myndighed om ændringer, der er blevet gennemført efter en gennemgang af it-relaterede hændelser. Bestemmelsen gælder ikke for finansielle enheder, der er mikrovirksomheder. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke efter anmodning fra Finanstilsynet at underrette Finanstilsynet om ændringer, der er blevet gennemført efter en gennemgang af it-relaterede hændelser.
Til sidst fremgår det af stk. 2, 3. afsnit, at det i forbindelse med gennemgangen af it-relaterede hændelser skal fastslås, om de fastlagte procedurer er blevet fulgt, og om de iværksatte foranstaltninger har været effektive. Ved fastlagte procedurer forstås de procedurer, som den finansielle enhed har fastlagt i sin politik for it-driftsstabilitet. Det fremgår af artikel 11, stk. 2, at en finansiel enhed gennemfører politikken for it-driftsstabilitet ved hjælp af særlige, passende og veldokumenterede ordninger, planer, procedurer og mekanismer. Det er derfor procedurer og iværksatte foranstaltninger i henhold til de her ordninger m.v., som den finansielle enhed skal fastslå om har været effektive.
Det fremgår nærmere af artikel 13, stk. 2, 3. afsnit, at hvad en finansiel enhed bl.a. skal lægge nærmere vægt på i sin vurdering af, om de iværksatte foranstaltninger har været effektive. Den finansielle enhed skal bl.a. lægge vægt på den hastighed, med hvilken der er blevet sat ind overfor sikkerhedsvarsler, og med hvilken hastighed virkningerne af it-relaterede hændelser og deres omfang er blevet fastslået, jf. stk. 2, 3. afsnit, litra a. Det kan også være i forhold til effektiviteten af den finansielle enheds fejlafhjælpning i forbindelse med hændelser, jf. stk. 2, 3. afsnit, litra c.
Bestemmelsen har til formål at sikre, at en finansiel enhed efter en it-hændelse forholder sig kritisk til sine ordninger, planer, procedure m.v. i forbindelse med sin politik for it-driftsstabilitet for evt. at kunne forbedre disse til håndtering af en fremtidig it-relateret hændelse.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at fastslå om ordninger, planer og procedure i forbindelse med politikken for it-driftsstabilitet er blevet fulgt. Den kan også bestå i ikke at fastslå, om de iværksatte foranstaltninger har været effektive, herunder eksempelvis i forhold til den hastighed, med hvilken der er blevet sat ind overfor sikkerhedsvarsler, og med hvilken hastighed virkningerne af it-relaterede hændelser og deres omfang er blevet fastslået, jf. stk. 2, 3. afsnit, litra a.
Det følger af artikel 13, stk. 3, 1. pkt., at erfaringer fra test af digital operationel modstandsdygtighed, som foretages i overensstemmelse med artikel 26 og 27, og fra faktiske it-relaterede hændelser, navnlig cyberangreb, samt udfordringer i forbindelse med aktiveringen af planer for it-driftsstabilitet og planer for it-indsats og -genopretning, sammen med relevante oplysninger, der udveksles med modparter, og som vurderes i forbindelse med tilsynsmæssige gennemgange, løbende skal indarbejdes i it-risikovurderingsprocessen.
Artikel 26 vedrører avancerede test af IKT-værktøjer, -systemer og -processer baseret på TLPT. TLPT står for Threat Led Penetration Testing, som er en testmetode, hvor en virksomhed engagerer etiske hackere, som skal angribe flere systemer og det tilhørende cyberforsvar i virksomheden. Testene foregår i livesystemer, hvilket vil sige de systemer, som anvendes direkte i den finansielle sektor, og er baseret på konkrete trusler, hvilket betyder, at testene simulerer taktikker, teknikker og procedurer fra aktive, avancerede hackergrupper. Artikel 27 fastsætter de nærmere krav til testere.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består f.eks. i ikke løbende at indarbejde erfaringer fra test af digital operationel modstandsdygtighed i overensstemmelse med artikel 26 og 27, og fra it-relaterede hændelser i it-risikostyringsprocessen.
Det fremgår af artikel 13, stk. 4, 1. pkt., at en finansiel enhed skal overvåge effektiviteten af gennemførelse af deres strategi for digital operationel modstandsdygtighed, jf. artikel 6, stk. 8, der fastsætter nærmere krav til strategien. Videre fremgår det af stk. 4, 2. pkt., at en finansiel enhed skal kortlægge it-risikoens udvikling over tid, analysere hyppigheden, typerne, omfanget af og udviklingen i it-relaterede hændelser, navnlig cyberangreb og mønstre forbundet hermed. Den finansielle enhed skal gøre dette med henblik på at forstå graden af it-risikoeksponering, navnlig i forbindelse med kritiske eller vigtige funktioner, og for at forbedre den finansielle enheds cybermodenhed og cyberberedskab.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at overvåge effektiviteten af gennemførelsen af enhedens strategi for digital operationel modstandsdygtighed eller i ikke at kortlægge it-risikoens udvikling over tid, analysere hyppigheden, typerne, omfanget af og udviklingen i it-relaterede hændelser, navnlig cyberangreb og mønstre forbundet hermed.
Det fremgår af artikel 13, stk. 5, at højtstående it-personale mindst én gang om året skal aflægge rapport til ledelsesorganet om de i stk. 3 omhandlede resultater og fremsætte anbefalinger. Indholdet af artikel 13, stk. 3, er nærmere gennemgået ovenfor under bemærkningerne til strafbelæggelsen af en overtrædelse af stk. 3.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i som finansiel enhed ikke at sørge for, at it-personale mindst én gang om året aflægger rapport for ledelsesorganet om resultater af f.eks. faktiske it-relaterede hændelser, jf. artikel 13, stk. 3, og fremsætter anbefalinger.
Det fremgår af artikel 13, stk. 6, 1. pkt., at en finansiel enhed skal udvikle programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed som obligatoriske moduler i deres personaleuddannelsesordninger. Videre fremgår det af stk. 6, 2. pkt., at disse kurser skal omfatte alle medarbejdere og den øverste ledelse og skal have en grad af kompleksitet, der svarer til deres opgavers ansvarsområde. Sidst fremgår det af stk. 6, 3. pkt., at en finansiel enhed, hvis det er relevant, inddrager tredjepartsudbydere af it-tjenester i relevante uddannelsesordninger, jf. artikel 30, stk. 2, litra i, om kontraktlige ordninger om betingelserne for deltagelse af tredjepartsudbydere i programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består f.eks. i ikke at udvikle programmer til alle medarbejdere og den øverste ledelse til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed som obligatoriske moduler i deres personaleuddannelse. Den strafbare handling kan også bestå i ikke at inddrage tredjepartsudbydere af it-tjenester i relevante uddannelsesordninger, hvis dette viser sig nødvendigt. Det kan eksempelvis være i det tilfælde, hvor kompleksiteten af et uddannelsesprogram når et niveau, hvor den finansielle enhed ikke selv har kompetencerne til at udvikle programmet.
Det fremgår af artikel 13, stk. 7, 1. pkt., at en finansiel enhed løbende skal overvåge den relevante teknologiske udvikling også med henblik på at forstå den mulige virkning af indførelsen af sådanne nye teknologier for kravene til it-sikkerhed og digital operationel modstandsdygtighed. Videre fremgår det af stk. 7, 2. pkt., at en finansiel enhed skal holde sig ajour med de seneste it-risikostyringsprocesser for effektivt at bekæmpe aktuelle eller nye former for cyberangreb. Bestemmelsen gælder ikke for mikrovirksomheder. Se definitionen af en mikrovirksomhed under bemærkningerne til strafbelæggelse af overtrædelse af artikel 11, stk. 6, 2. afsnit.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke løbende at overvåge den relevante teknologiske udvikling med henblik på evt. at indføre de nye teknologier i enheden i forhold til at leve op til kravene til it-sikkerhed og digital operationel modstandsdygtighed. Den kan også bestå i ikke at holde sig ajour med de seneste it-risikostyringsprocesser for effektivt at bekæmpe aktuelle eller nye former for cyberangreb.
Artikel 14, stk. 1 i DORA-forordningen omhandler, at der som led i den ramme for it-risiko-styring, der er omhandlet i artikel 6, stk. 1, at de finansielle enheder sørger for at have krisekommunikationsplaner, der giver mulighed for ansvarlig offentliggørelse af, som minimum større it-relaterede hændelser eller sårbarheder for kunder og modparter samt for offentligheden, alt efter hvad der er relevant.
Krisekommunikations-planer må forstås sådant, at når der opstår en større ulykke eller katastrofe, så er der et akut behov for viden, og det er derfor nødvendigt at have planer for at kommunikere dette ud til de relevante parter.
It-risiko-styring må forstås sådant, at det er en håndtering af en sådan trussel, som defineres i artikel 3, stk. 1 nr. 5.
Ansvarssubjektet for overtrædelse af artikel 14, stk. 1, er den finansielle enhed. Den strafbare handling kan f.eks. bestå i, at den finansielle enhed ikke har udarbejdet planer for kommunikation af en offentliggørelse af en større it-relateret hændelse.
I medfør af artikel 14, stk. 2, skal en finansiel enhed som led i rammen for it-risikostyring, der er omhandlet i artikel 6, stk. 1. gennemføre kommunikationsplaner for internt personale og eksterne interessenter. Artikel 6, stk. 1, vedrører, at finansielle enheder indfører en robust, omfattende og veldokumenteret ramme for it-risikostyring. Kommunikationspolitikkerne for personalet skal tage hensyn til behovet for at skelne mellem personale der er involveret i it-risiko-styring, navnlig det personale der er ansvarlig for indsats og genopretning, og personale, der skal underrettes.
Ansvarssubjektet for en overtrædelse af artikel 14, stk. 2, er den finansielle enhed. Den strafbare handling består i, ikke at have gennemført kommunikationsplaner for internt personale og eksterne interessenter.
Artikel 14, stk. 3, indeholder krav om, at mindst én person i den finansielle enhed skal have til opgave at gennemføre kommunikationsstrategien for it-relaterede hændelse, og til dette formål varetage funktionen vedrørende offentligheden og medierne.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed ikke har mindst én person, der har til opgave at gennemføre kommunikationsstrategien for it-relaterede hændelse, og som til dette formål har varetage funktionen vedrørende offentligheden og medierne.
Det fremgår af artikel 16, stk. 1, at forordningens artikel 5-15 ikke finder anvendelse på små og ikke indbyrdes forbundne investeringsselskaber, betalingsinstitutter, der er undtaget i henhold til direktiv (EU) 2015/2366, institutter, der er fritaget i henhold til direktiv 2013/36/EU, og for hvilke medlemsstaterne har besluttet ikke at anvende den mulighed, der er omhandlet i nærværende forordnings artikel 2, stk. 4, e-pengeinstitutter, der er undtaget i henhold til direktiv 2009/110/EF, og små arbejdsmarkedsrelaterede pensionskasser.
Uden at det berører første afsnit skal de i første afsnit omhandlede enheder overholde det anførte i artikel 16, stk. 1, litra a-e. Det fremgår af litra a, at enhederne skal indføre og vedligeholde en robust og dokumenteret ramme for it-risikostyring, der beskriver de mekanismer og foranstaltninger, der skal muliggøre en hurtig, effektiv og omfattende styring af it-risiko, herunder vedrørende beskyttelse af relevante fysiske komponenter og infrastrukturer.
Det fremgår af litra b, at der løbende skal overvåges alle it-systemers sikkerhed og drift.
Det fremgår af litra c, at virkningen af it-risiko gennem anvendelse af robuste, modstandsdygtige og ajourførte it-systemer, -protokoller og -værktøjer, som er egnede til at understøtte udførelsen af deres aktiviteter og leveringen af tjenester og i tilstrækkelig grad beskytte tilgængeligheden, autenticiteten, integriteten og fortroligheden af data i net- og informationssystemerne skal minimeres.
Det fremgår af litra d, at det hurtigst muligt skal konstateres og detekteres it-risikokilder og -anomalier i net- og informationssystemerne og hurtigt at håndtere it-relaterede hændelser.
Det fremgår af litra e, at der skal konstateres stor afhængighed af tredjepartsudbydere af it-tjenester.
Det fremgår af litra f, at der skal sikres kontinuiteten af kritiske eller vigtige funktioner gennem planer for driftsstabiliteten og indsats- og genopretningsforanstaltninger, der som minimum omfatter sikkerhedskopierings- og gendannelsesforanstaltninger.
Det fremgår af litra g, at der regelmæssigt skal testes de planer og foranstaltninger, der er omhandlet i litra f, samt effektiviteten af de gennemførte kontroller i overensstemmelse med litra a og c.
Det fremgår af litra h, at der skal gennemføres, alt efter hvad der er relevant, de relevante operationelle konklusioner, der følger af de test, der er omhandlet i litra g, og af de efterfølgende analyser af hændelserne, i it-risikovurderingsprocessen og efter behov og it-risikoprofil udvikle programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed for personale og ledelse.
Ansvarssubjektet i artikel 16, stk. 1 litra a-h, er den finansielle enhed. Den strafbare handling består i, at de i første afsnit omhandlede enheder ikke overholder det anførte i artikel 16, stk. 1, litra a-e.
I medfør af artikel 16, stk. 2, skal en finansiel enhed i den i stk. 1, andet afsnit, litra a, omhandlede ramme for it-risikostyring dokumenteres og gennemgås regelmæssigt og ved forekomst af større it-relaterede hændelser i overensstemmelse med de tilsynsmæssige instrukser. Den skal forbedres løbende på grundlag af indhøstede erfaringer fra gennemførelse og overvågning. Der skal forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed på dennes anmodning.
Ansvarssubjektet for overtrædelsen af artikel 16, stk. 2, er den finansielle enhed. Den strafbare handling består i, at ikke at have gennemført de handlinger der er oplistet i artikel 16, stk. 2. Dette er eksempelvis at sikre at der forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed ved anmodning.
Det følger af artikel 17, stk. 1, at de finansielle enheder definerer, fastlægger og gennemfører en proces for styring af it-relaterede hændelser for at detektere, styre og indberette it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 17, stk. 1 bestå i, at de finansielle enheder ikke definerer, fastlægger og gennemfører en proces for styring af it-relaterede hændelser, som kan detektere, styre og indberette it-relaterede hændelser.
Det følger af artikel 17, stk. 2, at de finansielle enheder er alle, der registrerer it-relaterede hændelser og væsentlige cybertrusler. De finansielle enheder fastlægger passende procedurer og processer, der skal sikre en konsekvent og integreret overvågning, håndtering og opfølgning af it-relaterede hændelser. Det skal ske således, at de grundlæggende årsager identificeres, dokumenteres og håndteres for at forhindre, at sådanne hændelser forekommer.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 17, stk. 2, bestå i, at den finansielle enhed fastlægger passende procedurer og processer, der skal sikre en konsekvent og integreret overvågning, håndtering og opfølgning af it-relaterede hændelser. Dette skal ske således, at de grundlæggende årsager identificeres, dokumenteres og håndteres for at forhindre, at sådanne hændelser kan opstå.
Det følger af artikel 17, stk. 3, at den finansielle enhed som led i den proces for styring af it-relaterede hændelser, der er omhandlet i stk. 1, overholder det anførte i artikel 17, stk. 3, litra a-f.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling i medfør af artikel 17, stk. 3, er en tilsidesættelse af overholdelse af de oplistede krav i artikel 17, stk. 3, litra a-f. Dette kan eksempelvis være, at der ikke tildeles roller og ansvarsområder, som skal aktiveres for forskellige it-relaterede hændelsestyper og -scenarier.
Artikel 18 indeholder en klassificering af it-relaterede hændelser og cybertrusler.
Det følger af artikel 18, stk. 1, at de finansielle enheder klassificerer it-relaterede hændelser og fastslår deres virkninger på grundlag af følgende kriterier oplistet i artikel 18, stk. 1, litra a-f.
Det fremgår af litra a, at antallet og/eller relevansen af kunder eller finansielle modparter, som er berørt, og, hvis det er relevant, beløbet på eller antallet af de transaktioner, som er berørt af den it-relaterede hændelse, og hvorvidt den it-relaterede hændelse har haft indvirkning på omdømmet.
Det fremgår af litra b, at varigheden af den it-relaterede hændelse, herunder tjenestens nedetid.
Det fremgår af litra c, at den geografiske udbredelse med hensyn til de områder, der er berørt af den it-relaterede hændelse, navnlig hvis den berører mere end to medlemsstater.
Det fremgår af litra d, at de datatab, som den it-relaterede hændelse medfører med hensyn til tilgængelighed, autenticitet, integritet eller fortrolighed af data.
Det fremgår af litra e, at den kritiske betydning af de berørte tjenester, herunder den finansielle enheds transaktioner og operationer.
Det fremgår af litra f, at de økonomiske virkninger, navnlig direkte og indirekte omkostninger og tab, af den it-relaterede hændelse i både absolutte og relative tal.
Ansvarssubjektet i stk. 1 er den finansielle enhed. Den strafbare handling består i, at de finansielle enheder ikke klassificerer it-relaterede hændelser og dermed ikke fastslår deres virkninger på grundlag af følgende kriterier oplistet i artikel 18, stk. 1, litra a-f.
Det fremgår af stk. 2, at de finansielle enheder klassificerer cybertrusler som væsentlige på grundlag af de udsatte tjenesters kritiske betydning, herunder den finansielle enheds transaktioner og operationer, antallet og/eller relevansen af de kunder eller finansielle modparter, som rammes, og risikoområdernes geografiske udbredelse.
Ansvarssubjektet i artikel 18, stk. 2, er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed undlader at klassificere cybertrusler som væsentlige, eksempelvis på grundlag af de udsattes tjenesters kritiske betydning.
Artikel 19, stk. 1, omhandler indberetning af større it-relaterede hændelser. Bestemmelsen forpligter den finansielle enhed til at indberette større it-relaterede hændelser til den relevante kompetente myndighed.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke underretter Finanstilsynet om en større it-relateret hændelse.
I medfør af artikel 19, stk. 3, skal den finansielle enhed underrette Finanstilsynet, uden unødigt ophold, i tilfælde af, at en større it-relateret hændelse indtræffer og har indflydelse på kunders finansielle interesser. Den finansielle enhed underretter også om de foranstaltninger, der er truffet for at afbøde de negative virkninger af en sådan hændelse. I tilfælde af en væsentlig cybertrussel underretter de finansielle enheder, hvis det er relevant, de af deres kunder, som potentielt er berørt heraf, om eventuelle passende beskyttelsesforanstaltninger, som sidstnævnte kan overveje at træffe
Ansvarssubjektet var overtrædelse af artikel 19, stk. 3, er den finansielle enhed. En strafbar handling kan bestå i, at den finansielle enhed ikke underretter Finanstilsynet rettidigt i tilfælde en større it-relateret hændelse indtræffer, som har indflydelse på kunders finansielle interesser. En strafbar handling kan også bestå i at underrette Finanstilsynet om den it-relaterede hændelse, uden at underrette om de foranstaltninger der er truffet for at afbøde de negative virkninger.
Det fremgår af artikel 19, stk. 4, at den finansielle enhed, i tilfælde af en it-relateret hændelse, skal indgive henholdsvis en indledende underretning, jf. litra a, en foreløbig rapport så snart den oprindelige hændelses status har ændret sig betydeligt, eller håndteringen af den større it-relaterede hændelse har ændret sig på grundlag af nye tilgængelige oplysninger, efterfulgt, alt efter hvad der er relevant, af ajourførte underretninger, hver gang der foreligger en relevant ajourføring af status, samt efter en specifik anmodning fra den kompetente myndighed, jf. litra b. Samt en endelig rapport, når den grundlæggende årsagsanalyse er afsluttet, uanset om der allerede er gennemført afbødende foranstaltninger, og når tallene for de faktiske virkninger foreligger og kan erstatte skøn, jf. litra c. Fristerne for disse skal fastsættes i overensstemmelse med artikel 20, stk. 1, litra a, nr. ii, og skal indgives til Finanstilsynet, som er den kompetente myndighed.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i, ikke at indgive en indledende underretning, en foreløbig rapport eller en endelig rapport til Finanstilsynet inden for de af artikel 20, stk. 1, litra a, nr. ii, fastsatte frister.
Artikel 24 i DORA-forordningen omhandler generelle krav til gennemførslen af test af digital operationel modstandsdygtighed.
Det følger af artikel 24, stk. 1, at en finansiel enhed skal udarbejde, opretholde og gennemgå et forsvarligt og omfattende program for test af digital operationel modstandsdygtighed, som en integreret del af den i artikel 6 omhandlede ramme for it-risikostyring. Dette skal ske med henblik på at vurdere beredskabet i forhold til håndtering af it-relaterede hændelser, identificere svagheder, mangler og huller i den digitale operationelle modstandsdygtighed og straks træffe korrigerende foranstaltninger.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har udarbejdet et program for test af digital operationel modstandsdygtighed. Den strafbare handling kan også bestå i, at den finansielle enheds program for test af digital operationel modstandsdygtighed ikke er forsvarligt eller omfattende nok.
I medfør af artikel 24, stk. 2, skal programmet for test af digital operationel modstandsdygtighed, omfatte en række vurderinger, test, metodologier, fremgangsmåder og værktøjer, der skal anvendes i overensstemmelse med artikel 25 og 26 i DORA-forordningen.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i at den finansielle enhed gennemfører tests der ikke i tilstrækkelig grad omfatter kravene om vurderinger, test, metodologier, fremgangsmåder og værktøj, der skal anvendes i overensstemmelse med artikel 25 og artikel 26 i DORA-forordningen.
Artikel 24, stk. 3, pålægger den finansielle enhed at følge en risikobaseret tilgang for programmet for test af digital operationel modstandsdygtighed. Den finansielle enhed skal ved gennemførslen af programmet, tage hensyn til kriterierne i DORA-forordningens artikel 4, stk. 2, og til et it-risikomiljø i udvikling, eventuelle specifikke risici, som den berørte finansielle enhed udsættes for eller kan blive udsat for, informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre faktorer, som den finansielle enhed finder relevante.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse af artikel 24, stk. 3, kunne eksempelvis være, at den finansielle enhed gennemfører et program for test af digital operationel modstandsdygtighed uden at tage hensyn til den finansielles enheds it-risikomiljø.
I medfør af artikel 24, stk. 4, skal den finansielle enhed sikre, at tests gennemføres af uafhængige parter, hvad enten de er interne eller eksterne. Hvis en intern tester gennemfører test, skal de finansielle enheder afsætte tilstrækkelige ressourcer og sikre, at interessekonflikter undgås under testens udformnings- og gennemførelsesfaser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed der gennemfører tests af deres digitale operationelle modstandsdygtighed ikke sikrer, at testen gennemføres af uafhængige interne eller eksterne parter for at begrænse interessekonflikter.
Artikel 24, stk. 5, pålægger den finansielle enhed at fastlægge procedurer og politikker med henblik på at prioritere, klassificere og afhjælpe alle problemer, der identificeres i forbindelse med gennemførelsen af test, og fastlægger interne valideringsmetoder for at sikre, at alle konstaterede svagheder, mangler eller huller afhjælpes fuldt ud.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at fastlægge procedurer og politikker der prioriterer, klassificerer og afhjælper de problemer der identificeres med gennemførslen af testen.
I medfør af artikel 24, stk. 6, skal de finansielle enheder sikre, at der gennemføres passende test af alle it-systemer og -applikationer, der understøtter kritiske eller vigtige funktioner, mindst én gang om året.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kunne bestå i at den finansielle enhed ikke mindst én gang årligt gennemfører tests af alle it-systemer og it-applikationer, der kan anses for passende.
Artikel 25 omhandler test af it-værktøjer og -systemer.
Det følger af artikel 25, stk. 1, at programmet for test af den digitale operationelle modstandsdygtighed skal være i overensstemmelse med de af artikel 4, stk. 2, kriterier for proportionalitet. I medfør af artikel 4, stk. 2, skal den finansielle enheds styring, klassificering, indberetning af it-relaterede hændelser, test af digital operationel modstandsdygtighed og styring af it-tredjepartsrisici stå i et rimeligt forhold til deres størrelse og samlede risikoprofil og til karakteren, omfanget og kompleksiteten af deres tjenester, aktiviteter og operationer, som specifikt fastsat i de relevante regler i de nævnte kapitler.
I overensstemmelse med de oplistede kriterier i artikel 4, stk. 2, skal programmet for test af digital operationel modstandsdygtighed, nævnt i artikel 24, indeholde bestemmelser om gennemførelse af relevante test såsom sårbarhedsvurderinger og -scanninger, open source-analyser, vurderinger af netsikkerheden, mangelanalyser, fysiske sikkerhedsgennemgange, spørgeskemaer og scanningssoftwareløsninger, gennemgange af kildekoder, når det er praktisk muligt, scenariebaserede test, kompatibilitetstest, præstationstest, end-to-end-test og penetrationstest.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at den finansielle enhed har vedtaget et program for test der ikke er tilstrækkeligt, mangelfuldt eller lever op til de fastsatte krav for programmer for test af digital operationel modstandsdygtighed i artikel 25, stk. 1.
I medfør af artikel 25, stk. 3, skal mikrovirksomheder gennemføre de i artikel 25, stk. 1 omhandlede test ved at kombinere en risikobaseret tilgang med strategisk planlægning af it-test under behørig hensyntagen til behovet for at opretholde en afbalanceret tilgang mellem omfanget af ressourcer og den tid, der skal afsættes til it-test som omhandlet i denne artikel, på den ene side og den hastende karakter, risikotype og informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre relevante faktorer, herunder den finansielle enheds evne til at tage kalkulerede risici, på den anden side.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i, at en mikrovirksomhed ikke har taget tilstrækkeligt hensyn til at opretholde en balanceret tilgang til henholdsvis omfanget af ressourcer og andre faktorer, som eksempelvis den finansielle enheds evne til at tage kalkulerede risici.
Artikel 28 omhandler generelle principper for forsvarlig styring af it-tredjepartsrisici.
I medfør af artikel 28, stk. 1, skal den finansielle enhed styre deres it-tredjepartsrisiko som en integreret del af it-risiko, inden for deres ramme for it-risikostyring.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at den finansielle enheds it-tredjepartsrisiko ikke bliver styret som en integreret del af deres samlede it-risiko, inden for den finansielle enheds it-risikostyring.
I medfør af artikel 28, stk. 1, litra b, skal styringen af it-tredjepartsrisikoen hos den finansielle enhed foregå under hensyntagen til proportionalitetsprincippet og skal derfor tage hensyn til henholdsvis artikel 28, stk. 1, litra b, nr. i, som omhandler karakteren, omfanget, kompleksiteten og betydningen af den it-relaterede afhængighed og artikel 28, stk. 1, litra b, nr. ii, som omhandler de risici, der opstår som følge af kontraktlige ordninger for brugen af it-tjenester, der er indgået med tredjepartsudbydere af it-tjenester, under hensyntagen til den kritiske betydning eller vigtighed af den pågældende tjeneste, proces eller funktion og til de potentielle virkninger for driftsstabiliteten og tilgængeligheden af finansielle tjenesteydelser og aktiviteter på individuelt plan og koncernniveau.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at kravene i artikel 28, stk. 1, litra b, nr. i-ii, ikke tages under betragtning ved udformningen af den finansielle enheds styring af it-tredjepartsrisiko.
Artikel 28, stk. 2, omhandler strategien for den finansielle enheds it-tredjepartsrisiko. Den finansielle enhed skal vedtage og gennemgå deres strategi regelmæssigt som led i deres ramme for it-risikostyring. Strategien skal omfatte en politik for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og som leveres af tredjepartsudbydere af it-tjenester. Strategien skal gælde på individuelt grundlag og, hvor det er relevant, på delkonsolideret og konsolideret grundlag. Ledelsesorganet i den finansielle enhed skal på grundlag af en vurdering af den finansielle enheds samlede risikoprofil og omfanget og kompleksiteten af forretningstjenesterne regelmæssigt gennemgå de risici, der er konstateret i forbindelse med kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i at ledelsesorganet i den finansielle enhed ikke ved vurderingen af den samlede risikoprofil har gennemgået de de risici, der er konstateret i forbindelse med kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner.
Artikel 28, stk. 3, fastsætter krav for den finansielle enheds dokumentation af kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere. Den finansielle enhed skal som et led i deres ramme for it-risikostyring sørge for at opretholde og ajourføre et register over kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere på både enhedsniveau, delkonsolideret niveau og konsolideret niveau. De kontraktsretlige ordninger skal være skelnet mellem de it-tjenester der understøtter kritiske eller vigtige funktioner, og dem, der ikke gør.
Desuden skal den finansielle enhed mindst én gang årligt indberette nye ordninger for brugen af it-tjenester, kategorierne af tredjepartsudbydere af IKT-tjenester, typen af kontraktlige ordninger og de it-tjenester og funktioner, der leveres, til Finanstilsynet.
Til sidst skal den finansielle enhed efter anmodning, stille det fulde register over oplysninger eller, som anmodet, nærmere angivne afsnit heraf til rådighed for Finanstilsynet sammen med eventuelle oplysninger, som anses for nødvendige for at muliggøre et effektivt tilsyn med den finansielle enhed. Den finansielle enhed underretter rettidigt Finanstilsynet om enhver planlagt kontraktlig ordning for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og når en funktion er blevet kritisk eller vigtig.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at den finansielle enhed efter anmodning fra Finanstilsynet, ikke kan stille det fulde register over kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere til rådighed.
Artikel 28, stk. 4, litra a-e, fastsætter krav til den finansielle enhed før der indgås en kontraktlig ordning for brugen af it-tjenester. Den finansielle enhed skal vurdere, om den kontraktlige ordning omfatter brugen af it-tjenester, der understøtter en kritisk eller vigtig funktion, jf. litra a, vurdere, om de tilsynsmæssige betingelser for udlicitering er opfyldt, jf. litra b, identificere og vurdere alle relevante risici i forbindelse med den kontraktlige ordning, herunder muligheden for, at sådanne kontraktlige ordninger kan bidrage til at øge it-koncentrationsrisikoen, jf. artikel 29, jf. litra c, foretage fornøden due diligence over for potentielle tredjepartsudbydere af it-tjenester og under alle udvælgelses- og vurderingsprocesserne sikre, at den pågældende tredjepartsudbyder af it-tjenester er egnet jf. litra d, og identificere og vurdere interessekonflikter, som de kontraktlige ordninger kan give anledning til, jf. litra e.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i at den finansielle enhed indgår en kontraktlig ordning for brugen af it-tjenester, uden at have identificeret og vurderet interessekonflikter, som den kontraktlige ordning kan give anledning til.
I medfør af artikel 28, stk. 7, litra a-d, skal den finansielle enhed sikre sig, at de indgåede kontraktlige ordninger kan opsiges på baggrund af væsentlig overtrædelse begået af tredjepartsudbyderen af it-tjenester af gældende love, administrative bestemmelser eller kontraktvilkår, jf. litra a. Forhold, der er identificeret under overvågningen af it-tredjepartsrisiko, og som anses for at kunne ændre udførelsen af de funktioner, der er leveret gennem den kontraktlige ordning, herunder væsentlige ændringer, der påvirker ordningen eller situationen for tredjepartsudbyderen af it-tjenester skal også kunne lægges til grund for opsigelse af den kontraktlige ordning, jf. litra b.
Ligeledes skal dokumenterede svagheder hos tredjepartsudbyderen af it-tjenester, som vedrører dennes samlede it-risikostyring, og navnlig i den måde, hvorpå denne garanterer tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, hvad enten det drejer sig om personoplysninger eller på anden måde følsomme data eller andre oplysninger end personoplysninger, kunne lægges til grund for opsigelse af den kontraktlige ordning, jf. litra c. Til sidst skal den kontraktlige ordning kunne opsiges, såfremt Finanstilsynet ikke længere kan føre effektivt tilsyn med den finansielle enhed som følge af betingelserne eller omstændighederne vedrørende de respektive kontraktlige ordninger.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at den kontraktlige ordning ikke kan opsiges på baggrund af de af artikel 28, stk. 7, oplistede situationer.
Artikel 28, stk. 8, omhandler exitstrategier. Den finansielle enhed skal indføre exitstrategier for it-tjenester, der understøtter kritiske eller vigtige funktioner.
Exitstrategierne skal tage højde for de risici, der kan opstå hos tredjepartsudbydere af it-tjenester, navnlig mulige svigt fra deres side, en forringelse af kvaliteten af de leverede it-tjenester, eventuelle driftsforstyrrelser som følge af uhensigtsmæssig eller manglende levering af it-tjenester eller eventuelle væsentlige risici i forbindelse med en passende og løbende anvendelse af de pågældende it-tjenester eller opsigelse af kontraktlige ordninger med tredjepartsudbydere af it-tjenester i en af de i artikel 28, stk. 7, anførte situationer.
Den finansielle enhed skal sikre at de kan opsige den kontraktlige ordning uden at deres forretningsaktivitet afbrydes, jf. litra a, uden at efterlevelsen af de forskriftsmæssige krav begrænses, jf. litra b og uden at kontinuiteten og kvaliteten af de leverede tjenester til kunder lider skade, jf. litra c.
Ligeledes skal exitstrategierne være i overensstemmelse med kriterierne i artikel 4, stk. 2, om proportionalitet, samt være omfattende og veldokumenterede.
Der skal desuden være udarbejdet overgangsplaner der kan fratage tredjepartsudbyderen af it-tjenester de udliciterede it-tjenester og de relevante data og sikkert og fuldstændigt kan overføre disse til alternative udbydere eller på ny indarbejde dem internt. Den finansielle enhed skal derudover identificere alternative løsninger.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke har sikret sig at indføre en exitstrategi i tilfælde af, at en kontrakt ordning med en tredjepartsudbyder af it-tjenester opsiges.
Artikel 29, stk. 1, omhandler foreløbig vurdering af it-koncentrationsrisiko på enhedsniveau. Bestemmelsen fastsætter krav, som den finansielle enhed skal tage hensyn til ved identifikation og vurdering af risici i forbindelse med en kontraktlige ordning, herunder muligheden for, at en kontraktlig ordning kan bidrage til at øge it-koncentrationsrisikoen. Ved indgåelse af en kontraktlig ordning i forbindelse med it-tjenester, der understøtter kritiske eller vigtige funktioner tager den finansielle enhed hensyn til udlicitering til en tredjepartsudbyder af it-tjenester, som ikke er let at erstatte, jf. litra a og indgåelse af flere kontraktlige ordninger om levering af it-tjenester, der understøtter kritiske eller vigtige funktioner, med den samme tredjepartsudbyder af it-tjenester eller med tredjepartsudbydere af it-tjenester, som har tætte forbindelser til denne, jf. litra b.
Den finansielle enhed skal i medfør af bestemmelsen afveje fordele og omkostninger ved alternative løsninger såsom brug af forskellige tredjepartsudbydere af it-tjenester under hensyntagen til, hvorvidt og hvordan de påtænkte løsninger svarer til de forretningsmæssige behov og mål, der er fastsat i deres strategi for digital modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed ikke har taget hensyn til udliciteringen til en tredjepartsudbyder af it-tjenester som ikke er lette at erstatte, ved indgåelsen af en kontraktlig ordning om it-tjenester der understøtter kritiske eller vigtige funktioner.
I medfør af artikel 29, stk. 2, skal den finansielle enhed i tilfælde af, at den kontraktlige ordning for brug af it-tjenester med en tredjepartsudbyder, kan komme videre i underentreprise med hjemsted i tredjeland, overveje de fordele og risici, der kan opstå i forbindelse med underentreprisen, særligt hvis it-tjenesten understøtter kritiske eller vigtige funktioner.
Den finansielle enhed skal tage hensyn til de bestemmelser i insolvensretten, som finder anvendelse, hvis tredjepartsudbyderen af it-tjenester går konkurs, samt eventuelle begrænsninger, der kan opstå i forbindelse med en hastende genopretning af den finansielle enheds data, såfremt den kontraktlige ordning vedrører it-tjenester, der understøtter kritiske eller vigtige funktioner.
Den finansielle enhed tager derudover hensyn til overholdelsen af Unionens databeskyttelsesregler og en effektiv håndhævelse af retten i det pågældende tredjeland, såfremt der er indgået kontraktlige ordninger for brug af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, med en tredjepartsudbyder af IKT-tjenester med hjemsted i et tredjeland.
Til sidst vurderer den finansielle enhed hvorvidt og hvordan potentielt lange eller komplekse underentreprisekæder kan påvirke deres evne til fuldt ud at overvåge de udliciterede funktioner og den kompetente myndigheds evne til i denne henseende at føre effektivt tilsyn med den finansielle enhed, såfremt den kontraktlige ordning for brugen af IKT-tjenester, understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ved indgåelse af kontraktlige ordninger med en tredjepartsudbyder af it-tjenester, der understøtter kritiske funktioner, ikke er foretaget en afvejning af fordele og risici såfremt tredjepartsudbyderen giver it-tjenesterne videre til en underentreprise med hjemsted i udlandet.
Artikel 30 omhandler centrale kontrakts bestemmelser.
Artikel 30, stk. 1, fastsætter at rettigheder og forpligtelser mellem den finansielle enhed og tredjepartsudbyderen skal fordeles klart og fastlægges skriftligt. Serviceniveauaftaler skal være omfattet af den samlede kontrakt og dokumenteres i ét skriftligt dokument. Parterne skal have adgang til dokumentet i papir, eller i et andet varigt og permanent format, der kan downloades.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke tager højde for, at rettighederne og forpligtelserne mellem parterne skal nedfattes skriftligt og have varig karakter, som enten kan tilgås på papir eller i et format, der kan downloades.
Artikel 30, stk. 2, fastsætter en række minimumskrav til den kontraktlige ordning for brugen af it-tjenester.
Den kontraktlige ordning skal sikre en klar og fuldstændig beskrivelse af alle funktioner og it-tjenester, som tredjepartsudbyderen af it-tjenester skal levere, med angivelse af, om underentreprise af en it-tjeneste, der understøtter en kritisk eller vigtig funktion eller væsentlige dele heraf er tilladt, og, hvis det er tilfældet, de betingelser, der gælder for en sådan underentreprise, jf. litra a.
De steder, navnlig de regioner eller lande, hvor de udliciterede funktioner og it-tjenester eller funktionerne og it-tjenesterne i underentreprise skal leveres, og hvor data skal behandles, herunder lagringsstedet, og kravet om, at tredjepartsudbyderen af it-tjenester på forhånd skal underrette den finansielle enhed, hvis den har planer om at ændre disse steder, jf. litra b.
Den kontraktlige ordning skal ligeledes indeholde bestemmelser om tilgængelighed, autenticitet, integritet og fortrolighed med hensyn til databeskyttelse, herunder personoplysninger, jf. litra c.
Bestemmelser om sikring af adgang, genopretning og tilbagesendelse i et lettilgængeligt format af personoplysninger og andre data end personoplysninger, der behandles af den finansielle enhed, i tilfælde af insolvens, afvikling eller afbrydelse af de forretningsaktiviteter, som tredjepartsudbyderen af it-tjenester varetager, eller i tilfælde af opsigelse af de kontraktlige ordninger skal medtages i den kontraktlige ordning, jf. litra d.
Den kontraktlige ordning skal derudover indeholde beskrivelser af serviceniveauet, herunder ajourføringer og revisioner heraf, jf. litra e.
Forpligtelsen for tredjepartsudbyderen af it-tjenester til at yde bistand til den finansielle enhed uden yderligere omkostninger eller til en omkostning, der fastsættes på forhånd, hvis der opstår en IKT-hændelse, der vedrører den it-tjeneste, som leveres til den finansielle enhed skal også indgå i den kontraktlige ordning, jf. litra f.
Derudover skal den finansielle enhed medtage forpligtelsen for tredjepartsudbyderen af it-tjenester til at samarbejde fuldt ud med den finansielle enheds kompetente myndigheder og afviklingsmyndigheder, herunder personer, som de har udpeget, jf. litra g og opsigelsesrettigheder og dertil knyttet minimumsfrister for opsigelse af de kontraktlige ordninger i overensstemmelse med de kompetente myndigheders og afviklingsmyndighedernes forventninger, jf. litra h.
Slutteligt skal betingelserne for deltagelse af tredjepartsudbydere af it-tjenester i de finansielle enheders programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed, jf. artikel 13, stk. 6, medtages i den kontraktlige ordning.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en kontrakt mellem en finansiel enhed og en tredjepartsudbyder af it-tjenester er mangelfuld og ikke på en klar og tilstrækkelig måde, omfatter de af artikel 30, stk. 2, omfattede minimumskrav til kontraktlige ordninger for brugen af it-tjenester som eksempelvis beskrivelserne af serviceniveauet, herunder ajourføringer og revisioner, jf. litra e og opsigelsesrettigheder, jf. litra h.
Artikel 30, stk. 3, fastsætter en række minimumskrav til den kontraktlige ordning for brugen af it-tjenester der understøtter kritiske eller vigtige funktioner.
Den kontraktlige ordning skal sikre en fuldstændig beskrivelse af serviceniveauer, herunder ajourføringer og revisioner heraf, med præcise kvantitative og kvalitative præstationsmål inden for de aftalte serviceniveauer, således at den finansielle enhed kan foretage en effektiv overvågning af it-tjenester, og således at der uden unødigt ophold kan træffes passende afhjælpende foranstaltninger, når de aftalte serviceniveauer ikke overholdes, jf. litra a.
Den kontraktlige ordning skal derudover omfatte opsigelsesfrister og indberetningsforpligtelser for tredjepartsudbyderen af it-tjenester over for den finansielle enhed, herunder underretning om enhver udvikling, som kan have væsentlig indvirkning på, hvorvidt tredjepartsudbyderen af it-tjenester har evnen til effektivt at levere it-tjenester, der understøtter kritiske eller vigtige funktioner i overensstemmelse med de aftalte serviceniveauer, jf. litra b.
Artikel 30, stk. 3, litra c, fastsætter krav til tredjepartsudbyderen af it-tjenester om at gennemføre og teste beredskabsplaner og indføre it-sikkerhedsforanstaltninger, -værktøjer og -politikker, som giver et passende niveau af sikkerhed for, at den finansielle enhed kan foretage levering af tjenester i overensstemmelse med dens reguleringsramme.
Derudover skal den kontraktlige ordning omfatte en forpligtelse for tredjepartsudbyderen af it-tjenester til at deltage i og fuldt ud samarbejde om den finansielle enheds TLPT som omhandlet i artikel 26 og 27, jf. litra d.
Den kontraktlige ordning skal desuden omfatte retten til løbende at overvåge det præstationsniveau, som tredjepartsudbyderen af it-tjenester leverer for den finansielle enhed, en udpeget tredjeparts og Finanstilsynet. Dette indebærer en uindskrænket ret til adgang, inspektion og revision og ret til at tage kopier af relevant dokumentation på stedet, hvis denne har afgørende betydning for tredjepartsudbyderen af it-tjenesters operationer, hvis faktiske udøvelse ikke hindres eller begrænses af andre kontraktlige ordninger eller gennemførelsespolitikker, jf. litra e, nr. i.
Dernæst fastsætter artikel 30, stk. 3, litra e, nr. ii-iv, retten til at nå til enighed om alternative sikkerhedsniveauer, hvis andre kunders rettigheder påvirkes, forpligtelsen for tredjepartsudbyderen af it-tjenester til fuldt ud at samarbejde under de inspektioner og revisioner på stedet, som de kompetente myndigheder, den ledende tilsynsførende, den finansielle enhed eller en udpeget tredjepart udfører og forpligtelsen til at give nærmere oplysninger om omfanget af, de procedurer, som skal følges, og hyppigheden af sådanne inspektioner og revisioner.
I medfør af artikel 30, stk. 3, litra f, skal den finansielle enhed ved en kontraktlig ordning, sørge for at medtage exitstrategier som indeholder en obligatorisk overgangsperiode. I løbet af denne overgangsperiode skal tredjepartsudbyderen af it-tjenester fortsat levere de respektive funktioner eller it-tjenester med henblik på at mindske risikoen for forstyrrelser i den finansielle enhed eller sikre en effektiv afvikling eller omstrukturering heraf. Exitstrategien skal også give den finansielle enhed mulighed for at migrere til en anden tredjepartsudbyder af it-tjenester eller skifte til interne løsninger, der stemmer overens med den leverede tjenestes kompleksitet.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed, ikke formår at vedtage en exitstrategi i deres kontraktlige ordning som sikrer den finansielle enhed fortsat, får leveret de respektive funktioner af it-tjenester fra tredjepartsudbyderen.
Til nr. 19 (§ 312, stk. 2, i lov om forsikringsvirksomhed)
Bestemmelser om straf i lov om forsikringsvirksomhed findes i § 312. Af stk. 1 fremgår det, hvilke bestemmelser der kan medføre straf i form af bøde for overtrædelse.
Lov om forsikringsvirksomhed § 125, 1. pkt., fastsætter, at den eksterne revision i revisionsprotokollatet vedrørende årsrapporten skal afgive erklæring om, hvorvidt forsikringsselskabet har eksponering mod erhvervsvirksomheder omfattet af §§ 121 og 122 i lov om forsikringsvirksomhed. Bestemmelsen fastsætter i 2. pkt., at føres der ikke en revisionsprotokol, skal erklæringen nævnt i 1. pkt. fremgå af anden tilsvarende dokumentation.
Det fremgår af bemærkningerne til § 125 i lov om forsikringsvirksomhed, at bestemmelsen er en videreførelse af § 80, stk. 8, 2. og 3. pkt., i lov om finansiel virksomhed. Det fremgår også af bemærkningerne til § 125 i lov om forsikringsvirksomhed, at bestemmelsen kan straffes efter § 312, stk. 1, i lov om forsikringsvirksomhed, jf. Folketingstidende 2022-23, tillæg A, L 88 som fremsat, side 305.
I § 373, stk. 2, i lov om finansiel virksomhed er det fastsat, at overtrædelse af § 80, stk. 8, i lov om finansiel virksomhed, kan straffes med bøde.
Det foreslås i § 312, stk. 2, at indsætte »§ 125«.
Forslaget vil medføre, at overtrædelse af § 125 i lov om forsikringsvirksomhed kan straffes med bøde. Forslaget vil rette op på en fejl i lov om forsikringsvirksomhed, hvorefter § 125 ikke fremgår af straffebestemmelsen i § 312, stk. 2. Fejlen har ikke haft konsekvenser.
Til nr. 20 (§ 313, stk. 1, i lov om forsikringsvirksomhed)
Lov om forsikringsvirksomhed § 313 indeholder regler om straf for manglende overholdelse af påbud. § 313, stk. 1, fastsætter regler om, at et forsikringsselskabs eller en forsikringsholdingvirksomheds manglende efterkommelse af et påbud, der er udstedt i medfør af nærmere angivne bestemmelser, kan straffes med bøde.
I § 313, stk. 1, findes en henvisning til § 275, stk. 2, i lov om forsikringsvirksomhed. § 275 i lov om forsikringsvirksomhed har alene et stykke.
Det fremgår af bemærkningerne til § 275 i lov om forsikringsvirksomhed, at bestemmelsen viderefører § 348, stk. 2, 1. pkt., i lov om finansiel virksomhed, jf. Folketingstidende 2022-23, tillæg A, L 88 som fremsat, side 517. Ligeledes er § 313 en videreførelse af § 373, stk. 3 og 5, i lov om finansiel virksomhed, jf. Folketingstidende 2022-23, tillæg A, L 88 som fremsat, side 598. I § 373, stk. 3, i lov om finansiel virksomhed findes en henvisning til § 348, stk. 2, i lov om finansiel virksomhed.
Det foreslås, at ændre § 313, stk. 1, så henvisningen til § 275, stk. 2, ændres til § 275.
Det foreslåede vil medføre, at et forsikringsselskab eller en forsikringsholdingvirksomhed, der ikke efterkommer et påbud udstedt i medfør af § 275 i lov om forsikringsvirksomhed, kan straffes med bøde. Forslaget retter op på en fejl i lov om forsikringsvirksomhed, hvorefter bestemmelsen indeholder en upræcis henvisning til § 275. Fejlen har ikke haft konsekvenser.
Til nr. 1 (§ 22, stk. 1, 2. pkt., i lov om forsikringsformidling)
Det fremgår af § 22, stk. 1, 1. pkt., i lov om forsikringsformidling, at Finanstilsynet påser overholdelsen af denne lov og regler udstedt i medfør af loven. Det fremgår videre af § 22, stk. 1, 2. pkt., at Finanstilsynet påser overholdelsen af de i bestemmelsen nævnte forordninger og regler udstedt i medfør heraf.
Det foreslås i § 22, stk. 1, 2. pkt., at indsætte en henvisning til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Den foreslåede ændring vil medføre, at Finanstilsynet bliver udpeget som kompetent myndighed efter DORA-forordningen til at føre tilsyn med overholdelsen af forordningen.
Forordningen finder bl.a. anvendelse på forsikringsformidlere, genforsikringsformidlere og accessoriske forsikringsformidlere, jf. artikel 2, stk. 1, litra o. Forordningen finder dog ikke anvendelse på denne type af virksomheder, der er mikrovirksomheder eller små og mellemstore virksomheder, jf. artikel 2, stk. 3, litra e.
I forbindelse med udførelsen af sit tilsyn vil Finanstilsynet bl.a. få mulighed for at kræve alle oplysninger m.v., som Finanstilsynet skønner nødvendige for Finanstilsynets virksomhed eller til afgørelse af, om der er sket en overtrædelse af forordningen, jf. § 26 i lov om forsikringsformidlere.
Finanstilsynet vil med bestemmelsen bl.a. også få mulighed for at give påbud og påtaler for overtrædelser af forordningen, jf. § 22.
Efter artikel 46, litra l, i DORA-forordningen skal den kompetente myndighed, der er udpeget i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2016/97 af 20. januar 2016 om forsikringsdistribution sikre overholdelsen af DORA-forordningen for forsikringsformidlere, genforsikringsformidlere og accessoriske forsikringsformidlere.
Bestemmelsen vil supplere artikel 46, litra l, i DORA-forordningen.
Til nr. 2 (§ 31, stk. 6, nr. 18, i lov om forsikringsformidling)
I medfør af § 31, stk. 1, i lov om forsikringsformidling er Finanstilsynets ansatte under ansvar efter straffelovens §§ 152-152 e forpligtet til at hemmeligholde fortrolige oplysninger som de bl.a. får kendskab til gennem tilsynsvirksomheden.
§ 31, stk. 6, fastsætter til hvem og i hvilke tilfælde Finanstilsynet kan videregive fortrolige oplysninger.
I medfør af § 31, stk. 6, har Finanstilsynet ikke mulighed for at videregive oplysninger til Center for Cybersikkerhed, Den Fælles Afviklingsinstans (SRB) eller Den Europæiske Unions Agentur for Cybersikkerhed (ENISA).
Det foreslås i § 31, stk. 6, nr. 18, at Finanstilsynet kan videregive oplysninger til myndigheder, der varetager opgaver i henhold til DORA-forordningen, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.
Med den foreslåede bestemmelse, vil det bl.a. blive muligt for Finanstilsynet at videregive fortrolige oplysninger til Center for Cybersikkerhed, SRB og ENISA.
Når Finanstilsynet modtager en indberetning fra en forsikringsformidler, en genforsikringsformidler eller en accessorisk forsikringsformidler om en større it-relateret hændelse, jf. artikel 19, stk. 1, 1. pkt., i DORA-forordningen, skal Finanstilsynet alt efter hvad der er relevant, rettidigt forelægge nærmere oplysninger om hændelsen til nationale og EU-retlige myndigheder og organer, jf. artikel 19, stk. 6, i DORA-forordningen.
Artikel 19, stk. 6, nævner bl.a. de centrale kontaktpunkter eller CSIRT’er, der er udpeget eller oprettet i overensstemmelse med NIS 2-direktivet, dvs. Center for Cybersikkerhed. Bestemmelsen nævner også SRB for så vidt angår de enheder eller koncerner, der er omhandlet i henholdsvis artikel 7, stk. 2, artikel 7, stk. 4, litra b, og artikel 7, stk. 5, i Europa-Parlamentets og Rådets forordning (EU) nr. 806/2014 af 15. juli 2014 om ensartede regler og en ensartet procedure for afvikling af kreditinstitutter og visse investeringsselskaber inden for rammerne af en fælles afviklingsmekanisme og en fælles afviklingsfond, dvs. bl.a. pengeinstitutter, der er underlagt tilsyn af Den Europæiske Centralbank, hvis sådanne oplysninger vedrører hændelser, der udgør en risiko for sikringen af kritiske funktioner, jf. artikel 2, stk. 1, nr. 35, i direktiv 2014/59/EU Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 om et regelsæt for genopretning og afvikling af kreditinstitutter og investeringsselskaber (BRRD).
En underretning om større it-relaterede hændelser til SRB kan eksempelvis blive relevant, hvor en hændelse kan få systemiske konsekvenser og dermed også konsekvenser for virksomheder, der er omfatter af Den Fælles Afviklingsmekanisme.
For så vidt angår videregivelse af fortrolige oplysninger til ENISA kan dette bl.a. blive relevant i de tilfælde, hvor hændelsesindberetninger til Finanstilsynet videreformidles i forbindelse med det samarbejde, der bliver iværksat på tværs af de nationale og europæiske finansielle tilsynsmyndigheder og afviklingsmyndigheder, SRB og ENISA i henhold til artikel 49 i DORA-forordningen. Samarbejdet i henhold til artikel 49 går ud på udveksling af effektive fremgangsmåder på tværs af den finansielle sektor for at forbedre situationskendskabet og identificere fælles cybersårbarheder og risici på tværs af sektorer.
Til nr. 3 (§ 33, stk. 1, 8. pkt., i lov om forsikringsformidling)
Det følger § 33, stk. 1, i lov om forsikringsformidling, at der skal ske offentliggørelse af reaktioner, som Finanstilsynets bestyrelse har truffet beslutning om, eller som Finanstilsynets har givet efter delegation fra Finanstilsynets bestyrelse. Offentliggørelsen skal ske med angivelse virksomhedens navn. § 33, stk. 1, regulerer ikke det tilfælde, hvor det alene er Finanstilsynet uden delegation fra bestyrelsen, der har truffet afgørelse om at give en reaktion til en virksomhed.
Videre fremgår det af § 33, stk. 1, 9. pkt., at indbringes en reaktion, der offentliggøres i henhold til stk. 1, 1. pkt., for Erhvervsankenævnet eller domstolene, skal dette fremgå af Finanstilsynets offentliggørelse, og det efterfølgende resultat af Erhvervsankenævnets eller domstolenes afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt.
Det foreslås i § 33, stk. 1, 8. pkt., at reaktioner givet i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og forordninger udstedt i medfør heraf, skal offentliggøres på Finanstilsynets hjemmeside med angivelse af virksomhedens navn.
Med den foreslåede ændring vil Finanstilsynet skulle offentliggøre reaktioner, der er givet af Finanstilsynet til en virksomhed for en overtrædelse af DORA-forordningen. Ved reaktioner forstås f.eks. påbud eller påtaler. Reaktionen skal offentliggøres på Finanstilsynets hjemmeside. Derimod vil virksomheden ikke selv være forpligtet til at offentliggøre reaktionen. Virksomheden vil kun være forpligtet til at offentliggøre reaktionen, hvis bestyrelsen har truffet beslutning herom i henhold til DORA-forordningen, jf. § 33, stk. 1, 1. pkt.
Den foreslåede ændring i § 33, stk. 1, 8. pkt., vil gennemføre artikel 54, stk. 1, i DORA-forordningen, hvormed de kompetente myndigheder uden unødigt ophold på deres officielle websteder skal offentliggøre enhver afgørelse om pålæggelse af en administrativ sanktion, som ikke kan påklages, efter at modtageren af sanktionen er blevet underrettet om afgørelsen. En administrativ sanktion kan bl.a. være et påbud eller en påtale.
Til nr. 4 (§ 33, stk. 1, 9. pkt., i lov om forsikringsformidling)
Det følger af § 33, stk. 1, 8. pkt., i lov om forsikringsformidling, at reaktioner givet af Finanstilsynets bestyrelse i henhold til lovens § 22, stk. 2, jf. § 345, stk. 12, nr. 6, i lov om finansiel virksomhed, dvs. Finanstilsynets bestyrelses beslutninger om at overgive sager af principiel karakter, og sager der har videregående betydelige følger til politimæssig efterforskning, og Finanstilsynets beslutninger om at overgive sager efter denne lov eller regler udstedt i medfør af loven eller efter forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2016/97 af 20. januar 2016 om forsikringsdistribution til politimæssig efterforskning skal offentliggøres som resumé på Finanstilsynets hjemmeside med angivelse af virksomhedens navn, jf. dog stk. 4.
Det foreslås i § 33, stk. 1, 8. pkt., der bliver 9. pkt., at indsætte en henvisning til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Med den foreslåede ændring vil Finanstilsynet også skulle offentliggøre beslutninger truffet af bestyrelsen eller af Finanstilsynet efter delegation fra bestyrelsen om at overgive sager om overtrædelse af bestemmelser i DORA-forordningen til politimæssig efterforskning i form af resumé på Finanstilsynets hjemmeside. Der henvises i det hele til bemærkningerne til § 33, stk. 1, jf. Folketingstidende 2017-2018, tillæg A, L 8 som fremsat, side 89-91.
Der henvises i øvrigt til § 9, nr. 8, i lovforslaget, der nævner de bestemmelser i forordningen, der er vil blive strafbelagt
Til nr. 5 (§ 33, stk. 1, 10. pkt., i lov om forsikringsformidling)
Det følger § 33, stk. 1, i lov om forsikringsformidling, at der skal ske offentliggørelse af reaktioner, som Finanstilsynets bestyrelse har truffet beslutning om, eller som Finanstilsynets har givet efter delegation fra Finanstilsynets bestyrelse. Offentliggørelsen skal ske med angivelse virksomhedens navn. § 33, stk. 1, regulerer ikke det tilfælde, hvor det alene er Finanstilsynet uden delegation fra bestyrelsen, der har truffet afgørelse om at give en reaktion til en virksomhed.
Videre fremgår det af § 33, stk. 1, 9. pkt., at indbringes en reaktion, der offentliggøres i henhold til stk. 1, 1. pkt., for Erhvervsankenævnet eller domstolene, skal dette fremgå af Finanstilsynets offentliggørelse, og det efterfølgende resultat af Erhvervsankenævnets eller domstolenes afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt.
Det foreslås i § 33, stk. 1, 9. pkt., der bliver 10. pkt., at indsætte en henvisning til 8. pkt., hvorefter det skal fremgå af Finanstilsynets offentliggørelse, at en reaktion, der offentliggøres i henhold til enten stk. 1, 1. pkt., eller 8. pkt., og som indbringes for Erhvervsankenævnet eller domstolene, og det efterfølgende resultat af Erhvervsankenævnets eller domstolenes afgørelse, ligeledes skal offentliggøres på Finanstilsynets hjemmeside hurtigst muligt.
Den foreslåede ændring i § 33, stk. 1, 8. og 10. pkt., vil gennemføre artikel 54, stk. 1, i DORA-forordningen, hvormed de kompetente myndigheder uden unødigt ophold på deres officielle websteder skal offentliggøre enhver afgørelse om pålæggelse af en administrativ sanktion, som ikke kan påklages, efter at modtageren af sanktionen er blevet underrettet om afgørelsen. En administrativ sanktion kan bl.a. være et påbud eller en påtale.
Det fremgår videre af artikel 54, stk. 5, i DORA-forordningen, at hvis den kompetente myndighed offentliggør en afgørelse om at pålægge en administrativ sanktion, der kan indbringes for de relevante judicielle myndigheder, lægger de kompetente myndigheder straks denne oplysning på deres officielle websted sammen med eventuelle efterfølgende oplysninger om resultatet af denne indbringelse på et senere tidspunkt. En judiciel afgørelse, som annullerer en afgørelse om at pålægge en administrativ sanktion, skal også offentliggøres.
Til nr. 6 (§ 36, stk. 1, i lov om forsikringsformidling)
§ 36, stk. 1, nævner de virksomheder, der kan anses som part i forhold til Finanstilsynet i sager, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af bl.a. lov om forsikringsformidlere.
Det foreslås i § 36, stk. 1, at indsætte en henvisning til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Det foreslåede vil medføre, at virksomheder, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af DORA-forordningen eller regler udstedt i medfør heraf, også vil være at anse som parter i afgørelsessagen.
Til nr. 7 (§ 37 i lov om forsikringsformidling)
§ 37 indeholder en klageadgang til Erhvervsankenævnet for den, som en afgørelse truffet af Finanstilsynet retter sig til. Bestemmelsen nævner bl.a. afgørelser truffet af Finanstilsynet i medfør af lov om forsikringsformidling og de i bestemmelsen nævnte forordninger.
Det foreslås i § 37 at indsætte en henvisning til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Den foreslåede ændring vil medføre, at afgørelser truffet af Finanstilsynet i medfør af DORA-forordningen og regler udstedt i medfør heraf kan indbringes for Erhvervsankenævnet senest 4 uger efter, at afgørelsen er meddelt den pågældende, som afgørelsen retter sig til.
Til nr. 8 (§ 42, stk. 2, i lov om forsikringsformidling)
Den gældende § 42, stk. 2, i lov om forsikringsformidling strafbelægger overtrædelse af en række bestemmelser.
Det foreslås i § 42, stk. 2, at ændre »(PRIIP’er) og« til: »(PRIIP’er),«, og efter »(PEPP-Produkt)« at indsætte: », og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.
Med den foreslåede bestemmelse vil en række overtrædelser af DORA-forordningen blive strafbelagt i overensstemmelse med forordningens artikel 52, hvorefter medlemsstaterne kan beslutte ikke at fastsætte bestemmelser om administrative sanktioner eller afhjælpende foranstaltninger for overtrædelser, der er omfattet af strafferetlige sanktioner i henhold til national ret.
Overtrædelser af DORA-forordningen kan ske af både fysiske og juridiske personer. I de situationer, hvor ansvarssubjektet er en virksomhed, vil det være udgangspunktet, at tiltalen rejses mod den juridiske person. Der kan i en række tilfælde være anledning til – ud over tiltalen mod den juridiske person – tillige at rejse tiltale mod en eller flere fysiske personer, hvis den eller de pågældende har handlet forsætligt eller udvist grov uagtsomhed. For virksomheder under stiftelse vil ansvarssubjektet være de personer, der stifter virksomheden, da en virksomhed under stiftelse ikke kan være ansvarssubjekt.
Bødeniveauet tiltænkes fastsat i overensstemmelse med § 372, stk. 12, i lov om finansiel virksomhed. Det fremgår heraf, at der ved udmåling af bøder lægges vægt på overtrædelsens grovhed og gerningsmandens økonomiske forhold. For overtrædelser begået af juridiske personer lægges ved vurderingen af gerningsmandens økonomiske forhold vægt på virksomhedens nettoårsomsætning på gerningstidspunktet. For overtrædelser begået af fysiske personer lægges vægt på den pågældendes indtægtsforhold på gerningstidspunktet. Det er afgørende, at der ved strafudmålingen lægges vægt på de nævnte faktorer, således at bøder vil have en pønal og præventiv effekt på alle aktører på markedet, og således at det finansielle incitament til at overtræde bestemmelserne reduceres. Vurderingen af overtrædelsens grovhed bør foregå uafhængig af gerningsmandens økonomiske forhold.
Nedenfor anføres en uddybende beskrivelse af indholdet af de enkelte artikler i DORA-forordningen, der vil blive strafbelagt med den foreslåede bestemmelse. Når der nedenfor henvises til finansielle enheder, menes der forsikringsformidlere, genforsikringsformidlere og accessoriske forsikringformidlere, jf. artikel 2, stk. 1, litra o, jf. artikel 2, stk. 2, i DORA forordningen.
Artikel 5 indeholder regler om forvaltning og organisationen af en finansiel enheds it-risikostyring. Intern forvaltning og organisation af it-risikostyring omfatter fastlæggelsen og tilsynet af de foranstaltninger for it-risikostyring. En sikker forvaltning af risikostyringen sikrer et højt niveau af digital operationel modstandsdygtighed og bidrager til den finansielle stabilitet.
I medfør af artikel 5, stk. 1, skal en finansiel enhed have indført en intern forvaltnings og kontrolramme, der sikrer en effektiv og forsigtig styring af it-risiko, i overensstemmelse med artikel 6, stk. 4, der bl.a. fastsætter krav om, at finansielle enheder skal overdrage ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion og sikre, at denne kontrolfunktion har et passende uafhængighedsniveau for at undgå interessekonflikter mellem den finansielle enhed og kontrolfunktionen.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 1, er den finansielle enhed.
Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har overdraget ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion, der har et passende uafhængighedsniveau i forhold til den finansielle enhed.
Det fremgår af artikel 5. stk. 2, at ledelsesorganet i den finansielle enhed skal fastlægge, godkende og føre tilsyn med og har ansvaret for gennemførelsen af alle ordninger vedrørende rammer for it-risikostyring, der er omhandlet i artikel 6, stk. 1. Artikel 6, stk. 1, vedrører at finansielle enheder indfører en robust, omfattende og veldokumenteret ramme for it-risikostyring. De nærmere krav til ledelsesorganet er nærmere beskrevet i artikel 5, stk. 2, litra a-i. Det fremgår bl.a. af stk. 2, litra b, at ledelsesorganet skal indføre politikker, der har til formål at sikre høje standarder for tilgængeligheden, autenticiteten, integriteten og fortroligheden af data. Videre fremgår det af stk. 2, litra f, at ledelsesorganet godkender og regelmæssigt gennemgår den finansielle enheds interne it-revisionsplaner, it-revisioner og væsentlige ændringer heraf.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 2, er den finansielle enhed. En strafbar handling kan eksempelvis være, at et ledelsesorgan ikke har indført politikker for tilgængeligheden, autenticiteten, integriteten og fortroligheden af data i henhold til stk. 2, litra b. En strafbar handling kan også være at ledelsesorganet enten ikke har godkendt eller gennemgået den finansielle enheds interne it-revisionsplan i henhold til stk. 2, litra f.
Artikel 5, stk. 3, fastsætter at finansielle enheder skal oprette en funktion med henblik på overvågning af de ordninger, der er indgået med tredjepartsudbydere af it-tjenester vedrørende brugen af it-tjenester, eller udpege et medlem af den øverste ledelse som tilsynsansvarlig for den dermed forbundne risikoeksponering og relevante dokumentation.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 3, er den finansielle enhed. Et eksempel på en strafbar handling kan være, at ledelsesorganet ikke har oprettet en funktion der har til formål at overvåge de ordninger, der er indgået med tredjepartsudbydere af it-tjenester vedrørende brugen af it-tjenester.
Artikel 6 indeholder regler om en finansiel enheds ramme for it-risikostyring. Rammen for it-risikostyring omfatter hvilke tiltag en operatør af et reguleret marked har opsat.
I medfør af artikel 6, stk. 1, skal en finansiel enhed have indført en robust, omfattende og veldokumenteret ramme for deres it-risikostyring, som en del af deres samlede risikostyringssystem der sikrer et højt niveau af digital operationel modstandsdygtighed.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 1, er den finansielle enhed.
Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har formået at dokumentere deres ramme for deres it-risikostyring i en tilstrækkelig grad.
Det fremgår af artikel 6, stk. 2, at rammen for it-risikostyring, som minimum skal omfatte strategier, politikker, procedurer, it-protokoller og værktøjer, som er nødvendige for på behørig vis og i tilstrækkelig grad, at beskytte alle informationsaktiver og it-aktiver.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 2, er ledelsesorganet. Det fremgår af artikel 5. stk. 2, at ledelsesorganet i den finansielle enhed skal fastlægge, godkende og føre tilsyn med og har ansvaret for gennemførelsen af alle ordninger vedrørende rammer for it-risikostyring, der er omhandlet i artikel 6, stk. 1.
Den strafbare handling kan eksempelvis bestå i, at ledelsesorganet ikke har indført sikkerhedsforanstaltninger der i tilstrækkeliggrad beskytter relevante fysiske komponenter, som eksempelvis virksomhedens lokaler, mod uautoriseret adgang.
Artikel 6, stk. 3, omhandler de finansielle enheders forpligtigelse til at forelægge fuldstændige og ajourførte oplysninger om deres it-risiko på de kompetente myndigheders anmodning. Ved at indføre passende strategier, politikker, procedurer, it-protokoller og -værktøjer, minimerer den finansielle enhed deres it-risiko.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 3, er den finansielle enhed. Et eksempel på den strafbare handling kan være, at den finansielle enhed ikke på Finanstilsynets anmodning, har fremlagt en opdateret strategi for deres it-risikostyring, efter nye tiltag trådte i kraft for virksomheden.
Det fremgår af artikel 6, stk. 4, at finansielle enheder skal overdrage ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion og sikre, at denne kontrolfunktion har et passende uafhængighedsniveau, så interessekonflikter kan undgås. Videre fremgår det af artikel 6, stk. 4, 2. pkt., at en finansiel enhed skal sikre en passende adskillelse og uafhængighed af it-risikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner efter modellen med tre forsvarslinjer eller en intern model for risikostyring og kontrol.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse af bestemmelsen kan eksempelvis bestå i, at en finansiel enhed har en intern styring af og tilsyn med it-risikoen og derfor ikke har sikret en passende adskillelse og uafhængighed af deres it-risikostyringsfunktioner.
Artikel 6, stk. 5, indeholder krav om dokumentationen og tilsyn med it-risikostyringens ramme. Det følger af bestemmelsen, at rammen for it-risikostyringen skal dokumenteres og gennemgås mindst én gang om året, samt når der forekommer større it-relaterede hændelser, og i henhold til tilsynsmæssige instrukser eller konklusioner, som er udledt af relevant test af digital operationel modstandsdygtighed eller revisionsprocesser. Den skal forbedres løbende på grundlag af indhøstede gennemførelses- og overvågningserfaringer. Der skal forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed på dens anmodning.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 5, er den finansielle virksomhed. Den strafbare handling kan eksempelvis bestå i, at en finansiel enhed ved en større it-relateret hændelse, efterfølgende ikke formår at dokumentere rammen for risikostyringen. En strafbar handling kunne også bestå i, at den finansielle enhed ikke har forbedret rammen for deres risikostyring på baggrund af løbende overvågningserfaringer.
Artikel 6, stk. 6, omhandler revisorernes interne revision af rammen for it-risikostyring. Det følger af bestemmelsen, at revisorerne skal besidde egenskaber som tilstrækkelig viden, faglig kompetence og ekspertise, samt være tilstrækkeligt uafhængige. Der skal være overensstemmelse mellem hyppigheden af revisioner og omfanget af it-risikoen hos den finansielle enhed.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse kan eksempelvis bestå i, at den finansielle enheds revisor har foretaget en revision af rammen for it-risikostyring, uden at have det fornødne egenskaber. Det kan ligeledes anses for strafbart såfremt revisoren ikke kan anses som værende uafhængig.
Artikel 6, stk. 7, omhandler den formelle opfølgningsproces på den interne revisionsgang som den finansielle enhed skal etablere. Opfølgningsprocessen skal indeholde regler for rettidig efterprøvning og udbedring af kritiske resultater af it-revisioner.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 7, er den finansielle enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke etablerer en opfølgningsproces, der indeholder regler for rettidig efterprøvning af kritiske konklusionerne fra en interne revision.
I medfør af artikel 6, stk. 8, skal en finansiel enheds ramme for it-risikostyring omfatte en strategi for digital operationel modstandsdygtighed, der fastsætter, hvordan rammen gennemføres. Strategien for digital operationel modstandsdygtighed skal omfatte metoderne til håndtering af it-risiko og opfylde specifikke krav, som er oplistet i artikel 6, stk. 8, litra a-h. Et af disse krav er eksempelvis at fastlægge risikotoleranceniveauet for it-risiko i overensstemmelse med den finansielle enheds risikovillighed og analysere tolerancen over for virkninger af it-forstyrrelser, jf. litra b, eller dokumentere den nuværende situation for den digitale operationelle modstandsdygtighed på grundlag af antallet af indberettede større it-relaterede hændelser og de forebyggende foranstaltningers effektivitet, jf. litra f.
Ansvarssubjektet for en overtrædelse af artikel 6, stk. 8, er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enheds strategi, undlader at analysere for virkninger af it-forstyrrelser over for risikotoleranceniveauet. Den strafbare handling kan ligeledes bestå i, at den finansielle enhed ikke formår at dokumentere deres situation for den operationelle robusthed på baggrund af mængden af større it-relaterede hændelser og de forebyggende foranstaltningers effektivitet
Artikel 7, stk. 1, oplister en række krav til den finansielle enheds it-systemer, -protokoller og-værktøjer, jf. litra a-d. Den finansielle enhed skal eksempelvis anvende systemer der er pålidelige, jf. litra b, og som er teknologisk modstandsdygtige nok til i tilstrækkeligt omfang at håndtere yderligere behov for informationsbehandling som krævet under stressede markedsforhold eller i andre vanskelige situationer, jf. litra d.
Ansvarssubjektet for overtrædelse af bestemmelsen er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke anvender systemer eller værktøjer der pålidelige eller proportionale i forhold til den finansielle enheds udbudte ydelser.
Artikel 8, stk. 1-7, i DORA-forordningen omhandler identifikation af kilder til it-risiko. Artikel 8, stk. 1, fastsætter, at en finansiel enhed, som led i deres ramme for it-risikostyring, skal foretage identifikation, klassificering og tilstrækkelig dokumentering af alle it-understøttede forretningsfunktioner, roller og ansvarsområder, informationsaktiver og it-aktiver, der understøtter disse funktioner, samt deres roller og afhængigheder med hensyn til it-risici. Bestemmelsen fastsætter endvidere, at en finansiel virksomhed efter behov og mindst én gang om året, vurderer hvorvidt denne klassificering og eventuel relevant dokumentation er tilstrækkelig.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke har identificeret, klassificeret eller dokumenteret deres it-understøttede forretningsfunktioner i en tilstrækkelig grad.
I medfør af artikel 8, stk. 2, skal en finansiel enhed løbende identificere alle kilder til it-risiko, navnlig risikoeksponeringen for og fra andre finansielle enheder, og vurderer cybertrusler og it-sårbarheder, der er relevante for deres it-understøttede forretningsfunktioner, informationsaktiver og it-aktiver. De finansielle enheder skal derfor regelmæssigt og mindst én gang om året gennemgå de risikoscenarier, der har virkninger for dem.
Ansvarssubjektet for overtrædelse af artikel 8, stk. 2, er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel virksomhed ikke mindst én gang årligt har gennemgået de risikoscenarier der er virkninger for dem.
Artikel 8, stk. 3, indeholder krav om, at en finansiel enhed skal foretage en risikovurdering efter hver større ændring af infrastrukturen i net- og informationssystemerne, i de processer eller procedurer, der påvirker deres it-understøttede forretningsfunktioner, informationsaktiver eller it-aktiver.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling kan bestå i, at en finansiel enhed har foretaget en større ændring infrastrukturen i deres net- og informationssystem og ikke foretager en ny risikovurdering, såfremt infrastrukturen påvirker deres it-understøttede forretningsfunktioner.
Det fremgår af artikel 8, stk. 4, at en finansiel enhed skal identificere alle informationsaktiver og it-aktiver, herunder på eksterne steder, netværksressourcer og hardwareudstyr, og kortlægger dem, der anses for kritiske. Den finansielle enhed kortlægger informationsaktivernes og it-aktivernes konfiguration samt forbindelserne og den indbyrdes forbundethed mellem de forskellige informationsaktiver og it-aktiver.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har kortlagt de kritiske informationsaktiver og it-aktiver, herunder på eksterne steder, netværksressourcer og hardwareudstyr.
Artikel 8, stk. 5, fremgår det, at en finansiel enhed skal identificere og dokumentere alle processer, der er afhængige af tredjepartsudbydere af it-tjenester. Det fremgår endvidere, at den finansielle enhed identificerer sammenkoblinger med tredjepartsudbydere af it-tjenester, der udbyder tjenester, som understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed har undladt at dokumentere alle de processer der er afhængige af tredjepartsudbydere af it-tjenester, som den finansielle enhed bruger.
Det fremgår af artikel 8, stk. 6, at den finansielle enhed, med henblik på artikel 6, stk. 1, 4 og 5, opretholder relevante fortegnelser og ajourfører dem regelmæssigt, og hver gang der sker større ændringer som omhandlet i artikel 6, stk. 3.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse kan bestå i, at der ved en større ændring af infrastrukturen i net- og informationssystemerne, i de processer eller procedurer, der påvirker den finansielle enheds it-understøttede forretningsfunktioner, informationsaktiver eller it-aktiver, ikke er foretaget ajourførte fortegnelser over ændringerne.
Til sidst følger det af artikel 8, stk. 7, at en finansiel enhed skal foretage en specifik it-risikovurdering regelmæssigt og mindst én gang om året.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse består eksempelvis i, at en finansiel virksomhed ikke regelmæssigt eller mindst én gang årligt har foretaget en specifik it-risikovurdering.
Artikel 9 indeholder nærmere bestemmelser om beskyttelse af it-systemer og forebyggelse af it-risici.
Det følger af artikel 9, stk. 1, at en finansiel enhed skal sikre løbende overvågning af og kontrol med it-systemer og -værktøjernes sikkerhed og af, hvordan de fungerer, og minimerer virkningerne af it-risikoen for it-systemer ved at indføre passende it-sikkerhedsværktøjer, -politikker og -procedurer, med henblik på, at sikre en passende beskyttelse og tilrettelægge indsatsforanstaltninger der skal sikre de finansielle enheder.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, ikke løbende at overvåge og kontrollere den finansielle enheds it-systemer og -værktøjers sikkerhed igennem passende it-sikkerhedsværktøjer, -politikker og -procedurer.
I medfør af artikel 9, stk. 2, skal en finansiel enhed udforme, indkøbe og gennemføre it-sikkerhedspolitikker, -procedurer, -protokoller og -værktøjer, der har til formål at sikre it-systemernes modstandsdygtighed, stabilitet og tilgængelighed, især for dem, der understøtter kritiske eller vigtige funktioner, og at opretholde høje standarder for, tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, hvad enten dataene er inaktive, i brug eller under overførsel.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 9, stk. 2, bestå i, at der ikke er gennemført en it-sikkerhedspolitik for at sikre den finansielle enheds it-systems modstandsdygtighed, stabilitet og tilgængelighed.
Artikel 9, stk. 3, omhandler de it-løsninger og it-processer som den finansielle enhed skal anvende for at nå de i artikel 9, stk. 2, omhandlede mål. It-løsningerne og it-processerne skal være i overensstemmelse med proportionalitetsprincippet i artikel 4 i DORA-forordningen og sikre sikkerheden for metoderne til overførsel af data, minimere risikoen for korruption eller tab af data, uautoriseret adgang og tekniske fejl, der kan hæmme erhvervsaktiviteten og forhindrer manglen på tilgængelighed, forringelsen af autenticiteten og integriteten, bruddene på fortroligheden og tabet af data. Samt sikre, at data beskyttes mod risici, der opstår i forbindelse med dataforvaltning, herunder dårlig administration, procesrelaterede risici og menneskelige fejl.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 9, stk. 3, bestå i at have utilstrækkelige it-løsninger og it-processer, der ikke lever op til proportionalitetsprincippet i artikel 4, i DORA-forordningen og de i artikel 9, stk. 3, fastsatte krav.
Det følger af artikel 9, stk. 4, at en finansiel enhed som led i deres it-risikostyring skal udvikle og dokumentere en informationspolitik, der fastlægger regler for beskyttelse af tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, informationsaktiver og it-aktiver, herunder deres kunders, hvis det er relevant, jf. litra a. Desuden skal en finansiel enhed følge en risikobaseret tilgang ved at indføre en forsvarlig forvaltningsstruktur for netværk og infrastrukturer ved anvendelse af passende teknikker, metoder og protokoller, der kan omfatte gennemførelse af automatiske mekanismer til isolering af de berørte informationsaktiver i tilfælde af cyberangreb, jf. litra b. Artikel 9, stk. 4, litra c, fastsætter også at en finansiel enhed skal gennemføre politikker, der begrænser den fysiske eller logiske adgang til informationsaktiver og it-aktiver udelukkende til, hvad der er påkrævet for legitime og godkendte funktioner og aktiviteter, og med henblik herpå indføre en række politikker, procedurer og kontroller, der vedrører adgangsrettigheder og sikrer forsvarlig forvaltning heraf.
Desuden skal den finansielle enhed gennemføre politikker og protokoller for stærke autentificeringsmekanismer på grundlag af relevante standarder og særlige kontrolsystemer og beskyttelsesforanstaltninger for krypteringsnøgler, hvorigennem data krypteres baseret på resultaterne fra godkendt dataklassificering og godkendte it-risikovurderingsprocesser, jf. litra d. Samt gennemføre dokumenterede politikker, procedurer og kontroller for styring af it-ændringer, herunder ændringer af software, hardware, firmwarekomponenter, systemer eller sikkerhedsparametre, som er baseret på en risikovurderingstilgang og er en integreret del af den finansielle enheds samlede ændringsstyringsproces, for at sikre, at alle ændringer af it-systemer registreres, testes, vurderes, godkendes, gennemføres og efterprøves på en kontrolleret måde, jf. litra e. Slutteligt anfører artikel 9, stk. 4, litra f, at en finansiel enhed skal sørge for, at der indføres passende og omfattende dokumenterede politikker for programrettelser og opdateringer.
Med henblik på første afsnit, litra b, udformer de finansielle enheder infrastrukturen for netværkstilslutning på en sådan måde, at den kan afbrydes eller segmenteres øjeblikkeligt for at minimere og forhindre afsmitning, navnlig i forbindelse med indbyrdes forbundne finansielle processer. Med henblik på første afsnit, litra e, skal it-ændringsstyringsprocessen godkendes på passende ledelsesniveauer og omfatte specifikke protokoller.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ikke forelægger en tilstrækkelig it-sikkerhedspolitik hos den finansielle enhed til at sikre beskyttelsen af deres kunders data. Den strafbare handling kan desuden også bestå i, at dokumenterede politikker, procedurer og kontroller for styring af it-ændringer, herunder ændringer af software, hardware, firmwarekomponenter, systemer eller sikkerhedsparametre, som er baseret på en risikovurderingstilgang og er en integreret del af den finansielle enheds samlede ændringsstyringsproces, for at sikre, at alle ændringer af it-systemer registreres, testes, vurderes, godkendes, gennemføres og efterprøves på en kontrolleret måde, ikke er blevet godkendt på passende ledelsesniveau.
Artikel 10, stk. 1-4, i DORA-forordningen omhandler detektion af anormale aktiviteter.
Det følger af artikel 10, stk. 1, at en finansiel enhed skal indføre mekanismer til omgående detektion af anormale aktiviteter i overensstemmelse med artikel 17, herunder problemer med it-netværkets ydeevne og it-relaterede hændelser, og til identifikation af potentielt væsentlige single points of failure. Artikel 17 omhandler proces for styring af it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. En overtrædelse af artikel 10, stk. 1, kan bestå i at der i den finansielle enhed ikke bliver opdaget anormale aktiviteter, idet enheden ikke har indført en mekaniske til detektion af disse.
Artikel 10, stk. 2, fastsætter krav til den finansielle enheds mekanismer. I medfør af artikel 10, stk. 2, skal de omtalte mekanismer i stk. 1, anvende flere kontrollag, fastlægge varslingstærskler og -kriterier, som skal udløse og igangsætte indsatsforanstaltninger mod it-relaterede hændelser, herunder automatiske varslingsmekanismer for det relevante personale, som har ansvar for indsatsen mod it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i at have utilstrækkelige mekanismer der ikke lever op til de af artikel 10, stk. 2, fastsatte krav.
Videre fremgår det af artikel 10, stk. 3, at finansielle enheder skal afsætte tilstrækkelige ressourcer og kapaciteter til overvågning af brugeraktiviteter, forekomsten af it-anomalier og it-relaterede hændelser, navnlig cyberangreb.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, ikke at have afsat ressourcer til overvågning af brugeraktiviteter.
Til slut fremgår det af artikel 10, stk. 4, at udbydere af dataindberetningstjenester indfører desuden systemer, som effektivt kan kontrollere, om handelsindberetningerne er fuldstændige, identificere udeladelser og åbenbare fejl og anmode om fornyet fremsendelse af disse indberetninger.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ikke er indført et system som kan identificere åbenbare fejl.
Artikel 11 i DORA-forordningen omhandler indsats og genopretning af it. Artikel 11, stk. 1, fastsætter, at en finansiel enhed skal indføre en omfattende politik for it-driftsstabilitet. Politikken skal være baseret på de krav til identifikation, der er fastsat i artikel 8 i DORA-forordningen. I henhold til artikel 8, stk. 1, skal en finansiel enhed f.eks. foretage en identifikation, klassificering og tilstrækkelig dokumentering af alle it-understøttende forretningsfunktioner, roller, ansvarsområder, informationsaktiviteter og it-aktiver, der understøtter disse funktioner, samt deres roller og afhængigheder med hensyn til it-risici.
Ansvarssubjektet for overtrædelse af artikel 11, stk. 1, er den finansielle enhed. Den strafbare handling kan enten bestå i ikke at have indført nogen politik for it-driftsstabilitet, eller at have indført en politik, der ikke omhandler alle it-understøttende forretningsfunktioner.
I medfør af artikel 11, stk. 2, skal en finansiel enhed gennemføre politikken for it-driftsstabilitet ved hjælp af særlige veldokumenterede ordninger, planer, procedurer og mekanismer, der skal tage sigte på en række forhold, der er oplistet i stk. 2, litra a - e. En af disse forhold er eksempelvis at sikre, at en finansiel enheds kritiske eller vigtige funktioner er stabile, jf. litra a, eller omgående at aktivere særlige planer, der gør det muligt at anvende inddæmningsforanstaltninger, -processer og -teknologier, der er egnede til de enkelte typer af it-relaterede hændelser, og som forhindrer yderligere skade, jf. litra c.
Ansvarssubjektet for en overtrædelse af artikel 11, stk. 2, er den finansielle enhed. Den strafbare handling består i, ikke at have gennemført en politik for it-driftsstabilitet ved hjælp af særlige ordninger, planer, procedurer og mekanismer, der tager sigte på de forhold, der er oplistet i stk. 2, litra a – e.
Artikel 11, stk. 3, indeholder krav om, at en finansiel enhed skal gennemføre planer for it-indsats og -genopretning, som skal underkastes uafhængige interne revisionsgennemgange.
Ansvarssubjektet for en overtrædelse af stk. 3, er den finansielle enhed. Den strafbare handling består i at en finansiel enhed ikke lader planer for it-indsats og -genopretning blive underkastet uafhængige interne revisionsgennemgange.
Det fremgår af artikel 11, stk. 4, at en finansiel enhed skal indføre, vedligeholde og foretage regelmæssig testning af passende planer for it-driftsstabilitet, navnlig med hensyn til kritiske eller vigtige funktioner, som outsources eller udliciteres gennem ordninger, der er indgået med tredjepartsudbydere af it-tjenester. Ved regelmæssig testning forstås mindst én gang om året, jf. artikel 11, stk. 6, litra a.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i ikke at vedligeholde planer for it-driftsstabilitet, f.eks. hvis en udskiftning af virksomhedens it-systemer nødvendiggør en opdatering af planerne for it-driftsstyring. En strafbar handling kan også bestå i ikke regelmæssigt at foretage en test af planer for it-driftsstabilitet. Herunder vil det være en særligt skærpende omstændighed, hvis der ikke er foretaget regelmæssig testning af planer for it-driftsstabilitet med hensyn til kritiske eller vigtige funktioner, som eksempelvis er outsourcet til en tredjepartsudbyder af it-tjenester.
Af artikel 11, stk. 5, 1. pkt., fremgår det, at en finansiel enhed som led i den samlede politik for driftsstabilitet skal foretage en forretningskonsekvensanalyse af deres eksponering for alvorlige driftsforstyrrelser. Det fremgår videre af stk. 5, 2. pkt., hvordan en finansiel enhed i konsekvensanalysen skal vurdere potentielle virkninger af alvorlige driftsforstyrrelser. I stk. 5, 3. pkt., fremgår det, at en konsekvensanalyse bl.a. skal tage hensyn til den kritiske betydning af identificerede og kortlagte forretningsfunktioner og andre forhold, der er nævnt i 3. pkt. Til sidst fremgår det af stk. 5, 4. pkt., at en finansiel enhed skal sikre, at it- aktiver og -tjenester udformes og anvendes i fuld overensstemmelse konsekvensanalysen, navnlig med hensyn til tilstrækkeligt at sikre alle kritiske komponenters redundans, dvs. at en kritisk komponent kan erstattes med en tilsvarende komponent, hvis det skulle blive nødvendigt.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå af ikke at foretage en forretningskonsekvensanalyse af enhedens eksponering for alvorlige driftsforstyrrelser. Den kan f.eks. også bestå i ikke at foretage en vurdering af alvorlige driftsforstyrrelser i overensstemmelse med stk. 5, 2. pkt., eller bestå i at konsekvensanalysen ikke tager hensyn til den kritiske betydning af identificerede og kortlagte forretningsfunktioner eller en af de andre forhold, der er nævnt i det pågældende punkt. Til sidst kan en strafbar handling bestå i f.eks. ikke at sikre, at en kritisk komponent kan erstattes af en tilsvarende komponent, hvis konsekvensanalysen tilsiger dette.
Det fremgår af artikel 11, stk. 6, 1. afsnit, litra a, at en finansiel enhed som led i it-risikostyring skal teste enhedens planer for it-driftsstabilitet og planer for it-indsats og genopretning i forbindelse med it-systemer, der understøtter alle funktioner. En test heraf skal finde sted mindst én gang årligt og i tilfælde af væsentlige ændringer af it-systemer, der understøtter kritiske eller vigtige funktioner. I medfør af stk. 6, 1. afsnit, litra b, skal en finansiel enhed også teste krisekommunikationsplaner, der er udarbejdet i medfør af artikel 14.
Stk. 6, 2. afsnit indeholder nærmere krav til, hvilke forskellige scenarier tests for it-driftsstabilitet og planer for it-indsats og genopretning, jf. stk. 6, litra a, skal medtage. Det drejer sig bl.a. om cyberangrebsscenarier og omstillingsscenarier mellem den primære it-infrastruktur og redundante kapacitet. Ved redundante kapacitet forstås en lignende kapacitet, der skal kunne erstattet den primære it-infrastruktur, hvis denne eksempelvis bliver beskadiget under et cyberangreb. Bestemmelsen gælder ikke for finansielle enheder, der er mikrovirksomheder. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Videre fremgår det af stk. 6, 3. afsnit, at en finansiel enhed regelmæssigt skal gennemgå sin politik for it-driftsstabilitet og planer for it-indsats og -genopretning. Her skal den finansielle enhed bl.a. tage hensyn til resultaterne af de test, som den finansielle enhed har gennemført i henhold til 1. afsnit.
Ansvarssubjektet for en overtrædelse af artikel 11, stk. 6, er den finansielle enhed. Den strafbare overtrædelse kan eksempelvis bestå i ikke at foretage test for planer for it-driftsstabilitet og planer for it-indsats og -genopretning eller ikke at foretage test af krisekommunikationsplaner, jf. stk. 6, 1. afsnit.
En strafbar overtrædelse kan f.eks. også bestå af ikke at ikke at medtage cyberangrebscenarier og omstillingsscenarier mellem den primære it-infrastruktur og den redundante kapacitet, eller i ikke regelmæssigt at gennemgå enhedens politik for it-driftsstabilitet og planer for it-indsats og -genopretning under hensyntagen til resultaterne af de test, som enheden har gennemført, jf. henholdsvis 2. og 3. afsnit.
I medfør af artikel 11, stk. 7, skal en finansiel enhed have en krisestyringsfunktion, som, hvis deres planer for it-driftsstabilitet og planer for it-indsats og -genopretning aktiveres, bl.a. skal indeholde klare procedurer for forvaltning af intern og ekstern krisekommunikation i overensstemmelse med artikel 14, der indeholder nærmere regler herfor.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i ikke at have en krisestyringsfunktion, der indeholder klare procedurer for intern og ekstern krisekommunikation i overensstemmelse med artikel 14.
Artikel 11, stk. 8, indeholder krav om, at en finansiel enhed skal føre let tilgængelige registre over aktiviteter før og under driftsforstyrrelser, når deres planer for it-driftsstabilitet og planer for it-indsats og -genopretning aktiveres.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at føre registre over aktiviteter før og under driftsforstyrrelser, hvor planerne for it-driftsstabilitet og for it-indsats og -genopretning er blevet aktiveret.
Til sidst følger det af artikel 11, stk. 10, at en finansiel enhed skal indberette et overslag over de samlede årlige omkostninger og tab, der opstår som følge af større it-relaterede hændelser, til de kompetente myndigheder på deres anmodning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at indberette et overslag over de samlede årlige omkostninger og tab, der opstår som følge af større it-relaterede hændelser, til de kompetente myndigheder, dvs. Finanstilsynet, hvis Finanstilsynet anmoder den finansielle enhed herom.
Artikel 12 indeholder nærmere bestemmelser om politikker og procedurer for sikkerhedskopiering og procedure og metoder for gendannelse og genopretning af it-systemer og data.
Det følger af artikel 12, stk. 1, at en finansiel enhed som led i it-risikostyring skal udvikle og dokumentere politikker og procedure for sikkerhedskopiering, der præciserer omfanget af de data, der er genstand for sikkerhedskopiering, og minimumshyppigheden af sikkerhedskopiering baseret på oplysningernes kritiske betydning eller fortrolighedsniveauet for dataene. Desuden skal en finansiel enhed udvikle og dokumentere procedurer og metoder for gendannelse og genopretning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at udvikle og dokumentere politikker og procedure for enten sikkerhedskopiering eller gendannelse og genopretning.
I medfør af artikel 12, stk. 2, 1. pkt., skal en finansiel enhed etablere systemer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning. Det følger videre af artikel 12, stk. 2, 2. pkt., at aktiveringen af systemerne for sikkerhedskopiering ikke må sætte sikkerheden i net- og informationssystemer eller tilgængeligheden, autenticiteten, integriteten eller fortroligheden af data over styr. Til sidst er det i medfør af stk. 2, 3. pkt., et krav, at der foretages regelmæssig test af procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i ikke at etablere systemer for sikkerhedskopiering eller for procedurer og metoder for gendannelse og genopretning. Den kan også bestå i at en finansiel enhed ikke sikrer sig, at systemerne for sikkerhedskopiering ikke sætter sikkerheden i net- og informationssystemer m.v. over styr. I henhold til stk. 2, 3. pkt., kan den bestå i at der ikke foretages regelmæssige test af procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning.
Det følger af artikel 12, stk. 3, 1 og 2. pkt., at når en finansiel enhed gendanner sikkerhedskopierede data ved anvendelse af egne systemer, skal de anvende de it-systemer, der er fysisk og logisk adskilt fra it-kildesystemet. It-systemerne skal være sikkert beskyttet mod uautoriseret adgang eller it-korruption og give mulighed for rettidig gendannelse af tjenester ved hjælp af data- og systemsikkerhedskopier efter behov.
Ansvarssubjektet i stk. 3, 1. og 2. pkt., er den finansielle enhed. Den strafbare handling kan i medfør af stk. 3, 1. pkt., bestå i at anvende egne it-systemer til gendannelse af sikkerhedskopierede data, der ikke er fysisk og logisk adskilt fra it-kildesystemet. Det vil eksempelvis sige it-systemer, der befinder sig på en anden adresse end kildesystemet, dvs. det it-system, som den finansielle enhed anvender i sit daglige virke. Det kan også være, hvor en finansiel enhed anvender eget it-system, der er fysisk adskilt fra kildesystemet, men hvor systemet ikke logisk er adskilt fra kildesystemet. Den strafbare handling i medfør af stk. 3, 2. pkt., kan f.eks. bestå i ikke at beskytte it-systemerne mod uautoriseret adgang eller it-korruption.
Videre følger det af stk. 3, 3. pkt., at for centrale modparter (CCP’er) skal genopretningsplaner gøre det muligt at genoptage alle transaktioner fra det tidspunkt, hvor de blev afbrudt, således at den berørte centrale modpart (CCP) kan opretholde driftssikkerheden og gennemføre afviklingen på den planlagte dato. Til sidst følger det af stk. 3, 4. pkt., at udbydere af dataindberetningstjenester desuden skal sørge for at råde over passende ressourcer og sikkerhedskopierings- og gendannelsesfaciliteter for til enhver tid at kunne udbyde og opretholde deres tjenester.
Ansvarssubjektet i stk. 3, 3. pkt., er den centrale modpart (CCP). Den strafbare handling består i, at en genopretningsplan ikke gør det muligt at genoptage alle transaktioner fra det tidspunkt, hvor transaktionerne blev afbrudt.
Ansvarssubjektet i stk. 3, 4. pkt., er udbyderen af dataindberetningstjenester. Den strafbare handling består i ikke at have ressourcer og sikkerhedskopierings- og gendannelsesfaciliteter for til enhver tid at kunne udbyde og opretholde sine tjenester.
Det følger af artikel 12, stk. 4, 1. pkt., at en finansiel enhed opretholder redundante it-kapaciteter, der er udstyret med passende ressourcer og funktioner med henblik på at sikre forretningsmæssige behov. Videre fremgår det af stk. 4, 2. pkt., at mikrovirksomheder vurderer behovet for at opretholde redundante it-kapaciteter på grundlag af deres risikoprofil. Ved redundante it-kapaciteter forstås lignende it-kapaciteter, der skal kunne erstatte de primære it-kapaciteter en finansiel enhed, hvis disse it-kapaciteter eksempelvis bliver ramt af et cyberangreb.
Ansvarssubjektet i stk. 4, 1. pkt., er den finansielle enhed. Den strafbare handling består i ikke at have redundante it-kapaciteter, der sikrer forretningsmæssige behov.
Ansvarssubjektet i stk. 4, 2. pkt., er en finansiel enhed, som er en mikrovirksomhed. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Den strafbare handling består i ikke at have foretaget en vurdering af behovet for at opretholde redundante it-kapaciteter på baggrund af enhedens risikoprofil.
Det fremgår af artikel 12, stk. 6, 1. pkt., at når en finansiel enhed skal fastlægge målene for genopretningstid og genopretningstidspunkt for hver funktion, skal de tage hensyn til, om det er en kritisk eller vigtig funktion og de potentielle samlede virkninger for markedseffektiviteten. Videre fremgår det af stk. 6, 2. pkt., at tidsmålene skal sikre, at de aftalte serviceniveauer kan overholdes i ekstreme scenarier.
Ansvarssubjektet i stk. 6, er den finansielle enhed. Den strafbare handling består i, at en finansiel enhed i sin fastlæggelse af målene for genopretningstid og genopretningstidspunkt, ikke har taget hensyn til, om den pågældende funktion er kritisk, eller hvilken virkning disse tidsmål vil have på markedseffektiviteten. Den kan også bestå i, at den finansielle enhed ikke har sikret sig, at tidsmålene kan overholde de aftalte serviceniveauer i ekstreme scenarier.
Det fremgår af artikel 12, stk. 7, 1. pkt., at når en finansiel enhed foretager genopretning efter en it-relateret hændelse, skal den udføre de nødvendige kontroller, herunder eventuelt flere kontroller og afstemninger, for at sikre, at dataintegriteten bevares på højeste niveau. Videre fremgår det af stk. 7, 2. pkt., at kontroller også skal foretages i forbindelse med rekonstruktionen af data fra eksterne interessenter for at sikre, at alle systemernes data er sammenhængende.
Ansvarssubjektet i stk. 7 er den finansielle enhed. Den strafbare handling består i ikke at udføre de nødvendige kontroller eller afstemninger efter en genopretning for at sikre, at dataintegriteten bevares på højt niveau. I den forbindelse kan den strafbare handling også bestå i ikke at foretage kontroller i forbindelse med rekonstruktionen af data fra eksterne interessenter for at sikre, at alle systemernes data er sammenhængende.
Artikel 13 indeholder regler om læring og udvikling omkring sårbarheder og cybertrusler, it-relaterede hændelser, herunder navnlig cyberangreb. Stk. 1 indeholder krav om, at en finansiel enhed skal sørge for at råde over kapaciteter og personale, som kan indsamle oplysninger herom, og som kan analysere de virkninger, de forventes at have på deres digitale operationelle modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at have afsat ressourcer til f.eks. et it-system og personale, hvormed enheden kan indsamle oplysninger om sårbarheder og cybertrusler eller it-relaterede hændelser som cyberangreb. Den strafbare handling kan eksempelvis også bestå i ikke at have personale med tilstrækkelige kompetencer til at kunne analysere de virkninger, som bl.a. et cyberangreb kan have på deres digitale operationelle infrastruktur.
Det fremgår af artikel 13, stk. 2, 1. afsnit, at en finansiel enhed skal foretage gennemgange af it-relaterede hændelser, efter at større it-relaterede hændelser har forstyrret deres kerneaktiviteter. Den finansielle enhed skal i den forbindelse analysere årsagerne til forstyrrelserne og identificere nødvendige forbedringer af it-operationerne eller indenfor rammerne af den i artikel 11 omhandlede politik for it-driftsstabilitet.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i ikke at foretage en gennemgang og analyse af en større it-relateret hændelse, der har forstyrret den finansielle enheds kerneaktivitet.
Videre fremgår det af stk. 2, 2. afsnit, at en finansiel enhed på anmodning fra den kompetente myndighed skal underrette den kompetente myndighed om ændringer, der er blevet gennemført efter en gennemgang af it-relaterede hændelser. Bestemmelsen gælder ikke for finansielle enheder, der er mikrovirksomheder. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke efter anmodning fra Finanstilsynet at underrette Finanstilsynet om ændringer, der er blevet gennemført efter en gennemgang af it-relaterede hændelser.
Til sidst fremgår det af stk. 2, 3. afsnit, at det i forbindelse med gennemgangen af it-relaterede hændelser skal fastslås, om de fastlagte procedurer er blevet fulgt, og om de iværksatte foranstaltninger har været effektive. Ved fastlagte procedurer forstås de procedurer, som den finansielle enhed har fastlagt i sin politik for it-driftsstabilitet. Det fremgår af artikel 11, stk. 2, at en finansiel enhed gennemfører politikken for it-driftsstabilitet ved hjælp af særlige, passende og veldokumenterede ordninger, planer, procedurer og mekanismer. Det er derfor procedurer og iværksatte foranstaltninger i henhold til de her ordninger m.v., som den finansielle enhed skal fastslå om har været effektive.
Det fremgår nærmere af artikel 13, stk. 2, 3. afsnit, at hvad en finansiel enhed bl.a. skal lægge nærmere vægt på i sin vurdering af, om de iværksatte foranstaltninger har været effektive. Den finansielle enhed skal bl.a. lægge vægt på den hastighed, med hvilken der er blevet sat ind overfor sikkerhedsvarsler, og med hvilken hastighed virkningerne af it-relaterede hændelser og deres omfang er blevet fastslået, jf. stk. 2, 3. afsnit, litra a. Det kan også være i forhold til effektiviteten af den finansielle enheds fejlafhjælpning i forbindelse med hændelser, jf. stk. 2, 3. afsnit, litra c.
Bestemmelsen har til formål at sikre, at en finansiel enhed efter en it-hændelse forholder sig kritisk til sine ordninger, planer, procedure m.v. i forbindelse med sin politik for it-driftsstabilitet for evt. at kunne forbedre disse til håndtering af en fremtidig it-relateret hændelse.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at fastslå om ordninger, planer og procedure i forbindelse med politikken for it-driftsstabilitet er blevet fulgt. Den kan også bestå i ikke at fastslå, om de iværksatte foranstaltninger har været effektive, herunder eksempelvis i forhold til den hastighed, med hvilken der er blevet sat ind overfor sikkerhedsvarsler, og med hvilken hastighed virkningerne af it-relaterede hændelser og deres omfang er blevet fastslået, jf. stk. 2, 3. afsnit, litra a.
Det følger af artikel 13, stk. 3, 1. pkt., at erfaringer fra test af digital operationel modstandsdygtighed, som foretages i overensstemmelse med artikel 26 og 27, og fra faktiske it-relaterede hændelser, navnlig cyberangreb, samt udfordringer i forbindelse med aktiveringen af planer for it-driftsstabilitet og planer for it-indsats og -genopretning, sammen med relevante oplysninger, der udveksles med modparter, og som vurderes i forbindelse med tilsynsmæssige gennemgange, løbende skal indarbejdes i it-risikovurderingsprocessen.
Artikel 26 vedrører avancerede test af IKT-værktøjer, -systemer og -processer baseret på TLPT. TLPT står for Threat Led Penetration Testing, som er en testmetode, hvor en virksomhed engagerer etiske hackere, som skal angribe flere systemer og det tilhørende cyberforsvar i virksomheden. Testene foregår i livesystemer, hvilket vil sige de systemer, som anvendes direkte i den finansielle sektor, og er baseret på konkrete trusler, hvilket betyder, at testene simulerer taktikker, teknikker og procedurer fra aktive, avancerede hackergrupper. Artikel 27 fastsætter de nærmere krav til testere.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består f.eks. i ikke løbende at indarbejde erfaringer fra test af digital operationel modstandsdygtighed i overensstemmelse med artikel 26 og 27, og fra it-relaterede hændelser i it-risikostyringsprocessen.
Det fremgår af artikel 13, stk. 4, 1. pkt., at en finansiel enhed skal overvåge effektiviteten af gennemførelse af deres strategi for digital operationel modstandsdygtighed, jf. artikel 6, stk. 8, der fastsætter nærmere krav til strategien. Videre fremgår det af stk. 4, 2. pkt., at en finansiel enhed skal kortlægge it-risikoens udvikling over tid, analysere hyppigheden, typerne, omfanget af og udviklingen i it-relaterede hændelser, navnlig cyberangreb og mønstre forbundet hermed. Den finansielle enhed skal gøre dette med henblik på at forstå graden af it-risikoeksponering, navnlig i forbindelse med kritiske eller vigtige funktioner, og for at forbedre den finansielle enheds cybermodenhed og cyberberedskab.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at overvåge effektiviteten af gennemførelsen af enhedens strategi for digital operationel modstandsdygtighed eller i ikke at kortlægge it-risikoens udvikling over tid, analysere hyppigheden, typerne, omfanget af og udviklingen i it-relaterede hændelser, navnlig cyberangreb og mønstre forbundet hermed.
Det fremgår af artikel 13, stk. 5, at højtstående it-personale mindst én gang om året skal aflægge rapport til ledelsesorganet om de i stk. 3 omhandlede resultater og fremsætte anbefalinger. Indholdet af artikel 13, stk. 3, er nærmere gennemgået ovenfor under bemærkningerne til strafbelæggelsen af en overtrædelse af stk. 3.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i som finansiel enhed ikke at sørge for, at it-personale mindst én gang om året aflægger rapport for ledelsesorganet om resultater af f.eks. faktiske it-relaterede hændelser, jf. artikel 13, stk. 3, og fremsætter anbefalinger.
Det fremgår af artikel 13, stk. 6, 1. pkt., at en finansiel enhed skal udvikle programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed som obligatoriske moduler i deres personaleuddannelsesordninger. Videre fremgår det af stk. 6, 2. pkt., at disse kurser skal omfatte alle medarbejdere og den øverste ledelse og skal have en grad af kompleksitet, der svarer til deres opgavers ansvarsområde. Sidst fremgår det af stk. 6, 3. pkt., at en finansiel enhed, hvis det er relevant, inddrager tredjepartsudbydere af it-tjenester i relevante uddannelsesordninger, jf. artikel 30, stk. 2, litra i, om kontraktlige ordninger om betingelserne for deltagelse af tredjepartsudbydere i programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består f.eks. i ikke at udvikle programmer til alle medarbejdere og den øverste ledelse til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed som obligatoriske moduler i deres personaleuddannelse. Den strafbare handling kan også bestå i ikke at inddrage tredjepartsudbydere af it-tjenester i relevante uddannelsesordninger, hvis dette viser sig nødvendigt. Det kan eksempelvis være i det tilfælde, hvor kompleksiteten af et uddannelsesprogram når et niveau, hvor den finansielle enhed ikke selv har kompetencerne til at udvikle programmet.
Det fremgår af artikel 13, stk. 7, 1. pkt., at en finansiel enhed løbende skal overvåge den relevante teknologiske udvikling også med henblik på at forstå den mulige virkning af indførelsen af sådanne nye teknologier for kravene til it-sikkerhed og digital operationel modstandsdygtighed. Videre fremgår det af stk. 7, 2. pkt., at en finansiel enhed skal holde sig ajour med de seneste it-risikostyringsprocesser for effektivt at bekæmpe aktuelle eller nye former for cyberangreb. Bestemmelsen gælder ikke for mikrovirksomheder. Se definitionen af en mikrovirksomhed under bemærkningerne til strafbelæggelse af overtrædelse af artikel 11, stk. 6, 2. afsnit.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke løbende at overvåge den relevante teknologiske udvikling med henblik på evt. at indføre de nye teknologier i enheden i forhold til at leve op til kravene til it-sikkerhed og digital operationel modstandsdygtighed. Den kan også bestå i ikke at holde sig ajour med de seneste it-risikostyringsprocesser for effektivt at bekæmpe aktuelle eller nye former for cyberangreb.
Artikel 14, stk. 1 i DORA-forordningen omhandler, at der som led i den ramme for it-risiko-styring, der er omhandlet i artikel 6, stk. 1, at de finansielle enheder sørger for at have krisekommunikationsplaner, der giver mulighed for ansvarlig offentliggørelse af, som minimum større it-relaterede hændelser eller sårbarheder for kunder og modparter samt for offentligheden, alt efter hvad der er relevant.
Krisekommunikations-planer må forstås sådant, at når der opstår en større ulykke eller katastrofe, så er der et akut behov for viden, og det er derfor nødvendigt at have planer for at kommunikere dette ud til de relevante parter.
It-risiko-styring må forstås sådant, at det er en håndtering af en sådan trussel, som defineres i artikel 3, stk. 1 nr. 5.
Ansvarssubjektet for overtrædelse af artikel 14, stk. 1, er den finansielle enhed. Den strafbare handling kan f.eks. bestå i, at den finansielle enhed ikke har udarbejdet planer for kommunikation af en offentliggørelse af en større it-relateret hændelse.
I medfør af artikel 14, stk. 2, skal en finansiel enhed som led i rammen for it-risikostyring, der er omhandlet i artikel 6, stk. 1. gennemføre kommunikationsplaner for internt personale og eksterne interessenter. Artikel 6, stk. 1, vedrører, at finansielle enheder indfører en robust, omfattende og veldokumenteret ramme for it-risikostyring. Kommunikationspolitikkerne for personalet skal tage hensyn til behovet for at skelne mellem personale der er involveret i it-risiko-styring, navnlig det personale der er ansvarlig for indsats og genopretning, og personale, der skal underrettes.
Ansvarssubjektet for en overtrædelse af artikel 14, stk. 2, er den finansielle enhed. Den strafbare handling består i, ikke at have gennemført kommunikationsplaner for internt personale og eksterne interessenter.
Artikel 14, stk. 3, indeholder krav om, at mindst én person i den finansielle enhed skal have til opgave at gennemføre kommunikationsstrategien for it-relaterede hændelse, og til dette formål varetage funktionen vedrørende offentligheden og medierne.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed ikke har mindst én person, der har til opgave at gennemføre kommunikationsstrategien for it-relaterede hændelse, og som til dette formål har varetage funktionen vedrørende offentligheden og medierne.
Det fremgår af artikel 16, stk. 1, at forordningens artikel 5-15 ikke finder anvendelse på små og ikke indbyrdes forbundne investeringsselskaber, betalingsinstitutter, der er undtaget i henhold til direktiv (EU) 2015/2366, institutter, der er fritaget i henhold til direktiv 2013/36/EU, og for hvilke medlemsstaterne har besluttet ikke at anvende den mulighed, der er omhandlet i nærværende forordnings artikel 2, stk. 4, e-pengeinstitutter, der er undtaget i henhold til direktiv 2009/110/EF, og små arbejdsmarkedsrelaterede pensionskasser.
Uden at det berører første afsnit skal de i første afsnit omhandlede enheder overholde det anførte i artikel 16, stk. 1, litra a-e. Det fremgår af litra a, at enhederne skal indføre og vedligeholde en robust og dokumenteret ramme for it-risikostyring, der beskriver de mekanismer og foranstaltninger, der skal muliggøre en hurtig, effektiv og omfattende styring af it-risiko, herunder vedrørende beskyttelse af relevante fysiske komponenter og infrastrukturer.
Det fremgår af litra b, at der løbende skal overvåges alle it-systemers sikkerhed og drift.
Det fremgår af litra c, at virkningen af it-risiko gennem anvendelse af robuste, modstandsdygtige og ajourførte it-systemer, -protokoller og -værktøjer, som er egnede til at understøtte udførelsen af deres aktiviteter og leveringen af tjenester og i tilstrækkelig grad beskytte tilgængeligheden, autenticiteten, integriteten og fortroligheden af data i net- og informationssystemerne skal minimeres.
Det fremgår af litra d, at det hurtigst muligt skal konstateres og detekteres it-risikokilder og -anomalier i net- og informationssystemerne og hurtigt at håndtere it-relaterede hændelser.
Det fremgår af litra e, at der skal konstateres stor afhængighed af tredjepartsudbydere af it-tjenester.
Det fremgår af litra f, at der skal sikres kontinuiteten af kritiske eller vigtige funktioner gennem planer for driftsstabiliteten og indsats- og genopretningsforanstaltninger, der som minimum omfatter sikkerhedskopierings- og gendannelsesforanstaltninger.
Det fremgår af litra g, at der regelmæssigt skal testes de planer og foranstaltninger, der er omhandlet i litra f, samt effektiviteten af de gennemførte kontroller i overensstemmelse med litra a og c.
Det fremgår af litra h, at der skal gennemføres, alt efter hvad der er relevant, de relevante operationelle konklusioner, der følger af de test, der er omhandlet i litra g, og af de efterfølgende analyser af hændelserne, i it-risikovurderingsprocessen og efter behov og it-risikoprofil udvikle programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed for personale og ledelse.
Ansvarssubjektet i artikel 16, stk. 1 litra a-h, er den finansielle enhed. Den strafbare handling består i, at de i første afsnit omhandlede enheder ikke overholder det anførte i artikel 16, stk. 1, litra a-e.
I medfør af artikel 16, stk. 2, skal en finansiel enhed i den i stk. 1, andet afsnit, litra a, omhandlede ramme for it-risikostyring dokumenteres og gennemgås regelmæssigt og ved forekomst af større it-relaterede hændelser i overensstemmelse med de tilsynsmæssige instrukser. Den skal forbedres løbende på grundlag af indhøstede erfaringer fra gennemførelse og overvågning. Der skal forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed på dennes anmodning.
Ansvarssubjektet for overtrædelsen af artikel 16, stk. 2, er den finansielle enhed. Den strafbare handling består i, at ikke at have gennemført de handlinger der er oplistet i artikel 16, stk. 2. Dette er eksempelvis at sikre at der forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed ved anmodning.
Det følger af artikel 17, stk. 1, at de finansielle enheder definerer, fastlægger og gennemfører en proces for styring af it-relaterede hændelser for at detektere, styre og indberette it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 17, stk. 1 bestå i, at de finansielle enheder ikke definerer, fastlægger og gennemfører en proces for styring af it-relaterede hændelser, som kan detektere, styre og indberette it-relaterede hændelser.
Det følger af artikel 17, stk. 2, at de finansielle enheder er alle, der registrerer it-relaterede hændelser og væsentlige cybertrusler. De finansielle enheder fastlægger passende procedurer og processer, der skal sikre en konsekvent og integreret overvågning, håndtering og opfølgning af it-relaterede hændelser. Det skal ske således, at de grundlæggende årsager identificeres, dokumenteres og håndteres for at forhindre, at sådanne hændelser forekommer.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 17, stk. 2, bestå i, at den finansielle enhed fastlægger passende procedurer og processer, der skal sikre en konsekvent og integreret overvågning, håndtering og opfølgning af it-relaterede hændelser. Dette skal ske således, at de grundlæggende årsager identificeres, dokumenteres og håndteres for at forhindre, at sådanne hændelser kan opstå.
Det følger af artikel 17, stk. 3, at den finansielle enhed som led i den proces for styring af it-relaterede hændelser, der er omhandlet i stk. 1, overholder det anførte i artikel 17, stk. 3, litra a-f.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling i medfør af artikel 17, stk. 3, er en tilsidesættelse af overholdelse af de oplistede krav i artikel 17, stk. 3, litra a-f. Dette kan eksempelvis være, at der ikke tildeles roller og ansvarsområder, som skal aktiveres for forskellige it-relaterede hændelsestyper og -scenarier.
Artikel 18 indeholder en klassificering af it-relaterede hændelser og cybertrusler.
Det følger af artikel 18, stk. 1, at de finansielle enheder klassificerer it-relaterede hændelser og fastslår deres virkninger på grundlag af følgende kriterier oplistet i artikel 18, stk. 1, litra a-f.
Det fremgår af litra a, at antallet og/eller relevansen af kunder eller finansielle modparter, som er berørt, og, hvis det er relevant, beløbet på eller antallet af de transaktioner, som er berørt af den it-relaterede hændelse, og hvorvidt den it-relaterede hændelse har haft indvirkning på omdømmet.
Det fremgår af litra b, at varigheden af den it-relaterede hændelse, herunder tjenestens nedetid.
Det fremgår af litra c, at den geografiske udbredelse med hensyn til de områder, der er berørt af den it-relaterede hændelse, navnlig hvis den berører mere end to medlemsstater.
Det fremgår af litra d, at de datatab, som den it-relaterede hændelse medfører med hensyn til tilgængelighed, autenticitet, integritet eller fortrolighed af data.
Det fremgår af litra e, at den kritiske betydning af de berørte tjenester, herunder den finansielle enheds transaktioner og operationer.
Det fremgår af litra f, at de økonomiske virkninger, navnlig direkte og indirekte omkostninger og tab, af den it-relaterede hændelse i både absolutte og relative tal.
Ansvarssubjektet i stk. 1 er den finansielle enhed. Den strafbare handling består i, at de finansielle enheder ikke klassificerer it-relaterede hændelser og dermed ikke fastslår deres virkninger på grundlag af følgende kriterier oplistet i artikel 18, stk. 1, litra a-f.
Det fremgår af stk. 2, at de finansielle enheder klassificerer cybertrusler som væsentlige på grundlag af de udsatte tjenesters kritiske betydning, herunder den finansielle enheds transaktioner og operationer, antallet og/eller relevansen af de kunder eller finansielle modparter, som rammes, og risikoområdernes geografiske udbredelse.
Ansvarssubjektet i artikel 18, stk. 2, er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed undlader at klassificere cybertrusler som væsentlige, eksempelvis på grundlag af de udsattes tjenesters kritiske betydning.
Artikel 19, stk. 1, omhandler indberetning af større it-relaterede hændelser. Bestemmelsen forpligter den finansielle enhed til at indberette større it-relaterede hændelser til den relevante kompetente myndighed.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke underretter Finanstilsynet om en større it-relateret hændelse.
I medfør af artikel 19, stk. 3, skal den finansielle enhed underrette Finanstilsynet, uden unødigt ophold, i tilfælde af, at en større it-relateret hændelse indtræffer og har indflydelse på kunders finansielle interesser. Den finansielle enhed underretter også om de foranstaltninger, der er truffet for at afbøde de negative virkninger af en sådan hændelse. I tilfælde af en væsentlig cybertrussel underretter de finansielle enheder, hvis det er relevant, de af deres kunder, som potentielt er berørt heraf, om eventuelle passende beskyttelsesforanstaltninger, som sidstnævnte kan overveje at træffe
Ansvarssubjektet var overtrædelse af artikel 19, stk. 3, er den finansielle enhed. En strafbar handling kan bestå i, at den finansielle enhed ikke underretter Finanstilsynet rettidigt i tilfælde en større it-relateret hændelse indtræffer, som har indflydelse på kunders finansielle interesser. En strafbar handling kan også bestå i at underrette Finanstilsynet om den it-relaterede hændelse, uden at underrette om de foranstaltninger der er truffet for at afbøde de negative virkninger.
Det fremgår af artikel 19, stk. 4, at den finansielle enhed, i tilfælde af en it-relateret hændelse, skal indgive henholdsvis en indledende underretning, jf. litra a, en foreløbig rapport så snart den oprindelige hændelses status har ændret sig betydeligt, eller håndteringen af den større it-relaterede hændelse har ændret sig på grundlag af nye tilgængelige oplysninger, efterfulgt, alt efter hvad der er relevant, af ajourførte underretninger, hver gang der foreligger en relevant ajourføring af status, samt efter en specifik anmodning fra den kompetente myndighed, jf. litra b. Samt en endelig rapport, når den grundlæggende årsagsanalyse er afsluttet, uanset om der allerede er gennemført afbødende foranstaltninger, og når tallene for de faktiske virkninger foreligger og kan erstatte skøn, jf. litra c. Fristerne for disse skal fastsættes i overensstemmelse med artikel 20, stk. 1, litra a, nr. ii, og skal indgives til Finanstilsynet, som er den kompetente myndighed.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i, ikke at indgive en indledende underretning, en foreløbig rapport eller en endelig rapport til Finanstilsynet inden for de af artikel 20, stk. 1, litra a, nr. ii, fastsatte frister.
Artikel 24 i DORA-forordningen omhandler generelle krav til gennemførslen af test af digital operationel modstandsdygtighed.
Det følger af artikel 24, stk. 1, at en finansiel enhed skal udarbejde, opretholde og gennemgå et forsvarligt og omfattende program for test af digital operationel modstandsdygtighed, som en integreret del af den i artikel 6 omhandlede ramme for it-risikostyring. Dette skal ske med henblik på at vurdere beredskabet i forhold til håndtering af it-relaterede hændelser, identificere svagheder, mangler og huller i den digitale operationelle modstandsdygtighed og straks træffe korrigerende foranstaltninger.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har udarbejdet et program for test af digital operationel modstandsdygtighed. Den strafbare handling kan også bestå i, at den finansielle enheds program for test af digital operationel modstandsdygtighed ikke er forsvarligt eller omfattende nok.
I medfør af artikel 24, stk. 2, skal programmet for test af digital operationel modstandsdygtighed, omfatte en række vurderinger, test, metodologier, fremgangsmåder og værktøjer, der skal anvendes i overensstemmelse med artikel 25 og 26 i DORA-forordningen.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i at den finansielle enhed gennemfører tests der ikke i tilstrækkelig grad omfatter kravene om vurderinger, test, metodologier, fremgangsmåder og værktøj, der skal anvendes i overensstemmelse med artikel 25 og artikel 26 i DORA-forordningen.
Artikel 24, stk. 3, pålægger den finansielle enhed at følge en risikobaseret tilgang for programmet for test af digital operationel modstandsdygtighed. Den finansielle enhed skal ved gennemførslen af programmet, tage hensyn til kriterierne i DORA-forordningens artikel 4, stk. 2, og til et it-risikomiljø i udvikling, eventuelle specifikke risici, som den berørte finansielle enhed udsættes for eller kan blive udsat for, informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre faktorer, som den finansielle enhed finder relevante.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse af artikel 24, stk. 3, kunne eksempelvis være, at den finansielle enhed gennemfører et program for test af digital operationel modstandsdygtighed uden at tage hensyn til den finansielles enheds it-risikomiljø.
I medfør af artikel 24, stk. 4, skal den finansielle enhed sikre, at tests gennemføres af uafhængige parter, hvad enten de er interne eller eksterne. Hvis en intern tester gennemfører test, skal de finansielle enheder afsætte tilstrækkelige ressourcer og sikre, at interessekonflikter undgås under testens udformnings- og gennemførelsesfaser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed der gennemfører tests af deres digitale operationelle modstandsdygtighed ikke sikrer, at testen gennemføres af uafhængige interne eller eksterne parter for at begrænse interessekonflikter.
Artikel 24, stk. 5, pålægger den finansielle enhed at fastlægge procedurer og politikker med henblik på at prioritere, klassificere og afhjælpe alle problemer, der identificeres i forbindelse med gennemførelsen af test, og fastlægger interne valideringsmetoder for at sikre, at alle konstaterede svagheder, mangler eller huller afhjælpes fuldt ud.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at fastlægge procedurer og politikker der prioriterer, klassificerer og afhjælper de problemer der identificeres med gennemførslen af testen.
I medfør af artikel 24, stk. 6, skal de finansielle enheder sikre, at der gennemføres passende test af alle it-systemer og -applikationer, der understøtter kritiske eller vigtige funktioner, mindst én gang om året.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kunne bestå i at den finansielle enhed ikke mindst én gang årligt gennemfører tests af alle it-systemer og it-applikationer, der kan anses for passende.
Artikel 25 omhandler test af it-værktøjer og -systemer.
Det følger af artikel 25, stk. 1, at programmet for test af den digitale operationelle modstandsdygtighed skal være i overensstemmelse med de af artikel 4, stk. 2, kriterier for proportionalitet. I medfør af artikel 4, stk. 2, skal den finansielle enheds styring, klassificering, indberetning af it-relaterede hændelser, test af digital operationel modstandsdygtighed og styring af it-tredjepartsrisici stå i et rimeligt forhold til deres størrelse og samlede risikoprofil og til karakteren, omfanget og kompleksiteten af deres tjenester, aktiviteter og operationer, som specifikt fastsat i de relevante regler i de nævnte kapitler.
I overensstemmelse med de oplistede kriterier i artikel 4, stk. 2, skal programmet for test af digital operationel modstandsdygtighed, nævnt i artikel 24, indeholde bestemmelser om gennemførelse af relevante test såsom sårbarhedsvurderinger og -scanninger, open source-analyser, vurderinger af netsikkerheden, mangelanalyser, fysiske sikkerhedsgennemgange, spørgeskemaer og scanningssoftwareløsninger, gennemgange af kildekoder, når det er praktisk muligt, scenariebaserede test, kompatibilitetstest, præstationstest, end-to-end-test og penetrationstest.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at den finansielle enhed har vedtaget et program for test der ikke er tilstrækkeligt, mangelfuldt eller lever op til de fastsatte krav for programmer for test af digital operationel modstandsdygtighed i artikel 25, stk. 1.
I medfør af artikel 25, stk. 3, skal mikrovirksomheder gennemføre de i artikel 25, stk. 1 omhandlede test ved at kombinere en risikobaseret tilgang med strategisk planlægning af it-test under behørig hensyntagen til behovet for at opretholde en afbalanceret tilgang mellem omfanget af ressourcer og den tid, der skal afsættes til it-test som omhandlet i denne artikel, på den ene side og den hastende karakter, risikotype og informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre relevante faktorer, herunder den finansielle enheds evne til at tage kalkulerede risici, på den anden side.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i, at en mikrovirksomhed ikke har taget tilstrækkeligt hensyn til at opretholde en balanceret tilgang til henholdsvis omfanget af ressourcer og andre faktorer, som eksempelvis den finansielle enheds evne til at tage kalkulerede risici.
Artikel 28 omhandler generelle principper for forsvarlig styring af it-tredjepartsrisici.
I medfør af artikel 28, stk. 1, skal den finansielle enhed styre deres it-tredjepartsrisiko som en integreret del af it-risiko, inden for deres ramme for it-risikostyring.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at den finansielle enheds it-tredjepartsrisiko ikke bliver styret som en integreret del af deres samlede it-risiko, inden for den finansielle enheds it-risikostyring.
I medfør af artikel 28, stk. 1, litra b, skal styringen af it-tredjepartsrisikoen hos den finansielle enhed foregå under hensyntagen til proportionalitetsprincippet og skal derfor tage hensyn til henholdsvis artikel 28, stk. 1, litra b, nr. i, som omhandler karakteren, omfanget, kompleksiteten og betydningen af den it-relaterede afhængighed og artikel 28, stk. 1, litra b, nr. ii, som omhandler de risici, der opstår som følge af kontraktlige ordninger for brugen af it-tjenester, der er indgået med tredjepartsudbydere af it-tjenester, under hensyntagen til den kritiske betydning eller vigtighed af den pågældende tjeneste, proces eller funktion og til de potentielle virkninger for driftsstabiliteten og tilgængeligheden af finansielle tjenesteydelser og aktiviteter på individuelt plan og koncernniveau.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at kravene i artikel 28, stk. 1, litra b, nr. i-ii, ikke tages under betragtning ved udformningen af den finansielle enheds styring af it-tredjepartsrisiko.
Artikel 28, stk. 2, omhandler strategien for den finansielle enheds it-tredjepartsrisiko. Den finansielle enhed skal vedtage og gennemgå deres strategi regelmæssigt som led i deres ramme for it-risikostyring. Strategien skal omfatte en politik for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og som leveres af tredjepartsudbydere af it-tjenester. Strategien skal gælde på individuelt grundlag og, hvor det er relevant, på delkonsolideret og konsolideret grundlag. Ledelsesorganet i den finansielle enhed skal på grundlag af en vurdering af den finansielle enheds samlede risikoprofil og omfanget og kompleksiteten af forretningstjenesterne regelmæssigt gennemgå de risici, der er konstateret i forbindelse med kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i at ledelsesorganet i den finansielle enhed ikke ved vurderingen af den samlede risikoprofil har gennemgået de de risici, der er konstateret i forbindelse med kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner.
Artikel 28, stk. 3, fastsætter krav for den finansielle enheds dokumentation af kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere. Den finansielle enhed skal som et led i deres ramme for it-risikostyring sørge for at opretholde og ajourføre et register over kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere på både enhedsniveau, delkonsolideret niveau og konsolideret niveau. De kontraktsretlige ordninger skal være skelnet mellem de it-tjenester der understøtter kritiske eller vigtige funktioner, og dem, der ikke gør.
Desuden skal den finansielle enhed mindst én gang årligt indberette nye ordninger for brugen af it-tjenester, kategorierne af tredjepartsudbydere af IKT-tjenester, typen af kontraktlige ordninger og de it-tjenester og funktioner, der leveres, til Finanstilsynet.
Til sidst skal den finansielle enhed efter anmodning, stille det fulde register over oplysninger eller, som anmodet, nærmere angivne afsnit heraf til rådighed for Finanstilsynet sammen med eventuelle oplysninger, som anses for nødvendige for at muliggøre et effektivt tilsyn med den finansielle enhed. Den finansielle enhed underretter rettidigt Finanstilsynet om enhver planlagt kontraktlig ordning for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og når en funktion er blevet kritisk eller vigtig.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at den finansielle enhed efter anmodning fra Finanstilsynet, ikke kan stille det fulde register over kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere til rådighed.
Artikel 28, stk. 4, litra a-e, fastsætter krav til den finansielle enhed før der indgås en kontraktlig ordning for brugen af it-tjenester. Den finansielle enhed skal vurdere, om den kontraktlige ordning omfatter brugen af it-tjenester, der understøtter en kritisk eller vigtig funktion, jf. litra a, vurdere, om de tilsynsmæssige betingelser for udlicitering er opfyldt, jf. litra b, identificere og vurdere alle relevante risici i forbindelse med den kontraktlige ordning, herunder muligheden for, at sådanne kontraktlige ordninger kan bidrage til at øge it-koncentrationsrisikoen, jf. artikel 29, jf. litra c, foretage fornøden due diligence over for potentielle tredjepartsudbydere af it-tjenester og under alle udvælgelses- og vurderingsprocesserne sikre, at den pågældende tredjepartsudbyder af it-tjenester er egnet jf. litra d, og identificere og vurdere interessekonflikter, som de kontraktlige ordninger kan give anledning til, jf. litra e.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i at den finansielle enhed indgår en kontraktlig ordning for brugen af it-tjenester, uden at have identificeret og vurderet interessekonflikter, som den kontraktlige ordning kan give anledning til.
I medfør af artikel 28, stk. 7, litra a-d, skal den finansielle enhed sikre sig, at de indgåede kontraktlige ordninger kan opsiges på baggrund af væsentlig overtrædelse begået af tredjepartsudbyderen af it-tjenester af gældende love, administrative bestemmelser eller kontraktvilkår, jf. litra a. Forhold, der er identificeret under overvågningen af it-tredjepartsrisiko, og som anses for at kunne ændre udførelsen af de funktioner, der er leveret gennem den kontraktlige ordning, herunder væsentlige ændringer, der påvirker ordningen eller situationen for tredjepartsudbyderen af it-tjenester skal også kunne lægges til grund for opsigelse af den kontraktlige ordning, jf. litra b.
Ligeledes skal dokumenterede svagheder hos tredjepartsudbyderen af it-tjenester, som vedrører dennes samlede it-risikostyring, og navnlig i den måde, hvorpå denne garanterer tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, hvad enten det drejer sig om personoplysninger eller på anden måde følsomme data eller andre oplysninger end personoplysninger, kunne lægges til grund for opsigelse af den kontraktlige ordning, jf. litra c. Til sidst skal den kontraktlige ordning kunne opsiges, såfremt Finanstilsynet ikke længere kan føre effektivt tilsyn med den finansielle enhed som følge af betingelserne eller omstændighederne vedrørende de respektive kontraktlige ordninger.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at den kontraktlige ordning ikke kan opsiges på baggrund af de af artikel 28, stk. 7, oplistede situationer.
Artikel 28, stk. 8, omhandler exitstrategier. Den finansielle enhed skal indføre exitstrategier for it-tjenester, der understøtter kritiske eller vigtige funktioner.
Exitstrategierne skal tage højde for de risici, der kan opstå hos tredjepartsudbydere af it-tjenester, navnlig mulige svigt fra deres side, en forringelse af kvaliteten af de leverede it-tjenester, eventuelle driftsforstyrrelser som følge af uhensigtsmæssig eller manglende levering af it-tjenester eller eventuelle væsentlige risici i forbindelse med en passende og løbende anvendelse af de pågældende it-tjenester eller opsigelse af kontraktlige ordninger med tredjepartsudbydere af it-tjenester i en af de i artikel 28, stk. 7, anførte situationer.
Den finansielle enhed skal sikre at de kan opsige den kontraktlige ordning uden at deres forretningsaktivitet afbrydes, jf. litra a, uden at efterlevelsen af de forskriftsmæssige krav begrænses, jf. litra b og uden at kontinuiteten og kvaliteten af de leverede tjenester til kunder lider skade, jf. litra c.
Ligeledes skal exitstrategierne være i overensstemmelse med kriterierne i artikel 4, stk. 2, om proportionalitet, samt være omfattende og veldokumenterede.
Der skal desuden være udarbejdet overgangsplaner der kan fratage tredjepartsudbyderen af it-tjenester de udliciterede it-tjenester og de relevante data og sikkert og fuldstændigt kan overføre disse til alternative udbydere eller på ny indarbejde dem internt. Den finansielle enhed skal derudover identificere alternative løsninger.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke har sikret sig at indføre en exitstrategi i tilfælde af, at en kontrakt ordning med en tredjepartsudbyder af it-tjenester opsiges.
Artikel 29, stk. 1, omhandler foreløbig vurdering af it-koncentrationsrisiko på enhedsniveau. Bestemmelsen fastsætter krav, som den finansielle enhed skal tage hensyn til ved identifikation og vurdering af risici i forbindelse med en kontraktlige ordning, herunder muligheden for, at en kontraktlig ordning kan bidrage til at øge it-koncentrationsrisikoen. Ved indgåelse af en kontraktlig ordning i forbindelse med it-tjenester, der understøtter kritiske eller vigtige funktioner tager den finansielle enhed hensyn til udlicitering til en tredjepartsudbyder af it-tjenester, som ikke er let at erstatte, jf. litra a og indgåelse af flere kontraktlige ordninger om levering af it-tjenester, der understøtter kritiske eller vigtige funktioner, med den samme tredjepartsudbyder af it-tjenester eller med tredjepartsudbydere af it-tjenester, som har tætte forbindelser til denne, jf. litra b.
Den finansielle enhed skal i medfør af bestemmelsen afveje fordele og omkostninger ved alternative løsninger såsom brug af forskellige tredjepartsudbydere af it-tjenester under hensyntagen til, hvorvidt og hvordan de påtænkte løsninger svarer til de forretningsmæssige behov og mål, der er fastsat i deres strategi for digital modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed ikke har taget hensyn til udliciteringen til en tredjepartsudbyder af it-tjenester som ikke er lette at erstatte, ved indgåelsen af en kontraktlig ordning om it-tjenester der understøtter kritiske eller vigtige funktioner.
I medfør af artikel 29, stk. 2, skal den finansielle enhed i tilfælde af, at den kontraktlige ordning for brug af it-tjenester med en tredjepartsudbyder, kan komme videre i underentreprise med hjemsted i tredjeland, overveje de fordele og risici, der kan opstå i forbindelse med underentreprisen, særligt hvis it-tjenesten understøtter kritiske eller vigtige funktioner.
Den finansielle enhed skal tage hensyn til de bestemmelser i insolvensretten, som finder anvendelse, hvis tredjepartsudbyderen af it-tjenester går konkurs, samt eventuelle begrænsninger, der kan opstå i forbindelse med en hastende genopretning af den finansielle enheds data, såfremt den kontraktlige ordning vedrører it-tjenester, der understøtter kritiske eller vigtige funktioner.
Den finansielle enhed tager derudover hensyn til overholdelsen af Unionens databeskyttelsesregler og en effektiv håndhævelse af retten i det pågældende tredjeland, såfremt der er indgået kontraktlige ordninger for brug af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, med en tredjepartsudbyder af IKT-tjenester med hjemsted i et tredjeland.
Til sidst vurderer den finansielle enhed hvorvidt og hvordan potentielt lange eller komplekse underentreprisekæder kan påvirke deres evne til fuldt ud at overvåge de udliciterede funktioner og den kompetente myndigheds evne til i denne henseende at føre effektivt tilsyn med den finansielle enhed, såfremt den kontraktlige ordning for brugen af IKT-tjenester, understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ved indgåelse af kontraktlige ordninger med en tredjepartsudbyder af it-tjenester, der understøtter kritiske funktioner, ikke er foretaget en afvejning af fordele og risici såfremt tredjepartsudbyderen giver it-tjenesterne videre til en underentreprise med hjemsted i udlandet.
Artikel 30 omhandler centrale kontrakts bestemmelser.
Artikel 30, stk. 1, fastsætter at rettigheder og forpligtelser mellem den finansielle enhed og tredjepartsudbyderen skal fordeles klart og fastlægges skriftligt. Serviceniveauaftaler skal være omfattet af den samlede kontrakt og dokumenteres i ét skriftligt dokument. Parterne skal have adgang til dokumentet i papir, eller i et andet varigt og permanent format, der kan downloades.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke tager højde for, at rettighederne og forpligtelserne mellem parterne skal nedfattes skriftligt og have varig karakter, som enten kan tilgås på papir eller i et format, der kan downloades.
Artikel 30, stk. 2, fastsætter en række minimumskrav til den kontraktlige ordning for brugen af it-tjenester.
Den kontraktlige ordning skal sikre en klar og fuldstændig beskrivelse af alle funktioner og it-tjenester, som tredjepartsudbyderen af it-tjenester skal levere, med angivelse af, om underentreprise af en it-tjeneste, der understøtter en kritisk eller vigtig funktion eller væsentlige dele heraf er tilladt, og, hvis det er tilfældet, de betingelser, der gælder for en sådan underentreprise, jf. litra a.
De steder, navnlig de regioner eller lande, hvor de udliciterede funktioner og it-tjenester eller funktionerne og it-tjenesterne i underentreprise skal leveres, og hvor data skal behandles, herunder lagringsstedet, og kravet om, at tredjepartsudbyderen af it-tjenester på forhånd skal underrette den finansielle enhed, hvis den har planer om at ændre disse steder, jf. litra b.
Den kontraktlige ordning skal ligeledes indeholde bestemmelser om tilgængelighed, autenticitet, integritet og fortrolighed med hensyn til databeskyttelse, herunder personoplysninger, jf. litra c.
Bestemmelser om sikring af adgang, genopretning og tilbagesendelse i et lettilgængeligt format af personoplysninger og andre data end personoplysninger, der behandles af den finansielle enhed, i tilfælde af insolvens, afvikling eller afbrydelse af de forretningsaktiviteter, som tredjepartsudbyderen af it-tjenester varetager, eller i tilfælde af opsigelse af de kontraktlige ordninger skal medtages i den kontraktlige ordning, jf. litra d.
Den kontraktlige ordning skal derudover indeholde beskrivelser af serviceniveauet, herunder ajourføringer og revisioner heraf, jf. litra e.
Forpligtelsen for tredjepartsudbyderen af it-tjenester til at yde bistand til den finansielle enhed uden yderligere omkostninger eller til en omkostning, der fastsættes på forhånd, hvis der opstår en IKT-hændelse, der vedrører den it-tjeneste, som leveres til den finansielle enhed skal også indgå i den kontraktlige ordning, jf. litra f.
Derudover skal den finansielle enhed medtage forpligtelsen for tredjepartsudbyderen af it-tjenester til at samarbejde fuldt ud med den finansielle enheds kompetente myndigheder og afviklingsmyndigheder, herunder personer, som de har udpeget, jf. litra g og opsigelsesrettigheder og dertil knyttet minimumsfrister for opsigelse af de kontraktlige ordninger i overensstemmelse med de kompetente myndigheders og afviklingsmyndighedernes forventninger, jf. litra h.
Slutteligt skal betingelserne for deltagelse af tredjepartsudbydere af it-tjenester i de finansielle enheders programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed, jf. artikel 13, stk. 6, medtages i den kontraktlige ordning.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en kontrakt mellem en finansiel enhed og en tredjepartsudbyder af it-tjenester er mangelfuld og ikke på en klar og tilstrækkelig måde, omfatter de af artikel 30, stk. 2, omfattede minimumskrav til kontraktlige ordninger for brugen af it-tjenester som eksempelvis beskrivelserne af serviceniveauet, herunder ajourføringer og revisioner, jf. litra e og opsigelsesrettigheder, jf. litra h.
Artikel 30, stk. 3, fastsætter en række minimumskrav til den kontraktlige ordning for brugen af it-tjenester der understøtter kritiske eller vigtige funktioner.
Den kontraktlige ordning skal sikre en fuldstændig beskrivelse af serviceniveauer, herunder ajourføringer og revisioner heraf, med præcise kvantitative og kvalitative præstationsmål inden for de aftalte serviceniveauer, således at den finansielle enhed kan foretage en effektiv overvågning af it-tjenester, og således at der uden unødigt ophold kan træffes passende afhjælpende foranstaltninger, når de aftalte serviceniveauer ikke overholdes, jf. litra a.
Den kontraktlige ordning skal derudover omfatte opsigelsesfrister og indberetningsforpligtelser for tredjepartsudbyderen af it-tjenester over for den finansielle enhed, herunder underretning om enhver udvikling, som kan have væsentlig indvirkning på, hvorvidt tredjepartsudbyderen af it-tjenester har evnen til effektivt at levere it-tjenester, der understøtter kritiske eller vigtige funktioner i overensstemmelse med de aftalte serviceniveauer, jf. litra b.
Artikel 30, stk. 3, litra c, fastsætter krav til tredjepartsudbyderen af it-tjenester om at gennemføre og teste beredskabsplaner og indføre it-sikkerhedsforanstaltninger, -værktøjer og -politikker, som giver et passende niveau af sikkerhed for, at den finansielle enhed kan foretage levering af tjenester i overensstemmelse med dens reguleringsramme.
Derudover skal den kontraktlige ordning omfatte en forpligtelse for tredjepartsudbyderen af it-tjenester til at deltage i og fuldt ud samarbejde om den finansielle enheds TLPT som omhandlet i artikel 26 og 27, jf. litra d.
Den kontraktlige ordning skal desuden omfatte retten til løbende at overvåge det præstationsniveau, som tredjepartsudbyderen af it-tjenester leverer for den finansielle enhed, en udpeget tredjeparts og Finanstilsynet. Dette indebærer en uindskrænket ret til adgang, inspektion og revision og ret til at tage kopier af relevant dokumentation på stedet, hvis denne har afgørende betydning for tredjepartsudbyderen af it-tjenesters operationer, hvis faktiske udøvelse ikke hindres eller begrænses af andre kontraktlige ordninger eller gennemførelsespolitikker, jf. litra e, nr. i.
Dernæst fastsætter artikel 30, stk. 3, litra e, nr. ii-iv, retten til at nå til enighed om alternative sikkerhedsniveauer, hvis andre kunders rettigheder påvirkes, forpligtelsen for tredjepartsudbyderen af it-tjenester til fuldt ud at samarbejde under de inspektioner og revisioner på stedet, som de kompetente myndigheder, den ledende tilsynsførende, den finansielle enhed eller en udpeget tredjepart udfører og forpligtelsen til at give nærmere oplysninger om omfanget af, de procedurer, som skal følges, og hyppigheden af sådanne inspektioner og revisioner.
I medfør af artikel 30, stk. 3, litra f, skal den finansielle enhed ved en kontraktlig ordning, sørge for at medtage exitstrategier som indeholder en obligatorisk overgangsperiode. I løbet af denne overgangsperiode skal tredjepartsudbyderen af it-tjenester fortsat levere de respektive funktioner eller it-tjenester med henblik på at mindske risikoen for forstyrrelser i den finansielle enhed eller sikre en effektiv afvikling eller omstrukturering heraf. Exitstrategien skal også give den finansielle enhed mulighed for at migrere til en anden tredjepartsudbyder af it-tjenester eller skifte til interne løsninger, der stemmer overens med den leverede tjenestes kompleksitet.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed, ikke formår at vedtage en exitstrategi i deres kontraktlige ordning som sikrer den finansielle enhed fortsat, får leveret de respektive funktioner af it-tjenester fra tredjepartsudbyderen.
Til nr. 1 (§ 12 a i lov om en garantifond for skadesforsikringsselskaber)
Det fremgår af den gældende § 12, stk. 1, i lov om en garantifond for skadesforsikringsselskaber, at Garantifondens (Fonden) bestyrelse antager fornøden medhjælp.
Bestemmelsen fastsætter, at Fonden antager fornøden medhjælp, men indeholder ikke en direkte forpligtigelse for Fondens bestyrelse til at antage medhjælp blandt andet i form af et administrationsselskab.
Det foreslås, at der indsættes en ny § 12 a.
Det foreslås i § 12 a, stk. 1, at Fondens bestyrelse, skal indgå aftale med et forsikringsselskab som administrationsselskab som en del af at antage fornøden medhjælp efter § 12, stk. 1.
Det foreslåede vil medføre, at Fonden skal forsøge at indgå en aftale med et forsikringsselskab om varetagelse af opgaven som administrationsselskab for Fonden efter et evt. forudgående udbud af opgaven.
Det foreslåede skal ses i sammenhæng med den foreslåede § 12 a, stk. 3, hvorefter Finanstilsynet skal udnævne et administrationsselskab for Fonden, der opfylder kriterierne fastsat i stk. 3, nr. 1-5, hvis Fondens bestyrelse ikke kan indgå aftale med et forsikringsselskab som administrationsselskab efter stk. 1.
Det vil betyde, at Fondens bestyrelse skal forsøge at indgå en aftale med et forsikringsselskab som administrationsselskab evt. på baggrund af et offentligt udbud, og at hvis det ikke kan lade sig gøre, skal Finanstilsynet ud fra en række i loven oplistede objektive kriterier udnævne et administrationsselskab for Fonden.
Forslaget om at Finanstilsynet skal udnævne et forsikringsselskab som administrationsselskab efter stk. 3 vil ikke udelukke, at Fonden efter stk. 1 vil kunne indgå aftale med et udenlandsk forsikringsselskab som administrationsselskab.
Det foreslåede vil ikke medføre, at Fondens bestyrelse ved indgåelse af en aftale efter den foreslåede § 12 a, stk. 1, kun kan indgå aftale med forsikringsselskaber, der opfylder kriterierne fastsat i den foreslåede § 12 a, stk. 3, nr. 1-5.
Det foreslås i § 12 a, stk. 2, at Fonden skriftligt skal orientere Finanstilsynet, når en aftale efter stk. 1 er indgået. Fonden skal ligeledes skriftligt orientere Finanstilsynet, hvis Fonden ikke kan indgå en aftale efter stk. 1.
Det foreslåede vil medføre, at Fonden får pligt til skriftligt at orientere Finanstilsynet, når en eventuel aftale med et forsikringsselskab som administrationsselskab er indgået mellem Fonden og forsikringsselskabet. Det foreslåede vil endvidere medføre, at Fonden også får pligt til at orientere Finanstilsynet, hvis Fonden ikke er lykkedes med på frivilligt grundlag at indgå aftale med et forsikringsselskab som administrationsselskab.
Det foreslåede skal sikre, at Finanstilsynet, uanset om Fondens bestyrelse har indgået en aftale med et forsikringsselskab som administrationsselskab eller ej, er orienteret herom. Finanstilsynet kan i så fald i tilfælde af, at det ikke har været muligt for Fondens bestyrelse at indgå en aftale med et forsikringsselskab som administrationsselskab, efter den foreslåede § 12 a, stk. 3, udnævne et forsikringsselskab som administrationsselskab for Fonden.
Det foreslås i § 12 a, stk. 3, at hvis Fondens bestyrelse ikke kan indgå aftale med et forsikringsselskab som administrationsselskab efter stk. 1, skal Finanstilsynet udnævne et administrationsselskab for Fonden, der opfylder kriterierne fastsat i stk. 3, nr. 1-5.
Det foreslåede vil medføre, at i de tilfælde, hvor Fonden ikke selv kan indgå en aftale med et forsikringsselskab som administrationsselskab for Fonden, vil Finanstilsynet på baggrund af objektivt fastsatte kriterier i den foreslåede § 12 a, stk. 3, nr. 1-5, og i overensstemmelse med principperne fastlagt i den foreslåede § 12 a, stk. 4 og 6, udnævne et forsikringsselskab som administrationsselskab for Fonden.
Et forsikringsselskab vil skulle opfylde alle kriterierne fastsat i § 12 a, stk. 3, nr. 1-5, for at Finanstilsynet kan udnævne forsikringsselskabet som administrationsselskab for Fonden. Kriterierne er fastlagt ud fra et hensyn til, at alene de største forsikringsselskaber skal kunne udnævnes som administrationsselskab for Fonden, idet det kræver en vis størrelse, erfaring med en række forskellige forsikringsklasser, samt økonomisk robusthed for at være administrationsselskab for Fonden.
Det foreslås i § 12 a, stk. 3, nr. 1, at forsikringsselskabet har fået Finanstilsynets tilladelse til at drive forsikringsvirksomhed til forsikringsklasserne 1, 3, 6, 8-10, 12, 13, 16-18 i bilag 1 i lov om forsikringsvirksomhed.
Det foreslåede vil medføre, at kun danske forsikringsselskaber kan udnævnes af Finanstilsynet som administrationsselskab. Derudover vil kriteriet om, at forsikringsselskabet skal have tilladelse til forsikringsklasserne 1, 3, 6, 8-10, 12, 13, 16, 17 og 18 i bilag 1 i lov om forsikringsvirksomhed, medføre, at administrationsselskabet vil kunne håndtere næsten alle typer af skader i tilfælde af, at der i perioden hvor forsikringsselskabet et udnævnt som administrationsselskab, indtræder en konkurs.
Det foreslås i § 12 a, stk. 3, nr. 2, at forsikringsselskabet i henhold til seneste godkendte årsrapport har haft en årlig bruttopræmieindtægt på minimum 2 mia. kr. om året.
Det foreslåede vil medføre, at for et forsikringsselskab kan udnævnes som administrationsselskab, skal forsikringsselskabet have en årlig bruttopræmieindtægt på minimum 2. mia. kr. Opfylder forsikringsselskabet ikke kriteriet, kan forsikringsselskabet ikke udnævnes som administrationsselskab. Kriteriet sikrer, at det kun er de største forsikringsselskaber, der kan udnævnes som administrationsselskab for Fonden.
Det foreslås i § 12 a, stk. 3, nr. 3, at forsikringsselskabet i de to seneste regnskabsår på balancetidspunktet i gennemsnit har haft minimum 125 eller flere fuldtidsansatte.
Det foreslåede vil medføre, at forsikringsselskabet har en størrelse, hvorefter der er krav om intern revision. Dette vil sikre, at der er en intern kontrol i forsikringsselskabet, som bidrager til øget sikkerhed i form af blandt andet rapportering til ledelsen, overvågning af det interne regnskab m.v.
Det foreslås i § 12 a, stk. 3, nr. 4, at forsikringsselskabet overholder solvenskapitalkravet, der er fastsat for forsikringsselskabet.
Det foreslåede vil medføre, at forsikringsselskabet skal have en vis økonomisk robusthed. Kriteriet er fastsat ud fra et hensyn om, at opgaven som administrationsselskab er en krævende opgave, hvis der indtræder en konkurs i et forsikringsselskab, hvorfor det vil være uhensigtsmæssigt, hvis et forsikringsselskab, der selv er i økonomiske vanskeligheder, ligeledes er administrationsselskab for Fonden.
Det foreslås i § 12 a, stk. 3, nr. 5, at forsikringsselskabet minimum har en markedsandel i Danmark på 3 pct. målt på bruttopræmie.
Det foreslåede vil medføre, at for et forsikringsselskab af Finanstilsynet kan udnævnes som administrationsselskab for Fonden, skal forsikringsselskabet minimum have en markedsandel i Danmark på 3 pct. målt på bruttopræmie. Markedsandelen vil være for danske forsikringsselskaber for dansk bruttopræmie.
Kriteriet skal sikre, at det kun er de største forsikringsselskaber i Danmark, der kan udnævnes som administrationsselskab for Fonden, da opgaven som administrationsselskab kræver en vis størrelse samt erfaring med skadesbehandling.
Det foreslås i § 12 a, stk. 4, 1. pkt., at i tilfælde af, at flere forsikringsselskaber opfylder kriterierne i stk. 3, skal Finanstilsynet udnævne et forsikringsselskab som administrationsselskab på baggrund af en rotationsordning.
Det foreslåede vil medføre en rotationsordning for de forsikringsselskaber, som opfylder kriterierne fastsat i stk. 3, nr. 1-5, og som dermed kan udnævnes af Finanstilsynet som administrationsselskab for Fonden.
Rotationsordningen skal sikre, at alle forsikringsselskaber, der opfylder de fastsatte objektive kriterier, på et tidspunkt skal være administrationsselskab for Fonden.
Rotationsordningen vil kun være aktuel, hvis det ikke er muligt for Fondens bestyrelse selv at indgå aftale med et forsikringsselskab som administrationsselskab, og Finanstilsynet derfor skal udnævne et forsikringsselskab som administrationsselskab.
Det foreslås videre i § 12 a, stk. 4, 2. pkt., at Finanstilsynet i sin afgørelse skal inddrage relevante forhold relateret til de omfattede forsikringsselskaber i sin vurdering af hvilket forsikringsselskab, der skal udnævnes som administrationsselskab, herunder om et forsikringsselskab tidligere har fungeret som administrationsselskab for Fonden.
Det foreslåede vil medføre en forpligtigelse for Finanstilsynet til i sin afgørelse at inddrage, om et forsikringsselskab tidligere har fungeret som administrationsselskab for Fonden, idet der skal lægges vægt på, at et enkelt selskab ikke i urimeligt omfang skal pålægges opgaven med at være administrationsselskab. Finanstilsynet skal endvidere inddrage om forsikringsselskabet før rotationsordningens ikrafttræden har været administrationsselskab for Fonden.
Det foreslåede vil desuden medføre, at Finanstilsynet i sin afgørelse skal tage hensyn til, om der er forhold i et forsikringsselskab, der gør det uhensigtsmæssigt, at et forsikringsselskab udnævnes som administrationsselskab for Fonden, jf. nedenfor.
Eksempler på dette kan være en igangværende fusion eller andre tungtvejende administrative årsager. Det vil således ikke være tilstrækkeligt, at forsikringsselskabet eksempelvis oplever travlhed. Finanstilsynet vil som følge heraf som udgangspunkt skulle udnævne det næste forsikringsselskab i rotationsordningen som administrationsselskab for Fonden, og forsikringsselskabet, der springes over, vil herefter som udgangspunkt være det næste i rotationsordningen til at blive udnævnt som administrationsselskab for Fonden.
Forsikringsselskaber som ved f.eks. vækst i markedsandel kommer til at opfylde alle kriterierne fastsat i § 12 a, stk. 3, nr. 1-5, vil kunne udnævnes af Finanstilsynet som administrationsselskab for Fonden. Det pågældende forsikringsselskab vil herefter indgå som det sidste forsikringsselskab i rotationsordningen, medmindre forsikringsselskaberne sidst i rotationsordningen tidligere har være administrationsselskab for Fonden. Finanstilsynet vil som følge heraf skulle udnævne det nye forsikringsselskab i rotationsordningen som administrationsselskab, før Finanstilsynet kan udnævne de forsikringsselskaber, som tidligere har været administrationsselskab for Fonden.
Et forsikringsselskab, der ikke længere opfylder kriterierne fastsat i § 12 a, stk. 3, nr. 1-5, vil ikke kunne udnævnes af Finanstilsynet som administrationsselskab. Det pågældende forsikringsselskab vil herefter skulle udgå af rotationsordningen, hvorefter de efterfølgende forsikringsselskaber vil rykke op i rækken.
Opfylder et forsikringsselskab ikke længere kriterierne fastsat i § 12 a, stk. 3, nr. 1-5 i løbet af perioden, hvor forsikringsselskabet er udnævnt som administrationsselskab for Fonden, skal forsikringsselskabet fortsætte med at være administrationsselskab for Fonden indtil perioden på 48 måneder er udløbet. Opstår der i perioden, hvor forsikringsselskabet er udnævnt som administrationsselskab for Fonden, en konkurs i et andet forsikringsselskab, skal forsikringsselskabet, som er udnævnt som administrationsselskab, bistå Fonden indtil sagsbehandlingen i forbindelse med konkursen er afsluttet, uanset om perioden på de 48 måneder i mellemtiden måtte være ophørt, og at det ikke længere opfylder kriterierne i § 12 a, stk. 3, nr. 1-5.
Rotationsordningen er ikke til hinder for, at et forsikringsselskab frivilligt indgår aftale med Fonden om, at det pågældende forsikringsselskab skal varetage opgaven som administrationsselskab. Dog vil et forsikringsselskab, som frivilligt indgår aftale med Fonden om opgaven som administrationsselskab, efter endt periode være nederst i rotationsordningen, såfremt forsikringsselskabet ellers opfylder kriterierne fastsat i § 12 a, stk. 3, nr. 1-5. Det skyldes, at Finanstilsynet ved udnævnelsen af et forsikringsselskab som administrationsselskab skal inddrage, om de omfattede forsikringsselskaber tidligere har været administrationsselskab for Fonden.
Finanstilsynets afgørelse om, at et forsikringsselskab skal være administrationsselskab for Fonden, vil være en forvaltningsretlig afgørelse og vil dermed skulle overholde de almindelige forvaltningsretlige regler.
Afgørelser truffet af Finanstilsynet i medfør af den foreslåede § 12 a, stk. 3, kan af den, som afgørelsen retter sig mod, indbringes for Erhvervsankenævnet, senest 4 uger efter, at afgørelsen er meddelt den pågældende, jf. den foreslåede § 17 a.
Der henvises i øvrigt til bemærkningerne til lovforslagets § 10, nr. 2.
Det foreslås i § 12 a, stk. 5, at Finanstilsynet skal udnævne et forsikringsselskab efter stk. 3, for en periode på 48 måneder, jf. dog stk. 7.
Det foreslåede vil medføre, at der som udgangspunkt ikke er forskel på den periode et forsikringsselskab skal være administrationsselskab, uanset om forsikringsselskabet selv har indgået aftale med Fonden om opgaven som administrationsselskab, da Fondens udbud af opgaven som udgangspunkt er for en periode på 48 måneder, eller forsikringsselskabet er udnævnt af Finanstilsynet som administrationsselskab.
Der henvises derudover til det foreslåede § 12 a, stk. 7, hvorefter perioden på de 48 måneder kan blive forlænget i tilfælde af, at der indtræder en konkurs i et andet forsikringsselskab, idet forsikringsselskabet, som er udnævnt som administrationsselskab for Fonden, skal bistå Fonden med sagsbehandlingen i forbindelse med konkursen indtil denne er afsluttet.
Det foreslåede betyder ikke, at Fonden og et forsikringsselskab ved indgåelse af en aftale om opgaven som administrationsselskab, jf. stk. 1, eventuelt kan forhandle længden af den periode, hvor forsikringsselskabet skal være administrationsselskab for Fonden.
Det foreslås i § 12 a, stk. 6, at Finanstilsynet, medmindre særlige forhold taler herfor, ikke kan udnævne et forsikringsselskab som administrationsselskab i to af hinanden efterfølgende perioder.
Det foreslåede vil medføre, at et forsikringsselskab som udgangspunkt ikke kan udnævnes som administrationsselskab, hvis forsikringsselskabet allerede er administrationsselskab på tidspunktet, hvor Finanstilsynet skal udnævne et forsikringsselskab som administrationsselskab. Skal et forsikringsselskab udnævnes som administrationsselskab i to af hinanden efterfølgende perioder, skal særlige forhold tale herfor.
Særlige forhold kan eksempelvis være, at de øvrige forsikringsselskaber i rotationsordningen ikke er egnet som administrationsselskab grundet en igangværende fusion eller andre administrative årsager. Det kan også være, at de øvrige forsikringsselskaber ikke længere opfylder kriterierne fastsat i den foreslåede § 12 a, stk. 3, nr. 1-5. Det vil herefter være nødvendigt at udnævne forsikringsselskabet, som allerede er administrationsselskab for Fonden, som administrationsselskab for endnu en periode.
Det foreslåede vil bidrage til at sikre en rotationsordning for de forsikringsselskaber, der opfylder kriterierne fastsat i den foreslåede § 12 a, stk. 3, nr. 1-5, og som på baggrund heraf kan udnævnes som administrationsselskab for Fonden.
Der henvises i øvrigt til bemærkningerne til den foreslåede § 12 a, stk. 4.
Det foreslås i § 12 a, stk. 7, 1. pkt., at hvis der i perioden, jf. stk. 5, opstår en konkurs i et andet forsikringsselskab, skal Fondens bestyrelse i henhold til stk. 1 indgå aftale med et nyt forsikringsselskab som administrationsselskab.
Det foreslåede vil medføre, at Fondens bestyrelse, er forpligtet til at forsøge at indgå aftale med et nyt forsikringsselskab som administrationsselskab, hvis der i den igangværende periode opstår en konkurs i et forsikringsselskab.
Det foreslåede vil endvidere medføre, at hvis det ikke er muligt for Fondens bestyrelse at indgå aftale med et forsikringsselskab som administrationsselskab, skal Finanstilsynet udnævne et forsikringsselskab som administrationsselskab efter den foreslåede § 12 a, stk. 3.
Det foreslåede vil sikre, at et forsikringsselskab udnævnt som administrationsselskab ikke skal skadebehandle to eller flere konkurser i forsikringsselskaber i træk.
Det foreslåede er ikke til hinder for, at Fondens bestyrelse, inden perioden hvor et forsikringsselskab er administrationsselskab udløber, indgår aftale med et forsikringsselskab om, at dette forsikringsselskab ved indeværende periodes udløb skal overtage opgaven som administrationsselskab. Det vil dog være hensigtsmæssigt, hvis Fonden så tidligt som muligt og inden perioden hvor et forsikringsselskab er administrationsselskab udløber, indgår aftale med et forsikringsselskab om, at dette forsikringsselskab ved indeværende periodes udløb skal overtage opgaven som administrationsselskab.
Det foreslåede udelukker endvidere ikke, at forsikringsselskabet, der er administrationsselskab på tidspunktet for konkursens indtræden, kan indgå aftale med Fondens bestyrelse om, at forsikringsselskabet skal fortsætte som administrationsselskab for Fonden i den efterfølgende periode. Forsikringsselskabet kan derfor påtage sig opgaven som administrationsselskab for endnu en periode, selvom forsikringsselskabet på tidspunktet for en konkurs indtræden allerede er administrationsselskab.
Det foreslås i § 12 a, stk. 7, 2. pkt., at det forsikringsselskab, der på tidspunktet for konkursens indtræden er administrationsselskab, skal bistå Fonden indtil sagsbehandlingen af konkursen er afsluttet, uanset om perioden på 48 måneder i mellemtiden måtte være ophørt.
Det foreslåede vil medføre, at forsikringsselskabet, der på tidspunktet for en konkurs indtræden er administrationsselskab, skal færdiggøre sagsbehandlingen i forbindelse med denne konkurs, uanset om perioden på 48 måneder i mellemtiden måtte være ophørt. Dette skal sikre en hurtig og effektiv sagsbehandling, samt sikre at det konkursramte forsikringsselskabs forsikringstagere og sikrede ikke skal være i kontakt med f.eks. to forskellige forsikringsselskaber.
Det foreslås i § 12 a, stk. 8, at indgår Fondens bestyrelse aftale efter stk. 1 med et forsikringsselskab om at varetage opgaven som administrationsselskab for Fonden efter udløb af en periode, jf. stk. 5, og indtræder der en konkurs i et forsikringsselskab inden den igangværende periode, jf. stk. 5, udløber, skal forsikringsselskabet, som Fondens bestyrelse har indgået aftale med, overtage opgaven som administrationsselskab på tidspunktet for konkursens indtræden.
Derimod vil det stadig være forsikringsselskabet, der på tidspunktet for konkursens indtræden er administrationsselskab, som skal bistå Fonden indtil sagsbehandlingen af konkursen er afsluttet.
Det foreslåede vil medføre, at hvis Fondens bestyrelse har indgået aftale med et forsikringsselskab, der skal indtræde som administrationsselskab ved udløbet af en periode, hvor Finanstilsynet har udnævnt et forsikringsselskab som administrationsselskab, og der i perioden inden forsikringsselskabet, som Fondens bestyrelse har indgået aftale med, indtræder en konkurs i et forsikringsselskab, så skal det forsikringsselskab, som Fondens bestyrelse har indgået aftale med, varetage opgaven fra tidspunktet for konkursens indtræden, hvilket vil være før den ellers aftalte ikrafttræden.
Det foreslåede skal sikre, at det forsikringsselskab, som er administrationsselskab for Fonden på tidspunktet for en konkurs alene skal behandle en konkurs, inden der skal træde et nyt administrationsselskab til. Det foreslåede skal endvidere sikre, at Fonden selv i en kortere periode ikke står uden administrationsselskab.
Det foreslås i § 12 a, stk. 9, at Fonden skal betale vederlag til administrationsselskabet udnævnt af Finanstilsynet. Vederlaget fastlægges efter forhandling mellem parterne. Er det ikke muligt for parterne at blive enige om størrelsen på vederlaget, skal Finanstilsynet fastsætte vederlagets størrelse på baggrund af et oplæg fra Fonden.
Det foreslåede vil medføre, at vederlagets størrelse er til forhandling mellem parterne. Det vil betyde, at Fondens bestyrelse kan afslå forsikringsselskabets bud på vederlagets størrelse, hvis dette vurderes urimeligt. Forhandlingen mellem parterne kan tage udgangspunkt i vilkårene i Fondens udbudsmateriale eller et andet dokument indeholdende Fondens specificering af opgaverne. Et administrationsselskab udnævnt af Finanstilsynet skal honoreres for arbejdet som administrationsselskab på kommercielle markedsvilkår, og administrationsselskabet må ikke blive påført omkostninger, der ikke kan faktureres Fonden, hvilket kan inkludere honorering af en evt. yderligere belastning af administrationsselskabets kapital- eller solvenskrav som følge af udnævnelse af Finanstilsynet.
Det foreslåede vil desuden medføre, at Finanstilsynet tillægges beføjelse til at fastsætte vederlagets størrelse på baggrund af et oplæg fra Fonden, hvis Fondens bestyrelse og forsikringsselskabet ikke kan nå til enighed herom. Finanstilsynet kan i den forbindelse inddrage alle relevante forhold, herunder oplæg til vederlag fra administrationsselskabet udnævnt af Finanstilsynet, ved fastlæggelsen af vederlagets størrelse. Afgørelser truffet af Finanstilsynet i medfør af den foreslåede § 12 a, stk. 9, 3. pkt., kan af den som afgørelsen retter sig mod, indbringes for Erhvervsankenævnet senest 4 uger efter, at afgørelsen er meddelt den pågældende, jf. den foreslåede § 17 a, i lov om en garantifond for skadesforsikringsselskaber.
Der henvises i øvrigt til bemærkningerne til lovforslagets § 10, nr. 2.
Det foreslås i § 12 a, stk. 10, at et administrationsselskab, der er udnævnt af Finanstilsynet, jf. stk. 3, skal varetage de opgaver, der fremgår af Fondens udbudsmateriale eller andet dokument indeholdende Fondens specificering af opgaverne.
Det foreslåede vil medføre, at Fonden i sit udbudsmateriale eller i et andet dokument selv kan fastsætte og beskrive de opgaver, som forsikringsselskabet skal varetage i den periode, hvor forsikringsselskabet er administrationsselskab for Fonden. Det vil betyde en vis fleksibilitet i omfanget af opgaver, som forsikringsselskabet skal varetage som administrationsselskab.
Til nr. 2 (§ 17 a i en lov om en garantifond for skadesforsikringsselskaber)
Der er i lov om en garantifond for skadesforsikringsselskaber ikke en generel klageadgang i forbindelse med afgørelser truffet af Finanstilsynet.
Det foreslås i § 17 a, at afgørelser truffet af Finanstilsynet i medfør af § 12 a, stk. 3 og 9, 3. pkt., kan indbringes for Erhvervsankenævnet senest 4 uger efter, at afgørelsen er meddelt det pågældende forsikringsselskab.
Det foreslåede vil medføre, at det forsikringsselskab som Finanstilsynets afgørelse retter sig mod, kan indbringes for Erhvervsankenævnet. Klagen skal senest indbringes for Erhvervsankenævnet 4 uger efter, at afgørelsen er meddelt det pågældende forsikringsselskab.
Bestemmelsen skal ses i sammenhæng med den foreslåede § 12 a, stk. 3 og stk. 9, 3. pkt., hvorefter Finanstilsynet kan udnævne et forsikringsselskab som administrationsselskab og fastsætte størrelsen på vederlaget, som administrationsselskabet skal have, hvis Fonden og det pågældende forsikringsselskab ikke kan blive enige om herom.
Til nr. 1 (§ 21, stk. 1, 2. pkt., i lov om Kreditforeningen af kommuner og regioner i Danmark)
Det fremgår af § 21 i lov om Kreditforeningen af kommuner og regioner i Danmark, at Finanstilsynet påser overholdelsen af lov om Kreditforeningen af kommuner og regioner i Danmark og regler udstedt i medfør heraf.
Det foreslås i § 21 at indsætte et 2. pkt., hvoraf det fremgår, at Finanstilsynet endvidere påser overholdelsen af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.
Den foreslåede ændring vil medføre, at Finanstilsynet udpeges som kompetent myndighed til at påse Kreditforeningen af kommuner og regioner i Danmark (KommuneKredits) overholdelse af reglerne i DORA-forordningen, der finder anvendelse på foreningen i medfør af artikel 2, stk. 1, litra a, i DORA-forordningen.
DORA-forordningen har til formål at modernisere og harmonisere reglerne indenfor it- og cybersikkerhed på tværs af den finansielle sektor ved at fastsætte regler, der skal styrke den operationelle modstandsdygtighed i virksomhedernes informations- og kommunikationsteknologi og hermed mindske risikoen for navnlig cyberangreb og begrænse skaden og prioritere genoptagelsen af aktiviteter i tilfælde af et cyberangreb.
Forordningen indeholder bl.a. regler om risikostyring indenfor informations- og kommunikationsteknologi, styring og indberetning af hændelser der kompromitterer sikkerheden i net- og informationssystemer, test af digital operationel modstandsdygtighed og styring af tredjepartsrisici, dvs. risici der kan opstå ved brug af en virksomheds brug af tjenester indenfor informations- og kommunikationsteknologi, der leveres af en tredjepartsudbyder heraf.
Forordningen finder bl.a. anvendelse på kreditinstitutter, jf. artikel 2, stk. 1, litra a, hvorfor også KommuneKredit omfattes af regelsættet.
I forbindelse med udførelsen af sit tilsyn vil Finanstilsynet bl.a. få mulighed for at kræve alle oplysninger m.v., som Finanstilsynet skønner nødvendige for Finanstilsynets virksomhed eller til afgørelse af, om der er sket en overtrædelse af forordningen, jf. § 22 i lov om kreditforeningen af kommuner og regioner i Danmark, hvorefter § 347, stk. 1-6, i lov om finansiel virksomhed om indhentelse af oplysninger finder tilsvarende anvendelse på Kreditforeningen af kommuner og regioner i Danmark.
Finanstilsynet vil med tilsynskompetencen i bestemmelsen bl.a. også få mulighed for at give KommuneKredit påbud og påtaler for overtrædelser af forordningen.
Til nr. 2 (§ 22, stk. 2 og 3, i lov om Kreditforeningen af kommuner og regioner i Danmark)
Det fremgår af § 22, stk. 1, i lov om Kreditforeningen af kommuner og regioner i Danmark, at § 346, stk. 1-3, § 347, stk. 1-6, §§ 347 a, 354, 354 a, 354 g og 355, og § 372, stk. 1, i lov om finansiel virksomhed finder tilsvarende anvendelse på Kreditforeningen af kommuner og regioner i Danmark (KommuneKredit).
Bestemmelsen indebærer, at de udvalgte bestemmelser i lov om finansiel virksomhed, der fastlægger regler om Finanstilsynets tilsyn, finder tilsvarende anvendelse for KommuneKredit. Det omfatter bl.a. oplysningsforpligtelsen overfor Finanstilsynet, jf. § 347 i lov finansiel virksomhed, tavshedspligtsbestemmelsen, jf. § 354 i lov finansiel virksomhed og offentliggørelsesbestemmelsen, jf. § 354 a i lov om finansiel virksomhed.
Som følge af at KommuneKredit bliver omfattet af reglerne i DORA-forordningen, jf. også bemærkningerne til den foreslåede ændring af § 21 i lov om kreditforeningen af kommuner og regioner i Danmark ovenfor, er det nødvendigt, at offentliggørelsesbestemmelsen i § 354 e, i lov om finansiel virksomhed tillige kan finde tilsvarende anvendelse for KommuneKredit, for så vidt angår sager om overtrædelse af DORA-forordningen. Det er også nødvendigt at bemyndigelsesbestemmelsen i § 372 a i lov om finansiel virksomhed til at udstede regler, som er nødvendige for at anvende eller gennemføre de afgørelser eller retsakter, der følger af DORA-forordningen, kan finde tilsvarende anvendelse for KommuneKredit.
Derfor foreslås det i § 22 at indsætte et stk. 2, hvorefter § 354 e i lov om finansiel virksomhed finder tilsvarende anvendelse på foreningen for sager om overtrædelse af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Bestemmelsen vil indebære, at Finanstilsynet i overensstemmelse med § 354 e i lov om finansiel virksomhed kan offentliggøre påtaler, påbud eller tvangsbøder, som Finanstilsynet kan give til KommuneKredit i sager om overtrædelse af DORA-forordningen. Med den foreslåede bestemmelse sikres det således, at Finanstilsynet kan opfylde de krav til offentliggørelse af sine tilsynsreaktioner overfor KommuneKredit, der følger af forordningens artikel 54.
Bestemmelsen skal ses i sammenhæng med den ændring, der med lovforslaget også foreslås til § 354 e, stk. 2, 2. pkt., i lov om finansiel virksomhed. Der henvises derfor i det hele til lovforslagets bemærkninger herom.
Det foreslås også at indsætte et stk. 3 i § 22 i lov om kreditforeningen af kommuner og regioner i Danmark, hvorefter § 372 a i lov om finansiel virksomhed finder tilsvarende anvendelse på foreningen for regler, som er nødvendige for at anvende eller gennemføre de afgørelser eller retsakter, som vedtages af Europa-Kommissionen i medfør af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Bestemmelsen vil indebære, at erhvervsministeren i overensstemmelse med § 372 a i lov om finansiel virksomhed vil blive bemyndiget til at fastsætte regler for KommuneKredit på de områder, hvor det måtte være nødvendigt for at anvende eller gennemføre de afgørelser eller retsakter, der eventuelt bliver udstedt i medfør af DORA-forordningen.
Bestemmelsen skal ses i sammenhæng med den ændring, der med lovforslaget også foreslås til § 372 a, stk. 1, i lov om finansiel virksomhed. Der henvises derfor i det hele til lovforslagets bemærkninger herom.
Til nr. 3 (§ 25, stk. 2, i lov om Kreditforeningen af kommuner og regioner i Danmark)
Den gældende § 25, stk. 2, i lov om Kreditforeningen af kommuner og regioner i Danmark strafbelægger overtrædelse af en række bestemmelser.
Det foreslås i § 25, stk. 2, i lov om kreditforeningen af kommuner og regioner i Danmark, efter »§ 199, stk. 2 og 6, i lov om finansiel virksomhed,« at indsætte: »og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.
Med den foreslåede bestemmelse vil en række overtrædelser af DORA-forordningen blive strafbelagt i overensstemmelse med forordningens artikel 52, hvorefter medlemsstaterne kan beslutte ikke at fastsætte bestemmelser om administrative sanktioner eller afhjælpende foranstaltninger for overtrædelser, der er omfattet af strafferetlige sanktioner i henhold til national ret.
Overtrædelser af DORA-forordningen kan ske af både fysiske og juridiske personer. I de situationer, hvor ansvarssubjektet er en virksomhed, vil det være udgangspunktet, at tiltalen rejses mod den juridiske person. Der kan i en række tilfælde være anledning til – ud over tiltalen mod den juridiske person – tillige at rejse tiltale mod en eller flere fysiske personer, hvis den eller de pågældende har handlet forsætligt eller udvist grov uagtsomhed. For virksomheder under stiftelse vil ansvarssubjektet være de personer, der stifter virksomheden, da en virksomhed under stiftelse ikke kan være ansvarssubjekt.
Bødeniveauet tiltænkes fastsat i overensstemmelse med § 372, stk. 12, i lov om finansiel virksomhed. Det fremgår heraf, at der ved udmåling af bøder lægges vægt på overtrædelsens grovhed og gerningsmandens økonomiske forhold. For overtrædelser begået af juridiske personer lægges ved vurderingen af gerningsmandens økonomiske forhold vægt på virksomhedens nettoårsomsætning på gerningstidspunktet. For overtrædelser begået af fysiske personer lægges vægt på den pågældendes indtægtsforhold på gerningstidspunktet. Det er afgørende, at der ved strafudmålingen lægges vægt på de nævnte faktorer, således at bøder vil have en pønal og præventiv effekt på alle aktører på markedet, og således at det finansielle incitament til at overtræde bestemmelserne reduceres. Vurderingen af overtrædelsens grovhed bør foregå uafhængig af gerningsmandens økonomiske forhold.
Nedenfor anføres en uddybende beskrivelse af indholdet af de enkelte artikler i DORA-forordningen, der vil blive strafbelagt med den foreslåede bestemmelse. Når der nedenfor henvises til finansielle enheder, menes der KommuneKredit.
Artikel 5 indeholder regler om forvaltning og organisationen af en finansiel enheds it-risikostyring. Intern forvaltning og organisation af it-risikostyring omfatter fastlæggelsen og tilsynet af de foranstaltninger for it-risikostyring. En sikker forvaltning af risikostyringen sikrer et højt niveau af digital operationel modstandsdygtighed og bidrager til den finansielle stabilitet.
I medfør af artikel 5, stk. 1, skal en finansiel enhed have indført en intern forvaltnings og kontrolramme, der sikrer en effektiv og forsigtig styring af it-risiko, i overensstemmelse med artikel 6, stk. 4, der bl.a. fastsætter krav om, at finansielle enheder skal overdrage ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion og sikre, at denne kontrolfunktion har et passende uafhængighedsniveau for at undgå interessekonflikter mellem den finansielle enhed og kontrolfunktionen.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 1, er den finansielle enhed.
Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har overdraget ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion, der har et passende uafhængighedsniveau i forhold til den finansielle enhed.
Det fremgår af artikel 5. stk. 2, at ledelsesorganet i den finansielle enhed skal fastlægge, godkende og føre tilsyn med og har ansvaret for gennemførelsen af alle ordninger vedrørende rammer for it-risikostyring, der er omhandlet i artikel 6, stk. 1. Artikel 6, stk. 1, vedrører at finansielle enheder indfører en robust, omfattende og veldokumenteret ramme for it-risikostyring. De nærmere krav til ledelsesorganet er nærmere beskrevet i artikel 5, stk. 2, litra a-i. Det fremgår bl.a. af stk. 2, litra b, at ledelsesorganet skal indføre politikker, der har til formål at sikre høje standarder for tilgængeligheden, autenticiteten, integriteten og fortroligheden af data. Videre fremgår det af stk. 2, litra f, at ledelsesorganet godkender og regelmæssigt gennemgår den finansielle enheds interne it-revisionsplaner, it-revisioner og væsentlige ændringer heraf.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 2, er den finansielle enhed. En strafbar handling kan eksempelvis være, at et ledelsesorgan ikke har indført politikker for tilgængeligheden, autenticiteten, integriteten og fortroligheden af data i henhold til stk. 2, litra b. En strafbar handling kan også være at ledelsesorganet enten ikke har godkendt eller gennemgået den finansielle enheds interne it-revisionsplan i henhold til stk. 2, litra f.
Artikel 5, stk. 3, fastsætter at finansielle enheder skal oprette en funktion med henblik på overvågning af de ordninger, der er indgået med tredjepartsudbydere af it-tjenester vedrørende brugen af it-tjenester, eller udpege et medlem af den øverste ledelse som tilsynsansvarlig for den dermed forbundne risikoeksponering og relevante dokumentation.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 3, er den finansielle enhed. Et eksempel på en strafbar handling kan være, at ledelsesorganet ikke har oprettet en funktion der har til formål at overvåge de ordninger, der er indgået med tredjepartsudbydere af it-tjenester vedrørende brugen af it-tjenester.
Artikel 6 indeholder regler om en finansiel enheds ramme for it-risikostyring. Rammen for it-risikostyring omfatter hvilke tiltag en operatør af et reguleret marked har opsat.
I medfør af artikel 6, stk. 1, skal en finansiel enhed have indført en robust, omfattende og veldokumenteret ramme for deres it-risikostyring, som en del af deres samlede risikostyringssystem der sikrer et højt niveau af digital operationel modstandsdygtighed.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 1, er den finansielle enhed.
Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har formået at dokumentere deres ramme for deres it-risikostyring i en tilstrækkelig grad.
Det fremgår af artikel 6, stk. 2, at rammen for it-risikostyring, som minimum skal omfatte strategier, politikker, procedurer, it-protokoller og værktøjer, som er nødvendige for på behørig vis og i tilstrækkelig grad, at beskytte alle informationsaktiver og it-aktiver.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 2, er ledelsesorganet. Det fremgår af artikel 5. stk. 2, at ledelsesorganet i den finansielle enhed skal fastlægge, godkende og føre tilsyn med og har ansvaret for gennemførelsen af alle ordninger vedrørende rammer for it-risikostyring, der er omhandlet i artikel 6, stk. 1.
Den strafbare handling kan eksempelvis bestå i, at ledelsesorganet ikke har indført sikkerhedsforanstaltninger der i tilstrækkeliggrad beskytter relevante fysiske komponenter, som eksempelvis virksomhedens lokaler, mod uautoriseret adgang.
Artikel 6, stk. 3, omhandler de finansielle enheders forpligtigelse til at forelægge fuldstændige og ajourførte oplysninger om deres it-risiko på de kompetente myndigheders anmodning. Ved at indføre passende strategier, politikker, procedurer, it-protokoller og -værktøjer, minimerer den finansielle enhed deres it-risiko.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 3, er den finansielle enhed. Et eksempel på den strafbare handling kan være, at den finansielle enhed ikke på Finanstilsynets anmodning, har fremlagt en opdateret strategi for deres it-risikostyring, efter nye tiltag trådte i kraft for virksomheden.
Det fremgår af artikel 6, stk. 4, at finansielle enheder skal overdrage ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion og sikre, at denne kontrolfunktion har et passende uafhængighedsniveau, så interessekonflikter kan undgås. Videre fremgår det af artikel 6, stk. 4, 2. pkt., at en finansiel enhed skal sikre en passende adskillelse og uafhængighed af it-risikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner efter modellen med tre forsvarslinjer eller en intern model for risikostyring og kontrol.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse af bestemmelsen kan eksempelvis bestå i, at en finansiel enhed har en intern styring af og tilsyn med it-risikoen og derfor ikke har sikret en passende adskillelse og uafhængighed af deres it-risikostyringsfunktioner.
Artikel 6, stk. 5, indeholder krav om dokumentationen og tilsyn med it-risikostyringens ramme. Det følger af bestemmelsen, at rammen for it-risikostyringen skal dokumenteres og gennemgås mindst én gang om året, samt når der forekommer større it-relaterede hændelser, og i henhold til tilsynsmæssige instrukser eller konklusioner, som er udledt af relevant test af digital operationel modstandsdygtighed eller revisionsprocesser. Den skal forbedres løbende på grundlag af indhøstede gennemførelses- og overvågningserfaringer. Der skal forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed på dens anmodning.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 5, er den finansielle virksomhed. Den strafbare handling kan eksempelvis bestå i, at en finansiel enhed ved en større it-relateret hændelse, efterfølgende ikke formår at dokumentere rammen for risikostyringen. En strafbar handling kunne også bestå i, at den finansielle enhed ikke har forbedret rammen for deres risikostyring på baggrund af løbende overvågningserfaringer.
Artikel 6, stk. 6, omhandler revisorernes interne revision af rammen for it-risikostyring. Det følger af bestemmelsen, at revisorerne skal besidde egenskaber som tilstrækkelig viden, faglig kompetence og ekspertise, samt være tilstrækkeligt uafhængige. Der skal være overensstemmelse mellem hyppigheden af revisioner og omfanget af it-risikoen hos den finansielle enhed.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse kan eksempelvis bestå i, at den finansielle enheds revisor har foretaget en revision af rammen for it-risikostyring, uden at have det fornødne egenskaber. Det kan ligeledes anses for strafbart såfremt revisoren ikke kan anses som værende uafhængig.
Artikel 6, stk. 7, omhandler den formelle opfølgningsproces på den interne revisionsgang som den finansielle enhed skal etablere. Opfølgningsprocessen skal indeholde regler for rettidig efterprøvning og udbedring af kritiske resultater af it-revisioner.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 7, er den finansielle enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke etablerer en opfølgningsproces, der indeholder regler for rettidig efterprøvning af kritiske konklusionerne fra en interne revision.
I medfør af artikel 6, stk. 8, skal en finansiel enheds ramme for it-risikostyring omfatte en strategi for digital operationel modstandsdygtighed, der fastsætter, hvordan rammen gennemføres. Strategien for digital operationel modstandsdygtighed skal omfatte metoderne til håndtering af it-risiko og opfylde specifikke krav, som er oplistet i artikel 6, stk. 8, litra a-h. Et af disse krav er eksempelvis at fastlægge risikotoleranceniveauet for it-risiko i overensstemmelse med den finansielle enheds risikovillighed og analysere tolerancen over for virkninger af it-forstyrrelser, jf. litra b, eller dokumentere den nuværende situation for den digitale operationelle modstandsdygtighed på grundlag af antallet af indberettede større it-relaterede hændelser og de forebyggende foranstaltningers effektivitet, jf. litra f.
Ansvarssubjektet for en overtrædelse af artikel 6, stk. 8, er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enheds strategi, undlader at analysere for virkninger af it-forstyrrelser over for risikotoleranceniveauet. Den strafbare handling kan ligeledes bestå i, at den finansielle enhed ikke formår at dokumentere deres situation for den operationelle robusthed på baggrund af mængden af større it-relaterede hændelser og de forebyggende foranstaltningers effektivitet
Artikel 7, stk. 1, oplister en række krav til den finansielle enheds it-systemer, -protokoller og-værktøjer, jf. litra a-d. Den finansielle enhed skal eksempelvis anvende systemer der er pålidelige, jf. litra b, og som er teknologisk modstandsdygtige nok til i tilstrækkeligt omfang at håndtere yderligere behov for informationsbehandling som krævet under stressede markedsforhold eller i andre vanskelige situationer, jf. litra d.
Ansvarssubjektet for overtrædelse af bestemmelsen er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke anvender systemer eller værktøjer der pålidelige eller proportionale i forhold til den finansielle enheds udbudte ydelser.
Artikel 8, stk. 1-7, i DORA-forordningen omhandler identifikation af kilder til it-risiko. Artikel 8, stk. 1, fastsætter, at en finansiel enhed, som led i deres ramme for it-risikostyring, skal foretage identifikation, klassificering og tilstrækkelig dokumentering af alle it-understøttede forretningsfunktioner, roller og ansvarsområder, informationsaktiver og it-aktiver, der understøtter disse funktioner, samt deres roller og afhængigheder med hensyn til it-risici. Bestemmelsen fastsætter endvidere, at en finansiel virksomhed efter behov og mindst én gang om året, vurderer hvorvidt denne klassificering og eventuel relevant dokumentation er tilstrækkelig.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke har identificeret, klassificeret eller dokumenteret deres it-understøttede forretningsfunktioner i en tilstrækkelig grad.
I medfør af artikel 8, stk. 2, skal en finansiel enhed løbende identificere alle kilder til it-risiko, navnlig risikoeksponeringen for og fra andre finansielle enheder, og vurderer cybertrusler og it-sårbarheder, der er relevante for deres it-understøttede forretningsfunktioner, informationsaktiver og it-aktiver. De finansielle enheder skal derfor regelmæssigt og mindst én gang om året gennemgå de risikoscenarier, der har virkninger for dem.
Ansvarssubjektet for overtrædelse af artikel 8, stk. 2, er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel virksomhed ikke mindst én gang årligt har gennemgået de risikoscenarier der er virkninger for dem.
Artikel 8, stk. 3, indeholder krav om, at en finansiel enhed skal foretage en risikovurdering efter hver større ændring af infrastrukturen i net- og informationssystemerne, i de processer eller procedurer, der påvirker deres it-understøttede forretningsfunktioner, informationsaktiver eller it-aktiver.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling kan bestå i, at en finansiel enhed har foretaget en større ændring infrastrukturen i deres net- og informationssystem og ikke foretager en ny risikovurdering, såfremt infrastrukturen påvirker deres it-understøttede forretningsfunktioner.
Det fremgår af artikel 8, stk. 4, at en finansiel enhed skal identificere alle informationsaktiver og it-aktiver, herunder på eksterne steder, netværksressourcer og hardwareudstyr, og kortlægger dem, der anses for kritiske. Den finansielle enhed kortlægger informationsaktivernes og it-aktivernes konfiguration samt forbindelserne og den indbyrdes forbundethed mellem de forskellige informationsaktiver og it-aktiver.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har kortlagt de kritiske informationsaktiver og it-aktiver, herunder på eksterne steder, netværksressourcer og hardwareudstyr.
Artikel 8, stk. 5, fremgår det, at en finansiel enhed skal identificere og dokumentere alle processer, der er afhængige af tredjepartsudbydere af it-tjenester. Det fremgår endvidere, at den finansielle enhed identificerer sammenkoblinger med tredjepartsudbydere af it-tjenester, der udbyder tjenester, som understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed har undladt at dokumentere alle de processer der er afhængige af tredjepartsudbydere af it-tjenester, som den finansielle enhed bruger.
Det fremgår af artikel 8, stk. 6, at den finansielle enhed, med henblik på artikel 6, stk. 1, 4 og 5, opretholder relevante fortegnelser og ajourfører dem regelmæssigt, og hver gang der sker større ændringer som omhandlet i artikel 6, stk. 3.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse kan bestå i, at der ved en større ændring af infrastrukturen i net- og informationssystemerne, i de processer eller procedurer, der påvirker den finansielle enheds it-understøttede forretningsfunktioner, informationsaktiver eller it-aktiver, ikke er foretaget ajourførte fortegnelser over ændringerne.
Til sidst følger det af artikel 8, stk. 7, at en finansiel enhed skal foretage en specifik it-risikovurdering regelmæssigt og mindst én gang om året.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse består eksempelvis i, at en finansiel virksomhed ikke regelmæssigt eller mindst én gang årligt har foretaget en specifik it-risikovurdering.
Artikel 9 indeholder nærmere bestemmelser om beskyttelse af it-systemer og forebyggelse af it-risici.
Det følger af artikel 9, stk. 1, at en finansiel enhed skal sikre løbende overvågning af og kontrol med it-systemer og -værktøjernes sikkerhed og af, hvordan de fungerer, og minimerer virkningerne af it-risikoen for it-systemer ved at indføre passende it-sikkerhedsværktøjer, -politikker og -procedurer, med henblik på, at sikre en passende beskyttelse og tilrettelægge indsatsforanstaltninger der skal sikre de finansielle enheder.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, ikke løbende at overvåge og kontrollere den finansielle enheds it-systemer og -værktøjers sikkerhed igennem passende it-sikkerhedsværktøjer, -politikker og -procedurer.
I medfør af artikel 9, stk. 2, skal en finansiel enhed udforme, indkøbe og gennemføre it-sikkerhedspolitikker, -procedurer, -protokoller og -værktøjer, der har til formål at sikre it-systemernes modstandsdygtighed, stabilitet og tilgængelighed, især for dem, der understøtter kritiske eller vigtige funktioner, og at opretholde høje standarder for, tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, hvad enten dataene er inaktive, i brug eller under overførsel.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 9, stk. 2, bestå i, at der ikke er gennemført en it-sikkerhedspolitik for at sikre den finansielle enheds it-systems modstandsdygtighed, stabilitet og tilgængelighed.
Artikel 9, stk. 3, omhandler de it-løsninger og it-processer som den finansielle enhed skal anvende for at nå de i artikel 9, stk. 2, omhandlede mål. It-løsningerne og it-processerne skal være i overensstemmelse med proportionalitetsprincippet i artikel 4 i DORA-forordningen og sikre sikkerheden for metoderne til overførsel af data, minimere risikoen for korruption eller tab af data, uautoriseret adgang og tekniske fejl, der kan hæmme erhvervsaktiviteten og forhindrer manglen på tilgængelighed, forringelsen af autenticiteten og integriteten, bruddene på fortroligheden og tabet af data. Samt sikre, at data beskyttes mod risici, der opstår i forbindelse med dataforvaltning, herunder dårlig administration, procesrelaterede risici og menneskelige fejl.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 9, stk. 3, bestå i at have utilstrækkelige it-løsninger og it-processer, der ikke lever op til proportionalitetsprincippet i artikel 4, i DORA-forordningen og de i artikel 9, stk. 3, fastsatte krav.
Det følger af artikel 9, stk. 4, at en finansiel enhed som led i deres it-risikostyring skal udvikle og dokumentere en informationspolitik, der fastlægger regler for beskyttelse af tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, informationsaktiver og it-aktiver, herunder deres kunders, hvis det er relevant, jf. litra a. Desuden skal en finansiel enhed følge en risikobaseret tilgang ved at indføre en forsvarlig forvaltningsstruktur for netværk og infrastrukturer ved anvendelse af passende teknikker, metoder og protokoller, der kan omfatte gennemførelse af automatiske mekanismer til isolering af de berørte informationsaktiver i tilfælde af cyberangreb, jf. litra b. Artikel 9, stk. 4, litra c, fastsætter også at en finansiel enhed skal gennemføre politikker, der begrænser den fysiske eller logiske adgang til informationsaktiver og it-aktiver udelukkende til, hvad der er påkrævet for legitime og godkendte funktioner og aktiviteter, og med henblik herpå indføre en række politikker, procedurer og kontroller, der vedrører adgangsrettigheder og sikrer forsvarlig forvaltning heraf.
Desuden skal den finansielle enhed gennemføre politikker og protokoller for stærke autentificeringsmekanismer på grundlag af relevante standarder og særlige kontrolsystemer og beskyttelsesforanstaltninger for krypteringsnøgler, hvorigennem data krypteres baseret på resultaterne fra godkendt dataklassificering og godkendte it-risikovurderingsprocesser, jf. litra d. Samt gennemføre dokumenterede politikker, procedurer og kontroller for styring af it-ændringer, herunder ændringer af software, hardware, firmwarekomponenter, systemer eller sikkerhedsparametre, som er baseret på en risikovurderingstilgang og er en integreret del af den finansielle enheds samlede ændringsstyringsproces, for at sikre, at alle ændringer af it-systemer registreres, testes, vurderes, godkendes, gennemføres og efterprøves på en kontrolleret måde, jf. litra e. Slutteligt anfører artikel 9, stk. 4, litra f, at en finansiel enhed skal sørge for, at der indføres passende og omfattende dokumenterede politikker for programrettelser og opdateringer.
Med henblik på første afsnit, litra b, udformer de finansielle enheder infrastrukturen for netværkstilslutning på en sådan måde, at den kan afbrydes eller segmenteres øjeblikkeligt for at minimere og forhindre afsmitning, navnlig i forbindelse med indbyrdes forbundne finansielle processer. Med henblik på første afsnit, litra e, skal it-ændringsstyringsprocessen godkendes på passende ledelsesniveauer og omfatte specifikke protokoller.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ikke forelægger en tilstrækkelig it-sikkerhedspolitik hos den finansielle enhed til at sikre beskyttelsen af deres kunders data. Den strafbare handling kan desuden også bestå i, at dokumenterede politikker, procedurer og kontroller for styring af it-ændringer, herunder ændringer af software, hardware, firmwarekomponenter, systemer eller sikkerhedsparametre, som er baseret på en risikovurderingstilgang og er en integreret del af den finansielle enheds samlede ændringsstyringsproces, for at sikre, at alle ændringer af it-systemer registreres, testes, vurderes, godkendes, gennemføres og efterprøves på en kontrolleret måde, ikke er blevet godkendt på passende ledelsesniveau.
Artikel 10, stk. 1-4, i DORA-forordningen omhandler detektion af anormale aktiviteter.
Det følger af artikel 10, stk. 1, at en finansiel enhed skal indføre mekanismer til omgående detektion af anormale aktiviteter i overensstemmelse med artikel 17, herunder problemer med it-netværkets ydeevne og it-relaterede hændelser, og til identifikation af potentielt væsentlige single points of failure. Artikel 17 omhandler proces for styring af it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. En overtrædelse af artikel 10, stk. 1, kan bestå i at der i den finansielle enhed ikke bliver opdaget anormale aktiviteter, idet enheden ikke har indført en mekaniske til detektion af disse.
Artikel 10, stk. 2, fastsætter krav til den finansielle enheds mekanismer. I medfør af artikel 10, stk. 2, skal de omtalte mekanismer i stk. 1, anvende flere kontrollag, fastlægge varslingstærskler og -kriterier, som skal udløse og igangsætte indsatsforanstaltninger mod it-relaterede hændelser, herunder automatiske varslingsmekanismer for det relevante personale, som har ansvar for indsatsen mod it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i at have utilstrækkelige mekanismer der ikke lever op til de af artikel 10, stk. 2, fastsatte krav.
Videre fremgår det af artikel 10, stk. 3, at finansielle enheder skal afsætte tilstrækkelige ressourcer og kapaciteter til overvågning af brugeraktiviteter, forekomsten af it-anomalier og it-relaterede hændelser, navnlig cyberangreb.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, ikke at have afsat ressourcer til overvågning af brugeraktiviteter.
Til slut fremgår det af artikel 10, stk. 4, at udbydere af dataindberetningstjenester indfører desuden systemer, som effektivt kan kontrollere, om handelsindberetningerne er fuldstændige, identificere udeladelser og åbenbare fejl og anmode om fornyet fremsendelse af disse indberetninger.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ikke er indført et system som kan identificere åbenbare fejl.
Artikel 11 i DORA-forordningen omhandler indsats og genopretning a it. Artikel 11, stk. 1, fastsætter, at en finansiel enhed skal indføre en omfattende politik for it-driftsstabilitet. Politikken skal være baseret på de krav til identifikation, der er fastsat i artikel 8 i DORA-forordningen. I henhold til artikel 8, stk. 1, skal en finansiel enhed f.eks. foretage en identifikation, klassificering og tilstrækkelig dokumentering af alle it-understøttende forretningsfunktioner, roller, ansvarsområder, informationsaktiviteter og it-aktiver, der understøtter disse funktioner, samt deres roller og afhængigheder med hensyn til it-risici.
Ansvarssubjektet for overtrædelse af artikel 11, stk. 1, er den finansielle enhed. Den strafbare handling kan enten bestå i ikke at have indført nogen politik for it-driftsstabilitet, eller at have indført en politik, der ikke omhandler alle it-understøttende forretningsfunktioner.
I medfør af artikel 11, stk. 2, skal en finansiel enhed gennemføre politikken for it-driftsstabilitet ved hjælp af særlige veldokumenterede ordninger, planer, procedurer og mekanismer, der skal tage sigte på en række forhold, der er oplistet i stk. 2, litra a - e. En af disse forhold er eksempelvis at sikre, at en finansiel enheds kritiske eller vigtige funktioner er stabile, jf. litra a, eller omgående at aktivere særlige planer, der gør det muligt at anvende inddæmningsforanstaltninger, -processer og -teknologier, der er egnede til de enkelte typer af it-relaterede hændelser, og som forhindrer yderligere skade, jf. litra c.
Ansvarssubjektet for en overtrædelse af artikel 11, stk. 2, er den finansielle enhed. Den strafbare handling består i, ikke at have gennemført en politik for it-driftsstabilitet ved hjælp af særlige ordninger, planer, procedurer og mekanismer, der tager sigte på de forhold, der er oplistet i stk. 2, litra a – e.
Artikel 11, stk. 3, indeholder krav om, at en finansiel enhed skal gennemføre planer for it-indsats og -genopretning, som skal underkastes uafhængige interne revisionsgennemgange.
Ansvarssubjektet for en overtrædelse af stk. 3, er den finansielle enhed. Den strafbare handling består i at en finansiel enhed ikke lader planer for it-indsats og -genopretning blive underkastet uafhængige interne revisionsgennemgange.
Det fremgår af artikel 11, stk. 4, at en finansiel enhed skal indføre, vedligeholde og foretage regelmæssig testning af passende planer for it-driftsstabilitet, navnlig med hensyn til kritiske eller vigtige funktioner, som outsources eller udliciteres gennem ordninger, der er indgået med tredjepartsudbydere af it-tjenester. Ved regelmæssig testning forstås mindst én gang om året, jf. artikel 11, stk. 6, litra a.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i ikke at vedligeholde planer for it-driftsstabilitet, f.eks. hvis en udskiftning af virksomhedens it-systemer nødvendiggør en opdatering af planerne for it-driftsstyring. En strafbar handling kan også bestå i ikke regelmæssigt at foretage en test af planer for it-driftsstabilitet. Herunder vil det være en særligt skærpende omstændighed, hvis der ikke er foretaget regelmæssig testning af planer for it-driftsstabilitet med hensyn til kritiske eller vigtige funktioner, som eksempelvis er outsourcet til en tredjepartsudbyder af it-tjenester.
Af artikel 11, stk. 5, 1. pkt., fremgår det, at en finansiel enhed som led i den samlede politik for driftsstabilitet skal foretage en forretningskonsekvensanalyse af deres eksponering for alvorlige driftsforstyrrelser. Det fremgår videre af stk. 5, 2. pkt., hvordan en finansiel enhed i konsekvensanalysen skal vurdere potentielle virkninger af alvorlige driftsforstyrrelser. I stk. 5, 3. pkt., fremgår det, at en konsekvensanalyse bl.a. skal tage hensyn til den kritiske betydning af identificerede og kortlagte forretningsfunktioner og andre forhold, der er nævnt i 3. pkt. Til sidst fremgår det af stk. 5, 4. pkt., at en finansiel enhed skal sikre, at it- aktiver og -tjenester udformes og anvendes i fuld overensstemmelse konsekvensanalysen, navnlig med hensyn til tilstrækkeligt at sikre alle kritiske komponenters redundans, dvs. at en kritisk komponent kan erstattes med en tilsvarende komponent, hvis det skulle blive nødvendigt.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå af ikke at foretage en forretningskonsekvensanalyse af enhedens eksponering for alvorlige driftsforstyrrelser. Den kan f.eks. også bestå i ikke at foretage en vurdering af alvorlige driftsforstyrrelser i overensstemmelse med stk. 5, 2. pkt., eller bestå i at konsekvensanalysen ikke tager hensyn til den kritiske betydning af identificerede og kortlagte forretningsfunktioner eller en af de andre forhold, der er nævnt i det pågældende punkt. Til sidst kan en strafbar handling bestå i f.eks. ikke at sikre, at en kritisk komponent kan erstattes af en tilsvarende komponent, hvis konsekvensanalysen tilsiger dette.
Det fremgår af artikel 11, stk. 6, 1. afsnit, litra a, at en finansiel enhed som led i it-risikostyring skal teste enhedens planer for it-driftsstabilitet og planer for it-indsats og genopretning i forbindelse med it-systemer, der understøtter alle funktioner. En test heraf skal finde sted mindst én gang årligt og i tilfælde af væsentlige ændringer af it-systemer, der understøtter kritiske eller vigtige funktioner. I medfør af stk. 6, 1. afsnit, litra b, skal en finansiel enhed også teste krisekommunikationsplaner, der er udarbejdet i medfør af artikel 14.
Stk. 6, 2. afsnit indeholder nærmere krav til, hvilke forskellige scenarier tests for it-driftsstabilitet og planer for it-indsats og genopretning, jf. stk. 6, litra a, skal medtage. Det drejer sig bl.a. om cyberangrebsscenarier og omstillingsscenarier mellem den primære it-infrastruktur og redundante kapacitet. Ved redundante kapacitet forstås en lignende kapacitet, der skal kunne erstattet den primære it-infrastruktur, hvis denne eksempelvis bliver beskadiget under et cyberangreb. Bestemmelsen gælder ikke for finansielle enheder, der er mikrovirksomheder. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Videre fremgår det af stk. 6, 3. afsnit, at en finansiel enhed regelmæssigt skal gennemgå sin politik for it-driftsstabilitet og planer for it-indsats og -genopretning. Her skal den finansielle enhed bl.a. tage hensyn til resultaterne af de test, som den finansielle enhed har gennemført i henhold til 1. afsnit.
Ansvarssubjektet for en overtrædelse af artikel 11, stk. 6, er den finansielle enhed. Den strafbare overtrædelse kan eksempelvis bestå i ikke at foretage test for planer for it-driftsstabilitet og planer for it-indsats og -genopretning eller ikke at foretage test af krisekommunikationsplaner, jf. stk. 6, 1. afsnit.
En strafbar overtrædelse kan f.eks. også bestå af ikke at ikke at medtage cyberangrebscenarier og omstillingsscenarier mellem den primære it-infrastruktur og den redundante kapacitet, eller i ikke regelmæssigt at gennemgå enhedens politik for it-driftsstabilitet og planer for it-indsats og -genopretning under hensyntagen til resultaterne af de test, som enheden har gennemført, jf. henholdsvis 2. og 3. afsnit.
I medfør af artikel 11, stk. 7, skal en finansiel enhed have en krisestyringsfunktion, som, hvis deres planer for it-driftsstabilitet og planer for it-indsats og -genopretning aktiveres, bl.a. skal indeholde klare procedurer for forvaltning af intern og ekstern krisekommunikation i overensstemmelse med artikel 14, der indeholder nærmere regler herfor.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i ikke at have en krisestyringsfunktion, der indeholder klare procedurer for intern og ekstern krisekommunikation i overensstemmelse med artikel 14.
Artikel 11, stk. 8, indeholder krav om, at en finansiel enhed skal føre let tilgængelige registre over aktiviteter før og under driftsforstyrrelser, når deres planer for it-driftsstabilitet og planer for it-indsats og -genopretning aktiveres.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at føre registre over aktiviteter før og under driftsforstyrrelser, hvor planerne for it-driftsstabilitet og for it-indsats og -genopretning er blevet aktiveret.
Til sidst følger det af artikel 11, stk. 10, at en finansiel enhed skal indberette et overslag over de samlede årlige omkostninger og tab, der opstår som følge af større it-relaterede hændelser, til de kompetente myndigheder på deres anmodning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at indberette et overslag over de samlede årlige omkostninger og tab, der opstår som følge af større it-relaterede hændelser, til de kompetente myndigheder, dvs. Finanstilsynet, hvis Finanstilsynet anmoder den finansielle enhed herom.
Artikel 12 indeholder nærmere bestemmelser om politikker og procedurer for sikkerhedskopiering og procedure og metoder for gendannelse og genopretning af it-systemer og data.
Det følger af artikel 12, stk. 1, at en finansiel enhed som led i it-risikostyring skal udvikle og dokumentere politikker og procedure for sikkerhedskopiering, der præciserer omfanget af de data, der er genstand for sikkerhedskopiering, og minimumshyppigheden af sikkerhedskopiering baseret på oplysningernes kritiske betydning eller fortrolighedsniveauet for dataene. Desuden skal en finansiel enhed udvikle og dokumentere procedurer og metoder for gendannelse og genopretning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at udvikle og dokumentere politikker og procedure for enten sikkerhedskopiering eller gendannelse og genopretning.
I medfør af artikel 12, stk. 2, 1. pkt., skal en finansiel enhed etablere systemer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning. Det følger videre af artikel 12, stk. 2, 2. pkt., at aktiveringen af systemerne for sikkerhedskopiering ikke må sætte sikkerheden i net- og informationssystemer eller tilgængeligheden, autenticiteten, integriteten eller fortroligheden af data over styr. Til sidst er det i medfør af stk. 2, 3. pkt., et krav, at der foretages regelmæssig test af procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i ikke at etablere systemer for sikkerhedskopiering eller for procedurer og metoder for gendannelse og genopretning. Den kan også bestå i at en finansiel enhed ikke sikrer sig, at systemerne for sikkerhedskopiering ikke sætter sikkerheden i net- og informationssystemer m.v. over styr. I henhold til stk. 2, 3. pkt., kan den bestå i at der ikke foretages regelmæssige test af procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning.
Det følger af artikel 12, stk. 3, 1 og 2. pkt., at når en finansiel enhed gendanner sikkerhedskopierede data ved anvendelse af egne systemer, skal de anvende de it-systemer, der er fysisk og logisk adskilt fra it-kildesystemet. It-systemerne skal være sikkert beskyttet mod uautoriseret adgang eller it-korruption og give mulighed for rettidig gendannelse af tjenester ved hjælp af data- og systemsikkerhedskopier efter behov.
Ansvarssubjektet i stk. 3, 1. og 2. pkt., er den finansielle enhed. Den strafbare handling kan i medfør af stk. 3, 1. pkt., bestå i at anvende egne it-systemer til gendannelse af sikkerhedskopierede data, der ikke er fysisk og logisk adskilt fra it-kildesystemet. Det vil eksempelvis sige it-systemer, der befinder sig på en anden adresse end kildesystemet, dvs. det it-system, som den finansielle enhed anvender i sit daglige virke. Det kan også være, hvor en finansiel enhed anvender eget it-system, der er fysisk adskilt fra kildesystemet, men hvor systemet ikke logisk er adskilt fra kildesystemet. Den strafbare handling i medfør af stk. 3, 2. pkt., kan f.eks. bestå i ikke at beskytte it-systemerne mod uautoriseret adgang eller it-korruption.
Videre følger det af stk. 3, 3. pkt., at for centrale modparter (CCP’er) skal genopretningsplaner gøre det muligt at genoptage alle transaktioner fra det tidspunkt, hvor de blev afbrudt, således at den berørte centrale modpart (CCP) kan opretholde driftssikkerheden og gennemføre afviklingen på den planlagte dato. Til sidst følger det af stk. 3, 4. pkt., at udbydere af dataindberetningstjenester desuden skal sørge for at råde over passende ressourcer og sikkerhedskopierings- og gendannelsesfaciliteter for til enhver tid at kunne udbyde og opretholde deres tjenester.
Ansvarssubjektet i stk. 3, 3. pkt., er den centrale modpart (CCP). Den strafbare handling består i, at en genopretningsplan ikke gør det muligt at genoptage alle transaktioner fra det tidspunkt, hvor transaktionerne blev afbrudt.
Ansvarssubjektet i stk. 3, 4. pkt., er udbyderen af dataindberetningstjenester. Den strafbare handling består i ikke at have ressourcer og sikkerhedskopierings- og gendannelsesfaciliteter for til enhver tid at kunne udbyde og opretholde sine tjenester.
Det følger af artikel 12, stk. 4, 1. pkt., at en finansiel enhed opretholder redundante it-kapaciteter, der er udstyret med passende ressourcer og funktioner med henblik på at sikre forretningsmæssige behov. Videre fremgår det af stk. 4, 2. pkt., at mikrovirksomheder vurderer behovet for at opretholde redundante it-kapaciteter på grundlag af deres risikoprofil. Ved redundante it-kapaciteter forstås lignende it-kapaciteter, der skal kunne erstatte de primære it-kapaciteter en finansiel enhed, hvis disse it-kapaciteter eksempelvis bliver ramt af et cyberangreb.
Ansvarssubjektet i stk. 4, 1. pkt., er den finansielle enhed. Den strafbare handling består i ikke at have redundante it-kapaciteter, der sikrer forretningsmæssige behov.
Ansvarssubjektet i stk. 4, 2. pkt., er en finansiel enhed, som er en mikrovirksomhed. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Den strafbare handling består i ikke at have foretaget en vurdering af behovet for at opretholde redundante it-kapaciteter på baggrund af enhedens risikoprofil.
Det fremgår af artikel 12, stk. 6, 1. pkt., at når en finansiel enhed skal fastlægge målene for genopretningstid og genopretningstidspunkt for hver funktion, skal de tage hensyn til, om det er en kritisk eller vigtig funktion og de potentielle samlede virkninger for markedseffektiviteten. Videre fremgår det af stk. 6, 2. pkt., at tidsmålene skal sikre, at de aftalte serviceniveauer kan overholdes i ekstreme scenarier.
Ansvarssubjektet i stk. 6, er den finansielle enhed. Den strafbare handling består i, at en finansiel enhed i sin fastlæggelse af målene for genopretningstid og genopretningstidspunkt, ikke har taget hensyn til, om den pågældende funktion er kritisk, eller hvilken virkning disse tidsmål vil have på markedseffektiviteten. Den kan også bestå i, at den finansielle enhed ikke har sikret sig, at tidsmålene kan overholde de aftalte serviceniveauer i ekstreme scenarier.
Det fremgår af artikel 12, stk. 7, 1. pkt., at når en finansiel enhed foretager genopretning efter en it-relateret hændelse, skal den udføre de nødvendige kontroller, herunder eventuelt flere kontroller og afstemninger, for at sikre, at dataintegriteten bevares på højeste niveau. Videre fremgår det af stk. 7, 2. pkt., at kontroller også skal foretages i forbindelse med rekonstruktionen af data fra eksterne interessenter for at sikre, at alle systemernes data er sammenhængende.
Ansvarssubjektet i stk. 7 er den finansielle enhed. Den strafbare handling består i ikke at udføre de nødvendige kontroller eller afstemninger efter en genopretning for at sikre, at dataintegriteten bevares på højt niveau. I den forbindelse kan den strafbare handling også bestå i ikke at foretage kontroller i forbindelse med rekonstruktionen af data fra eksterne interessenter for at sikre, at alle systemernes data er sammenhængende.
Artikel 13 indeholder regler om læring og udvikling omkring sårbarheder og cybertrusler, it-relaterede hændelser, herunder navnlig cyberangreb. Stk. 1 indeholder krav om, at en finansiel enhed skal sørge for at råde over kapaciteter og personale, som kan indsamle oplysninger herom, og som kan analysere de virkninger, de forventes at have på deres digitale operationelle modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at have afsat ressourcer til f.eks. et it-system og personale, hvormed enheden kan indsamle oplysninger om sårbarheder og cybertrusler eller it-relaterede hændelser som cyberangreb. Den strafbare handling kan eksempelvis også bestå i ikke at have personale med tilstrækkelige kompetencer til at kunne analysere de virkninger, som bl.a. et cyberangreb kan have på deres digitale operationelle infrastruktur.
Det fremgår af artikel 13, stk. 2, 1. afsnit, at en finansiel enhed skal foretage gennemgange af it-relaterede hændelser, efter at større it-relaterede hændelser har forstyrret deres kerneaktiviteter. Den finansielle enhed skal i den forbindelse analysere årsagerne til forstyrrelserne og identificere nødvendige forbedringer af it-operationerne eller indenfor rammerne af den i artikel 11 omhandlede politik for it-driftsstabilitet.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i ikke at foretage en gennemgang og analyse af en større it-relateret hændelse, der har forstyrret den finansielle enheds kerneaktivitet.
Videre fremgår det af stk. 2, 2. afsnit, at en finansiel enhed på anmodning fra den kompetente myndighed skal underrette den kompetente myndighed om ændringer, der er blevet gennemført efter en gennemgang af it-relaterede hændelser. Bestemmelsen gælder ikke for finansielle enheder, der er mikrovirksomheder. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke efter anmodning fra Finanstilsynet at underrette Finanstilsynet om ændringer, der er blevet gennemført efter en gennemgang af it-relaterede hændelser.
Til sidst fremgår det af stk. 2, 3. afsnit, at det i forbindelse med gennemgangen af it-relaterede hændelser skal fastslås, om de fastlagte procedurer er blevet fulgt, og om de iværksatte foranstaltninger har været effektive. Ved fastlagte procedurer forstås de procedurer, som den finansielle enhed har fastlagt i sin politik for it-driftsstabilitet. Det fremgår af artikel 11, stk. 2, at en finansiel enhed gennemfører politikken for it-driftsstabilitet ved hjælp af særlige, passende og veldokumenterede ordninger, planer, procedurer og mekanismer. Det er derfor procedurer og iværksatte foranstaltninger i henhold til de her ordninger m.v., som den finansielle enhed skal fastslå om har været effektive.
Det fremgår nærmere af artikel 13, stk. 2, 3. afsnit, at hvad en finansiel enhed bl.a. skal lægge nærmere vægt på i sin vurdering af, om de iværksatte foranstaltninger har været effektive. Den finansielle enhed skal bl.a. lægge vægt på den hastighed, med hvilken der er blevet sat ind overfor sikkerhedsvarsler, og med hvilken hastighed virkningerne af it-relaterede hændelser og deres omfang er blevet fastslået, jf. stk. 2, 3. afsnit, litra a. Det kan også være i forhold til effektiviteten af den finansielle enheds fejlafhjælpning i forbindelse med hændelser, jf. stk. 2, 3. afsnit, litra c.
Bestemmelsen har til formål at sikre, at en finansiel enhed efter en it-hændelse forholder sig kritisk til sine ordninger, planer, procedure m.v. i forbindelse med sin politik for it-driftsstabilitet for evt. at kunne forbedre disse til håndtering af en fremtidig it-relateret hændelse.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at fastslå om ordninger, planer og procedure i forbindelse med politikken for it-driftsstabilitet er blevet fulgt. Den kan også bestå i ikke at fastslå, om de iværksatte foranstaltninger har været effektive, herunder eksempelvis i forhold til den hastighed, med hvilken der er blevet sat ind overfor sikkerhedsvarsler, og med hvilken hastighed virkningerne af it-relaterede hændelser og deres omfang er blevet fastslået, jf. stk. 2, 3. afsnit, litra a.
Det følger af artikel 13, stk. 3, 1. pkt., at erfaringer fra test af digital operationel modstandsdygtighed, som foretages i overensstemmelse med artikel 26 og 27, og fra faktiske it-relaterede hændelser, navnlig cyberangreb, samt udfordringer i forbindelse med aktiveringen af planer for it-driftsstabilitet og planer for it-indsats og -genopretning, sammen med relevante oplysninger, der udveksles med modparter, og som vurderes i forbindelse med tilsynsmæssige gennemgange, løbende skal indarbejdes i it-risikovurderingsprocessen.
Artikel 26 vedrører avancerede test af IKT-værktøjer, -systemer og -processer baseret på TLPT. TLPT står for Threat Led Penetration Testing, som er en testmetode, hvor en virksomhed engagerer etiske hackere, som skal angribe flere systemer og det tilhørende cyberforsvar i virksomheden. Testene foregår i livesystemer, hvilket vil sige de systemer, som anvendes direkte i den finansielle sektor, og er baseret på konkrete trusler, hvilket betyder, at testene simulerer taktikker, teknikker og procedurer fra aktive, avancerede hackergrupper. Artikel 27 fastsætter de nærmere krav til testere.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består f.eks. i ikke løbende at indarbejde erfaringer fra test af digital operationel modstandsdygtighed i overensstemmelse med artikel 26 og 27, og fra it-relaterede hændelser i it-risikostyringsprocessen.
Det fremgår af artikel 13, stk. 4, 1. pkt., at en finansiel enhed skal overvåge effektiviteten af gennemførelse af deres strategi for digital operationel modstandsdygtighed, jf. artikel 6, stk. 8, der fastsætter nærmere krav til strategien. Videre fremgår det af stk. 4, 2. pkt., at en finansiel enhed skal kortlægge it-risikoens udvikling over tid, analysere hyppigheden, typerne, omfanget af og udviklingen i it-relaterede hændelser, navnlig cyberangreb og mønstre forbundet hermed. Den finansielle enhed skal gøre dette med henblik på at forstå graden af it-risikoeksponering, navnlig i forbindelse med kritiske eller vigtige funktioner, og for at forbedre den finansielle enheds cybermodenhed og cyberberedskab.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at overvåge effektiviteten af gennemførelsen af enhedens strategi for digital operationel modstandsdygtighed eller i ikke at kortlægge it-risikoens udvikling over tid, analysere hyppigheden, typerne, omfanget af og udviklingen i it-relaterede hændelser, navnlig cyberangreb og mønstre forbundet hermed.
Det fremgår af artikel 13, stk. 5, at højtstående it-personale mindst én gang om året skal aflægge rapport til ledelsesorganet om de i stk. 3 omhandlede resultater og fremsætte anbefalinger. Indholdet af artikel 13, stk. 3, er nærmere gennemgået ovenfor under bemærkningerne til strafbelæggelsen af en overtrædelse af stk. 3.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i som finansiel enhed ikke at sørge for, at it-personale mindst én gang om året aflægger rapport for ledelsesorganet om resultater af f.eks. faktiske it-relaterede hændelser, jf. artikel 13, stk. 3, og fremsætter anbefalinger.
Det fremgår af artikel 13, stk. 6, 1. pkt., at en finansiel enhed skal udvikle programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed som obligatoriske moduler i deres personaleuddannelsesordninger. Videre fremgår det af stk. 6, 2. pkt., at disse kurser skal omfatte alle medarbejdere og den øverste ledelse og skal have en grad af kompleksitet, der svarer til deres opgavers ansvarsområde. Sidst fremgår det af stk. 6, 3. pkt., at en finansiel enhed, hvis det er relevant, inddrager tredjepartsudbydere af it-tjenester i relevante uddannelsesordninger, jf. artikel 30, stk. 2, litra i, om kontraktlige ordninger om betingelserne for deltagelse af tredjepartsudbydere i programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består f.eks. i ikke at udvikle programmer til alle medarbejdere og den øverste ledelse til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed som obligatoriske moduler i deres personaleuddannelse. Den strafbare handling kan også bestå i ikke at inddrage tredjepartsudbydere af it-tjenester i relevante uddannelsesordninger, hvis dette viser sig nødvendigt. Det kan eksempelvis være i det tilfælde, hvor kompleksiteten af et uddannelsesprogram når et niveau, hvor den finansielle enhed ikke selv har kompetencerne til at udvikle programmet.
Det fremgår af artikel 13, stk. 7, 1. pkt., at en finansiel enhed løbende skal overvåge den relevante teknologiske udvikling også med henblik på at forstå den mulige virkning af indførelsen af sådanne nye teknologier for kravene til it-sikkerhed og digital operationel modstandsdygtighed. Videre fremgår det af stk. 7, 2. pkt., at en finansiel enhed skal holde sig ajour med de seneste it-risikostyringsprocesser for effektivt at bekæmpe aktuelle eller nye former for cyberangreb. Bestemmelsen gælder ikke for mikrovirksomheder. Se definitionen af en mikrovirksomhed under bemærkningerne til strafbelæggelse af overtrædelse af artikel 11, stk. 6, 2. afsnit.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke løbende at overvåge den relevante teknologiske udvikling med henblik på evt. at indføre de nye teknologier i enheden i forhold til at leve op til kravene til it-sikkerhed og digital operationel modstandsdygtighed. Den kan også bestå i ikke at holde sig ajour med de seneste it-risikostyringsprocesser for effektivt at bekæmpe aktuelle eller nye former for cyberangreb.
Artikel 14, stk. 1 i DORA-forordningen omhandler, at der som led i den ramme for it-risiko-styring, der er omhandlet i artikel 6, stk. 1, at de finansielle enheder sørger for at have krisekommunikationsplaner, der giver mulighed for ansvarlig offentliggørelse af, som minimum større it-relaterede hændelser eller sårbarheder for kunder og modparter samt for offentligheden, alt efter hvad der er relevant.
Krisekommunikations-planer må forstås sådant, at når der opstår en større ulykke eller katastrofe, så er der et akut behov for viden, og det er derfor nødvendigt at have planer for at kommunikere dette ud til de relevante parter.
It-risiko-styring må forstås sådant, at det er en håndtering af en sådan trussel, som defineres i artikel 3, stk. 1 nr. 5.
Ansvarssubjektet for overtrædelse af artikel 14, stk. 1, er den finansielle enhed. Den strafbare handling kan f.eks. bestå i, at den finansielle enhed ikke har udarbejdet planer for kommunikation af en offentliggørelse af en større it-relateret hændelse.
I medfør af artikel 14, stk. 2, skal en finansiel enhed som led i rammen for it-risikostyring, der er omhandlet i artikel 6, stk. 1. gennemføre kommunikationsplaner for internt personale og eksterne interessenter. Artikel 6, stk. 1, vedrører, at finansielle enheder indfører en robust, omfattende og veldokumenteret ramme for it-risikostyring. Kommunikationspolitikkerne for personalet skal tage hensyn til behovet for at skelne mellem personale der er involveret i it-risiko-styring, navnlig det personale der er ansvarlig for indsats og genopretning, og personale, der skal underrettes.
Ansvarssubjektet for en overtrædelse af artikel 14, stk. 2, er den finansielle enhed. Den strafbare handling består i, ikke at have gennemført kommunikationsplaner for internt personale og eksterne interessenter.
Artikel 14, stk. 3, indeholder krav om, at mindst én person i den finansielle enhed skal have til opgave at gennemføre kommunikationsstrategien for it-relaterede hændelse, og til dette formål varetage funktionen vedrørende offentligheden og medierne.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed ikke har mindst én person, der har til opgave at gennemføre kommunikationsstrategien for it-relaterede hændelse, og som til dette formål har varetage funktionen vedrørende offentligheden og medierne.
Det fremgår af artikel 16, stk. 1, at forordningens artikel 5-15 ikke finder anvendelse på små og ikke indbyrdes forbundne investeringsselskaber, betalingsinstitutter, der er undtaget i henhold til direktiv (EU) 2015/2366, institutter, der er fritaget i henhold til direktiv 2013/36/EU, og for hvilke medlemsstaterne har besluttet ikke at anvende den mulighed, der er omhandlet i nærværende forordnings artikel 2, stk. 4, e-pengeinstitutter, der er undtaget i henhold til direktiv 2009/110/EF, og små arbejdsmarkedsrelaterede pensionskasser.
Uden at det berører første afsnit skal de i første afsnit omhandlede enheder overholde det anførte i artikel 16, stk. 1, litra a-e. Det fremgår af litra a, at enhederne skal indføre og vedligeholde en robust og dokumenteret ramme for it-risikostyring, der beskriver de mekanismer og foranstaltninger, der skal muliggøre en hurtig, effektiv og omfattende styring af it-risiko, herunder vedrørende beskyttelse af relevante fysiske komponenter og infrastrukturer.
Det fremgår af litra b, at der løbende skal overvåges alle it-systemers sikkerhed og drift.
Det fremgår af litra c, at virkningen af it-risiko gennem anvendelse af robuste, modstandsdygtige og ajourførte it-systemer, -protokoller og -værktøjer, som er egnede til at understøtte udførelsen af deres aktiviteter og leveringen af tjenester og i tilstrækkelig grad beskytte tilgængeligheden, autenticiteten, integriteten og fortroligheden af data i net- og informationssystemerne skal minimeres.
Det fremgår af litra d, at det hurtigst muligt skal konstateres og detekteres it-risikokilder og -anomalier i net- og informationssystemerne og hurtigt at håndtere it-relaterede hændelser.
Det fremgår af litra e, at der skal konstateres stor afhængighed af tredjepartsudbydere af it-tjenester.
Det fremgår af litra f, at der skal sikres kontinuiteten af kritiske eller vigtige funktioner gennem planer for driftsstabiliteten og indsats- og genopretningsforanstaltninger, der som minimum omfatter sikkerhedskopierings- og gendannelsesforanstaltninger.
Det fremgår af litra g, at der regelmæssigt skal testes de planer og foranstaltninger, der er omhandlet i litra f, samt effektiviteten af de gennemførte kontroller i overensstemmelse med litra a og c.
Det fremgår af litra h, at der skal gennemføres, alt efter hvad der er relevant, de relevante operationelle konklusioner, der følger af de test, der er omhandlet i litra g, og af de efterfølgende analyser af hændelserne, i it-risikovurderingsprocessen og efter behov og it-risikoprofil udvikle programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed for personale og ledelse.
Ansvarssubjektet i artikel 16, stk. 1 litra a-h, er den finansielle enhed. Den strafbare handling består i, at de i første afsnit omhandlede enheder ikke overholder det anførte i artikel 16, stk. 1, litra a-e.
I medfør af artikel 16, stk. 2, skal en finansiel enhed i den i stk. 1, andet afsnit, litra a, omhandlede ramme for it-risikostyring dokumenteres og gennemgås regelmæssigt og ved forekomst af større it-relaterede hændelser i overensstemmelse med de tilsynsmæssige instrukser. Den skal forbedres løbende på grundlag af indhøstede erfaringer fra gennemførelse og overvågning. Der skal forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed på dennes anmodning.
Ansvarssubjektet for overtrædelsen af artikel 16, stk. 2, er den finansielle enhed. Den strafbare handling består i, at ikke at have gennemført de handlinger der er oplistet i artikel 16, stk. 2. Dette er eksempelvis at sikre at der forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed ved anmodning.
Det følger af artikel 17, stk. 1, at de finansielle enheder definerer, fastlægger og gennemfører en proces for styring af it-relaterede hændelser for at detektere, styre og indberette it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 17, stk. 1 bestå i, at de finansielle enheder ikke definerer, fastlægger og gennemfører en proces for styring af it-relaterede hændelser, som kan detektere, styre og indberette it-relaterede hændelser.
Det følger af artikel 17, stk. 2, at de finansielle enheder er alle, der registrerer it-relaterede hændelser og væsentlige cybertrusler. De finansielle enheder fastlægger passende procedurer og processer, der skal sikre en konsekvent og integreret overvågning, håndtering og opfølgning af it-relaterede hændelser. Det skal ske således, at de grundlæggende årsager identificeres, dokumenteres og håndteres for at forhindre, at sådanne hændelser forekommer.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 17, stk. 2, bestå i, at den finansielle enhed fastlægger passende procedurer og processer, der skal sikre en konsekvent og integreret overvågning, håndtering og opfølgning af it-relaterede hændelser. Dette skal ske således, at de grundlæggende årsager identificeres, dokumenteres og håndteres for at forhindre, at sådanne hændelser kan opstå.
Det følger af artikel 17, stk. 3, at den finansielle enhed som led i den proces for styring af it-relaterede hændelser, der er omhandlet i stk. 1, overholder det anførte i artikel 17, stk. 3, litra a-f.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling i medfør af artikel 17, stk. 3, er en tilsidesættelse af overholdelse af de oplistede krav i artikel 17, stk. 3, litra a-f. Dette kan eksempelvis være, at der ikke tildeles roller og ansvarsområder, som skal aktiveres for forskellige it-relaterede hændelsestyper og -scenarier.
Artikel 18 indeholder en klassificering af it-relaterede hændelser og cybertrusler.
Det følger af artikel 18, stk. 1, at de finansielle enheder klassificerer it-relaterede hændelser og fastslår deres virkninger på grundlag af følgende kriterier oplistet i artikel 18, stk. 1, litra a-f.
Det fremgår af litra a, at antallet og/eller relevansen af kunder eller finansielle modparter, som er berørt, og, hvis det er relevant, beløbet på eller antallet af de transaktioner, som er berørt af den it-relaterede hændelse, og hvorvidt den it-relaterede hændelse har haft indvirkning på omdømmet.
Det fremgår af litra b, at varigheden af den it-relaterede hændelse, herunder tjenestens nedetid.
Det fremgår af litra c, at den geografiske udbredelse med hensyn til de områder, der er berørt af den it-relaterede hændelse, navnlig hvis den berører mere end to medlemsstater.
Det fremgår af litra d, at de datatab, som den it-relaterede hændelse medfører med hensyn til tilgængelighed, autenticitet, integritet eller fortrolighed af data.
Det fremgår af litra e, at den kritiske betydning af de berørte tjenester, herunder den finansielle enheds transaktioner og operationer.
Det fremgår af litra f, at de økonomiske virkninger, navnlig direkte og indirekte omkostninger og tab, af den it-relaterede hændelse i både absolutte og relative tal.
Ansvarssubjektet i stk. 1 er den finansielle enhed. Den strafbare handling består i, at de finansielle enheder ikke klassificerer it-relaterede hændelser og dermed ikke fastslår deres virkninger på grundlag af følgende kriterier oplistet i artikel 18, stk. 1, litra a-f.
Det fremgår af stk. 2, at de finansielle enheder klassificerer cybertrusler som væsentlige på grundlag af de udsatte tjenesters kritiske betydning, herunder den finansielle enheds transaktioner og operationer, antallet og/eller relevansen af de kunder eller finansielle modparter, som rammes, og risikoområdernes geografiske udbredelse.
Ansvarssubjektet i artikel 18, stk. 2, er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed undlader at klassificere cybertrusler som væsentlige, eksempelvis på grundlag af de udsattes tjenesters kritiske betydning.
Artikel 19, stk. 1, omhandler indberetning af større it-relaterede hændelser. Bestemmelsen forpligter den finansielle enhed til at indberette større it-relaterede hændelser til den relevante kompetente myndighed.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke underretter Finanstilsynet om en større it-relateret hændelse.
I medfør af artikel 19, stk. 3, skal den finansielle enhed underrette Finanstilsynet, uden unødigt ophold, i tilfælde af, at en større it-relateret hændelse indtræffer og har indflydelse på kunders finansielle interesser. Den finansielle enhed underretter også om de foranstaltninger, der er truffet for at afbøde de negative virkninger af en sådan hændelse. I tilfælde af en væsentlig cybertrussel underretter de finansielle enheder, hvis det er relevant, de af deres kunder, som potentielt er berørt heraf, om eventuelle passende beskyttelsesforanstaltninger, som sidstnævnte kan overveje at træffe
Ansvarssubjektet var overtrædelse af artikel 19, stk. 3, er den finansielle enhed. En strafbar handling kan bestå i, at den finansielle enhed ikke underretter Finanstilsynet rettidigt i tilfælde en større it-relateret hændelse indtræffer, som har indflydelse på kunders finansielle interesser. En strafbar handling kan også bestå i at underrette Finanstilsynet om den it-relaterede hændelse, uden at underrette om de foranstaltninger der er truffet for at afbøde de negative virkninger.
Det fremgår af artikel 19, stk. 4, at den finansielle enhed, i tilfælde af en it-relateret hændelse, skal indgive henholdsvis en indledende underretning, jf. litra a, en foreløbig rapport så snart den oprindelige hændelses status har ændret sig betydeligt, eller håndteringen af den større it-relaterede hændelse har ændret sig på grundlag af nye tilgængelige oplysninger, efterfulgt, alt efter hvad der er relevant, af ajourførte underretninger, hver gang der foreligger en relevant ajourføring af status, samt efter en specifik anmodning fra den kompetente myndighed, jf. litra b. Samt en endelig rapport, når den grundlæggende årsagsanalyse er afsluttet, uanset om der allerede er gennemført afbødende foranstaltninger, og når tallene for de faktiske virkninger foreligger og kan erstatte skøn, jf. litra c. Fristerne for disse skal fastsættes i overensstemmelse med artikel 20, stk. 1, litra a, nr. ii, og skal indgives til Finanstilsynet, som er den kompetente myndighed.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i, ikke at indgive en indledende underretning, en foreløbig rapport eller en endelig rapport til Finanstilsynet inden for de af artikel 20, stk. 1, litra a, nr. ii, fastsatte frister.
Artikel 24 i DORA-forordningen omhandler generelle krav til gennemførslen af test af digital operationel modstandsdygtighed.
Det følger af artikel 24, stk. 1, at en finansiel enhed skal udarbejde, opretholde og gennemgå et forsvarligt og omfattende program for test af digital operationel modstandsdygtighed, som en integreret del af den i artikel 6 omhandlede ramme for it-risikostyring. Dette skal ske med henblik på at vurdere beredskabet i forhold til håndtering af it-relaterede hændelser, identificere svagheder, mangler og huller i den digitale operationelle modstandsdygtighed og straks træffe korrigerende foranstaltninger.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har udarbejdet et program for test af digital operationel modstandsdygtighed. Den strafbare handling kan også bestå i, at den finansielle enheds program for test af digital operationel modstandsdygtighed ikke er forsvarligt eller omfattende nok.
I medfør af artikel 24, stk. 2, skal programmet for test af digital operationel modstandsdygtighed, omfatte en række vurderinger, test, metodologier, fremgangsmåder og værktøjer, der skal anvendes i overensstemmelse med artikel 25 og 26 i DORA-forordningen.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i at den finansielle enhed gennemfører tests der ikke i tilstrækkelig grad omfatter kravene om vurderinger, test, metodologier, fremgangsmåder og værktøj, der skal anvendes i overensstemmelse med artikel 25 og artikel 26 i DORA-forordningen.
Artikel 24, stk. 3, pålægger den finansielle enhed at følge en risikobaseret tilgang for programmet for test af digital operationel modstandsdygtighed. Den finansielle enhed skal ved gennemførslen af programmet, tage hensyn til kriterierne i DORA-forordningens artikel 4, stk. 2, og til et it-risikomiljø i udvikling, eventuelle specifikke risici, som den berørte finansielle enhed udsættes for eller kan blive udsat for, informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre faktorer, som den finansielle enhed finder relevante.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse af artikel 24, stk. 3, kunne eksempelvis være, at den finansielle enhed gennemfører et program for test af digital operationel modstandsdygtighed uden at tage hensyn til den finansielles enheds it-risikomiljø.
I medfør af artikel 24, stk. 4, skal den finansielle enhed sikre, at tests gennemføres af uafhængige parter, hvad enten de er interne eller eksterne. Hvis en intern tester gennemfører test, skal de finansielle enheder afsætte tilstrækkelige ressourcer og sikre, at interessekonflikter undgås under testens udformnings- og gennemførelsesfaser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed der gennemfører tests af deres digitale operationelle modstandsdygtighed ikke sikrer, at testen gennemføres af uafhængige interne eller eksterne parter for at begrænse interessekonflikter.
Artikel 24, stk. 5, pålægger den finansielle enhed at fastlægge procedurer og politikker med henblik på at prioritere, klassificere og afhjælpe alle problemer, der identificeres i forbindelse med gennemførelsen af test, og fastlægger interne valideringsmetoder for at sikre, at alle konstaterede svagheder, mangler eller huller afhjælpes fuldt ud.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at fastlægge procedurer og politikker der prioriterer, klassificerer og afhjælper de problemer der identificeres med gennemførslen af testen.
I medfør af artikel 24, stk. 6, skal de finansielle enheder sikre, at der gennemføres passende test af alle it-systemer og -applikationer, der understøtter kritiske eller vigtige funktioner, mindst én gang om året.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kunne bestå i at den finansielle enhed ikke mindst én gang årligt gennemfører tests af alle it-systemer og it-applikationer, der kan anses for passende.
Artikel 25 omhandler test af it-værktøjer og -systemer.
Det følger af artikel 25, stk. 1, at programmet for test af den digitale operationelle modstandsdygtighed skal være i overensstemmelse med de af artikel 4, stk. 2, kriterier for proportionalitet. I medfør af artikel 4, stk. 2, skal den finansielle enheds styring, klassificering, indberetning af it-relaterede hændelser, test af digital operationel modstandsdygtighed og styring af it-tredjepartsrisici stå i et rimeligt forhold til deres størrelse og samlede risikoprofil og til karakteren, omfanget og kompleksiteten af deres tjenester, aktiviteter og operationer, som specifikt fastsat i de relevante regler i de nævnte kapitler.
I overensstemmelse med de oplistede kriterier i artikel 4, stk. 2, skal programmet for test af digital operationel modstandsdygtighed, nævnt i artikel 24, indeholde bestemmelser om gennemførelse af relevante test såsom sårbarhedsvurderinger og -scanninger, open source-analyser, vurderinger af netsikkerheden, mangelanalyser, fysiske sikkerhedsgennemgange, spørgeskemaer og scanningssoftwareløsninger, gennemgange af kildekoder, når det er praktisk muligt, scenariebaserede test, kompatibilitetstest, præstationstest, end-to-end-test og penetrationstest.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at den finansielle enhed har vedtaget et program for test der ikke er tilstrækkeligt, mangelfuldt eller lever op til de fastsatte krav for programmer for test af digital operationel modstandsdygtighed i artikel 25, stk. 1.
I medfør af artikel 25, stk. 3, skal mikrovirksomheder gennemføre de i artikel 25, stk. 1 omhandlede test ved at kombinere en risikobaseret tilgang med strategisk planlægning af it-test under behørig hensyntagen til behovet for at opretholde en afbalanceret tilgang mellem omfanget af ressourcer og den tid, der skal afsættes til it-test som omhandlet i denne artikel, på den ene side og den hastende karakter, risikotype og informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre relevante faktorer, herunder den finansielle enheds evne til at tage kalkulerede risici, på den anden side.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i, at en mikrovirksomhed ikke har taget tilstrækkeligt hensyn til at opretholde en balanceret tilgang til henholdsvis omfanget af ressourcer og andre faktorer, som eksempelvis den finansielle enheds evne til at tage kalkulerede risici.
Artikel 28 omhandler generelle principper for forsvarlig styring af it-tredjepartsrisici.
I medfør af artikel 28, stk. 1, skal den finansielle enhed styre deres it-tredjepartsrisiko som en integreret del af it-risiko, inden for deres ramme for it-risikostyring.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at den finansielle enheds it-tredjepartsrisiko ikke bliver styret som en integreret del af deres samlede it-risiko, inden for den finansielle enheds it-risikostyring.
I medfør af artikel 28, stk. 1, litra b, skal styringen af it-tredjepartsrisikoen hos den finansielle enhed foregå under hensyntagen til proportionalitetsprincippet og skal derfor tage hensyn til henholdsvis artikel 28, stk. 1, litra b, nr. i, som omhandler karakteren, omfanget, kompleksiteten og betydningen af den it-relaterede afhængighed og artikel 28, stk. 1, litra b, nr. ii, som omhandler de risici, der opstår som følge af kontraktlige ordninger for brugen af it-tjenester, der er indgået med tredjepartsudbydere af it-tjenester, under hensyntagen til den kritiske betydning eller vigtighed af den pågældende tjeneste, proces eller funktion og til de potentielle virkninger for driftsstabiliteten og tilgængeligheden af finansielle tjenesteydelser og aktiviteter på individuelt plan og koncernniveau.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at kravene i artikel 28, stk. 1, litra b, nr. i-ii, ikke tages under betragtning ved udformningen af den finansielle enheds styring af it-tredjepartsrisiko.
Artikel 28, stk. 2, omhandler strategien for den finansielle enheds it-tredjepartsrisiko. Den finansielle enhed skal vedtage og gennemgå deres strategi regelmæssigt som led i deres ramme for it-risikostyring. Strategien skal omfatte en politik for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og som leveres af tredjepartsudbydere af it-tjenester. Strategien skal gælde på individuelt grundlag og, hvor det er relevant, på delkonsolideret og konsolideret grundlag. Ledelsesorganet i den finansielle enhed skal på grundlag af en vurdering af den finansielle enheds samlede risikoprofil og omfanget og kompleksiteten af forretningstjenesterne regelmæssigt gennemgå de risici, der er konstateret i forbindelse med kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i at ledelsesorganet i den finansielle enhed ikke ved vurderingen af den samlede risikoprofil har gennemgået de de risici, der er konstateret i forbindelse med kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner.
Artikel 28, stk. 3, fastsætter krav for den finansielle enheds dokumentation af kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere. Den finansielle enhed skal som et led i deres ramme for it-risikostyring sørge for at opretholde og ajourføre et register over kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere på både enhedsniveau, delkonsolideret niveau og konsolideret niveau. De kontraktsretlige ordninger skal være skelnet mellem de it-tjenester der understøtter kritiske eller vigtige funktioner, og dem, der ikke gør.
Desuden skal den finansielle enhed mindst én gang årligt indberette nye ordninger for brugen af it-tjenester, kategorierne af tredjepartsudbydere af IKT-tjenester, typen af kontraktlige ordninger og de it-tjenester og funktioner, der leveres, til Finanstilsynet.
Til sidst skal den finansielle enhed efter anmodning, stille det fulde register over oplysninger eller, som anmodet, nærmere angivne afsnit heraf til rådighed for Finanstilsynet sammen med eventuelle oplysninger, som anses for nødvendige for at muliggøre et effektivt tilsyn med den finansielle enhed. Den finansielle enhed underretter rettidigt Finanstilsynet om enhver planlagt kontraktlig ordning for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og når en funktion er blevet kritisk eller vigtig.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at den finansielle enhed efter anmodning fra Finanstilsynet, ikke kan stille det fulde register over kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere til rådighed.
Artikel 28, stk. 4, litra a-e, fastsætter krav til den finansielle enhed før der indgås en kontraktlig ordning for brugen af it-tjenester. Den finansielle enhed skal vurdere, om den kontraktlige ordning omfatter brugen af it-tjenester, der understøtter en kritisk eller vigtig funktion, jf. litra a, vurdere, om de tilsynsmæssige betingelser for udlicitering er opfyldt, jf. litra b, identificere og vurdere alle relevante risici i forbindelse med den kontraktlige ordning, herunder muligheden for, at sådanne kontraktlige ordninger kan bidrage til at øge it-koncentrationsrisikoen, jf. artikel 29, jf. litra c, foretage fornøden due diligence over for potentielle tredjepartsudbydere af it-tjenester og under alle udvælgelses- og vurderingsprocesserne sikre, at den pågældende tredjepartsudbyder af it-tjenester er egnet jf. litra d, og identificere og vurdere interessekonflikter, som de kontraktlige ordninger kan give anledning til, jf. litra e.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i at den finansielle enhed indgår en kontraktlig ordning for brugen af it-tjenester, uden at have identificeret og vurderet interessekonflikter, som den kontraktlige ordning kan give anledning til.
I medfør af artikel 28, stk. 7, litra a-d, skal den finansielle enhed sikre sig, at de indgåede kontraktlige ordninger kan opsiges på baggrund af væsentlig overtrædelse begået af tredjepartsudbyderen af it-tjenester af gældende love, administrative bestemmelser eller kontraktvilkår, jf. litra a. Forhold, der er identificeret under overvågningen af it-tredjepartsrisiko, og som anses for at kunne ændre udførelsen af de funktioner, der er leveret gennem den kontraktlige ordning, herunder væsentlige ændringer, der påvirker ordningen eller situationen for tredjepartsudbyderen af it-tjenester skal også kunne lægges til grund for opsigelse af den kontraktlige ordning, jf. litra b.
Ligeledes skal dokumenterede svagheder hos tredjepartsudbyderen af it-tjenester, som vedrører dennes samlede it-risikostyring, og navnlig i den måde, hvorpå denne garanterer tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, hvad enten det drejer sig om personoplysninger eller på anden måde følsomme data eller andre oplysninger end personoplysninger, kunne lægges til grund for opsigelse af den kontraktlige ordning, jf. litra c. Til sidst skal den kontraktlige ordning kunne opsiges, såfremt Finanstilsynet ikke længere kan føre effektivt tilsyn med den finansielle enhed som følge af betingelserne eller omstændighederne vedrørende de respektive kontraktlige ordninger.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at den kontraktlige ordning ikke kan opsiges på baggrund af de af artikel 28, stk. 7, oplistede situationer.
Artikel 28, stk. 8, omhandler exitstrategier. Den finansielle enhed skal indføre exitstrategier for it-tjenester, der understøtter kritiske eller vigtige funktioner.
Exitstrategierne skal tage højde for de risici, der kan opstå hos tredjepartsudbydere af it-tjenester, navnlig mulige svigt fra deres side, en forringelse af kvaliteten af de leverede it-tjenester, eventuelle driftsforstyrrelser som følge af uhensigtsmæssig eller manglende levering af it-tjenester eller eventuelle væsentlige risici i forbindelse med en passende og løbende anvendelse af de pågældende it-tjenester eller opsigelse af kontraktlige ordninger med tredjepartsudbydere af it-tjenester i en af de i artikel 28, stk. 7, anførte situationer.
Den finansielle enhed skal sikre at de kan opsige den kontraktlige ordning uden at deres forretningsaktivitet afbrydes, jf. litra a, uden at efterlevelsen af de forskriftsmæssige krav begrænses, jf. litra b og uden at kontinuiteten og kvaliteten af de leverede tjenester til kunder lider skade, jf. litra c.
Ligeledes skal exitstrategierne være i overensstemmelse med kriterierne i artikel 4, stk. 2, om proportionalitet, samt være omfattende og veldokumenterede.
Der skal desuden være udarbejdet overgangsplaner der kan fratage tredjepartsudbyderen af it-tjenester de udliciterede it-tjenester og de relevante data og sikkert og fuldstændigt kan overføre disse til alternative udbydere eller på ny indarbejde dem internt. Den finansielle enhed skal derudover identificere alternative løsninger.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke har sikret sig at indføre en exitstrategi i tilfælde af, at en kontrakt ordning med en tredjepartsudbyder af it-tjenester opsiges.
Artikel 29, stk. 1, omhandler foreløbig vurdering af it-koncentrationsrisiko på enhedsniveau. Bestemmelsen fastsætter krav, som den finansielle enhed skal tage hensyn til ved identifikation og vurdering af risici i forbindelse med en kontraktlige ordning, herunder muligheden for, at en kontraktlig ordning kan bidrage til at øge it-koncentrationsrisikoen. Ved indgåelse af en kontraktlig ordning i forbindelse med it-tjenester, der understøtter kritiske eller vigtige funktioner tager den finansielle enhed hensyn til udlicitering til en tredjepartsudbyder af it-tjenester, som ikke er let at erstatte, jf. litra a og indgåelse af flere kontraktlige ordninger om levering af it-tjenester, der understøtter kritiske eller vigtige funktioner, med den samme tredjepartsudbyder af it-tjenester eller med tredjepartsudbydere af it-tjenester, som har tætte forbindelser til denne, jf. litra b.
Den finansielle enhed skal i medfør af bestemmelsen afveje fordele og omkostninger ved alternative løsninger såsom brug af forskellige tredjepartsudbydere af it-tjenester under hensyntagen til, hvorvidt og hvordan de påtænkte løsninger svarer til de forretningsmæssige behov og mål, der er fastsat i deres strategi for digital modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed ikke har taget hensyn til udliciteringen til en tredjepartsudbyder af it-tjenester som ikke er lette at erstatte, ved indgåelsen af en kontraktlig ordning om it-tjenester der understøtter kritiske eller vigtige funktioner.
I medfør af artikel 29, stk. 2, skal den finansielle enhed i tilfælde af, at den kontraktlige ordning for brug af it-tjenester med en tredjepartsudbyder, kan komme videre i underentreprise med hjemsted i tredjeland, overveje de fordele og risici, der kan opstå i forbindelse med underentreprisen, særligt hvis it-tjenesten understøtter kritiske eller vigtige funktioner.
Den finansielle enhed skal tage hensyn til de bestemmelser i insolvensretten, som finder anvendelse, hvis tredjepartsudbyderen af it-tjenester går konkurs, samt eventuelle begrænsninger, der kan opstå i forbindelse med en hastende genopretning af den finansielle enheds data, såfremt den kontraktlige ordning vedrører it-tjenester, der understøtter kritiske eller vigtige funktioner.
Den finansielle enhed tager derudover hensyn til overholdelsen af Unionens databeskyttelsesregler og en effektiv håndhævelse af retten i det pågældende tredjeland, såfremt der er indgået kontraktlige ordninger for brug af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, med en tredjepartsudbyder af IKT-tjenester med hjemsted i et tredjeland.
Til sidst vurderer den finansielle enhed hvorvidt og hvordan potentielt lange eller komplekse underentreprisekæder kan påvirke deres evne til fuldt ud at overvåge de udliciterede funktioner og den kompetente myndigheds evne til i denne henseende at føre effektivt tilsyn med den finansielle enhed, såfremt den kontraktlige ordning for brugen af IKT-tjenester, understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ved indgåelse af kontraktlige ordninger med en tredjepartsudbyder af it-tjenester, der understøtter kritiske funktioner, ikke er foretaget en afvejning af fordele og risici såfremt tredjepartsudbyderen giver it-tjenesterne videre til en underentreprise med hjemsted i udlandet.
Artikel 30 omhandler centrale kontrakts bestemmelser.
Artikel 30, stk. 1, fastsætter at rettigheder og forpligtelser mellem den finansielle enhed og tredjepartsudbyderen skal fordeles klart og fastlægges skriftligt. Serviceniveauaftaler skal være omfattet af den samlede kontrakt og dokumenteres i ét skriftligt dokument. Parterne skal have adgang til dokumentet i papir, eller i et andet varigt og permanent format, der kan downloades.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke tager højde for, at rettighederne og forpligtelserne mellem parterne skal nedfattes skriftligt og have varig karakter, som enten kan tilgås på papir eller i et format, der kan downloades.
Artikel 30, stk. 2, fastsætter en række minimumskrav til den kontraktlige ordning for brugen af it-tjenester.
Den kontraktlige ordning skal sikre en klar og fuldstændig beskrivelse af alle funktioner og it-tjenester, som tredjepartsudbyderen af it-tjenester skal levere, med angivelse af, om underentreprise af en it-tjeneste, der understøtter en kritisk eller vigtig funktion eller væsentlige dele heraf er tilladt, og, hvis det er tilfældet, de betingelser, der gælder for en sådan underentreprise, jf. litra a.
De steder, navnlig de regioner eller lande, hvor de udliciterede funktioner og it-tjenester eller funktionerne og it-tjenesterne i underentreprise skal leveres, og hvor data skal behandles, herunder lagringsstedet, og kravet om, at tredjepartsudbyderen af it-tjenester på forhånd skal underrette den finansielle enhed, hvis den har planer om at ændre disse steder, jf. litra b.
Den kontraktlige ordning skal ligeledes indeholde bestemmelser om tilgængelighed, autenticitet, integritet og fortrolighed med hensyn til databeskyttelse, herunder personoplysninger, jf. litra c.
Bestemmelser om sikring af adgang, genopretning og tilbagesendelse i et lettilgængeligt format af personoplysninger og andre data end personoplysninger, der behandles af den finansielle enhed, i tilfælde af insolvens, afvikling eller afbrydelse af de forretningsaktiviteter, som tredjepartsudbyderen af it-tjenester varetager, eller i tilfælde af opsigelse af de kontraktlige ordninger skal medtages i den kontraktlige ordning, jf. litra d.
Den kontraktlige ordning skal derudover indeholde beskrivelser af serviceniveauet, herunder ajourføringer og revisioner heraf, jf. litra e.
Forpligtelsen for tredjepartsudbyderen af it-tjenester til at yde bistand til den finansielle enhed uden yderligere omkostninger eller til en omkostning, der fastsættes på forhånd, hvis der opstår en IKT-hændelse, der vedrører den it-tjeneste, som leveres til den finansielle enhed skal også indgå i den kontraktlige ordning, jf. litra f.
Derudover skal den finansielle enhed medtage forpligtelsen for tredjepartsudbyderen af it-tjenester til at samarbejde fuldt ud med den finansielle enheds kompetente myndigheder og afviklingsmyndigheder, herunder personer, som de har udpeget, jf. litra g og opsigelsesrettigheder og dertil knyttet minimumsfrister for opsigelse af de kontraktlige ordninger i overensstemmelse med de kompetente myndigheders og afviklingsmyndighedernes forventninger, jf. litra h.
Slutteligt skal betingelserne for deltagelse af tredjepartsudbydere af it-tjenester i de finansielle enheders programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed, jf. artikel 13, stk. 6, medtages i den kontraktlige ordning.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en kontrakt mellem en finansiel enhed og en tredjepartsudbyder af it-tjenester er mangelfuld og ikke på en klar og tilstrækkelig måde, omfatter de af artikel 30, stk. 2, omfattede minimumskrav til kontraktlige ordninger for brugen af it-tjenester som eksempelvis beskrivelserne af serviceniveauet, herunder ajourføringer og revisioner, jf. litra e og opsigelsesrettigheder, jf. litra h.
Artikel 30, stk. 3, fastsætter en række minimumskrav til den kontraktlige ordning for brugen af it-tjenester der understøtter kritiske eller vigtige funktioner.
Den kontraktlige ordning skal sikre en fuldstændig beskrivelse af serviceniveauer, herunder ajourføringer og revisioner heraf, med præcise kvantitative og kvalitative præstationsmål inden for de aftalte serviceniveauer, således at den finansielle enhed kan foretage en effektiv overvågning af it-tjenester, og således at der uden unødigt ophold kan træffes passende afhjælpende foranstaltninger, når de aftalte serviceniveauer ikke overholdes, jf. litra a.
Den kontraktlige ordning skal derudover omfatte opsigelsesfrister og indberetningsforpligtelser for tredjepartsudbyderen af it-tjenester over for den finansielle enhed, herunder underretning om enhver udvikling, som kan have væsentlig indvirkning på, hvorvidt tredjepartsudbyderen af it-tjenester har evnen til effektivt at levere it-tjenester, der understøtter kritiske eller vigtige funktioner i overensstemmelse med de aftalte serviceniveauer, jf. litra b.
Artikel 30, stk. 3, litra c, fastsætter krav til tredjepartsudbyderen af it-tjenester om at gennemføre og teste beredskabsplaner og indføre it-sikkerhedsforanstaltninger, -værktøjer og -politikker, som giver et passende niveau af sikkerhed for, at den finansielle enhed kan foretage levering af tjenester i overensstemmelse med dens reguleringsramme.
Derudover skal den kontraktlige ordning omfatte en forpligtelse for tredjepartsudbyderen af it-tjenester til at deltage i og fuldt ud samarbejde om den finansielle enheds TLPT som omhandlet i artikel 26 og 27, jf. litra d.
Den kontraktlige ordning skal desuden omfatte retten til løbende at overvåge det præstationsniveau, som tredjepartsudbyderen af it-tjenester leverer for den finansielle enhed, en udpeget tredjeparts og Finanstilsynet. Dette indebærer en uindskrænket ret til adgang, inspektion og revision og ret til at tage kopier af relevant dokumentation på stedet, hvis denne har afgørende betydning for tredjepartsudbyderen af it-tjenesters operationer, hvis faktiske udøvelse ikke hindres eller begrænses af andre kontraktlige ordninger eller gennemførelsespolitikker, jf. litra e, nr. i.
Dernæst fastsætter artikel 30, stk. 3, litra e, nr. ii-iv, retten til at nå til enighed om alternative sikkerhedsniveauer, hvis andre kunders rettigheder påvirkes, forpligtelsen for tredjepartsudbyderen af it-tjenester til fuldt ud at samarbejde under de inspektioner og revisioner på stedet, som de kompetente myndigheder, den ledende tilsynsførende, den finansielle enhed eller en udpeget tredjepart udfører og forpligtelsen til at give nærmere oplysninger om omfanget af, de procedurer, som skal følges, og hyppigheden af sådanne inspektioner og revisioner.
I medfør af artikel 30, stk. 3, litra f, skal den finansielle enhed ved en kontraktlig ordning, sørge for at medtage exitstrategier som indeholder en obligatorisk overgangsperiode. I løbet af denne overgangsperiode skal tredjepartsudbyderen af it-tjenester fortsat levere de respektive funktioner eller it-tjenester med henblik på at mindske risikoen for forstyrrelser i den finansielle enhed eller sikre en effektiv afvikling eller omstrukturering heraf. Exitstrategien skal også give den finansielle enhed mulighed for at migrere til en anden tredjepartsudbyder af it-tjenester eller skifte til interne løsninger, der stemmer overens med den leverede tjenestes kompleksitet.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed, ikke formår at vedtage en exitstrategi i deres kontraktlige ordning som sikrer den finansielle enhed fortsat, får leveret de respektive funktioner af it-tjenester fra tredjepartsudbyderen.
Til nr. 1 (§ 14, stk. 1, 1. pkt., i lov om et skibsfinansieringsinstitut)
Det følger af § 14, stk. 1, i lov om et skibsfinansieringsinstitut, at overtrædelse af § 1, stk. 2, § 2 d, stk. 1, § 2 e, stk. 1, 2. og 3. pkt., § 2 h, stk. 1, 2 og 4, og § 3, 2. pkt., straffes med bøde, medmindre højere straf er forskyldt efter anden lovgivning. På samme måde straffes overtrædelse af meddelelsespligten i § 2 i, stk. 1, 1. pkt.
Det foreslås at ændre § 14, stk. 1, 1. pkt., i lov om et skibsfinansieringsinstitut, så overtrædelser af artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-4, artikel 10, stk. 1-4, artikel 11, stk. 1-10, artikel 12, stk. 1 og 2, stk. 3, 1. og 2. pkt., stk. 4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1-3, artikel 26, stk. 1, stk. 2, stk. 3, stk. 5, stk. 6 og 8, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor (DORA-forordningen) straffes med bøde.
Med den foreslåede bestemmelse vil en række overtrædelser af DORA-forordningen blive strafbelagt i overensstemmelse med forordningens artikel 52, hvorefter medlemsstaterne kan beslutte ikke at fastsætte bestemmelser om administrative sanktioner eller afhjælpende foranstaltninger for overtrædelser, der er omfattet af strafferetlige sanktioner i henhold til national ret.
Overtrædelser af DORA-forordningen kan ske af både fysiske og juridiske personer. I de situationer, hvor ansvarssubjektet er en virksomhed, vil det være udgangspunktet, at tiltalen rejses mod den juridiske person. Der kan i en række tilfælde være anledning til – ud over tiltalen mod den juridiske person – tillige at rejse tiltale mod en eller flere fysiske personer, hvis den eller de pågældende har handlet forsætligt eller udvist grov uagtsomhed. For virksomheder under stiftelse vil ansvarssubjektet være de personer, der stifter virksomheden, da en virksomhed under stiftelse ikke kan være ansvarssubjekt.
Bødeniveauet tiltænkes fastsat i overensstemmelse med § 372, stk. 12, i lov om finansiel virksomhed. Det fremgår heraf, at der ved udmåling af bøder lægges vægt på overtrædelsens grovhed og gerningsmandens økonomiske forhold. For overtrædelser begået af juridiske personer lægges ved vurderingen af gerningsmandens økonomiske forhold vægt på virksomhedens nettoårsomsætning på gerningstidspunktet. For overtrædelser begået af fysiske personer lægges vægt på den pågældendes indtægtsforhold på gerningstidspunktet. Det er afgørende, at der ved strafudmålingen lægges vægt på de nævnte faktorer, således at bøder vil have en pønal og præventiv effekt på alle aktører på markedet, og således at det finansielle incitament til at overtræde bestemmelserne reduceres. Vurderingen af overtrædelsens grovhed bør foregå uafhængig af gerningsmandens økonomiske forhold.
Nedenfor anføres en uddybende beskrivelse af indholdet af de enkelte artikler i DORA-forordningen, der vil blive strafbelagt med den foreslåede bestemmelse. Når der nedenfor henvises til finansielle enheder, menes der et skibsfinansieringsinstitut.
Artikel 5 indeholder regler om forvaltning og organisationen af en finansiel enheds it-risikostyring. Intern forvaltning og organisation af it-risikostyring omfatter fastlæggelsen og tilsynet af de foranstaltninger for it-risikostyring. En sikker forvaltning af risikostyringen sikrer et højt niveau af digital operationel modstandsdygtighed og bidrager til den finansielle stabilitet.
I medfør af artikel 5, stk. 1, skal en finansiel enhed have indført en intern forvaltnings og kontrolramme, der sikrer en effektiv og forsigtig styring af it-risiko, i overensstemmelse med artikel 6, stk. 4, der bl.a. fastsætter krav om, at finansielle enheder skal overdrage ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion og sikre, at denne kontrolfunktion har et passende uafhængighedsniveau for at undgå interessekonflikter mellem den finansielle enhed og kontrolfunktionen.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 1, er den finansielle enhed.
Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har overdraget ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion, der har et passende uafhængighedsniveau i forhold til den finansielle enhed.
Det fremgår af artikel 5. stk. 2, at ledelsesorganet i den finansielle enhed skal fastlægge, godkende og føre tilsyn med og har ansvaret for gennemførelsen af alle ordninger vedrørende rammer for it-risikostyring, der er omhandlet i artikel 6, stk. 1. Artikel 6, stk. 1, vedrører at finansielle enheder indfører en robust, omfattende og veldokumenteret ramme for it-risikostyring. De nærmere krav til ledelsesorganet er nærmere beskrevet i artikel 5, stk. 2, litra a-i. Det fremgår bl.a. af stk. 2, litra b, at ledelsesorganet skal indføre politikker, der har til formål at sikre høje standarder for tilgængeligheden, autenticiteten, integriteten og fortroligheden af data. Videre fremgår det af stk. 2, litra f, at ledelsesorganet godkender og regelmæssigt gennemgår den finansielle enheds interne it-revisionsplaner, it-revisioner og væsentlige ændringer heraf.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 2, er den finansielle enhed. En strafbar handling kan eksempelvis være, at et ledelsesorgan ikke har indført politikker for tilgængeligheden, autenticiteten, integriteten og fortroligheden af data i henhold til stk. 2, litra b. En strafbar handling kan også være at ledelsesorganet enten ikke har godkendt eller gennemgået den finansielle enheds interne it-revisionsplan i henhold til stk. 2, litra f.
Artikel 5, stk. 3, fastsætter at finansielle enheder skal oprette en funktion med henblik på overvågning af de ordninger, der er indgået med tredjepartsudbydere af it-tjenester vedrørende brugen af it-tjenester, eller udpege et medlem af den øverste ledelse som tilsynsansvarlig for den dermed forbundne risikoeksponering og relevante dokumentation.
Ansvarssubjektet for overtrædelse af artikel 5, stk. 3, er den finansielle enhed. Et eksempel på en strafbar handling kan være, at ledelsesorganet ikke har oprettet en funktion der har til formål at overvåge de ordninger, der er indgået med tredjepartsudbydere af it-tjenester vedrørende brugen af it-tjenester.
Artikel 6 indeholder regler om en finansiel enheds ramme for it-risikostyring. Rammen for it-risikostyring omfatter hvilke tiltag en operatør af et reguleret marked har opsat.
I medfør af artikel 6, stk. 1, skal en finansiel enhed have indført en robust, omfattende og veldokumenteret ramme for deres it-risikostyring, som en del af deres samlede risikostyringssystem der sikrer et højt niveau af digital operationel modstandsdygtighed.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 1, er den finansielle enhed.
Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har formået at dokumentere deres ramme for deres it-risikostyring i en tilstrækkelig grad.
Det fremgår af artikel 6, stk. 2, at rammen for it-risikostyring, som minimum skal omfatte strategier, politikker, procedurer, it-protokoller og værktøjer, som er nødvendige for på behørig vis og i tilstrækkelig grad, at beskytte alle informationsaktiver og it-aktiver.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 2, er ledelsesorganet. Det fremgår af artikel 5. stk. 2, at ledelsesorganet i den finansielle enhed skal fastlægge, godkende og føre tilsyn med og har ansvaret for gennemførelsen af alle ordninger vedrørende rammer for it-risikostyring, der er omhandlet i artikel 6, stk. 1.
Den strafbare handling kan eksempelvis bestå i, at ledelsesorganet ikke har indført sikkerhedsforanstaltninger der i tilstrækkeliggrad beskytter relevante fysiske komponenter, som eksempelvis virksomhedens lokaler, mod uautoriseret adgang.
Artikel 6, stk. 3, omhandler de finansielle enheders forpligtigelse til at forelægge fuldstændige og ajourførte oplysninger om deres it-risiko på de kompetente myndigheders anmodning. Ved at indføre passende strategier, politikker, procedurer, it-protokoller og -værktøjer, minimerer den finansielle enhed deres it-risiko.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 3, er den finansielle enhed. Et eksempel på den strafbare handling kan være, at den finansielle enhed ikke på Finanstilsynets anmodning, har fremlagt en opdateret strategi for deres it-risikostyring, efter nye tiltag trådte i kraft for virksomheden.
Det fremgår af artikel 6, stk. 4, at finansielle enheder skal overdrage ansvaret for styring af og tilsyn med it-risikoen til en kontrolfunktion og sikre, at denne kontrolfunktion har et passende uafhængighedsniveau, så interessekonflikter kan undgås. Videre fremgår det af artikel 6, stk. 4, 2. pkt., at en finansiel enhed skal sikre en passende adskillelse og uafhængighed af it-risikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner efter modellen med tre forsvarslinjer eller en intern model for risikostyring og kontrol.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse af bestemmelsen kan eksempelvis bestå i, at en finansiel enhed har en intern styring af og tilsyn med it-risikoen og derfor ikke har sikret en passende adskillelse og uafhængighed af deres it-risikostyringsfunktioner.
Artikel 6, stk. 5, indeholder krav om dokumentationen og tilsyn med it-risikostyringens ramme. Det følger af bestemmelsen, at rammen for it-risikostyringen skal dokumenteres og gennemgås mindst én gang om året, samt når der forekommer større it-relaterede hændelser, og i henhold til tilsynsmæssige instrukser eller konklusioner, som er udledt af relevant test af digital operationel modstandsdygtighed eller revisionsprocesser. Den skal forbedres løbende på grundlag af indhøstede gennemførelses- og overvågningserfaringer. Der skal forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed på dens anmodning.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 5, er den finansielle virksomhed. Den strafbare handling kan eksempelvis bestå i, at en finansiel enhed ved en større it-relateret hændelse, efterfølgende ikke formår at dokumentere rammen for risikostyringen. En strafbar handling kunne også bestå i, at den finansielle enhed ikke har forbedret rammen for deres risikostyring på baggrund af løbende overvågningserfaringer.
Artikel 6, stk. 6, omhandler revisorernes interne revision af rammen for it-risikostyring. Det følger af bestemmelsen, at revisorerne skal besidde egenskaber som tilstrækkelig viden, faglig kompetence og ekspertise, samt være tilstrækkeligt uafhængige. Der skal være overensstemmelse mellem hyppigheden af revisioner og omfanget af it-risikoen hos den finansielle enhed.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse kan eksempelvis bestå i, at den finansielle enheds revisor har foretaget en revision af rammen for it-risikostyring, uden at have det fornødne egenskaber. Det kan ligeledes anses for strafbart såfremt revisoren ikke kan anses som værende uafhængig.
Artikel 6, stk. 7, omhandler den formelle opfølgningsproces på den interne revisionsgang som den finansielle enhed skal etablere. Opfølgningsprocessen skal indeholde regler for rettidig efterprøvning og udbedring af kritiske resultater af it-revisioner.
Ansvarssubjektet for overtrædelse af artikel 6, stk. 7, er den finansielle enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke etablerer en opfølgningsproces, der indeholder regler for rettidig efterprøvning af kritiske konklusionerne fra en interne revision.
I medfør af artikel 6, stk. 8, skal en finansiel enheds ramme for it-risikostyring omfatte en strategi for digital operationel modstandsdygtighed, der fastsætter, hvordan rammen gennemføres. Strategien for digital operationel modstandsdygtighed skal omfatte metoderne til håndtering af it-risiko og opfylde specifikke krav, som er oplistet i artikel 6, stk. 8, litra a-h. Et af disse krav er eksempelvis at fastlægge risikotoleranceniveauet for it-risiko i overensstemmelse med den finansielle enheds risikovillighed og analysere tolerancen over for virkninger af it-forstyrrelser, jf. litra b, eller dokumentere den nuværende situation for den digitale operationelle modstandsdygtighed på grundlag af antallet af indberettede større it-relaterede hændelser og de forebyggende foranstaltningers effektivitet, jf. litra f.
Ansvarssubjektet for en overtrædelse af artikel 6, stk. 8, er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enheds strategi, undlader at analysere for virkninger af it-forstyrrelser over for risikotoleranceniveauet. Den strafbare handling kan ligeledes bestå i, at den finansielle enhed ikke formår at dokumentere deres situation for den operationelle robusthed på baggrund af mængden af større it-relaterede hændelser og de forebyggende foranstaltningers effektivitet
Artikel 7, stk. 1, oplister en række krav til den finansielle enheds it-systemer, -protokoller og-værktøjer, jf. litra a-d. Den finansielle enhed skal eksempelvis anvende systemer der er pålidelige, jf. litra b, og som er teknologisk modstandsdygtige nok til i tilstrækkeligt omfang at håndtere yderligere behov for informationsbehandling som krævet under stressede markedsforhold eller i andre vanskelige situationer, jf. litra d.
Ansvarssubjektet for overtrædelse af bestemmelsen er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke anvender systemer eller værktøjer der pålidelige eller proportionale i forhold til den finansielle enheds udbudte ydelser.
Artikel 8, stk. 1-7, i DORA-forordningen omhandler identifikation af kilder til it-risiko. Artikel 8, stk. 1, fastsætter, at en finansiel enhed, som led i deres ramme for it-risikostyring, skal foretage identifikation, klassificering og tilstrækkelig dokumentering af alle it-understøttede forretningsfunktioner, roller og ansvarsområder, informationsaktiver og it-aktiver, der understøtter disse funktioner, samt deres roller og afhængigheder med hensyn til it-risici. Bestemmelsen fastsætter endvidere, at en finansiel virksomhed efter behov og mindst én gang om året, vurderer hvorvidt denne klassificering og eventuel relevant dokumentation er tilstrækkelig.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke har identificeret, klassificeret eller dokumenteret deres it-understøttede forretningsfunktioner i en tilstrækkelig grad.
I medfør af artikel 8, stk. 2, skal en finansiel enhed løbende identificere alle kilder til it-risiko, navnlig risikoeksponeringen for og fra andre finansielle enheder, og vurderer cybertrusler og it-sårbarheder, der er relevante for deres it-understøttede forretningsfunktioner, informationsaktiver og it-aktiver. De finansielle enheder skal derfor regelmæssigt og mindst én gang om året gennemgå de risikoscenarier, der har virkninger for dem.
Ansvarssubjektet for overtrædelse af artikel 8, stk. 2, er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel virksomhed ikke mindst én gang årligt har gennemgået de risikoscenarier der er virkninger for dem.
Artikel 8, stk. 3, indeholder krav om, at en finansiel enhed skal foretage en risikovurdering efter hver større ændring af infrastrukturen i net- og informationssystemerne, i de processer eller procedurer, der påvirker deres it-understøttede forretningsfunktioner, informationsaktiver eller it-aktiver.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling kan bestå i, at en finansiel enhed har foretaget en større ændring infrastrukturen i deres net- og informationssystem og ikke foretager en ny risikovurdering, såfremt infrastrukturen påvirker deres it-understøttede forretningsfunktioner.
Det fremgår af artikel 8, stk. 4, at en finansiel enhed skal identificere alle informationsaktiver og it-aktiver, herunder på eksterne steder, netværksressourcer og hardwareudstyr, og kortlægger dem, der anses for kritiske. Den finansielle enhed kortlægger informationsaktivernes og it-aktivernes konfiguration samt forbindelserne og den indbyrdes forbundethed mellem de forskellige informationsaktiver og it-aktiver.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har kortlagt de kritiske informationsaktiver og it-aktiver, herunder på eksterne steder, netværksressourcer og hardwareudstyr.
Artikel 8, stk. 5, fremgår det, at en finansiel enhed skal identificere og dokumentere alle processer, der er afhængige af tredjepartsudbydere af it-tjenester. Det fremgår endvidere, at den finansielle enhed identificerer sammenkoblinger med tredjepartsudbydere af it-tjenester, der udbyder tjenester, som understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed har undladt at dokumentere alle de processer der er afhængige af tredjepartsudbydere af it-tjenester, som den finansielle enhed bruger.
Det fremgår af artikel 8, stk. 6, at den finansielle enhed, med henblik på artikel 6, stk. 1, 4 og 5, opretholder relevante fortegnelser og ajourfører dem regelmæssigt, og hver gang der sker større ændringer som omhandlet i artikel 6, stk. 3.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse kan bestå i, at der ved en større ændring af infrastrukturen i net- og informationssystemerne, i de processer eller procedurer, der påvirker den finansielle enheds it-understøttede forretningsfunktioner, informationsaktiver eller it-aktiver, ikke er foretaget ajourførte fortegnelser over ændringerne.
Til sidst følger det af artikel 8, stk. 7, at en finansiel enhed skal foretage en specifik it-risikovurdering regelmæssigt og mindst én gang om året.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse består eksempelvis i, at en finansiel virksomhed ikke regelmæssigt eller mindst én gang årligt har foretaget en specifik it-risikovurdering.
Artikel 9 indeholder nærmere bestemmelser om beskyttelse af it-systemer og forebyggelse af it-risici.
Det følger af artikel 9, stk. 1, at en finansiel enhed skal sikre løbende overvågning af og kontrol med it-systemer og -værktøjernes sikkerhed og af, hvordan de fungerer, og minimerer virkningerne af it-risikoen for it-systemer ved at indføre passende it-sikkerhedsværktøjer, -politikker og -procedurer, med henblik på, at sikre en passende beskyttelse og tilrettelægge indsatsforanstaltninger der skal sikre de finansielle enheder.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, ikke løbende at overvåge og kontrollere den finansielle enheds it-systemer og -værktøjers sikkerhed igennem passende it-sikkerhedsværktøjer, -politikker og -procedurer.
I medfør af artikel 9, stk. 2, skal en finansiel enhed udforme, indkøbe og gennemføre it-sikkerhedspolitikker, -procedurer, -protokoller og -værktøjer, der har til formål at sikre it-systemernes modstandsdygtighed, stabilitet og tilgængelighed, især for dem, der understøtter kritiske eller vigtige funktioner, og at opretholde høje standarder for, tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, hvad enten dataene er inaktive, i brug eller under overførsel.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 9, stk. 2, bestå i, at der ikke er gennemført en it-sikkerhedspolitik for at sikre den finansielle enheds it-systems modstandsdygtighed, stabilitet og tilgængelighed.
Artikel 9, stk. 3, omhandler de it-løsninger og it-processer som den finansielle enhed skal anvende for at nå de i artikel 9, stk. 2, omhandlede mål. It-løsningerne og it-processerne skal være i overensstemmelse med proportionalitetsprincippet i artikel 4 i DORA-forordningen og sikre sikkerheden for metoderne til overførsel af data, minimere risikoen for korruption eller tab af data, uautoriseret adgang og tekniske fejl, der kan hæmme erhvervsaktiviteten og forhindrer manglen på tilgængelighed, forringelsen af autenticiteten og integriteten, bruddene på fortroligheden og tabet af data. Samt sikre, at data beskyttes mod risici, der opstår i forbindelse med dataforvaltning, herunder dårlig administration, procesrelaterede risici og menneskelige fejl.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 9, stk. 3, bestå i at have utilstrækkelige it-løsninger og it-processer, der ikke lever op til proportionalitetsprincippet i artikel 4, i DORA-forordningen og de i artikel 9, stk. 3, fastsatte krav.
Det følger af artikel 9, stk. 4, at en finansiel enhed som led i deres it-risikostyring skal udvikle og dokumentere en informationspolitik, der fastlægger regler for beskyttelse af tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, informationsaktiver og it-aktiver, herunder deres kunders, hvis det er relevant, jf. litra a. Desuden skal en finansiel enhed følge en risikobaseret tilgang ved at indføre en forsvarlig forvaltningsstruktur for netværk og infrastrukturer ved anvendelse af passende teknikker, metoder og protokoller, der kan omfatte gennemførelse af automatiske mekanismer til isolering af de berørte informationsaktiver i tilfælde af cyberangreb, jf. litra b. Artikel 9, stk. 4, litra c, fastsætter også at en finansiel enhed skal gennemføre politikker, der begrænser den fysiske eller logiske adgang til informationsaktiver og it-aktiver udelukkende til, hvad der er påkrævet for legitime og godkendte funktioner og aktiviteter, og med henblik herpå indføre en række politikker, procedurer og kontroller, der vedrører adgangsrettigheder og sikrer forsvarlig forvaltning heraf.
Desuden skal den finansielle enhed gennemføre politikker og protokoller for stærke autentificeringsmekanismer på grundlag af relevante standarder og særlige kontrolsystemer og beskyttelsesforanstaltninger for krypteringsnøgler, hvorigennem data krypteres baseret på resultaterne fra godkendt dataklassificering og godkendte it-risikovurderingsprocesser, jf. litra d. Samt gennemføre dokumenterede politikker, procedurer og kontroller for styring af it-ændringer, herunder ændringer af software, hardware, firmwarekomponenter, systemer eller sikkerhedsparametre, som er baseret på en risikovurderingstilgang og er en integreret del af den finansielle enheds samlede ændringsstyringsproces, for at sikre, at alle ændringer af it-systemer registreres, testes, vurderes, godkendes, gennemføres og efterprøves på en kontrolleret måde, jf. litra e. Slutteligt anfører artikel 9, stk. 4, litra f, at en finansiel enhed skal sørge for, at der indføres passende og omfattende dokumenterede politikker for programrettelser og opdateringer.
Med henblik på første afsnit, litra b, udformer de finansielle enheder infrastrukturen for netværkstilslutning på en sådan måde, at den kan afbrydes eller segmenteres øjeblikkeligt for at minimere og forhindre afsmitning, navnlig i forbindelse med indbyrdes forbundne finansielle processer. Med henblik på første afsnit, litra e, skal it-ændringsstyringsprocessen godkendes på passende ledelsesniveauer og omfatte specifikke protokoller.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ikke forelægger en tilstrækkelig it-sikkerhedspolitik hos den finansielle enhed til at sikre beskyttelsen af deres kunders data. Den strafbare handling kan desuden også bestå i, at dokumenterede politikker, procedurer og kontroller for styring af it-ændringer, herunder ændringer af software, hardware, firmwarekomponenter, systemer eller sikkerhedsparametre, som er baseret på en risikovurderingstilgang og er en integreret del af den finansielle enheds samlede ændringsstyringsproces, for at sikre, at alle ændringer af it-systemer registreres, testes, vurderes, godkendes, gennemføres og efterprøves på en kontrolleret måde, ikke er blevet godkendt på passende ledelsesniveau.
Artikel 10, stk. 1-4, i DORA-forordningen omhandler detektion af anormale aktiviteter.
Det følger af artikel 10, stk. 1, at en finansiel enhed skal indføre mekanismer til omgående detektion af anormale aktiviteter i overensstemmelse med artikel 17, herunder problemer med it-netværkets ydeevne og it-relaterede hændelser, og til identifikation af potentielt væsentlige single points of failure. Artikel 17 omhandler proces for styring af it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. En overtrædelse af artikel 10, stk. 1, kan bestå i at der i den finansielle enhed ikke bliver opdaget anormale aktiviteter, idet enheden ikke har indført en mekaniske til detektion af disse.
Artikel 10, stk. 2, fastsætter krav til den finansielle enheds mekanismer. I medfør af artikel 10, stk. 2, skal de omtalte mekanismer i stk. 1, anvende flere kontrollag, fastlægge varslingstærskler og -kriterier, som skal udløse og igangsætte indsatsforanstaltninger mod it-relaterede hændelser, herunder automatiske varslingsmekanismer for det relevante personale, som har ansvar for indsatsen mod it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i at have utilstrækkelige mekanismer der ikke lever op til de af artikel 10, stk. 2, fastsatte krav.
Videre fremgår det af artikel 10, stk. 3, at finansielle enheder skal afsætte tilstrækkelige ressourcer og kapaciteter til overvågning af brugeraktiviteter, forekomsten af it-anomalier og it-relaterede hændelser, navnlig cyberangreb.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, ikke at have afsat ressourcer til overvågning af brugeraktiviteter.
Til slut fremgår det af artikel 10, stk. 4, at udbydere af dataindberetningstjenester indfører desuden systemer, som effektivt kan kontrollere, om handelsindberetningerne er fuldstændige, identificere udeladelser og åbenbare fejl og anmode om fornyet fremsendelse af disse indberetninger.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ikke er indført et system som kan identificere åbenbare fejl.
Artikel 11 i DORA-forordningen omhandler indsats og genopretning af it. Artikel 11, stk. 1, fastsætter, at en finansiel enhed skal indføre en omfattende politik for it-driftsstabilitet. Politikken skal være baseret på de krav til identifikation, der er fastsat i artikel 8 i DORA-forordningen. I henhold til artikel 8, stk. 1, skal en finansiel enhed f.eks. foretage en identifikation, klassificering og tilstrækkelig dokumentering af alle it-understøttende forretningsfunktioner, roller, ansvarsområder, informationsaktiviteter og it-aktiver, der understøtter disse funktioner, samt deres roller og afhængigheder med hensyn til it-risici.
Ansvarssubjektet for overtrædelse af artikel 11, stk. 1, er den finansielle enhed. Den strafbare handling kan enten bestå i ikke at have indført nogen politik for it-driftsstabilitet, eller at have indført en politik, der ikke omhandler alle it-understøttende forretningsfunktioner.
I medfør af artikel 11, stk. 2, skal en finansiel enhed gennemføre politikken for it-driftsstabilitet ved hjælp af særlige veldokumenterede ordninger, planer, procedurer og mekanismer, der skal tage sigte på en række forhold, der er oplistet i stk. 2, litra a - e. En af disse forhold er eksempelvis at sikre, at en finansiel enheds kritiske eller vigtige funktioner er stabile, jf. litra a, eller omgående at aktivere særlige planer, der gør det muligt at anvende inddæmningsforanstaltninger, -processer og -teknologier, der er egnede til de enkelte typer af it-relaterede hændelser, og som forhindrer yderligere skade, jf. litra c.
Ansvarssubjektet for en overtrædelse af artikel 11, stk. 2, er den finansielle enhed. Den strafbare handling består i, ikke at have gennemført en politik for it-driftsstabilitet ved hjælp af særlige ordninger, planer, procedurer og mekanismer, der tager sigte på de forhold, der er oplistet i stk. 2, litra a – e.
Artikel 11, stk. 3, indeholder krav om, at en finansiel enhed skal gennemføre planer for it-indsats og -genopretning, som skal underkastes uafhængige interne revisionsgennemgange.
Ansvarssubjektet for en overtrædelse af stk. 3, er den finansielle enhed. Den strafbare handling består i at en finansiel enhed ikke lader planer for it-indsats og -genopretning blive underkastet uafhængige interne revisionsgennemgange.
Det fremgår af artikel 11, stk. 4, at en finansiel enhed skal indføre, vedligeholde og foretage regelmæssig testning af passende planer for it-driftsstabilitet, navnlig med hensyn til kritiske eller vigtige funktioner, som outsources eller udliciteres gennem ordninger, der er indgået med tredjepartsudbydere af it-tjenester. Ved regelmæssig testning forstås mindst én gang om året, jf. artikel 11, stk. 6, litra a.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i ikke at vedligeholde planer for it-driftsstabilitet, f.eks. hvis en udskiftning af virksomhedens it-systemer nødvendiggør en opdatering af planerne for it-driftsstyring. En strafbar handling kan også bestå i ikke regelmæssigt at foretage en test af planer for it-driftsstabilitet. Herunder vil det være en særligt skærpende omstændighed, hvis der ikke er foretaget regelmæssig testning af planer for it-driftsstabilitet med hensyn til kritiske eller vigtige funktioner, som eksempelvis er outsourcet til en tredjepartsudbyder af it-tjenester.
Af artikel 11, stk. 5, 1. pkt., fremgår det, at en finansiel enhed som led i den samlede politik for driftsstabilitet skal foretage en forretningskonsekvensanalyse af deres eksponering for alvorlige driftsforstyrrelser. Det fremgår videre af stk. 5, 2. pkt., hvordan en finansiel enhed i konsekvensanalysen skal vurdere potentielle virkninger af alvorlige driftsforstyrrelser. I stk. 5, 3. pkt., fremgår det, at en konsekvensanalyse bl.a. skal tage hensyn til den kritiske betydning af identificerede og kortlagte forretningsfunktioner og andre forhold, der er nævnt i 3. pkt. Til sidst fremgår det af stk. 5, 4. pkt., at en finansiel enhed skal sikre, at it- aktiver og -tjenester udformes og anvendes i fuld overensstemmelse konsekvensanalysen, navnlig med hensyn til tilstrækkeligt at sikre alle kritiske komponenters redundans, dvs. at en kritisk komponent kan erstattes med en tilsvarende komponent, hvis det skulle blive nødvendigt.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå af ikke at foretage en forretningskonsekvensanalyse af enhedens eksponering for alvorlige driftsforstyrrelser. Den kan f.eks. også bestå i ikke at foretage en vurdering af alvorlige driftsforstyrrelser i overensstemmelse med stk. 5, 2. pkt., eller bestå i at konsekvensanalysen ikke tager hensyn til den kritiske betydning af identificerede og kortlagte forretningsfunktioner eller en af de andre forhold, der er nævnt i det pågældende punkt. Til sidst kan en strafbar handling bestå i f.eks. ikke at sikre, at en kritisk komponent kan erstattes af en tilsvarende komponent, hvis konsekvensanalysen tilsiger dette.
Det fremgår af artikel 11, stk. 6, 1. afsnit, litra a, at en finansiel enhed som led i it-risikostyring skal teste enhedens planer for it-driftsstabilitet og planer for it-indsats og genopretning i forbindelse med it-systemer, der understøtter alle funktioner. En test heraf skal finde sted mindst én gang årligt og i tilfælde af væsentlige ændringer af it-systemer, der understøtter kritiske eller vigtige funktioner. I medfør af stk. 6, 1. afsnit, litra b, skal en finansiel enhed også teste krisekommunikationsplaner, der er udarbejdet i medfør af artikel 14.
Stk. 6, 2. afsnit indeholder nærmere krav til, hvilke forskellige scenarier tests for it-driftsstabilitet og planer for it-indsats og genopretning, jf. stk. 6, litra a, skal medtage. Det drejer sig bl.a. om cyberangrebsscenarier og omstillingsscenarier mellem den primære it-infrastruktur og redundante kapacitet. Ved redundante kapacitet forstås en lignende kapacitet, der skal kunne erstattet den primære it-infrastruktur, hvis denne eksempelvis bliver beskadiget under et cyberangreb. Bestemmelsen gælder ikke for finansielle enheder, der er mikrovirksomheder. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Videre fremgår det af stk. 6, 3. afsnit, at en finansiel enhed regelmæssigt skal gennemgå sin politik for it-driftsstabilitet og planer for it-indsats og -genopretning. Her skal den finansielle enhed bl.a. tage hensyn til resultaterne af de test, som den finansielle enhed har gennemført i henhold til 1. afsnit.
Ansvarssubjektet for en overtrædelse af artikel 11, stk. 6, er den finansielle enhed. Den strafbare overtrædelse kan eksempelvis bestå i ikke at foretage test for planer for it-driftsstabilitet og planer for it-indsats og -genopretning eller ikke at foretage test af krisekommunikationsplaner, jf. stk. 6, 1. afsnit.
En strafbar overtrædelse kan f.eks. også bestå af ikke at ikke at medtage cyberangrebscenarier og omstillingsscenarier mellem den primære it-infrastruktur og den redundante kapacitet, eller i ikke regelmæssigt at gennemgå enhedens politik for it-driftsstabilitet og planer for it-indsats og -genopretning under hensyntagen til resultaterne af de test, som enheden har gennemført, jf. henholdsvis 2. og 3. afsnit.
I medfør af artikel 11, stk. 7, skal en finansiel enhed have en krisestyringsfunktion, som, hvis deres planer for it-driftsstabilitet og planer for it-indsats og -genopretning aktiveres, bl.a. skal indeholde klare procedurer for forvaltning af intern og ekstern krisekommunikation i overensstemmelse med artikel 14, der indeholder nærmere regler herfor.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i ikke at have en krisestyringsfunktion, der indeholder klare procedurer for intern og ekstern krisekommunikation i overensstemmelse med artikel 14.
Artikel 11, stk. 8, indeholder krav om, at en finansiel enhed skal føre let tilgængelige registre over aktiviteter før og under driftsforstyrrelser, når deres planer for it-driftsstabilitet og planer for it-indsats og -genopretning aktiveres.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at føre registre over aktiviteter før og under driftsforstyrrelser, hvor planerne for it-driftsstabilitet og for it-indsats og -genopretning er blevet aktiveret.
Til sidst følger det af artikel 11, stk. 10, at en finansiel enhed skal indberette et overslag over de samlede årlige omkostninger og tab, der opstår som følge af større it-relaterede hændelser, til de kompetente myndigheder på deres anmodning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at indberette et overslag over de samlede årlige omkostninger og tab, der opstår som følge af større it-relaterede hændelser, til de kompetente myndigheder, dvs. Finanstilsynet, hvis Finanstilsynet anmoder den finansielle enhed herom.
Artikel 12 indeholder nærmere bestemmelser om politikker og procedurer for sikkerhedskopiering og procedure og metoder for gendannelse og genopretning af it-systemer og data.
Det følger af artikel 12, stk. 1, at en finansiel enhed som led i it-risikostyring skal udvikle og dokumentere politikker og procedure for sikkerhedskopiering, der præciserer omfanget af de data, der er genstand for sikkerhedskopiering, og minimumshyppigheden af sikkerhedskopiering baseret på oplysningernes kritiske betydning eller fortrolighedsniveauet for dataene. Desuden skal en finansiel enhed udvikle og dokumentere procedurer og metoder for gendannelse og genopretning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at udvikle og dokumentere politikker og procedure for enten sikkerhedskopiering eller gendannelse og genopretning.
I medfør af artikel 12, stk. 2, 1. pkt., skal en finansiel enhed etablere systemer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning. Det følger videre af artikel 12, stk. 2, 2. pkt., at aktiveringen af systemerne for sikkerhedskopiering ikke må sætte sikkerheden i net- og informationssystemer eller tilgængeligheden, autenticiteten, integriteten eller fortroligheden af data over styr. Til sidst er det i medfør af stk. 2, 3. pkt., et krav, at der foretages regelmæssig test af procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan eksempelvis bestå i ikke at etablere systemer for sikkerhedskopiering eller for procedurer og metoder for gendannelse og genopretning. Den kan også bestå i at en finansiel enhed ikke sikrer sig, at systemerne for sikkerhedskopiering ikke sætter sikkerheden i net- og informationssystemer m.v. over styr. I henhold til stk. 2, 3. pkt., kan den bestå i at der ikke foretages regelmæssige test af procedurer for sikkerhedskopiering og procedurer og metoder for gendannelse og genopretning.
Det følger af artikel 12, stk. 3, 1 og 2. pkt., at når en finansiel enhed gendanner sikkerhedskopierede data ved anvendelse af egne systemer, skal de anvende de it-systemer, der er fysisk og logisk adskilt fra it-kildesystemet. It-systemerne skal være sikkert beskyttet mod uautoriseret adgang eller it-korruption og give mulighed for rettidig gendannelse af tjenester ved hjælp af data- og systemsikkerhedskopier efter behov.
Ansvarssubjektet i stk. 3, 1. og 2. pkt., er den finansielle enhed. Den strafbare handling kan i medfør af stk. 3, 1. pkt., bestå i at anvende egne it-systemer til gendannelse af sikkerhedskopierede data, der ikke er fysisk og logisk adskilt fra it-kildesystemet. Det vil eksempelvis sige it-systemer, der befinder sig på en anden adresse end kildesystemet, dvs. det it-system, som den finansielle enhed anvender i sit daglige virke. Det kan også være, hvor en finansiel enhed anvender eget it-system, der er fysisk adskilt fra kildesystemet, men hvor systemet ikke logisk er adskilt fra kildesystemet. Den strafbare handling i medfør af stk. 3, 2. pkt., kan f.eks. bestå i ikke at beskytte it-systemerne mod uautoriseret adgang eller it-korruption.
Videre følger det af stk. 3, 3. pkt., at for centrale modparter (CCP’er) skal genopretningsplaner gøre det muligt at genoptage alle transaktioner fra det tidspunkt, hvor de blev afbrudt, således at den berørte centrale modpart (CCP) kan opretholde driftssikkerheden og gennemføre afviklingen på den planlagte dato. Til sidst følger det af stk. 3, 4. pkt., at udbydere af dataindberetningstjenester desuden skal sørge for at råde over passende ressourcer og sikkerhedskopierings- og gendannelsesfaciliteter for til enhver tid at kunne udbyde og opretholde deres tjenester.
Ansvarssubjektet i stk. 3, 3. pkt., er den centrale modpart (CCP). Den strafbare handling består i, at en genopretningsplan ikke gør det muligt at genoptage alle transaktioner fra det tidspunkt, hvor transaktionerne blev afbrudt.
Ansvarssubjektet i stk. 3, 4. pkt., er udbyderen af dataindberetningstjenester. Den strafbare handling består i ikke at have ressourcer og sikkerhedskopierings- og gendannelsesfaciliteter for til enhver tid at kunne udbyde og opretholde sine tjenester.
Det følger af artikel 12, stk. 4, 1. pkt., at en finansiel enhed opretholder redundante it-kapaciteter, der er udstyret med passende ressourcer og funktioner med henblik på at sikre forretningsmæssige behov. Videre fremgår det af stk. 4, 2. pkt., at mikrovirksomheder vurderer behovet for at opretholde redundante it-kapaciteter på grundlag af deres risikoprofil. Ved redundante it-kapaciteter forstås lignende it-kapaciteter, der skal kunne erstatte de primære it-kapaciteter en finansiel enhed, hvis disse it-kapaciteter eksempelvis bliver ramt af et cyberangreb.
Ansvarssubjektet i stk. 4, 1. pkt., er den finansielle enhed. Den strafbare handling består i ikke at have redundante it-kapaciteter, der sikrer forretningsmæssige behov.
Ansvarssubjektet i stk. 4, 2. pkt., er en finansiel enhed, som er en mikrovirksomhed. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Den strafbare handling består i ikke at have foretaget en vurdering af behovet for at opretholde redundante it-kapaciteter på baggrund af enhedens risikoprofil.
Det fremgår af artikel 12, stk. 6, 1. pkt., at når en finansiel enhed skal fastlægge målene for genopretningstid og genopretningstidspunkt for hver funktion, skal de tage hensyn til, om det er en kritisk eller vigtig funktion og de potentielle samlede virkninger for markedseffektiviteten. Videre fremgår det af stk. 6, 2. pkt., at tidsmålene skal sikre, at de aftalte serviceniveauer kan overholdes i ekstreme scenarier.
Ansvarssubjektet i stk. 6, er den finansielle enhed. Den strafbare handling består i, at en finansiel enhed i sin fastlæggelse af målene for genopretningstid og genopretningstidspunkt, ikke har taget hensyn til, om den pågældende funktion er kritisk, eller hvilken virkning disse tidsmål vil have på markedseffektiviteten. Den kan også bestå i, at den finansielle enhed ikke har sikret sig, at tidsmålene kan overholde de aftalte serviceniveauer i ekstreme scenarier.
Det fremgår af artikel 12, stk. 7, 1. pkt., at når en finansiel enhed foretager genopretning efter en it-relateret hændelse, skal den udføre de nødvendige kontroller, herunder eventuelt flere kontroller og afstemninger, for at sikre, at dataintegriteten bevares på højeste niveau. Videre fremgår det af stk. 7, 2. pkt., at kontroller også skal foretages i forbindelse med rekonstruktionen af data fra eksterne interessenter for at sikre, at alle systemernes data er sammenhængende.
Ansvarssubjektet i stk. 7 er den finansielle enhed. Den strafbare handling består i ikke at udføre de nødvendige kontroller eller afstemninger efter en genopretning for at sikre, at dataintegriteten bevares på højt niveau. I den forbindelse kan den strafbare handling også bestå i ikke at foretage kontroller i forbindelse med rekonstruktionen af data fra eksterne interessenter for at sikre, at alle systemernes data er sammenhængende.
Artikel 13 indeholder regler om læring og udvikling omkring sårbarheder og cybertrusler, it-relaterede hændelser, herunder navnlig cyberangreb. Stk. 1 indeholder krav om, at en finansiel enhed skal sørge for at råde over kapaciteter og personale, som kan indsamle oplysninger herom, og som kan analysere de virkninger, de forventes at have på deres digitale operationelle modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at have afsat ressourcer til f.eks. et it-system og personale, hvormed enheden kan indsamle oplysninger om sårbarheder og cybertrusler eller it-relaterede hændelser som cyberangreb. Den strafbare handling kan eksempelvis også bestå i ikke at have personale med tilstrækkelige kompetencer til at kunne analysere de virkninger, som bl.a. et cyberangreb kan have på deres digitale operationelle infrastruktur.
Det fremgår af artikel 13, stk. 2, 1. afsnit, at en finansiel enhed skal foretage gennemgange af it-relaterede hændelser, efter at større it-relaterede hændelser har forstyrret deres kerneaktiviteter. Den finansielle enhed skal i den forbindelse analysere årsagerne til forstyrrelserne og identificere nødvendige forbedringer af it-operationerne eller indenfor rammerne af den i artikel 11 omhandlede politik for it-driftsstabilitet.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i ikke at foretage en gennemgang og analyse af en større it-relateret hændelse, der har forstyrret den finansielle enheds kerneaktivitet.
Videre fremgår det af stk. 2, 2. afsnit, at en finansiel enhed på anmodning fra den kompetente myndighed skal underrette den kompetente myndighed om ændringer, der er blevet gennemført efter en gennemgang af it-relaterede hændelser. Bestemmelsen gælder ikke for finansielle enheder, der er mikrovirksomheder. Ved mikrovirksomhed forstås en virksomhed, som beskæftiger under 10 personer, og som har en årlig omsætning eller en samlet årlig balance på ikke over 2 mio. euro, jf. artikel 2, stk. 3, i bilag til Kommissionens henstilling af 6. maj 2003 om definitionen af mikrovirksomheder, små og mellemstore virksomheder.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke efter anmodning fra Finanstilsynet at underrette Finanstilsynet om ændringer, der er blevet gennemført efter en gennemgang af it-relaterede hændelser.
Til sidst fremgår det af stk. 2, 3. afsnit, at det i forbindelse med gennemgangen af it-relaterede hændelser skal fastslås, om de fastlagte procedurer er blevet fulgt, og om de iværksatte foranstaltninger har været effektive. Ved fastlagte procedurer forstås de procedurer, som den finansielle enhed har fastlagt i sin politik for it-driftsstabilitet. Det fremgår af artikel 11, stk. 2, at en finansiel enhed gennemfører politikken for it-driftsstabilitet ved hjælp af særlige, passende og veldokumenterede ordninger, planer, procedurer og mekanismer. Det er derfor procedurer og iværksatte foranstaltninger i henhold til de her ordninger m.v., som den finansielle enhed skal fastslå om har været effektive.
Det fremgår nærmere af artikel 13, stk. 2, 3. afsnit, at hvad en finansiel enhed bl.a. skal lægge nærmere vægt på i sin vurdering af, om de iværksatte foranstaltninger har været effektive. Den finansielle enhed skal bl.a. lægge vægt på den hastighed, med hvilken der er blevet sat ind overfor sikkerhedsvarsler, og med hvilken hastighed virkningerne af it-relaterede hændelser og deres omfang er blevet fastslået, jf. stk. 2, 3. afsnit, litra a. Det kan også være i forhold til effektiviteten af den finansielle enheds fejlafhjælpning i forbindelse med hændelser, jf. stk. 2, 3. afsnit, litra c.
Bestemmelsen har til formål at sikre, at en finansiel enhed efter en it-hændelse forholder sig kritisk til sine ordninger, planer, procedure m.v. i forbindelse med sin politik for it-driftsstabilitet for evt. at kunne forbedre disse til håndtering af en fremtidig it-relateret hændelse.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at fastslå om ordninger, planer og procedure i forbindelse med politikken for it-driftsstabilitet er blevet fulgt. Den kan også bestå i ikke at fastslå, om de iværksatte foranstaltninger har været effektive, herunder eksempelvis i forhold til den hastighed, med hvilken der er blevet sat ind overfor sikkerhedsvarsler, og med hvilken hastighed virkningerne af it-relaterede hændelser og deres omfang er blevet fastslået, jf. stk. 2, 3. afsnit, litra a.
Det følger af artikel 13, stk. 3, 1. pkt., at erfaringer fra test af digital operationel modstandsdygtighed, som foretages i overensstemmelse med artikel 26 og 27, og fra faktiske it-relaterede hændelser, navnlig cyberangreb, samt udfordringer i forbindelse med aktiveringen af planer for it-driftsstabilitet og planer for it-indsats og -genopretning, sammen med relevante oplysninger, der udveksles med modparter, og som vurderes i forbindelse med tilsynsmæssige gennemgange, løbende skal indarbejdes i it-risikovurderingsprocessen.
Artikel 26 vedrører avancerede test af IKT-værktøjer, -systemer og -processer baseret på TLPT. TLPT står for Threat Led Penetration Testing, som er en testmetode, hvor en virksomhed engagerer etiske hackere, som skal angribe flere systemer og det tilhørende cyberforsvar i virksomheden. Testene foregår i livesystemer, hvilket vil sige de systemer, som anvendes direkte i den finansielle sektor, og er baseret på konkrete trusler, hvilket betyder, at testene simulerer taktikker, teknikker og procedurer fra aktive, avancerede hackergrupper. Artikel 27 fastsætter de nærmere krav til testere.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består f.eks. i ikke løbende at indarbejde erfaringer fra test af digital operationel modstandsdygtighed i overensstemmelse med artikel 26 og 27, og fra it-relaterede hændelser i it-risikostyringsprocessen.
Det fremgår af artikel 13, stk. 4, 1. pkt., at en finansiel enhed skal overvåge effektiviteten af gennemførelse af deres strategi for digital operationel modstandsdygtighed, jf. artikel 6, stk. 8, der fastsætter nærmere krav til strategien. Videre fremgår det af stk. 4, 2. pkt., at en finansiel enhed skal kortlægge it-risikoens udvikling over tid, analysere hyppigheden, typerne, omfanget af og udviklingen i it-relaterede hændelser, navnlig cyberangreb og mønstre forbundet hermed. Den finansielle enhed skal gøre dette med henblik på at forstå graden af it-risikoeksponering, navnlig i forbindelse med kritiske eller vigtige funktioner, og for at forbedre den finansielle enheds cybermodenhed og cyberberedskab.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke at overvåge effektiviteten af gennemførelsen af enhedens strategi for digital operationel modstandsdygtighed eller i ikke at kortlægge it-risikoens udvikling over tid, analysere hyppigheden, typerne, omfanget af og udviklingen i it-relaterede hændelser, navnlig cyberangreb og mønstre forbundet hermed.
Det fremgår af artikel 13, stk. 5, at højtstående it-personale mindst én gang om året skal aflægge rapport til ledelsesorganet om de i stk. 3 omhandlede resultater og fremsætte anbefalinger. Indholdet af artikel 13, stk. 3, er nærmere gennemgået ovenfor under bemærkningerne til strafbelæggelsen af en overtrædelse af stk. 3.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i som finansiel enhed ikke at sørge for, at it-personale mindst én gang om året aflægger rapport for ledelsesorganet om resultater af f.eks. faktiske it-relaterede hændelser, jf. artikel 13, stk. 3, og fremsætter anbefalinger.
Det fremgår af artikel 13, stk. 6, 1. pkt., at en finansiel enhed skal udvikle programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed som obligatoriske moduler i deres personaleuddannelsesordninger. Videre fremgår det af stk. 6, 2. pkt., at disse kurser skal omfatte alle medarbejdere og den øverste ledelse og skal have en grad af kompleksitet, der svarer til deres opgavers ansvarsområde. Sidst fremgår det af stk. 6, 3. pkt., at en finansiel enhed, hvis det er relevant, inddrager tredjepartsudbydere af it-tjenester i relevante uddannelsesordninger, jf. artikel 30, stk. 2, litra i, om kontraktlige ordninger om betingelserne for deltagelse af tredjepartsudbydere i programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består f.eks. i ikke at udvikle programmer til alle medarbejdere og den øverste ledelse til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed som obligatoriske moduler i deres personaleuddannelse. Den strafbare handling kan også bestå i ikke at inddrage tredjepartsudbydere af it-tjenester i relevante uddannelsesordninger, hvis dette viser sig nødvendigt. Det kan eksempelvis være i det tilfælde, hvor kompleksiteten af et uddannelsesprogram når et niveau, hvor den finansielle enhed ikke selv har kompetencerne til at udvikle programmet.
Det fremgår af artikel 13, stk. 7, 1. pkt., at en finansiel enhed løbende skal overvåge den relevante teknologiske udvikling også med henblik på at forstå den mulige virkning af indførelsen af sådanne nye teknologier for kravene til it-sikkerhed og digital operationel modstandsdygtighed. Videre fremgår det af stk. 7, 2. pkt., at en finansiel enhed skal holde sig ajour med de seneste it-risikostyringsprocesser for effektivt at bekæmpe aktuelle eller nye former for cyberangreb. Bestemmelsen gælder ikke for mikrovirksomheder. Se definitionen af en mikrovirksomhed under bemærkningerne til strafbelæggelse af overtrædelse af artikel 11, stk. 6, 2. afsnit.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i ikke løbende at overvåge den relevante teknologiske udvikling med henblik på evt. at indføre de nye teknologier i enheden i forhold til at leve op til kravene til it-sikkerhed og digital operationel modstandsdygtighed. Den kan også bestå i ikke at holde sig ajour med de seneste it-risikostyringsprocesser for effektivt at bekæmpe aktuelle eller nye former for cyberangreb.
Artikel 14, stk. 1 i DORA-forordningen omhandler, at der som led i den ramme for it-risiko-styring, der er omhandlet i artikel 6, stk. 1, at de finansielle enheder sørger for at have krisekommunikationsplaner, der giver mulighed for ansvarlig offentliggørelse af, som minimum større it-relaterede hændelser eller sårbarheder for kunder og modparter samt for offentligheden, alt efter hvad der er relevant.
Krisekommunikations-planer må forstås sådant, at når der opstår en større ulykke eller katastrofe, så er der et akut behov for viden, og det er derfor nødvendigt at have planer for at kommunikere dette ud til de relevante parter.
It-risiko-styring må forstås sådant, at det er en håndtering af en sådan trussel, som defineres i artikel 3, stk. 1 nr. 5.
Ansvarssubjektet for overtrædelse af artikel 14, stk. 1, er den finansielle enhed. Den strafbare handling kan f.eks. bestå i, at den finansielle enhed ikke har udarbejdet planer for kommunikation af en offentliggørelse af en større it-relateret hændelse.
I medfør af artikel 14, stk. 2, skal en finansiel enhed som led i rammen for it-risikostyring, der er omhandlet i artikel 6, stk. 1. gennemføre kommunikationsplaner for internt personale og eksterne interessenter. Artikel 6, stk. 1, vedrører, at finansielle enheder indfører en robust, omfattende og veldokumenteret ramme for it-risikostyring. Kommunikationspolitikkerne for personalet skal tage hensyn til behovet for at skelne mellem personale der er involveret i it-risiko-styring, navnlig det personale der er ansvarlig for indsats og genopretning, og personale, der skal underrettes.
Ansvarssubjektet for en overtrædelse af artikel 14, stk. 2, er den finansielle enhed. Den strafbare handling består i, ikke at have gennemført kommunikationsplaner for internt personale og eksterne interessenter.
Artikel 14, stk. 3, indeholder krav om, at mindst én person i den finansielle enhed skal have til opgave at gennemføre kommunikationsstrategien for it-relaterede hændelse, og til dette formål varetage funktionen vedrørende offentligheden og medierne.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed ikke har mindst én person, der har til opgave at gennemføre kommunikationsstrategien for it-relaterede hændelse, og som til dette formål har varetage funktionen vedrørende offentligheden og medierne.
Det fremgår af artikel 16, stk. 1, at forordningens artikel 5-15 ikke finder anvendelse på små og ikke indbyrdes forbundne investeringsselskaber, betalingsinstitutter, der er undtaget i henhold til direktiv (EU) 2015/2366, institutter, der er fritaget i henhold til direktiv 2013/36/EU, og for hvilke medlemsstaterne har besluttet ikke at anvende den mulighed, der er omhandlet i nærværende forordnings artikel 2, stk. 4, e-pengeinstitutter, der er undtaget i henhold til direktiv 2009/110/EF, og små arbejdsmarkedsrelaterede pensionskasser.
Uden at det berører første afsnit skal de i første afsnit omhandlede enheder overholde det anførte i artikel 16, stk. 1, litra a-e. Det fremgår af litra a, at enhederne skal indføre og vedligeholde en robust og dokumenteret ramme for it-risikostyring, der beskriver de mekanismer og foranstaltninger, der skal muliggøre en hurtig, effektiv og omfattende styring af it-risiko, herunder vedrørende beskyttelse af relevante fysiske komponenter og infrastrukturer.
Det fremgår af litra b, at der løbende skal overvåges alle it-systemers sikkerhed og drift.
Det fremgår af litra c, at virkningen af it-risiko gennem anvendelse af robuste, modstandsdygtige og ajourførte it-systemer, -protokoller og -værktøjer, som er egnede til at understøtte udførelsen af deres aktiviteter og leveringen af tjenester og i tilstrækkelig grad beskytte tilgængeligheden, autenticiteten, integriteten og fortroligheden af data i net- og informationssystemerne skal minimeres.
Det fremgår af litra d, at det hurtigst muligt skal konstateres og detekteres it-risikokilder og -anomalier i net- og informationssystemerne og hurtigt at håndtere it-relaterede hændelser.
Det fremgår af litra e, at der skal konstateres stor afhængighed af tredjepartsudbydere af it-tjenester.
Det fremgår af litra f, at der skal sikres kontinuiteten af kritiske eller vigtige funktioner gennem planer for driftsstabiliteten og indsats- og genopretningsforanstaltninger, der som minimum omfatter sikkerhedskopierings- og gendannelsesforanstaltninger.
Det fremgår af litra g, at der regelmæssigt skal testes de planer og foranstaltninger, der er omhandlet i litra f, samt effektiviteten af de gennemførte kontroller i overensstemmelse med litra a og c.
Det fremgår af litra h, at der skal gennemføres, alt efter hvad der er relevant, de relevante operationelle konklusioner, der følger af de test, der er omhandlet i litra g, og af de efterfølgende analyser af hændelserne, i it-risikovurderingsprocessen og efter behov og it-risikoprofil udvikle programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed for personale og ledelse.
Ansvarssubjektet i artikel 16, stk. 1 litra a-h, er den finansielle enhed. Den strafbare handling består i, at de i første afsnit omhandlede enheder ikke overholder det anførte i artikel 16, stk. 1, litra a-e.
I medfør af artikel 16, stk. 2, skal en finansiel enhed i den i stk. 1, andet afsnit, litra a, omhandlede ramme for it-risikostyring dokumenteres og gennemgås regelmæssigt og ved forekomst af større it-relaterede hændelser i overensstemmelse med de tilsynsmæssige instrukser. Den skal forbedres løbende på grundlag af indhøstede erfaringer fra gennemførelse og overvågning. Der skal forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed på dennes anmodning.
Ansvarssubjektet for overtrædelsen af artikel 16, stk. 2, er den finansielle enhed. Den strafbare handling består i, at ikke at have gennemført de handlinger der er oplistet i artikel 16, stk. 2. Dette er eksempelvis at sikre at der forelægges en rapport om gennemgangen af rammen for it-risikostyring for den kompetente myndighed ved anmodning.
Det følger af artikel 17, stk. 1, at de finansielle enheder definerer, fastlægger og gennemfører en proces for styring af it-relaterede hændelser for at detektere, styre og indberette it-relaterede hændelser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 17, stk. 1 bestå i, at de finansielle enheder ikke definerer, fastlægger og gennemfører en proces for styring af it-relaterede hændelser, som kan detektere, styre og indberette it-relaterede hændelser.
Det følger af artikel 17, stk. 2, at de finansielle enheder er alle, der registrerer it-relaterede hændelser og væsentlige cybertrusler. De finansielle enheder fastlægger passende procedurer og processer, der skal sikre en konsekvent og integreret overvågning, håndtering og opfølgning af it-relaterede hændelser. Det skal ske således, at de grundlæggende årsager identificeres, dokumenteres og håndteres for at forhindre, at sådanne hændelser forekommer.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan i medfør af artikel 17, stk. 2, bestå i, at den finansielle enhed fastlægger passende procedurer og processer, der skal sikre en konsekvent og integreret overvågning, håndtering og opfølgning af it-relaterede hændelser. Dette skal ske således, at de grundlæggende årsager identificeres, dokumenteres og håndteres for at forhindre, at sådanne hændelser kan opstå.
Det følger af artikel 17, stk. 3, at den finansielle enhed som led i den proces for styring af it-relaterede hændelser, der er omhandlet i stk. 1, overholder det anførte i artikel 17, stk. 3, litra a-f.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling i medfør af artikel 17, stk. 3, er en tilsidesættelse af overholdelse af de oplistede krav i artikel 17, stk. 3, litra a-f. Dette kan eksempelvis være, at der ikke tildeles roller og ansvarsområder, som skal aktiveres for forskellige it-relaterede hændelsestyper og -scenarier.
Artikel 18 indeholder en klassificering af it-relaterede hændelser og cybertrusler.
Det følger af artikel 18, stk. 1, at de finansielle enheder klassificerer it-relaterede hændelser og fastslår deres virkninger på grundlag af følgende kriterier oplistet i artikel 18, stk. 1, litra a-f.
Det fremgår af litra a, at antallet og/eller relevansen af kunder eller finansielle modparter, som er berørt, og, hvis det er relevant, beløbet på eller antallet af de transaktioner, som er berørt af den it-relaterede hændelse, og hvorvidt den it-relaterede hændelse har haft indvirkning på omdømmet.
Det fremgår af litra b, at varigheden af den it-relaterede hændelse, herunder tjenestens nedetid.
Det fremgår af litra c, at den geografiske udbredelse med hensyn til de områder, der er berørt af den it-relaterede hændelse, navnlig hvis den berører mere end to medlemsstater.
Det fremgår af litra d, at de datatab, som den it-relaterede hændelse medfører med hensyn til tilgængelighed, autenticitet, integritet eller fortrolighed af data.
Det fremgår af litra e, at den kritiske betydning af de berørte tjenester, herunder den finansielle enheds transaktioner og operationer.
Det fremgår af litra f, at de økonomiske virkninger, navnlig direkte og indirekte omkostninger og tab, af den it-relaterede hændelse i både absolutte og relative tal.
Ansvarssubjektet i stk. 1 er den finansielle enhed. Den strafbare handling består i, at de finansielle enheder ikke klassificerer it-relaterede hændelser og dermed ikke fastslår deres virkninger på grundlag af følgende kriterier oplistet i artikel 18, stk. 1, litra a-f.
Det fremgår af stk. 2, at de finansielle enheder klassificerer cybertrusler som væsentlige på grundlag af de udsatte tjenesters kritiske betydning, herunder den finansielle enheds transaktioner og operationer, antallet og/eller relevansen af de kunder eller finansielle modparter, som rammes, og risikoområdernes geografiske udbredelse.
Ansvarssubjektet i artikel 18, stk. 2, er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed undlader at klassificere cybertrusler som væsentlige, eksempelvis på grundlag af de udsattes tjenesters kritiske betydning.
Artikel 19, stk. 1, omhandler indberetning af større it-relaterede hændelser. Bestemmelsen forpligter den finansielle enhed til at indberette større it-relaterede hændelser til den relevante kompetente myndighed.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed ikke underretter Finanstilsynet om en større it-relateret hændelse.
I medfør af artikel 19, stk. 3, skal den finansielle enhed underrette Finanstilsynet, uden unødigt ophold, i tilfælde af, at en større it-relateret hændelse indtræffer og har indflydelse på kunders finansielle interesser. Den finansielle enhed underretter også om de foranstaltninger, der er truffet for at afbøde de negative virkninger af en sådan hændelse. I tilfælde af en væsentlig cybertrussel underretter de finansielle enheder, hvis det er relevant, de af deres kunder, som potentielt er berørt heraf, om eventuelle passende beskyttelsesforanstaltninger, som sidstnævnte kan overveje at træffe
Ansvarssubjektet var overtrædelse af artikel 19, stk. 3, er den finansielle enhed. En strafbar handling kan bestå i, at den finansielle enhed ikke underretter Finanstilsynet rettidigt i tilfælde en større it-relateret hændelse indtræffer, som har indflydelse på kunders finansielle interesser. En strafbar handling kan også bestå i at underrette Finanstilsynet om den it-relaterede hændelse, uden at underrette om de foranstaltninger der er truffet for at afbøde de negative virkninger.
Det fremgår af artikel 19, stk. 4, at den finansielle enhed, i tilfælde af en it-relateret hændelse, skal indgive henholdsvis en indledende underretning, jf. litra a, en foreløbig rapport så snart den oprindelige hændelses status har ændret sig betydeligt, eller håndteringen af den større it-relaterede hændelse har ændret sig på grundlag af nye tilgængelige oplysninger, efterfulgt, alt efter hvad der er relevant, af ajourførte underretninger, hver gang der foreligger en relevant ajourføring af status, samt efter en specifik anmodning fra den kompetente myndighed, jf. litra b. Samt en endelig rapport, når den grundlæggende årsagsanalyse er afsluttet, uanset om der allerede er gennemført afbødende foranstaltninger, og når tallene for de faktiske virkninger foreligger og kan erstatte skøn, jf. litra c. Fristerne for disse skal fastsættes i overensstemmelse med artikel 20, stk. 1, litra a, nr. ii, og skal indgives til Finanstilsynet, som er den kompetente myndighed.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i, ikke at indgive en indledende underretning, en foreløbig rapport eller en endelig rapport til Finanstilsynet inden for de af artikel 20, stk. 1, litra a, nr. ii, fastsatte frister.
Artikel 24 i DORA-forordningen omhandler generelle krav til gennemførslen af test af digital operationel modstandsdygtighed.
Det følger af artikel 24, stk. 1, at en finansiel enhed skal udarbejde, opretholde og gennemgå et forsvarligt og omfattende program for test af digital operationel modstandsdygtighed, som en integreret del af den i artikel 6 omhandlede ramme for it-risikostyring. Dette skal ske med henblik på at vurdere beredskabet i forhold til håndtering af it-relaterede hændelser, identificere svagheder, mangler og huller i den digitale operationelle modstandsdygtighed og straks træffe korrigerende foranstaltninger.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling kan eksempelvis bestå i, at den finansielle enhed ikke har udarbejdet et program for test af digital operationel modstandsdygtighed. Den strafbare handling kan også bestå i, at den finansielle enheds program for test af digital operationel modstandsdygtighed ikke er forsvarligt eller omfattende nok.
I medfør af artikel 24, stk. 2, skal programmet for test af digital operationel modstandsdygtighed, omfatte en række vurderinger, test, metodologier, fremgangsmåder og værktøjer, der skal anvendes i overensstemmelse med artikel 25 og 26 i DORA-forordningen.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i at den finansielle enhed gennemfører tests der ikke i tilstrækkelig grad omfatter kravene om vurderinger, test, metodologier, fremgangsmåder og værktøj, der skal anvendes i overensstemmelse med artikel 25 og artikel 26 i DORA-forordningen.
Artikel 24, stk. 3, pålægger den finansielle enhed at følge en risikobaseret tilgang for programmet for test af digital operationel modstandsdygtighed. Den finansielle enhed skal ved gennemførslen af programmet, tage hensyn til kriterierne i DORA-forordningens artikel 4, stk. 2, og til et it-risikomiljø i udvikling, eventuelle specifikke risici, som den berørte finansielle enhed udsættes for eller kan blive udsat for, informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre faktorer, som den finansielle enhed finder relevante.
Ansvarssubjektet er den finansielle enhed. En strafbar overtrædelse af artikel 24, stk. 3, kunne eksempelvis være, at den finansielle enhed gennemfører et program for test af digital operationel modstandsdygtighed uden at tage hensyn til den finansielles enheds it-risikomiljø.
I medfør af artikel 24, stk. 4, skal den finansielle enhed sikre, at tests gennemføres af uafhængige parter, hvad enten de er interne eller eksterne. Hvis en intern tester gennemfører test, skal de finansielle enheder afsætte tilstrækkelige ressourcer og sikre, at interessekonflikter undgås under testens udformnings- og gennemførelsesfaser.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed der gennemfører tests af deres digitale operationelle modstandsdygtighed ikke sikrer, at testen gennemføres af uafhængige interne eller eksterne parter for at begrænse interessekonflikter.
Artikel 24, stk. 5, pålægger den finansielle enhed at fastlægge procedurer og politikker med henblik på at prioritere, klassificere og afhjælpe alle problemer, der identificeres i forbindelse med gennemførelsen af test, og fastlægger interne valideringsmetoder for at sikre, at alle konstaterede svagheder, mangler eller huller afhjælpes fuldt ud.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består af ikke at fastlægge procedurer og politikker der prioriterer, klassificerer og afhjælper de problemer der identificeres med gennemførslen af testen.
I medfør af artikel 24, stk. 6, skal de finansielle enheder sikre, at der gennemføres passende test af alle it-systemer og -applikationer, der understøtter kritiske eller vigtige funktioner, mindst én gang om året.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kunne bestå i at den finansielle enhed ikke mindst én gang årligt gennemfører tests af alle it-systemer og it-applikationer, der kan anses for passende.
Artikel 25 omhandler test af it-værktøjer og -systemer.
Det følger af artikel 25, stk. 1, at programmet for test af den digitale operationelle modstandsdygtighed skal være i overensstemmelse med de af artikel 4, stk. 2, kriterier for proportionalitet. I medfør af artikel 4, stk. 2, skal den finansielle enheds styring, klassificering, indberetning af it-relaterede hændelser, test af digital operationel modstandsdygtighed og styring af it-tredjepartsrisici stå i et rimeligt forhold til deres størrelse og samlede risikoprofil og til karakteren, omfanget og kompleksiteten af deres tjenester, aktiviteter og operationer, som specifikt fastsat i de relevante regler i de nævnte kapitler.
I overensstemmelse med de oplistede kriterier i artikel 4, stk. 2, skal programmet for test af digital operationel modstandsdygtighed, nævnt i artikel 24, indeholde bestemmelser om gennemførelse af relevante test såsom sårbarhedsvurderinger og -scanninger, open source-analyser, vurderinger af netsikkerheden, mangelanalyser, fysiske sikkerhedsgennemgange, spørgeskemaer og scanningssoftwareløsninger, gennemgange af kildekoder, når det er praktisk muligt, scenariebaserede test, kompatibilitetstest, præstationstest, end-to-end-test og penetrationstest.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at den finansielle enhed har vedtaget et program for test der ikke er tilstrækkeligt, mangelfuldt eller lever op til de fastsatte krav for programmer for test af digital operationel modstandsdygtighed i artikel 25, stk. 1.
I medfør af artikel 25, stk. 3, skal mikrovirksomheder gennemføre de i artikel 25, stk. 1 omhandlede test ved at kombinere en risikobaseret tilgang med strategisk planlægning af it-test under behørig hensyntagen til behovet for at opretholde en afbalanceret tilgang mellem omfanget af ressourcer og den tid, der skal afsættes til it-test som omhandlet i denne artikel, på den ene side og den hastende karakter, risikotype og informationsaktivernes og de leverede tjenesters kritiske betydning samt alle andre relevante faktorer, herunder den finansielle enheds evne til at tage kalkulerede risici, på den anden side.
Ansvarssubjektet er den finansielle enhed. En strafbar handling kan bestå i, at en mikrovirksomhed ikke har taget tilstrækkeligt hensyn til at opretholde en balanceret tilgang til henholdsvis omfanget af ressourcer og andre faktorer, som eksempelvis den finansielle enheds evne til at tage kalkulerede risici.
Artikel 28 omhandler generelle principper for forsvarlig styring af it-tredjepartsrisici.
I medfør af artikel 28, stk. 1, skal den finansielle enhed styre deres it-tredjepartsrisiko som en integreret del af it-risiko, inden for deres ramme for it-risikostyring.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består eksempelvis i, at den finansielle enheds it-tredjepartsrisiko ikke bliver styret som en integreret del af deres samlede it-risiko, inden for den finansielle enheds it-risikostyring.
I medfør af artikel 28, stk. 1, litra b, skal styringen af it-tredjepartsrisikoen hos den finansielle enhed foregå under hensyntagen til proportionalitetsprincippet og skal derfor tage hensyn til henholdsvis artikel 28, stk. 1, litra b, nr. i, som omhandler karakteren, omfanget, kompleksiteten og betydningen af den it-relaterede afhængighed og artikel 28, stk. 1, litra b, nr. ii, som omhandler de risici, der opstår som følge af kontraktlige ordninger for brugen af it-tjenester, der er indgået med tredjepartsudbydere af it-tjenester, under hensyntagen til den kritiske betydning eller vigtighed af den pågældende tjeneste, proces eller funktion og til de potentielle virkninger for driftsstabiliteten og tilgængeligheden af finansielle tjenesteydelser og aktiviteter på individuelt plan og koncernniveau.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at kravene i artikel 28, stk. 1, litra b, nr. i-ii, ikke tages under betragtning ved udformningen af den finansielle enheds styring af it-tredjepartsrisiko.
Artikel 28, stk. 2, omhandler strategien for den finansielle enheds it-tredjepartsrisiko. Den finansielle enhed skal vedtage og gennemgå deres strategi regelmæssigt som led i deres ramme for it-risikostyring. Strategien skal omfatte en politik for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og som leveres af tredjepartsudbydere af it-tjenester. Strategien skal gælde på individuelt grundlag og, hvor det er relevant, på delkonsolideret og konsolideret grundlag. Ledelsesorganet i den finansielle enhed skal på grundlag af en vurdering af den finansielle enheds samlede risikoprofil og omfanget og kompleksiteten af forretningstjenesterne regelmæssigt gennemgå de risici, der er konstateret i forbindelse med kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i at ledelsesorganet i den finansielle enhed ikke ved vurderingen af den samlede risikoprofil har gennemgået de de risici, der er konstateret i forbindelse med kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner.
Artikel 28, stk. 3, fastsætter krav for den finansielle enheds dokumentation af kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere. Den finansielle enhed skal som et led i deres ramme for it-risikostyring sørge for at opretholde og ajourføre et register over kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere på både enhedsniveau, delkonsolideret niveau og konsolideret niveau. De kontraktsretlige ordninger skal være skelnet mellem de it-tjenester der understøtter kritiske eller vigtige funktioner, og dem, der ikke gør.
Desuden skal den finansielle enhed mindst én gang årligt indberette nye ordninger for brugen af it-tjenester, kategorierne af tredjepartsudbydere af IKT-tjenester, typen af kontraktlige ordninger og de it-tjenester og funktioner, der leveres, til Finanstilsynet.
Til sidst skal den finansielle enhed efter anmodning, stille det fulde register over oplysninger eller, som anmodet, nærmere angivne afsnit heraf til rådighed for Finanstilsynet sammen med eventuelle oplysninger, som anses for nødvendige for at muliggøre et effektivt tilsyn med den finansielle enhed. Den finansielle enhed underretter rettidigt Finanstilsynet om enhver planlagt kontraktlig ordning for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og når en funktion er blevet kritisk eller vigtig.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at den finansielle enhed efter anmodning fra Finanstilsynet, ikke kan stille det fulde register over kontraktsretlige ordninger for brugen af it-tjenester der leveres af tredjepartsudøvere til rådighed.
Artikel 28, stk. 4, litra a-e, fastsætter krav til den finansielle enhed før der indgås en kontraktlig ordning for brugen af it-tjenester. Den finansielle enhed skal vurdere, om den kontraktlige ordning omfatter brugen af it-tjenester, der understøtter en kritisk eller vigtig funktion, jf. litra a, vurdere, om de tilsynsmæssige betingelser for udlicitering er opfyldt, jf. litra b, identificere og vurdere alle relevante risici i forbindelse med den kontraktlige ordning, herunder muligheden for, at sådanne kontraktlige ordninger kan bidrage til at øge it-koncentrationsrisikoen, jf. artikel 29, jf. litra c, foretage fornøden due diligence over for potentielle tredjepartsudbydere af it-tjenester og under alle udvælgelses- og vurderingsprocesserne sikre, at den pågældende tredjepartsudbyder af it-tjenester er egnet jf. litra d, og identificere og vurdere interessekonflikter, som de kontraktlige ordninger kan give anledning til, jf. litra e.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i at den finansielle enhed indgår en kontraktlig ordning for brugen af it-tjenester, uden at have identificeret og vurderet interessekonflikter, som den kontraktlige ordning kan give anledning til.
I medfør af artikel 28, stk. 7, litra a-d, skal den finansielle enhed sikre sig, at de indgåede kontraktlige ordninger kan opsiges på baggrund af væsentlig overtrædelse begået af tredjepartsudbyderen af it-tjenester af gældende love, administrative bestemmelser eller kontraktvilkår, jf. litra a. Forhold, der er identificeret under overvågningen af it-tredjepartsrisiko, og som anses for at kunne ændre udførelsen af de funktioner, der er leveret gennem den kontraktlige ordning, herunder væsentlige ændringer, der påvirker ordningen eller situationen for tredjepartsudbyderen af it-tjenester skal også kunne lægges til grund for opsigelse af den kontraktlige ordning, jf. litra b.
Ligeledes skal dokumenterede svagheder hos tredjepartsudbyderen af it-tjenester, som vedrører dennes samlede it-risikostyring, og navnlig i den måde, hvorpå denne garanterer tilgængeligheden, autenticiteten, integriteten og fortroligheden af data, hvad enten det drejer sig om personoplysninger eller på anden måde følsomme data eller andre oplysninger end personoplysninger, kunne lægges til grund for opsigelse af den kontraktlige ordning, jf. litra c. Til sidst skal den kontraktlige ordning kunne opsiges, såfremt Finanstilsynet ikke længere kan føre effektivt tilsyn med den finansielle enhed som følge af betingelserne eller omstændighederne vedrørende de respektive kontraktlige ordninger.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling kan bestå i, at den kontraktlige ordning ikke kan opsiges på baggrund af de af artikel 28, stk. 7, oplistede situationer.
Artikel 28, stk. 8, omhandler exitstrategier. Den finansielle enhed skal indføre exitstrategier for it-tjenester, der understøtter kritiske eller vigtige funktioner.
Exitstrategierne skal tage højde for de risici, der kan opstå hos tredjepartsudbydere af it-tjenester, navnlig mulige svigt fra deres side, en forringelse af kvaliteten af de leverede it-tjenester, eventuelle driftsforstyrrelser som følge af uhensigtsmæssig eller manglende levering af it-tjenester eller eventuelle væsentlige risici i forbindelse med en passende og løbende anvendelse af de pågældende it-tjenester eller opsigelse af kontraktlige ordninger med tredjepartsudbydere af it-tjenester i en af de i artikel 28, stk. 7, anførte situationer.
Den finansielle enhed skal sikre at de kan opsige den kontraktlige ordning uden at deres forretningsaktivitet afbrydes, jf. litra a, uden at efterlevelsen af de forskriftsmæssige krav begrænses, jf. litra b og uden at kontinuiteten og kvaliteten af de leverede tjenester til kunder lider skade, jf. litra c.
Ligeledes skal exitstrategierne være i overensstemmelse med kriterierne i artikel 4, stk. 2, om proportionalitet, samt være omfattende og veldokumenterede.
Der skal desuden være udarbejdet overgangsplaner der kan fratage tredjepartsudbyderen af it-tjenester de udliciterede it-tjenester og de relevante data og sikkert og fuldstændigt kan overføre disse til alternative udbydere eller på ny indarbejde dem internt. Den finansielle enhed skal derudover identificere alternative løsninger.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke har sikret sig at indføre en exitstrategi i tilfælde af, at en kontrakt ordning med en tredjepartsudbyder af it-tjenester opsiges.
Artikel 29, stk. 1, omhandler foreløbig vurdering af it-koncentrationsrisiko på enhedsniveau. Bestemmelsen fastsætter krav, som den finansielle enhed skal tage hensyn til ved identifikation og vurdering af risici i forbindelse med en kontraktlige ordning, herunder muligheden for, at en kontraktlig ordning kan bidrage til at øge it-koncentrationsrisikoen. Ved indgåelse af en kontraktlig ordning i forbindelse med it-tjenester, der understøtter kritiske eller vigtige funktioner tager den finansielle enhed hensyn til udlicitering til en tredjepartsudbyder af it-tjenester, som ikke er let at erstatte, jf. litra a og indgåelse af flere kontraktlige ordninger om levering af it-tjenester, der understøtter kritiske eller vigtige funktioner, med den samme tredjepartsudbyder af it-tjenester eller med tredjepartsudbydere af it-tjenester, som har tætte forbindelser til denne, jf. litra b.
Den finansielle enhed skal i medfør af bestemmelsen afveje fordele og omkostninger ved alternative løsninger såsom brug af forskellige tredjepartsudbydere af it-tjenester under hensyntagen til, hvorvidt og hvordan de påtænkte løsninger svarer til de forretningsmæssige behov og mål, der er fastsat i deres strategi for digital modstandsdygtighed.
Ansvarssubjektet er den finansielle enhed. Den strafbare handling består i, at den finansielle enhed ikke har taget hensyn til udliciteringen til en tredjepartsudbyder af it-tjenester som ikke er lette at erstatte, ved indgåelsen af en kontraktlig ordning om it-tjenester der understøtter kritiske eller vigtige funktioner.
I medfør af artikel 29, stk. 2, skal den finansielle enhed i tilfælde af, at den kontraktlige ordning for brug af it-tjenester med en tredjepartsudbyder, kan komme videre i underentreprise med hjemsted i tredjeland, overveje de fordele og risici, der kan opstå i forbindelse med underentreprisen, særligt hvis it-tjenesten understøtter kritiske eller vigtige funktioner.
Den finansielle enhed skal tage hensyn til de bestemmelser i insolvensretten, som finder anvendelse, hvis tredjepartsudbyderen af it-tjenester går konkurs, samt eventuelle begrænsninger, der kan opstå i forbindelse med en hastende genopretning af den finansielle enheds data, såfremt den kontraktlige ordning vedrører it-tjenester, der understøtter kritiske eller vigtige funktioner.
Den finansielle enhed tager derudover hensyn til overholdelsen af Unionens databeskyttelsesregler og en effektiv håndhævelse af retten i det pågældende tredjeland, såfremt der er indgået kontraktlige ordninger for brug af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, med en tredjepartsudbyder af IKT-tjenester med hjemsted i et tredjeland.
Til sidst vurderer den finansielle enhed hvorvidt og hvordan potentielt lange eller komplekse underentreprisekæder kan påvirke deres evne til fuldt ud at overvåge de udliciterede funktioner og den kompetente myndigheds evne til i denne henseende at føre effektivt tilsyn med den finansielle enhed, såfremt den kontraktlige ordning for brugen af IKT-tjenester, understøtter kritiske eller vigtige funktioner.
Ansvarssubjektet for overtrædelse af bestemmelsen er en finansiel enhed. Den strafbare handling består eksempelvis i, at der ved indgåelse af kontraktlige ordninger med en tredjepartsudbyder af it-tjenester, der understøtter kritiske funktioner, ikke er foretaget en afvejning af fordele og risici såfremt tredjepartsudbyderen giver it-tjenesterne videre til en underentreprise med hjemsted i udlandet.
Artikel 30 omhandler centrale kontrakts bestemmelser.
Artikel 30, stk. 1, fastsætter at rettigheder og forpligtelser mellem den finansielle enhed og tredjepartsudbyderen skal fordeles klart og fastlægges skriftligt. Serviceniveauaftaler skal være omfattet af den samlede kontrakt og dokumenteres i ét skriftligt dokument. Parterne skal have adgang til dokumentet i papir, eller i et andet varigt og permanent format, der kan downloades.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling kan bestå i, at den finansielle enhed ikke tager højde for, at rettighederne og forpligtelserne mellem parterne skal nedfattes skriftligt og have varig karakter, som enten kan tilgås på papir eller i et format, der kan downloades.
Artikel 30, stk. 2, fastsætter en række minimumskrav til den kontraktlige ordning for brugen af it-tjenester.
Den kontraktlige ordning skal sikre en klar og fuldstændig beskrivelse af alle funktioner og it-tjenester, som tredjepartsudbyderen af it-tjenester skal levere, med angivelse af, om underentreprise af en it-tjeneste, der understøtter en kritisk eller vigtig funktion eller væsentlige dele heraf er tilladt, og, hvis det er tilfældet, de betingelser, der gælder for en sådan underentreprise, jf. litra a.
De steder, navnlig de regioner eller lande, hvor de udliciterede funktioner og it-tjenester eller funktionerne og it-tjenesterne i underentreprise skal leveres, og hvor data skal behandles, herunder lagringsstedet, og kravet om, at tredjepartsudbyderen af it-tjenester på forhånd skal underrette den finansielle enhed, hvis den har planer om at ændre disse steder, jf. litra b.
Den kontraktlige ordning skal ligeledes indeholde bestemmelser om tilgængelighed, autenticitet, integritet og fortrolighed med hensyn til databeskyttelse, herunder personoplysninger, jf. litra c.
Bestemmelser om sikring af adgang, genopretning og tilbagesendelse i et lettilgængeligt format af personoplysninger og andre data end personoplysninger, der behandles af den finansielle enhed, i tilfælde af insolvens, afvikling eller afbrydelse af de forretningsaktiviteter, som tredjepartsudbyderen af it-tjenester varetager, eller i tilfælde af opsigelse af de kontraktlige ordninger skal medtages i den kontraktlige ordning, jf. litra d.
Den kontraktlige ordning skal derudover indeholde beskrivelser af serviceniveauet, herunder ajourføringer og revisioner heraf, jf. litra e.
Forpligtelsen for tredjepartsudbyderen af it-tjenester til at yde bistand til den finansielle enhed uden yderligere omkostninger eller til en omkostning, der fastsættes på forhånd, hvis der opstår en IKT-hændelse, der vedrører den it-tjeneste, som leveres til den finansielle enhed skal også indgå i den kontraktlige ordning, jf. litra f.
Derudover skal den finansielle enhed medtage forpligtelsen for tredjepartsudbyderen af it-tjenester til at samarbejde fuldt ud med den finansielle enheds kompetente myndigheder og afviklingsmyndigheder, herunder personer, som de har udpeget, jf. litra g og opsigelsesrettigheder og dertil knyttet minimumsfrister for opsigelse af de kontraktlige ordninger i overensstemmelse med de kompetente myndigheders og afviklingsmyndighedernes forventninger, jf. litra h.
Slutteligt skal betingelserne for deltagelse af tredjepartsudbydere af it-tjenester i de finansielle enheders programmer til bevidstgørelse om it-sikkerhed og kurser i digital operationel modstandsdygtighed, jf. artikel 13, stk. 6, medtages i den kontraktlige ordning.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en kontrakt mellem en finansiel enhed og en tredjepartsudbyder af it-tjenester er mangelfuld og ikke på en klar og tilstrækkelig måde, omfatter de af artikel 30, stk. 2, omfattede minimumskrav til kontraktlige ordninger for brugen af it-tjenester som eksempelvis beskrivelserne af serviceniveauet, herunder ajourføringer og revisioner, jf. litra e og opsigelsesrettigheder, jf. litra h.
Artikel 30, stk. 3, fastsætter en række minimumskrav til den kontraktlige ordning for brugen af it-tjenester der understøtter kritiske eller vigtige funktioner.
Den kontraktlige ordning skal sikre en fuldstændig beskrivelse af serviceniveauer, herunder ajourføringer og revisioner heraf, med præcise kvantitative og kvalitative præstationsmål inden for de aftalte serviceniveauer, således at den finansielle enhed kan foretage en effektiv overvågning af it-tjenester, og således at der uden unødigt ophold kan træffes passende afhjælpende foranstaltninger, når de aftalte serviceniveauer ikke overholdes, jf. litra a.
Den kontraktlige ordning skal derudover omfatte opsigelsesfrister og indberetningsforpligtelser for tredjepartsudbyderen af it-tjenester over for den finansielle enhed, herunder underretning om enhver udvikling, som kan have væsentlig indvirkning på, hvorvidt tredjepartsudbyderen af it-tjenester har evnen til effektivt at levere it-tjenester, der understøtter kritiske eller vigtige funktioner i overensstemmelse med de aftalte serviceniveauer, jf. litra b.
Artikel 30, stk. 3, litra c, fastsætter krav til tredjepartsudbyderen af it-tjenester om at gennemføre og teste beredskabsplaner og indføre it-sikkerhedsforanstaltninger, -værktøjer og -politikker, som giver et passende niveau af sikkerhed for, at den finansielle enhed kan foretage levering af tjenester i overensstemmelse med dens reguleringsramme.
Derudover skal den kontraktlige ordning omfatte en forpligtelse for tredjepartsudbyderen af it-tjenester til at deltage i og fuldt ud samarbejde om den finansielle enheds TLPT som omhandlet i artikel 26 og 27, jf. litra d.
Den kontraktlige ordning skal desuden omfatte retten til løbende at overvåge det præstationsniveau, som tredjepartsudbyderen af it-tjenester leverer for den finansielle enhed, en udpeget tredjeparts og Finanstilsynet. Dette indebærer en uindskrænket ret til adgang, inspektion og revision og ret til at tage kopier af relevant dokumentation på stedet, hvis denne har afgørende betydning for tredjepartsudbyderen af it-tjenesters operationer, hvis faktiske udøvelse ikke hindres eller begrænses af andre kontraktlige ordninger eller gennemførelsespolitikker, jf. litra e, nr. i.
Dernæst fastsætter artikel 30, stk. 3, litra e, nr. ii-iv, retten til at nå til enighed om alternative sikkerhedsniveauer, hvis andre kunders rettigheder påvirkes, forpligtelsen for tredjepartsudbyderen af it-tjenester til fuldt ud at samarbejde under de inspektioner og revisioner på stedet, som de kompetente myndigheder, den ledende tilsynsførende, den finansielle enhed eller en udpeget tredjepart udfører og forpligtelsen til at give nærmere oplysninger om omfanget af, de procedurer, som skal følges, og hyppigheden af sådanne inspektioner og revisioner.
I medfør af artikel 30, stk. 3, litra f, skal den finansielle enhed ved en kontraktlig ordning, sørge for at medtage exitstrategier som indeholder en obligatorisk overgangsperiode. I løbet af denne overgangsperiode skal tredjepartsudbyderen af it-tjenester fortsat levere de respektive funktioner eller it-tjenester med henblik på at mindske risikoen for forstyrrelser i den finansielle enhed eller sikre en effektiv afvikling eller omstrukturering heraf. Exitstrategien skal også give den finansielle enhed mulighed for at migrere til en anden tredjepartsudbyder af it-tjenester eller skifte til interne løsninger, der stemmer overens med den leverede tjenestes kompleksitet.
Ansvarssubjektet er en finansiel enhed. Den strafbare handling består eksempelvis i, at en finansiel enhed, ikke formår at vedtage en exitstrategi i deres kontraktlige ordning som sikrer den finansielle enhed fortsat, får leveret de respektive funktioner af it-tjenester fra tredjepartsudbyderen.
Til nr. 1 (§ 15, stk. 2, i lov om Danmarks Eksport- og Investeringsfond)
Danmarks Eksport- og Investeringsfonden er ikke i dag underlagt særskilte regler om it- og cybersikkerhed, men er som statslig institution forpligtet til at følge ISO 27001. ISO 27001 er en internationalt anerkendt standard, der fastlægger kravene til etablering, implementering, vedligeholdelse og løbende forbedring af et informationssikkerhedsmæssigt ledelsessystem i en organisation.
Det følger af DORA-forordningen, at medlemsstater kan undtage enheder, der er oplistet i artikel 2, stk. 5, nr. 4-23, i direktiv 2013/36/EU. Artikel 2, stk. 5, nr. 5, nævner Eksport Kredit Fonden, det nuværende Danmarks Eksport- og Investeringsfond. DORA-forordningen rummer dermed mulighed for at undtage Danmarks Eksport- og Investeringsfond fra forordningens anvendelsesområde.
Det foreslås at indsætte § 15, stk. 2, hvorefter DORA-forordningen ikke finder anvendelse for Danmarks Eksport- og Investeringsfond og dennes selvstændige offentlige dattervirksomheder og øvrige datterselskaber samt enheder forvaltet af Danmarks Eksport- og Investeringsfond eller Danmarks Eksport- og Investeringsfonds selvstændige offentlige dattervirksomheder.
Baggrunden for at det foreslås at undtage Danmarks Eksport- og Investeringsfond og dennes selvstændige offentlige dattervirksomheder og øvrige datterselskaber samt enheder forvaltet af Danmarks Eksport- og Investeringsfond eller Danmarks Eksport- og Investeringsfonds selvstændige offentlige dattervirksomheder fra DORA-forordningen skal ses i lyset af virksomhedernes særlige status som offentlige finansieringsinstitutter. Danmarks Eksport- og Investeringsfond er en selvstændig offentlig virksomhed under Erhvervsministeriet, hvis formål er at sikre danske virksomheders indgang til risikovillig statslig medfinansiering, og understøtte danske virksomheders mulighed for bl.a. styrket konkurrenceevne og bedre udviklingsmuligheder. Danmarks Eksport- og Investeringsfond løfter dermed en offentlig opgave.
Dertil skal det bemærkes, at Danmarks Eksport- og Investeringsfond ikke driver en selvstændig bank, men benytter sig af bankkonti i forskellige banker. Disse banker er omfattet af DORA-forordningen, og løfter dermed risiciene for it- og cybersikkerheds hændelser.
Til nr. 1 (§ 299 d, stk. 1, nr. 1, i straffeloven)
Den gældende § 299 d, stk. 1, i straffeloven fastsætter fængselsstraf på op til 6 år for den, der under særligt skærpende omstændigheder gør sig skyldig i overtrædelse af et af de oplistede bestemmelser i nr. 1-3.
Den nuværende § 299 d, stk. 1, nr. 1, fastsætter, at med fængsel indtil 6 år straffes den, der under særligt skærpende omstændigheder gør sig skyldig i overtrædelse af artikel 14, litra a og b, eller artikel 15 i Europa-Parlamentets og Rådets forordning (EU) nr. 596/2014 af 16. april 2014 om markedsmisbrug (forordningen om markedsmisbrug).
Artikel 14, litra a og b, og artikel 15 i forordningen om markedsmisbrug fastsætter forbud mod insiderhandel og markedsmanipulation på de finansielle markeder.
Det foreslås at indsætte et nyt § 299 d, stk. 1, nr. 1, hvorefter, den der under særligt skærpende omstændigheder gør sig skyldig i overtrædelse af artikel 89, stk. 2, og artikel 91, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver straffes med fængsel indtil 6 år.
For at sikre tillid til markederne for kryptoaktiver og disse markeders integritet er det nødvendigt at fastsætte bestemmelser, der forbyder handlinger, der er egnede til at svække tilliden til de kryptoaktiver, der optages til handel. Af samme årsager er der behov for, at markedsmisbrug og insiderhandel med kryptoaktiver, der er optaget til handel, begået under særligt skærpende omstændigheder straffes efter en højere strafferamme.
Den foreslåede bestemmelse vil medføre, at de bestemmelser i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver (MiCA), der vedrører markedsmanipulation og insiderhandel kan straffes med fængsel indtil 6 år.
Den foreslåede bestemmelse vil medføre, at strafferammen for markedsmanipulation og insiderhandel på markeder for kryptoaktiver vil være den samme som for markedsmanipulation og insiderhandel på kapitalmarkederne i henhold til den gældende § 299 d, stk. 1, nr. 1.
Artikel 89, stk. 2, i MiCA fastsætter, at ingen må deltage i insiderhandel eller forsøge at deltage i insiderhandel eller anvende intern viden om kryptoaktiver til erhvervelse eller til afhændelse af disse kryptoaktiver hverken direkte eller indirekte og hverken for egen regning eller for tredjeparts regning. Ingen må anbefale, at en anden person deltager i insiderhandel, eller tilskynde en anden person til at deltage i insiderhandel. Den strafbare handling består eksempelvis i, at en person er kommet i besiddelse af intern viden og benytter denne viden til enten at afhænde eller erhverve kryptoaktiver, som den pågældende viden vedrører.
Forbuddet i artikel 89, stk. 2, skal forstås i sammenhæng med artikel 87, der definerer begrebet intern viden. Forbuddet i artikel 89, stk. 2, skal ligeledes forstås i sammenhæng med artikel 89, stk. 1, der fastsætter definitionen på insiderhandel. Forbuddet i artikel 89, stk. 2, skal ligeledes forstås i sammenhæng med artikel 89, stk. 6, der fastsætter, at en fysisk person er omfattet af forbuddet uanset, om det er en juridisk person, der har foretaget insiderhandlen, hvis den fysiske person deltager i beslutningen om at foretage erhvervelse, afhændelse, annullering eller ændring af en handelsordre for den pågældende juridiske persons regning.
Ansvarssubjektet for overtrædelse af artikel 89, stk. 2, er en fysisk eller juridisk person. Det er et krav, at personen er i besiddelse af intern viden i henhold til artikel 89, stk. 5.
Artikel 91, stk. 1, i MiCA fastsætter, at ingen må deltage eller forsøge at deltage i markedsmanipulation. Den strafbare handling består eksempelvis i indgåelse af en transaktion, afgivelse af en handelsordre eller enhver anden adfærd, som giver eller antages at give urigtige eller vildledende signaler om udbuddet af, efterspørgslen efter eller prisen på et kryptoaktiv.
Artikel 91, stk. 1, skal forstås i sammenhæng med artikel 91, stk. 2 og 3, der fastsætter hvilke aktiviteter, der udgør markedsmanipulation i henhold til forordningen.
Ansvarssubjektet for overtrædelse af artikel 91, stk. 1, er en fysisk eller juridisk person.
Til nr. 1 (§ 806, stk. 7, 1. pkt., i retsplejeloven)
Det følger af § 806, stk. 7, 1. pkt., i retsplejeloven, at politiet kan træffe afgørelser om pålæg om edition af oplysninger om transaktioner, konti, depoter, bokse el.lign. fra virksomheder eller personer, der er omfattet af § 1, stk. 1, nr. 1-12 eller 18-26, i lov om forebyggende foranstaltninger mod hvidvask af udbytte og finansiering af terrorisme (hvidvaskloven).
Bestemmelsen fastsætter politiets mulighed for at træffe afgørelser om edition med henblik på at indhente oplysninger om konti, transaktioner m.v. fra visse finansielle virksomheder.
Det foreslås i § 806, stk. 7, 1. pkt., i retsplejeloven, at ændre »§ 1, stk. 1, nr. 1-12 eller 18-26« til: »§ 1, stk. 1, nr. 12 eller 18-22«.
Den foreslåede ændring er en konsekvensændring som følge af de foreslåede ændringer til hvidvasklovens § 1, stk. 1, i lovforslagets § 7, nr. 1.
Forslaget indebærer ikke en ændring af, hvilke virksomheder eller personer politiet kan træffe afgørelse om pålæg af edition af oplysninger om transaktioner, konti, depoter, bokse el.lign. overfor.
For yderligere om politiets anvendelse af beføjelsen, herunder hvilke regler der skal tages højde for, henvises til bemærkningerne til § 806, stk. 7, jf. Folketingstidende 2020-21, tillæg A, L 132 som fremsat, side 17-19.
Det foreslås i stk. 1, at loven træder i kraft den 1. juli 2024, jf. dog stk. 2-5.
Det foreslås i stk. 2, at § 1, stk. 14, i lov om finansiel virksomhed, som affattet ved denne lovs § 1, nr. 4, §§ 332, 332 a, 332 b og 332 d i lov om finansiel virksomhed, som affattet ved denne lovs § 1, nr. 28, § 1, nr. 49 og 50, § 2, nr. 24 og 25, § 211, stk. 2, nr. 15, som affattet ved denne lovs § 3, nr. 17, og § 5, nr. 8 og nr. 9, træder i kraft den 30. juni 2024t.
Den foreslåede bestemmelse er en fravigelse fra de fælles ikrafttrædelser for erhvervsrettet regulering. Fravigelsen er nødvendig for at sikre korrekt supplering af MiCA afsnit III og IV.
Den foreslåede bestemmelse vil medføre, at de oplistede bestemmelser, der indeholder regler, der supplerer bestemmelser i afsnit III og IV i MiCA, træder i kraft den 30. juni 2024, når afsnit III og IV i MiCA finder anvendelse.
Det foreslås i stk. 3, at § 1, nr. 8, 19, 27, afsnit IX c i lov om finansiel virksomhed, som affattet ved denne lovs § 1, nr. 28, samt § 1, nr. 29, 39, og § 3, nr. 2, 3 og 19, § 8, nr. 2, 3, 4 og 9, træder i kraft den 18. oktober 2024.
Den foreslåede bestemmelse er en fravigelse fra de fælles ikrafttrædelser for erhvervsrettet regulering. Fravigelsen er nødvendig for at sikre korrekt supplering af NIS 2-direktivet.
Det foreslåede vil medføre, at afsnit IX c, der fastsætter regler, der til dels implementerer NIS 2-direktivet vil træde i kraft samtidig med, at NIS 2-direktivet skal være implementeret i dansk ret, jf. artikel 41, stk. 1, i NIS 2-direktivet.
Det foreslåede vil ligeledes medføre, at ophævelser af bestemmelser, der gennemfører det oprindelige NIS-direktiv fra 2016, træder i kraft på samme tidspunkt.
Det foreslås i stk. 4, at §§ 332 c, 332 e-332 h i lov om finansiel virksomhed, som affattet ved denne lovs § 1, nr. 28, samt § 1, nr. 43, § 251 b i lov om kapitalmarkeder, som affattet ved denne lovs § 3, nr. 22, § 275, stk. 1, nr. 9, som affattet ved denne lovs § 4, nr. 17, samt §§ 7, 14 og 15, træder i kraft den 30. december 2024.
Den foreslåede bestemmelse er en fravigelse fra de fælles ikrafttrædelser for erhvervsrettet regulering. Fravigelsen er nødvendig for at sikre korrekt supplering af MiCA.
Lovforslagets § 1, nr. 43, og § 7 implementerer ændringer til 4. hvidvaskdirektiv, jf. artikel 38 i den omarbejdede pengeoverførselsforordning. Den forslåede bestemmelse medfører, at ændringerne træder i kraft samme dato som den omarbejdede pengeoverførselsforordning finder anvendelse, jf. forordningens artikel 40, stk. 2.
Det foreslåede vil ligeledes medføre, at §§ 332, 332 a og 332 d i lov om finansiel virksomhed, der foreslås affattet ved lovforslagets § 1, nr. 28, der supplerer MiCA, træder i kraft samme dato som MiCA finder anvendelse, for så vidt angår regler som ovennævnte bestemmelser supplerer, jf. artikel 149, stk. 2, i MiCA.
Det foreslås i stk. 5, at § 1, stk. 14, i lov om finansiel virksomhed, som affattet ved denne lovs § 1, nr. 4, § 1, nr. 7, 9 og 10, § 2, nr. 1 og 3-14, § 3, nr. 5-9 og 12-14, § 211, stk. 2, nr. 16, som affattet ved denne lovs § 3, nr. 17, § 251 c i lov om kapitalmarkeder, som affattet ved denne lovs § 3, nr. 22, § 4, nr. 1 og 4, § 275, stk. 1, nr. 10, som affattet ved denne lovs § 4, nr. 17, § 5, nr. 1 og 3, § 6, nr. 9, § 8, nr. 12, 14-18, samt §§ 9 og 11-13, træder i kraft den 17. januar 2025.
Den foreslåede bestemmelse er en fravigelse fra de fælles ikrafttrædelser for erhvervsrettet regulering. Fravigelsen er nødvendig for at sikre korrekt supplering af DORA-forordningen.
Den foreslåede bestemmelse vil medføre, at bestemmelser, der supplerer DORA-forordningen eller Europa-Parlamentets og Rådets direktiv (EU) 2022/2556 af 14. december 2022, der er et følgedirektiv til DORA-forordningen vil træde i kraft den 17. januar 2025, hvilket er i overensstemmelse med hhv. anvendelsesdatoen i DORA, jf. forordningens artikel 64 og implementeringsfristen, jf. direktivets artikel 9, stk. 1.
Det foreslås i stk. 6, at § 332 c, stk. 1, i lov om finansiel virksomhed som affattet ved denne lovs § 1, nr. 28, finder ikke anvendelse for udbydere af kryptoaktivtjenester, der inden den 30. december 2024 udbyder kryptoaktivtjenester her i landet, og som senest den 30. december 2024 indgiver tilladelse jf. § 332 c, stk. 1, som affattet ved denne lovs § 1, nr. 28. Sådanne udbydere kan fortsætte med at udbyde kryptoaktivtjenester i 18 måneder efter den 30. december 2024, medmindre udbyderen i denne periode får afslag eller tilladelse fra Finanstilsynet jf. § 332 c, stk. 1, i lov om finansiel virksomhed som affattet ved denne lovs § 1, nr. 28.
Det foreslåede vil medføre, at udbydere af kryptoaktivtjenester, der inden den 30. december 2024 udbyder kryptoaktivtjenester, som ikke har tilladelse til at udbyde kryptoaktivtjenester, fortsat kan udbyde kryptoaktivtjenester her i landet efter MiCA har fundet anvendelse den 30. december 2024 uden en tilladelse i op til 18 måneder eller indtil virksomheden er meddelt tilladelse eller afslag i henhold til § 332 b, stk. 1, såfremt virksomheden har indsendt en ansøgning til tilladelse som udbyder af kryptoaktivtjenester til Finanstilsynet senest den 30. december 2024.
Det foreslås i stk. 7, at § 43 h, stk. 1, nr. 5, i lov om firmapensionskasser, som affattet ved denne lovs § 6, nr. 2, finder ikke anvendelse for variable løndele optjent i optjeningsperioder før lovens ikrafttræden, jf. stk. 1. For sådanne variable løndele finder de hidtil gældende regler anvendelse .
Denne foreslåede overgangsbestemmelse vil medføre, at en variabel løndel, der allerede ved lovens ikrafttræden, dvs. den 1. juli 2024, er under optjening eller udskydelse, ikke skal opfylde den foreslåede bestemmelse i § 43 h, skt. 1, nr. 5, i lov om firmapensionskasser som affattet ved denne lovs § 6, nr. 2, men i stedet skal opfylde de gældende udskydelsesregler i § 18, stk. 1, nr. 5, i bekendtgørelse nr. 16 af 4. januar 2019 om lønpolitik og aflønning i forsikringsselskaber, forsikringsholdingvirksomheder og firmapensionskasser. Det vil sige, at mellem mindst 40-60 pct. af en variabel løn til en ansat, hvis aktiviteter har væsentlig indflydelse på virksomhedens risikoprofil, skal udbetales over en periode på minimum tre år, mens udbetalingen af en variabel løn til et medlem af direktionen eller bestyrelsen skal udbetales over en periode på minimum fire år efter de gældende regler.
En variabel løndel, der optjenes i optjeningsperioden efter lovens ikrafttrædelsesperiode, skal udbetales over en periode på minimum fire år for væsentlige risikotagere og fem år for medlemmer af direktion og bestyrelse.
Det foreslås i stk. 8, at § 43 h i lov om firmapensionskasser som affattet ved denne lovs § 6, nr. 2, finder ikke anvendelse for aftaler, der er indgået, genforhandlet, forlænget eller fornyet inden den 4. januar 2019, jf. dog stk. 7. For sådanne aftaler finder de hidtil gældende regler anvendelse.
Det foreslåede vil medføre, at den gældende retstilstand, der i dag gælder for firmapensionskasser i henhold til § 30, stk. 4, i bekendtgørelse nr. 16 af 4. januar 2019 om lønpolitik og aflønning i forsikringsselskaber, forsikringsholdingvirksomheder og firmapensionskasser videreføres. Det indebærer, at de regler om variabel løn, som foreslås indført i § 43 h i lov om firmapensionskasser, som affattet ved denne lovs § 6, nr. 2, og som viderefører reglerne fra § 18 i bekendtgørelse om lønpolitik og aflønning i forsikringsselskaber, forsikringsholdingvirksomheder og firmapensionskasser, fortsat alene vil finde anvendelse på aftaler, der er indgået, genforhandlet, forlænget eller fornyet efter den 4. januar 2019.
Det foreslås i stk. 9, at regler fastsat i medfør af § 199, stk. 12, 2. pkt., i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 1731 af 5. maj 2023, forbliver i kraft, indtil de ophæves eller afløses af forskrifter udstedt i medfør af § 333 p, stk. 1, som affattet ved § 1, nr. 28.
Det foreslåede vil sikre, at bekendtgørelser udstedt i medfør af § 199, stk. 12, 2. pkt., i lov om finansiel virksomhed forbliver i kraft, selvom bestemmelsen ophæves, som følge af denne lovs § 1, nr. 19. Det betyder, at bekendtgørelse nr. 1581 af 22. december 2022 om systemrevisionens gennemførelse i fælles datacentraler m.fl. fortsat vil være gældende indtil de ophæves eller afløses af forskrifter udstedt i medfør af § 333 p, stk. 1.
Det foreslås i stk. 10, at § 333 c, § 333 g, stk. 3, og § 333 k, stk. 1, 2. pkt., i lov om finansiel virksomhed, som affattet ved denne lovs § 1, nr. 28, finder anvendelse fra den 17. januar 2025.
Den foreslåede bestemmelse vil medføre, at de foreslåede § 333 c, § 333 g, stk. 3, og § 333 k, stk. 1, 2. pkt., først vil finde anvendelse samme tid som DORA-forordningen.
Det foreslås i stk. 11, at § 373, stk. 1, i lov om finansiel virksomhed, som ændret ved denne lovs § 1, nr. 49, alene har virkning for overtrædelser af artikel 14, stk. 3, artikel 59, stk. 1, artikel 60, stk. 1-6, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, og artikel 76, stk. 1, 2 og 5-8, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, efter den 30. december 2024.
Den foreslåede bestemmelse vil medføre, at der vil være overensstemmelse mellem MiCAs ikrafttrædelsesdato, jf. artikel 149, stk. 2, og tidspunktet for virkningen af lovforslagets bestemmelser om straf for overtrædelse af MiCA.
Det foreslås i stk. 12, at § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed, som ændret ved denne lovs § 1, nr. 50, alene har virkning for overtrædelser af artikel 59, stk. 2, 5 og 8, artikel 64, stk. 8, artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 67, stk. 1, 5 og 6, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9, artikel 76, stk. 3, 4 og 9-15, artikel 77, artikel 78, artikel 79, artikel 80, stk. 1-3, artikel 81, stk. 1-14, artikel 82, stk. 1, artikel 83, stk. 1 og 2, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, efter den 30. december 2024.
Den foreslåede bestemmelse vil medføre, at der vil være overensstemmelse mellem MiCAs ikrafttrædelsesdato, jf. artikel 149, stk. 2, og tidspunktet for virkningen af lovforslagets bestemmelser om straf for overtrædelse af MiCA.
Det foreslås i stk. 13, at § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed, som ændret ved denne lovs § 1, nr. 50, alene har virkning for overtrædelser af artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed, efter den 17. januar 2025
Den foreslåede bestemmelse vil medføre, at der vil være overensstemmelse mellem DORA-forordningens ikrafttrædelsesdato, jf. artikel 64, og tidspunktet for virkningen af lovforslagets bestemmelser om straf for overtrædelse af DORA.
Det foreslås i stk. 14, at § 152, stk. 1, i lov om betalinger, som ændret ved denne lovs § 2, nr. 25, alene har virkning for overtrædelser af artikel 59, stk. 1, artikel 60, stk. 4, artikel 67, stk. 4, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, efter den 30. december 2024.
Den foreslåede bestemmelse vil medføre, at der vil være overensstemmelse mellem MiCAs ikrafttrædelsesdato, jf. artikel 149, stk. 2, og tidspunktet for virkningen af lovforslagets bestemmelser om straf for overtrædelse af MiCA.
Det foreslås i stk. 15, at § 152, stk. 2, i lov om betalinger, som ændret ved denne lovs § 2, nr. 25, har alene virkning for overtrædelser af artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9 og artikel 82, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, efter den 30. december 2024.
Den foreslåede bestemmelse vil medføre, at der vil være overensstemmelse mellem MiCAs ikrafttrædelsesdato, jf. artikel 149, stk. 2, og tidspunktet for virkningen af lovforslagets bestemmelser om straf for overtrædelse af MiCA.
Det foreslås i stk. 16, at § 190, stk. 2, I lov om forvaltere af alternative investeringsfonde m.v., som ændret ved denne lovs § 5, nr. 9, har alene virkning for overtrædelser af artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, efter den 17. januar 2025.
Den foreslåede bestemmelse vil medføre, at der vil være overensstemmelse mellem DORA-forordningens ikrafttrædelsesdato, jf. artikel 64, og tidspunktet for virkningen af lovforslagets bestemmelser om straf for overtrædelse af DORA.
Det foreslås i stk. 1, at loven ikke gælder for Færøerne og Grønland, jf. dog stk. 2 og 3.
Det foreslås i stk. 2, at lovens §§ 1-10 og 12 ved kongelig anordning helt eller delvis kan sættes i kraft for Grønland med de ændringer, som de grønlandske forhold tilsiger.
Det følger generelt af lovene på det finansielle område, at lovene ikke gælder for Grønland, men at lovene ved kongelig anordning kan sættes helt eller delvis i kraft for Grønland med de ændringer, som de grønlandske forhold tilsiger.
Lov om Kreditforeningen af kommuner og regioner i Danmark samt lov om Danmarks Eksport- og Investeringsfond gælder dog ikke i Grønland. Lovforslagets § 11 og 13 skal derfor ikke kunne sættes i kraft for Grønland.
Ændringerne til straffeloven gælder ikke for Grønland. Det skyldes, at der for Grønland gælder en særlig kriminallov. Lovforslagets § 14 skal derfor ikke kunne sættes i kraft for Grønland.
Grønland har sin egen retsplejelov. Lovforslagets § 15 skal derfor ikke kunne sættes i kraft for Grønland.
Lov nr. 453 af 10. juni 2003 om finansiel virksomhed er anordnet på Grønland ved kongelig anordning nr. 1252 af 15. december 2004.
Lov nr. 651 af 8. juni 2017 om forebyggende foranstaltninger mod hvidvask og finansiering af terrorisme (hvidvaskloven) er sat i kraft for Grønland ved kongelig anordning nr. 812 af 12. august 2019.
Det foreslås i stk. 3, at §§ 1-5, 7 og 12 ved kongelig anordning helt eller delvis kan sættes i kraft for Færøerne med de ændringer, som de færøske forhold tilsiger.
Det følger af lovene på det finansielle område, at lovene ikke gælder for Færøerne, men at lovene ved kongelig anordning kan sættes helt eller delvis i kraft for Færøerne med de ændringer, som de færøske forhold tilsiger.
Lovforslagets §§ 6, 8, 9 og 10 skal dog ikke kunne sættes i kraft for Færøerne, da forsikringsområdet på Færøerne er overtaget og dermed reguleres af færøske love. Lov om firmapensionskasser, lov om forsikringsvirksomhed og lov om en garantifond for skadesforsikringsselskaber gælder derfor ikke for Færøerne og indeholder ikke en anordningshjemmel.
Lov om Kreditforeningen af kommuner og regioner i Danmark samt lov om Danmarks Eksport- og Investeringsfond gælder ligeledes ikke i Færøerne. Lovforslagets § 11 og 13 skal derfor ikke kunne sættes i kraft for Færøerne.
Ændringerne til straffeloven gælder ikke for Færøerne. Det skyldes, at Færøerne den 1. marts 2010 overtog lovgivningskompetencen på det strafferetlige område. Lovforslagets § 14 skal derfor ikke kunne sættes i kraft for Færøerne.
Færøerne har sin egen retsplejelov. Lovforslagets § 15 skal derfor ikke kunne sættes i kraft for Færøerne.
Lov nr. 453 af 10. juni 2003 om finansiel virksomhed er anordnet på Færøerne ved kongelig anordning nr. 86 af 10. februar 2006.
Lov nr. 652 af 8. juni 2017 om betalinger er sat i kraft på Færøerne ved kongelig anordning nr. 1223 af 11. juni 2021.
Lov nr. 651 af 8. juni 2017 om forebyggende foranstaltninger mod hvidvask og finansiering af terrorisme (hvidvaskloven) er sat i kraft for Færøerne ved kongelig anordning nr. 813 af 16. august 2019.
Gældende formulering Lovforslaget § 1 I lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 1731 af 5. december 2023, som ændret ved § 335 i lov nr. 718 af 13. juni 2023, § 44 i lov nr. 1534 af 12. december 2023 og § 1 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer: Lov om finansiel virksomhed Fodnoten. Loven indeholder bestemmelser, der gennemfører Rådets direktiv 86/635/EØF af 8. december 1986 (bankregnskabsdirektivet), EF-Tidende 1986, nr. L 372, side 1, Rådets direktiv 89/117/EØF af 13. februar 1989 (offentliggørelse af årsregnskabsdokumenter for filialer fra ikkemedlemslande), EF-Tidende 1989, nr. L 44, side 40, Rådets direktiv 91/674/EØF af 19. december 1991 (forsikringsregnskabsdirektivet), EF-Tidende 1991, nr. L 374, side 7, Europa-Parlamentets og Rådets direktiv 95/26/EF af 29. juni 1995 (BCCI-direktivet), EF-Tidende 1995, nr. L 168, side 7, Europa-Parlamentets og Rådets direktiv 2001/24/EF af 4. april 2001 (likvidationsdirektivet for kreditinstitutter), EF-Tidende 2001, nr. L 125, side 15, Europa-Parlamentets og Rådets direktiv 2002/13/EF af 5. marts 2002 (Solvens I-direktivet), EF-Tidende 2002, nr. L 77, side 17, Europa-Parlamentets og Rådets direktiv 2002/87/EF af 16. december 2002 (konglomeratdirektivet), EU-Tidende 2003, nr. L 35, side 1, dele af Europa-Parlamentets og Rådets direktiv 2006/31/EF af 5. april 2006 (udsættelsesdirektivet), EU-Tidende 2006, nr. L 114, side 60, Europa-Parlamentets og Rådets direktiv 2007/44/EF af 5. september 2007 (kapitalandelsdirektivet), EU-Tidende 2007, nr. L 247, side 1, dele af Europa-Parlamentets og Rådets direktiv 2007/64/EF af 13. november 2007 (betalingstjenestedirektivet), EU-Tidende 2007, nr. L 319, side 1, dele af Europa-Parlamentets og Rådets direktiv 2009/65/EF af 13. juli 2009 (UCITS-direktivet), EU-Tidende 2009, nr. L 302, side 32, dele af Europa-Parlamentets og Rådets direktiv 2009/138/EF af 25. november 2009 (Solvens II-direktivet), EU-Tidende 2009, nr. L 335, side 1, Kommissionens direktiv 2010/43/EU af 1. juli 2010, EU-Tidende 2010, nr. L 176, side 42, dele af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 (CRD IV), EU-Tidende 2013, nr. L 176, side 338, dele af Europa-Parlamentets og Rådets direktiv 2014/49/EU af 16. april 2014 (DGSD), EU-Tidende 2014, nr. L 173, side 149, dele af Europa-Parlamentets og Rådets direktiv 2014/50/EU af 16. april 2014, EU-Tidende 2014, nr. L 128, side 1, dele af Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 (MiFID II), EU-Tidende 2014, nr. L 173, side 349, dele af Europa-Parlamentets og Rådets direktiv 2014/91/EU af 23. juli 2014 (UCITS V-direktivet), EU-Tidende 2014, nr. L 257, side 186, dele af Europa-Parlamentets og Rådets direktiv 2015/849/EU af 20. maj 2015 (4. hvidvaskdirektiv), EU-Tidende 2015, nr. L 141, side 73, dele af Europa-Parlamentets og Rådets direktiv 2018/843/EU af 30. maj 2018, EU-Tidende 2018, nr. L 156, side 43, dele af Europa-Parlamentets og Rådets direktiv 2016/97/EU af 20. januar 2016, EU-Tidende 2016, nr. L 26, side 19, dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 (NIS-direktivet), EU-Tidende 2016, nr. L 194, side 1, dele af Europa-Parlamentets og Rådets direktiv 2017/828/EU af 17. maj 2017, EU-Tidende 2017, nr. L 132, side 1, dele af Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296, dele af Europa-Parlamentets og Rådets direktiv 2017/828/EU af 17. maj 2017, EU-Tidende 2017, nr. L 132, side 1, dele af Europa-Parlamentets og Rådets direktiv 2019/1160/EU af 20. juni 2019, EU-Tidende 2019, nr. L 188, side 106, dele af Europa-Parlamentets og Rådets direktiv (EU) 2019/2162 af 27. november 2019 om udstedelse af dækkede obligationer og offentligt tilsyn med dækkede obligationer og om ændring af direktiv 2009/65/EF og 2014/59/EU, EU-Tidende 2019, nr. L 328, side 29, og dele af Kommissionens delegerede direktiv (EU) 2021/1270 af 21. april 2021 om ændring af direktiv 2010/43/EU for så vidt angår de bæredygtighedsrisici og bæredygtighedsfaktorer, der skal tages hensyn til i forbindelse med institutter for kollektiv investering i værdipapirer (investeringsinstitutter), EU-Tidende 2021, nr. L 277, side 141. Ifølge artikel 288 i EUF-traktaten gælder en forordning umiddelbart i hver medlemsstat. Gengivelsen af disse bestemmelser i loven er således udelukkende begrundet i praktiske hensyn og berører ikke forordningernes umiddelbare gyldighed i Danmark. 1. I fodnoten til lovens titel 1. pkt. udgår »dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 (NIS-direktivet), EU-Tidende 2016, nr. L 194, side 1,«, »og dele af Kommissionens delegerede direktiv (EU) 2021/1270 af 21. april 2021 om ændring af direktiv 2010/43/EU for så vidt angår de bæredygtighedsrisici og bæredygtighedsfaktorer, der skal tages hensyn til i forbindelse med institutter for kollektiv investering i værdipapirer (investeringsinstitutter), EU-Tidende 2021, nr. L 277, side 141« ændres til: », dele af Kommissionens delegerede direktiv (EU) 2021/1270 af 21. april 2021 om ændring af direktiv 2010/43/EU for så vidt angår de bæredygtighedsrisici og bæredygtighedsfaktorer, der skal tages hensyn til i forbindelse med institutter for kollektiv investering i værdipapirer (investeringsinstitutter), EU-Tidende 2021, nr. L 277, side 141, dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 om foranstaltninger til sikring af et føjt fælles cybersikkerhedsniveau i hele Unionen, EU-Tidende 2022, nr. L 333, side 80-152, og dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2556 af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«, i 2. pkt., ændres »84, og« til: »84,«, og efter »L 352, side 1« indsættes: »Europa-Parlamentets og Rådets forordning (EU) 2013/1114 af 31. maj 2023 om markeder for kryptoaktiver«. § 1. --- Stk. 2 og 3. --- Stk. 4. For filialer her i landet af udenlandske virksomheder, der er meddelt tilladelse til at udøve den i §§ 7-10 a nævnte virksomhed i et land inden for Den Europæiske Union eller et land, som Unionen har indgået aftale med10 på det finansielle område, finder §§ 6, 6 a, 6 b, 30, 32, 43, 43 b, 47-48 a, 50-54, 344 og 345, § 347, stk. 1-3, 5 og 7, §§ 347 b, 347 c og 348, § 352, stk. 2, §§ 354 a, 354 b, 360, 363 a, 368-370 og §§ 373-374 anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. 11 For filialer her i landet af kreditinstitutter finder § 152 a, stk. 4, 2. pkt., og § 307 a, stk. 1, 1. pkt., anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. For filialer her i landet af en udenlandsk virksomhed, der er meddelt tilladelse til at udøve den i §§ 7-10 a nævnte virksomhed i et andet land inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, finder § 347 a endvidere anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. For filialer og tilknyttede agenter her i landet af kreditinstitutter, der er meddelt tilladelse til at yde investeringsservice eller udføre investeringsaktiviteter i et andet land inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, og som udfører sådan aktivitet her i landet, finder §§ 30, 32, 344 og 345, § 347, stk. 1-3, 5 og 7, §§ 348, 354 a og 354 b og § 363 b, stk. 1 og 2,12 anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. § 43 og regler udstedt i medfør heraf13 gælder tilsvarende for situationer som nævnt i 4. pkt. 2. I § 1, stk. 4, 2. pkt., udgår »og § 307 a, stk. 1, 1. pkt.,«. Stk. 5-9. --- Stk. 10. Kapitel 20 c finder anvendelse på fælles datacentraler. 3. § 1, stk. 10, ophæves.Stk. 11-18 bliver herefter stk. 10-17. Stk. 11-13. --- 4. I § 1 indsættes efter stk. 13 som nye stykker:»Stk. 14. Kapitel 19 b finder anvendelse på fysiske og juridiske personer og andre virksomheder, der er involveret i udstedelse, udbud til offentligheden og optagelse af kryptoaktiver til handel, eller som leverer tjenesteydelser i forbindelse med kryptoaktiver.Stk. 15. Kapitel 19 c finder anvendelse på operatører af finansiel digital infrastruktur.«Stk. 14-18 bliver herefter stk. 16-20. Stk. 14-18. --- § 10. Virksomheder skal have tilladelse som investeringsforvaltningsselskab for at udføre den daglige ledelse af investeringsforeninger og administrere andre UCITS, jf. bilag 6. Investeringsforvaltningsselskaber må i øvrigt kun udføre virksomhed som nævnt i stk. 2, § 10 a og § 28. 5. I § 10, stk. 1, 2. pkt., ændres »§ 10 a og § 28« til: »§§ 10 a, 10 b og 28«. Stk. 2-7. --- 6. Efter § 10 a indsættes:»§ 10 b. Et investeringsforvaltningsselskab kan levere tjenester med kryptoaktiver som angivet i artikel 60, stk. 5, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, svarende til de tjenester, som det er meddelt tilladelse til i henhold til § 10, hvis selskabet giver Finanstilsynet meddelelse mindst 40 arbejdsdage, inden disse tjenester leveres første gang. Meddelelsen skal ledsages af de oplysninger, der er anført i artikel 60, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.« § 71. En finansiel virksomhed og en finansiel holdingvirksomhed skal have effektive former for virksomhedsstyring, herunder 1-7) --- 8)betryggende kontrol- og sikringsforanstaltninger på it-området og 7. I § 71, stk. 1, nr. 8, indsættes efter »it-området«: »og for net- og informationssystemer, som oprettes og styres i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 om digital operationel modstandsdygtighed i den finansielle sektor«. 9) --- Stk. 2. --- Stk. 3. Finanstilsynet kan fastsætte nærmere regler om de foranstaltninger, som en finansiel virksomhed og en finansiel holdingvirksomhed skal træffe for at have effektive former for virksomhedsstyring, jf. stk. 1 og 2. Finanstilsynet kan desuden fastsætte nærmere regler om hændelsesrapportering for de virksomheder, der udpeges som operatører af væsentlige tjenester i medfør af § 307 a, herunder om, at Finanstilsynet og Center for Cybersikkerhed underrettes ved en hændelse, der har en negativ indvirkning på sikkerheden i virksomhedens net- og informationssystemer. 8. § 71, stk. 3, 2. pkt., ophæves. § 72 a. Pengeinstitutter, sparevirksomheder, realkreditinstitutter og investeringsforvaltningsselskaber kan outsource en proces, en tjenesteydelse eller en aktivitet, som virksomheden ellers selv ville udføre, til en leverandør. 9. I § 72 a, stk. 1, indsættes som 2. pkt.:»1. pkt. finder ikke anvendelse for outsourcing på det digitale operationelle område.« Stk. 2 og 3. --- § 72 c. Regler fastsat i medfør af § 72 a, stk. 3, gælder ikke for virksomhedernes autentifikation af brugere ved anvendelse af MitID-løsningen, jf. lov om MitID og NemLog-in. 10. § 72 c ophæves. § 80. --- Stk. 2-4. --- Stk. 5. Det i stk. 4 anførte eksponeringsforbud finder ikke anvendelse i forbindelse med deltagelse i bestyrelserne for Danmarks Skibskredit A/S, Banker og Sparekassers Ungdomskontakt, LR Realkredit A/S, Bornholms Erhvervsfond, Grønlandsbanken A/S, regulerede markeder, clearingcentraler, værdipapircentraler, NASDAQ OMX Stockholm AB, NASDAQ OMX Helsinki Oy, IFU – Investeringsfonden for Udviklingslande, IØ – Investeringsfonden for Østlandene, Landbrugets FinansieringsBank A/S, Bankernes Kontantservice A/S, Fundcollect A/S, Fundconnect A/S og DLR Kredit A/S. 11. I § 80, stk. 5, udgår »Landbrugets FinansieringsBank A/S,«. Stk. 6-9. --- § 124. --- Stk. 2. Et pengeinstituts og et realkreditinstituts bestyrelse og direktion skal på baggrund af vurderingen efter stk. 1 opgøre instituttets individuelle solvensbehov. Solvensbehovet opgøres som det tilstrækkelige kapitalgrundlag i procent af den samlede risikoeksponering. Solvensbehovet kan ikke være mindre end kapitalgrundlagskravet efter artikel 92, stk. 1, litra c, og minimumskapitalkravet i artikel 93 i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter. 12. I § 124, stk. 2, indsættes efter 2. pkt. som nyt punktum:»Den del af solvensbehovet, der vedrører risiko for overdreven gearing, opgøres i procent af den samlede ikke-risikovægtede eksponering.«13. I § 124, stk. 2, 3. pkt., der bliver 4. pkt., indsættes efter »i artikel 93«: »eller gearingsgradskravet efter artikel 92, stk. 1, litra d,«. Stk. 3. Finanstilsynet kan individuelt fastsætte et højere krav til kapitalgrundlaget i form af et tillæg til kapitalgrundlagskravet, der fremgår af artikel 92, stk. 1, litra c, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter. Dette individuelle solvenskrav er udtryk for Finanstilsynets vurdering af instituttets tilstrækkelige kapitalgrundlag i procent af den samlede risikoeksponering. 14. I § 124, stk. 3, 1. pkt., indsættes efter: »92, stk. 1, litra c,«: »eller til gearingsgradskravet, der fremgår af artikel 92, stk. 1, litra d,«, og i 2. pkt. indsættes efter »samlede risikoeksponering«: »og i procent af den ikke-risikovægtede eksponering, hvis solvenskravet vedrører risiko for overdreven gearing«. Stk. 4-8. --- § 124 a. Finanstilsynet fastsætter årligt et vejledende niveau af yderligere kapitalgrundlag for de individuelle kreditinstitutter og meddeler dette til kreditinstitutterne. Det vejledende niveau af yderligere kapitalgrundlag baseres på en tilsynsmæssig stresstest og opgøres i procent af den samlede risikoeksponering. 15. I § 124 a, stk. 1, 1. pkt., ændres: »meddeler« til: »informerer«.16. I § 124 a, stk. 1, 2. pkt., indsættes efter: »risikoeksponering«: »og i procent af den samlede ikke-risikovægtede eksponering«.Stk. 2. --- Stk. 3. Den del af det vejledende niveau af yderligere kapitalgrundlag, som er fastsat for at tage højde for risikoen for overdreven gearing, skal opfyldes med egentlig kernekapital ud over den egentlige kernekapital, som opretholdes for at opfylde 17. I § 124 a, stk. 3, udgår »egentlig« og »egentlige«. 1-3) --- Stk. 4. --- § 125 d. Et pengeinstitut og et realkreditinstitut, der ikke opfylder det kombinerede kapitalbufferkrav, jf. § 125 a, stk. 1, og som har til hensigt at foretage en handling, der er omfattet af § 125 b, stk. 3, nr. 1-3, skal straks give Finanstilsynet meddelelse herom og oplyse: 18. I § 125 d, stk. 1, indsættes efter »§ 125 a, stk. 1,«: »eller gearingsgradbufferkravet, jf. artikel 92 stk. 1, litra a, jf. Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, hvis gearingsgradsbufferkravet finder anvendelse,«, og »§ 125 b, stk. 3,« ændres til: »§ 125 b, stk. 5,«. 1-4) --- Stk. 2. --- § 199. --- Stk. 2-11. --- Stk. 12. Finanstilsynet fastsætter bestemmelser om revisionens gennemførelse i finansielle virksomheder, i finansielle holdingvirksomheder og i sådanne virksomheders dattervirksomheder. Herunder kan Finanstilsynet fastsætte bestemmelser om intern revision og om systemrevisionens gennemførelse i fælles datacentraler. 19. § 199, stk. 12, 2. pkt., ophæves. Stk. 13. --- § 224. Finanstilsynet kan endvidere inddrage tilladelsen til at drive virksomhed som pengeinstitut, realkreditinstitut og investeringsforvaltningsselskab, 1)hvis den finansielle virksomhed gør sig skyldig i grove eller gentagne overtrædelser af denne lov, hvidvaskloven, lov om kapitalmarkeder eller lov om realkreditlån og realkreditobligationer m.v., regler udstedt i medfør af disse love, Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, forordninger og regler udstedt i medfør af Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber eller Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter, 20. I § 224, stk. 1, nr. 1, indsættes efter »om markeder for finansielle instrumenter«: »eller Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«. 2-5) --- Stk. 2-6. --- Stk. 7. Virksomheder, der har tilladelse til at drive både livsforsikringsvirksomhed og skadesforsikringsvirksomhed i samme selskab, jf. § 11, stk. 12, kan få inddraget deres tilladelse for henholdsvis livsforsikringsvirksomheden og skadesforsikringsvirksomheden særskilt. 21. § 224, stk. 7, ophæves. § 269 a. --- Stk. 2. --- Stk. 3. I vurderingen af, om Finanstilsynet skal begrænse virksomhedens udlodning til det maksimale udlodningsbeløb, skal Finanstilsynet tage hensyn til følgende: 1) --- 2)Udviklingen i virksomhedens økonomiske situation og sandsynligheden for, at virksomheden inden for en overskuelig fremtid opfylder betingelserne for afvikling. 22. I § 269 a, stk. 3, nr. 2, ændres »opfylder betingelserne for afvikling« til: »bliver nødlidende eller forventeligt nødlidende, jf. § 224 a«. 3-5) --- Stk. 4-7. --- § 272. --- Stk. 2-7. --- 23. I § 272 indsættes som stk. 8 og 9:»Stk. 8. Kapitalejere og kreditorer, hvis krav er blevet nedskrevet eller konverteret i henhold til stk. 1, må ikke lide større tab end ved konkursbehandling af pengeinstituttet eller realkreditinstituttet under afvikling.Stk. 9. Finanstilsynets vurdering efter stk. 8 foretages på baggrund af værdiansættelsen i § 8 i lov om restrukturering og afvikling af visse finansielle virksomheder. Værdiansættelsen foretages af Finansiel Stabilitet efter anmodning fra Finanstilsynet. Konstateres det, at en kapitalejer eller kreditor, herunder Garantiformuen, har lidt større tab, end den ville have gjort ved konkursbehandling af pengeinstituttet eller realkreditinstituttet, betales forskellen af Afviklingsformuen, jf. kapitel 11 i lov om restrukturering og afvikling af visse finansielle virksomheder.« § 274. --- Stk. 2. --- Stk. 3. Stk. 1 finder ikke anvendelse, hvis forpligtelsen er undtaget fra bail-in, jf. § 25, stk. 3, i lov om restrukturering og afvikling af visse finansielle virksomheder, eller hvis forpligtelsen er et berettiget indskud, jf. § 2, nr. 7, i lov om restrukturering og afvikling af visse finansielle virksomheder. 24. § 274, stk. 3, affattes således:»Stk. 3. Stk. 1 finder ikke anvendelse, hvis1) forpligtelsen er undtaget fra bail-in, jf. § 25, stk. 3, i lov om restrukturering og afvikling af visse finansielle virksomheder,2) forpligtelsen er en del af et berettiget indskud fra fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, jf. § 2, nr. 19, i lov om restrukturering og afvikling af visse finansielle virksomheder, og overstiger beløbsgrænsen for dækkede indskud, jf. § 9 i lov om en indskyder- og investorgarantiordning, eller3) forpligtelsen ville være et berettiget indskud fra fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, hvis ikke indskuddet var foretaget gennem filialer af institutter, der er etableret inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, når filialen er beliggende uden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område.« Stk. 4-6. --- § 275. En virksomhed skal underrette Finanstilsynet, hvis det ikke er muligt at opfylde § 274, stk. 1, i forhold til en kontrakt vedrørende en forpligtelse omfattet af konkurslovens § 97. Underretningen skal angive kategorien af forpligtelsen og begrundelsen for, at det ikke er muligt at indføre kontraktbestemmelsen. 25. I § 275, stk. 1, indsættes efter 1. pkt. som nyt punktum:»Dette omfatter dog ikke usikrede obligationer og andre former for omsættelig gæld og instrumenter, der skaber eller anerkender en gæld.«. Stk. 2-7. --- Afsnit VIII a. Identifikation af operatører af væsentlige tjenester. 26. Afsnit VIII a ophæves. Kapitel 18 a. Identifikation af operatører af væsentlige tjenester. § 307 a. Finanstilsynet udpeger mindst hvert andet år de penge- og realkreditinstitutter, der er operatører af væsentlige tjenester. Det samme gælder filialer af kreditinstitutter med hjemsted i et andet land inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område. Stk. 2. Finanstilsynet skal i forbindelse med udpegningen efter stk. 1 lægge vægt på, at 1)de tjenester, der leveres, er væsentlige for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter, 2)leveringen af tjenesten afhænger af net- og informationssystemer og 3)en hændelse vil få væsentlige forstyrrende virkninger for leveringen af tjenesten. Stk. 3. Finanstilsynet offentliggør på sin hjemmeside, hvilke penge- og realkreditinstitutter der er udpeget som operatører af væsentlige tjenester. Stk. 4. Finanstilsynet kan fastsætte nærmere regler om udpegning af operatører af væsentlige tjenester og de kriterier, Finanstilsynet kan lægge vægt på efter stk. 1 og 2. Finanstilsynet udarbejder en liste over tjenester, jf. stk. 2, nr. 1. Afsnit IX a. Offentlig forbrugerinformation. 27. Afsnit IX a ophæves og i stedet indsættes:»Afsnit IX aOffentlig forbrugerinformationKapitel 19 a§ 331. Finanstilsynet fremmer den offentlige forbrugerinformation på det finansielle område.Afsnit IX bMarkeder for kryptoaktiverKapitel 19 bDefinitioner§ 332. I denne lov forstås ved:1) Kryptoaktiv: En digital gengivelse af en værdi eller af en rettighed, som kan overføres og lagres elektronisk ved hjælp af distributed ledger-teknologi eller lignende teknologi.2) Aktivbaseret token: En form for kryptoaktiv, der ikke er en elektronisk pengetoken, og som hævdes at bevare en stabil værdi ved at henvise til en anden værdi eller rettighed eller en kombination heraf, herunder en eller flere officielle valutaer.3) Elektronisk pengetoken eller e-pengetoken: En form for kryptoaktiv, som hævdes at bevare en stabil værdi ved at henvise til værdien af en officiel valuta.4) Udsteder af kryptoaktiver: En fysisk eller juridisk person eller en anden virksomhed, der udsteder kryptoaktiver.5) Udbyder af kryptoaktiver: En fysisk eller juridisk person eller en anden virksomhed, eller udstederen, som udbyder kryptoaktiver til offentligheden.6) Udbyder af kryptoaktivtjenester: En juridisk person eller en anden virksomhed, hvis erhverv eller forretning består i at levere en eller flere kryptoaktivtjenester til kunder på et erhvervsmæssigt grundlag, og som har tilladelse til at levere kryptoaktivtjenester i overensstemmelse med artikel 59 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.7) Kryptoaktivtjeneste: En af nedenstående tjenester og aktiviteter vedrørende ethvert kryptoaktiv:a) Levering af deponering og administration af kryptoaktiver på kunders vegne.b) Drift af en handelsplatform for kryptoaktiver.c) Veksling mellem kryptoaktiver og midler.d) Veksling mellem kryptoaktiver og andre kryptoaktiver.e) Udførelse af ordrer vedrørende kryptoaktiver på vegne af kunder.f) Placering af kryptoaktiver.g) Modtagelse og formidling af ordrer vedrørende kryptoaktiver på vegne af kunder.h) Rådgivning om kryptoaktiver.i) Porteføljepleje i forbindelse med kryptoaktiver.j) Levering af tjenester vedrørende overførsel af kryptoaktiver på vegne af kunder.Tilladelse og underretning§ 332 a. En juridisk person eller anden virksomhed, der udbyder aktivbaserede tokens til offentligheden eller anmoder om optagelse af aktivbaserede tokens til handel i EU, skal være udsteder af disse aktivbaserede tokens og have tilladelse af Finanstilsynet i overensstemmelse med artikel 21, jf. artikel 16, stk. 1, litra a, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, jf. dog stk. 2 og 3.Stk. 2. Stk. 1 finder ikke anvendelse på et pengeinstitut, der opfylder kravene i artikel 17 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.Stk. 3. Stk. 1 finder ikke anvendelse på en udsteder af aktivbaserede tokens, som er undtaget efter artikel 16, stk. 2, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, såfremt udstederen giver meddelelse om en hvidbog om kryptoaktiver i overensstemmelse med artikel 19 i samme forordning, og efter anmodning Fra Finanstilsynet giver meddelelse om enhver markedsføringskommunikation til Finanstilsynet.§ 332 b. En person, der udbyder e-pengetokens til offentligheden eller anmoder om optagelse af e-pengetokens til handel i EU, skal være udsteder af disse, være meddelt tilladelse fra Finanstilsynet som pengeinstitut eller e-pengeinstitut og offentliggøre en hvidbog om kryptoaktiver, som Finanstilsynet er blevet underrettet om i overensstemmelse med artikel 51, jf. artikel 48, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.§ 332 c. En juridisk person eller anden virksomhed, der leverer kryptoaktivtjenester i EU, skal have tilladelse af Finanstilsynet efter artikel 63, jf. artikel 59, stk. 1, litra a, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, jf. dog stk. 2.Stk. 2. Stk. 1 finder ikke anvendelse på et pengeinstitut, en værdipapircentral, et fondsmæglerselskab, en markedsoperatør, et e-pengeinstitut, et investeringsforvaltningsselskab eller en forvalter af alternative investeringsfonde, der har tilladelse til at udbyde tjenester som angivet i artikel 60, stk. 1-6, og som har underrettet Finanstilsynet i henhold til artikel 60, stk. 1-6, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, jf. artikel 59, stk. 1, litra b, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.Inddragelse af tilladelse§ 332 d. Finanstilsynet kan inddrage en tilladelse til en udsteder af aktivbaserede tokens efter artikel 24 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.§ 332 e. Finanstilsynet kan inddrage en tilladelse til en udbyder af kryptoaktivtjenester efter artikel 64 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.Indberetning af oplysninger§ 332 f. En udsteder af aktivbaserede tokens omfattet af § 361, stk. 1, nr. 11, skal senest den 1. juli hvert år indberette summen af udstederens gennemsnitlige udestående til Finanstilsynet, jf. stk. 2.Stk. 2. Gennemsnittet af de udestående aktivbaserede tokens beregnes som den samlede markedsværdi af de udestående aktivbaserede tokens, opgjort på baggrund af det daglige udestående ved udgangen af hver dag i de foregående 6 måneder. Opgørelsen foretages den første dag i hver måned. Har virksomheden ikke gennemført 6 måneders drift på datoen for beregningen, anvendes de eventuelt gennemførte måneder med drift og virksomhedens estimater for de gennemsnitlige udestående aktivbaserede tokens for det kommende år som grundlag for beregningen.§ 332 g. En udbyder af kryptoaktivtjenester omfattet af § 361, stk. 1, nr. 12, skal senest den 1. juli hvert år indberette virksomhedens omkostninger til løn, provision og tantieme til Finanstilsynet.Tilsyn§ 332 h. Finanstilsynet, eller hvor kompetencen til at udøve enkelte beføjelser ved lov er tillagt andre danske myndigheder, kan til brug for tilsyn med overholdelsen af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver udøve de beføjelser, der følger af forordningens artikel 94. Dette inkluderer til enhver tid mod behørig legitimation uden retskendelse at kunne få adgang til lokaler og lokaliteter tilhørende udbydere af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens, og personer, der anmoder om optagelse til handel af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens, udstedere af aktivbaserede tokens, udstedere af e-pengetokens og udbydere af kryptoaktivtjenester, med henblik på indhentelse af oplysninger, herunder ved inspektioner.Afsnit IX cKapitel 19 cOperatører af finansielle digitale infrastrukturerUdpegning af operatører af finansielle digitale infrastrukturer§ 333. Finanstilsynet kan udpege en virksomhed, som operatør af finansiel digital infrastruktur, hvis virksomheden opfylder følgende:1) Virksomheden udbyder digital infrastruktur eller forvalter it-tjenester, som nævnt i bilag I, pkt. 8 og 9, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen.2) Virksomhedens væsentligste aktiviteter består i at drive, administrere eller udvikle tjenester, der er nødvendige for kritiske og vigtige forretningsfunktioner i virksomheder, der er omfattet af Europa-Parlamentets og Rådets forordning (EU) 2022/2254 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, som operatører af finansielle digitale infrastrukturer.Stk. 2. Finanstilsynet skal ved udpegningen af en operatør af finansielle digitale infrastrukturer lægge vægt på følgende:1) Omfanget og antallet af virksomheder i den finansielle sektor som virksomheden varetager kritiske og vigtige opgaver for.2) Karakteren af de kritiske og vigtige funktioner, som er afhængige af virksomhedens leverancer.3) Betydningen af operatørens leverancer for den finansielle stabilitet.4) Virksomhedens tilknytning til de virksomheder i den finansielle sektor, som modtager operatørens ydelser, herunder koncernforbindelser og ejerskab.Stk. 3. It-operatører af detailbetalingssystemer og virksomheder, der udfører væsentlig drift eller udvikling for den fælles betalingsinfrastruktur, kan udpeges som operatører af finansielle digitale infrastrukturer.Stk. 4. Finanstilsynet skal på sin hjemmeside offentliggøre, hvilke virksomheder der er udpeget som operatører af finansielle digitale infrastrukturer.Stk. 5. Finanstilsynet kan fastsætte nærmere regler om udpegning af operatører af finansielle digitale infrastrukturer, herunder de kriterier, som Finanstilsynet skal lægge vægt på efter stk. 1 og 2.Foranstaltninger til styring af it- og cyberrisici§ 333 a. En operatør af finansiel digital infrastruktur skal have en forvaltnings- og kontrolramme, der sikrer en effektiv og forsigtig styring af it- og cyberrisici.Stk. 2. En operatør skal som led i rammen for styring af it- og cyberrisici træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risici for sikkerheden i net- og informationssystemer.Stk. 3. Foranstaltningerne nævnt i stk. 2 skal omfatte følgende:1) politikker for risikoanalyse og informationssystemsikkerhed, jf. § 333 d,2) håndtering af hændelser, jf. § 333 f,3) driftskontinuitet, herunder backup-styring og reetablering efter større hændelser og krisestyring, jf. § 333 e, stk. 7,4) forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem operatøren og dens direkte leverandører eller tjenesteudbydere, jf. §§ 333 h-333 j,5) sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder, jf. § 333 e, stk. 2,6) politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici, jf. § 332, stk. 10, og § 333 g,7) grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse, jf. § 333 b, stk. 7, og § 333 e, stk. 4 og 11,8) politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering,9) personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver, og10) brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i infrastrukturen, hvor det er relevant.Stk. 4. En operatør skal, når den overvejer foranstaltninger nævnt i stk. 3, nr. 4, tage hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder, og den generelle kvalitet af deres leverandørers og tjenesteudbyderes produkter og cybersikkerhedspraksis, herunder sikkerheden i deres udviklingsprocedurer. Ved vurderingen skal operatøren desuden tage hensyn til resultaterne af de koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder, der foretages i overensstemmelse med artikel 22, stk. 1, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, hvor det er relevant, og hvor resultaterne af sådanne vurderinger foreligger.Ledelse og organisation§ 333 b. Det øverste ledelsesorgan i en operatør af finansiel digital infrastruktur skal fastlægge, godkende, føre tilsyn med og har ansvaret for gennemførelsen af operatørens ramme, jf. § 333 a, og foranstaltninger efter § 333 b og ordninger for it- og cyberrisikostyring. Det øverste ledelsesorgan skal godkende en strategi for digital operationel modstandsdygtighed, der gennemfører rammen, jf. § 333 a.Stk. 2. Tilsynet med operatørens styring af sine it- og cyberrisici skal placeres i uafhængige kontrolfunktioner. Operatøren skal sikre adskillelse og uafhængighed mellem it- og cyberrisikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner efter modellen med tre forsvarslinjer eller en intern model for risikostyring og kontrol.Stk. 3. En operatør skal dokumentere og gennemgå rammen efter § 333 a mindst en gang om året, samt når der forekommer større IT- eller cyberhændelser, eller som følge af observationer efter test eller revisioner. Gennemgang efter 1. pkt. skal ligeledes foretages efter anmodning fra Finanstilsynet. Gennemgangen af rammen skal operatøren kunne dokumentere i en samlet rapport.Stk. 4. En operatørs interne revision skal regelmæssigt revidere rammen for styring af it- og cyberrisici. Den interne revision skal have tilstrækkelig viden, faglig kompetence og ekspertise til udførelsen af denne opgave.Stk. 5. En operatør skal oprette en funktion med henblik på overvågning af ordninger, der er indgået med tredjepartsudbydere om it-ydelser, eller udpege et direktionsmedlem som ansvarlig for tilsyn og dokumentation i forbindelse med eksponering for it- og cyberrisici fra tredjepartsudbydere.Stk. 6. En operatør skal oprette en funktion til krisestyring, som skal håndtere større it- og cyberhændelser, medfører aktivering af beredskabsplaner, forretningskontinuitetsplaner eller genopretningsplaner. Krisestyringsfunktionen har ansvaret for kommunikation efter 1. pkt.Stk. 7. Medlemmer af det øverste ledelsesorgan af operatøren skal aktivt vedligeholde den viden og de færdigheder, der er nødvendige for at forstå og vurdere it- og cyberrisici og disses indvirkning på driften af operatøren, herunder ved regelmæssigt at følge undervisning, som er passende i forhold til de it- og cyberrisici, som operatøren og dens kunder er eksponeret for.§ 333 c. En operatør af finansiel digital infrastruktur skal dokumentere anvendelsen af sin ramme for styring af it- og cyberrisici på leverancer, der er nødvendige for kritiske og vigtige funktioner hos kunder, såfremt operatøren er datacentral for virksomheder, som er omfattet af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.Styring af it- og cyberrisici§ 333 d. Den ramme for it- og cyberrisikostyring, som en operatør af finansiel digital infrastruktur skal have, jf. § 333 a, skal omfatte en overordnet strategi for digital operationel modstandsdygtighed, der fastsætter, hvordan rammen skal gennemføres.Stk. 2. Operatøren skal med passende mellemrum identificere og vurdere alle væsentlige it- og cyberrisici, som operatøren og dennes ydelser er eksponeret for.Stk. 3. Rammen for it- og cyberrisikostyring skal som minimum omfatte strategier, politikker, procedurer og foranstaltninger, som er nødvendige for at beskytte al fysisk og digital infrastruktur og data i overensstemmelse med de identificerede risici, herunder software, hardware, servere, netværk og relaterede fysiske komponenter og infrastrukturer, såsom lokaler, datacentre og sensitive udpegede områder mod risici.Foranstaltninger til it- og cybersikkerhed§ 333 e. En operatør af finansiel digital infrastrukturs it-systemer, it-protokoller og it-værktøjer skal være pålidelige og med tilstrækkelig kapacitet til rettidigt at håndtere de nødvendige transaktioner m.v. i situationer med spidsbelastning, herunder uventet høje spidsbelastninger.Stk. 2. En operatør skal løbende identificere alle kritiske forretningsfunktioner og it-aktiver, herunder it-aktiver, der understøtter kritiske eller vigtige forretningsfunktioner for operatørens kunder.Stk. 3. En operatør skal identificere alle kritiske eller vigtige forretningsprocesser og tjenester, der er afhængige af eksterne leverandører, og dokumentere egne og kunders afhængigheder af ydelser fra underleverandører.Stk. 4. En operatør skal overvåge og kontrollere it-systemernes og it-værktøjernes funktion og sikkerhed og minimere virkningerne af it- og cyberrisici ved at indføre passende sikkerhedsværktøjer, -politikker og -procedurer. Operatøren skal løbende identificere potentielle sårbarheder og single points of failure.Stk. 5. En operatør skal opretholde et højt niveau af tilgængelighed, autenticitet, integritet og fortrolighed af data, og udforme og gennemføre it-sikkerhedspolitikker, -procedurer, -protokoller og -værktøjer, der er egnede til at sikre modstandsdygtighed, stabilitet og tilgængelighed for it-systemer, der understøtter kritiske eller vigtige funktioner.Stk. 6. En operatør skal indføre mekanismer til overvågning og sporing af anormale aktiviteter, trusler og hændelser i relevant infrastruktur og fastsætte tærskler for igangsættelse af indsats- og beredskabsforanstaltninger.Stk. 7. En operatør skal have en politik for it-driftsstabilitet, som gennemføres ved dokumenterede beredskabsplaner, ordninger, procedurer mv., med henblik på:1) at sikre, at operatørens og dennes kunders kritiske eller vigtige funktioner er stabile,2) at hurtigt, passende og effektivt at sætte ind over for og løse alle it-relaterede hændelser på en måde, der begrænser skaden og prioriterer genoptagelsen af aktiviteter og genopretningstiltag,3) at planer, der omfatter inddæmningsforanstaltninger, der er passende i forhold til hændelserne og som forhindrer yderligere skade, omgående aktiveres4) at anslå foreløbige virkninger, skader og tab, og5) at indføre kommunikations- og krisestyringstiltag, der sikrer, at ajourførte oplysninger videresendes til al relevant internt personale og eksterne interessenter, og indberettes til Finanstilsynet.Stk. 8. En operatør skal have politikker og procedurer for sikkerhedskopiering, der præciserer omfanget af de data, der er genstand for sikkerhedskopiering, og minimumshyppigheden af sikkerhedskopiering baseret på oplysningernes kritiske betydning eller fortrolighedsniveauet for dataene. Operatøren skal endvidere have procedurer og metoder for gendannelse og genopretning efter materiel eller immateriel skade efter væsentlige hændelser.Stk. 9. En operatør skal regelmæssigt teste sine foranstaltninger til beredskab, indsats, genopretning, sikkerhedskopiering og gendannelse.Stk. 10. En operatør skal udvikle politikker for en systematisk læring på baggrund af den viden, som operatøren opnår ved opfølgning på sin ramme for risikostyring, trusselsovervågning, testresultater og it- og cyberhændelser. Den opnåede viden skal danne grundlag for en årlig rapportering til ledelsesorganet med anbefalinger til forbedringer i relevant omfang.Stk. 11. En operatør skal have beredskab for krisekommunikation og ansvarlig offentliggørelse af oplysninger om større cyberhændelser eller væsentlige sårbarheder til berørte parter, herunder kunder, modparter og offentligheden.Styring og indberetning af it- og cyberhændelser§ 333 f. En operatør af finansiel digital infrastruktur skal fastlægge en proces for overvågning, styring og indberetning af it- og cyberhændelser.Stk. 2. En operatør skal registrere alle it- og cyberhændelser og væsentlige cybertrusler. Operatøren skal fastlægge passende procedurer, der sikrer en konsekvent og integreret overvågning, håndtering og opfølgning af it- og cyberhændelser, og at de grundlæggende årsager identificeres, dokumenteres og håndteres.Stk. 3. En operatør skal indberette væsentlige it- og cyberhændelser, jf. stk. 4, til Finanstilsynet og CSIRT’en oprettet i medfør af artikel 10, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen.Stk. 4. En hændelse anses for væsentlig, jf. stk. 3, hvis1) den har forårsaget, eller er i stand til at forårsage, alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for operatøren, eller2) den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig materiel eller immateriel skade.Stk. 5. En operatør skal ved en indberetning, jf. stk. 3, foretage følgende:1) Indsende alle oplysninger, der er nødvendige for Finanstilsynet til at fastslå eventuelle grænseoverskridende virkninger af hændelsen.2) Uden unødigt ophold og under alle omstændigheder inden for 24 timer efter at have fået kendskab til den væsentlige hændelse fremsende en tidlig varsling, som skal angive, om den væsentlige hændelse mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en grænseoverskridende virkning.3) Uden unødigt ophold og under alle omstændigheder inden for 72 timer efter at have fået kendskab til den væsentlige hændelse fremsende en hændelsesunderretning, som skal ajourføre de oplysninger, der er nævnt under nr. 1 og en indledende vurdering af den væsentlige hændelse, herunder dens alvor og indvirkning samt kompromitteringsindikatorerne, hvor sådanne foreligger.4) Efter anmodning fra Finanstilsynet eller fra CSIRT’en fremsende en foreløbig rapport om relevante statusopdateringer.5) Fremsende en endelig rapport senest en måned efter forelæggelsen af den hændelsesunderretning, der er nævnt i nr. 2, der skal omfatte følgende:a) En detaljeret beskrivelse af hændelsen, herunder dens alvor og indvirkning.b) Den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen.c) Anvendte og igangværende afbødende foranstaltninger.d) Oplysninger om eventuelle grænseoverskridende virkninger af hændelsen.6) Forelægge en statusrapport for Finanstilsynet og CSIRT’en senest en måned efter forelæggelsen af den hændelsesunderretning, der er nævnt i nr. 2, hvis hændelsen fortsat pågår på dette tidspunkt, og en endelig rapport senest en måned efter operatørens håndtering af hændelsen.Stk. 6. En operatør skal, hvor det er relevant, uden unødigt ophold underrette modtagere af operatørens tjenester om væsentlige hændelser, der sandsynligvis vil påvirke leveringen af disse tjenester negativt.Stk. 7. En operatør skal uden unødigt ophold underrette modtagere af deres tjenester, som potentielt er berørt af en væsentlig cybertrussel, om eventuelle foranstaltninger eller modforholdsregler, som disse modtagere kan træffe som reaktion på den pågældende trussel. Operatøren skal også informere de pågældende modtagere om den konkrete væsentlige cybertrussel, hvor dette er relevant.Stk. 8. En operatør kan underrette Finanstilsynet om væsentlige cybertrusler, når den anser truslen for at være relevant for det finansielle system, tjenestebrugere eller kunder.Trusselsbaseret penetrationstest§ 333 g. En operatør af finansiel digital infrastruktur skal løbende teste effektiviteten af sine foranstaltninger til sikring mod it- og cyberhændelser, der har eller kan have skadelige virkninger på virksomhedens drift.Stk. 2. En operatør skal have et program for test af digital operationel modstandsdygtighed, som er passende i forhold til de identificerede risici og er integreret med operatørens ramme for it- og cyberrisikostyring, jf. § 333 a.Stk. 3. En operatør kan pålægges at gennemgå trusselsbaserede penetrationstest i overensstemmelse med de regler, der gælder for virksomheder omfattet af kapitel IV i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og retsakter udstedt i medfør heraf.Stk. 4. Vurderingen af, i hvilket omfang en operatør skal gennemføre penetrationstests, jf. stk. 3, skal foretages ud fra1) virkningsrelaterede faktorer, navnlig i hvilket omfang de tjenester, der leveres, og de aktiviteter, der udføres af operatøren, indvirker på den finansielle sektor,2) eventuelle betænkeligheder vedrørende finansiel stabilitet, herunder operatørens systemiske karakter, og3) operatørens specifikke it-risikoprofil, grad af it-modenhed eller de teknologiske kendetegn, der er involveret.Tredjepartsrisici§ 333 h. En operatør af finansiel digital infrastruktur skal styre sine it- og cyberrisici, der er relateret til brug af it-tjenester fra tredjeparter som en integreret del af sin ramme for it- og cyberrisikostyring, jf. § 333 a.Stk. 2. En operatør, der har overladt driften af en forretningsfunktion til en leverandør, har til enhver tid det fulde ansvar for at overholde og opfylde alle forpligtelser i henhold til denne lov.Stk. 3. En operatør skal regelmæssigt gennemgå de risici, der er forbundet med brugen af it-tredjepartsudbydere.Stk. 4. En operatør skal vedtage og regelmæssigt gennemgå en strategi for sine it-tredjepartsrisici. Strategien for it-tredjepartsrisici skal omfatte en politik for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og som leveres af tredjepartsudbydere.Stk. 5. En operatør skal opretholde og ajourføre et register over oplysninger om alle ordninger for brugen af it-tjenester, der leveres af tredjepartsudbydere. Operatøren skal underrette Finanstilsynet om enhver planlagt kontraktlig ordning for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og når en funktion er blevet kritisk eller vigtig.Stk. 6. Inden en operatør indgår en kontraktlig ordning for brugen af it-tjenester, skal operatøren1) vurdere, om den kontraktlige ordning omfatter brugen af it-tjenester, der understøtter en kritisk eller vigtig funktion,2) vurdere om de tilsynsmæssige betingelser for udlicitering er opfyldt,3) identificere og vurdere alle relevante risici i forbindelse med den kontraktlige ordning, herunder muligheden for at sådanne kontraktlige ordninger kan bidrage til at øge it-koncentrationsrisikoen,4) foretage fornøden due diligence over for potentielle tredjepartsudbydere af it-tjenester og under udvælgelses- og vurderingsprocessen sikre, at den pågældende tredjepartsudbyder af it-tjenester er egnet og5) identificere og vurdere interessekonflikter, som den kontraktlige ordning kan give anledning til.Stk. 7. Når en operatør indgår it-kontrakter, der relaterer sig til kritiske og vigtige funktioner, skal operatøren sikre, at den har passende adgangs-, inspektions- og revisionsrettigheder over for tredjepartsudbyderen af it-tjenester. Operatøren skal, på grundlag af en risikobaseret tilgang, fastsætte hyppigheden af revisioner og inspektioner samt de områder, der skal underkastes revision.Stk. 8. En operatør af skal sikre, at de kontraktlige ordninger for brugen af it-tjenester som minimum kan opsiges i enhver af følgende situationer:1) Tredjepartsudbyderen begår en væsentlig overtrædelse af gældende lovgivning eller kontraktvilkår.2) Operatøren identificerer forhold under overvågningen af it-tredjepartsrisici, som kan ændre udførelsen af de funktioner, der er leveret gennem den kontraktlige ordning, herunder væsentlige ændringer, der påvirker ordningen eller situationen for tredjepartsudbyderen af it-tjenester.3) Operatøren dokumenterer svagheder hos tredjepartsudbyderen af it-tjenester, som vedrører dennes samlede it-risikostyring.4) Finanstilsynet ikke længere kan føre effektivt tilsyn med operatøren som følge af betingelserne eller omstændighederne vedrørende de respektive kontraktlige ordninger.Stk. 9. En operatør skal indføre exitstrategier for it-tjenester, der understøtter kritiske eller vigtige funktioner. Exitstrategierne skal tage højde for de risici, der kan opstå hos tredjepartsudbydere af it-tjenester, herunder1) mulige svigt fra tredjepartsudbyderens side,2) en forringelse af kvaliteten af de leverede it-tjenester,3) eventuelle driftsforstyrrelser som følge af uhensigtsmæssig eller manglende levering af it-tjenester,4) eventuelle væsentlige risici i forbindelse med en passende og løbende anvendelse af de pågældende it-tjenester, eller5) opsigelse af kontraktlige ordninger med tredjepartsudbydere af it-tjenester i en af de i stk. 8 anførte situationer.Stk. 10. En operatør skal indføre passende beredskabsforanstaltninger for at opretholde driftsstabiliteten i tilfælde af, at de omstændigheder, der er nævnt i stk. 9, nr. 1-5, indtræder.Stk. 11. En operatør af finansiel digital infrastruktur skal sikre, at den kan opsige kontraktlige ordninger, uden1) at dens forretningsaktiviteter afbrydes,2) at efterlevelsen af de lovgivningsmæssige krav begrænses, og3) at kontinuiteten og kvaliteten af de leverede tjenester til kunder lider skade.Stk. 12. Exitstrategierne skal være dokumenterede, proportionale, testet i tilstrækkeligt omfang og gennemgået regelmæssigt.Stk. 13. En operatør skal identificere alternative løsninger og udarbejde overgangsplaner, så den kan fratage tredjepartsudbyderen af it-tjenester de relevante it-tjenester og de relevante data og sikkert og fuldstændigt kan overføre disse til alternative udbydere eller indarbejde dem internt.Koncentrationsrisici§ 333 i. Når en operatør af finansiel digital infrastruktur foretager identifikation og vurdering af de risici, der er nævnt i § 333 h, stk. 6, nr. 3, skal operatøren tage hensyn til, hvorvidt den påtænkte indgåelse af en kontraktlig ordning, der understøtter kritiske eller vigtige funktioner for de tilsluttede virksomheder, vil føre til1) henlæggelse af funktioner til en tredjepartsudbyder af it-tjenester, som ikke er lette at erstatte, eller2) indgåelse af flere kontraktlige ordninger om levering af it-tjenester, der understøtter kritiske eller vigtige funktioner, med den samme tredjepartsudbyder af it-tjenester eller med tredjepartsudbydere af it-tjenester, som har tætte forbindelser til denne.Centrale kontraktsbestemmelser§ 333 j. Rettigheder og forpligtelser for en operatør af finansiel digital infrastruktur og for tredjepartsudbyderen af it-tjenester skal fordeles klart og fastlægges skriftligt. Den samlede kontrakt skal omfatte serviceniveauaftaler og dokumenteres i et samlet dokument, som parterne skal have adgang til i et varigt og tilgængeligt format.Stk. 2. De kontraktlige ordninger for brugen af it-tjenester skal mindst omfatte følgende elementer:1) En klar og fuldstændig beskrivelse af alle funktioner og it-tjenester, som tredjepartsudbyderen skal levere, med angivelse af om underentreprise af en it-tjeneste, der understøtter en kritisk eller vigtig funktion eller væsentlige dele heraf, er tilladt, og hvis det er tilfældet, de betingelser, der gælder for en sådan underentreprise.2) En angivelse af de steder, navnlig de regioner eller lande, hvor de udliciterede funktioner og it-tjenester eller funktionerne og it-tjenesterne i underentreprise skal leveres, hvor data skal behandles, herunder lagringsstedet, og krav om, at tredjepartsudbyderen på forhånd skal underrette operatøren, hvis den har planer om at ændre disse steder.3) Bestemmelser om tilgængelighed, autenticitet, integritet og fortrolighed med hensyn til databeskyttelse, herunder personoplysninger.4) Bestemmelser om sikring af adgang, genopretning og tilbagelevering af data i et tilgængeligt format i tilfælde af insolvens, afvikling eller afbrydelse af de forretningsaktiviteter, som tredjepartsudbyderen varetager, eller i tilfælde af opsigelse af kontrakten.5) Beskrivelser af serviceniveauet, herunder ajourføringer og revisioner heraf.6) En forpligtelse for tredjepartsudbyderen til at yde bistand til operatøren uden yderligere omkostninger eller til en omkostning, der fastsættes på forhånd, hvis der opstår en it-hændelse, der vedrører den it-tjeneste, som leveres til operatøren.7) En forpligtelse for tredjepartsudbyderen til at samarbejde fuldt ud med Finanstilsynet og afviklingsmyndigheder, herunder personer, som myndighederne har udpeget.8) Opsigelsesrettigheder og dertil knyttede minimumsfrister for opsigelse af de kontraktlige ordninger.Stk. 3. De kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, skal ud over de elementer, der er nævnt i stk. 2, mindst omfatte følgende:1) En fuldstændig beskrivelse af serviceniveauer, herunder ajourføringer og revisioner heraf, med præcise kvantitative og kvalitative præstationsmål inden for de aftalte serviceniveauer, så operatøren kan foretage en effektiv overvågning af it-tjenester, og uden unødigt ophold træffe passende afhjælpende foranstaltninger, når de aftalte serviceniveauer ikke overholdes.2) Opsigelsesfrister og indberetningsforpligtelser for tredjepartsudbyderen af it-tjenester over for operatøren, herunder underretning om enhver udvikling, som kan have væsentlig indvirkning på, hvorvidt tredjepartsudbyderen har evnen til effektivt at levere it-tjenester, der understøtter kritiske eller vigtige funktioner i overensstemmelse med de aftalte serviceniveauer.3) Krav til tredjepartsudbyderen om at gennemføre og teste beredskabsplaner og indføre it-sikkerhedsforanstaltninger, -værktøjer og -politikker, som giver et passende niveau af sikkerhed for, at operatøren kan levere sine tjenester.4) En forpligtelse for tredjepartsudbyderen til at deltage i og fuldt ud samarbejde om operatørens trusselsbaserede penetrationstest, jf. § 333 g, stk. 3.5) En ret til løbende at overvåge tredjepartsudbyderens opgavevaretagelse og risikostyring, herunder adgangs-, inspektions- og revisionsrettigheder for operatøren, Finanstilsynet eller udpegede tredjeparter og adgang til nødvendig information og dokumentation.6) Exitstrategier, herunder indførelse af en obligatorisk passende overgangsperiodea) i løbet af hvilken tredjepartsudbyderen fortsat leverer de respektive funktioner eller it-tjenester med henblik på at mindske risikoen for forstyrrelser i operatøren eller sikre en effektiv afvikling eller omstrukturering heraf, ogb) som giver operatøren mulighed for at migrere til en anden tredjepartsudbyder, eller skifte til interne løsninger, der stemmer overens med den leverede tjenestes kompleksitet.Informationsudveksling§ 333 k. En operatør af finansiel digital infrastruktur kan udveksle oplysninger og efterretninger om cybertrusler i overensstemmelse med reglerne i kapitel VI, i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, og indgå i ordninger oprettet i henhold forordningens artikel 45, stk. 2. En operatør af finansiel digital infrastruktur kan ligeledes udveksle relevante cybersikkerhedsoplysninger i overensstemmelse med reglerne i kapitel VI, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, og indgå i ordninger oprettet i overensstemmelse hermed.Stk. 2. En operatør skal underrette Finanstilsynet om sin deltagelse i de ordninger, der er nævnt i stk. 1, og i tilfælde af udtrædelse af sådanne ordninger.Oplysning til Finanstilsynet§ 333 l. En operatør af finansiel digital infrastruktur skal oplyse Finanstilsynet om følgende:1) Operatørens navn.2) Adressen på operatørens hovedforretningssted og dens andre retlige forretningssteder i Den Europæiske Union.3) Den relevante sektor og delsektor samt typen af enhed, som nævnt i bilag I, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen.4) Operatørens kontaktoplysninger, herunder e-mailadresser, IP-intervaller og telefonnumre på operatøren.5) De medlemsstater, hvor operatøren leverer tjenester.Stk. 2. Ved ændring af oplysningerne i stk. 1 skal operatøren straks og senest tre måneder efter ændringen underrette Finanstilsynet herom.Tilsyn m.v.§ 333 m. Kapitel 21 og 23 og regler udstedt i medfør af disse kapitler finder anvendelse for operatører af finansielle digitale infrastrukturer med de nødvendige tilpasninger.§ 333 n. Finanstilsynet har beføjelse til følgende:1) Pålægge en operatør af finansiel digital infrastruktur regelmæssige og målrettede sikkerhedsaudits udført af et kvalificeret uafhængigt organ eller en kompetent myndighed og at afholde udgifterne hertil.2) Pålægge en operatør af finansiel digital infrastruktur ad hoc-audits, herunder hvor det er berettiget på grund af en væsentlig hændelse eller en overtrædelse af reglerne i denne lov fra operatørens side.3) Pålægge en operatør af finansiel digital infrastruktur sikkerhedsscanninger baseret på objektive, ikke-diskriminerende, fair og gennemsigtige risikovurderingskriterier, hvor det er nødvendigt i samarbejde med den berørte operatør.4) Udstede advarsler om en operatørs overtrædelse af denne lov.5) Udpege en overvågningsansvarlig med veldefinerede opgaver til i en nærmere fastsat periode at føre tilsyn med en operatørs overholdelse af §§ 333 a og 333 f.§ 333 o. Efterkommer en operatør af finansiel digital infrastruktur ikke Finanstilsynets påbud i medfør af denne lov, og efterkommer operatøren ikke påbuddet inden en fornyet frist, som Finanstilsynet efterfølgende sætter, kan Finanstilsynet træffe afgørelse om følgende:1) Midlertidigt at suspendere en myndighedsudstedt certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, operatøren leverer, eller aktiviteter, der udføres af operatøren.2) Midlertidigt at forbyde enhver fysisk person med ledelsesansvar på direktionsniveau eller juridisk repræsentant i operatøren at udøve ledelsesfunktioner i denne.Stk. 2. Midlertidige suspensioner eller forbud, som er pålagt i medfør af stk. 1, kan kun anvendes, indtil operatøren træffer de nødvendige foranstaltninger til at afhjælpe de mangler eller opfylde de krav, som gav anledning til, at foranstaltningerne i medfør af stk. 1, blev anvendt.Stk. 3. En afgørelse efter stk. 1 kan af eller den fysiske person, afgørelsen vedrører, forlanges indbragt for domstolene. Sagen anlægges i den borgerlige retsplejes former.Bemyndigelse§ 333 p. Finanstilsynet kan fastsætte nærmere regler om it- og cyberrisikostyring og kontrol- og sikringsforanstaltninger i en operatør af finansiel digital infrastruktur, herunder om følgende:1) Indholdet af rammerne for styring af it- og cyberrisici, jf. § 333 a, og om indholdet af strategier og politikker på området for digital operationel modstandsdygtighed.2) Det øverste ledelsesorgans opgaver i forbindelse med styringen af it- og cyberrisici.3) Operatører af finansielle digitale infrastrukturers rapportering af væsentlige hændelser og cybertrusler.4) Test, herunder eksterne test, af en operatør af finansielle digitale infrastrukturers cybersikkerhed.5) Krav til testere af en operatør af finansielle digitale infrastrukturers cybersikkerhed.6) Styring og rapportering af tredjepartsrisici.7) Obligatorisk brug af særlige sikkerhedscertificerede produkter eller tjenesteydelser.8) Den interne og eksterne systemrevision i operatører af finansielle digitale infrastrukturer.« Kapitel 19 a. Offentlig forbrugerinformation. § 333 a. Finanstilsynet fremmer den offentlige forbrugerinformation på det finansielle område. Afsnit X c. Fælles datacentraler. 29. Afsnit X c ophæves. Kapitel 20 c. Fælles datacentraler. § 343 q. Ved fælles datacentraler forstås i denne lov virksomheder, hvis væsentligste aktiviteter omfatter it-drifts- eller udviklingsopgaver for flere finansielle virksomheder, finansielle holdingvirksomheder, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder, og som overvejende er ejet af 1)en eller flere finansielle virksomheder, finansielle holdingvirksomheder eller sådanne virksomheders dattervirksomheder i forening eller 2)en eller flere foreninger, hvis medlemmer overvejende er finansielle virksomheder, finansielle holdingvirksomheder eller sådanne virksomheders dattervirksomheder. Stk. 2. Reglerne for fælles datacentraler i denne lov gælder også for datacentraler, der udfører både væsentlig it-drift og it-udvikling for den fælles betalingsinfrastruktur. 1. pkt. gælder ikke for datacentraler, der har tilladelse som it-operatør af et detailbetalingssystem, jf. § 180 a, stk. 1, i lov om kapitalmarkeder. Stk. 3. Finanstilsynet kan undtagelsesvis, hvis særlige grunde gør sig gældende, dispensere fra stk. 1 og 2. Dispensationer skal være tidsbegrænsede, men kan fornyes. § 343 r. § 71, stk. 1, nr. 8, om betryggende kontrol- og sikringsforanstaltninger på it-området finder tilsvarende anvendelse for fælles datacentraler. Stk. 2. Reglerne om betryggende kontrol- og sikringsforanstaltninger på it-området, der er udstedt i medfør af denne lovs § 71, stk. 3, finder tilsvarende anvendelse for fælles datacentraler. Stk. 3. Reglerne om outsourcing udstedt i medfør af § 72 a finder tilsvarende anvendelse for fælles datacentraler, hvis de fælles datacentraler outsourcer it-opgaver, der udføres for virksomheder omfattet af lovens § 5, stk. 1. Stk. 4. §§ 6, 6 a og 6 b om digital kommunikation finder tilsvarende anvendelse for fælles datacentraler. Stk. 5. Kapitel 21 og 23 og regler udstedt i medfør af disse kapitler finder med de fornødne tilpasninger tilsvarende anvendelse for fælles datacentraler. § 344. Finanstilsynet påser overholdelsen af Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, forordninger og regler udstedt i medfør af Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 om et regelsæt for genopretning og afvikling af kreditinstitutter og investeringsselskaber, Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter, Kommissionens delegerede forordning 2017/565/EU af 25. april 2016 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2014/65/EU for så vidt angår de organisatoriske krav til og vilkårene for drift af investeringsselskaber samt definitioner af begreber med henblik på nævnte direktiv, Rådets forordning 2017/1509/EU af 30. august 2017 om restriktive foranstaltninger over for Den Demokratiske Folkerepublik Korea, Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering, Europa-Parlamentets og Rådets forordning 2019/1156/EU af 20. juni 2019 om lettere grænseoverskridende distribution af kollektive investeringsinstitutter og om ændring af forordning (EU) nr. 345/2013, (EU) nr. 346/2013 og (EU) nr. 1286/2014, Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser, Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf, og denne lov og af de regler, der er udstedt i medfør af loven, undtagen § 75 b og § 77, stk. l og 2. Dog påser Erhvervsstyrelsen overholdelsen af § 15, stk. 1, 2 og 4, og §§ 83, 87 og 91. Finanstilsynet kontrollerer, at reglerne for finansiel information i årsrapporter og delårsrapporter i §§ 183-193 og i regler udstedt i medfør af § 196 er overholdt for finansielle virksomheder, som har udstedt omsættelige værdipapirer, der er optaget til handel på et reguleret marked, jf. § 213, stk. 1-5 og 8, i lov om kapitalmarkeder. Finanstilsynet er endvidere ansvarligt for tilsynet efter § 32, stk. 4, nr. 1, jf. § 32, stk. 7, i revisorloven, for så vidt angår virksomheder underlagt tilsyn af Finanstilsynet. 30. I § 344, stk. 1, 1. pkt., indsættes efter »bæredygtige investeringer«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«. Stk. 2-12. --- 31. Efter § 344 e indsættes:»§ 344 f. Erhvervsministeren kan fastsætte regler om udpegelse af en myndighed til at varetage TLPT-relaterede anliggender i henhold til artikel 26, stk. 9, i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og for operatører af finansielle digitale infrastrukturer, jf. § 333.« § 347. --- Stk. 2. --- Stk. 3. Finanstilsynet kan til enhver tid mod behørig legitimation uden retskendelse få adgang til en finansiel virksomhed og dens filialer, en finansiel holdingvirksomhed eller en fælles datacentral med henblik på indhentelse af oplysninger, herunder ved inspektioner. 32. I § 347, stk. 3, ændres »en fælles datacentral« til: »en operatør af finansiel digital infrastruktur«, Stk. 4-8. --- § 347 b. Finanstilsynet kan påbyde en finansiel virksomhed eller en finansiel holdingvirksomhed at lade foretage og afholde udgifterne til en uvildig undersøgelse af et eller flere forhold i den finansielle virksomhed, den finansielle holdingvirksomhed eller den fælles datacentral, såfremt Finanstilsynet vurderer, at dette er af væsentlig betydning for tilsynet med virksomheden, og der ikke er tale om en for Finanstilsynet sædvanligt forekommende undersøgelse. Resultatet af den uvildige undersøgelse skal afgives i en skriftlig rapport, som skal foreligge inden for et af Finanstilsynet fastsat tidspunkt. Finanstilsynet kan bestemme, at de sagkyndige personer, jf. stk. 2-6, løbende skal foretage afrapportering til Finanstilsynet om forhold i forbindelse med undersøgelsen. Det samme gælder for filialer omfattet af § 1, stk. 3 og 4. 33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres », den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«. Stk. 2. Den uvildige undersøgelse 3155 skal foretages af en eller flere sagkyndige personer. Den finansielle virksomhed, den finansielle holdingvirksomhed eller den fælles datacentral udpeger de sagkyndige personer inden for en af Finanstilsynet fastsat frist. Finanstilsynet skal godkende de foreslåede sagkyndige personer. 33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres », den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«. Stk. 3. Den finansielle virksomhed, den finansielle holdingvirksomhed eller den fælles datacentral skal give de sagkyndige personer de oplysninger, der er nødvendige for gennemførelsen af den uvildige undersøgelse. 33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres », den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«. Stk. 4. De sagkyndige personer skal udlevere en kopi af den skriftlige rapport om undersøgelsen til Finanstilsynet, senest samtidig med at rapporten udleveres til den finansielle virksomhed, den finansielle holdingvirksomhed eller den fælles datacentral. 33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres », den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«. Stk. 5. --- Stk. 6. Hvis den sagkyndige person på grund af dennes særlige forhold ikke kan videregive oplysningerne i henhold til stk. 4 og 5 til Finanstilsynet, kan underretning af Finanstilsynet ske af andre end den sagkyndige person, herunder af den finansielle virksomhed, den finansielle holdningvirksomhed eller den fælles datacentral. 33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres »den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«. § 348. --- Stk. 2. Finanstilsynet kan give påbud om berigtigelse af forhold, der er i strid med §§ 43 og 57. Finanstilsynet kan i den forbindelse foretage inspektionsbesøg i filialer af administrationsselskaber. 34. I § 348, stk. 2, 1. pkt., ændres »§§ 43 og 57« til: »§ 43«. § 351. --- Stk. 2-7. --- Stk. 8. Finanstilsynet kan af egen drift eller efter ansøgning tilbagekalde et påbud meddelt efter stk. 2 og 3, og stk. 5, 3. pkt. Afslår Finanstilsynet en ansøgning om tilbagekaldelse, kan ansøgeren forlange afslaget indbragt for domstolene. Anmodning herom skal indgives til Finanstilsynet, inden 4 uger efter at afslaget er meddelt den pågældende. Anmodning om domstolsprøvelse kan dog kun fremsættes, hvis påbuddet ikke er tidsbegrænset og der er forløbet mindst 5 år fra datoen for udstedelsen af påbuddet, eller mindst 2 år efter at Finanstilsynets afslag på tilbagekaldelse er stadfæstet ved dom. 35. I § 351, stk. 8, 1. pkt., ændres »stk. 5, 3. pkt.« til: »stk. 5, 5. pkt.« Stk. 9 og 10. --- § 354. --- Stk. 2-5. --- Stk. 6. Bestemmelsen i stk. 1 er ikke til hinder for, at fortrolige oplysninger videregives til: 1-49) --- 36. I § 354, stk. 6, indsættes som nr. 50:»50) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af, at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.« Stk. 7-16. --- § 354 e. --- Stk. 2. Offentliggørelse, jf. stk. 1, skal ske i sager om overtrædelse af § 7, stk. 1, § 61, stk. 1, §§ 61 b og 61 c, § 71, stk. 1, § 71 a, stk. 1 og stk. 2, 1. pkt., § 71 b, stk. 1, § 71 c, stk. 1, 2. pkt., § 77 d, stk. 1, § 125 b, stk. 1-4 og 6, § 125 d, § 125 e, stk. 1, jf. § 125 b, stk. 1-4 og 6, § 182 b, stk. 1-3, §§ 182 c og 182 d, § 182 e, stk. 1-3, §§ 182 f, 259 a og 261, § 264, stk. 2, 3 og 5, § 264 a, § 265, stk. 2, 4 og 7, § 265 a, stk. 2, § 266, § 267, stk. 1, §§ 267 b og 267 c, § 267 d, stk. 1, § 268, §§ 269 a-269 e, § 272, stk. 7, § 274, stk. 1 og 2, § 275, stk. 1, 2, 4 og 5, § 276, stk. 1, § 313, stk. 1, og artikel 28 og 51, jf. artikel 52, 63 og 92, stk. 1, artikel 99, stk. 1, artikel 101, stk. 1 og 2, artikel 394, stk. 1, artikel 395, artikel 405, stk. 1, artikel 412, stk. 1, artikel 415, stk. 1 og 2, artikel 430, stk. 1, 1. afsnit, 1. pkt., og 2. afsnit, artikel 431, stk. 1-3, artikel 435 og artikel 451, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter. Offentliggørelse, jf. stk. 1, skal ligeledes ske i sager om overtrædelse af Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter. 37. To steder i § 354 e, stk. 2, 1. pkt., og to steder i § 373, stk. 1 og 10, ændres »§ 125 b, stk. 1-4 og 6« til: »§ 125 b, stk. 3-5 og 8«.38. I § 354 e, stk. 2, 2. pkt., indsættes efter »finansielle instrumenter«: »og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. § 354 h. Finanstilsynet kan efter høring af den virksomhed, der underretter Finanstilsynet og Center for Cybersikkerhed om en hændelse, som har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer, orientere offentligheden om hændelsen, hvis offentlighedens kendskab hertil er nødvendig for at forebygge eller håndtere en igangværende hændelse. 3399 Offentliggørelsen må ikke indeholde fortrolige oplysninger om kundeforhold eller oplysninger omfattet af § 30 i lov om offentlighed i forvaltningen. 3400 Offentliggørelsen må ikke indeholde fortrolige oplysninger, der hidrører fra finansielle tilsynsmyndigheder i andre lande inden for eller uden for Den Europæiske Union, medmindre de myndigheder, der har afgivet oplysningerne, har givet deres udtrykkelige tilladelse. 39. § 354 h ophæves. § 355. Som part i forhold til Finanstilsynet anses den finansielle virksomhed, den finansielle holdingvirksomhed, den blandede holdingvirksomhed, den udenlandske finansielle virksomhed eller den udenlandske finansielle holdingvirksomhed, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af denne lov, forskrifter fastsat i medfør af denne lov, Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber og forordninger og regler udstedt i medfør af Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf, jf. dog stk. 2 og 3. 40. I § 355, stk. 1, ændres » og Europa-Parlamentets og Rådets forordning 2020/852/EU« til: », Europa-Parlamentets og Rådets forordning 2020/852/EU«, og efter »investeringer og regler udstedt i medfør heraf« indsættes: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf«. Stk. 2-7. --- § 361. Følgende fysiske og juridiske personer omfattet af denne lov og lov om forsikringsvirksomhed betaler årligt et grundbeløb til Finanstilsynet: 1-3) --- 4)En fælles datacentral betaler 119.000 kr. Har en fælles datacentral i et regnskabsår gennemsnitligt færre end 25 fuldtidsansatte, betaler den fælles datacentral dog 2.200 kr. 41. § 361, stk. 1, nr. 4, affattes således:» 4) En operatør af finansiel digital infrastruktur betaler 119.000 kr. Har operatøren i et regnskabsår gennemsnitligt færre end 25 fuldtidsansatte, betaler operatøren dog 2.200 kr. 1. og 2. pkt. finder ikke anvendelse på en it-operatør af et detailbetalingssystem, der er udpeget som operatør af finansiel digital infrastruktur.« 5-10) --- 42. I § 361, stk. 1, indsættes som nr. 11 og 12:»11) En udsteder af aktivbaserede tokens, der er meddelt tilladelse af Finanstilsynet i henhold til § 332 a, stk. 1, betaler årligt til Finanstilsynet følgende:a) 35.000 kr., når summen af udstederens gennemsnitlige udestående aktivbaserede tokens i 2. halvår af det foregående kalenderår og 1. halvår af det indeværende kalenderår er mindre end 100 mio. kr.b) 100.000 kr., når summen af udstederens gennemsnitlige udestående aktivbaserede tokens i 2. halvår af det foregående kalenderår og 1. halvår af det indeværende kalenderår er mellem 100 mio. kr. og 1 mia. kr.c) 600.000 kr., når summen af udstederens gennemsnitlige udestående aktivbaserede tokens i 2. halvår af det foregående kalenderår og 1. halvår af det indeværende kalenderår er større end 1 mia. kr.12) En udbyder af kryptoaktivtjenester, der er meddelt tilladelse af Finanstilsynet i henhold til § 332 c, stk. 1, betaler årligt et grundbeløb til Finanstilsynet på 12,5 promille af deres omkostninger til løn, provision og tantieme, dog minimum 20.000 kr.« Stk. 2-5. --- Stk. 6. Følgende fysiske og juridiske personer omfattet af hvidvaskloven betaler årligt et grundbeløb til Finanstilsynet: 1)Virksomheder og personer omfattet af § 1, stk. 1, nr. 8 og 22-26, i hvidvaskloven betaler 4.400 kr. 43. I § 361, stk. 6, nr. 1, udgår »og 22-26«. 2) --- Stk. 7. Følgende fysiske og juridiske personer omfattet af lov om forvaltere af alternative investeringsfonde m.v. betaler årligt et grundbeløb til Finanstilsynet: 1-3) --- 44. I § 361, stk. 7, indsættes efter nr. 3 som nyt nummer:»4) Forvaltere af alternative investeringsfonde med registreret hjemsted i et tredjeland, som i henhold til § 130 i lov om forvaltere af alternative investeringsfonde m.v. har tilladelse til markedsføring i Danmark af andele i en alternativ investeringsfond fra et andet land inden for Den Europæiske Union eller et land, som Unionen har indgået aftale med på det finansielle område, betaler et årligt grundbeløb til Finanstilsynet på 8.000 kr.« 4 og 5) --- Stk. 8-11. --- Stk. 12. Kreditservicevirksomheder omfattet af lov om kreditservicevirksomheder og kreditkøbere betaler årligt et grundbeløb til Finanstilsynet på 16.700 kr. 45. I § 361, stk. 13, ændres »Grundbeløb, jf. stk. 1-12,« til: »Faste beløb i dette kapitel«. Stk. 13. --- § 368. Beregning af afgifter fra virksomheder omfattet af § 360, stk. 3, og §§ 362-367 foretages på grundlag af oplysninger i den for seneste regnskabsår aflagte årsrapport eller i mangel af en sådan den senest indsendte regnskabsindberetning. For så vidt angår forsikringsformidlere, foregår beregningen på grundlag af den senest indsendte indtægtsspecifikation. For så vidt angår crowdfundingtjenesteudbydere, foregår beregningen på grundlag af den senest indsendte indberetning efter § 343 c, medmindre en crowdfundingtjenesteudbyder skal betale afgift efter § 361, stk. 1, nr. 10. 46. I § 368, stk. 1, indsættes som 4. og 5. pkt.:»For så vidt angår udstedere af aktivbaserede tokens, foregår beregningen på grundlag af den senest indsendte indberetning efter § 332 f. For så vidt angår udbydere af kryptoaktivtjenester, foregår beregningen på grundlag af den senest indsendte indberetning efter § 332 g.« Stk. 2-5. --- § 372. Afgørelser truffet af Finanstilsynet eller Erhvervsstyrelsen i henhold til denne lov og regler udstedt i medfør af denne lov og Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, eller regler udstedt i medfør af forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 om et regelsæt for genopretning og afvikling af kreditinstitutter, forordninger og regler udstedt i medfør af Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning 2020/1503/EU af 7. oktober 2020 om europæiske crowdfundingtjenesteudbydere for erhvervslivet og regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning (EU) 2019/1238 af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt) og regler udstedt i medfør heraf, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2016/97 af 20. januar 2016 om forsikringsdistribution og regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning (EU) nr. 1286/2014 af 26. november 2014 om dokumenter med central information om sammensatte forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP'er) og regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning (EU) 2017/2402 af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf, kan af den, som afgørelsen retter sig til, indbringes for Erhvervsankenævnet senest 4 uger efter, at afgørelsen er meddelt den pågældende. 47. I § 372, stk. 1, ændres »securitisering og regler udstedt i medfør heraf og« til: »securitisering og regler udstedt i medfør heraf,«, og efter »investeringer og regler udstedt i medfør heraf,« indsættes: »Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver samt regler udstedt i medfør heraf,«. Stk. 2-4. --- § 372 a. Erhvervsministeren kan fastsætte regler, som er nødvendige for at anvende eller gennemføre de afgørelser eller retsakter, som vedtages af Europa-Kommissionen i medfør af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber, Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 om et regelsæt for genopretning og afvikling af kreditinstitutter og investeringsselskaber, Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser, Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer, og Europa-Parlamentets og Rådets forordning 2020/1503/EU af 7. oktober 2020 om europæiske crowdfundingtjenesteudbydere for erhvervslivet, Europa-Parlamentets og Rådets direktiv 2014/51/EU af 16. april 2014 om ændring af direktiv 2003/71/EF og 2009/138/EF samt forordning nr. 1060/2009/EF, nr. 1094/2010/EU og nr. 1095/2010/EU for så vidt angår de beføjelser, der er tillagt den europæiske tilsynsmyndighed (Den Europæiske Tilsynsmyndighed for Forsikrings- og Arbejdsmarkedspensionsordninger) og den europæiske tilsynsmyndighed (Den Europæiske Værdipapirtilsynsmyndighed), Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering og Europa-Parlamentets og Rådets forordning 2019/1238/EU af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt). 48. I § 372 a, stk. 1, ændres »standardiseret securitisering og« til: »standardiseret securitisering,«, og efter: »(PEPP-produkt)« indsættes: », Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. Stk. 2. --- § 373. Overtrædelse af § 7, stk. 1-6, § 8, stk. 1 og 3-6, § 10, stk. 1, 2, 6 og 7, § 16 a, stk. 2, § 16 b, stk. 2, § 25, 2. pkt., § 28, § 33, stk. 1, § 33 a, stk. 1, § 38, stk. 1, 2 og 7 og stk. 8, 1. pkt., § 39, stk. 1, 3 og 4, §§ 40 og 45, § 46, stk. 1 og 2, § 49, stk. 1 og 2, § 50, stk. 2, § 52, § 53, stk. 1 og 2, § 61, stk. 1, §§ 61 b og 61 c, § 63, stk. 1, 2 og 4, § 64, stk. 5, jf. stk. 1, nr. 3 og 4, § 64 a, § 64 c, stk. 4, jf. § 64, stk. 5, jf. stk. 1, nr. 3 og 4, § 65, stk. 1, § 66, § 67, stk. 1, § 74, stk. 1 og 3, § 75, stk. 1, 1. pkt., og stk. 2-4, § 78, stk. 1 og 5-8, § 101, § 102, stk. 2, 3, 5 og 6, §§ 103-106, § 106 a, stk. 1-4, § 106 b, § 106 c, § 106 d, stk. 1-5, § 107 a og § 117, § 118, stk. 4, § 119, § 120, stk. 1, 2. pkt., og stk. 2, § 124, stk. 1, 2 og 5, § 125 b, stk. 1-4 og 6, § 125 c, stk. 1, § 125 d, § 125 e, stk. 1, jf. § 125 b, stk. 1-4 og 6, § 125 e, stk. 1, jf. § 125 c, stk. 1, § 146, stk. 1, § 147, stk. 1, § 149, stk. 1 og 3, §§ 150 og 151, § 152, stk. 1, § 153, stk. 1, §§ 154 og 170-175 a, § 175 g, stk. 1, 5 og 6, § 182, stk. 1 og 2, §§ 194, 195, 200, 200 a og 201, § 202, stk. 1 og 3, § 203, stk. 1, § 204, stk. 1, § 226, stk. 1 og 2, § 227, § 248, stk. 1, § 313 b, § 334, § 343 v, stk. 1, og § 347, stk. 2, samt artikel 11, artikel 26, stk. 2, artikel 31, stk. 1, litra h, artikel 73, stk. 1, artikel 92, stk. 1, artikel 93, stk. 1-5, artikel 97, stk. 1, artikel 394, stk. 1, artikel 395 og 398 og artikel 500, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, og artikel 6, 7, 9, 18-26 og 26 b-26 e, artikel 27, stk. 1 og 4, og artikel 28, stk. 2, i Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering samt artikel 3, stk. 1, 3, 4 og 6, artikel 5, artikel 6, stk. 1-6, artikel 10, artikel 11, artikel 12, stk. 1, artikel 13, stk. 2, artikel 15, stk. 2 og 3, artikel 16, stk. 1, artikel 18, stk. 1 og 4, artikel 20, stk. 1 og 2, og artikel 25 i Europa-Parlamentets og Rådets forordning 2020/1503/EU af 7. oktober 2020 om europæiske crowdfundingtjenesteudbydere for erhvervslivet straffes med bøde eller fængsel indtil 4 måneder, medmindre højere straf er forskyldt efter den øvrige lovgivning. 37. To steder i § 354 e, stk. 2, 1. pkt., og to steder i § 373, stk. 1 og 10, ændres »§ 125 b, stk. 1-4 og 6« til: »§ 125 b, stk. 3-5 og 8«.49. I § 373, stk. 1, indsættes efter: »for erhvervslivet«: »samt artikel 14, stk. 3, artikel 16, stk. 1, artikel 23, stk. 1 og 4, artikel 36, stk. 1-3 og 5-7, artikel 38, stk. 1 og 3, artikel 39, stk. 2, artikel 40, stk. 1 og 2, artikel 48, stk. 1, artikel 49, stk. 4, artikel 50, stk. 1 og 2, artikel 54, artikel 59, stk. 1, artikel 60, stk. 1-6, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, og artikel 76, stk. 1, 2 og 5-8, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«. Stk. 2. Overtrædelse af § 16 c, § 16 d, stk. 1, § 16 f, stk. 1-3, § 54, stk. 2, § 64, stk. 6, § 64 c, stk. 1, 3, 8 og 10, jf. stk. 1 og 3, § 64 e, § 70, stk. 1-5, § 70 a, stk. 1-3, § 71, stk. 1, § 71 a, stk. 1 og stk. 2, 1. pkt., § 71 b, stk. 1, § 71 c, stk. 1, 2. pkt., § 73, stk. 1, 1. pkt., og stk. 2, § 75, stk. 1, 2. pkt., § 75 a, stk. 1, § 75 b, stk. 1, § 75 c, stk. 1, § 77, stk. 1-6 og 10, § 77 a, stk. 1-6, §§ 77 b og 77 c, § 77 d, § 77 f, stk. 1 og 2, § 77 g, stk. 2, § 77 j, § 79 a, stk. 1, nr. 1 og 2, § 80, stk. 1, stk. 2, 1. pkt., og stk. 3, 7 og 8, § 80 a, § 80 b, stk. 1-3 og 5, og § 80 c, stk. 1 og 2, § 81 b, stk. 3, 5 og 6, § 85 b, stk. 3, 5 og 6, § 121, stk. 1, § 122, § 152 a, stk. 1, 1. pkt., § 152 b, stk. 4-7, § 152 c, stk. 1, § 152 d, stk. 1, § 152 e, stk. 1, § 152 g, stk. 1, 1. og 3. pkt., stk. 2-5 og stk. 7, 1. pkt., § 152 j, stk. 1, 2. pkt., eller stk. 2, § 152 k, stk. 1, 2 eller 5, § 152 m, stk. 1, § 182 d, § 182 e, stk. 2 og stk. 7, 1. pkt., og § 182 f, § 183, stk. 1, 1. pkt., og stk. 5, § 184, stk. 1, § 185, stk. 1 og 3 og stk. 4, 1. pkt., §§ 186 og 187, § 188, stk. 1, stk. 2, 1. pkt., og stk. 3, 2. pkt., §§ 189 og 190, § 191, stk. 1-3, § 192, 1. pkt., § 193, 1. pkt., § 198, stk. 1, § 199, stk. 2 og 6, § 206, § 245 a, stk. 1 og 3, § 245 b, stk. 1, 1. pkt., og stk. 2, § 247 a, stk. 9 og 10, § 259 a, § 264, stk. 2 og 3, § 266, stk. 1, § 268, stk. 1-4, § 269 c, §§ 312 og 312 b, § 336 a, stk. 3, 5 og 6, § 347 b, stk. 3 og 6, § 347 c, stk. 2, § 354 a, stk. 1, 1.-5. pkt., og stk. 3, 1.-7. pkt., samt artikel 4 i Rådets forordning om anvendelse af internationale regnskabsstandarder og artikel 4, stk. 1, i Europa-Parlamentets og Rådets forordning om kreditvurderingsbureauer, artikel 28, artikel 41, stk. 1, litra b, artikel 49, stk. 1, litra c, artikel 51, jf. artikel 52, artikel 54, stk. 5, litra a og c, artikel 63, artikel 73, stk. 6, artikel 76, stk. 2, artikel 77, artikel 99, stk. 1, artikel 101, stk. 1 og 2, artikel 113, stk. 7, 1. afsnit, artikel 129, stk. 3 og 7, artikel 221, stk. 1 og 2, artikel 256, stk. 7, 1. afsnit, artikel 259, stk. 1, litra b og e, artikel 262, stk. 2, 2. afsnit, artikel 263, stk. 2, 1. afsnit, artikel 393, artikel 394, stk. 2, artikel 405, stk. 1, artikel 412, stk. 1 og 2, artikel 415, stk. 1 og 2, artikel 430, stk. 1, 1. afsnit, 1. pkt., og 2. afsnit, artikel 431, stk. 1, jf. artikel 435 og 436, artikel 437, stk. 1, artikel 438 og 439, artikel 440, stk. 1, artikel 441, stk. 1, artikel 442 og 444-450, artikel 451, stk. 1, artikel 431, stk. 3, artikel 433, 1.-3. afsnit, artikel 434, 1. afsnit, 2. og 3. pkt., og afsnit 2, 2. pkt., artikel 471, stk. 1, artikel 492, stk. 2-4, artikel 499, stk. 1, og artikel 501, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, artikel 5, stk. 1, artikel 6 og 7, artikel 8, stk. 1-3, artikel 9, artikel 10, stk. 1, artikel 13, stk. 1, 3 og 4, og artikel 14 og 19 i Europa-Parlamentets og Rådets forordning (EU) nr. 1286/2014 af 26. november 2014 om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP'er) og artikel 5-7, 18-30, 33-42, 44-46, 48, 50 og 52-56 i Europa-Parlamentets og Rådets forordning 2019/1238/EU af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt) samt artikel 4, artikel 8, stk. 1-6, artikel 9, stk. 1 og 2, artikel 19, stk. 1-6, artikel 22, artikel 23, stk. 2-14, og artikel 24 i Europa-Parlamentets og Rådets forordning 2020/1503/EU af 7. oktober 2020 om europæiske crowdfundingtjenesteudbydere for erhvervslivet straffes med bøde. På samme måde straffes overtrædelse af meddelelsespligten i § 152 a, stk. 4, 1. pkt. 50. I § 373, stk. 2, 1. pkt., udgår »§ 71 c, stk. 1, 2. pkt.,«, efter »312 b« indsættes: »§ 333 a, stk. 1-3, § 333 b, stk. 1-6, § 333 d, stk. 1-3, § 333 e, stk. 1-11, § 333 f, stk. 1-8, § 333 g, stk. 1-3, § 333 h, stk. 1-13, § 333 i, stk. 1 og 2, § 333 j, stk. 1-3,«, og »samt artikel 4« ændres til: », artikel 4«, og efter »om europæiske crowdfundingtjenesteudbydere for erhvervslivet« indsættes: », artikel 4, stk. 1, stk. 3, 3. afsnit, og stk. 6, artikel 5, stk. 2 og 3, artikel 6, stk. 1-10, artikel 7, stk. 1 og 2, artikel 8, stk. 1-2 og 4-6, artikel 9, artikel 10, artikel 12, stk. 1-4 og 6-9, artikel 13, stk. 2 og 3, artikel 14, artikel 16, stk. 1, 2. afsnit, artikel 17, stk. 1 og 2, artikel 19, stk. 1-9, artikel 22, stk. 1 og 3, artikel 25, stk. 1, 2 og 4, artikel 27, artikel 28, artikel 29, stk. 1-3 og 6, artikel 30, artikel 31, stk. 1-4, artikel 32, stk. 1-4, artikel 33, artikel 34, stk. 1-12, artikel 35, stk. 1, artikel 36, stk. 8-12, artikel 37, stk. 1 og 2, artikel 39, stk. 1, 2. pkt., artikel 41, stk. 1 og 2, artikel 46, stk. 1 og 2, artikel 47, stk. 1-3, artikel 48, stk. 6 og 7, artikel 49, stk. 5, artikel 51, stk. 1-9, 11-13 og stk. 14, 1. pkt., artikel 53 stk. 1-3, 5 og 6, artikel 55, artikel 59, stk. 2, 5 og 8, artikel 64, stk. 8, artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 67, stk. 1, 5 og 6, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9, artikel 76, stk. 3, 4 og 9-15, artikel 77, artikel 78, artikel 79, artikel 80, stk. 1-3, artikel 81, stk. 1-14, artikel 82, stk. 1, artikel 83, stk. 1 og 2, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver samt artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. Stk. 3-9. --- Stk. 10. Forældelsesfristen er dog 10 år for overtrædelse af § 7, stk. 1-4, § 8, stk. 1 og 3, § 10, stk. 1 og 2, § 33 a, stk. 1, § 70, stk. 1-5, § 71, stk. 1 og 3, § 75, § 78, stk. 1 og 5-7, § 102, stk. 2 og 5, § 103, stk. 1, 2 og 4, § 106, stk. 2, § 106 a, stk. 1 og 4, § 106 b, § 106 c, stk. 1 og 3, § 106 d, stk. 1, § 124, stk. 1 og 2, § 125 b, stk. 1-4 og 6, § 125 c, stk. 1, § 125 d, § 125 e, stk. 1, jf. § 125 b, stk. 1-4 og 6, § 125 e, stk. 1, jf. § 125 c, stk. 1, § 126 a, stk. 1-3, 5 og 9, § 150, § 152, stk. 1, § 152 m, stk. 1, § 153, stk. 1, § 167, stk. 1, 3 og 5, § 170, stk. 1, 2 og 5, §§ 171 og 172, § 174, stk. 1 og 2, § 175, § 182, stk. 1 og 2, § 183, stk. 5, §§ 186 og 187, § 188, stk. 1 og stk. 2, 1. pkt., § 193, 1. pkt., § 199, stk. 2 og 6, § 200, § 313 b, § 334, stk. 1, § 343 v, stk. 1, § 347, stk. 2, § 347 b, stk. 3 og 6, samt artikel 11, stk. 1, 2, 3 og 5, artikel 26, stk. 2, artikel 28, stk. 1-4, artikel 31, stk. 1, litra h, artikel 51, jf. artikel 52, artikel 54, stk. 5, litra a og c, artikel 73, stk. 1, artikel 77, artikel 92, stk. 1, artikel 93, stk. 1-5, artikel 97, stk. 1, artikel 113, stk. 7, 1. afsnit, artikel 393, artikel 394, stk. 1, artikel 395, stk. 1, 1. og 2. afsnit, og stk. 3 og 6, artikel 398, 1. og 2. afsnit, artikel 412, stk. 1 og 2, artikel 415, stk. 1 og 2, artikel 471, stk. 1, og artikel 500, stk. 1, i Europa-Parlamentets og Rådets forordning nr. 575/2013/EU om tilsynsmæssige krav til kreditinstitutter eller regler udstedt i medfør af § 373, stk. 4, eller artikel 6, stk. 1, artikel 10, stk. 1, artikel 14, stk. 1, og artikel 19 i Europa-Parlamentets og Rådets forordning nr. 1286/2014/EU af 26. november 2014 om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP'er) samt artikel 12, stk. 1, og artikel 23 i Europa-Parlamentets og Rådets forordning 2020/1503/EU af 7. oktober 2020 om europæiske crowdfundingtjenesteudbydere for erhvervslivet. 37. To steder i § 354 e, stk. 2, 1. pkt., og to steder i § 373, stk. 1 og 10, ændres »§ 125 b, stk. 1-4 og 6« til: »§ 125 b, stk. 3-5 og 8«.51. I § 373, stk. 10, ændres » (PRIIP’er) samt« til: (PRIIP’er),« og efter »for erhvervslivet« indsættes: »og artikel 16, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«. Stk. 11-14. --- Bilag 1. Pengeinstitutvirksomhed. 1-12) --- 13)Udstedere af elektroniske penge. 52. Bilag 1, nr. 13, affattes således:»Udstedelse af elektroniske penge, herunder elektroniske pengetokens, som defineret i § 332, nr. 3.« 53. I bilag 1 indsættes som nr. 14 og 15:»14) Udstedelse af aktivbaserede tokens som defineret i § 332, nr. 2.15) Udbud af kryptoaktivtjenester som defineret i § 332, nr. 7.« Bilag 2. Kreditinstitutvirksomhed. 1-15) --- 54. I bilag 2 indsættes som nr. 16-18:»16) Udstedelse af elektroniske penge, herunder elektroniske pengetokens som defineret i § 332, nr. 3.17) Udstedelse af aktivbaserede tokens som defineret i § 332, nr. 2.18) Udbud af kryptoaktivtjenester som defineret i § 332, nr. 7.« § 2 I lov om betalinger, jf. lovbekendtgørelse nr. 53 af 18. januar 2023, som ændret ved § 9 i lov nr. 409 af 25. april 2023, foretages følgende ændringer: Lov om betalinger Fodnoten. Loven indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, EU-Tidende 2015, nr. 3 L 337, side 35, (2. betalingstjenestedirektiv), Europa-Parlamentets og Rådets direktiv 2009/110/EU af 16. september 2009) om adgang til at optage og udøve virksomhed som udsteder af elektroniske penge og tilsyn med en sådan virksomhed, EU-Tidende 2009, nr. L 267, side 7, (2. e-pengedirektiv) og dele af Europa-Parlamentets og Rådets direktiv 2019/878/EU af 20. maj 2019 om ændring af direktiv 2013/36/EU, for så vidt angår fritagne enheder, finansielle holdingselskaber, blandede finansielle holdingselskaber, aflønning, tilsynsforanstaltninger og –beføjelser og kapitalbevaringsforanstaltninger, EU-Tidende 2019, nr. L 150, side 253 (CRD V). 1. I fodnoten til lovens titel ændres »(2. e-pengedirektiv) og« til: »(2. e-pengedirektiv),« og efter » side 253 (CRD V)« indsættes: »og dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«. § 5. Loven finder ikke anvendelse på følgende aktiviteter m.v.: 1-9) --- 10)Tjenester leveret af en udbyder af tekniske tjenester, der understøtter udbuddet af betalingstjenester, såfremt udbyderen ikke på noget tidspunkt er i besiddelse af de midler, som skal overføres, og der ikke er tale om tjenester omfattet af bilag 1, nr. 7 og 8, jf. dog § 122. 2. § 5, nr. 10, affattes således:»10) Tjenester leveret af en udbyder af tekniske tjenester, der understøtter udbuddet af betalingstjenester, når udbyderen ikke på noget tidspunkt er i besiddelse af de midler, som skal overføres, og der ikke er tale om tjenester omfattet af bilag 1, nr. 7 og 8, jf. dog § 122.« 11-18) --- § 11. En ansøgning om tilladelse skal indeholde de oplysninger, der er nødvendige til brug for Finanstilsynets vurdering af, om kravene i § 10 er opfyldt. Ansøgningen skal som minimum indeholde: 1-10) --- 11)Virksomhedens forretningsgange og interne kontrolmekanismer, herunder administrative, risikostyringsmæssige og regnskabsmæssige procedurer, jf. § 25. 3. I § 11, stk. 1, nr. 11, indsættes efter »procedurer, jf. § 25«: »samt ordninger for brug af it-tjenester i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. 12)Virksomhedens forretningsgange for håndtering og opfølgning på sikkerhedshændelser og sikkerhedsrelaterede kundeklager, herunder procedurer for indberetning af sikkerhedshændelser, jf. § 127. 4. I § 11, stk. 1, nr. 12, ændres: »§ 127« til: »kapitel III i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. 13 og 14) --- 15)Virksomhedens beredskabsplan, herunder en klar beskrivelse af de kritiske funktioner, effektive beredskabsplaner og procedurer til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige. 5. § 11, stk. 1, nr. 15, affattes således:»15) Virksomhedens beredskabsplan, herunder en klar beskrivelse af de kritiske funktioner, effektive politikker og planer for it-driftsstabilitet og planer for it-indsats- og genopretning og procedurer til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige og effektive i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.« 16) --- 17)Virksomhedens sikkerhedspolitik, en detaljeret risikovurdering i tilknytning til de betalingstjenester, som virksomheden påtænker at udbyde, og en beskrivelse af de foranstaltninger, som virksomheden har foretaget for at imødegå de identificerede risici, herunder svig og misbrug af følsomme betalingsdata og personoplysninger. Beskrivelsen af foranstaltningerne skal indeholde oplysninger om, hvordan virksomheden sikrer et højt niveau af teknisk sikkerhed og databeskyttelse, herunder vedrørende de software- og it-systemer, der anvendes af ansøgeren eller de virksomheder, som ansøgeren outsourcer alle eller dele af sine aktiviteter til. 6. § 11, stk. 1, nr. 17, 2. pkt., affattes således:»Beskrivelsen af foranstaltningerne skal indeholde oplysninger om, hvordan virksomheden sikrer et højt niveau af digital operationel modstandsdygtighed i overensstemmelse med kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, navnlig med hensyn til teknisk sikkerhed og databeskyttelse, herunder vedrørende de software- og it-systemer, der anvendes af ansøgeren eller de virksomheder, som ansøgeren outsourcer alle eller dele af sine aktiviteter til.« 18) --- Stk. 2 og 3. --- § 54. En ansøgning om begrænset tilladelse til at udbyde betalingstjenester eller udstede elektroniske penge skal indeholde de oplysninger, der er nødvendige for Finanstilsynets vurdering af, om betingelserne i § 52 er opfyldt. Ansøgningen skal som minimum indeholde: 1-7) --- 8)Oplysninger om virksomhedens forretningsgange og interne kontrolmekanismer, herunder administrative, risikostyringsmæssige og regnskabsmæssige procedurer, omfattende: a og b) --- c) Virksomhedens forretningsgange for håndtering af og opfølgning på sikkerhedshændelser og sikkerhedsrelaterede kundeklager, herunder for indberetning af sikkerhedshændelser, jf. §§ 126 og 127. 7. I § 54, nr. 8, litra c, ændres: »§§ 126 og 127« til: »§ 126 og kapitel III i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. d) --- 9) --- § 60. --- Stk. 2. --- Stk. 3. En ansøgning om tilladelse i henhold til stk. 1 skal indeholde de oplysninger, der er nødvendige til brug for Finanstilsynets vurdering af, om kravene i stk. 2 er opfyldt. Ansøgningen skal som minimum indeholde: 1-4) --- 5)Oplysninger om virksomhedens forretningsgange og interne kontrolmekanismer, herunder administrative, risikostyringsmæssige og regnskabsmæssige procedurer. 8. I § 60, stk. 3, nr. 5, indsættes efter »procedurer«: »samt ordninger for brug af it-tjenester i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. 6)Oplysninger om virksomhedens forretningsgange for håndtering af og opfølgning på sikkerhedshændelser og sikkerhedsrelaterede kundeklager, herunder procedurer for indberetning af sikkerhedshændelser, jf. § 126. 9. I § 60, stk. 3, nr. 6, ændres: »§ 126« til: »kapitel III i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. 7) --- 8)En beskrivelse af virksomhedens beredskabsplan, herunder en klar beskrivelse af de kritiske funktioner, effektive beredskabsplaner og procedurer til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige. 10. § 60, stk. 3, nr. 8, affattes således:»8) En beskrivelse af virksomhedens beredskabsplan, herunder en klar beskrivelse af de kritiske funktioner, effektive politikker og planer for it-driftsstabilitet og planer for it-indsats og genopretning og procedurer til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige og effektive i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.« 9-11) --- Stk. 4-8. --- § 126. --- 11. I § 126 indsættes efter stk. 1 som nyt stykke:»Stk. 2. Stk. 1, nr. 1 og 2, berører ikke anvendelsen af kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.«Stk. 2-5 bliver herefter stk. 3-6. Stk. 2-4. --- Stk. 5. Finanstilsynet kan fastsætte nærmere regler om de procedurer og kontrolmekanismer, en udbyder af betalingstjenester skal have, jf. stk. 1, nr. 1 og 2, og stk. 2. 12. I § 126, stk. 5, der bliver stk. 6, ændres »stk. 2« til: »stk. 3«. § 127. En udbyder af betalingstjenester skal snarest muligt underrette Finanstilsynet om større drifts- og sikkerhedshændelser. Finanstilsynet skal uden unødig forsinkelse vurdere underretningen og videregive oplysninger, der er relevante, til den Europæiske Centralbank, Den Europæiske Banktilsynsmyndighed og relevante tilsynsmyndigheder i de lande, der er berørt af hændelsen. 13. § 127, stk. 1 og 2, ophæves.Stk. 3 og 4 bliver herefter stk. 1 og 2. Stk. 2. I den situation, hvor hændelsen har eller kan få indvirkning på brugerne af betalingstjenestens økonomiske interesser, skal udbyderen snarest muligt orientere brugerne om denne og om de tilgængelige foranstaltninger, som de kan træffe for at begrænse hændelsens negative følger. 13. § 127, stk. 1 og 2, ophæves.Stk. 3 og 4 bliver herefter stk. 1 og 2. Stk. 3. --- Stk. 4. Finanstilsynet fastsætter nærmere regler om den tekniske gennemførelse af indberetningspligten i henhold til stk. 1-3. 14. I § 127, stk. 4, der bliver stk. 2, ændres »stk. 1-3« til: »stk. 1«. § 130. Finanstilsynet påser overholdelsen af loven med undtagelse af § 27 og påser overholdelsen af regler udstedt i medfør af loven, jf. dog §§ 144 og 145. Finanstilsynet påser endvidere overholdelsen af artikel 3-4 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og om ophævelse af forordning (EF) nr. 2560/2001 og Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro og forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked. 15. I § 130, stk. 1, 2. pkt., ændres »og forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked« til: », forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 af 25. november 2015 om betalingstjenester i det indre marked og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf«.16. I § 130, stk. 1, indsættes som 3. pkt.: ¬»Finanstilsynet påser endvidere udstedere af e-pengetokens overholdelse af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf.« Stk. 2 og 3. --- § 135. Finanstilsynet kan inddrage en virksomheds tilladelse som e-pengeinstitut, betalingsinstitut eller udbyder af kontooplysningstjenester eller en begrænset tilladelse til udstedelse af elektroniske penge eller udbud af betalingstjenester, hvis virksomheden 1-6) --- 7)gør sig skyldig i grove eller gentagne overtrædelser af hvidvaskloven. 17. I § 135, stk. 1, nr. 7, indsættes efter: »af hvidvaskloven«: »eller Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«. Stk. 2-4. --- § 136. --- Stk. 2-5. --- Stk. 6. Bestemmelsen i stk. 1 er ikke til hinder for, at fortrolige oplysninger videregives til: 1-26) --- 18. I § 136, stk. 6, indsættes som nr. 27:»27) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor under forudsætning af, at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.« Stk. 7-11. --- § 138. Reaktioner givet efter denne lovs § 130, stk. 2, jf. § 345, stk. 12, nr. 4, i lov om finansiel virksomhed, eller af Finanstilsynet efter delegation fra Finanstilsynets bestyrelse til en virksomhed omfattet af denne lov skal offentliggøres med angivelse af navnet på virksomheden, jf. dog stk. 3. Virksomheden skal offentliggøre oplysningerne på sin eventuelle hjemmeside på et sted, hvor de naturligt hører hjemme, hurtigst muligt og senest 3 hverdage efter at virksomheden har modtaget underretning om reaktionen, eller senest på tidspunktet for offentliggørelse påkrævet efter lov om værdipapirhandel m.v. Samtidig med offentliggørelsen skal virksomheden indsætte et link, som giver direkte adgang til reaktionen, på forsiden af virksomhedens eventuelle hjemmeside på en synlig måde, og det skal af linket og en eventuel tilknyttet tekst tydeligt fremgå, at der er tale om en reaktion fra Finanstilsynet. Kommenterer virksomheden på reaktionen, skal dette ske i forlængelse af denne, og kommentarerne skal være klart adskilt fra reaktionen. Fjernelse af linket på forsiden og informationerne fra virksomhedens eventuelle hjemmeside skal finde sted efter samme principper, som virksomheden anvender for øvrige meddelelser, dog tidligst når linket og informationerne har ligget på hjemmesiden i 3 måneder, og tidligst efter førstkommende generalforsamling eller repræsentantskabsmøde. Virksomhedens pligt til at offentliggøre oplysningerne på virksomhedens hjemmeside gælder kun for juridiske personer. Finanstilsynet skal offentliggøre oplysningerne på tilsynets hjemmeside. Reaktioner givet i henhold til denne lovs § 130, stk. 2, jf. § 345, stk. 12, nr. 6, i lov om finansiel virksomhed, og Finanstilsynets beslutninger om at overgive sager efter denne lov eller regler udstedt i medfør af loven eller efter forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, artikel 3-4 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og om ophævelse af forordning (EF) nr. 2560/2001 og Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro til politimæssig efterforskning skal offentliggøres på Finanstilsynets hjemmeside med angivelse af virksomhedens navn, jf. dog stk. 3. Indbringes reaktionen, der offentliggøres i henhold til 1. pkt., for Erhvervsankenævnet eller domstolene, skal dette fremgå af Finanstilsynets offentliggørelse, og det efterfølgende resultat af Erhvervsankenævnets eller domstolenes afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt. 19. I § 138, stk. 1, 8. pkt., ændres »og Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro« til: », Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf«.20. I § 138, stk. 1, indsættes efter 8. pkt. som nyt punktum:»Reaktioner givet i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf, skal offentliggøres på Finanstilsynets hjemmeside med angivelse af virksomhedens navn.«21. I § 138, stk. 1, 9. pkt., der bliver 10. pkt., ændres »1. pkt.«: til »1. pkt. eller 9. pkt.« Stk. 2-6. --- § 142. Som part i forhold til Finanstilsynet anses virksomheder eller personer, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af denne lov eller regler udstedt i medfør af denne lov, jf. dog stk. 2. 22. I § 142, stk. 1, indsættes efter »regler udstedt i medfør af denne lov«: », forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, artikel 3-4 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og om ophævelse af forordning (EF) nr. 2560/2001, Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro, Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 om markeder for kryptoaktiver og regler udstedt i medfør heraf«. Stk. 2 og 3. --- § 143. Afgørelser truffet af Finanstilsynet i henhold til denne lov, regler udstedt i medfør heraf, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, artikel 3-4 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og om ophævelse af forordning (EF) nr. 2560/2001 eller Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro kan af den, som afgørelsen retter sig mod, indbringes for Erhvervsankenævnet, senest 4 uger efter at afgørelsen er meddelt den pågældende. 23. I § 143 indsættes efter »udstedt i medfør heraf,«: »Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf,«. § 152. Overtrædelse af §§ 2, 3, 16, 17, 19 og 20, § 30, stk. 2, jf. stk. 1, nr. 3 og 4, § 30, stk. 3, jf. stk. 2, jf. stk. 1, nr. 3 og 4, §§ 35, 58 og 59 og § 60, stk. 1, straffes med bøde eller fængsel indtil 4 måneder, medmindre højere straf er forskyldt efter den øvrige lovgivning. 24. I § 152, stk. 1, indsættes efter »og § 60, stk. 1,«: » i denne lov og artikel 48, stk. 1, artikel 49, stk. 4, artikel 50, stk. 1 og 2, artikel 54, artikel 59, stk. 1, artikel 60, stk. 4, artikel 67, stk. 4, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver,«. Stk. 2. Overtrædelse af § 21, stk. 1, § 22, § 25, stk. 1 og 2, § 25 a, stk. 1-3, § 26, stk. 1, § 27, stk. 1, § 27 a, stk. 1, § 28, § 29, stk. 1, nr. 1 og 2, § 36, stk. 1, § 37, stk. 1, 3. pkt., § 38, stk. 1, 1. pkt., og stk. 2, § 40, § 43, stk. 1 og stk. 7, 4. pkt., og stk. 10, § 44, § 45, stk. 1 og 5 og stk. 8, 4. pkt., § 60, stk. 7, § 61, stk. 1, § 62, stk. 1 og 3, § 63, stk. 1 og 2, § 64, stk. 1, 3 og 4, § 66, stk. 1, § 67, stk. 1-6, §§ 68, 69, 70, 71 og 72, § 75, stk. 3, §§ 76-78 og 80, § 81, stk. 1, § 83, stk. 2, §§ 84, 85, 86, 87, 88 og 89, § 90, stk. 2-4, § 91, stk. 1-4, § 92, stk. 2 og 3, § 94, stk. 1 og 2, § 95, § 96, stk. 1-3, § 101, stk. 1, § 110, stk. 1, § 117, § 118, stk. 1 og 2, § 120, stk. 1, § 121, stk. 2, 1. pkt., § 122, stk. 1 og 2, § 123, stk. 1 og 2, § 124, stk. 2 og 4, § 125, stk. 2-6, § 126, stk. 1, § 127, stk. 1-3, og § 128, stk. 1 og 5, samt artikel 3, stk. 1 og 1a, artikel 3a, stk. 3-5, artikel 3b, artikel 4, stk. 1, 3 og 4, og artikel 6 og 7 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og om ophævelse af forordning (EF) nr. 2560/2001, artikel 3-6 og 8-9 i Europa-Parlamentets og Rådets forordning nr. 260/2012/EU af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro og om ændring af forordning nr. 924/2009/EF om grænseoverskridende betalinger i euro (SEPA-forordningen) og Europa-Parlamentets og Rådets forordning nr. 2015/751/EU om interbankgebyrer for kortbaserede betalingstransaktioner straffes med bøde. 25. I § 152, stk. 2, indsættes efter: »(SEPA-forordningen)«: », artikel 46, stk. 1 og 2, artikel 47, stk. 1-3, artikel 48, stk. 6 og 7, artikel 49, stk. 5, artikel 51, stk. 1-9, 11-13 og stk. 14, 1. pkt., artikel 53, stk. 1-3, 5 og 6, artikel 55, artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9 og artikel 82, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. § 3 I lov om kapitalmarkeder, jf. lovbekendtgørelse nr. 41 af 13. januar 2023, som ændret ved § 6 i lov nr. 243 af 7. marts 2023, § 5 i lov nr. 480 af 12. maj 2023 og § 5 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer: Lov om kapitalmarkeder Fodnoten. Loven indeholder bestemmelser, der gennemfører Europa-Parlamentets og Rådets direktiv 98/26/EF af 19. maj 1998, EF-Tidende 1998, nr. L 166, side 45, Europa-Parlamentets og Rådets direktiv 2001/34/EF af 28. maj 2001, EF-Tidende 2001, nr. L 184, side 1, Europa-Parlamentets og Rådets direktiv 2002/47/EF af 14. juni 2002, EF-Tidende 2002, nr. L 168, side 43, som ændret ved Europa-Parlamentets og Rådets forordning (EU) 2021/23 af 16. december 2020, EU-Tidende 2021, nr. L 22, side 1, dele af Europa-Parlamentets og Rådets direktiv 2004/25/EF af 21. april 2004, EU-Tidende 2004, nr. L 142, side 12, dele af Europa-Parlamentets og Rådets direktiv 2004/109/EF af 15. december 2004, EU-Tidende 2004, nr. L 390, side 38, dele af Kommissionens direktiv 2007/14/EF af 8. marts 2007 om gennemførelsesbestemmelser til visse bestemmelser i direktiv 2004/109/EF, EU-Tidende, nr. L 69, side 27, dele af Europa-Parlamentets og Rådets direktiv 2007/36/EF af 11. juli 2007, EU-tidende 2007, nr. L 184, side 17, som ændret ved Europa-Parlamentets og Rådets forordning (EU) 2021/23 af 16. december 2020, EU-Tidende 2021, nr. L 22, side 1, Europa-Parlamentets og Rådets direktiv 2009/44/EF af 6. maj 2009, EU-Tidende 2009, nr. L 146, side 37, dele af Europa-Parlamentets og Rådets direktiv 2010/73/EU af 24. november 2010, EU-Tidende 2010, nr. L 327, side 1, dele af Europa-Parlamentets og Rådets direktiv 2013/50/EU af 22. oktober 2013, EU-Tidende 2013, nr. L 294, side 13, Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014, EU-Tidende 2014, nr. L 173, side 349, som ændret ved Europa-Parlamentets og Rådets direktiv (EU) 2019/2177 af 18. december 2019, EU-Tidende 2019, nr. L 334, side 155, og Europa-Parlamentets og Rådets direktiv (EU) 2021/338 af 16. februar 2021, EU-Tidende 2021, nr. L 68, side 14, dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016, EU-Tidende 2016, nr. L 194, side 1, dele af Europa-Parlamentets og Rådets direktiv 2017/828/EU af 17. maj 2017, EU-Tidende 2017, nr. L 132, side 1, og dele af Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296. I loven er der medtaget visse bestemmelser fra Kommissionens forordning nr. 1031/2010/EU af 12. november 2010, EU-Tidende 2010, nr. L 302, side 1, Europa-Parlamentets og Rådets forordning nr. 236/2012/EU af 14. marts 2012, EU-Tidende 2012, nr. L 86, side 1, dele af Europa-Parlamentets og Rådets forordning nr. 648/2012/EU af 4. juli 2012, EU-Tidende 2012, nr. L 201, side 1, Europa-Parlamentets og Rådets forordning nr. 600/2014 af 15. maj 2014, EU-Tidende 2014, nr. L 173, side 84, som ændret ved Europa-Parlamentets og Rådets forordning (EU) 2019/2175 af 18. december 2019, EU-Tidende 2019, nr. L 334, side 1, Europa-Parlamentets og Rådets forordning nr. 909/2014 af 23. juli 2014, EU-Tidende, nr. L 257, side 1, og Europa-Parlamentets og Rådets forordning nr. 596/2014/EU af 16. april 2014, EU-Tidende 2014, nr. L 173, side 1, Europa-Parlamentets og Rådets forordning 2015/2365/EU af 25. november 2015, nr. L 337, side 1, Europa-Parlamentets og Rådets forordning 2016/1011/EU af 8. juni 2016, EU-Tidende 2016, nr. L 171, side 1, og Europa-Parlamentets og Rådets forordning 2017/1129/EU af 14. juni 2017, EU-Tidende 2017, nr. 168, side 12. Ifølge artikel 288 i EUF-Traktaten gælder en forordning umiddelbart i hver medlemsstat. Gengivelsen af disse bestemmelser i loven er udelukkende begrundet i praktiske hensyn og berører ikke forordningernes umiddelbare gyldighed i Danmark. 1. I fodnoten til lovens titel udgår »dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016, EU-Tidende 2016, nr. L 194, side 1,«, og »og dele af Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296« ændres til: », dele af Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296, og dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«. Overskriften. Identifikation af operatører af væsentlige tjenester 2. Overskriften før § 58 a ophæves. § 58 a. Finanstilsynet udpeger mindst hvert andet år de operatører af markedspladser og centrale modparter (CCP’er), der er operatører af væsentlige tjenester. Det samme gælder filialer af udenlandske operatører af markedspladser. 3. § 58 a ophæves. Stk. 2. Finanstilsynet skal i forbindelse med udpegningen efter stk. 1 lægge vægt på, at 1)de tjenester, der leveres, er væsentlige for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter, 2)leveringen af tjenesten afhænger af net- og informationssystemer og 3)en hændelse vil få væsentlige forstyrrende virkninger for leveringen af tjenesten. Stk. 3. Finanstilsynet offentliggør på sin hjemmeside, hvilke operatører af markedspladser og centrale modparter (CCP’er) der er udpeget som operatører af væsentlige tjenester. Stk. 4. Finanstilsynet kan fastsætte nærmere regler om udpegning af operatører af væsentlige tjenester og de kriterier, Finanstilsynet kan lægge vægt på efter stk. 1 og 2, herunder fastsætte nærmere regler om hændelsesrapportering, herunder om, at Finanstilsynet og Center for Cybersikkerhed underrettes ved en hændelse, der har en negativ indvirkning på sikkerheden i virksomhedens net- og informationssystemer. Finanstilsynet udarbejder en liste over tjenester, jf. stk. 2, nr. 1. § 60. Finanstilsynet kan inddrage en tilladelse efter § 59, når 1-6) --- 7)operatøren af et reguleret marked groft eller gentagne gange tilsidesætter sine pligter efter denne lov, regler fastsat i medfør af loven, påbud i henhold til kapitel 37 eller pligter efter Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter og regler fastsat i medfør heraf. 4. I § 60, stk. 1, nr. 7, ændres: »eller pligter efter Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter og regler fastsat i medfør heraf« til: », pligter efter Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter og regler fastsat i medfør heraf eller pligter efter Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler fastsat i medfør heraf«. Stk. 2. --- § 71. --- Stk. 2. En operatør af et reguleret marked skal 1 og 2) --- 3)sikre en ordentlig forvaltning af den tekniske funktion af markedspladsens systemer, herunder etablere effektive nødsystemer, 5. § 71, stk. 2, nr. 3, affattes således:»3) kunne styre it-risici i overensstemmelse med kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. 4-6) --- Stk. 3. --- § 114. En operatør af en markedsplads skal have systemer, procedurer og ordninger, der sikrer, at markedspladsens handelssystemer 6. I § 114 ændres »have systemer, procedurer og ordninger, der sikrer« til: »etablere og opretholde operationel modstandsdygtighed i overensstemmelse med kravene i kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor for at sikre«. 1)er fleksible, 7. I § 114, nr. 1, ændres »fleksible« til: »modstandsdygtige«. 2-4) --- 5)er omfattet af driftsstabilitetsordninger, der effektivt sikrer, at markedets tjenester kan opretholdes, i tilfælde af at markedspladsens handelssystem svigter. 8. I § 114, nr. 5, indsættes efter »driftsstabilitetsordninger,«: »herunder politikker og planer for it-driftsstabilitet og planer for it-indsats og genopretning udarbejdet i overensstemmelse med artikel 11 i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. § 118. --- Stk. 2. Systemer, procedurer og ordninger som nævnt i stk. 1 skal som minimum omfatte 1)ordninger, der sikrer og letter medlemmers afprøvning af algoritmer, 9. I § 118, stk. 2, nr. 1, indsættes efter »afprøvning af algoritmer«: »i overensstemmelse med kravene til it-risikostyring af informations- og kommunikationsteknologi og til test af digital operationel modstandsdygtighed i kapitel II og IV i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. 2 og 3) --- § 129. --- Stk. 2. 1)Positioner, der besiddes af eller på vegne af en ikkefinansiel enhed, og som reducerer de risici, der er direkte knyttet til den ikkefinansielle enheds forretningsmæssige aktivitet. 10. I § 129, stk. 2, nr. 1 og 2, ændres »reducerer« til: »objektivt kan måles til at reducere«, og i nr. 3, ændres », og som hidrører« til: »med hensyn til positioner, som objektivt kan måles til at hidrøre«. 2)Positioner, der besiddes af eller på vegne af en finansiel enhed, der indgår i en overvejende kommerciel koncern, såfremt den finansielle enhed handler på vegne af en ikkefinansiel enhed i koncernen og positionerne reducerer de risici, der er knyttet til den pågældende ikkefinansielle enheds forretningsmæssige aktivitet. 10. I § 129, stk. 2, nr. 1 og 2, ændres »reducerer« til: »objektivt kan måles til at reducere«, og i nr. 3, ændres », og som hidrører« til: »med hensyn til positioner, som objektivt kan måles til at hidrøre«. 3)Positioner, der besiddes af finansielle og ikkefinansielle modparter, og som hidrører fra transaktioner, der er indgået for at opfylde en forpligtelse til at tilføre en markedsplads likviditet. 10. I § 129, stk. 2, nr. 1 og 2, ændres »reducerer« til: »objektivt kan måles til at reducere«, og i nr. 3, ændres », og som hidrører« til: »med hensyn til positioner, som objektivt kan måles til at hidrøre«. 4) --- § 130. En operatør af en markedsplads, hvorpå der handles med råvarederivater, skal foretage positionsforvaltningskontrol. Operatøren kan i den forbindelse 1-4) --- 5)kræve, at en person midlertidigt tilbagefører likviditet til markedspladsen til en aftalt pris og i en aftalt mængde. 11. § 130, stk. 1, nr. 5, indsættes efter »aftalt mængde«: »med det udtrykkelige formål at afbøde virkningen af en stor og dominerende position«. Stk. 2 og 3. --- § 135. Et fondsmæglerselskab, der benytter sig af algoritmisk handel, skal 1)have effektive systemer og risikokontrolforanstaltninger 729, der a) sikrer, at vedkommendes handelssystemer er modstandsdygtige over for forstyrrelser på markedet og har tilstrækkelig kapacitet til at håndtere perioder med spidsbelastning, 12. I § 135, nr. 1, litra a, ændres »til at håndtere perioder med spidsbelastning« til: »i overensstemmelse med kravene til it-risikostyring i kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. b og c) --- 2) --- 3)have effektive ordninger, der sikrer, at fondsmæglerselskabet kan håndtere en brist i fondsmæglerselskabets handelssystemer, og sikrer, at fondsmæglerselskabets systemer er grundigt afprøvet, og 13. I § 135, nr. 3, indsættes efter »handelssystemer,«: »herunder planer for it-driftsstabilitet og planer for it-indsats og genopretning i overensstemmelse med artikel 11 i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. 4)underlægge sine handelssystemer behørig overvågning, der sikrer, at kravene i nr. 1-3 er overholdt. 14. I § 135, nr. 4, indsættes efter »kravene i nr. 1-3«: »og kravene til it-risikostyring og til test af digital operationel modstandsdygtighed i kapitel II og IV i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. § 180 g. --- Stk. 2. --- Stk. 3. Finanstilsynet kan fastsætte nærmere regler om de foranstaltninger, som en it-operatør af et detailbetalingssystem skal træffe for at have betryggende kontrol- og sikringsforanstaltninger på it-området, jf. stk. 2, nr. 2. 15. I § 180 g, stk. 3, indsættes efter »detailbetalingssystem«: », der ikke er udpeget som operatør af finansiel digital infrastruktur, jf. § 333, stk. 3, i lov om finansiel virksomhed«. § 180 h. Finanstilsynet fastsætter bestemmelser om intern it-revision og om systemrevisionens gennemførelse for en it-operatør af et detailbetalingssystem. 16. I § 180 h indsættes efter »detailbetalingssystem«: », der ikke er udpeget som operatør af finansiel digital infrastruktur, jf. § 333, stk. 3, i lov om finansiel virksomhed«. § 211. --- Stk. 2. Finanstilsynet påser endvidere overholdelsen af: 1-14) --- 17. I § 211, stk. 2, indsættes som nr. 15 og 16:»15) Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf.16) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.« Stk. 3 og 4. --- § 226. § 224, stk. 1, er endvidere ikke til hinder for, at fortrolige oplysninger videregives til: 1-16) --- 18. I § 226 indsættes som nr. 17:»17) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, på betingelse af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.« § 236 a. Finanstilsynet kan efter høring af en operatør af en markedsplads eller central modpart (CCP), der underretter Finanstilsynet og Center for Cybersikkerhed om en hændelse, som har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer, orientere offentligheden om hændelsen, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge eller håndtere en igangværende hændelse. Offentliggørelsen må ikke indeholde fortrolige oplysninger om kundeforhold eller oplysninger omfattet af § 30 i lov om offentlighed i forvaltningen. Offentliggørelsen må ikke indeholde fortrolige oplysninger, der hidrører fra finansielle tilsynsmyndigheder i andre lande inden for eller uden for Den Europæiske Union, medmindre de myndigheder, der har afgivet oplysningerne, har givet deres udtrykkelige tilladelse. 19. § 236 a ophæves. § 248. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde overtrædelse af artikel 3, stk. 1 og 3, artikel 4, stk. 3, litra a-c, artikel 6, artikel 7, stk. 1, 3. afsnit, 1. pkt., artikel 8, stk. 1, 3 og 4, artikel 10, artikel 11, stk. 1, 3. afsnit, 1. pkt., og stk. 3, 3. afsnit, artikel 12, stk. 1, artikel 13, stk. 1, artikel 14, stk. 1, stk. 2, 1. afsnit, og stk. 3, 2.-4. pkt., artikel 15, stk. 1, 1. afsnit og 2. afsnit, 1. og 3. pkt., stk. 2 og stk. 4, 2. pkt., artikel 17, stk. 1, 2. pkt., artikel 18, stk. 1 og 2, stk. 4, 1. pkt., stk. 5, 1. pkt., stk. 6, 1. afsnit, og stk. 8 og 9, artikel 20, stk. 1, og stk. 2, 1. pkt., artikel 21, stk. 1, 2 og 3, artikel 22, stk. 2, artikel 23, stk. 1 og 2, artikel 25, stk. 1 og 2, artikel 26, stk. 1, 1. afsnit, stk. 2-5, stk. 6, 1. afsnit, og stk. 7, 1.-4. afsnit og 8. afsnit, artikel 27, stk. 1, artikel 27 f, stk. 1-3, artikel 27 g, stk. 1-5, og artikel 27 i, stk. 1-4, når en godkendt offentliggørelsesordning (APA) eller en godkendt indberetningsmekanisme (ARM) har en undtagelse i overensstemmelse med artikel 2, stk. 3, artikel 28, stk. 1 og stk. 2, 1. afsnit, artikel 29, stk. 1 og 2, artikel 30, stk. 1, artikel 31, stk. 2 og 3, artikel 35, stk. 1-3, artikel 36, stk. 1-3, og artikel 37, stk. 1 og 3, i Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter. 20. I § 248 udgår »artikel 27 f, stk. 1-3, artikel 27 g, stk. 1-5, og artikel 27 i, stk. 1-4, når en godkendt offentliggørelsesordning (APA) eller en godkendt indberetningsmekanisme (ARM) har en undtagelse i overensstemmelse med artikel 2, stk. 3,«. 21. I § 248 indsættes som 2. pkt.:»Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde overtrædelse af artikel 27 b, stk. 1 og 2, artikel 27 f, stk. 1-3, artikel 27 g, stk. 1-5, og artikel 27 i, stk. 1-4, når en godkendt offentliggørelsesordning (APA) eller en godkendt indberetningsmekanisme (ARM) har en undtagelse i overensstemmelse med artikel 2, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter.« 22. Efter § 251 a indsættes:»§ 251 b. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde overtrædelse af artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9, artikel 76, stk. 3, 4 og 9-15, artikel 88, stk. 1-3, og artikel 92, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.Stk. 2. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller fængsel indtil 4 måneder overtrædelse af artikel 59, stk. 1, artikel 60, stk. 2 og 6, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, artikel 76, stk. 1, 2 og 5-8, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.Stk. 3. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller fængsel indtil 1 år og 6 måneder overtrædelser af artikel 89, stk. 1 og 3, artikel 90, stk. 1, og artikel 91, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.§ 251 c. Medmindre højere straf er forskyldt efter den øvrige lovgivning straffes med bøde overtrædelse af artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1-3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.« § 4 I lov nr. 1155 af 8. juni 2021 om fondsmæglerselskaber og investeringsservice og -aktiviteter, som ændret bl.a. ved § 13 i lov nr. 2382 af 14. december 2021, § 10 i lov nr. 568 af 10. maj 2022, § 3 i lov nr. 409 af 25. april 2023 og senest ved § 4 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer: Lov om fondsmæglerselskaber og investeringsservice og -aktiviteter Fodnoten. Loven indeholder bestemmelser, der gennemfører Europa-Parlamentets og Rådets direktiv 2019/2034/EU af 27. november 2019 (IFD), EU-Tidende 2019, nr. L 314, side 64, dele af Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 (MiFID II), EU-Tidende 2014, nr. L 173, side 349, Europa-Parlamentets og Rådets direktiv 2007/44/EF af 5. september 2007 (kapitalandelsdirektivet), EU-Tidende 2007, nr. L 247, side 1, dele af Europa-Parlamentets og Rådets direktiv 2017/828/EU af 17. maj 2017 (aktionærrettighedsdirektivet), EU-Tidende 2017, nr. L 132, side 1, Europa-Parlamentets og Rådets direktiv 2002/87/EF af 16. december 2002 (konglomeratdirektivet), EU-Tidende 2003, nr. L 35, side 1, dele af Europa-Parlamentets og Rådets direktiv 2013/34/EU af 26. juni 2013 (regnskabsdirektivet), EU-Tidende 2013, nr. L 182, side 19, Kommissionens direktiv 2010/43/EU af 1. juli 2010, EU-Tidende 2010, nr. L 176, side 42, dele af Europa-Parlamentets og Rådets direktiv 2014/49/EU af 16. april 2014 (DGSD), EU-Tidende 2014, nr. L 173, side 149, dele af Europa-Parlamentets og Rådets direktiv 2015/849/EU af 20. maj 2015 (4. hvidvaskdirektiv), EU-Tidende 2015, nr. L 141, side 73, dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 (NIS-direktivet), EU-Tidende 2016, nr. L 194, side 1, dele af Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 (BRRD), EU-Tidende 2014, nr. L 173, side 190, Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296, og dele af Europa-Parlamentets og Rådets direktiv 2019/878/EU af 20. maj 2019, EU-Tidende 2019, nr. L 150, side 253-293.I loven er der endvidere medtaget visse bestemmelser fra Europa-Parlamentets og Rådets forordning 2019/2033/EU af 27. november 2019 (IFR), EU-Tidende 2019, nr. L 314, side 1, og Europa-Parlamentets og Rådets forordning 600/2014/EU af 15. maj 2014 (MiFIR), EU-Tidende 2014, nr. L 173, side 84. Ifølge artikel 288 i EUF-traktaten gælder en forordning umiddelbart i hver medlemsstat. Gengivelsen af disse bestemmelser i loven er således udelukkende begrundet i praktiske hensyn og berører ikke forordningernes umiddelbare gyldighed i Danmark. I loven er der endvidere medtaget visse bestemmelser fra Kommissionens forordning 584/2010/EU af 1. juli 2010, EU-Tidende 2010, nr. L 176, side 16, Europa-Parlamentets og Rådets forordning 1093/2010/EU af 24. november 2010, EU-Tidende 2010, nr. L 331, side 12, og Europa-Parlamentets og Rådets forordning 1095/2010/EU af 24. november 2010, EU-Tidende 2010, nr. L 331, side 84. 1. I fodnoten til lovens titel ændres »og dele af Europa-Parlamentets og Rådets direktiv 2019/878/EU af 20. maj 2019, EU-Tidende 2019, nr. L 150, side 253-293« til: », dele af Europa-Parlamentets og Rådets direktiv 2019/878/EU af 20. maj 2019, EU-Tidende 2019, nr. L 150, side 253-293 og dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«. § 13. --- Stk. 2. Værdipapirhandlere, som ikke har tilladelse efter § 7, stk. 1, § 8, stk. 1, eller § 10, stk. 2, i lov om finansiel virksomhed, er fondsmæglerselskaber. Fondsmæglerselskaber må kun yde eller udføre investeringsservice og -aktiviteter og accessoriske tjenesteydelser omfattet af bilag 1, jf. dog §§ 15 og 16. 2. I § 13, stk. 2, 2. pkt., indsættes efter », jf. dog«: »§ 13, stk. 6,«. Stk. 3-5. --- 3. I § 13 indsættes som stk. 6:»Stk. 6. Et fondsmæglerselskab kan levere tjenester med kryptoaktiver som angivet i artikel 60, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, svarende til de tjenester, som det specifikt er meddelt tilladelse til i henhold til denne lov, hvis selskabet giver Finanstilsynet meddelelse herom mindst 40 arbejdsdage inden disse tjenester leveres første gang. Meddelelsen skal ledsages af de oplysninger, der er anført i artikel 60, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.« § 95. Et fondsmæglerselskab skal træffe de nødvendige forholdsregler for at sikre sammenhæng og regelmæssighed i sin virksomhed som værdipapirhandler og anvende ressourcer, systemer og procedurer, der er hensigtsmæssige hertil. 4. § 95, stk. 1, affattes således:»Et fondsmæglerselskab skal, træffe de foranstaltninger, som er nødvendige for at sikre kontinuitet og regelmæssighed i ydelsen af investeringsservice og udførelsen af investeringsaktiviteter. Fondsmæglerselskabet skal med henblik herpå anvende hensigtsmæssige og forholdsmæssigt afpassede systemer, herunder it-systemer, som oprettes og styres i overensstemmelse med artikel 7 i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, samt hensigtsmæssige og forholdsmæssigt afpassede ressourcer og procedurer.« Stk. 2-7. --- § 164. Finanstilsynet kan endvidere inddrage et fondsmæglerselskabs tilladelse som fondsmæglerselskab i følgende tilfælde: 1)Fondsmæglerselskabet gør sig skyldig i grove eller gentagne overtrædelser af a-c) --- d) Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter eller 5. I § 164, stk. 1, nr. 1, litra d, ændres »instrumenter eller« til: »instrumenter,«, og i litra e, ændres »terrorisme.« til: »terrorisme eller«. e) forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2015/849 af 20. maj 2015 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme. 5. I § 164, stk. 1, nr. 1, litra d, ændres »instrumenter eller« til: »instrumenter,«, og i litra e, ændres »terrorisme.« til: »terrorisme eller«. 6. I § 164, stk. 1, nr. 1, indsættes som litra f:»f) Europa-Parlamentets og Rådets (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.« 2-4) --- Stk. 2 og 3. --- § 214. Finanstilsynet skal uden ugrundet ophold nedskrive eller konvertere hybride kapitalinstrumenter og supplerende kapitalinstrumenter, som opfylder kravene i artikel 9, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) nr. 2019/2033 af 27. november 2019 om tilsynsmæssige krav til investeringsselskaber, i et fondsmæglerselskab, der har tilladelse til at yde eller udføre en eller begge af de i bilag 1, afsnit A, nr. 3 og 6, nævnte investeringsservicer og -aktiviteter, til egentlige kernekapitalinstrumenter. Det samme gælder for nedskrivningsegnede forpligtelser, som opfylder betingelserne i § 205, nr. 4, uanset om forpligtelserne opfylder betingelsen i § 205, nr. 4, litra b, om en restløbetid på mindst 1 år. 7. I § 214, stk. 1, 1. pkt., indsættes efter »egentlige kernekapitalinstrumenter«: », hvis Finanstilsynet vurderer, at fondsmæglerselskabet ikke vil være levedygtigt, medmindre beføjelsen anvendes«. Stk. 2-7. --- 8. I § 214 indsættes som stk. 8 og 9:»Stk. 8. Kapitalejere og kreditorer, hvis krav er blevet nedskrevet eller konverteret i henhold til stk. 1, må ikke lide større tab end ved konkursbehandling af fondsmæglerselskabet.Stk. 9. Finanstilsynets vurdering efter stk. 8 foretages på baggrund af værdiansættelsen i § 8 i lov om restrukturering og afvikling af visse finansielle virksomheder. Værdiansættelsen foretages af Finansiel Stabilitet efter anmodning fra Finanstilsynet. Konstateres det, at en kapitalejer eller kreditor, herunder Garantiformuen, har lidt større tab, end den ville have gjort ved konkursbehandling af fondsmæglerselskabet, betales forskellen af Afviklingsformuen, jf. kapitel 11 i lov om restrukturering og afvikling af visse finansielle virksomheder.« § 216. --- Stk. 2. --- Stk. 3. Stk. 1 finder ikke anvendelse, hvis forpligtelsen er undtaget fra bail-in, jf. § 25, stk. 3, i lov om restrukturering og afvikling af visse finansielle virksomheder, eller hvis forpligtelsen er et berettiget indskud, jf. § 2, nr. 5, i lov om restrukturering og afvikling af visse finansielle virksomheder. 9. § 216, stk. 3, affattes således:»Stk. 3. Stk. 1 finder ikke anvendelse, hvis1) forpligtelsen er undtaget fra bail-in, jf. § 25, stk. 3, i lov om restrukturering og afvikling af visse finansielle virksomheder,2) forpligtelsen er en del af berettigede kontante midler tilhørende fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, jf. § 2, nr. 19, i lov om restrukturering og afvikling af visse finansielle virksomheder, og overstiger beløbsgrænsen for dækkede kontante midler, jf. § 10 i lov om en indskyder- og investorgarantiordning, eller3) forpligtelsen ville være berettigede kontante midler tilhørende fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, hvis ikke midlerne var indsat gennem filialer af institutter, der er etableret inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, når filialen er beliggende uden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område.« Stk. 4-6. --- § 217. Et fondsmæglerselskab, der har tilladelse til at yde eller udføre en eller begge af de i bilag 1, afsnit A, nr. 3 og 6, nævnte investeringsservicer og -aktiviteter, en fondsmæglerholdingvirksomhed, en blandet holdingvirksomhed, en blandet finansiel holdingvirksomhed eller et finansieringsinstitut skal underrette Finanstilsynet, hvis det ikke er muligt at opfylde § 216, stk. 1, i forhold til en kontrakt vedrørende en forpligtelse omfattet af § 97 i konkursloven. Underretningen skal angive kategorien af forpligtelsen og begrundelsen for, at det ikke er muligt at indføre kontraktbestemmelsen. 10. I § 217, stk. 1, indsættes efter 1. pkt. som nyt punktum:¬»Dette omfatter dog ikke usikrede obligationer og andre former for omsættelig gæld og instrumenter, der skaber eller anerkender en gæld«. Stk. 2-7. --- § 219. --- Stk. 2. Finanstilsynet påser endvidere overholdelsen af § 32, stk. 3, nr. 1, jf. § 32, stk. 6, i revisorloven og følgende EU-retsakter og regler udstedt i medfør heraf: 1-11) --- 11. I § 219, stk. 2, indsættes som nr. 12 og 13:»12) Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf.13) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.« Stk. 3. --- § 257. § 255, stk. 1, er endvidere ikke til hinder for, at fortrolige oplysninger videregives til følgende: 1-14) --- 12. I § 257, stk. 1, indsættes som nr. 15:»15) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.« Stk. 2-6. --- § 259. Som part 1646 i forhold til Finanstilsynet anses fondsmæglerselskabet, fondsmæglerholdingvirksomheden, den tilknyttede agent etableret her i landet, den blandede finansielle holdingvirksomhed, den blandede holdingvirksomhed, investeringsselskabet eller investeringsholdingvirksomheden, som Finanstilsynet har truffet eller vil træffe afgørelse1648 over for i medfør af denne lov, forskrifter fastsat i medfør af denne lov, Europa-Parlamentets og Rådets forordning (EU) 2019/2033 af 27. november 2019 om tilsynsmæssige krav til investeringsselskaber, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2019/2034 af 27. november 2019 om tilsyn med investeringsselskaber og forordninger og regler udstedt i medfør af Europa-Parlamentets og Rådets forordning (EU) 2019/2033 af 27. november 2019 om tilsynsmæssige krav til investeringsselskaber, Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf, jf. dog stk. 2 og 3. 13. I § 259, stk. 1, ændres »tjenesteydelser og« til: »tjenesteydelser,«, og efter »bæredygtige investeringer« indsættes: » og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. Stk. 2-5. --- § 266. Med bøde straffes overtrædelse af følgende bestemmelser, medmindre højere straf er forskyldt efter den øvrige lovgivning: 1-4) --- 14. I § 266, stk. 1, indsættes som nr. 5:»5) Artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9, artikel 76, stk. 3, 4 og 9-15, artikel 77, artikel 78, artikel 79, artikel 80, stk. 1-3, artikel 81, stk. 1-14, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.« Stk. 2. Med bøde eller fængsel indtil 4 måneder straffes overtrædelse af følgende bestemmelser, medmindre højere straf er forskyldt efter den øvrige lovgivning: 1-3) --- 15. I § 266, stk. 2, indsættes som nr. 4 og 5:»4) Artikel 59, stk. 1, artikel 60, stk. 3, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, artikel 76, stk. 1, 2 og 5-8, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.5) Artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.« § 275. Afgørelser truffet af Finanstilsynet eller Erhvervsstyrelsen kan af den, som afgørelsen retter sig til, indbringes for Erhvervsankenævnet, senest 4 uger efter at afgørelsen er meddelt den pågældende i henhold til følgende: 1-8) --- 16. I § 275, stk. 1, indsættes som nr. 9 og 10:»9) Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.10) Europa-Parlamentets og Rådets forordning EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.« Stk. 2. --- § 276. Erhvervsministeren kan fastsætte regler, som er nødvendige for at anvende eller gennemføre de afgørelser eller retsakter, som vedtages af Europa-Kommissionen i medfør af følgende: 1-8) --- 17. I § 276, stk. 1, indsættes som nr. 9 og 10:»9) Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.10) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.« § 5 I lov om forvaltere af alternative investeringsfonde m.v., jf. lovbekendtgørelse nr. 2015 af 1. november 2021, som ændret bl.a. ved § 2 i lov nr. 641 af 19. maj 2020, § 2 i lov nr. 2382 af 14. december 2021, § 9 i lov nr. 568 af 10. maj 2022, § 6 i lov nr. 409 af 25. april 2023, og senest ved § 6 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer: Lov om forvaltere af alternative investeringsfonde m.v. Fodnoten. Loven gennemfører Europa-Parlamentets og Rådets direktiv 2011/61/EU af 8. juni 2011 om forvaltere af alternative investeringsfonde og om ændring af direktiv 2003/41/EF og 2009/65/EF samt forordning 1060/2009/EU og 1095/2010/EU, EU-Tidende 2011, nr. L 174, side 1, dele af Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter og om ændring af direktiv 2002/92/EF og direktiv 2011/61/EU, EU-Tidende 2014, nr. L 173, side 349, dele af Europa-Parlamentets og Rådets direktiv 2015/849/EU af 20. maj 2015 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme, om ændring af Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 og om ophævelse af Europa-Parlamentets og Rådets direktiv 2005/60/EF samt Kommissionens direktiv 2006/70/EF (4. hvidvaskdirektiv), EU-Tidende 2015, nr. L 141, side 73, og dele af Europa-Parlamentets og Rådets direktiv 2018/843/EU af 30. maj 2018 om ændring af direktiv (EU) 2015/849 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme og om ændring af direktiv 2009/138/EF og 2013/36/EU, EU-Tidende 2018, nr. L 156, side 43, dele af Europa-Parlamentets Rådets direktiv (EU) 2017/828 af 17. maj 2017 om ændring af direktiv 2007/36/EF, for så vidt angår tilskyndelse til langsigtet aktivt ejerskab, EU-Tidende 2017, nr. L 132, side 1, og dele af Europa-Parlamentets og Rådets direktiv 2019/1160/EU af 20. juni 2019 om ændring af direktiv 2009/65/EF og 2011/61/EU for så vidt angår grænseoverskridende distribution af kollektive investeringsinstitutter, EU-Tidende 2019, nr. L 188, side 106. I loven er der endvidere medtaget visse bestemmelser fra Europa-Parlamentets og Rådets forordning 2013/345/EU af 17. april 2013 om europæiske venturekapitalfonde, EU-Tidende 2013, nr. L 115, side 1, Europa-Parlamentets og Rådets forordning 2013/346/EU af 17. april 2013 om europæiske sociale iværksætterfonde, EU-Tidende 2013, nr. L 115, side 18, Europa-Parlamentets og Rådets forordning 2017/1131/EU af 14. juni 2017 om pengemarkedsforeninger, EU-Tidende 2017, nr. L 169, side 8, og Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering og om ændring af direktiv 2009/65/EF, 2009/138/EF og 2011/61/EU og forordning 1060/2009/EF og 648/2012/EU, EU-Tidende 2017, nr. L 347, side 35. Ifølge artikel 288 i EUF-traktaten gælder en forordning umiddelbart i hver medlemsstat. Gengivelsen af disse bestemmelser i loven er således udelukkende begrundet i praktiske hensyn og berører ikke forordningernes umiddelbare gyldighed i Danmark. 1. I fodnoten til lovens titel ændres »og dele af Europa-Parlamentets og Rådets direktiv 2019/1160/EU af 20. juni 2019 om ændring af direktiv 2009/65/EF og 2011/61/EU for så vidt angår grænseoverskridende distribution af kollektive investeringsinstitutter, EU-Tidende 2019, nr. L 188, side 106« til: »dele af Europa-Parlamentets og Rådets direktiv 2019/1160/EU af 20. juni 2019 om ændring af direktiv 2009/65/EF og 2011/61/EU for så vidt angår grænseoverskridende distribution af kollektive investeringsinstitutter, EU-Tidende 2019, nr. L 188, side 106, og dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2556 af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«. § 8. --- Stk. 2-5. --- 2. I § 8 indsættes som stk. 6:»Stk. 6. En forvalter af alternative investeringsfonde kan levere tjenester med kryptoaktiver som angivet i artikel 60, stk. 5, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, som der specifikt er meddelt tilladelse til i henhold til denne lov, hvis forvalteren giver Finanstilsynet meddelelse mindst 40 arbejdsdage, inden disse tjenester leveres første gang. Meddelelsen skal ledsages af de oplysninger, der er anført i artikel 60, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.« § 27. --- Stk. 2. Under hensynstagen til karakteren af de forvaltede alternative investeringsfonde skal forvalteren have effektive former for virksomhedsstyring, herunder 1-5) --- 6)betryggende kontrol- og sikringsforanstaltninger på it-området og 3. I § 27, stk. 2, nr. 6, indsættes efter »it-området«: », inklusiv for net- og informationssystemer, der oprettes og styres i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. 7) --- Stk. 3. --- § 155. Finanstilsynet påser overholdelsen af regler udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2011/61/EU af 8. juni 2011 om forvaltere af alternative investeringsfonde, og af denne lov og de regler, der er udstedt i medfør af loven, undtagen § 27 b. Finanstilsynet kontrollerer, at reglerne for finansiel information i årsrapporter og delårsrapporter udstedt i medfør af § 131 er overholdt for forvaltere af alternative investeringsfonde, som har udstedt værdipapirer, der er optaget til handel på et reguleret marked, jf. § 213, stk. 1-5 og 8, i lov om kapitalmarkeder. Finanstilsynet påser endvidere overholdelsen af regler udstedt i medfør af § 31, stk. 8, i revisorloven. Erhvervsstyrelsen påser dog overholdelsen af § 136. Finanstilsynet påser desuden overholdelsen af Europa-Parlamentets og Rådets forordning nr. 346/2013/EU af 17. april 2013 om europæiske sociale iværksætterfonde, Europa-Parlamentets og Rådets forordning nr. 345/2013/EU af 17. april 2013 om europæiske venturekapitalfonde, Europa-Parlamentets og Rådets forordning 2017/1131/EU af 14. juni 2017 om pengemarkedsforeninger og Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering og regler fastsat i medfør heraf og regler fastsat i medfør heraf. Finanstilsynet påser overholdelsen af Europa-Parlamentets og Rådets forordning 1286/2014/EU af 26. november 2014 om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP’er), Europa-Parlamentets og Rådets forordning 2019/1156/EU af 20. juni 2019 om lettere grænseoverskridende distribution af kollektive investeringsinstitutter og om ændring af forordning (EU) nr. 345/2013, (EU) nr. 346/2013 og (EU) nr. 1286/2014 og Europa-Parlamentets og Rådets forordning 2019/1238/EU af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt), Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf. 4. I § 155, stk. 1, indsættes som 6. pkt.:»Finanstilsynet påser endvidere overholdelsen af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf samt Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.« Stk. 2-6. --- § 170. --- Stk. 2-6. --- Stk. 7. Bestemmelsen i stk. 1 er ikke til hinder for, at fortrolige oplysninger videregives til: 1-28) --- 5. I § 170, stk. 7, indsættes som nr. 29:»29) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.« Stk. 8-11. --- § 171. Reaktioner givet i henhold til denne lovs § 156, jf. § 345, stk. 12, nr. 4, i lov om finansiel virksomhed, eller af Finanstilsynet efter delegation fra Finanstilsynets bestyrelse til en forvalter af alternative investeringsfonde under tilsyn skal offentliggøres med angivelse af forvalterens navn, jf. dog stk. 4. Forvalteren skal offentliggøre oplysningerne på sin hjemmeside på et sted, hvor de naturligt hører hjemme, hurtigst muligt og senest 3 hverdage efter at den pågældende forvalter har modtaget underretning om reaktionen, eller senest på tidspunktet for offentliggørelse påkrævet efter lov om kapitalmarkeder. Samtidig med offentliggørelsen skal den pågældende forvalter indsætte et link, som giver direkte adgang til reaktionen, på forsiden af den pågældende forvalters hjemmeside på en synlig måde, og det skal af linket og en eventuel tilknyttet tekst tydeligt fremgå, at der er tale om en reaktion fra Finanstilsynet. Hvis den pågældende forvalter kommenterer reaktionen, skal dette ske i forlængelse af denne, og kommentarerne skal være klart adskilt fra reaktionen. Fjernelse af linket på forsiden og informationerne fra den pågældende forvalters hjemmeside skal finde sted efter samme principper, som den pågældende forvalter anvender for øvrige meddelelser, dog tidligst når linket og informationerne har ligget på hjemmesiden i 3 måneder, og tidligst efter førstkommende generalforsamling. Forvaltere af alternative investeringsfondes pligt til at offentliggøre på forvalterens hjemmeside gælder kun for juridiske personer. Finanstilsynet skal offentliggøre oplysningerne på tilsynets hjemmeside. Reaktioner givet i henhold til § 156, jf. § 345, stk. 12, nr. 6, i lov om finansiel virksomhed, og Finanstilsynets beslutninger om at overgive sager til politimæssig efterforskning skal offentliggøres på Finanstilsynets hjemmeside med angivelse af forvalterens navn, jf. dog stk. 4. 6. I § 171, stk. 1, indsættes som 9-11. pkt.:»Reaktioner givet i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor skal offentliggøres på Finanstilsynets hjemmeside med angivelse af forvalterens navn, jf. dog stk. 4. Indbringes reaktionen, der offentliggøres i henhold til 1. eller 8. pkt., for Erhvervsankenævnet eller domstolene, skal dette fremgå af Finanstilsynets offentliggørelse. Sagens status og resultatet af Erhvervsankenævnets eller domstolenes afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt.« Stk. 2-6. --- § 189. Afgørelser truffet af Finanstilsynet eller Erhvervsstyrelsen i henhold til loven eller regler udstedt i medfør af loven, Europa-Parlamentets og Rådets forordning nr. 346/2013/EU af 17. april 2013 om europæiske sociale iværksætterfonde, Europa-Parlamentets og Rådets forordning nr. 345/2013/EU af 17. april 2013 om europæiske venturekapitalfonde, Europa-Parlamentets og Rådets forordning 2017/1131/EU af 14. juni 2017 om pengemarkedsforeninger, Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering, Europa-Parlamentets og Rådets forordning 1286/2014/EU af 26. november 2014 om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP’er), Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser eller Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer eller regler udstedt i medfør heraf kan af den, som afgørelsen retter sig mod, indbringes for Erhvervsankenævnet, senest 4 uger efter at afgørelsen er meddelt den pågældende. 7. I § 189 ændres »tjenesteydelser eller« til: »tjenesteydelser,« og efter »bæredygtige investeringer« indsættes », Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver eller Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. § 190. Overtrædelse af § 4, stk. 2, 1. pkt., § 5, stk. 1-3, stk. 4, 1. pkt., § 6, stk. 1, § 8, stk. 1 og 4, § 9, stk. 1-3, § 10, stk. 1, § 11, stk. 1, § 13, stk. 5, § 15, stk. 1, § 16, stk. 1, stk. 2, 1. pkt., stk. 4, 1. og 3. pkt., og stk. 5 og 7, § 18, stk. 1 og 2, § 19, § 20 a, § 23, stk. 1-5, § 24, stk. 1-6, § 25, stk. 1-3, § 26, § 27, stk. 1 og 2, §§ 29 og 30, § 31, stk. 3 og 4, § 32, stk. 1, § 33, § 34, stk. 1, § 36, stk. 1 og 2, §§ 38-41, § 42, stk. 2, §§ 43 og 45, § 46, stk. 6, jf. § 13, stk. 3, §§ 50-53, § 54, stk. 1, 4 og 5, § 59, § 61, stk. 1-5, § 62, stk. 1 og 2, §§ 64 og 65, § 67, stk. 1-5, § 68, stk. 1-3, §§ 72-74, § 75, stk. 1, § 77, § 79, stk. 1, § 81, § 86, stk. 1, § 87 a, stk. 3 og 6, § 88, stk. 1, § 88 a, stk. 1-3 og 5, stk. 7, 1. pkt., og stk. 8 og 9, § 93, stk. 1, § 95, § 96, stk. 1, §§ 98 og 99, § 101, stk. 1, § 106, stk. 1, § 108, stk. 1, § 109, nr. 2, 2. pkt., § 111, § 118, stk. 1 og 4, § 121, stk. 1-3, § 123, stk. 1, § 127, § 128, stk. 1 og 10, § 129, stk. 1, § 134, stk. 6, 1. og 2. pkt., § 135, stk. 1-3, § 136, stk. 4, § 137, stk. 4, § 138, § 139, stk. 2, 1. pkt., § 141, stk. 1-5, § 146, stk. 1, 3. pkt., § 149, stk. 1, 2. pkt., og §§ 154 a-154 c samt artikel 2, stk. 6, 3.-5. pkt., artikel 4, stk. 3 og 5, artikel 51, stk. 1, 1. pkt., artikel 52, artikel 53, stk. 1, stk. 2, 1. og 3.-6. pkt., og stk. 3-5, artikel 54, artikel 90, stk. 2, 3. pkt., og stk. 3, artikel 91, artikel 98, stk. 6 og 7, artikel 100, stk. 2, 2. pkt., og stk. 4 og 5, artikel 103, artikel 104, stk. 4-7, artikel 106, stk. 4, artikel 107, stk. 4, og artikel 109, stk. 1, i Kommissionens delegerede forordning (EU) nr. 231/2013 af 19. december 2012 om udbygning af Europa-Parlamentets og Rådets direktiv 2011/61/EU for så vidt angår undtagelser, generelle vilkår for drift, depositarer, gearing, gennemsigtighed og tilsyn og artikel 4, artikel 5, stk. 1, 1. pkt., og stk. 2 og 3, artikel 6, stk. 1, artikel 7, artikel 8, stk. 1, 2. pkt., artikel 9, stk. 1, 3 og 4, artikel 10, artikel 11, stk. 1, artikel 12, stk. 1 og 2, artikel 13, stk. 1 og 2, og artikel 15 i Europa-Parlamentets og Rådets forordning (EU) nr. 345/2013 om europæiske venturekapitalfonde og artikel 4, artikel 5, stk. 1, 1. pkt., og stk. 2 og 3, artikel 6, stk. 1, artikel 7, artikel 8, stk. 1, 2. pkt., artikel 9, stk. 1, 3 og 4, artikel 10, stk. 1, artikel 11, artikel 12, stk. 1, artikel 13, stk. 1-3, artikel 14, stk. 1 og 2, og artikel 16 i Europa-Parlamentets og Rådets forordning (EU) nr. 346/2013 om europæiske sociale iværksætterfonde straffes med bøde eller fængsel indtil 4 måneder, medmindre højere straf er forskyldt efter anden lovgivning. 8. I § 190, stk. 1, indsættes efter »om europæiske sociale iværksætterfonde«: »og artikel 59, stk. 1, artikel 60, stk. 5, artikel 70, stk. 1-4, og artikel 72, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«. Stk. 2. Overtrædelse af § 15, stk. 4, § 20, stk. 1-8, § 21, stk. 1, stk. 2, 2. pkt., og stk. 3-5, § 22, stk. 1-3, § 27 a, stk. 1, § 27 b, stk. 1, § 27 c, stk. 1, § 28, stk. 1, nr. 1 og 2, og stk. 2, nr. 1 og 2, § 28 a, § 136 a, stk. 3, 5 og 6, § 163, stk. 3, 5 og 6, og § 171, stk. 1, 1.-5. pkt., og stk. 3, 1.-7. pkt., artikel 5, stk. 1, artikel 6 og 7, artikel 8, stk. 1-3, artikel 9, artikel 10, stk. 1, artikel 13, stk. 1, 3 og 4, og artikel 14 og 19 i Europa-Parlamentets og Rådets forordning 1286/2014/EU om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP’er), artikel 4, stk. 1, artikel 6, artikel 7, stk. 1-4, artikel 9, artikel 10, stk. 1, artikel 11, stk. 1-3, artikel 12-14, artikel 15, stk. 1-5, artikel 16, stk. 1-4 og 6, artikel 17, stk. 1-6, 8 og 9, artikel 18, stk. 1, artikel 19-21 og 23, artikel 24, stk. 1, artikel 25, stk. 1, artikel 26 og 27, artikel 28, stk. 1-5, artikel 29, stk. 1-5 og 7, artikel 30, stk. 3, artikel 31, stk. 3 og 4, artikel 32, stk. 3 og 4, artikel 33, artikel 34, stk. 1 og 3, artikel 35, stk. 1, artikel 36, artikel 37, stk. 1-3, og artikel 44, stk. 1, i Europa-Parlamentets og Rådets forordning 2017/1131/EU af 14. juni 2017 om pengemarkedsforeninger og artikel 5-7, 18-30, 33-42, 44-46, 48, 50 og 52-56 i Europa-Parlamentets og Rådets forordning 2019/1238/EU af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt), straffes med bøde. 9. I § 190, stk. 2, indsættes efter »om pengemarkedsforeninger«: », artikel 64, stk. 8, artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, og artikel 81, stk. 1-14, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. Stk. 3-10. --- § 6 I lov om firmapensionskasser, jf. lovbekendtgørelse nr. 355 af 2. april 2020, som ændret bl.a. ved § 7 i lov nr. 1940 af 15. december 2020, § 2382 af 14. december 2021, § 4 i lov nr. 409 af 25. april 2023, og senest ved § 337 i lov nr. 718 af 13. juni 2023, foretages følgende ændringer: Lov om firmapensionskasser § 3. I denne lov forstås ved: 1-27) --- 1. I § 3 indsættes som nr. 28 og 29:»28) Variable løndele: Aflønningsordninger, hvor den endelige aflønning ikke er kendt på forhånd, herunder bonusordninger, resultatkontrakter, engangsvederlag og andre lignende ordninger, der ikke er en del af den faste løndel.29) Kønsneutral lønpolitik: En lønpolitik baseret på lige løn for samme arbejde eller arbejde af samme værdi uanset den ansattes køn.« 2. Efter § 43 d indsættes:»§ 43 e. En firmapensionskasse skal vedtage en skriftlig lønpolitik, der fremmer en sund og effektiv risikostyring.Stk. 2. Firmapensionskassens lønpolitik skal være kønsneutral.§ 43 f. Firmapensionskassens øverste organ skal godkende firmapensionskassens lønpolitik, jf. § 43 e, herunder retningslinjer for tildeling af variabel løn og retningslinjer for fratrædelsesgodtgørelser, ved enhver væsentlig ændring og mindst hvert fjerde år. Firmapensionskassens lønpolitik skal hurtigst muligt efter godkendelsen offentliggøres på firmapensionskassens hjemmeside. Lønpolitikken skal forblive offentligt tilgængelig på hjemmesiden, så længe den er gældende.Stk. 2. Formanden for Firmapensionskassens bestyrelse skal i sin beretning for firmapensionskassens øverste organ redegøre for aflønningen af firmapensionskassens bestyrelse og direktion. Redegørelsen skal indeholde oplysninger om aflønning i det foregående regnskabsår og om den forventede aflønning i indeværende og det kommende regnskabsår. Formanden for bestyrelsen skal forklare og begrunde lønpolitikkens indhold og dens efterlevelse i sin beretning for virksomhedens øverste organ.Stk. 3. Firmapensionskassens øverste organ skal godkende aflønningen af firmapensionskassens bestyrelse for det igangværende regnskabsår.Stk. 4. Bestyrelsen firmapensionskassen skal årligt udarbejde og offentliggøre en vederlagsrapport.Stk. 5. Vederlagsrapporten skal indeholde følgende:1) Oplysninger om det samlede vederlag, som hvert medlem af bestyrelsen og direktionen som led i dette hverv har optjent fra firmapensionskassen og andre virksomheder inden for samme koncern i de seneste tre år, herunder oplysninger om fastholdelses- og fratrædelsesordningers væsentligste indhold.2) En redegørelse for sammenhængen mellem ledelsens aflønning og firmapensionskassens strategi og relevante mål herfor.Stk. 6. Hurtigst muligt efter generalforsamlingens afholdelse skal vederlagsrapporten offentliggøres på firmapensionskassens hjemmeside. Vederlagsrapporten skal forblive offentligt tilgængelig på hjemmesiden i en periode på 10 år. Vederlagsrapporten kan være tilgængelig i en længere periode end 10 år, forudsat at den ikke længere indeholder personoplysninger.Outsourcing§ 43 g. Ved en firmapensionskasses outsourcing af aktiviteter til en leverandør skal firmapensionskassen sikre, at aflønning af ledelsen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, hos leverandøren sker inden for rammerne af firmapensionskassens lønpolitik. Det skal fremgå af aftalen mellem firmapensionskassen og leverandøren, at firmapensionskassens lønpolitik skal overholdes.Stk. 2. Stk. 1 finder ikke anvendelse, i det omfang leverandøren allerede er underlagt regler om aflønning i den finansielle regulering.Aflønning af ledelsen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassen risikoprofil§ 43 h. Ved firmapensionskassers aflønning af bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, skal firmapensionskassen sikre sig, at følgende er opfyldt:1) De variable løndele til et medlem af bestyrelsen eller direktionen må på tidspunktet for beregningen af den variable løndel højst udgøre 50 pct. af henholdsvis honoraret og den faste grundløn inklusive pension.2) De variable løndele til andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, må højst udgøre 100 pct. af den faste grundløn, inklusive pension på tidspunktet for beregningen af den variable løn.3) Firmapensionskassens øverste organ kan dog beslutte, at de variable løndele til andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, jf. nr. 2, kan udgøre op til 200 pct. af den faste grundløn, inklusive pension, på tidspunktet for beregningen af den variable løndel forudsat af følgende krav opfyldes:a) Firmapensionskassen skal senest ved indkaldelse til det øverste organs forsamling orientere det øverste organ om, at der ønskes stillingtagen til benyttelse af et højere maksimalt loft for de variable løndele.b) Det øverste organ skal tage beslutningen om benyttelse af et højere maksimalt loft for de variable løndele på baggrund af en detaljeret anbefaling fra firmapensionskassen, der begrunder indstillingen herom, herunder antallet af berørte ansatte, disses arbejdsområder, det nye foreslåede maksimale loft og den forventede indvirkning på firmapensionskassens mulighed for at bevare et sundt kapitalgrundlag. Medlemmerne af det øverste organ skal modtage anbefalingen senest samtidig med indkaldelsen til det øverste organs forsamling.c) Firmapensionskassen skal senest samtidig med formidling af anbefalingen til medlemmerne af det øverste organ, jf. litra b, informere Finanstilsynet om anbefalingen til det øverste organ, herunder det foreslåede højere maksimale loft og begrundelsen for indstillingen. Firmapensionskassen skal på anmodning fra Finanstilsynet godtgøre, at det foreslåede højere maksimale loft ikke er i strid med firmapensionskassens forpligtelser efter loven og regler udstedt i medfør af § 43, stk. 2, herunder kapitalgrundlagskravene.d) Beslutningen om benyttelse af et højere maksimalt loft skal tiltrædes af firmapensionskassens øverste organ med mindst 66 pct. af de afgivne stemmer, forudsat at mindst 50 pct. af de stemmeberettigede medlemmer er repræsenteret på forsamlingen. Er mindre end 50 pct. af de stemmeberettigede medlemmer repræsenteret på forsamlingen, skal beslutningen tiltrædes af mindst 75 pct. af de afgivne stemmer. En ansat, som er medlem af det øverste organ i firmapensionskassen, må ikke deltage i afstemningen herom på det øverste organs forsamling, hvis den ansatte har en væsentlig interesse i beslutningen, der kan være stridende mod firmapensionskassens interesser.e) Firmapensionskassen skal senest 8 dage efter det øverste organs forsamling informere Finanstilsynet om det øverste organs beslutning, herunder om størrelsen af et eventuelt besluttet højere maksimalt loft.4) Mindst 50 pct. af en variabel løndel til bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, skal på tidspunktet for beregningen af den variable løn bestå af en balance af efterstillet gæld i firmapensionskassen eller andre instrumenter, som i en passende grad afspejler firmapensionskassens kreditværdighed som en firmapensionskasse, hvis aktivitet formodes at fortsætte. Instrumenterne kan udstedes i firmapensionskassen eller dennes modervirksomhed, der ejer firmapensionskassen fuldt ud.5) Udbetaling af mindst 40 pct. af en variabel løndel, ved større beløb mindst 60 pct., sker over en periode på mindst fire år, med påbegyndelse ét år efter beregningstidspunktet, dog for bestyrelsen og direktionen mindst fem år. Udbetalingen skal ske med en ligelig fordeling over årene eller med en voksende andel i slutningen af perioden.6) Firmapensionskassen kan undlade at udbetale en variabel løndel helt eller delvis, såfremt firmapensionskassen på tidspunktet for udbetaling af den variable løndel ikke overholder solvenskapitalkravet i § 54, eller hvis Finanstilsynet vurderer, at der er nærliggende risiko herfor.7) Firmapensionskassen må ikke udbetale variabel løn til bestyrelsen eller direktionen, såfremt Finanstilsynet i medfør af § 83 kræver, at firmapensionskassen udarbejder en plan for genoprettelse af firmapensionskassens økonomiske stilling.Stk. 2. For bestyrelsen og direktionen må aktieoptioner i modervirksomheden eller lignende instrumenter højst udgøre 12,5 pct. af henholdsvis honoraret og den faste grundløn inklusive pension på tidspunktet for beregningen heraf.Stk. 3. En firmapensionskasse skal sikre, at efterstillet gæld, instrumenter m.v., der overdrages til bestyrelsen, direktionen eller andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, som en del af den variable løn, som er nævnt i stk. 1, nr. 4, ikke må afhændes af disse personer i en passende periode.Stk. 4. En firmapensionskasse skal sikre, at udbetaling af den udskudte variable løndel, jf. stk. 1, nr. 5, til bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, er betinget af, at de kriterier, der har dannet grundlag for beregningen af den variable løndel, fortsat er opfyldt på udbetalingstidspunktet, betinget af, at den pågældende ikke har deltaget i eller været ansvarlig for en adfærd, der har resulteret i betydelige tab for virksomheden, eller ikke har efterlevet passende krav til hæderlighed, samt betinget af, at virksomhedens økonomiske situation ikke er væsentligt forringet i forhold til tidspunktet for beregningen af den variable løndel.Stk. 5. En firmapensionskasse skal sikre, at bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, og som modtager variabel løn, skal tilbagebetale den variable løn helt eller delvis, hvis den variable løn er udbetalt på grundlag af oplysninger om resultater, som kan dokumenteres at være fejlagtige, og hvis modtageren af den variable løn er i ond tro.Stk. 6. Tildeler en firmapensionskasse bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, en pensionsydelse, som udgør variabel løn, jf. § 3, nr. 28, skal firmapensionskassen, hvis modtageren forlader firmapensionskassen inden pensionstidspunktet, beholde denne pensionsydelse i form af instrumenter som nævnt i stk. 1, nr. 4, i fem år. Stk. 4 og 5 finder tilsvarende anvendelse på de i 1. pkt. nævnte tilfælde. Er modtageren et medlem af bestyrelsen eller ansat i firmapensionskassen ved pensionsalderen, skal firmapensionskassen udbetale den variable del af pensionsydelsen til modtageren i form af de i stk. 1, nr. 4, nævnte instrumenter uden mulighed for afhændelse eller udnyttelse i en periode på 5 år. Stk. 5 finder tilsvarende anvendelse på de i 3. pkt. nævnte tilfælde.Stk. 7. For personer i ansættelsesforhold, der er omfattet af en kollektiv overenskomst, finder stk. 1-6 kun anvendelse på aftaler om variable løndele, hvis aftalerne om variabel løn ikke er fastsat i overenskomsten.« § 97. Finanstilsynet påser overholdelsen af denne lov og af de bestemmelser, der er udstedt i medfør af loven, undtagen § 36, stk. 7, og § 45, jf. dog § 111. Finanstilsynet påser endvidere overholdelsen af Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering, Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf. Erhvervsstyrelsen påser overholdelsen af § 21. 3. I § 97, stk. 1, 2. pkt., ændres »tjenesteydelser og« til: »tjenesteydelser,«, og efter »bæredygtige investeringer« indsættes: »og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. Stk. 2. --- § 103. --- Stk. 2-5. --- Stk. 6. Bestemmelsen i stk. 1 er ikke til hinder for, at fortrolige oplysninger videregives til: 1-29) --- 4. I § 103, stk. 6, indsættes som nr. 30:»30) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.« Stk. 7-12. --- § 104. Som part i forholdet til Finanstilsynet anses alene den firmapensionskasse, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af denne lov eller i medfør af Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser, Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering, Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf eller forskrifter fastsat i medfør af denne lov, jf. dog stk. 2 og 3. 5. I § 104, stk. 1, og § 112, stk. 1, indsættes efter »bæredygtige investeringer«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. Stk. 2-4. --- § 105. Reaktioner givet i henhold til denne lovs § 97, stk. 2, jf. § 345, stk. 12, nr. 4, i lov om finansiel virksomhed, eller af Finanstilsynet efter delegation fra Finanstilsynets bestyrelse til en firmapensionskasse under tilsyn skal offentliggøres med angivelse af firmapensionskassens navn, jf. dog stk. 4. Finanstilsynet skal offentliggøre oplysningerne på tilsynets hjemmeside. Reaktioner givet i henhold til § 97, stk. 2, jf. § 345, stk. 12, nr. 6, i lov om finansiel virksomhed, og Finanstilsynets beslutninger om at overgive sager til politimæssig efterforskning skal offentliggøres på Finanstilsynets hjemmeside med angivelse af firmapensionskassens navn. Indbringes reaktionen, der offentliggøres i henhold til 1. pkt., for domstolene, skal dette fremgå af Finanstilsynets offentliggørelse, og det efterfølgende resultat af domstolenes afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt. 6. I § 105, stk. 1, indsættes efter 3. pkt. som nyt punktum:»Reaktioner givet i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og forordninger udstedt i medfør heraf, skal offentliggøres på Finanstilsynets hjemmeside med angivelse af firmapensionskassens navn, jf. dog stk. 4.«7. I § 105, stk. 1, 4. pkt., der bliver 5. pkt., ændres »1. pkt.« til: »1. eller 4. pkt.«8. I § 105, stk. 1, indsættes som 6. pkt.:»Indbringes reaktionen, der offentliggøres i henhold til 4. pkt., for Erhvervsankenævnet, skal dette fremgå af Finanstilsynets offentliggørelse, og det efterfølgende resultat af Erhvervsankenævnets afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt.« Stk. 2-6. --- § 112. Afgørelser truffet af Finanstilsynet eller Erhvervsstyrelsen i henhold til loven eller i medfør af Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser, Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering, Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf eller forskrifter udstedt i medfør af loven kan indbringes for Erhvervsankenævnet, senest 4 uger efter at afgørelsen er meddelt den pågældende. 5. I § 104, stk. 1, og § 112, stk. 1, indsættes efter »bæredygtige investeringer«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. Stk. 2. --- § 117. --- Stk. 2. Overtrædelse af §§ 4, 11 og 17, § 18, stk. 1, § 21, stk. 2 og 3, § 24, stk. 1, 2. pkt., § 29, stk. 1, § 33, § 34, stk. 1-5, § 35, § 36, stk. 1-6, § 37, § 39, stk. 3, § 42, stk. 2, jf. stk. 1, nr. 3 og 4, § 43 a, § 44, stk. 1, § 45, stk. 1, § 45 a, stk. 1, § 49, stk. 1-3, § 54, § 57, stk. 1, § 59, stk. 1, 1. pkt., § 60 stk. 1, § 61, stk. 1 og 3 og stk. 4, 1. pkt., §§ 62 og 63, § 64, stk. 1, stk. 2, 1. pkt., og stk. 3, 2. pkt., § 65, § 66, stk. 1 og 3, § 67, § 68, 1. pkt., § 69, § 70, stk. 1, 1. pkt., og stk. 2, § 75, stk. 1 og 3, § 79, stk. 1, 2. pkt., og stk. 4, § 80, 1. og 3. pkt., § 81, stk. 1, 2. pkt., § 105, stk. 3, 3. pkt., og § 111, stk. 3, 5 og 6, straffes med bøde, medmindre højere straf er forskyldt efter den øvrige lovgivning. Endvidere straffes overtrædelse af de bestemmelser, der er nævnt i § 73, stk. 1, i det omfang en sådan overtrædelse kan straffes efter §§ 312-319 i lov om forsikringsvirksomhed. 9. I § 117, stk. 2, indsættes efter »§ 42, stk. 2, jf. stk. 1, nr. 3 og 4,«: »§§ 43 e, 43 f, § 43 g, stk. 1, § 43 h, stk. 1-6,«, og efter »§ 111, stk. 3, 5 og 6,« indsættes: »og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. Stk. 3-9. --- § 7 I hvidvaskloven, jf. lovbekendtgørelse nr. 316 af 11. marts 2022, som ændret ved § 4 i lov nr. 507 af 20. maj 2022, § 2 i lov nr. 480 af 12. maj 2023, og § 10 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer: Hvidvaskloven § 1. Denne lov finder anvendelse på følgende virksomheder og personer, herunder filialer, distributører og agenter af disse her i landet: 1-21) --- 22)Udbydere af veksling mellem virtuelle valutaer og fiatvalutaer. 1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:»22) Ubydere af kryptoaktivtjenester som defineret i lov om finansiel virksomhed.« 23)Udbydere af virtuelle tegnebøger. 1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:»22) Udbydere af kryptoaktivtjenester som defineret i lov om finansiel virksomhed.« 24)Udbydere af veksling mellem en eller flere typer af virtuel valuta. 1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:»22) Udbydere af kryptoaktivtjenester som defineret i lov om finansiel virksomhed.« 25)Udbydere af overførsel af virtuel valuta. 1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:»22) Udbydere af kryptoaktivtjenester som defineret i lov om finansiel virksomhed.« 26)Udbydere af finansielle tjenester relateret til en udsteders udbud eller salg af virtuelle valutaer. 1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:»22) Udbydere af kryptoaktivtjenester som defineret i lov om finansiel virksomhed.« Stk. 2-7. --- § 2. I denne lov forstås ved: 1-3) --- 4)Korrespondentforbindelse: 2. § 2, nr. 4, affattes således:»4) Korrespondentforbindelse:a) Levering af pengeinstitutydelser fra et pengeinstitut (korrespondenten) til et andet pengeinstitut (respondenten), herunder oprettelse af løbende konto eller en anden passivkonto, samt tilknyttede ydelser som likviditetsstyring, internationale overførsler af midler, checkclearing, gennemstrømningskonti og valutatransaktioner.b) En forbindelse mellem en virksomhed omfattet af § 1, stk. 1, nr. 1-12, 18 eller 22, (korrespondenten) og en virksomhed omfattet af § 1, stk. 1, nr. 1-12, 18 eller 22, (respondenten), herunder hvor der leveres lignende ydelser fra et korrespondentinstitut til et respondentinstitut, herunder forbindelser indgået med henblik på værdipapirtransaktioner eller overførsler af midler eller forbindelser indgået med henblik på transaktioner med kryptoaktiver eller overførsler af kryptoaktiver.« a) Levering af pengeinstitutydelser fra et pengeinstitut (korrespondenten) til et andet pengeinstitut (respondenten), herunder oprettelse af løbende konto eller passivkonto, samt øvrige ydelser som likviditetsstyring, international overførsel af midler m.v. a) En forbindelse mellem en virksomhed omfattet af § 1, stk. 1, nr. 1-12 eller 18, (korrespondenten) til en anden virksomhed omfattet af § 1, stk. 1, nr. 1-12 eller 18, (respondenten), hvor der leveres lignende ydelser, herunder forbindelser indgået med henblik på værdipapirtransaktioner eller overførsler af midler. 5-14) --- 15)Udbyder af virtuelle tegnebøger: En enhed, som leverer tjenester til at beskytte private kryptografiske nøgler på vegne af sine kunder med henblik på at opbevare, lagre og overføre virtuelle valutaer. 3. § 2, nr. 15 og 16, ophæves.Nr. 17-20 bliver herefter nr. 15-18. 16)Virtuel valuta: Et digitalt udtryk for værdi, som ikke er udstedt eller garanteret af en centralbank eller en offentlig myndighed, ikke nødvendigvis er bundet til en lovligt oprettet valuta og ikke har samme retsstatus som valuta eller penge, men som accepteres af fysiske og juridiske personer som vekslingsmiddel, som kan overføres, lagres og handles elektronisk. 3. § 2, nr. 15 og 16, ophæves.Nr. 17-20 bliver herefter nr. 15-18. 17-20) --- 4. I § 2 indsættes som nr. 19:»19) Selvhostet adresse: En distributed ledger-adresse som defineret i Europa-Parlamentets og Rådets forordning (EU) 2023/1113 af 31. maj 2023 om oplysninger, der skal medsendes ved pengeoverførsler og ved overførsler af visse kryptoaktiver og om ændring af direktiv (EU) 2015/849.« § 7. Virksomheder og personer omfattet af denne lov skal identificere og vurdere risikoen for, at virksomheden eller personen kan blive misbrugt til hvidvask eller finansiering af terrorisme. Risikovurderingen skal foretages med udgangspunkt i virksomhedens eller personens forretningsmodel og omfatte vurderingen af risikofaktorer, der er forbundet med kunder, produkter, tjenesteydelser og transaktioner samt leveringskanaler og lande eller geografiske områder, hvor forretningsaktiviteterne udøves. Risikovurderingen skal dokumenteres og løbende opdateres. 5. I § 7, stk. 1, 1. pkt., indsættes efter »personer«: », der er«. Stk. 2. Den daglige ledelse i virksomheder omfattet af § 1, stk. 1, nr. 1-8, 9, 10, 18 og 22-26, dog ikke disses filialer, distributører og agenter her i landet, skal udpege en ansat, der har fuldmagt til at træffe beslutninger på vegne af virksomheden i henhold til § 8, stk. 2, § 17, stk. 2, nr. 5, § 18, stk. 3, og § 19, stk. 1, nr. 3. Personen kan være medlem af virksomhedens daglige ledelse. Personen skal have tilstrækkeligt kendskab til virksomhedens risiko for hvidvask og terrorfinansiering til at kunne træffe beslutninger, der kan påvirke virksomhedens risikoeksponering. Personen skal endvidere have et tilstrækkelig godt omdømme og må ikke have udvist en adfærd, der giver grund til at antage, at personen ikke vil varetage stillingen på forsvarlig måde. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. Stk. 3. --- § 8. Virksomheder og personer omfattet af denne lov skal have tilstrækkelige skriftlige politikker, forretningsgange og kontroller, som skal omfatte risikostyring, kundekendskabsprocedurer, undersøgelses-, noterings- og underretningspligt, opbevaring af oplysninger, screening af medarbejdere og intern kontrol til effektiv forebyggelse, begrænsning og styring af risici for hvidvask og finansiering af terrorisme. Politikker, kontroller og forretningsgange skal udarbejdes med udgangspunkt i risikovurderingen foretaget efter § 7 under hensyntagen til virksomhedens størrelse. 7. I § 8, stk. 1, 1. pkt., indsættes efter »personer«: », der er«. Stk. 2-6. --- § 10. Virksomheder og personer omfattet af denne lov skal gennemføre kundekendskabsprocedurer, jf. §§ 11-21, når 1) --- 2)de udfører en enkeltstående transaktion på a og b) --- a) 500 euro eller derover ved valutaveksling herunder veksling mellem virtuel valuta og fiatvaluta, hvad enten transaktionen sker på én gang eller som flere transaktioner, der er eller ser ud til at være indbyrdes forbundet, eller 8. I § 10, nr. 2, litra c, og tre steder i § 10, nr. 2, litra d, ændres »virtuel valuta« til: »kryptoaktiver«. a) 1.000 euro eller derover ved veksling mellem en eller flere typer af virtuel valuta, overførsel af virtuel valuta eller tjenester relateret til udstedelse af virtuel valuta, hvad enten transaktionen sker på én gang eller som flere transaktioner, der er eller ser ud til at være indbyrdes forbundet, 8. I § 10, nr. 2, litra c, og tre steder i § 10, nr. 2, litra d, ændres »virtuel valuta« til: »kryptoaktiver«. 3-5) --- 9. Efter § 17 indsættes:»§ 17 a. Erhvervsministeren kan fastsætte regler om gennemførelse af risikobegrænsende foranstaltninger ved overførsel af kryptoaktiver, der er rettet mod eller stammer fra en selvhostet adresse.« § 19. Inden etablering af en grænseoverskridende korrespondentforbindelse, der involverer gennemførelse af betalinger med et respondentinstitut uden for Den Europæiske Union, som Unionen ikke har indgået aftale med på det finansielle område, skal korrespondenten ud over kundekendskabsproceduren i medfør af § 11 1-4) --- 10. I § 19 indsættes efter stk. 1 som nyt stykke:»Stk. 2. Inden gennemførelse af kryptoaktivtjenester skal korrespondenten fastslå, om respondenten er godkendt eller registreret i det pågældende land.«Stk. 2 bliver herefter stk. 3. Stk. 2. --- § 33. Finanstilsynet kan fastsætte regler om, at udbydere af betalingstjenester og udstedere af elektroniske penge, der er registreret i et EU- eller EØS-land, og som er etableret her i landet på anden måde end ved en filial, har pligt til at udpege en person med ansvar for at sikre, at virksomheden eller personen overholder reglerne i denne lov. Finanstilsynet kan endvidere fastsætte regler om, at personen skal have tilstedeværelse her i landet, og hvilke funktioner den pågældende person skal udføre på vegne af virksomheden. 11. I § 33, 1. pkt., ændres »udbydere af betalingstjenester og udstedere af elektroniske penge« til: »udbydere af betalingstjenester, udstedere af elektroniske penge og udbydere af kryptoaktivtjenester«. § 35. Virksomheder og personer omfattet af § 1, stk. 1, nr. 5, 8 og 10, for så vidt angår alternative investeringsfonde, og nr. 12-19 og 21-26, skal have en ordning, hvor deres ansatte via en særlig, uafhængig og selvstændig kanal kan indberette overtrædelser eller potentielle overtrædelser af denne lov og regler udstedt i medfør heraf. Indberetninger til ordningen skal kunne foretages anonymt. Virksomheder og personer skal følge op på indberetninger til ordningen og skriftligt kunne dokumentere, hvordan virksomhederne eller personerne har fulgt op på indberetningerne. Lov om beskyttelse af whistleblowere finder anvendelse på ordningen i 1. pkt., jf. dog § 2 i lov om beskyttelse af whistleblowere. 12. I § 35, stk. 1, 1. pkt., og § 36, stk. 1, 1. pkt., ændres »og 21-26« til: », 21 og 22«. Stk. 2-4. --- § 36. Virksomheder og personer omfattet af § 1, stk. 1, nr. 5, 8 og 10, for så vidt angår alternative investeringsfonde, og nr. 12-19 og 21-26, må ikke udsætte den ansatte eller den tidligere ansatte for ufordelagtig behandling eller ufordelagtige følger, som følge af at den ansatte eller den tidligere ansatte har indberettet virksomhedens eller personens overtrædelse eller potentielle overtrædelse af denne lov og regler udstedt i medfør heraf til en tilsynsmyndighed eller til en ordning i virksomheden. Det samme gælder ved fastsættelse, tildeling og udbetaling af variabel løn til ansatte eller tidligere ansatte. 12. I § 35, stk. 1, 1. pkt., og § 36, stk. 1, 1. pkt., ændres »og 21-26« til: », 21 og 22«. Stk. 2-4. --- § 38. --- Stk. 2. --- Stk. 3. Oplysninger om, at der er givet underretning efter § 26, stk. 1 og 2, eller at dette overvejes, eller at der er eller vil blive iværksat en undersøgelse efter § 25, stk. 1, kan videregives mellem virksomheder i koncerner omfattet af § 1, stk. 1, nr. 1-12, 18 eller 22-26, og andre virksomheder i koncernen, der har hjemsted eller er hjemmehørende i et EU- eller EØS-land. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. Stk. 4 og 5. --- Stk. 6. Oplysninger om, at der er givet underretning efter § 26, stk. 1 og 2, eller at dette overvejes, eller at der er eller vil blive iværksat en undersøgelse efter § 25, stk. 1, kan videregives mellem virksomheder og personer omfattet af § 1, stk. 1, nr. 1-14, 16, 18, 20 og 22-26, forudsat 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. 1-3) --- Stk. 7 og 8. --- § 47. Finanstilsynet påser, at virksomheder og personer omfattet af § 1, stk. 1, nr. 1-12, 18 og 22-26, og filialer, distributører og agenter her i landet af sådanne udenlandske virksomheder og personer, overholder loven, regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning 2015/847/EU af 20. maj 2015 om oplysninger, der skal medsendes ved pengeoverførsler, og love og forordninger indeholdende regler om finansielle sanktioner mod lande, personer, grupper, juridiske enheder eller organer. Dette gælder dog ikke overholdelse af § 36. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. Stk. 2. --- Stk. 3. Finanstilsynet skal samarbejde med de kompetente myndigheder i EU- eller EØS-lande om at medvirke ved tilsynsaktiviteter, kontroller på stedet eller inspektioner her i landet, når det gælder virksomheder og personer omfattet af § 1, stk. 1, der er under tilsyn i et andet EU- eller EØS-land, eller en dansk virksomhed eller person omfattet af § 1, stk. 1, nr. 1-12 og 22-26, der er underlagt dansk tilsyn, men opererer i andre EU- eller EØS-lande. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. Stk. 4. --- § 48. --- Stk. 2. Virksomheder og personer omfattet af § 1, stk. 1, nr. 22-26, skal ligeledes registreres hos Finanstilsynet for at kunne udøve deres aktiviteter. 13. § 48, stk. 2, ophæves.Stk. 3-7 bliver herefter stk. 2-6. Stk. 3. Finanstilsynet skal undlade at foretage registrering efter stk. 1 og 2, hvis et medlem af virksomhedens øverste eller daglige ledelse eller personen er dømt for et strafbart forhold, der begrunder en nærliggende fare for misbrug af stillingen eller hvervet, jf. straffelovens § 78, stk. 2. 14. I § 48, stk. 3, der bliver stk. 2, stk. 6, der bliver stk. 5, og stk. 7, der bliver stk. 6, udgår: »og 2«. Stk. 4. --- Stk. 5. Ved Finanstilsynets vurdering i henhold til stk. 3 og 4 finder straffelovens § 78, stk. 3, tilsvarende anvendelse. 15. I § 48, stk. 5, der bliver stk. 4, ændres »stk. 3 og 4« til: »stk. 2 og 3«. Stk. 6. Finanstilsynet kan inddrage registreringen af en virksomhed eller en anden juridisk person foretaget efter stk. 1 og 2, hvis et medlem af virksomhedens øverste eller daglige ledelse eller personen efterfølgende omfattes af stk. 3, eller hvis virksomheden eller en reel ejer efterfølgende omfattes af stk. 4. 14. I § 48, stk. 3, der bliver stk. 2, stk. 6, der bliver stk. 5, og stk. 7, der bliver stk. 6, udgår: »og 2«.16. I § 48, stk. 6, der bliver stk. 5, ændres »stk. 3« til: »stk. 2«, og »stk. 4« ændres til: »stk. 3«. Stk. 7. Finanstilsynet kan inddrage registreringen af en virksomhed eller en person efter stk. 1 og 2, hvis virksomheden eller personen gør sig skyldig i grove eller gentagne overtrædelser af denne lov. 14. I § 48, stk. 3, der bliver stk. 2, stk. 6, der bliver stk. 5, og stk. 7, der bliver stk. 6, udgår: »og 2«. § 49. Virksomheder og personer som nævnt i § 1, stk. 1, nr. 1-12, 18 og 22-26, samt leverandører og underleverandører til disse skal give Finanstilsynet de oplysninger, der er nødvendige for tilsynets virksomhed. Oplysninger, der er af væsentlig betydning for Finanstilsynets tilsyn, skal gives af egen drift og hurtigst muligt. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. Stk. 2-7. --- § 51. Finanstilsynet kan inden for en af Finanstilsynet fastsat frist påbyde de virksomheder og personer, som er nævnt i § 1, stk. 1, nr. 1-12, 18 og 22-26, at foretage de nødvendige foranstaltninger i tilfælde af overtrædelse af bestemmelser i denne lov, regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning 2015/847/EU af 20. maj 2015 om oplysninger, der skal medsendes ved pengeoverførsler, eller forordninger indeholdende regler om finansielle sanktioner mod lande, personer, grupper, juridiske enheder eller organer. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. § 51 a. Finanstilsynet kan påbyde en virksomhed omfattet af § 1, stk. 1, nr. 1-8, 9, 10, 18 og 22-26, dog ikke disses filialer, distributører og agenter her i landet, at afsætte den person, der er udpeget i henhold til § 7, stk. 2, inden for en frist fastsat af Finanstilsynet, hvis personen efter § 7, stk. 2, 3. og 4. pkt., ikke kan bestride stillingen. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. Stk. 2. --- § 51 b. Finanstilsynet kan påbyde en virksomhed eller person omfattet af § 1, stk. 1, nr. 1-8, 9, 10, 18 og 22-26, dog ikke disses filialer, distributører og agenter her i landet, at virksomheden eller personen midlertidigt ikke må optage nye kundeforhold, når der er konstateret en alvorlig overtrædelse af bestemmelser i denne lov eller regler udstedt i medfør heraf. Er overtrædelsen foregået helt eller delvis i en virksomheds udenlandske filial, kan påbuddet udstrækkes til at omfatte filialen. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. Stk. 2. --- § 52. Finanstilsynet kan for virksomheder og personer som nævnt i § 1, stk. 1, nr. 8 og 22-26, fastsætte nærmere regler om anmeldelse, registrering og offentliggørelse, herunder om, hvilke oplysninger der skal registreres, og hvilke forhold anmeldere eller andre kan indsende og registrere elektronisk i Finanstilsynets it-system ved at benytte digital eller tilsvarende elektronisk signatur, samt om brugen af dette system. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. § 53. Erhvervsministeren kan for virksomheder som nævnt i § 1, stk. 1, nr. 1-12, 18 og 22-26, fastsætte regler om disse virksomheders pligt til at offentliggøre oplysninger om Finanstilsynets vurdering af virksomheden og om, at Finanstilsynet har mulighed for at offentliggøre oplysningerne før virksomheden. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. § 54. Har en virksomhed eller person omfattet af § 1, stk. 1, nr. 1-12, 18 og 22-26, videregivet oplysninger om virksomheden eller personen, og er disse kommet offentligheden til kendskab, kan Finanstilsynet påbyde virksomheden eller personen at offentliggøre berigtigende oplysninger inden for en af Finanstilsynet fastsat frist, hvis oplysningerne efter Finanstilsynets vurdering er misvisende, og hvis Finanstilsynet vurderer, at oplysningerne kan have skadevirkning for virksomhedens eller personens kunder, indskydere, øvrige kreditorer, de finansielle markeder, hvorpå aktierne i virksomheden eller værdipapirer udstedt af virksomheden handles, eller den finansielle stabilitet generelt. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. Stk. 2. Berigtiger virksomheden eller personen omfattet af § 1, stk. 1, nr. 1-13, 19, og 23-27, ikke oplysningerne i overensstemmelse med Finanstilsynets påbud og inden for den af Finanstilsynet fastsatte frist, kan Finanstilsynet 486 offentliggøre påbuddet, der er meddelt efter stk. 1. 17. I § 54, stk. 2, ændres: »1-13, 19 og 23-27« til: »1-12, 18 og 22«. § 78. Overtrædelse af § 55, stk. 4, 1.-4. pkt., og stk. 5, 3.-7. pkt., straffes med bøde. Forsætlig eller grov uagtsom overtrædelse af §§ 5 og 5 a, § 6, stk. 1, 2. pkt., § 6 a, § 7, stk. 1 og 2, § 8, stk. 1-4 og 6, §§ 9 og 10, § 11, stk. 1 og 2 og stk. 3, 1., 3. og 4. pkt., § 12, § 14, stk. 1, stk. 2, 2. pkt., stk. 3, stk. 4, 2. pkt., og stk. 5, §§ 15 og 16, § 17, stk. 1-4, §§ 18-20, § 21, stk. 1, 2. pkt., § 22, stk. 2 og 3, § 24, stk. 1, 2. pkt., stk. 2 og 3, § 25, stk. 1-3, § 26, stk. 1 og 3, stk. 4, 1. pkt., og stk. 6, 1. pkt., § 29, stk. 4 og 6, §§ 30 og 31, § 31 b, stk. 1, § 32, § 35, stk. 1, § 35 a, stk. 1, § 36, stk. 1 og 2, § 36 a, § 38, stk. 1, §§ 40, 43 og 44, § 45, stk. 2, § 48, stk. 1 og 2, § 49, stk. 1 og 2, § 57, stk. 2, § 58, stk. 1, § 59, stk. 1, og § 65, stk. 2, og artikel 4-8, 10-12 og 16 i Europa-Parlamentets og Rådets forordning 2015/847/EU af 20. maj 2015 om oplysninger, der skal medsendes ved pengeoverførsler, samt artikel 6, stk. 1, i Rådets forordning 2001/1338/EF af 28. juni 2001 om fastlæggelse af de foranstaltninger, der er nødvendige for at beskytte euroen mod falskmøntneri, som ændret ved forordning 2009/44/EF, jf. Rådets forordning 2001/1339/EF af 28. juni 2001 om udvidelse af virkningerne af forordning 2001/1338/EF om fastlæggelse af de foranstaltninger, der er nødvendige for at beskytte euroen mod falskmøntneri, til også at omfatte de medlemsstater, der ikke har indført euroen som fælles valuta, straffes med bøde, medmindre højere straf er forskyldt efter straffelovens regler. 18. I § 78, stk. 1, 2. pkt., ændres »§ 48, stk. 1 og 2,« til: »§ 48, stk. 1,«. Stk. 2-6. --- § 85. --- Stk. 2 og 3. --- 19. I § 85 indsættes som stk. 4:»Stk. 4. De dele af §§ 59 og 60, som i medfør af stk. 1 er sat i kraft for Grønland, kan ved kongelig anordning sættes helt eller delvis i kraft på ny for Grønland med de ændringer, som de grønlandske forhold tilsiger.« § 8 I lov nr. 718 af 13. juni 2023 om forsikringsvirksomhed, som ændret ved § 9 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer: Lov om forsikringsvirksomhed § 2. For finansielle holdingvirksomheder og forsikringsholdingvirksomheder finder § 67, stk. 1, § 82, kapitel 10, § 95, § 100, § 105, stk. 7, § 107, stk. 1, §§ 133, 139, 165, 170-172 og 174, kapitel 17, §§ 259-262 og 267-275, § 277, stk. 3, § 280, stk. 1, 2 og 5-8, og §§ 283, 284, 301-307, 309 og 312-319 anvendelse. 1. I § 2, stk. 1, ændres »139« til: »138«. Stk. 2 og 3. --- Overskriften. Fælles datacentraler 2. Overskriften før § 8 ophæves. § 8. For fælles datacentraler, jf. § 9, stk. 1, nr. 13, finder følgende regler desuden anvendelse: 3. § 8 ophæves. 1)§ 132, stk. 1, nr. 8, om betryggende kontrol- og sikringsforanstaltninger på it-området og regler herom udstedt efter § 132, stk. 2. 2)Regler om outsourcing udstedt i medfør af § 134, hvis de fælles datacentraler outsourcer it-opgaver, der udføres for virksomheder omfattet af lovens § 9, stk. 1. 3)Kapitel 27 om kommunikation. Stk. 2. Kapitel 22 om tilsyn og kontrol m.v. og kapitel 28 om delegation og klage og regler udstedt i medfør af disse kapitler finder med de fornødne tilpasninger tilsvarende anvendelse for fælles datacentraler, jf. § 9, stk. 1, nr. 13. Stk. 3. Finanstilsynet kan undtagelsesvis i særlige tilfælde og for en tidsbegrænset periode dispensere fra stk. 1 og 2. Dispensationen kan fornyes. § 9. I denne lov forstås ved: 1-12) --- 13)Fælles datacentraler: Virksomheder, hvis væsentligste aktiviteter omfatter it-drifts- eller udviklingsopgaver for flere forsikringsselskaber, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder, og som overvejende er ejet af 4. § 9, stk. 1, nr. 13, ophæves.Nr. 14-43 bliver herefter nr. 13-42. a) et eller flere forsikringsselskaber, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder i forening eller b) en eller flere foreninger, hvis medlemmer overvejende er forsikringsselskaber, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder. 14-43) --- Stk. 2-5. --- § 107. --- Stk. 2. I forsikringsselskaber, der har tilladelse til at udøve livsforsikringsvirksomhed, med en balancesum på over 30 mia. kr. og i forsikringsselskaber, der har tilladelse til at udøve skadesforsikringsvirksomhed, med en balancesum på over 4 mia. kr. skal mindst et medlem af bestyrelsen have ledelseserfaring fra et forsikringsselskab eller et relevant pengeinstitut eller realkreditinstitut. 5. I § 107, stk. 2, ændres »balancesum på over 4 mia. kr.« til: »bruttopræmieindtægt på over 4. mia. kr.,«. § 123. --- Stk. 2. Det i stk. 1 anførte eksponeringsforbud finder ikke anvendelse i forbindelse med deltagelse i bestyrelserne for Danmarks Skibskredit A/S, Banker og Sparekassers Ungdomskontakt, LR Realkredit A/S, Bornholms Erhvervsfond, Grønlandsbanken A/S, regulerede markeder, clearingcentraler, værdipapircentraler, NASDAQ OMX Stockholm AB, NASDAQ OMX Helsinki Oy, IFU – Investeringsfonden for Udviklingslande, IØ – Investeringsfonden for Østlandene, Landbrugets FinansieringsBank A/S, Bankernes Kontantservice A/S, Fundcollect A/S, Fundconnect A/S og DLR Kredit A/S. 6. I § 123, stk. 2, udgår »Landbrugets FinansieringsBank A/S,«. Stk. 3 og 4. --- § 134. Forsikringsselskaber kan outsource en proces, en tjenesteydelse eller en aktivitet, som selskaberne ellers selv ville udføre, til en tjenesteyder. 7. I § 134, stk. 1, indsættes som 2. pkt.:»1. pkt. finder ikke anvendelse for outsourcing på det digitale operationelle område.« Stk. 2-6. --- Stk. 7. Stk. 2-4 og regler fastsat i medfør af stk. 6 gælder ikke for virksomhedernes autentifikation af brugere ved anvendelse af MitID-løsningen, jf. lov om MitID og NemLog-in. 8. § 134, stk. 7, ophæves. § 193. --- Stk. 2-12. --- Stk. 13. Finanstilsynet fastsætter bestemmelser om revisionens gennemførelse i forsikringsselskaber og i forsikringsselskabers dattervirksomheder, herunder om intern revision og om systemrevisionens gennemførelse i fælles datacentraler. 9. I § 193, stk. 13, udgår »og om systemrevisionens gennemførelse i fælles datacentraler«. Stk. 14. --- § 195. --- Stk. 2-5. --- Stk. 6. § 238, stk. 2, § 239, stk. 4, § 242, 2. pkt., § 256, stk. 2, § 257, stk. 4, § 260, 2. pkt., § 274, stk. 3, § 277, 2. pkt., § 294, stk. 3, og § 297, 2. pkt., i selskabsloven finder ikke anvendelse ved bestandsoverdragelser omfattet af stk. 1. 10. I § 195, stk. 6, udgår »§ 274, stk. 3,« og »§ 294, stk. 3,«. Stk. 7-10. --- § 253. Bestemmelserne i § 242, nr. 2, og § 158, stk. 2, finder ikke anvendelse ved stiftelse af gensidige selskaber, der har tilladelse til at udøve skadesforsikringsvirksomhed, med begrænset formål, jf. § 251. 11. I § 253 ændres »§ 158, stk. 2« til: »§ 156, stk. 2«. § 259. --- Stk. 2. Finanstilsynet påser endvidere overholdelsen af følgende: 1-9) --- 12. I § 259, stk. 2, indsættes som nr. 10:»10) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.« § 280. --- Stk. 2-6. --- Stk. 7. Finanstilsynet kan af egen drift eller efter ansøgning tilbagekalde et påbud meddelt efter stk. 2, 3 eller 5, når der er tale om et bestyrelsesmedlem. Afslår Finanstilsynet en ansøgning om tilbagekaldelse, kan ansøgeren forlange afslaget indbragt for domstolene. Anmodning herom skal indgives til Finanstilsynet, inden 4 uger efter at afslaget er meddelt den pågældende. Anmodning om domstolsprøvelse kan dog kun fremsættes, hvis påbuddet ikke er tidsbegrænset og der er forløbet mindst 5 år fra datoen for udstedelsen af påbuddet, eller mindst 2 år efter at Finanstilsynets afslag på tilbagekaldelse er stadfæstet ved dom. 13. I § 280, stk. 7, 1. pkt., ændres »stk. 2, 3 eller 5« til: »stk. 2, 3 eller stk. 4, 3. pkt.« Stk. 8 og 9. --- § 289. § 285, stk. 1, er ikke til hinder for, at fortrolige oplysninger videregives til følgende: 1-13) --- 14. I § 289, stk. 1, indsættes som nr. 14:»14) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.« Stk. 2-5. --- § 302. Som part i forhold til Finanstilsynet anses forsikringsselskabet, forsikringsholdingvirksomheden, det udenlandske forsikringsselskab eller den udenlandske forsikringsholdingvirksomhed, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af denne lov, forskrifter fastsat i medfør af denne lov og forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2009/138/EF af 25. november 2009 om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), jf. dog stk. 2 og 3, og Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf. 15. I § 302, stk. 1, ændres »jf. dog stk. 2 og 3, og Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf« til: »Europa-Parlamentets og Rådets forordning (EU) 2019/2088 af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning (EU) 2020/852 af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf, jf. dog stk. 2 og 3«. Stk. 2-5. --- § 309. Afgørelser truffet af Finanstilsynet eller Erhvervsstyrelsen kan af den, som afgørelsen retter sig til, indbringes for Erhvervsankenævnet, senest 4 uger efter at afgørelsen er meddelt den pågældende i henhold til følgende: 1-8) --- 16. I § 309, stk. 1, indsættes som nr. 9:»9) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.« Stk. 2 og 3. --- § 310. Erhvervsministeren kan fastsætte regler, som er nødvendige for at anvende eller gennemføre de afgørelser eller retsakter, som vedtages af Europa-Kommissionen i medfør af følgende: 1-8) --- 17. I § 310 indsættes som nr. 9:»9) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.« § 312. Med bøde straffes overtrædelse af følgende bestemmelser, medmindre højere straf er forskyldt efter den øvrige lovgivning 1 og 2) --- 18. I § 312, stk. 1, indsættes som nr. 3:»3) Artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.« Stk. 2. Med bøde eller fængsel indtil 4 måneder straffes overtrædelse af følgende bestemmelser, medmindre højere straf er forskyldt efter den øvrige lovgivning: 1)§ 14, stk. 1, § 37, 2. pkt., § 38, stk. 1-4, § 47, 2. pkt., § 54, stk. 1 og 2, § 61, stk. 1, 5 og 6, § 62, 1. pkt., § 63, stk. 1, §§ 64 og 82, § 84, stk. 1, 2. pkt., og stk. 2, § 87, stk. 1, §§ 91 og 92, § 94, stk. 1, 2 og 4, § 96, stk. 1, § 97, stk. 1-4, § 98, stk. 1 og 2, § 99, § 101, stk. 1, § 105, stk. 5, jf. stk. 1, nr. 3 og 4, § 105, stk. 3, § 106, § 117, stk. 1 og 5, §§ 118-120, § 127, stk. 3, jf. § 105, stk. 5, jf. stk. 1, nr. 3 og 4, § 138, § 154, stk. 1-3, § 155, stk. 1, § 156, stk. 1 og 4, § 158, stk. 1, § 159, stk. 1, § 160, stk. 1, § 165, stk. 1, § 173, stk. 1 og 2, § 188, § 189, stk. 1 og 2, § 194, § 195, stk. 1, § 200, stk. 1, § 223, stk. 1 og 4, § 224, stk. 1, § 225, stk. 1, § 258, stk. 1, § 269, stk. 2, og § 333, stk. 1, 2 og 4. 19. I § 312, stk. 2, nr. 1, indsættes efter »§ 101, stk. 1, § 105, stk. 5, jf. stk. 1, nr. 3 og 4,«: »§ 125,«. 2 og 3) --- § 313. Med bøde straffes et forsikringsselskab eller en forsikringsholdingvirksomhed, der ikke efterkommer et påbud, der er givet i medfør af § 46, stk. 2, § 59, § 154, stk. 4, § 159, § 273, stk. 1, 1. pkt., § 274, stk. 1, § 275, stk. 2, eller § 277, stk. 1, eller som overtræder § 112, stk. 1, i selskabsloven. 20. I § 313, stk. 1, ændres »§ 275, stk. 2,« til: »§ 275«. Stk. 2-4. --- § 9 I lov om forsikringsformidling, jf. lovbekendtgørelse nr. 337 af 11. marts 2022, som ændret ved § 10 i lov nr. 570 af 10. maj 2022, § 4 i lov nr. 480 af 12. maj 2023, § 338 i lov nr. 718 af 13. juni 2023 og § 2 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer: Lov om forsikringsformidling § 22. Finanstilsynet påser overholdelsen af denne lov bortset fra § 18 og påser overholdelsen af regler udstedt i medfør af loven. Finanstilsynet påser endvidere overholdelsen af Europa-Parlamentets og Rådets forordning 1286/2014/EU af 26. november 2014 om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP’er), Europa-Parlamentets og Rådets forordning 2019/1238/EU af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt), Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf og forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2016/97 af 20. januar 2016 om forsikringsdistribution. 1. I § 22, stk. 1, 2. pkt., indsættes efter »finansielle tjenesteydelser«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. § 31. --- Stk. 2-5. --- Stk. 6. Stk. 1 er ikke til hinder for, at fortrolige oplysninger videregives til: 1-17) --- 2. I § 31, stk. 6, indsættes som nr. 18:»18) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.« Stk. 7-12. --- § 33. Tilsynsreaktioner givet efter § 22, stk. 2, jf. § 345, stk. 12, nr. 4, i lov om finansiel virksomhed, og tilsynsreaktioner givet efter delegation fra Finanstilsynets bestyrelse til en virksomhed omfattet af denne lov skal offentliggøres med angivelse af virksomhedens navn, jf. dog stk. 4. Virksomheden skal offentliggøre oplysningerne på sin eventuelle hjemmeside på et sted, hvor de naturligt hører hjemme, hurtigst muligt, og senest 3 hverdage efter at virksomheden har modtaget underretning om reaktionen, eller senest på tidspunktet for offentliggørelse påkrævet efter lov om kapitalmarkeder. Samtidig med offentliggørelsen skal virksomheden indsætte et link, som giver direkte adgang til reaktionen, på forsiden af virksomhedens hjemmeside på en synlig måde, og det skal af linket og en eventuel tilknyttet tekst tydeligt fremgå, at der er tale om en reaktion fra Finanstilsynet. Kommenterer virksomheden på reaktionen, skal dette ske i forlængelse af denne, og kommentarerne skal være klart adskilt fra reaktionen. Fjernelse af linket på forsiden og informationerne fra virksomhedens eventuelle hjemmeside skal finde sted efter samme principper, som virksomheden anvender for øvrige meddelelser, dog tidligst når linket og informationerne har ligget på hjemmesiden i 3 måneder, og tidligst efter førstkommende generalforsamling eller repræsentantskabsmøde. Virksomhedens pligt til at offentliggøre oplysningerne på virksomhedens hjemmeside gælder kun for oplysninger om juridiske personer. Finanstilsynet skal offentliggøre oplysningerne på Finanstilsynets hjemmeside. Reaktioner givet i henhold til § 22, stk. 2, jf. § 345, stk. 12 nr. 6, i lov om finansiel virksomhed, og Finanstilsynets beslutninger om at overgive sager efter denne lov eller regler udstedt i medfør af loven eller efter forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2016/97 af 20. januar 2016 om forsikringsdistribution til politimæssig efterforskning skal offentliggøres som resumé på Finanstilsynets hjemmeside med angivelse af virksomhedens navn, jf. dog stk. 4. Indbringes reaktionen, der offentliggøres i henhold til 1. pkt., for Erhvervsankenævnet eller domstolene, skal dette fremgå af Finanstilsynets offentliggørelse, og det efterfølgende resultat af Erhvervsankenævnets eller domstolenes afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt. 3. I § 33, stk. 1, indsættes som efter 7. pkt. som nyt punktum:»Reaktioner givet i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og forordninger udstedt i medfør heraf, skal offentliggøres på Finanstilsynets hjemmeside med angivelse af virksomhedens navn.«4. I § 33, stk. 1, 8. pkt., der bliver 9. pkt., indsættes efter »af loven «: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf«.5. I § 33, stk. 1, 9. pkt., der bliver 10. pkt., ændres »1. pkt.« til: »1. eller 8. pkt.« Stk. 2-6. --- § 36. Som part i forhold til Finanstilsynet anses virksomheder eller personer omfattet af denne lov, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af denne lov eller forskrifter fastsat i medfør af denne lov eller i medfør af Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser eller regler udstedt i medfør heraf, jf. dog stk. 2. 6. I § 36, stk. 1, indsættes efter »Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. Stk. 2 og 3. --- § 37. Afgørelser truffet af Finanstilsynet i henhold til denne lov, regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning (EU) 1286/2014 af 26. november 2014 om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP’er), Europa-Parlamentets og Rådets forordning (EU) 2019/1238 af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt), forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2016/97 af 20. januar 2016 om forsikringsdistribution eller i henhold til Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser eller regler udstedt i medfør heraf kan indbringes for Erhvervsankenævnet af den, som afgørelsen retter sig mod, senest 4 uger efter at afgørelsen er meddelt den pågældende. 7. I § 37 indsættes efter »tjenesteydelser«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. § 42. --- Stk. 2. Overtrædelse af § 8, § 13, stk. 1 og 2, § 17, stk. 1, § 18, stk. 1, § 18 a, stk. 1, § 19, stk. 3, jf. § 19, stk. 1 og 2, § 19, stk. 4, jf. § 19, stk. 1, § 20, stk. 5, jf. § 20, stk. 1-4, § 20, stk. 6, jf. § 20, stk. 1, artikel 5, stk. 1, artikel 6 og 7, artikel 8, stk. 1-3, artikel 9, artikel 10, stk. 1, artikel 13, stk. 1, 3 og 4, og artikel 14 og 19 i Europa-Parlamentets og Rådets forordning 1286/2014/EU om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP’er) og artikel 7, 18, 22-25, 33, 34 og 50 i Europa-Parlamentets og Rådets forordning 2019/1238/EU af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt) straffes med bøde. 8. I § 42, stk. 2, ændres »(PRIIP’er) og« til: »(PRIIP’er),«, og efter »(PEPP-Produkt)« indsættes: », og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. § 10 I lov om en garantifond for skadesforsikringsselskaber, jf. lovbekendtgørelse nr. 2067 af 12. november 2021, som ændret ved § 1 i lov nr. 480 af 12. maj 2023, § 339 i lov nr. 718 af 13. maj 2023 og ved § 3 i 1546 af 12. december 2023, foretages følgende ændringer: Lov om en garantifond for skadesforsikringsselskaber 1. Efter § 12 indsættes:»§ 12 a. Fondens bestyrelse skal indgå aftale med et forsikringsselskab som administrationsselskab som en del af at antage fornøden medhjælp efter § 12, stk. 1.Stk. 2. Fonden skal skriftligt orientere Finanstilsynet, når en aftale efter stk. 1 er indgået. Fonden skal ligeledes skriftligt orientere Finanstilsynet, hvis Fonden ikke kan indgå en aftale efter stk. 1.Stk. 3. Kan Fondens bestyrelse ikke indgå aftale med et forsikringsselskab som administrationsselskab efter stk. 1, skal Finanstilsynet udnævne et forsikringsselskab som administrationsselskab for Fonden, der opfylder følgende kriterier:1) Forsikringsselskabet har fået Finanstilsynets tilladelse til at drive forsikringsvirksomhed til forsikringsklasse 1, 3, 6, 8-10, 12, 13, og 16-18 i bilag 1 i lov om forsikringsvirksomhed.2) Forsikringsselskabet har i henhold til seneste godkendte årsrapport haft en årlig bruttopræmieindtægt på minimum 2 mia. kr.3) Forsikringsselskabet har i de to seneste regnskabsår på balancetidspunktet i gennemsnit haft 125 eller flere fuldtidsansatte.4) Forsikringsselskabet overholder solvenskapitalkravet, der er fastsat for forsikringsselskabet.5) Forsikringsselskabet har minimum en markedsandel i Danmark på 3 pct. målt på bruttopræmie.Stk. 4. Opfylder flere forsikringsselskaber kriterierne i stk. 3, skal Finanstilsynet udnævne et administrationsselskab for Fonden på baggrund af en rotationsordning. Finanstilsynet skal i sin afgørelse inddrage relevante forhold relateret til de omfattede forsikringsselskaber i sin vurdering af, hvilket forsikringsselskab, der skal udnævnes som administrationsselskab, herunder om et forsikringsselskab tidligere har fungeret som administrationsselskab for Fonden.Stk. 5. Finanstilsynet skal udnævne et forsikringsselskab efter stk. 3, for en periode på 48 måneder, jf. dog stk. 7.Stk. 6. Finanstilsynet kan, medmindre særlige forhold taler herfor, ikke udnævne et forsikringsselskab som administrationsselskab i to af hinanden efterfølgende perioder.Stk. 7. Hvis der i perioden, jf. stk. 5, opstår en konkurs i et forsikringsselskab, skal Fondens bestyrelse i henhold til stk. 1 indgå aftale med et nyt forsikringsselskab som administrationsselskab. Det forsikringsselskab, der på tidspunktet for konkursens indtræden er udnævnt som administrationsselskab, skal bistå Fonden indtil sagsbehandlingen af konkursen er afsluttet, uanset om perioden på 48 måneder i mellemtiden måtte være ophørt.Stk. 8. Indgår Fondens bestyrelse aftale efter stk. 1, med et forsikringsselskab om at varetage opgaven som administrationsselskab for Fonden efter udløb af en periode, jf. stk. 5, og indtræder der en konkurs i et forsikringsselskab inden den igangværende periode, jf. stk. 5, udløber, skal forsikringsselskabet, som Fondens bestyrelse har indgået aftale med, overtage opgaven som administrationsselskab på tidspunktet for konkursens indtræden.Stk. 9. Fonden skal betale vederlag til et administrationsselskab udnævnt af Finanstilsynet. Vederlaget fastlægges efter forhandling mellem parterne. Er det ikke muligt for parterne at blive enig om størrelsen på vederlaget, skal Finanstilsynet fastsætte vederlagets størrelse på baggrund af et oplæg fra Fonden.Stk. 10. Et administrationsselskab, der er udnævnt af Finanstilsynet, jf. stk. 3, skal varetage de opgaver, der fremgår af Fondens udbudsmateriale eller andet dokument indeholdende Fondens specificering af opgaverne.« 2. Efter § 17 indsættes i kapitel 10:»§ 17 a. Afgørelser truffet af Finanstilsynet i medfør af § 12 a, stk. 3 og stk. 9, 3. pkt., kan indbringes for Erhvervsankenævnet senest 4 uger efter, at afgørelsen er meddelt det pågældende forsikringsselskab.« § 11 I lov nr. 405 af 25. april 2023 om Kreditforeningen af kommuner og regioner i Danmark foretages følgende ændringer: Lov om Kreditforeningen af kommuner og regioner i Danmark § 21. Finanstilsynet påser overholdelsen af denne lov og de regler, der er udstedt i medfør af loven, bortset fra § 3, stk. 1, 1. pkt., § 4 og § 20. 1. I § 21, stk. 1, indsættes som 2. pkt.:»Finanstilsynet påser endvidere overholdelsen af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.« § 22. --- 2. I § 22 indsættes som stk. 2 og 3:»Stk. 2. § 354 e i lov om finansiel virksomhed finder tilsvarende anvendelse på foreningen for sager om overtrædelse af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.Stk. 3. § 372 a i lov om finansiel virksomhed finder tilsvarende anvendelse på foreningen for regler, som er nødvendige for at anvende eller gennemføre de afgørelser eller retsakter, som vedtages af Europa-Kommissionen i medfør af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.« § 25. --- Stk. 2. Overtrædelse af § 10, jf. § 64 e, stk. 1, § 70, stk. 1-4, og § 71, stk. 1 og 2, i lov om finansiel virksomhed, § 12, § 13, stk. 1, jf. artikel 412, stk. 1 og 2, og artikel 415, stk. 1 og 2, i Europa-Parlamentets og Rådets forordning (EU) om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber, §§ 14 og 16 og § 18, stk. 2, jf. § 183 stk. 1, 1. pkt., og stk. 5, § 184, stk. 1, § 185, stk. 1 og 3 og stk. 4, 1. pkt., §§ 186 og 187, § 188, stk. 1 og stk. 2, 1. pkt., §§ 189 og 190, § 191, stk. 1-3, § 192, 1. pkt., § 193, 1. pkt., § 198, stk. 1, og § 199, stk. 2 og 6, i lov om finansiel virksomhed, straffes med bøde. 3. I § 25, stk. 2, indsættes efter »§ 199, stk. 2 og 6, i lov om finansiel virksomhed,«: »og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. Stk. 3-6. --- § 12 I lov om et skibsfinansieringsinstitut, jf. lovbekendtgørelse nr. 646 af 18. maj 2022 foretages følgende ændring: Lov om et skibsfinansieringsinstitut § 14. Overtrædelse af § 1, stk. 2, § 2 d, stk. 1, § 2 e, stk. 1, 2. og 3. pkt., § 2 h, stk. 1, 2 og 4, og § 3, 2. pkt., straffes med bøde, medmindre højere straf er forskyldt efter anden lovgivning. På samme måde straffes overtrædelse af meddelelsespligten i § 2 i, stk. 1, 1. pkt. 1. I § 14, stk. 1, 1. pkt., indsættes efter »§ 3, 2. pkt.,«: »og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. Stk. 2-4. --- § 13 I lov nr. 871 af 21. juni 2022 om Danmarks Eksport- og Investeringsfond foretages følgende ændring: Lov om Danmarks Eksport- og Investeringsfond § 15. Lov om offentlighed i forvaltningen, lov om Folketingets Ombudsmand, forvaltningsloven og arkivloven finder ikke anvendelse for Danmarks Eksport- og Investeringsfond og dennes selvstændige offentlige dattervirksomheder og øvrige datterselskaber samt enheder forvaltet af Danmarks Eksport- og Investeringsfond eller Danmarks Eksport- og Investeringsfonds selvstændige offentlige dattervirksomheder, for så vidt angår aktiviteter udøvet i medfør af kapitel 2. 1. I § 15 indsættes efter stk. 1 som nyt stykke:»Stk. 2. Europa-Parlamentets og Rådets forordning (EU) 2022/2254 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor finder ikke anvendelse for Danmarks Eksport- og Investeringsfond og dennes selvstændige offentlige dattervirksomheder og øvrige datterselskaber samt enheder forvaltet af Danmarks Eksport- og Investeringsfond eller Danmarks Eksport- og Investeringsfonds selvstændige offentlige dattervirksomheder.«Stk. 2 og 3 bliver herefter stk. 3 og 4. Stk. 2 og 3. --- § 14 I straffeloven, jf. lovbekendtgørelse nr. 1360 af 28. september 2022, som ændret senest ved § 1 i lov nr. 1786 af 28. december 2023, foretages følgende ændring: Straffeloven § 299 d. Med fængsel indtil 6 år straffes den, der under særligt skærpende omstændigheder gør sig skyldig i 1. I § 299 d, stk. 1, indsættes før nr. 1 som nyt nummer:»1) overtrædelse af artikel 89, stk. 2, eller artikel 91, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver,«.Nr. 1-3 bliver herefter nr. 2-4. 1-3) --- Stk. 2. --- § 15 I retsplejeloven, jf. lovbekendtgørelse nr. 1655 af 25. december 2022, som ændret senest ved § 3 i lov nr. 1786 af 28. december 2023, foretages følgende ændring: Retsplejeloven § 806. --- Stk. 2-6. --- Stk. 7. Politiet kan træffe afgørelser om pålæg om edition af oplysninger om transaktioner, konti, depoter, bokse el.lign. fra virksomheder eller personer, der er omfattet af § 1, stk. 1, nr. 1-12 eller 18-26, i lov om forebyggende foranstaltninger mod hvidvask af udbytte og finansiering af terrorisme. Politiet kan i afgørelsen om pålæg om edition efter 1. pkt. bestemme, at der fra virksomheder og personer, der er omfattet af § 1 i lov om forebyggende foranstaltninger mod hvidvask af udbytte og finansiering af terrorisme, kan indhentes oplysninger, som de pågældende har rådighed over, om transaktioner på en konto, hvortil der er overført midler ved en transaktion, som er omfattet af afgørelsen om edition, eller ved en transaktion, der udspringer af en transaktion, som er omfattet af afgørelsen om edition. Stk. 4, 2. pkt., finder tilsvarende anvendelse. Politiets afgørelser efter dette stykke skal være skriftlige og ledsaget af grunde. 1. I § 806, stk. 7, 1. pkt., ændres »§ 1, stk. 1, nr. 1-12 eller 18-26« til: »§ 1, stk. 1, nr. 12 eller 18-22«. Stk. 8-11. ---
Gældende formulering Lovforslaget § 1 I lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 1731 af 5. december 2023, som ændret ved § 335 i lov nr. 718 af 13. juni 2023, § 44 i lov nr. 1534 af 12. december 2023 og § 1 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer: Lov om finansiel virksomhed Fodnoten. Loven indeholder bestemmelser, der gennemfører Rådets direktiv 86/635/EØF af 8. december 1986 (bankregnskabsdirektivet), EF-Tidende 1986, nr. L 372, side 1, Rådets direktiv 89/117/EØF af 13. februar 1989 (offentliggørelse af årsregnskabsdokumenter for filialer fra ikkemedlemslande), EF-Tidende 1989, nr. L 44, side 40, Rådets direktiv 91/674/EØF af 19. december 1991 (forsikringsregnskabsdirektivet), EF-Tidende 1991, nr. L 374, side 7, Europa-Parlamentets og Rådets direktiv 95/26/EF af 29. juni 1995 (BCCI-direktivet), EF-Tidende 1995, nr. L 168, side 7, Europa-Parlamentets og Rådets direktiv 2001/24/EF af 4. april 2001 (likvidationsdirektivet for kreditinstitutter), EF-Tidende 2001, nr. L 125, side 15, Europa-Parlamentets og Rådets direktiv 2002/13/EF af 5. marts 2002 (Solvens I-direktivet), EF-Tidende 2002, nr. L 77, side 17, Europa-Parlamentets og Rådets direktiv 2002/87/EF af 16. december 2002 (konglomeratdirektivet), EU-Tidende 2003, nr. L 35, side 1, dele af Europa-Parlamentets og Rådets direktiv 2006/31/EF af 5. april 2006 (udsættelsesdirektivet), EU-Tidende 2006, nr. L 114, side 60, Europa-Parlamentets og Rådets direktiv 2007/44/EF af 5. september 2007 (kapitalandelsdirektivet), EU-Tidende 2007, nr. L 247, side 1, dele af Europa-Parlamentets og Rådets direktiv 2007/64/EF af 13. november 2007 (betalingstjenestedirektivet), EU-Tidende 2007, nr. L 319, side 1, dele af Europa-Parlamentets og Rådets direktiv 2009/65/EF af 13. juli 2009 (UCITS-direktivet), EU-Tidende 2009, nr. L 302, side 32, dele af Europa-Parlamentets og Rådets direktiv 2009/138/EF af 25. november 2009 (Solvens II-direktivet), EU-Tidende 2009, nr. L 335, side 1, Kommissionens direktiv 2010/43/EU af 1. juli 2010, EU-Tidende 2010, nr. L 176, side 42, dele af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 (CRD IV), EU-Tidende 2013, nr. L 176, side 338, dele af Europa-Parlamentets og Rådets direktiv 2014/49/EU af 16. april 2014 (DGSD), EU-Tidende 2014, nr. L 173, side 149, dele af Europa-Parlamentets og Rådets direktiv 2014/50/EU af 16. april 2014, EU-Tidende 2014, nr. L 128, side 1, dele af Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 (MiFID II), EU-Tidende 2014, nr. L 173, side 349, dele af Europa-Parlamentets og Rådets direktiv 2014/91/EU af 23. juli 2014 (UCITS V-direktivet), EU-Tidende 2014, nr. L 257, side 186, dele af Europa-Parlamentets og Rådets direktiv 2015/849/EU af 20. maj 2015 (4. hvidvaskdirektiv), EU-Tidende 2015, nr. L 141, side 73, dele af Europa-Parlamentets og Rådets direktiv 2018/843/EU af 30. maj 2018, EU-Tidende 2018, nr. L 156, side 43, dele af Europa-Parlamentets og Rådets direktiv 2016/97/EU af 20. januar 2016, EU-Tidende 2016, nr. L 26, side 19, dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 (NIS-direktivet), EU-Tidende 2016, nr. L 194, side 1, dele af Europa-Parlamentets og Rådets direktiv 2017/828/EU af 17. maj 2017, EU-Tidende 2017, nr. L 132, side 1, dele af Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296, dele af Europa-Parlamentets og Rådets direktiv 2017/828/EU af 17. maj 2017, EU-Tidende 2017, nr. L 132, side 1, dele af Europa-Parlamentets og Rådets direktiv 2019/1160/EU af 20. juni 2019, EU-Tidende 2019, nr. L 188, side 106, dele af Europa-Parlamentets og Rådets direktiv (EU) 2019/2162 af 27. november 2019 om udstedelse af dækkede obligationer og offentligt tilsyn med dækkede obligationer og om ændring af direktiv 2009/65/EF og 2014/59/EU, EU-Tidende 2019, nr. L 328, side 29, og dele af Kommissionens delegerede direktiv (EU) 2021/1270 af 21. april 2021 om ændring af direktiv 2010/43/EU for så vidt angår de bæredygtighedsrisici og bæredygtighedsfaktorer, der skal tages hensyn til i forbindelse med institutter for kollektiv investering i værdipapirer (investeringsinstitutter), EU-Tidende 2021, nr. L 277, side 141. Ifølge artikel 288 i EUF-traktaten gælder en forordning umiddelbart i hver medlemsstat. Gengivelsen af disse bestemmelser i loven er således udelukkende begrundet i praktiske hensyn og berører ikke forordningernes umiddelbare gyldighed i Danmark. 1. I fodnoten til lovens titel 1. pkt. udgår »dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 (NIS-direktivet), EU-Tidende 2016, nr. L 194, side 1,«, »og dele af Kommissionens delegerede direktiv (EU) 2021/1270 af 21. april 2021 om ændring af direktiv 2010/43/EU for så vidt angår de bæredygtighedsrisici og bæredygtighedsfaktorer, der skal tages hensyn til i forbindelse med institutter for kollektiv investering i værdipapirer (investeringsinstitutter), EU-Tidende 2021, nr. L 277, side 141« ændres til: », dele af Kommissionens delegerede direktiv (EU) 2021/1270 af 21. april 2021 om ændring af direktiv 2010/43/EU for så vidt angår de bæredygtighedsrisici og bæredygtighedsfaktorer, der skal tages hensyn til i forbindelse med institutter for kollektiv investering i værdipapirer (investeringsinstitutter), EU-Tidende 2021, nr. L 277, side 141, dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 om foranstaltninger til sikring af et føjt fælles cybersikkerhedsniveau i hele Unionen, EU-Tidende 2022, nr. L 333, side 80-152, og dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2556 af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«, i 2. pkt., ændres »84, og« til: »84,«, og efter »L 352, side 1« indsættes: »Europa-Parlamentets og Rådets forordning (EU) 2013/1114 af 31. maj 2023 om markeder for kryptoaktiver«. § 1. --- Stk. 2 og 3. --- Stk. 4. For filialer her i landet af udenlandske virksomheder, der er meddelt tilladelse til at udøve den i §§ 7-10 a nævnte virksomhed i et land inden for Den Europæiske Union eller et land, som Unionen har indgået aftale med10 på det finansielle område, finder §§ 6, 6 a, 6 b, 30, 32, 43, 43 b, 47-48 a, 50-54, 344 og 345, § 347, stk. 1-3, 5 og 7, §§ 347 b, 347 c og 348, § 352, stk. 2, §§ 354 a, 354 b, 360, 363 a, 368-370 og §§ 373-374 anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. 11 For filialer her i landet af kreditinstitutter finder § 152 a, stk. 4, 2. pkt., og § 307 a, stk. 1, 1. pkt., anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. For filialer her i landet af en udenlandsk virksomhed, der er meddelt tilladelse til at udøve den i §§ 7-10 a nævnte virksomhed i et andet land inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, finder § 347 a endvidere anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. For filialer og tilknyttede agenter her i landet af kreditinstitutter, der er meddelt tilladelse til at yde investeringsservice eller udføre investeringsaktiviteter i et andet land inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, og som udfører sådan aktivitet her i landet, finder §§ 30, 32, 344 og 345, § 347, stk. 1-3, 5 og 7, §§ 348, 354 a og 354 b og § 363 b, stk. 1 og 2,12 anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. § 43 og regler udstedt i medfør heraf13 gælder tilsvarende for situationer som nævnt i 4. pkt. 2. I § 1, stk. 4, 2. pkt., udgår »og § 307 a, stk. 1, 1. pkt.,«. Stk. 5-9. --- Stk. 10. Kapitel 20 c finder anvendelse på fælles datacentraler. 3. § 1, stk. 10, ophæves.Stk. 11-18 bliver herefter stk. 10-17. Stk. 11-13. --- 4. I § 1 indsættes efter stk. 13 som nye stykker:»Stk. 14. Kapitel 19 b finder anvendelse på fysiske og juridiske personer og andre virksomheder, der er involveret i udstedelse, udbud til offentligheden og optagelse af kryptoaktiver til handel, eller som leverer tjenesteydelser i forbindelse med kryptoaktiver.Stk. 15. Kapitel 19 c finder anvendelse på operatører af finansiel digital infrastruktur.«Stk. 14-18 bliver herefter stk. 16-20. Stk. 14-18. --- § 10. Virksomheder skal have tilladelse som investeringsforvaltningsselskab for at udføre den daglige ledelse af investeringsforeninger og administrere andre UCITS, jf. bilag 6. Investeringsforvaltningsselskaber må i øvrigt kun udføre virksomhed som nævnt i stk. 2, § 10 a og § 28. 5. I § 10, stk. 1, 2. pkt., ændres »§ 10 a og § 28« til: »§§ 10 a, 10 b og 28«. Stk. 2-7. --- 6. Efter § 10 a indsættes:»§ 10 b. Et investeringsforvaltningsselskab kan levere tjenester med kryptoaktiver som angivet i artikel 60, stk. 5, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, svarende til de tjenester, som det er meddelt tilladelse til i henhold til § 10, hvis selskabet giver Finanstilsynet meddelelse mindst 40 arbejdsdage, inden disse tjenester leveres første gang. Meddelelsen skal ledsages af de oplysninger, der er anført i artikel 60, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.« § 71. En finansiel virksomhed og en finansiel holdingvirksomhed skal have effektive former for virksomhedsstyring, herunder 1-7) --- 8)betryggende kontrol- og sikringsforanstaltninger på it-området og 7. I § 71, stk. 1, nr. 8, indsættes efter »it-området«: »og for net- og informationssystemer, som oprettes og styres i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 om digital operationel modstandsdygtighed i den finansielle sektor«. 9) --- Stk. 2. --- Stk. 3. Finanstilsynet kan fastsætte nærmere regler om de foranstaltninger, som en finansiel virksomhed og en finansiel holdingvirksomhed skal træffe for at have effektive former for virksomhedsstyring, jf. stk. 1 og 2. Finanstilsynet kan desuden fastsætte nærmere regler om hændelsesrapportering for de virksomheder, der udpeges som operatører af væsentlige tjenester i medfør af § 307 a, herunder om, at Finanstilsynet og Center for Cybersikkerhed underrettes ved en hændelse, der har en negativ indvirkning på sikkerheden i virksomhedens net- og informationssystemer. 8. § 71, stk. 3, 2. pkt., ophæves. § 72 a. Pengeinstitutter, sparevirksomheder, realkreditinstitutter og investeringsforvaltningsselskaber kan outsource en proces, en tjenesteydelse eller en aktivitet, som virksomheden ellers selv ville udføre, til en leverandør. 9. I § 72 a, stk. 1, indsættes som 2. pkt.:»1. pkt. finder ikke anvendelse for outsourcing på det digitale operationelle område.« Stk. 2 og 3. --- § 72 c. Regler fastsat i medfør af § 72 a, stk. 3, gælder ikke for virksomhedernes autentifikation af brugere ved anvendelse af MitID-løsningen, jf. lov om MitID og NemLog-in. 10. § 72 c ophæves. § 80. --- Stk. 2-4. --- Stk. 5. Det i stk. 4 anførte eksponeringsforbud finder ikke anvendelse i forbindelse med deltagelse i bestyrelserne for Danmarks Skibskredit A/S, Banker og Sparekassers Ungdomskontakt, LR Realkredit A/S, Bornholms Erhvervsfond, Grønlandsbanken A/S, regulerede markeder, clearingcentraler, værdipapircentraler, NASDAQ OMX Stockholm AB, NASDAQ OMX Helsinki Oy, IFU – Investeringsfonden for Udviklingslande, IØ – Investeringsfonden for Østlandene, Landbrugets FinansieringsBank A/S, Bankernes Kontantservice A/S, Fundcollect A/S, Fundconnect A/S og DLR Kredit A/S. 11. I § 80, stk. 5, udgår »Landbrugets FinansieringsBank A/S,«. Stk. 6-9. --- § 124. --- Stk. 2. Et pengeinstituts og et realkreditinstituts bestyrelse og direktion skal på baggrund af vurderingen efter stk. 1 opgøre instituttets individuelle solvensbehov. Solvensbehovet opgøres som det tilstrækkelige kapitalgrundlag i procent af den samlede risikoeksponering. Solvensbehovet kan ikke være mindre end kapitalgrundlagskravet efter artikel 92, stk. 1, litra c, og minimumskapitalkravet i artikel 93 i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter. 12. I § 124, stk. 2, indsættes efter 2. pkt. som nyt punktum:»Den del af solvensbehovet, der vedrører risiko for overdreven gearing, opgøres i procent af den samlede ikke-risikovægtede eksponering.«13. I § 124, stk. 2, 3. pkt., der bliver 4. pkt., indsættes efter »i artikel 93«: »eller gearingsgradskravet efter artikel 92, stk. 1, litra d,«. Stk. 3. Finanstilsynet kan individuelt fastsætte et højere krav til kapitalgrundlaget i form af et tillæg til kapitalgrundlagskravet, der fremgår af artikel 92, stk. 1, litra c, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter. Dette individuelle solvenskrav er udtryk for Finanstilsynets vurdering af instituttets tilstrækkelige kapitalgrundlag i procent af den samlede risikoeksponering. 14. I § 124, stk. 3, 1. pkt., indsættes efter: »92, stk. 1, litra c,«: »eller til gearingsgradskravet, der fremgår af artikel 92, stk. 1, litra d,«, og i 2. pkt. indsættes efter »samlede risikoeksponering«: »og i procent af den ikke-risikovægtede eksponering, hvis solvenskravet vedrører risiko for overdreven gearing«. Stk. 4-8. --- § 124 a. Finanstilsynet fastsætter årligt et vejledende niveau af yderligere kapitalgrundlag for de individuelle kreditinstitutter og meddeler dette til kreditinstitutterne. Det vejledende niveau af yderligere kapitalgrundlag baseres på en tilsynsmæssig stresstest og opgøres i procent af den samlede risikoeksponering. 15. I § 124 a, stk. 1, 1. pkt., ændres: »meddeler« til: »informerer«.16. I § 124 a, stk. 1, 2. pkt., indsættes efter: »risikoeksponering«: »og i procent af den samlede ikke-risikovægtede eksponering«.Stk. 2. --- Stk. 3. Den del af det vejledende niveau af yderligere kapitalgrundlag, som er fastsat for at tage højde for risikoen for overdreven gearing, skal opfyldes med egentlig kernekapital ud over den egentlige kernekapital, som opretholdes for at opfylde 17. I § 124 a, stk. 3, udgår »egentlig« og »egentlige«. 1-3) --- Stk. 4. --- § 125 d. Et pengeinstitut og et realkreditinstitut, der ikke opfylder det kombinerede kapitalbufferkrav, jf. § 125 a, stk. 1, og som har til hensigt at foretage en handling, der er omfattet af § 125 b, stk. 3, nr. 1-3, skal straks give Finanstilsynet meddelelse herom og oplyse: 18. I § 125 d, stk. 1, indsættes efter »§ 125 a, stk. 1,«: »eller gearingsgradbufferkravet, jf. artikel 92 stk. 1, litra a, jf. Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, hvis gearingsgradsbufferkravet finder anvendelse,«, og »§ 125 b, stk. 3,« ændres til: »§ 125 b, stk. 5,«. 1-4) --- Stk. 2. --- § 199. --- Stk. 2-11. --- Stk. 12. Finanstilsynet fastsætter bestemmelser om revisionens gennemførelse i finansielle virksomheder, i finansielle holdingvirksomheder og i sådanne virksomheders dattervirksomheder. Herunder kan Finanstilsynet fastsætte bestemmelser om intern revision og om systemrevisionens gennemførelse i fælles datacentraler. 19. § 199, stk. 12, 2. pkt., ophæves. Stk. 13. --- § 224. Finanstilsynet kan endvidere inddrage tilladelsen til at drive virksomhed som pengeinstitut, realkreditinstitut og investeringsforvaltningsselskab, 1)hvis den finansielle virksomhed gør sig skyldig i grove eller gentagne overtrædelser af denne lov, hvidvaskloven, lov om kapitalmarkeder eller lov om realkreditlån og realkreditobligationer m.v., regler udstedt i medfør af disse love, Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, forordninger og regler udstedt i medfør af Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber eller Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter, 20. I § 224, stk. 1, nr. 1, indsættes efter »om markeder for finansielle instrumenter«: »eller Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«. 2-5) --- Stk. 2-6. --- Stk. 7. Virksomheder, der har tilladelse til at drive både livsforsikringsvirksomhed og skadesforsikringsvirksomhed i samme selskab, jf. § 11, stk. 12, kan få inddraget deres tilladelse for henholdsvis livsforsikringsvirksomheden og skadesforsikringsvirksomheden særskilt. 21. § 224, stk. 7, ophæves. § 269 a. --- Stk. 2. --- Stk. 3. I vurderingen af, om Finanstilsynet skal begrænse virksomhedens udlodning til det maksimale udlodningsbeløb, skal Finanstilsynet tage hensyn til følgende: 1) --- 2)Udviklingen i virksomhedens økonomiske situation og sandsynligheden for, at virksomheden inden for en overskuelig fremtid opfylder betingelserne for afvikling. 22. I § 269 a, stk. 3, nr. 2, ændres »opfylder betingelserne for afvikling« til: »bliver nødlidende eller forventeligt nødlidende, jf. § 224 a«. 3-5) --- Stk. 4-7. --- § 272. --- Stk. 2-7. --- 23. I § 272 indsættes som stk. 8 og 9:»Stk. 8. Kapitalejere og kreditorer, hvis krav er blevet nedskrevet eller konverteret i henhold til stk. 1, må ikke lide større tab end ved konkursbehandling af pengeinstituttet eller realkreditinstituttet under afvikling.Stk. 9. Finanstilsynets vurdering efter stk. 8 foretages på baggrund af værdiansættelsen i § 8 i lov om restrukturering og afvikling af visse finansielle virksomheder. Værdiansættelsen foretages af Finansiel Stabilitet efter anmodning fra Finanstilsynet. Konstateres det, at en kapitalejer eller kreditor, herunder Garantiformuen, har lidt større tab, end den ville have gjort ved konkursbehandling af pengeinstituttet eller realkreditinstituttet, betales forskellen af Afviklingsformuen, jf. kapitel 11 i lov om restrukturering og afvikling af visse finansielle virksomheder.« § 274. --- Stk. 2. --- Stk. 3. Stk. 1 finder ikke anvendelse, hvis forpligtelsen er undtaget fra bail-in, jf. § 25, stk. 3, i lov om restrukturering og afvikling af visse finansielle virksomheder, eller hvis forpligtelsen er et berettiget indskud, jf. § 2, nr. 7, i lov om restrukturering og afvikling af visse finansielle virksomheder. 24. § 274, stk. 3, affattes således:»Stk. 3. Stk. 1 finder ikke anvendelse, hvis1) forpligtelsen er undtaget fra bail-in, jf. § 25, stk. 3, i lov om restrukturering og afvikling af visse finansielle virksomheder,2) forpligtelsen er en del af et berettiget indskud fra fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, jf. § 2, nr. 19, i lov om restrukturering og afvikling af visse finansielle virksomheder, og overstiger beløbsgrænsen for dækkede indskud, jf. § 9 i lov om en indskyder- og investorgarantiordning, eller3) forpligtelsen ville være et berettiget indskud fra fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, hvis ikke indskuddet var foretaget gennem filialer af institutter, der er etableret inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, når filialen er beliggende uden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område.« Stk. 4-6. --- § 275. En virksomhed skal underrette Finanstilsynet, hvis det ikke er muligt at opfylde § 274, stk. 1, i forhold til en kontrakt vedrørende en forpligtelse omfattet af konkurslovens § 97. Underretningen skal angive kategorien af forpligtelsen og begrundelsen for, at det ikke er muligt at indføre kontraktbestemmelsen. 25. I § 275, stk. 1, indsættes efter 1. pkt. som nyt punktum:»Dette omfatter dog ikke usikrede obligationer og andre former for omsættelig gæld og instrumenter, der skaber eller anerkender en gæld.«. Stk. 2-7. --- Afsnit VIII a. Identifikation af operatører af væsentlige tjenester. 26. Afsnit VIII a ophæves. Kapitel 18 a. Identifikation af operatører af væsentlige tjenester. § 307 a. Finanstilsynet udpeger mindst hvert andet år de penge- og realkreditinstitutter, der er operatører af væsentlige tjenester. Det samme gælder filialer af kreditinstitutter med hjemsted i et andet land inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område. Stk. 2. Finanstilsynet skal i forbindelse med udpegningen efter stk. 1 lægge vægt på, at 1)de tjenester, der leveres, er væsentlige for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter, 2)leveringen af tjenesten afhænger af net- og informationssystemer og 3)en hændelse vil få væsentlige forstyrrende virkninger for leveringen af tjenesten. Stk. 3. Finanstilsynet offentliggør på sin hjemmeside, hvilke penge- og realkreditinstitutter der er udpeget som operatører af væsentlige tjenester. Stk. 4. Finanstilsynet kan fastsætte nærmere regler om udpegning af operatører af væsentlige tjenester og de kriterier, Finanstilsynet kan lægge vægt på efter stk. 1 og 2. Finanstilsynet udarbejder en liste over tjenester, jf. stk. 2, nr. 1. Afsnit IX a. Offentlig forbrugerinformation. 27. Afsnit IX a ophæves og i stedet indsættes:»Afsnit IX aOffentlig forbrugerinformationKapitel 19 a§ 331. Finanstilsynet fremmer den offentlige forbrugerinformation på det finansielle område.Afsnit IX bMarkeder for kryptoaktiverKapitel 19 bDefinitioner§ 332. I denne lov forstås ved:1) Kryptoaktiv: En digital gengivelse af en værdi eller af en rettighed, som kan overføres og lagres elektronisk ved hjælp af distributed ledger-teknologi eller lignende teknologi.2) Aktivbaseret token: En form for kryptoaktiv, der ikke er en elektronisk pengetoken, og som hævdes at bevare en stabil værdi ved at henvise til en anden værdi eller rettighed eller en kombination heraf, herunder en eller flere officielle valutaer.3) Elektronisk pengetoken eller e-pengetoken: En form for kryptoaktiv, som hævdes at bevare en stabil værdi ved at henvise til værdien af en officiel valuta.4) Udsteder af kryptoaktiver: En fysisk eller juridisk person eller en anden virksomhed, der udsteder kryptoaktiver.5) Udbyder af kryptoaktiver: En fysisk eller juridisk person eller en anden virksomhed, eller udstederen, som udbyder kryptoaktiver til offentligheden.6) Udbyder af kryptoaktivtjenester: En juridisk person eller en anden virksomhed, hvis erhverv eller forretning består i at levere en eller flere kryptoaktivtjenester til kunder på et erhvervsmæssigt grundlag, og som har tilladelse til at levere kryptoaktivtjenester i overensstemmelse med artikel 59 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.7) Kryptoaktivtjeneste: En af nedenstående tjenester og aktiviteter vedrørende ethvert kryptoaktiv:a) Levering af deponering og administration af kryptoaktiver på kunders vegne.b) Drift af en handelsplatform for kryptoaktiver.c) Veksling mellem kryptoaktiver og midler.d) Veksling mellem kryptoaktiver og andre kryptoaktiver.e) Udførelse af ordrer vedrørende kryptoaktiver på vegne af kunder.f) Placering af kryptoaktiver.g) Modtagelse og formidling af ordrer vedrørende kryptoaktiver på vegne af kunder.h) Rådgivning om kryptoaktiver.i) Porteføljepleje i forbindelse med kryptoaktiver.j) Levering af tjenester vedrørende overførsel af kryptoaktiver på vegne af kunder.Tilladelse og underretning§ 332 a. En juridisk person eller anden virksomhed, der udbyder aktivbaserede tokens til offentligheden eller anmoder om optagelse af aktivbaserede tokens til handel i EU, skal være udsteder af disse aktivbaserede tokens og have tilladelse af Finanstilsynet i overensstemmelse med artikel 21, jf. artikel 16, stk. 1, litra a, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, jf. dog stk. 2 og 3.Stk. 2. Stk. 1 finder ikke anvendelse på et pengeinstitut, der opfylder kravene i artikel 17 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.Stk. 3. Stk. 1 finder ikke anvendelse på en udsteder af aktivbaserede tokens, som er undtaget efter artikel 16, stk. 2, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, såfremt udstederen giver meddelelse om en hvidbog om kryptoaktiver i overensstemmelse med artikel 19 i samme forordning, og efter anmodning Fra Finanstilsynet giver meddelelse om enhver markedsføringskommunikation til Finanstilsynet.§ 332 b. En person, der udbyder e-pengetokens til offentligheden eller anmoder om optagelse af e-pengetokens til handel i EU, skal være udsteder af disse, være meddelt tilladelse fra Finanstilsynet som pengeinstitut eller e-pengeinstitut og offentliggøre en hvidbog om kryptoaktiver, som Finanstilsynet er blevet underrettet om i overensstemmelse med artikel 51, jf. artikel 48, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.§ 332 c. En juridisk person eller anden virksomhed, der leverer kryptoaktivtjenester i EU, skal have tilladelse af Finanstilsynet efter artikel 63, jf. artikel 59, stk. 1, litra a, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, jf. dog stk. 2.Stk. 2. Stk. 1 finder ikke anvendelse på et pengeinstitut, en værdipapircentral, et fondsmæglerselskab, en markedsoperatør, et e-pengeinstitut, et investeringsforvaltningsselskab eller en forvalter af alternative investeringsfonde, der har tilladelse til at udbyde tjenester som angivet i artikel 60, stk. 1-6, og som har underrettet Finanstilsynet i henhold til artikel 60, stk. 1-6, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, jf. artikel 59, stk. 1, litra b, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.Inddragelse af tilladelse§ 332 d. Finanstilsynet kan inddrage en tilladelse til en udsteder af aktivbaserede tokens efter artikel 24 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.§ 332 e. Finanstilsynet kan inddrage en tilladelse til en udbyder af kryptoaktivtjenester efter artikel 64 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.Indberetning af oplysninger§ 332 f. En udsteder af aktivbaserede tokens omfattet af § 361, stk. 1, nr. 11, skal senest den 1. juli hvert år indberette summen af udstederens gennemsnitlige udestående til Finanstilsynet, jf. stk. 2.Stk. 2. Gennemsnittet af de udestående aktivbaserede tokens beregnes som den samlede markedsværdi af de udestående aktivbaserede tokens, opgjort på baggrund af det daglige udestående ved udgangen af hver dag i de foregående 6 måneder. Opgørelsen foretages den første dag i hver måned. Har virksomheden ikke gennemført 6 måneders drift på datoen for beregningen, anvendes de eventuelt gennemførte måneder med drift og virksomhedens estimater for de gennemsnitlige udestående aktivbaserede tokens for det kommende år som grundlag for beregningen.§ 332 g. En udbyder af kryptoaktivtjenester omfattet af § 361, stk. 1, nr. 12, skal senest den 1. juli hvert år indberette virksomhedens omkostninger til løn, provision og tantieme til Finanstilsynet.Tilsyn§ 332 h. Finanstilsynet, eller hvor kompetencen til at udøve enkelte beføjelser ved lov er tillagt andre danske myndigheder, kan til brug for tilsyn med overholdelsen af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver udøve de beføjelser, der følger af forordningens artikel 94. Dette inkluderer til enhver tid mod behørig legitimation uden retskendelse at kunne få adgang til lokaler og lokaliteter tilhørende udbydere af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens, og personer, der anmoder om optagelse til handel af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens, udstedere af aktivbaserede tokens, udstedere af e-pengetokens og udbydere af kryptoaktivtjenester, med henblik på indhentelse af oplysninger, herunder ved inspektioner.Afsnit IX cKapitel 19 cOperatører af finansielle digitale infrastrukturerUdpegning af operatører af finansielle digitale infrastrukturer§ 333. Finanstilsynet kan udpege en virksomhed, som operatør af finansiel digital infrastruktur, hvis virksomheden opfylder følgende:1) Virksomheden udbyder digital infrastruktur eller forvalter it-tjenester, som nævnt i bilag I, pkt. 8 og 9, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen.2) Virksomhedens væsentligste aktiviteter består i at drive, administrere eller udvikle tjenester, der er nødvendige for kritiske og vigtige forretningsfunktioner i virksomheder, der er omfattet af Europa-Parlamentets og Rådets forordning (EU) 2022/2254 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, som operatører af finansielle digitale infrastrukturer.Stk. 2. Finanstilsynet skal ved udpegningen af en operatør af finansielle digitale infrastrukturer lægge vægt på følgende:1) Omfanget og antallet af virksomheder i den finansielle sektor som virksomheden varetager kritiske og vigtige opgaver for.2) Karakteren af de kritiske og vigtige funktioner, som er afhængige af virksomhedens leverancer.3) Betydningen af operatørens leverancer for den finansielle stabilitet.4) Virksomhedens tilknytning til de virksomheder i den finansielle sektor, som modtager operatørens ydelser, herunder koncernforbindelser og ejerskab.Stk. 3. It-operatører af detailbetalingssystemer og virksomheder, der udfører væsentlig drift eller udvikling for den fælles betalingsinfrastruktur, kan udpeges som operatører af finansielle digitale infrastrukturer.Stk. 4. Finanstilsynet skal på sin hjemmeside offentliggøre, hvilke virksomheder der er udpeget som operatører af finansielle digitale infrastrukturer.Stk. 5. Finanstilsynet kan fastsætte nærmere regler om udpegning af operatører af finansielle digitale infrastrukturer, herunder de kriterier, som Finanstilsynet skal lægge vægt på efter stk. 1 og 2.Foranstaltninger til styring af it- og cyberrisici§ 333 a. En operatør af finansiel digital infrastruktur skal have en forvaltnings- og kontrolramme, der sikrer en effektiv og forsigtig styring af it- og cyberrisici.Stk. 2. En operatør skal som led i rammen for styring af it- og cyberrisici træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risici for sikkerheden i net- og informationssystemer.Stk. 3. Foranstaltningerne nævnt i stk. 2 skal omfatte følgende:1) politikker for risikoanalyse og informationssystemsikkerhed, jf. § 333 d,2) håndtering af hændelser, jf. § 333 f,3) driftskontinuitet, herunder backup-styring og reetablering efter større hændelser og krisestyring, jf. § 333 e, stk. 7,4) forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem operatøren og dens direkte leverandører eller tjenesteudbydere, jf. §§ 333 h-333 j,5) sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder, jf. § 333 e, stk. 2,6) politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici, jf. § 332, stk. 10, og § 333 g,7) grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse, jf. § 333 b, stk. 7, og § 333 e, stk. 4 og 11,8) politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering,9) personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver, og10) brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i infrastrukturen, hvor det er relevant.Stk. 4. En operatør skal, når den overvejer foranstaltninger nævnt i stk. 3, nr. 4, tage hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder, og den generelle kvalitet af deres leverandørers og tjenesteudbyderes produkter og cybersikkerhedspraksis, herunder sikkerheden i deres udviklingsprocedurer. Ved vurderingen skal operatøren desuden tage hensyn til resultaterne af de koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder, der foretages i overensstemmelse med artikel 22, stk. 1, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, hvor det er relevant, og hvor resultaterne af sådanne vurderinger foreligger.Ledelse og organisation§ 333 b. Det øverste ledelsesorgan i en operatør af finansiel digital infrastruktur skal fastlægge, godkende, føre tilsyn med og har ansvaret for gennemførelsen af operatørens ramme, jf. § 333 a, og foranstaltninger efter § 333 b og ordninger for it- og cyberrisikostyring. Det øverste ledelsesorgan skal godkende en strategi for digital operationel modstandsdygtighed, der gennemfører rammen, jf. § 333 a.Stk. 2. Tilsynet med operatørens styring af sine it- og cyberrisici skal placeres i uafhængige kontrolfunktioner. Operatøren skal sikre adskillelse og uafhængighed mellem it- og cyberrisikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner efter modellen med tre forsvarslinjer eller en intern model for risikostyring og kontrol.Stk. 3. En operatør skal dokumentere og gennemgå rammen efter § 333 a mindst en gang om året, samt når der forekommer større IT- eller cyberhændelser, eller som følge af observationer efter test eller revisioner. Gennemgang efter 1. pkt. skal ligeledes foretages efter anmodning fra Finanstilsynet. Gennemgangen af rammen skal operatøren kunne dokumentere i en samlet rapport.Stk. 4. En operatørs interne revision skal regelmæssigt revidere rammen for styring af it- og cyberrisici. Den interne revision skal have tilstrækkelig viden, faglig kompetence og ekspertise til udførelsen af denne opgave.Stk. 5. En operatør skal oprette en funktion med henblik på overvågning af ordninger, der er indgået med tredjepartsudbydere om it-ydelser, eller udpege et direktionsmedlem som ansvarlig for tilsyn og dokumentation i forbindelse med eksponering for it- og cyberrisici fra tredjepartsudbydere.Stk. 6. En operatør skal oprette en funktion til krisestyring, som skal håndtere større it- og cyberhændelser, medfører aktivering af beredskabsplaner, forretningskontinuitetsplaner eller genopretningsplaner. Krisestyringsfunktionen har ansvaret for kommunikation efter 1. pkt.Stk. 7. Medlemmer af det øverste ledelsesorgan af operatøren skal aktivt vedligeholde den viden og de færdigheder, der er nødvendige for at forstå og vurdere it- og cyberrisici og disses indvirkning på driften af operatøren, herunder ved regelmæssigt at følge undervisning, som er passende i forhold til de it- og cyberrisici, som operatøren og dens kunder er eksponeret for.§ 333 c. En operatør af finansiel digital infrastruktur skal dokumentere anvendelsen af sin ramme for styring af it- og cyberrisici på leverancer, der er nødvendige for kritiske og vigtige funktioner hos kunder, såfremt operatøren er datacentral for virksomheder, som er omfattet af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.Styring af it- og cyberrisici§ 333 d. Den ramme for it- og cyberrisikostyring, som en operatør af finansiel digital infrastruktur skal have, jf. § 333 a, skal omfatte en overordnet strategi for digital operationel modstandsdygtighed, der fastsætter, hvordan rammen skal gennemføres.Stk. 2. Operatøren skal med passende mellemrum identificere og vurdere alle væsentlige it- og cyberrisici, som operatøren og dennes ydelser er eksponeret for.Stk. 3. Rammen for it- og cyberrisikostyring skal som minimum omfatte strategier, politikker, procedurer og foranstaltninger, som er nødvendige for at beskytte al fysisk og digital infrastruktur og data i overensstemmelse med de identificerede risici, herunder software, hardware, servere, netværk og relaterede fysiske komponenter og infrastrukturer, såsom lokaler, datacentre og sensitive udpegede områder mod risici.Foranstaltninger til it- og cybersikkerhed§ 333 e. En operatør af finansiel digital infrastrukturs it-systemer, it-protokoller og it-værktøjer skal være pålidelige og med tilstrækkelig kapacitet til rettidigt at håndtere de nødvendige transaktioner m.v. i situationer med spidsbelastning, herunder uventet høje spidsbelastninger.Stk. 2. En operatør skal løbende identificere alle kritiske forretningsfunktioner og it-aktiver, herunder it-aktiver, der understøtter kritiske eller vigtige forretningsfunktioner for operatørens kunder.Stk. 3. En operatør skal identificere alle kritiske eller vigtige forretningsprocesser og tjenester, der er afhængige af eksterne leverandører, og dokumentere egne og kunders afhængigheder af ydelser fra underleverandører.Stk. 4. En operatør skal overvåge og kontrollere it-systemernes og it-værktøjernes funktion og sikkerhed og minimere virkningerne af it- og cyberrisici ved at indføre passende sikkerhedsværktøjer, -politikker og -procedurer. Operatøren skal løbende identificere potentielle sårbarheder og single points of failure.Stk. 5. En operatør skal opretholde et højt niveau af tilgængelighed, autenticitet, integritet og fortrolighed af data, og udforme og gennemføre it-sikkerhedspolitikker, -procedurer, -protokoller og -værktøjer, der er egnede til at sikre modstandsdygtighed, stabilitet og tilgængelighed for it-systemer, der understøtter kritiske eller vigtige funktioner.Stk. 6. En operatør skal indføre mekanismer til overvågning og sporing af anormale aktiviteter, trusler og hændelser i relevant infrastruktur og fastsætte tærskler for igangsættelse af indsats- og beredskabsforanstaltninger.Stk. 7. En operatør skal have en politik for it-driftsstabilitet, som gennemføres ved dokumenterede beredskabsplaner, ordninger, procedurer mv., med henblik på:1) at sikre, at operatørens og dennes kunders kritiske eller vigtige funktioner er stabile,2) at hurtigt, passende og effektivt at sætte ind over for og løse alle it-relaterede hændelser på en måde, der begrænser skaden og prioriterer genoptagelsen af aktiviteter og genopretningstiltag,3) at planer, der omfatter inddæmningsforanstaltninger, der er passende i forhold til hændelserne og som forhindrer yderligere skade, omgående aktiveres4) at anslå foreløbige virkninger, skader og tab, og5) at indføre kommunikations- og krisestyringstiltag, der sikrer, at ajourførte oplysninger videresendes til al relevant internt personale og eksterne interessenter, og indberettes til Finanstilsynet.Stk. 8. En operatør skal have politikker og procedurer for sikkerhedskopiering, der præciserer omfanget af de data, der er genstand for sikkerhedskopiering, og minimumshyppigheden af sikkerhedskopiering baseret på oplysningernes kritiske betydning eller fortrolighedsniveauet for dataene. Operatøren skal endvidere have procedurer og metoder for gendannelse og genopretning efter materiel eller immateriel skade efter væsentlige hændelser.Stk. 9. En operatør skal regelmæssigt teste sine foranstaltninger til beredskab, indsats, genopretning, sikkerhedskopiering og gendannelse.Stk. 10. En operatør skal udvikle politikker for en systematisk læring på baggrund af den viden, som operatøren opnår ved opfølgning på sin ramme for risikostyring, trusselsovervågning, testresultater og it- og cyberhændelser. Den opnåede viden skal danne grundlag for en årlig rapportering til ledelsesorganet med anbefalinger til forbedringer i relevant omfang.Stk. 11. En operatør skal have beredskab for krisekommunikation og ansvarlig offentliggørelse af oplysninger om større cyberhændelser eller væsentlige sårbarheder til berørte parter, herunder kunder, modparter og offentligheden.Styring og indberetning af it- og cyberhændelser§ 333 f. En operatør af finansiel digital infrastruktur skal fastlægge en proces for overvågning, styring og indberetning af it- og cyberhændelser.Stk. 2. En operatør skal registrere alle it- og cyberhændelser og væsentlige cybertrusler. Operatøren skal fastlægge passende procedurer, der sikrer en konsekvent og integreret overvågning, håndtering og opfølgning af it- og cyberhændelser, og at de grundlæggende årsager identificeres, dokumenteres og håndteres.Stk. 3. En operatør skal indberette væsentlige it- og cyberhændelser, jf. stk. 4, til Finanstilsynet og CSIRT’en oprettet i medfør af artikel 10, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen.Stk. 4. En hændelse anses for væsentlig, jf. stk. 3, hvis1) den har forårsaget, eller er i stand til at forårsage, alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for operatøren, eller2) den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig materiel eller immateriel skade.Stk. 5. En operatør skal ved en indberetning, jf. stk. 3, foretage følgende:1) Indsende alle oplysninger, der er nødvendige for Finanstilsynet til at fastslå eventuelle grænseoverskridende virkninger af hændelsen.2) Uden unødigt ophold og under alle omstændigheder inden for 24 timer efter at have fået kendskab til den væsentlige hændelse fremsende en tidlig varsling, som skal angive, om den væsentlige hændelse mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en grænseoverskridende virkning.3) Uden unødigt ophold og under alle omstændigheder inden for 72 timer efter at have fået kendskab til den væsentlige hændelse fremsende en hændelsesunderretning, som skal ajourføre de oplysninger, der er nævnt under nr. 1 og en indledende vurdering af den væsentlige hændelse, herunder dens alvor og indvirkning samt kompromitteringsindikatorerne, hvor sådanne foreligger.4) Efter anmodning fra Finanstilsynet eller fra CSIRT’en fremsende en foreløbig rapport om relevante statusopdateringer.5) Fremsende en endelig rapport senest en måned efter forelæggelsen af den hændelsesunderretning, der er nævnt i nr. 2, der skal omfatte følgende:a) En detaljeret beskrivelse af hændelsen, herunder dens alvor og indvirkning.b) Den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen.c) Anvendte og igangværende afbødende foranstaltninger.d) Oplysninger om eventuelle grænseoverskridende virkninger af hændelsen.6) Forelægge en statusrapport for Finanstilsynet og CSIRT’en senest en måned efter forelæggelsen af den hændelsesunderretning, der er nævnt i nr. 2, hvis hændelsen fortsat pågår på dette tidspunkt, og en endelig rapport senest en måned efter operatørens håndtering af hændelsen.Stk. 6. En operatør skal, hvor det er relevant, uden unødigt ophold underrette modtagere af operatørens tjenester om væsentlige hændelser, der sandsynligvis vil påvirke leveringen af disse tjenester negativt.Stk. 7. En operatør skal uden unødigt ophold underrette modtagere af deres tjenester, som potentielt er berørt af en væsentlig cybertrussel, om eventuelle foranstaltninger eller modforholdsregler, som disse modtagere kan træffe som reaktion på den pågældende trussel. Operatøren skal også informere de pågældende modtagere om den konkrete væsentlige cybertrussel, hvor dette er relevant.Stk. 8. En operatør kan underrette Finanstilsynet om væsentlige cybertrusler, når den anser truslen for at være relevant for det finansielle system, tjenestebrugere eller kunder.Trusselsbaseret penetrationstest§ 333 g. En operatør af finansiel digital infrastruktur skal løbende teste effektiviteten af sine foranstaltninger til sikring mod it- og cyberhændelser, der har eller kan have skadelige virkninger på virksomhedens drift.Stk. 2. En operatør skal have et program for test af digital operationel modstandsdygtighed, som er passende i forhold til de identificerede risici og er integreret med operatørens ramme for it- og cyberrisikostyring, jf. § 333 a.Stk. 3. En operatør kan pålægges at gennemgå trusselsbaserede penetrationstest i overensstemmelse med de regler, der gælder for virksomheder omfattet af kapitel IV i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og retsakter udstedt i medfør heraf.Stk. 4. Vurderingen af, i hvilket omfang en operatør skal gennemføre penetrationstests, jf. stk. 3, skal foretages ud fra1) virkningsrelaterede faktorer, navnlig i hvilket omfang de tjenester, der leveres, og de aktiviteter, der udføres af operatøren, indvirker på den finansielle sektor,2) eventuelle betænkeligheder vedrørende finansiel stabilitet, herunder operatørens systemiske karakter, og3) operatørens specifikke it-risikoprofil, grad af it-modenhed eller de teknologiske kendetegn, der er involveret.Tredjepartsrisici§ 333 h. En operatør af finansiel digital infrastruktur skal styre sine it- og cyberrisici, der er relateret til brug af it-tjenester fra tredjeparter som en integreret del af sin ramme for it- og cyberrisikostyring, jf. § 333 a.Stk. 2. En operatør, der har overladt driften af en forretningsfunktion til en leverandør, har til enhver tid det fulde ansvar for at overholde og opfylde alle forpligtelser i henhold til denne lov.Stk. 3. En operatør skal regelmæssigt gennemgå de risici, der er forbundet med brugen af it-tredjepartsudbydere.Stk. 4. En operatør skal vedtage og regelmæssigt gennemgå en strategi for sine it-tredjepartsrisici. Strategien for it-tredjepartsrisici skal omfatte en politik for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og som leveres af tredjepartsudbydere.Stk. 5. En operatør skal opretholde og ajourføre et register over oplysninger om alle ordninger for brugen af it-tjenester, der leveres af tredjepartsudbydere. Operatøren skal underrette Finanstilsynet om enhver planlagt kontraktlig ordning for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og når en funktion er blevet kritisk eller vigtig.Stk. 6. Inden en operatør indgår en kontraktlig ordning for brugen af it-tjenester, skal operatøren1) vurdere, om den kontraktlige ordning omfatter brugen af it-tjenester, der understøtter en kritisk eller vigtig funktion,2) vurdere om de tilsynsmæssige betingelser for udlicitering er opfyldt,3) identificere og vurdere alle relevante risici i forbindelse med den kontraktlige ordning, herunder muligheden for at sådanne kontraktlige ordninger kan bidrage til at øge it-koncentrationsrisikoen,4) foretage fornøden due diligence over for potentielle tredjepartsudbydere af it-tjenester og under udvælgelses- og vurderingsprocessen sikre, at den pågældende tredjepartsudbyder af it-tjenester er egnet og5) identificere og vurdere interessekonflikter, som den kontraktlige ordning kan give anledning til.Stk. 7. Når en operatør indgår it-kontrakter, der relaterer sig til kritiske og vigtige funktioner, skal operatøren sikre, at den har passende adgangs-, inspektions- og revisionsrettigheder over for tredjepartsudbyderen af it-tjenester. Operatøren skal, på grundlag af en risikobaseret tilgang, fastsætte hyppigheden af revisioner og inspektioner samt de områder, der skal underkastes revision.Stk. 8. En operatør af skal sikre, at de kontraktlige ordninger for brugen af it-tjenester som minimum kan opsiges i enhver af følgende situationer:1) Tredjepartsudbyderen begår en væsentlig overtrædelse af gældende lovgivning eller kontraktvilkår.2) Operatøren identificerer forhold under overvågningen af it-tredjepartsrisici, som kan ændre udførelsen af de funktioner, der er leveret gennem den kontraktlige ordning, herunder væsentlige ændringer, der påvirker ordningen eller situationen for tredjepartsudbyderen af it-tjenester.3) Operatøren dokumenterer svagheder hos tredjepartsudbyderen af it-tjenester, som vedrører dennes samlede it-risikostyring.4) Finanstilsynet ikke længere kan føre effektivt tilsyn med operatøren som følge af betingelserne eller omstændighederne vedrørende de respektive kontraktlige ordninger.Stk. 9. En operatør skal indføre exitstrategier for it-tjenester, der understøtter kritiske eller vigtige funktioner. Exitstrategierne skal tage højde for de risici, der kan opstå hos tredjepartsudbydere af it-tjenester, herunder1) mulige svigt fra tredjepartsudbyderens side,2) en forringelse af kvaliteten af de leverede it-tjenester,3) eventuelle driftsforstyrrelser som følge af uhensigtsmæssig eller manglende levering af it-tjenester,4) eventuelle væsentlige risici i forbindelse med en passende og løbende anvendelse af de pågældende it-tjenester, eller5) opsigelse af kontraktlige ordninger med tredjepartsudbydere af it-tjenester i en af de i stk. 8 anførte situationer.Stk. 10. En operatør skal indføre passende beredskabsforanstaltninger for at opretholde driftsstabiliteten i tilfælde af, at de omstændigheder, der er nævnt i stk. 9, nr. 1-5, indtræder.Stk. 11. En operatør af finansiel digital infrastruktur skal sikre, at den kan opsige kontraktlige ordninger, uden1) at dens forretningsaktiviteter afbrydes,2) at efterlevelsen af de lovgivningsmæssige krav begrænses, og3) at kontinuiteten og kvaliteten af de leverede tjenester til kunder lider skade.Stk. 12. Exitstrategierne skal være dokumenterede, proportionale, testet i tilstrækkeligt omfang og gennemgået regelmæssigt.Stk. 13. En operatør skal identificere alternative løsninger og udarbejde overgangsplaner, så den kan fratage tredjepartsudbyderen af it-tjenester de relevante it-tjenester og de relevante data og sikkert og fuldstændigt kan overføre disse til alternative udbydere eller indarbejde dem internt.Koncentrationsrisici§ 333 i. Når en operatør af finansiel digital infrastruktur foretager identifikation og vurdering af de risici, der er nævnt i § 333 h, stk. 6, nr. 3, skal operatøren tage hensyn til, hvorvidt den påtænkte indgåelse af en kontraktlig ordning, der understøtter kritiske eller vigtige funktioner for de tilsluttede virksomheder, vil føre til1) henlæggelse af funktioner til en tredjepartsudbyder af it-tjenester, som ikke er lette at erstatte, eller2) indgåelse af flere kontraktlige ordninger om levering af it-tjenester, der understøtter kritiske eller vigtige funktioner, med den samme tredjepartsudbyder af it-tjenester eller med tredjepartsudbydere af it-tjenester, som har tætte forbindelser til denne.Centrale kontraktsbestemmelser§ 333 j. Rettigheder og forpligtelser for en operatør af finansiel digital infrastruktur og for tredjepartsudbyderen af it-tjenester skal fordeles klart og fastlægges skriftligt. Den samlede kontrakt skal omfatte serviceniveauaftaler og dokumenteres i et samlet dokument, som parterne skal have adgang til i et varigt og tilgængeligt format.Stk. 2. De kontraktlige ordninger for brugen af it-tjenester skal mindst omfatte følgende elementer:1) En klar og fuldstændig beskrivelse af alle funktioner og it-tjenester, som tredjepartsudbyderen skal levere, med angivelse af om underentreprise af en it-tjeneste, der understøtter en kritisk eller vigtig funktion eller væsentlige dele heraf, er tilladt, og hvis det er tilfældet, de betingelser, der gælder for en sådan underentreprise.2) En angivelse af de steder, navnlig de regioner eller lande, hvor de udliciterede funktioner og it-tjenester eller funktionerne og it-tjenesterne i underentreprise skal leveres, hvor data skal behandles, herunder lagringsstedet, og krav om, at tredjepartsudbyderen på forhånd skal underrette operatøren, hvis den har planer om at ændre disse steder.3) Bestemmelser om tilgængelighed, autenticitet, integritet og fortrolighed med hensyn til databeskyttelse, herunder personoplysninger.4) Bestemmelser om sikring af adgang, genopretning og tilbagelevering af data i et tilgængeligt format i tilfælde af insolvens, afvikling eller afbrydelse af de forretningsaktiviteter, som tredjepartsudbyderen varetager, eller i tilfælde af opsigelse af kontrakten.5) Beskrivelser af serviceniveauet, herunder ajourføringer og revisioner heraf.6) En forpligtelse for tredjepartsudbyderen til at yde bistand til operatøren uden yderligere omkostninger eller til en omkostning, der fastsættes på forhånd, hvis der opstår en it-hændelse, der vedrører den it-tjeneste, som leveres til operatøren.7) En forpligtelse for tredjepartsudbyderen til at samarbejde fuldt ud med Finanstilsynet og afviklingsmyndigheder, herunder personer, som myndighederne har udpeget.8) Opsigelsesrettigheder og dertil knyttede minimumsfrister for opsigelse af de kontraktlige ordninger.Stk. 3. De kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, skal ud over de elementer, der er nævnt i stk. 2, mindst omfatte følgende:1) En fuldstændig beskrivelse af serviceniveauer, herunder ajourføringer og revisioner heraf, med præcise kvantitative og kvalitative præstationsmål inden for de aftalte serviceniveauer, så operatøren kan foretage en effektiv overvågning af it-tjenester, og uden unødigt ophold træffe passende afhjælpende foranstaltninger, når de aftalte serviceniveauer ikke overholdes.2) Opsigelsesfrister og indberetningsforpligtelser for tredjepartsudbyderen af it-tjenester over for operatøren, herunder underretning om enhver udvikling, som kan have væsentlig indvirkning på, hvorvidt tredjepartsudbyderen har evnen til effektivt at levere it-tjenester, der understøtter kritiske eller vigtige funktioner i overensstemmelse med de aftalte serviceniveauer.3) Krav til tredjepartsudbyderen om at gennemføre og teste beredskabsplaner og indføre it-sikkerhedsforanstaltninger, -værktøjer og -politikker, som giver et passende niveau af sikkerhed for, at operatøren kan levere sine tjenester.4) En forpligtelse for tredjepartsudbyderen til at deltage i og fuldt ud samarbejde om operatørens trusselsbaserede penetrationstest, jf. § 333 g, stk. 3.5) En ret til løbende at overvåge tredjepartsudbyderens opgavevaretagelse og risikostyring, herunder adgangs-, inspektions- og revisionsrettigheder for operatøren, Finanstilsynet eller udpegede tredjeparter og adgang til nødvendig information og dokumentation.6) Exitstrategier, herunder indførelse af en obligatorisk passende overgangsperiodea) i løbet af hvilken tredjepartsudbyderen fortsat leverer de respektive funktioner eller it-tjenester med henblik på at mindske risikoen for forstyrrelser i operatøren eller sikre en effektiv afvikling eller omstrukturering heraf, ogb) som giver operatøren mulighed for at migrere til en anden tredjepartsudbyder, eller skifte til interne løsninger, der stemmer overens med den leverede tjenestes kompleksitet.Informationsudveksling§ 333 k. En operatør af finansiel digital infrastruktur kan udveksle oplysninger og efterretninger om cybertrusler i overensstemmelse med reglerne i kapitel VI, i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, og indgå i ordninger oprettet i henhold forordningens artikel 45, stk. 2. En operatør af finansiel digital infrastruktur kan ligeledes udveksle relevante cybersikkerhedsoplysninger i overensstemmelse med reglerne i kapitel VI, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, og indgå i ordninger oprettet i overensstemmelse hermed.Stk. 2. En operatør skal underrette Finanstilsynet om sin deltagelse i de ordninger, der er nævnt i stk. 1, og i tilfælde af udtrædelse af sådanne ordninger.Oplysning til Finanstilsynet§ 333 l. En operatør af finansiel digital infrastruktur skal oplyse Finanstilsynet om følgende:1) Operatørens navn.2) Adressen på operatørens hovedforretningssted og dens andre retlige forretningssteder i Den Europæiske Union.3) Den relevante sektor og delsektor samt typen af enhed, som nævnt i bilag I, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen.4) Operatørens kontaktoplysninger, herunder e-mailadresser, IP-intervaller og telefonnumre på operatøren.5) De medlemsstater, hvor operatøren leverer tjenester.Stk. 2. Ved ændring af oplysningerne i stk. 1 skal operatøren straks og senest tre måneder efter ændringen underrette Finanstilsynet herom.Tilsyn m.v.§ 333 m. Kapitel 21 og 23 og regler udstedt i medfør af disse kapitler finder anvendelse for operatører af finansielle digitale infrastrukturer med de nødvendige tilpasninger.§ 333 n. Finanstilsynet har beføjelse til følgende:1) Pålægge en operatør af finansiel digital infrastruktur regelmæssige og målrettede sikkerhedsaudits udført af et kvalificeret uafhængigt organ eller en kompetent myndighed og at afholde udgifterne hertil.2) Pålægge en operatør af finansiel digital infrastruktur ad hoc-audits, herunder hvor det er berettiget på grund af en væsentlig hændelse eller en overtrædelse af reglerne i denne lov fra operatørens side.3) Pålægge en operatør af finansiel digital infrastruktur sikkerhedsscanninger baseret på objektive, ikke-diskriminerende, fair og gennemsigtige risikovurderingskriterier, hvor det er nødvendigt i samarbejde med den berørte operatør.4) Udstede advarsler om en operatørs overtrædelse af denne lov.5) Udpege en overvågningsansvarlig med veldefinerede opgaver til i en nærmere fastsat periode at føre tilsyn med en operatørs overholdelse af §§ 333 a og 333 f.§ 333 o. Efterkommer en operatør af finansiel digital infrastruktur ikke Finanstilsynets påbud i medfør af denne lov, og efterkommer operatøren ikke påbuddet inden en fornyet frist, som Finanstilsynet efterfølgende sætter, kan Finanstilsynet træffe afgørelse om følgende:1) Midlertidigt at suspendere en myndighedsudstedt certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, operatøren leverer, eller aktiviteter, der udføres af operatøren.2) Midlertidigt at forbyde enhver fysisk person med ledelsesansvar på direktionsniveau eller juridisk repræsentant i operatøren at udøve ledelsesfunktioner i denne.Stk. 2. Midlertidige suspensioner eller forbud, som er pålagt i medfør af stk. 1, kan kun anvendes, indtil operatøren træffer de nødvendige foranstaltninger til at afhjælpe de mangler eller opfylde de krav, som gav anledning til, at foranstaltningerne i medfør af stk. 1, blev anvendt.Stk. 3. En afgørelse efter stk. 1 kan af eller den fysiske person, afgørelsen vedrører, forlanges indbragt for domstolene. Sagen anlægges i den borgerlige retsplejes former.Bemyndigelse§ 333 p. Finanstilsynet kan fastsætte nærmere regler om it- og cyberrisikostyring og kontrol- og sikringsforanstaltninger i en operatør af finansiel digital infrastruktur, herunder om følgende:1) Indholdet af rammerne for styring af it- og cyberrisici, jf. § 333 a, og om indholdet af strategier og politikker på området for digital operationel modstandsdygtighed.2) Det øverste ledelsesorgans opgaver i forbindelse med styringen af it- og cyberrisici.3) Operatører af finansielle digitale infrastrukturers rapportering af væsentlige hændelser og cybertrusler.4) Test, herunder eksterne test, af en operatør af finansielle digitale infrastrukturers cybersikkerhed.5) Krav til testere af en operatør af finansielle digitale infrastrukturers cybersikkerhed.6) Styring og rapportering af tredjepartsrisici.7) Obligatorisk brug af særlige sikkerhedscertificerede produkter eller tjenesteydelser.8) Den interne og eksterne systemrevision i operatører af finansielle digitale infrastrukturer.« Kapitel 19 a. Offentlig forbrugerinformation. § 333 a. Finanstilsynet fremmer den offentlige forbrugerinformation på det finansielle område. Afsnit X c. Fælles datacentraler. 29. Afsnit X c ophæves. Kapitel 20 c. Fælles datacentraler. § 343 q. Ved fælles datacentraler forstås i denne lov virksomheder, hvis væsentligste aktiviteter omfatter it-drifts- eller udviklingsopgaver for flere finansielle virksomheder, finansielle holdingvirksomheder, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder, og som overvejende er ejet af 1)en eller flere finansielle virksomheder, finansielle holdingvirksomheder eller sådanne virksomheders dattervirksomheder i forening eller 2)en eller flere foreninger, hvis medlemmer overvejende er finansielle virksomheder, finansielle holdingvirksomheder eller sådanne virksomheders dattervirksomheder. Stk. 2. Reglerne for fælles datacentraler i denne lov gælder også for datacentraler, der udfører både væsentlig it-drift og it-udvikling for den fælles betalingsinfrastruktur. 1. pkt. gælder ikke for datacentraler, der har tilladelse som it-operatør af et detailbetalingssystem, jf. § 180 a, stk. 1, i lov om kapitalmarkeder. Stk. 3. Finanstilsynet kan undtagelsesvis, hvis særlige grunde gør sig gældende, dispensere fra stk. 1 og 2. Dispensationer skal være tidsbegrænsede, men kan fornyes. § 343 r. § 71, stk. 1, nr. 8, om betryggende kontrol- og sikringsforanstaltninger på it-området finder tilsvarende anvendelse for fælles datacentraler. Stk. 2. Reglerne om betryggende kontrol- og sikringsforanstaltninger på it-området, der er udstedt i medfør af denne lovs § 71, stk. 3, finder tilsvarende anvendelse for fælles datacentraler. Stk. 3. Reglerne om outsourcing udstedt i medfør af § 72 a finder tilsvarende anvendelse for fælles datacentraler, hvis de fælles datacentraler outsourcer it-opgaver, der udføres for virksomheder omfattet af lovens § 5, stk. 1. Stk. 4. §§ 6, 6 a og 6 b om digital kommunikation finder tilsvarende anvendelse for fælles datacentraler. Stk. 5. Kapitel 21 og 23 og regler udstedt i medfør af disse kapitler finder med de fornødne tilpasninger tilsvarende anvendelse for fælles datacentraler. § 344. Finanstilsynet påser overholdelsen af Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, forordninger og regler udstedt i medfør af Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 om et regelsæt for genopretning og afvikling af kreditinstitutter og investeringsselskaber, Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter, Kommissionens delegerede forordning 2017/565/EU af 25. april 2016 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2014/65/EU for så vidt angår de organisatoriske krav til og vilkårene for drift af investeringsselskaber samt definitioner af begreber med henblik på nævnte direktiv, Rådets forordning 2017/1509/EU af 30. august 2017 om restriktive foranstaltninger over for Den Demokratiske Folkerepublik Korea, Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering, Europa-Parlamentets og Rådets forordning 2019/1156/EU af 20. juni 2019 om lettere grænseoverskridende distribution af kollektive investeringsinstitutter og om ændring af forordning (EU) nr. 345/2013, (EU) nr. 346/2013 og (EU) nr. 1286/2014, Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser, Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf, og denne lov og af de regler, der er udstedt i medfør af loven, undtagen § 75 b og § 77, stk. l og 2. Dog påser Erhvervsstyrelsen overholdelsen af § 15, stk. 1, 2 og 4, og §§ 83, 87 og 91. Finanstilsynet kontrollerer, at reglerne for finansiel information i årsrapporter og delårsrapporter i §§ 183-193 og i regler udstedt i medfør af § 196 er overholdt for finansielle virksomheder, som har udstedt omsættelige værdipapirer, der er optaget til handel på et reguleret marked, jf. § 213, stk. 1-5 og 8, i lov om kapitalmarkeder. Finanstilsynet er endvidere ansvarligt for tilsynet efter § 32, stk. 4, nr. 1, jf. § 32, stk. 7, i revisorloven, for så vidt angår virksomheder underlagt tilsyn af Finanstilsynet. 30. I § 344, stk. 1, 1. pkt., indsættes efter »bæredygtige investeringer«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«. Stk. 2-12. --- 31. Efter § 344 e indsættes:»§ 344 f. Erhvervsministeren kan fastsætte regler om udpegelse af en myndighed til at varetage TLPT-relaterede anliggender i henhold til artikel 26, stk. 9, i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og for operatører af finansielle digitale infrastrukturer, jf. § 333.« § 347. --- Stk. 2. --- Stk. 3. Finanstilsynet kan til enhver tid mod behørig legitimation uden retskendelse få adgang til en finansiel virksomhed og dens filialer, en finansiel holdingvirksomhed eller en fælles datacentral med henblik på indhentelse af oplysninger, herunder ved inspektioner. 32. I § 347, stk. 3, ændres »en fælles datacentral« til: »en operatør af finansiel digital infrastruktur«, Stk. 4-8. --- § 347 b. Finanstilsynet kan påbyde en finansiel virksomhed eller en finansiel holdingvirksomhed at lade foretage og afholde udgifterne til en uvildig undersøgelse af et eller flere forhold i den finansielle virksomhed, den finansielle holdingvirksomhed eller den fælles datacentral, såfremt Finanstilsynet vurderer, at dette er af væsentlig betydning for tilsynet med virksomheden, og der ikke er tale om en for Finanstilsynet sædvanligt forekommende undersøgelse. Resultatet af den uvildige undersøgelse skal afgives i en skriftlig rapport, som skal foreligge inden for et af Finanstilsynet fastsat tidspunkt. Finanstilsynet kan bestemme, at de sagkyndige personer, jf. stk. 2-6, løbende skal foretage afrapportering til Finanstilsynet om forhold i forbindelse med undersøgelsen. Det samme gælder for filialer omfattet af § 1, stk. 3 og 4. 33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres », den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«. Stk. 2. Den uvildige undersøgelse 3155 skal foretages af en eller flere sagkyndige personer. Den finansielle virksomhed, den finansielle holdingvirksomhed eller den fælles datacentral udpeger de sagkyndige personer inden for en af Finanstilsynet fastsat frist. Finanstilsynet skal godkende de foreslåede sagkyndige personer. 33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres », den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«. Stk. 3. Den finansielle virksomhed, den finansielle holdingvirksomhed eller den fælles datacentral skal give de sagkyndige personer de oplysninger, der er nødvendige for gennemførelsen af den uvildige undersøgelse. 33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres », den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«. Stk. 4. De sagkyndige personer skal udlevere en kopi af den skriftlige rapport om undersøgelsen til Finanstilsynet, senest samtidig med at rapporten udleveres til den finansielle virksomhed, den finansielle holdingvirksomhed eller den fælles datacentral. 33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres », den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«. Stk. 5. --- Stk. 6. Hvis den sagkyndige person på grund af dennes særlige forhold ikke kan videregive oplysningerne i henhold til stk. 4 og 5 til Finanstilsynet, kan underretning af Finanstilsynet ske af andre end den sagkyndige person, herunder af den finansielle virksomhed, den finansielle holdningvirksomhed eller den fælles datacentral. 33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres »den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«. § 348. --- Stk. 2. Finanstilsynet kan give påbud om berigtigelse af forhold, der er i strid med §§ 43 og 57. Finanstilsynet kan i den forbindelse foretage inspektionsbesøg i filialer af administrationsselskaber. 34. I § 348, stk. 2, 1. pkt., ændres »§§ 43 og 57« til: »§ 43«. § 351. --- Stk. 2-7. --- Stk. 8. Finanstilsynet kan af egen drift eller efter ansøgning tilbagekalde et påbud meddelt efter stk. 2 og 3, og stk. 5, 3. pkt. Afslår Finanstilsynet en ansøgning om tilbagekaldelse, kan ansøgeren forlange afslaget indbragt for domstolene. Anmodning herom skal indgives til Finanstilsynet, inden 4 uger efter at afslaget er meddelt den pågældende. Anmodning om domstolsprøvelse kan dog kun fremsættes, hvis påbuddet ikke er tidsbegrænset og der er forløbet mindst 5 år fra datoen for udstedelsen af påbuddet, eller mindst 2 år efter at Finanstilsynets afslag på tilbagekaldelse er stadfæstet ved dom. 35. I § 351, stk. 8, 1. pkt., ændres »stk. 5, 3. pkt.« til: »stk. 5, 5. pkt.« Stk. 9 og 10. --- § 354. --- Stk. 2-5. --- Stk. 6. Bestemmelsen i stk. 1 er ikke til hinder for, at fortrolige oplysninger videregives til: 1-49) --- 36. I § 354, stk. 6, indsættes som nr. 50:»50) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af, at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.« Stk. 7-16. --- § 354 e. --- Stk. 2. Offentliggørelse, jf. stk. 1, skal ske i sager om overtrædelse af § 7, stk. 1, § 61, stk. 1, §§ 61 b og 61 c, § 71, stk. 1, § 71 a, stk. 1 og stk. 2, 1. pkt., § 71 b, stk. 1, § 71 c, stk. 1, 2. pkt., § 77 d, stk. 1, § 125 b, stk. 1-4 og 6, § 125 d, § 125 e, stk. 1, jf. § 125 b, stk. 1-4 og 6, § 182 b, stk. 1-3, §§ 182 c og 182 d, § 182 e, stk. 1-3, §§ 182 f, 259 a og 261, § 264, stk. 2, 3 og 5, § 264 a, § 265, stk. 2, 4 og 7, § 265 a, stk. 2, § 266, § 267, stk. 1, §§ 267 b og 267 c, § 267 d, stk. 1, § 268, §§ 269 a-269 e, § 272, stk. 7, § 274, stk. 1 og 2, § 275, stk. 1, 2, 4 og 5, § 276, stk. 1, § 313, stk. 1, og artikel 28 og 51, jf. artikel 52, 63 og 92, stk. 1, artikel 99, stk. 1, artikel 101, stk. 1 og 2, artikel 394, stk. 1, artikel 395, artikel 405, stk. 1, artikel 412, stk. 1, artikel 415, stk. 1 og 2, artikel 430, stk. 1, 1. afsnit, 1. pkt., og 2. afsnit, artikel 431, stk. 1-3, artikel 435 og artikel 451, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter. Offentliggørelse, jf. stk. 1, skal ligeledes ske i sager om overtrædelse af Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter. 37. To steder i § 354 e, stk. 2, 1. pkt., og to steder i § 373, stk. 1 og 10, ændres »§ 125 b, stk. 1-4 og 6« til: »§ 125 b, stk. 3-5 og 8«.38. I § 354 e, stk. 2, 2. pkt., indsættes efter »finansielle instrumenter«: »og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. § 354 h. Finanstilsynet kan efter høring af den virksomhed, der underretter Finanstilsynet og Center for Cybersikkerhed om en hændelse, som har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer, orientere offentligheden om hændelsen, hvis offentlighedens kendskab hertil er nødvendig for at forebygge eller håndtere en igangværende hændelse. 3399 Offentliggørelsen må ikke indeholde fortrolige oplysninger om kundeforhold eller oplysninger omfattet af § 30 i lov om offentlighed i forvaltningen. 3400 Offentliggørelsen må ikke indeholde fortrolige oplysninger, der hidrører fra finansielle tilsynsmyndigheder i andre lande inden for eller uden for Den Europæiske Union, medmindre de myndigheder, der har afgivet oplysningerne, har givet deres udtrykkelige tilladelse. 39. § 354 h ophæves. § 355. Som part i forhold til Finanstilsynet anses den finansielle virksomhed, den finansielle holdingvirksomhed, den blandede holdingvirksomhed, den udenlandske finansielle virksomhed eller den udenlandske finansielle holdingvirksomhed, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af denne lov, forskrifter fastsat i medfør af denne lov, Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber og forordninger og regler udstedt i medfør af Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf, jf. dog stk. 2 og 3. 40. I § 355, stk. 1, ændres » og Europa-Parlamentets og Rådets forordning 2020/852/EU« til: », Europa-Parlamentets og Rådets forordning 2020/852/EU«, og efter »investeringer og regler udstedt i medfør heraf« indsættes: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf«. Stk. 2-7. --- § 361. Følgende fysiske og juridiske personer omfattet af denne lov og lov om forsikringsvirksomhed betaler årligt et grundbeløb til Finanstilsynet: 1-3) --- 4)En fælles datacentral betaler 119.000 kr. Har en fælles datacentral i et regnskabsår gennemsnitligt færre end 25 fuldtidsansatte, betaler den fælles datacentral dog 2.200 kr. 41. § 361, stk. 1, nr. 4, affattes således:» 4) En operatør af finansiel digital infrastruktur betaler 119.000 kr. Har operatøren i et regnskabsår gennemsnitligt færre end 25 fuldtidsansatte, betaler operatøren dog 2.200 kr. 1. og 2. pkt. finder ikke anvendelse på en it-operatør af et detailbetalingssystem, der er udpeget som operatør af finansiel digital infrastruktur.« 5-10) --- 42. I § 361, stk. 1, indsættes som nr. 11 og 12:»11) En udsteder af aktivbaserede tokens, der er meddelt tilladelse af Finanstilsynet i henhold til § 332 a, stk. 1, betaler årligt til Finanstilsynet følgende:a) 35.000 kr., når summen af udstederens gennemsnitlige udestående aktivbaserede tokens i 2. halvår af det foregående kalenderår og 1. halvår af det indeværende kalenderår er mindre end 100 mio. kr.b) 100.000 kr., når summen af udstederens gennemsnitlige udestående aktivbaserede tokens i 2. halvår af det foregående kalenderår og 1. halvår af det indeværende kalenderår er mellem 100 mio. kr. og 1 mia. kr.c) 600.000 kr., når summen af udstederens gennemsnitlige udestående aktivbaserede tokens i 2. halvår af det foregående kalenderår og 1. halvår af det indeværende kalenderår er større end 1 mia. kr.12) En udbyder af kryptoaktivtjenester, der er meddelt tilladelse af Finanstilsynet i henhold til § 332 c, stk. 1, betaler årligt et grundbeløb til Finanstilsynet på 12,5 promille af deres omkostninger til løn, provision og tantieme, dog minimum 20.000 kr.« Stk. 2-5. --- Stk. 6. Følgende fysiske og juridiske personer omfattet af hvidvaskloven betaler årligt et grundbeløb til Finanstilsynet: 1)Virksomheder og personer omfattet af § 1, stk. 1, nr. 8 og 22-26, i hvidvaskloven betaler 4.400 kr. 43. I § 361, stk. 6, nr. 1, udgår »og 22-26«. 2) --- Stk. 7. Følgende fysiske og juridiske personer omfattet af lov om forvaltere af alternative investeringsfonde m.v. betaler årligt et grundbeløb til Finanstilsynet: 1-3) --- 44. I § 361, stk. 7, indsættes efter nr. 3 som nyt nummer:»4) Forvaltere af alternative investeringsfonde med registreret hjemsted i et tredjeland, som i henhold til § 130 i lov om forvaltere af alternative investeringsfonde m.v. har tilladelse til markedsføring i Danmark af andele i en alternativ investeringsfond fra et andet land inden for Den Europæiske Union eller et land, som Unionen har indgået aftale med på det finansielle område, betaler et årligt grundbeløb til Finanstilsynet på 8.000 kr.« 4 og 5) --- Stk. 8-11. --- Stk. 12. Kreditservicevirksomheder omfattet af lov om kreditservicevirksomheder og kreditkøbere betaler årligt et grundbeløb til Finanstilsynet på 16.700 kr. 45. I § 361, stk. 13, ændres »Grundbeløb, jf. stk. 1-12,« til: »Faste beløb i dette kapitel«. Stk. 13. --- § 368. Beregning af afgifter fra virksomheder omfattet af § 360, stk. 3, og §§ 362-367 foretages på grundlag af oplysninger i den for seneste regnskabsår aflagte årsrapport eller i mangel af en sådan den senest indsendte regnskabsindberetning. For så vidt angår forsikringsformidlere, foregår beregningen på grundlag af den senest indsendte indtægtsspecifikation. For så vidt angår crowdfundingtjenesteudbydere, foregår beregningen på grundlag af den senest indsendte indberetning efter § 343 c, medmindre en crowdfundingtjenesteudbyder skal betale afgift efter § 361, stk. 1, nr. 10. 46. I § 368, stk. 1, indsættes som 4. og 5. pkt.:»For så vidt angår udstedere af aktivbaserede tokens, foregår beregningen på grundlag af den senest indsendte indberetning efter § 332 f. For så vidt angår udbydere af kryptoaktivtjenester, foregår beregningen på grundlag af den senest indsendte indberetning efter § 332 g.« Stk. 2-5. --- § 372. Afgørelser truffet af Finanstilsynet eller Erhvervsstyrelsen i henhold til denne lov og regler udstedt i medfør af denne lov og Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, eller regler udstedt i medfør af forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 om et regelsæt for genopretning og afvikling af kreditinstitutter, forordninger og regler udstedt i medfør af Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning 2020/1503/EU af 7. oktober 2020 om europæiske crowdfundingtjenesteudbydere for erhvervslivet og regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning (EU) 2019/1238 af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt) og regler udstedt i medfør heraf, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2016/97 af 20. januar 2016 om forsikringsdistribution og regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning (EU) nr. 1286/2014 af 26. november 2014 om dokumenter med central information om sammensatte forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP'er) og regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning (EU) 2017/2402 af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf, kan af den, som afgørelsen retter sig til, indbringes for Erhvervsankenævnet senest 4 uger efter, at afgørelsen er meddelt den pågældende. 47. I § 372, stk. 1, ændres »securitisering og regler udstedt i medfør heraf og« til: »securitisering og regler udstedt i medfør heraf,«, og efter »investeringer og regler udstedt i medfør heraf,« indsættes: »Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver samt regler udstedt i medfør heraf,«. Stk. 2-4. --- § 372 a. Erhvervsministeren kan fastsætte regler, som er nødvendige for at anvende eller gennemføre de afgørelser eller retsakter, som vedtages af Europa-Kommissionen i medfør af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber, Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 om et regelsæt for genopretning og afvikling af kreditinstitutter og investeringsselskaber, Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser, Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer, og Europa-Parlamentets og Rådets forordning 2020/1503/EU af 7. oktober 2020 om europæiske crowdfundingtjenesteudbydere for erhvervslivet, Europa-Parlamentets og Rådets direktiv 2014/51/EU af 16. april 2014 om ændring af direktiv 2003/71/EF og 2009/138/EF samt forordning nr. 1060/2009/EF, nr. 1094/2010/EU og nr. 1095/2010/EU for så vidt angår de beføjelser, der er tillagt den europæiske tilsynsmyndighed (Den Europæiske Tilsynsmyndighed for Forsikrings- og Arbejdsmarkedspensionsordninger) og den europæiske tilsynsmyndighed (Den Europæiske Værdipapirtilsynsmyndighed), Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering og Europa-Parlamentets og Rådets forordning 2019/1238/EU af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt). 48. I § 372 a, stk. 1, ændres »standardiseret securitisering og« til: »standardiseret securitisering,«, og efter: »(PEPP-produkt)« indsættes: », Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. Stk. 2. --- § 373. Overtrædelse af § 7, stk. 1-6, § 8, stk. 1 og 3-6, § 10, stk. 1, 2, 6 og 7, § 16 a, stk. 2, § 16 b, stk. 2, § 25, 2. pkt., § 28, § 33, stk. 1, § 33 a, stk. 1, § 38, stk. 1, 2 og 7 og stk. 8, 1. pkt., § 39, stk. 1, 3 og 4, §§ 40 og 45, § 46, stk. 1 og 2, § 49, stk. 1 og 2, § 50, stk. 2, § 52, § 53, stk. 1 og 2, § 61, stk. 1, §§ 61 b og 61 c, § 63, stk. 1, 2 og 4, § 64, stk. 5, jf. stk. 1, nr. 3 og 4, § 64 a, § 64 c, stk. 4, jf. § 64, stk. 5, jf. stk. 1, nr. 3 og 4, § 65, stk. 1, § 66, § 67, stk. 1, § 74, stk. 1 og 3, § 75, stk. 1, 1. pkt., og stk. 2-4, § 78, stk. 1 og 5-8, § 101, § 102, stk. 2, 3, 5 og 6, §§ 103-106, § 106 a, stk. 1-4, § 106 b, § 106 c, § 106 d, stk. 1-5, § 107 a og § 117, § 118, stk. 4, § 119, § 120, stk. 1, 2. pkt., og stk. 2, § 124, stk. 1, 2 og 5, § 125 b, stk. 1-4 og 6, § 125 c, stk. 1, § 125 d, § 125 e, stk. 1, jf. § 125 b, stk. 1-4 og 6, § 125 e, stk. 1, jf. § 125 c, stk. 1, § 146, stk. 1, § 147, stk. 1, § 149, stk. 1 og 3, §§ 150 og 151, § 152, stk. 1, § 153, stk. 1, §§ 154 og 170-175 a, § 175 g, stk. 1, 5 og 6, § 182, stk. 1 og 2, §§ 194, 195, 200, 200 a og 201, § 202, stk. 1 og 3, § 203, stk. 1, § 204, stk. 1, § 226, stk. 1 og 2, § 227, § 248, stk. 1, § 313 b, § 334, § 343 v, stk. 1, og § 347, stk. 2, samt artikel 11, artikel 26, stk. 2, artikel 31, stk. 1, litra h, artikel 73, stk. 1, artikel 92, stk. 1, artikel 93, stk. 1-5, artikel 97, stk. 1, artikel 394, stk. 1, artikel 395 og 398 og artikel 500, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, og artikel 6, 7, 9, 18-26 og 26 b-26 e, artikel 27, stk. 1 og 4, og artikel 28, stk. 2, i Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering samt artikel 3, stk. 1, 3, 4 og 6, artikel 5, artikel 6, stk. 1-6, artikel 10, artikel 11, artikel 12, stk. 1, artikel 13, stk. 2, artikel 15, stk. 2 og 3, artikel 16, stk. 1, artikel 18, stk. 1 og 4, artikel 20, stk. 1 og 2, og artikel 25 i Europa-Parlamentets og Rådets forordning 2020/1503/EU af 7. oktober 2020 om europæiske crowdfundingtjenesteudbydere for erhvervslivet straffes med bøde eller fængsel indtil 4 måneder, medmindre højere straf er forskyldt efter den øvrige lovgivning. 37. To steder i § 354 e, stk. 2, 1. pkt., og to steder i § 373, stk. 1 og 10, ændres »§ 125 b, stk. 1-4 og 6« til: »§ 125 b, stk. 3-5 og 8«.49. I § 373, stk. 1, indsættes efter: »for erhvervslivet«: »samt artikel 14, stk. 3, artikel 16, stk. 1, artikel 23, stk. 1 og 4, artikel 36, stk. 1-3 og 5-7, artikel 38, stk. 1 og 3, artikel 39, stk. 2, artikel 40, stk. 1 og 2, artikel 48, stk. 1, artikel 49, stk. 4, artikel 50, stk. 1 og 2, artikel 54, artikel 59, stk. 1, artikel 60, stk. 1-6, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, og artikel 76, stk. 1, 2 og 5-8, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«. Stk. 2. Overtrædelse af § 16 c, § 16 d, stk. 1, § 16 f, stk. 1-3, § 54, stk. 2, § 64, stk. 6, § 64 c, stk. 1, 3, 8 og 10, jf. stk. 1 og 3, § 64 e, § 70, stk. 1-5, § 70 a, stk. 1-3, § 71, stk. 1, § 71 a, stk. 1 og stk. 2, 1. pkt., § 71 b, stk. 1, § 71 c, stk. 1, 2. pkt., § 73, stk. 1, 1. pkt., og stk. 2, § 75, stk. 1, 2. pkt., § 75 a, stk. 1, § 75 b, stk. 1, § 75 c, stk. 1, § 77, stk. 1-6 og 10, § 77 a, stk. 1-6, §§ 77 b og 77 c, § 77 d, § 77 f, stk. 1 og 2, § 77 g, stk. 2, § 77 j, § 79 a, stk. 1, nr. 1 og 2, § 80, stk. 1, stk. 2, 1. pkt., og stk. 3, 7 og 8, § 80 a, § 80 b, stk. 1-3 og 5, og § 80 c, stk. 1 og 2, § 81 b, stk. 3, 5 og 6, § 85 b, stk. 3, 5 og 6, § 121, stk. 1, § 122, § 152 a, stk. 1, 1. pkt., § 152 b, stk. 4-7, § 152 c, stk. 1, § 152 d, stk. 1, § 152 e, stk. 1, § 152 g, stk. 1, 1. og 3. pkt., stk. 2-5 og stk. 7, 1. pkt., § 152 j, stk. 1, 2. pkt., eller stk. 2, § 152 k, stk. 1, 2 eller 5, § 152 m, stk. 1, § 182 d, § 182 e, stk. 2 og stk. 7, 1. pkt., og § 182 f, § 183, stk. 1, 1. pkt., og stk. 5, § 184, stk. 1, § 185, stk. 1 og 3 og stk. 4, 1. pkt., §§ 186 og 187, § 188, stk. 1, stk. 2, 1. pkt., og stk. 3, 2. pkt., §§ 189 og 190, § 191, stk. 1-3, § 192, 1. pkt., § 193, 1. pkt., § 198, stk. 1, § 199, stk. 2 og 6, § 206, § 245 a, stk. 1 og 3, § 245 b, stk. 1, 1. pkt., og stk. 2, § 247 a, stk. 9 og 10, § 259 a, § 264, stk. 2 og 3, § 266, stk. 1, § 268, stk. 1-4, § 269 c, §§ 312 og 312 b, § 336 a, stk. 3, 5 og 6, § 347 b, stk. 3 og 6, § 347 c, stk. 2, § 354 a, stk. 1, 1.-5. pkt., og stk. 3, 1.-7. pkt., samt artikel 4 i Rådets forordning om anvendelse af internationale regnskabsstandarder og artikel 4, stk. 1, i Europa-Parlamentets og Rådets forordning om kreditvurderingsbureauer, artikel 28, artikel 41, stk. 1, litra b, artikel 49, stk. 1, litra c, artikel 51, jf. artikel 52, artikel 54, stk. 5, litra a og c, artikel 63, artikel 73, stk. 6, artikel 76, stk. 2, artikel 77, artikel 99, stk. 1, artikel 101, stk. 1 og 2, artikel 113, stk. 7, 1. afsnit, artikel 129, stk. 3 og 7, artikel 221, stk. 1 og 2, artikel 256, stk. 7, 1. afsnit, artikel 259, stk. 1, litra b og e, artikel 262, stk. 2, 2. afsnit, artikel 263, stk. 2, 1. afsnit, artikel 393, artikel 394, stk. 2, artikel 405, stk. 1, artikel 412, stk. 1 og 2, artikel 415, stk. 1 og 2, artikel 430, stk. 1, 1. afsnit, 1. pkt., og 2. afsnit, artikel 431, stk. 1, jf. artikel 435 og 436, artikel 437, stk. 1, artikel 438 og 439, artikel 440, stk. 1, artikel 441, stk. 1, artikel 442 og 444-450, artikel 451, stk. 1, artikel 431, stk. 3, artikel 433, 1.-3. afsnit, artikel 434, 1. afsnit, 2. og 3. pkt., og afsnit 2, 2. pkt., artikel 471, stk. 1, artikel 492, stk. 2-4, artikel 499, stk. 1, og artikel 501, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, artikel 5, stk. 1, artikel 6 og 7, artikel 8, stk. 1-3, artikel 9, artikel 10, stk. 1, artikel 13, stk. 1, 3 og 4, og artikel 14 og 19 i Europa-Parlamentets og Rådets forordning (EU) nr. 1286/2014 af 26. november 2014 om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP'er) og artikel 5-7, 18-30, 33-42, 44-46, 48, 50 og 52-56 i Europa-Parlamentets og Rådets forordning 2019/1238/EU af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt) samt artikel 4, artikel 8, stk. 1-6, artikel 9, stk. 1 og 2, artikel 19, stk. 1-6, artikel 22, artikel 23, stk. 2-14, og artikel 24 i Europa-Parlamentets og Rådets forordning 2020/1503/EU af 7. oktober 2020 om europæiske crowdfundingtjenesteudbydere for erhvervslivet straffes med bøde. På samme måde straffes overtrædelse af meddelelsespligten i § 152 a, stk. 4, 1. pkt. 50. I § 373, stk. 2, 1. pkt., udgår »§ 71 c, stk. 1, 2. pkt.,«, efter »312 b« indsættes: »§ 333 a, stk. 1-3, § 333 b, stk. 1-6, § 333 d, stk. 1-3, § 333 e, stk. 1-11, § 333 f, stk. 1-8, § 333 g, stk. 1-3, § 333 h, stk. 1-13, § 333 i, stk. 1 og 2, § 333 j, stk. 1-3,«, og »samt artikel 4« ændres til: », artikel 4«, og efter »om europæiske crowdfundingtjenesteudbydere for erhvervslivet« indsættes: », artikel 4, stk. 1, stk. 3, 3. afsnit, og stk. 6, artikel 5, stk. 2 og 3, artikel 6, stk. 1-10, artikel 7, stk. 1 og 2, artikel 8, stk. 1-2 og 4-6, artikel 9, artikel 10, artikel 12, stk. 1-4 og 6-9, artikel 13, stk. 2 og 3, artikel 14, artikel 16, stk. 1, 2. afsnit, artikel 17, stk. 1 og 2, artikel 19, stk. 1-9, artikel 22, stk. 1 og 3, artikel 25, stk. 1, 2 og 4, artikel 27, artikel 28, artikel 29, stk. 1-3 og 6, artikel 30, artikel 31, stk. 1-4, artikel 32, stk. 1-4, artikel 33, artikel 34, stk. 1-12, artikel 35, stk. 1, artikel 36, stk. 8-12, artikel 37, stk. 1 og 2, artikel 39, stk. 1, 2. pkt., artikel 41, stk. 1 og 2, artikel 46, stk. 1 og 2, artikel 47, stk. 1-3, artikel 48, stk. 6 og 7, artikel 49, stk. 5, artikel 51, stk. 1-9, 11-13 og stk. 14, 1. pkt., artikel 53 stk. 1-3, 5 og 6, artikel 55, artikel 59, stk. 2, 5 og 8, artikel 64, stk. 8, artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 67, stk. 1, 5 og 6, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9, artikel 76, stk. 3, 4 og 9-15, artikel 77, artikel 78, artikel 79, artikel 80, stk. 1-3, artikel 81, stk. 1-14, artikel 82, stk. 1, artikel 83, stk. 1 og 2, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver samt artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. Stk. 3-9. --- Stk. 10. Forældelsesfristen er dog 10 år for overtrædelse af § 7, stk. 1-4, § 8, stk. 1 og 3, § 10, stk. 1 og 2, § 33 a, stk. 1, § 70, stk. 1-5, § 71, stk. 1 og 3, § 75, § 78, stk. 1 og 5-7, § 102, stk. 2 og 5, § 103, stk. 1, 2 og 4, § 106, stk. 2, § 106 a, stk. 1 og 4, § 106 b, § 106 c, stk. 1 og 3, § 106 d, stk. 1, § 124, stk. 1 og 2, § 125 b, stk. 1-4 og 6, § 125 c, stk. 1, § 125 d, § 125 e, stk. 1, jf. § 125 b, stk. 1-4 og 6, § 125 e, stk. 1, jf. § 125 c, stk. 1, § 126 a, stk. 1-3, 5 og 9, § 150, § 152, stk. 1, § 152 m, stk. 1, § 153, stk. 1, § 167, stk. 1, 3 og 5, § 170, stk. 1, 2 og 5, §§ 171 og 172, § 174, stk. 1 og 2, § 175, § 182, stk. 1 og 2, § 183, stk. 5, §§ 186 og 187, § 188, stk. 1 og stk. 2, 1. pkt., § 193, 1. pkt., § 199, stk. 2 og 6, § 200, § 313 b, § 334, stk. 1, § 343 v, stk. 1, § 347, stk. 2, § 347 b, stk. 3 og 6, samt artikel 11, stk. 1, 2, 3 og 5, artikel 26, stk. 2, artikel 28, stk. 1-4, artikel 31, stk. 1, litra h, artikel 51, jf. artikel 52, artikel 54, stk. 5, litra a og c, artikel 73, stk. 1, artikel 77, artikel 92, stk. 1, artikel 93, stk. 1-5, artikel 97, stk. 1, artikel 113, stk. 7, 1. afsnit, artikel 393, artikel 394, stk. 1, artikel 395, stk. 1, 1. og 2. afsnit, og stk. 3 og 6, artikel 398, 1. og 2. afsnit, artikel 412, stk. 1 og 2, artikel 415, stk. 1 og 2, artikel 471, stk. 1, og artikel 500, stk. 1, i Europa-Parlamentets og Rådets forordning nr. 575/2013/EU om tilsynsmæssige krav til kreditinstitutter eller regler udstedt i medfør af § 373, stk. 4, eller artikel 6, stk. 1, artikel 10, stk. 1, artikel 14, stk. 1, og artikel 19 i Europa-Parlamentets og Rådets forordning nr. 1286/2014/EU af 26. november 2014 om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP'er) samt artikel 12, stk. 1, og artikel 23 i Europa-Parlamentets og Rådets forordning 2020/1503/EU af 7. oktober 2020 om europæiske crowdfundingtjenesteudbydere for erhvervslivet. 37. To steder i § 354 e, stk. 2, 1. pkt., og to steder i § 373, stk. 1 og 10, ændres »§ 125 b, stk. 1-4 og 6« til: »§ 125 b, stk. 3-5 og 8«.51. I § 373, stk. 10, ændres » (PRIIP’er) samt« til: (PRIIP’er),« og efter »for erhvervslivet« indsættes: »og artikel 16, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«. Stk. 11-14. --- Bilag 1. Pengeinstitutvirksomhed. 1-12) --- 13)Udstedere af elektroniske penge. 52. Bilag 1, nr. 13, affattes således:»Udstedelse af elektroniske penge, herunder elektroniske pengetokens, som defineret i § 332, nr. 3.« 53. I bilag 1 indsættes som nr. 14 og 15:»14) Udstedelse af aktivbaserede tokens som defineret i § 332, nr. 2.15) Udbud af kryptoaktivtjenester som defineret i § 332, nr. 7.« Bilag 2. Kreditinstitutvirksomhed. 1-15) --- 54. I bilag 2 indsættes som nr. 16-18:»16) Udstedelse af elektroniske penge, herunder elektroniske pengetokens som defineret i § 332, nr. 3.17) Udstedelse af aktivbaserede tokens som defineret i § 332, nr. 2.18) Udbud af kryptoaktivtjenester som defineret i § 332, nr. 7.« § 2 I lov om betalinger, jf. lovbekendtgørelse nr. 53 af 18. januar 2023, som ændret ved § 9 i lov nr. 409 af 25. april 2023, foretages følgende ændringer: Lov om betalinger Fodnoten. Loven indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, EU-Tidende 2015, nr. 3 L 337, side 35, (2. betalingstjenestedirektiv), Europa-Parlamentets og Rådets direktiv 2009/110/EU af 16. september 2009) om adgang til at optage og udøve virksomhed som udsteder af elektroniske penge og tilsyn med en sådan virksomhed, EU-Tidende 2009, nr. L 267, side 7, (2. e-pengedirektiv) og dele af Europa-Parlamentets og Rådets direktiv 2019/878/EU af 20. maj 2019 om ændring af direktiv 2013/36/EU, for så vidt angår fritagne enheder, finansielle holdingselskaber, blandede finansielle holdingselskaber, aflønning, tilsynsforanstaltninger og –beføjelser og kapitalbevaringsforanstaltninger, EU-Tidende 2019, nr. L 150, side 253 (CRD V). 1. I fodnoten til lovens titel ændres »(2. e-pengedirektiv) og« til: »(2. e-pengedirektiv),« og efter » side 253 (CRD V)« indsættes: »og dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«. § 5. Loven finder ikke anvendelse på følgende aktiviteter m.v.: 1-9) --- 10)Tjenester leveret af en udbyder af tekniske tjenester, der understøtter udbuddet af betalingstjenester, såfremt udbyderen ikke på noget tidspunkt er i besiddelse af de midler, som skal overføres, og der ikke er tale om tjenester omfattet af bilag 1, nr. 7 og 8, jf. dog § 122. 2. § 5, nr. 10, affattes således:»10) Tjenester leveret af en udbyder af tekniske tjenester, der understøtter udbuddet af betalingstjenester, når udbyderen ikke på noget tidspunkt er i besiddelse af de midler, som skal overføres, og der ikke er tale om tjenester omfattet af bilag 1, nr. 7 og 8, jf. dog § 122.« 11-18) --- § 11. En ansøgning om tilladelse skal indeholde de oplysninger, der er nødvendige til brug for Finanstilsynets vurdering af, om kravene i § 10 er opfyldt. Ansøgningen skal som minimum indeholde: 1-10) --- 11)Virksomhedens forretningsgange og interne kontrolmekanismer, herunder administrative, risikostyringsmæssige og regnskabsmæssige procedurer, jf. § 25. 3. I § 11, stk. 1, nr. 11, indsættes efter »procedurer, jf. § 25«: »samt ordninger for brug af it-tjenester i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. 12)Virksomhedens forretningsgange for håndtering og opfølgning på sikkerhedshændelser og sikkerhedsrelaterede kundeklager, herunder procedurer for indberetning af sikkerhedshændelser, jf. § 127. 4. I § 11, stk. 1, nr. 12, ændres: »§ 127« til: »kapitel III i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. 13 og 14) --- 15)Virksomhedens beredskabsplan, herunder en klar beskrivelse af de kritiske funktioner, effektive beredskabsplaner og procedurer til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige. 5. § 11, stk. 1, nr. 15, affattes således:»15) Virksomhedens beredskabsplan, herunder en klar beskrivelse af de kritiske funktioner, effektive politikker og planer for it-driftsstabilitet og planer for it-indsats- og genopretning og procedurer til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige og effektive i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.« 16) --- 17)Virksomhedens sikkerhedspolitik, en detaljeret risikovurdering i tilknytning til de betalingstjenester, som virksomheden påtænker at udbyde, og en beskrivelse af de foranstaltninger, som virksomheden har foretaget for at imødegå de identificerede risici, herunder svig og misbrug af følsomme betalingsdata og personoplysninger. Beskrivelsen af foranstaltningerne skal indeholde oplysninger om, hvordan virksomheden sikrer et højt niveau af teknisk sikkerhed og databeskyttelse, herunder vedrørende de software- og it-systemer, der anvendes af ansøgeren eller de virksomheder, som ansøgeren outsourcer alle eller dele af sine aktiviteter til. 6. § 11, stk. 1, nr. 17, 2. pkt., affattes således:»Beskrivelsen af foranstaltningerne skal indeholde oplysninger om, hvordan virksomheden sikrer et højt niveau af digital operationel modstandsdygtighed i overensstemmelse med kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, navnlig med hensyn til teknisk sikkerhed og databeskyttelse, herunder vedrørende de software- og it-systemer, der anvendes af ansøgeren eller de virksomheder, som ansøgeren outsourcer alle eller dele af sine aktiviteter til.« 18) --- Stk. 2 og 3. --- § 54. En ansøgning om begrænset tilladelse til at udbyde betalingstjenester eller udstede elektroniske penge skal indeholde de oplysninger, der er nødvendige for Finanstilsynets vurdering af, om betingelserne i § 52 er opfyldt. Ansøgningen skal som minimum indeholde: 1-7) --- 8)Oplysninger om virksomhedens forretningsgange og interne kontrolmekanismer, herunder administrative, risikostyringsmæssige og regnskabsmæssige procedurer, omfattende: a og b) --- c) Virksomhedens forretningsgange for håndtering af og opfølgning på sikkerhedshændelser og sikkerhedsrelaterede kundeklager, herunder for indberetning af sikkerhedshændelser, jf. §§ 126 og 127. 7. I § 54, nr. 8, litra c, ændres: »§§ 126 og 127« til: »§ 126 og kapitel III i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. d) --- 9) --- § 60. --- Stk. 2. --- Stk. 3. En ansøgning om tilladelse i henhold til stk. 1 skal indeholde de oplysninger, der er nødvendige til brug for Finanstilsynets vurdering af, om kravene i stk. 2 er opfyldt. Ansøgningen skal som minimum indeholde: 1-4) --- 5)Oplysninger om virksomhedens forretningsgange og interne kontrolmekanismer, herunder administrative, risikostyringsmæssige og regnskabsmæssige procedurer. 8. I § 60, stk. 3, nr. 5, indsættes efter »procedurer«: »samt ordninger for brug af it-tjenester i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. 6)Oplysninger om virksomhedens forretningsgange for håndtering af og opfølgning på sikkerhedshændelser og sikkerhedsrelaterede kundeklager, herunder procedurer for indberetning af sikkerhedshændelser, jf. § 126. 9. I § 60, stk. 3, nr. 6, ændres: »§ 126« til: »kapitel III i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. 7) --- 8)En beskrivelse af virksomhedens beredskabsplan, herunder en klar beskrivelse af de kritiske funktioner, effektive beredskabsplaner og procedurer til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige. 10. § 60, stk. 3, nr. 8, affattes således:»8) En beskrivelse af virksomhedens beredskabsplan, herunder en klar beskrivelse af de kritiske funktioner, effektive politikker og planer for it-driftsstabilitet og planer for it-indsats og genopretning og procedurer til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige og effektive i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.« 9-11) --- Stk. 4-8. --- § 126. --- 11. I § 126 indsættes efter stk. 1 som nyt stykke:»Stk. 2. Stk. 1, nr. 1 og 2, berører ikke anvendelsen af kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.«Stk. 2-5 bliver herefter stk. 3-6. Stk. 2-4. --- Stk. 5. Finanstilsynet kan fastsætte nærmere regler om de procedurer og kontrolmekanismer, en udbyder af betalingstjenester skal have, jf. stk. 1, nr. 1 og 2, og stk. 2. 12. I § 126, stk. 5, der bliver stk. 6, ændres »stk. 2« til: »stk. 3«. § 127. En udbyder af betalingstjenester skal snarest muligt underrette Finanstilsynet om større drifts- og sikkerhedshændelser. Finanstilsynet skal uden unødig forsinkelse vurdere underretningen og videregive oplysninger, der er relevante, til den Europæiske Centralbank, Den Europæiske Banktilsynsmyndighed og relevante tilsynsmyndigheder i de lande, der er berørt af hændelsen. 13. § 127, stk. 1 og 2, ophæves.Stk. 3 og 4 bliver herefter stk. 1 og 2. Stk. 2. I den situation, hvor hændelsen har eller kan få indvirkning på brugerne af betalingstjenestens økonomiske interesser, skal udbyderen snarest muligt orientere brugerne om denne og om de tilgængelige foranstaltninger, som de kan træffe for at begrænse hændelsens negative følger. 13. § 127, stk. 1 og 2, ophæves.Stk. 3 og 4 bliver herefter stk. 1 og 2. Stk. 3. --- Stk. 4. Finanstilsynet fastsætter nærmere regler om den tekniske gennemførelse af indberetningspligten i henhold til stk. 1-3. 14. I § 127, stk. 4, der bliver stk. 2, ændres »stk. 1-3« til: »stk. 1«. § 130. Finanstilsynet påser overholdelsen af loven med undtagelse af § 27 og påser overholdelsen af regler udstedt i medfør af loven, jf. dog §§ 144 og 145. Finanstilsynet påser endvidere overholdelsen af artikel 3-4 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og om ophævelse af forordning (EF) nr. 2560/2001 og Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro og forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked. 15. I § 130, stk. 1, 2. pkt., ændres »og forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked« til: », forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 af 25. november 2015 om betalingstjenester i det indre marked og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf«.16. I § 130, stk. 1, indsættes som 3. pkt.: ¬»Finanstilsynet påser endvidere udstedere af e-pengetokens overholdelse af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf.« Stk. 2 og 3. --- § 135. Finanstilsynet kan inddrage en virksomheds tilladelse som e-pengeinstitut, betalingsinstitut eller udbyder af kontooplysningstjenester eller en begrænset tilladelse til udstedelse af elektroniske penge eller udbud af betalingstjenester, hvis virksomheden 1-6) --- 7)gør sig skyldig i grove eller gentagne overtrædelser af hvidvaskloven. 17. I § 135, stk. 1, nr. 7, indsættes efter: »af hvidvaskloven«: »eller Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«. Stk. 2-4. --- § 136. --- Stk. 2-5. --- Stk. 6. Bestemmelsen i stk. 1 er ikke til hinder for, at fortrolige oplysninger videregives til: 1-26) --- 18. I § 136, stk. 6, indsættes som nr. 27:»27) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor under forudsætning af, at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.« Stk. 7-11. --- § 138. Reaktioner givet efter denne lovs § 130, stk. 2, jf. § 345, stk. 12, nr. 4, i lov om finansiel virksomhed, eller af Finanstilsynet efter delegation fra Finanstilsynets bestyrelse til en virksomhed omfattet af denne lov skal offentliggøres med angivelse af navnet på virksomheden, jf. dog stk. 3. Virksomheden skal offentliggøre oplysningerne på sin eventuelle hjemmeside på et sted, hvor de naturligt hører hjemme, hurtigst muligt og senest 3 hverdage efter at virksomheden har modtaget underretning om reaktionen, eller senest på tidspunktet for offentliggørelse påkrævet efter lov om værdipapirhandel m.v. Samtidig med offentliggørelsen skal virksomheden indsætte et link, som giver direkte adgang til reaktionen, på forsiden af virksomhedens eventuelle hjemmeside på en synlig måde, og det skal af linket og en eventuel tilknyttet tekst tydeligt fremgå, at der er tale om en reaktion fra Finanstilsynet. Kommenterer virksomheden på reaktionen, skal dette ske i forlængelse af denne, og kommentarerne skal være klart adskilt fra reaktionen. Fjernelse af linket på forsiden og informationerne fra virksomhedens eventuelle hjemmeside skal finde sted efter samme principper, som virksomheden anvender for øvrige meddelelser, dog tidligst når linket og informationerne har ligget på hjemmesiden i 3 måneder, og tidligst efter førstkommende generalforsamling eller repræsentantskabsmøde. Virksomhedens pligt til at offentliggøre oplysningerne på virksomhedens hjemmeside gælder kun for juridiske personer. Finanstilsynet skal offentliggøre oplysningerne på tilsynets hjemmeside. Reaktioner givet i henhold til denne lovs § 130, stk. 2, jf. § 345, stk. 12, nr. 6, i lov om finansiel virksomhed, og Finanstilsynets beslutninger om at overgive sager efter denne lov eller regler udstedt i medfør af loven eller efter forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, artikel 3-4 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og om ophævelse af forordning (EF) nr. 2560/2001 og Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro til politimæssig efterforskning skal offentliggøres på Finanstilsynets hjemmeside med angivelse af virksomhedens navn, jf. dog stk. 3. Indbringes reaktionen, der offentliggøres i henhold til 1. pkt., for Erhvervsankenævnet eller domstolene, skal dette fremgå af Finanstilsynets offentliggørelse, og det efterfølgende resultat af Erhvervsankenævnets eller domstolenes afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt. 19. I § 138, stk. 1, 8. pkt., ændres »og Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro« til: », Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf«.20. I § 138, stk. 1, indsættes efter 8. pkt. som nyt punktum:»Reaktioner givet i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf, skal offentliggøres på Finanstilsynets hjemmeside med angivelse af virksomhedens navn.«21. I § 138, stk. 1, 9. pkt., der bliver 10. pkt., ændres »1. pkt.«: til »1. pkt. eller 9. pkt.« Stk. 2-6. --- § 142. Som part i forhold til Finanstilsynet anses virksomheder eller personer, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af denne lov eller regler udstedt i medfør af denne lov, jf. dog stk. 2. 22. I § 142, stk. 1, indsættes efter »regler udstedt i medfør af denne lov«: », forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, artikel 3-4 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og om ophævelse af forordning (EF) nr. 2560/2001, Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro, Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 om markeder for kryptoaktiver og regler udstedt i medfør heraf«. Stk. 2 og 3. --- § 143. Afgørelser truffet af Finanstilsynet i henhold til denne lov, regler udstedt i medfør heraf, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, artikel 3-4 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og om ophævelse af forordning (EF) nr. 2560/2001 eller Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro kan af den, som afgørelsen retter sig mod, indbringes for Erhvervsankenævnet, senest 4 uger efter at afgørelsen er meddelt den pågældende. 23. I § 143 indsættes efter »udstedt i medfør heraf,«: »Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf,«. § 152. Overtrædelse af §§ 2, 3, 16, 17, 19 og 20, § 30, stk. 2, jf. stk. 1, nr. 3 og 4, § 30, stk. 3, jf. stk. 2, jf. stk. 1, nr. 3 og 4, §§ 35, 58 og 59 og § 60, stk. 1, straffes med bøde eller fængsel indtil 4 måneder, medmindre højere straf er forskyldt efter den øvrige lovgivning. 24. I § 152, stk. 1, indsættes efter »og § 60, stk. 1,«: » i denne lov og artikel 48, stk. 1, artikel 49, stk. 4, artikel 50, stk. 1 og 2, artikel 54, artikel 59, stk. 1, artikel 60, stk. 4, artikel 67, stk. 4, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver,«. Stk. 2. Overtrædelse af § 21, stk. 1, § 22, § 25, stk. 1 og 2, § 25 a, stk. 1-3, § 26, stk. 1, § 27, stk. 1, § 27 a, stk. 1, § 28, § 29, stk. 1, nr. 1 og 2, § 36, stk. 1, § 37, stk. 1, 3. pkt., § 38, stk. 1, 1. pkt., og stk. 2, § 40, § 43, stk. 1 og stk. 7, 4. pkt., og stk. 10, § 44, § 45, stk. 1 og 5 og stk. 8, 4. pkt., § 60, stk. 7, § 61, stk. 1, § 62, stk. 1 og 3, § 63, stk. 1 og 2, § 64, stk. 1, 3 og 4, § 66, stk. 1, § 67, stk. 1-6, §§ 68, 69, 70, 71 og 72, § 75, stk. 3, §§ 76-78 og 80, § 81, stk. 1, § 83, stk. 2, §§ 84, 85, 86, 87, 88 og 89, § 90, stk. 2-4, § 91, stk. 1-4, § 92, stk. 2 og 3, § 94, stk. 1 og 2, § 95, § 96, stk. 1-3, § 101, stk. 1, § 110, stk. 1, § 117, § 118, stk. 1 og 2, § 120, stk. 1, § 121, stk. 2, 1. pkt., § 122, stk. 1 og 2, § 123, stk. 1 og 2, § 124, stk. 2 og 4, § 125, stk. 2-6, § 126, stk. 1, § 127, stk. 1-3, og § 128, stk. 1 og 5, samt artikel 3, stk. 1 og 1a, artikel 3a, stk. 3-5, artikel 3b, artikel 4, stk. 1, 3 og 4, og artikel 6 og 7 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og om ophævelse af forordning (EF) nr. 2560/2001, artikel 3-6 og 8-9 i Europa-Parlamentets og Rådets forordning nr. 260/2012/EU af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro og om ændring af forordning nr. 924/2009/EF om grænseoverskridende betalinger i euro (SEPA-forordningen) og Europa-Parlamentets og Rådets forordning nr. 2015/751/EU om interbankgebyrer for kortbaserede betalingstransaktioner straffes med bøde. 25. I § 152, stk. 2, indsættes efter: »(SEPA-forordningen)«: », artikel 46, stk. 1 og 2, artikel 47, stk. 1-3, artikel 48, stk. 6 og 7, artikel 49, stk. 5, artikel 51, stk. 1-9, 11-13 og stk. 14, 1. pkt., artikel 53, stk. 1-3, 5 og 6, artikel 55, artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9 og artikel 82, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. § 3 I lov om kapitalmarkeder, jf. lovbekendtgørelse nr. 41 af 13. januar 2023, som ændret ved § 6 i lov nr. 243 af 7. marts 2023, § 5 i lov nr. 480 af 12. maj 2023 og § 5 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer: Lov om kapitalmarkeder Fodnoten. Loven indeholder bestemmelser, der gennemfører Europa-Parlamentets og Rådets direktiv 98/26/EF af 19. maj 1998, EF-Tidende 1998, nr. L 166, side 45, Europa-Parlamentets og Rådets direktiv 2001/34/EF af 28. maj 2001, EF-Tidende 2001, nr. L 184, side 1, Europa-Parlamentets og Rådets direktiv 2002/47/EF af 14. juni 2002, EF-Tidende 2002, nr. L 168, side 43, som ændret ved Europa-Parlamentets og Rådets forordning (EU) 2021/23 af 16. december 2020, EU-Tidende 2021, nr. L 22, side 1, dele af Europa-Parlamentets og Rådets direktiv 2004/25/EF af 21. april 2004, EU-Tidende 2004, nr. L 142, side 12, dele af Europa-Parlamentets og Rådets direktiv 2004/109/EF af 15. december 2004, EU-Tidende 2004, nr. L 390, side 38, dele af Kommissionens direktiv 2007/14/EF af 8. marts 2007 om gennemførelsesbestemmelser til visse bestemmelser i direktiv 2004/109/EF, EU-Tidende, nr. L 69, side 27, dele af Europa-Parlamentets og Rådets direktiv 2007/36/EF af 11. juli 2007, EU-tidende 2007, nr. L 184, side 17, som ændret ved Europa-Parlamentets og Rådets forordning (EU) 2021/23 af 16. december 2020, EU-Tidende 2021, nr. L 22, side 1, Europa-Parlamentets og Rådets direktiv 2009/44/EF af 6. maj 2009, EU-Tidende 2009, nr. L 146, side 37, dele af Europa-Parlamentets og Rådets direktiv 2010/73/EU af 24. november 2010, EU-Tidende 2010, nr. L 327, side 1, dele af Europa-Parlamentets og Rådets direktiv 2013/50/EU af 22. oktober 2013, EU-Tidende 2013, nr. L 294, side 13, Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014, EU-Tidende 2014, nr. L 173, side 349, som ændret ved Europa-Parlamentets og Rådets direktiv (EU) 2019/2177 af 18. december 2019, EU-Tidende 2019, nr. L 334, side 155, og Europa-Parlamentets og Rådets direktiv (EU) 2021/338 af 16. februar 2021, EU-Tidende 2021, nr. L 68, side 14, dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016, EU-Tidende 2016, nr. L 194, side 1, dele af Europa-Parlamentets og Rådets direktiv 2017/828/EU af 17. maj 2017, EU-Tidende 2017, nr. L 132, side 1, og dele af Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296. I loven er der medtaget visse bestemmelser fra Kommissionens forordning nr. 1031/2010/EU af 12. november 2010, EU-Tidende 2010, nr. L 302, side 1, Europa-Parlamentets og Rådets forordning nr. 236/2012/EU af 14. marts 2012, EU-Tidende 2012, nr. L 86, side 1, dele af Europa-Parlamentets og Rådets forordning nr. 648/2012/EU af 4. juli 2012, EU-Tidende 2012, nr. L 201, side 1, Europa-Parlamentets og Rådets forordning nr. 600/2014 af 15. maj 2014, EU-Tidende 2014, nr. L 173, side 84, som ændret ved Europa-Parlamentets og Rådets forordning (EU) 2019/2175 af 18. december 2019, EU-Tidende 2019, nr. L 334, side 1, Europa-Parlamentets og Rådets forordning nr. 909/2014 af 23. juli 2014, EU-Tidende, nr. L 257, side 1, og Europa-Parlamentets og Rådets forordning nr. 596/2014/EU af 16. april 2014, EU-Tidende 2014, nr. L 173, side 1, Europa-Parlamentets og Rådets forordning 2015/2365/EU af 25. november 2015, nr. L 337, side 1, Europa-Parlamentets og Rådets forordning 2016/1011/EU af 8. juni 2016, EU-Tidende 2016, nr. L 171, side 1, og Europa-Parlamentets og Rådets forordning 2017/1129/EU af 14. juni 2017, EU-Tidende 2017, nr. 168, side 12. Ifølge artikel 288 i EUF-Traktaten gælder en forordning umiddelbart i hver medlemsstat. Gengivelsen af disse bestemmelser i loven er udelukkende begrundet i praktiske hensyn og berører ikke forordningernes umiddelbare gyldighed i Danmark. 1. I fodnoten til lovens titel udgår »dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016, EU-Tidende 2016, nr. L 194, side 1,«, og »og dele af Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296« ændres til: », dele af Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296, og dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«. Overskriften. Identifikation af operatører af væsentlige tjenester 2. Overskriften før § 58 a ophæves. § 58 a. Finanstilsynet udpeger mindst hvert andet år de operatører af markedspladser og centrale modparter (CCP’er), der er operatører af væsentlige tjenester. Det samme gælder filialer af udenlandske operatører af markedspladser. 3. § 58 a ophæves. Stk. 2. Finanstilsynet skal i forbindelse med udpegningen efter stk. 1 lægge vægt på, at 1)de tjenester, der leveres, er væsentlige for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter, 2)leveringen af tjenesten afhænger af net- og informationssystemer og 3)en hændelse vil få væsentlige forstyrrende virkninger for leveringen af tjenesten. Stk. 3. Finanstilsynet offentliggør på sin hjemmeside, hvilke operatører af markedspladser og centrale modparter (CCP’er) der er udpeget som operatører af væsentlige tjenester. Stk. 4. Finanstilsynet kan fastsætte nærmere regler om udpegning af operatører af væsentlige tjenester og de kriterier, Finanstilsynet kan lægge vægt på efter stk. 1 og 2, herunder fastsætte nærmere regler om hændelsesrapportering, herunder om, at Finanstilsynet og Center for Cybersikkerhed underrettes ved en hændelse, der har en negativ indvirkning på sikkerheden i virksomhedens net- og informationssystemer. Finanstilsynet udarbejder en liste over tjenester, jf. stk. 2, nr. 1. § 60. Finanstilsynet kan inddrage en tilladelse efter § 59, når 1-6) --- 7)operatøren af et reguleret marked groft eller gentagne gange tilsidesætter sine pligter efter denne lov, regler fastsat i medfør af loven, påbud i henhold til kapitel 37 eller pligter efter Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter og regler fastsat i medfør heraf. 4. I § 60, stk. 1, nr. 7, ændres: »eller pligter efter Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter og regler fastsat i medfør heraf« til: », pligter efter Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter og regler fastsat i medfør heraf eller pligter efter Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler fastsat i medfør heraf«. Stk. 2. --- § 71. --- Stk. 2. En operatør af et reguleret marked skal 1 og 2) --- 3)sikre en ordentlig forvaltning af den tekniske funktion af markedspladsens systemer, herunder etablere effektive nødsystemer, 5. § 71, stk. 2, nr. 3, affattes således:»3) kunne styre it-risici i overensstemmelse med kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. 4-6) --- Stk. 3. --- § 114. En operatør af en markedsplads skal have systemer, procedurer og ordninger, der sikrer, at markedspladsens handelssystemer 6. I § 114 ændres »have systemer, procedurer og ordninger, der sikrer« til: »etablere og opretholde operationel modstandsdygtighed i overensstemmelse med kravene i kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor for at sikre«. 1)er fleksible, 7. I § 114, nr. 1, ændres »fleksible« til: »modstandsdygtige«. 2-4) --- 5)er omfattet af driftsstabilitetsordninger, der effektivt sikrer, at markedets tjenester kan opretholdes, i tilfælde af at markedspladsens handelssystem svigter. 8. I § 114, nr. 5, indsættes efter »driftsstabilitetsordninger,«: »herunder politikker og planer for it-driftsstabilitet og planer for it-indsats og genopretning udarbejdet i overensstemmelse med artikel 11 i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. § 118. --- Stk. 2. Systemer, procedurer og ordninger som nævnt i stk. 1 skal som minimum omfatte 1)ordninger, der sikrer og letter medlemmers afprøvning af algoritmer, 9. I § 118, stk. 2, nr. 1, indsættes efter »afprøvning af algoritmer«: »i overensstemmelse med kravene til it-risikostyring af informations- og kommunikationsteknologi og til test af digital operationel modstandsdygtighed i kapitel II og IV i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. 2 og 3) --- § 129. --- Stk. 2. 1)Positioner, der besiddes af eller på vegne af en ikkefinansiel enhed, og som reducerer de risici, der er direkte knyttet til den ikkefinansielle enheds forretningsmæssige aktivitet. 10. I § 129, stk. 2, nr. 1 og 2, ændres »reducerer« til: »objektivt kan måles til at reducere«, og i nr. 3, ændres », og som hidrører« til: »med hensyn til positioner, som objektivt kan måles til at hidrøre«. 2)Positioner, der besiddes af eller på vegne af en finansiel enhed, der indgår i en overvejende kommerciel koncern, såfremt den finansielle enhed handler på vegne af en ikkefinansiel enhed i koncernen og positionerne reducerer de risici, der er knyttet til den pågældende ikkefinansielle enheds forretningsmæssige aktivitet. 10. I § 129, stk. 2, nr. 1 og 2, ændres »reducerer« til: »objektivt kan måles til at reducere«, og i nr. 3, ændres », og som hidrører« til: »med hensyn til positioner, som objektivt kan måles til at hidrøre«. 3)Positioner, der besiddes af finansielle og ikkefinansielle modparter, og som hidrører fra transaktioner, der er indgået for at opfylde en forpligtelse til at tilføre en markedsplads likviditet. 10. I § 129, stk. 2, nr. 1 og 2, ændres »reducerer« til: »objektivt kan måles til at reducere«, og i nr. 3, ændres », og som hidrører« til: »med hensyn til positioner, som objektivt kan måles til at hidrøre«. 4) --- § 130. En operatør af en markedsplads, hvorpå der handles med råvarederivater, skal foretage positionsforvaltningskontrol. Operatøren kan i den forbindelse 1-4) --- 5)kræve, at en person midlertidigt tilbagefører likviditet til markedspladsen til en aftalt pris og i en aftalt mængde. 11. § 130, stk. 1, nr. 5, indsættes efter »aftalt mængde«: »med det udtrykkelige formål at afbøde virkningen af en stor og dominerende position«. Stk. 2 og 3. --- § 135. Et fondsmæglerselskab, der benytter sig af algoritmisk handel, skal 1)have effektive systemer og risikokontrolforanstaltninger 729, der a) sikrer, at vedkommendes handelssystemer er modstandsdygtige over for forstyrrelser på markedet og har tilstrækkelig kapacitet til at håndtere perioder med spidsbelastning, 12. I § 135, nr. 1, litra a, ændres »til at håndtere perioder med spidsbelastning« til: »i overensstemmelse med kravene til it-risikostyring i kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. b og c) --- 2) --- 3)have effektive ordninger, der sikrer, at fondsmæglerselskabet kan håndtere en brist i fondsmæglerselskabets handelssystemer, og sikrer, at fondsmæglerselskabets systemer er grundigt afprøvet, og 13. I § 135, nr. 3, indsættes efter »handelssystemer,«: »herunder planer for it-driftsstabilitet og planer for it-indsats og genopretning i overensstemmelse med artikel 11 i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. 4)underlægge sine handelssystemer behørig overvågning, der sikrer, at kravene i nr. 1-3 er overholdt. 14. I § 135, nr. 4, indsættes efter »kravene i nr. 1-3«: »og kravene til it-risikostyring og til test af digital operationel modstandsdygtighed i kapitel II og IV i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. § 180 g. --- Stk. 2. --- Stk. 3. Finanstilsynet kan fastsætte nærmere regler om de foranstaltninger, som en it-operatør af et detailbetalingssystem skal træffe for at have betryggende kontrol- og sikringsforanstaltninger på it-området, jf. stk. 2, nr. 2. 15. I § 180 g, stk. 3, indsættes efter »detailbetalingssystem«: », der ikke er udpeget som operatør af finansiel digital infrastruktur, jf. § 333, stk. 3, i lov om finansiel virksomhed«. § 180 h. Finanstilsynet fastsætter bestemmelser om intern it-revision og om systemrevisionens gennemførelse for en it-operatør af et detailbetalingssystem. 16. I § 180 h indsættes efter »detailbetalingssystem«: », der ikke er udpeget som operatør af finansiel digital infrastruktur, jf. § 333, stk. 3, i lov om finansiel virksomhed«. § 211. --- Stk. 2. Finanstilsynet påser endvidere overholdelsen af: 1-14) --- 17. I § 211, stk. 2, indsættes som nr. 15 og 16:»15) Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf.16) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.« Stk. 3 og 4. --- § 226. § 224, stk. 1, er endvidere ikke til hinder for, at fortrolige oplysninger videregives til: 1-16) --- 18. I § 226 indsættes som nr. 17:»17) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, på betingelse af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.« § 236 a. Finanstilsynet kan efter høring af en operatør af en markedsplads eller central modpart (CCP), der underretter Finanstilsynet og Center for Cybersikkerhed om en hændelse, som har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer, orientere offentligheden om hændelsen, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge eller håndtere en igangværende hændelse. Offentliggørelsen må ikke indeholde fortrolige oplysninger om kundeforhold eller oplysninger omfattet af § 30 i lov om offentlighed i forvaltningen. Offentliggørelsen må ikke indeholde fortrolige oplysninger, der hidrører fra finansielle tilsynsmyndigheder i andre lande inden for eller uden for Den Europæiske Union, medmindre de myndigheder, der har afgivet oplysningerne, har givet deres udtrykkelige tilladelse. 19. § 236 a ophæves. § 248. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde overtrædelse af artikel 3, stk. 1 og 3, artikel 4, stk. 3, litra a-c, artikel 6, artikel 7, stk. 1, 3. afsnit, 1. pkt., artikel 8, stk. 1, 3 og 4, artikel 10, artikel 11, stk. 1, 3. afsnit, 1. pkt., og stk. 3, 3. afsnit, artikel 12, stk. 1, artikel 13, stk. 1, artikel 14, stk. 1, stk. 2, 1. afsnit, og stk. 3, 2.-4. pkt., artikel 15, stk. 1, 1. afsnit og 2. afsnit, 1. og 3. pkt., stk. 2 og stk. 4, 2. pkt., artikel 17, stk. 1, 2. pkt., artikel 18, stk. 1 og 2, stk. 4, 1. pkt., stk. 5, 1. pkt., stk. 6, 1. afsnit, og stk. 8 og 9, artikel 20, stk. 1, og stk. 2, 1. pkt., artikel 21, stk. 1, 2 og 3, artikel 22, stk. 2, artikel 23, stk. 1 og 2, artikel 25, stk. 1 og 2, artikel 26, stk. 1, 1. afsnit, stk. 2-5, stk. 6, 1. afsnit, og stk. 7, 1.-4. afsnit og 8. afsnit, artikel 27, stk. 1, artikel 27 f, stk. 1-3, artikel 27 g, stk. 1-5, og artikel 27 i, stk. 1-4, når en godkendt offentliggørelsesordning (APA) eller en godkendt indberetningsmekanisme (ARM) har en undtagelse i overensstemmelse med artikel 2, stk. 3, artikel 28, stk. 1 og stk. 2, 1. afsnit, artikel 29, stk. 1 og 2, artikel 30, stk. 1, artikel 31, stk. 2 og 3, artikel 35, stk. 1-3, artikel 36, stk. 1-3, og artikel 37, stk. 1 og 3, i Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter. 20. I § 248 udgår »artikel 27 f, stk. 1-3, artikel 27 g, stk. 1-5, og artikel 27 i, stk. 1-4, når en godkendt offentliggørelsesordning (APA) eller en godkendt indberetningsmekanisme (ARM) har en undtagelse i overensstemmelse med artikel 2, stk. 3,«. 21. I § 248 indsættes som 2. pkt.:»Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde overtrædelse af artikel 27 b, stk. 1 og 2, artikel 27 f, stk. 1-3, artikel 27 g, stk. 1-5, og artikel 27 i, stk. 1-4, når en godkendt offentliggørelsesordning (APA) eller en godkendt indberetningsmekanisme (ARM) har en undtagelse i overensstemmelse med artikel 2, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter.« 22. Efter § 251 a indsættes:»§ 251 b. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde overtrædelse af artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9, artikel 76, stk. 3, 4 og 9-15, artikel 88, stk. 1-3, og artikel 92, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.Stk. 2. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller fængsel indtil 4 måneder overtrædelse af artikel 59, stk. 1, artikel 60, stk. 2 og 6, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, artikel 76, stk. 1, 2 og 5-8, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.Stk. 3. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller fængsel indtil 1 år og 6 måneder overtrædelser af artikel 89, stk. 1 og 3, artikel 90, stk. 1, og artikel 91, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.§ 251 c. Medmindre højere straf er forskyldt efter den øvrige lovgivning straffes med bøde overtrædelse af artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1-3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.« § 4 I lov nr. 1155 af 8. juni 2021 om fondsmæglerselskaber og investeringsservice og -aktiviteter, som ændret bl.a. ved § 13 i lov nr. 2382 af 14. december 2021, § 10 i lov nr. 568 af 10. maj 2022, § 3 i lov nr. 409 af 25. april 2023 og senest ved § 4 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer: Lov om fondsmæglerselskaber og investeringsservice og -aktiviteter Fodnoten. Loven indeholder bestemmelser, der gennemfører Europa-Parlamentets og Rådets direktiv 2019/2034/EU af 27. november 2019 (IFD), EU-Tidende 2019, nr. L 314, side 64, dele af Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 (MiFID II), EU-Tidende 2014, nr. L 173, side 349, Europa-Parlamentets og Rådets direktiv 2007/44/EF af 5. september 2007 (kapitalandelsdirektivet), EU-Tidende 2007, nr. L 247, side 1, dele af Europa-Parlamentets og Rådets direktiv 2017/828/EU af 17. maj 2017 (aktionærrettighedsdirektivet), EU-Tidende 2017, nr. L 132, side 1, Europa-Parlamentets og Rådets direktiv 2002/87/EF af 16. december 2002 (konglomeratdirektivet), EU-Tidende 2003, nr. L 35, side 1, dele af Europa-Parlamentets og Rådets direktiv 2013/34/EU af 26. juni 2013 (regnskabsdirektivet), EU-Tidende 2013, nr. L 182, side 19, Kommissionens direktiv 2010/43/EU af 1. juli 2010, EU-Tidende 2010, nr. L 176, side 42, dele af Europa-Parlamentets og Rådets direktiv 2014/49/EU af 16. april 2014 (DGSD), EU-Tidende 2014, nr. L 173, side 149, dele af Europa-Parlamentets og Rådets direktiv 2015/849/EU af 20. maj 2015 (4. hvidvaskdirektiv), EU-Tidende 2015, nr. L 141, side 73, dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 (NIS-direktivet), EU-Tidende 2016, nr. L 194, side 1, dele af Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 (BRRD), EU-Tidende 2014, nr. L 173, side 190, Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296, og dele af Europa-Parlamentets og Rådets direktiv 2019/878/EU af 20. maj 2019, EU-Tidende 2019, nr. L 150, side 253-293.I loven er der endvidere medtaget visse bestemmelser fra Europa-Parlamentets og Rådets forordning 2019/2033/EU af 27. november 2019 (IFR), EU-Tidende 2019, nr. L 314, side 1, og Europa-Parlamentets og Rådets forordning 600/2014/EU af 15. maj 2014 (MiFIR), EU-Tidende 2014, nr. L 173, side 84. Ifølge artikel 288 i EUF-traktaten gælder en forordning umiddelbart i hver medlemsstat. Gengivelsen af disse bestemmelser i loven er således udelukkende begrundet i praktiske hensyn og berører ikke forordningernes umiddelbare gyldighed i Danmark. I loven er der endvidere medtaget visse bestemmelser fra Kommissionens forordning 584/2010/EU af 1. juli 2010, EU-Tidende 2010, nr. L 176, side 16, Europa-Parlamentets og Rådets forordning 1093/2010/EU af 24. november 2010, EU-Tidende 2010, nr. L 331, side 12, og Europa-Parlamentets og Rådets forordning 1095/2010/EU af 24. november 2010, EU-Tidende 2010, nr. L 331, side 84. 1. I fodnoten til lovens titel ændres »og dele af Europa-Parlamentets og Rådets direktiv 2019/878/EU af 20. maj 2019, EU-Tidende 2019, nr. L 150, side 253-293« til: », dele af Europa-Parlamentets og Rådets direktiv 2019/878/EU af 20. maj 2019, EU-Tidende 2019, nr. L 150, side 253-293 og dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«. § 13. --- Stk. 2. Værdipapirhandlere, som ikke har tilladelse efter § 7, stk. 1, § 8, stk. 1, eller § 10, stk. 2, i lov om finansiel virksomhed, er fondsmæglerselskaber. Fondsmæglerselskaber må kun yde eller udføre investeringsservice og -aktiviteter og accessoriske tjenesteydelser omfattet af bilag 1, jf. dog §§ 15 og 16. 2. I § 13, stk. 2, 2. pkt., indsættes efter », jf. dog«: »§ 13, stk. 6,«. Stk. 3-5. --- 3. I § 13 indsættes som stk. 6:»Stk. 6. Et fondsmæglerselskab kan levere tjenester med kryptoaktiver som angivet i artikel 60, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, svarende til de tjenester, som det specifikt er meddelt tilladelse til i henhold til denne lov, hvis selskabet giver Finanstilsynet meddelelse herom mindst 40 arbejdsdage inden disse tjenester leveres første gang. Meddelelsen skal ledsages af de oplysninger, der er anført i artikel 60, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.« § 95. Et fondsmæglerselskab skal træffe de nødvendige forholdsregler for at sikre sammenhæng og regelmæssighed i sin virksomhed som værdipapirhandler og anvende ressourcer, systemer og procedurer, der er hensigtsmæssige hertil. 4. § 95, stk. 1, affattes således:»Et fondsmæglerselskab skal, træffe de foranstaltninger, som er nødvendige for at sikre kontinuitet og regelmæssighed i ydelsen af investeringsservice og udførelsen af investeringsaktiviteter. Fondsmæglerselskabet skal med henblik herpå anvende hensigtsmæssige og forholdsmæssigt afpassede systemer, herunder it-systemer, som oprettes og styres i overensstemmelse med artikel 7 i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, samt hensigtsmæssige og forholdsmæssigt afpassede ressourcer og procedurer.« Stk. 2-7. --- § 164. Finanstilsynet kan endvidere inddrage et fondsmæglerselskabs tilladelse som fondsmæglerselskab i følgende tilfælde: 1)Fondsmæglerselskabet gør sig skyldig i grove eller gentagne overtrædelser af a-c) --- d) Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter eller 5. I § 164, stk. 1, nr. 1, litra d, ændres »instrumenter eller« til: »instrumenter,«, og i litra e, ændres »terrorisme.« til: »terrorisme eller«. e) forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2015/849 af 20. maj 2015 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme. 5. I § 164, stk. 1, nr. 1, litra d, ændres »instrumenter eller« til: »instrumenter,«, og i litra e, ændres »terrorisme.« til: »terrorisme eller«. 6. I § 164, stk. 1, nr. 1, indsættes som litra f:»f) Europa-Parlamentets og Rådets (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.« 2-4) --- Stk. 2 og 3. --- § 214. Finanstilsynet skal uden ugrundet ophold nedskrive eller konvertere hybride kapitalinstrumenter og supplerende kapitalinstrumenter, som opfylder kravene i artikel 9, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) nr. 2019/2033 af 27. november 2019 om tilsynsmæssige krav til investeringsselskaber, i et fondsmæglerselskab, der har tilladelse til at yde eller udføre en eller begge af de i bilag 1, afsnit A, nr. 3 og 6, nævnte investeringsservicer og -aktiviteter, til egentlige kernekapitalinstrumenter. Det samme gælder for nedskrivningsegnede forpligtelser, som opfylder betingelserne i § 205, nr. 4, uanset om forpligtelserne opfylder betingelsen i § 205, nr. 4, litra b, om en restløbetid på mindst 1 år. 7. I § 214, stk. 1, 1. pkt., indsættes efter »egentlige kernekapitalinstrumenter«: », hvis Finanstilsynet vurderer, at fondsmæglerselskabet ikke vil være levedygtigt, medmindre beføjelsen anvendes«. Stk. 2-7. --- 8. I § 214 indsættes som stk. 8 og 9:»Stk. 8. Kapitalejere og kreditorer, hvis krav er blevet nedskrevet eller konverteret i henhold til stk. 1, må ikke lide større tab end ved konkursbehandling af fondsmæglerselskabet.Stk. 9. Finanstilsynets vurdering efter stk. 8 foretages på baggrund af værdiansættelsen i § 8 i lov om restrukturering og afvikling af visse finansielle virksomheder. Værdiansættelsen foretages af Finansiel Stabilitet efter anmodning fra Finanstilsynet. Konstateres det, at en kapitalejer eller kreditor, herunder Garantiformuen, har lidt større tab, end den ville have gjort ved konkursbehandling af fondsmæglerselskabet, betales forskellen af Afviklingsformuen, jf. kapitel 11 i lov om restrukturering og afvikling af visse finansielle virksomheder.« § 216. --- Stk. 2. --- Stk. 3. Stk. 1 finder ikke anvendelse, hvis forpligtelsen er undtaget fra bail-in, jf. § 25, stk. 3, i lov om restrukturering og afvikling af visse finansielle virksomheder, eller hvis forpligtelsen er et berettiget indskud, jf. § 2, nr. 5, i lov om restrukturering og afvikling af visse finansielle virksomheder. 9. § 216, stk. 3, affattes således:»Stk. 3. Stk. 1 finder ikke anvendelse, hvis1) forpligtelsen er undtaget fra bail-in, jf. § 25, stk. 3, i lov om restrukturering og afvikling af visse finansielle virksomheder,2) forpligtelsen er en del af berettigede kontante midler tilhørende fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, jf. § 2, nr. 19, i lov om restrukturering og afvikling af visse finansielle virksomheder, og overstiger beløbsgrænsen for dækkede kontante midler, jf. § 10 i lov om en indskyder- og investorgarantiordning, eller3) forpligtelsen ville være berettigede kontante midler tilhørende fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, hvis ikke midlerne var indsat gennem filialer af institutter, der er etableret inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, når filialen er beliggende uden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område.« Stk. 4-6. --- § 217. Et fondsmæglerselskab, der har tilladelse til at yde eller udføre en eller begge af de i bilag 1, afsnit A, nr. 3 og 6, nævnte investeringsservicer og -aktiviteter, en fondsmæglerholdingvirksomhed, en blandet holdingvirksomhed, en blandet finansiel holdingvirksomhed eller et finansieringsinstitut skal underrette Finanstilsynet, hvis det ikke er muligt at opfylde § 216, stk. 1, i forhold til en kontrakt vedrørende en forpligtelse omfattet af § 97 i konkursloven. Underretningen skal angive kategorien af forpligtelsen og begrundelsen for, at det ikke er muligt at indføre kontraktbestemmelsen. 10. I § 217, stk. 1, indsættes efter 1. pkt. som nyt punktum:¬»Dette omfatter dog ikke usikrede obligationer og andre former for omsættelig gæld og instrumenter, der skaber eller anerkender en gæld«. Stk. 2-7. --- § 219. --- Stk. 2. Finanstilsynet påser endvidere overholdelsen af § 32, stk. 3, nr. 1, jf. § 32, stk. 6, i revisorloven og følgende EU-retsakter og regler udstedt i medfør heraf: 1-11) --- 11. I § 219, stk. 2, indsættes som nr. 12 og 13:»12) Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf.13) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.« Stk. 3. --- § 257. § 255, stk. 1, er endvidere ikke til hinder for, at fortrolige oplysninger videregives til følgende: 1-14) --- 12. I § 257, stk. 1, indsættes som nr. 15:»15) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.« Stk. 2-6. --- § 259. Som part 1646 i forhold til Finanstilsynet anses fondsmæglerselskabet, fondsmæglerholdingvirksomheden, den tilknyttede agent etableret her i landet, den blandede finansielle holdingvirksomhed, den blandede holdingvirksomhed, investeringsselskabet eller investeringsholdingvirksomheden, som Finanstilsynet har truffet eller vil træffe afgørelse1648 over for i medfør af denne lov, forskrifter fastsat i medfør af denne lov, Europa-Parlamentets og Rådets forordning (EU) 2019/2033 af 27. november 2019 om tilsynsmæssige krav til investeringsselskaber, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2019/2034 af 27. november 2019 om tilsyn med investeringsselskaber og forordninger og regler udstedt i medfør af Europa-Parlamentets og Rådets forordning (EU) 2019/2033 af 27. november 2019 om tilsynsmæssige krav til investeringsselskaber, Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf, jf. dog stk. 2 og 3. 13. I § 259, stk. 1, ændres »tjenesteydelser og« til: »tjenesteydelser,«, og efter »bæredygtige investeringer« indsættes: » og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. Stk. 2-5. --- § 266. Med bøde straffes overtrædelse af følgende bestemmelser, medmindre højere straf er forskyldt efter den øvrige lovgivning: 1-4) --- 14. I § 266, stk. 1, indsættes som nr. 5:»5) Artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9, artikel 76, stk. 3, 4 og 9-15, artikel 77, artikel 78, artikel 79, artikel 80, stk. 1-3, artikel 81, stk. 1-14, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.« Stk. 2. Med bøde eller fængsel indtil 4 måneder straffes overtrædelse af følgende bestemmelser, medmindre højere straf er forskyldt efter den øvrige lovgivning: 1-3) --- 15. I § 266, stk. 2, indsættes som nr. 4 og 5:»4) Artikel 59, stk. 1, artikel 60, stk. 3, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, artikel 76, stk. 1, 2 og 5-8, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.5) Artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.« § 275. Afgørelser truffet af Finanstilsynet eller Erhvervsstyrelsen kan af den, som afgørelsen retter sig til, indbringes for Erhvervsankenævnet, senest 4 uger efter at afgørelsen er meddelt den pågældende i henhold til følgende: 1-8) --- 16. I § 275, stk. 1, indsættes som nr. 9 og 10:»9) Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.10) Europa-Parlamentets og Rådets forordning EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.« Stk. 2. --- § 276. Erhvervsministeren kan fastsætte regler, som er nødvendige for at anvende eller gennemføre de afgørelser eller retsakter, som vedtages af Europa-Kommissionen i medfør af følgende: 1-8) --- 17. I § 276, stk. 1, indsættes som nr. 9 og 10:»9) Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.10) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.« § 5 I lov om forvaltere af alternative investeringsfonde m.v., jf. lovbekendtgørelse nr. 2015 af 1. november 2021, som ændret bl.a. ved § 2 i lov nr. 641 af 19. maj 2020, § 2 i lov nr. 2382 af 14. december 2021, § 9 i lov nr. 568 af 10. maj 2022, § 6 i lov nr. 409 af 25. april 2023, og senest ved § 6 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer: Lov om forvaltere af alternative investeringsfonde m.v. Fodnoten. Loven gennemfører Europa-Parlamentets og Rådets direktiv 2011/61/EU af 8. juni 2011 om forvaltere af alternative investeringsfonde og om ændring af direktiv 2003/41/EF og 2009/65/EF samt forordning 1060/2009/EU og 1095/2010/EU, EU-Tidende 2011, nr. L 174, side 1, dele af Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter og om ændring af direktiv 2002/92/EF og direktiv 2011/61/EU, EU-Tidende 2014, nr. L 173, side 349, dele af Europa-Parlamentets og Rådets direktiv 2015/849/EU af 20. maj 2015 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme, om ændring af Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 og om ophævelse af Europa-Parlamentets og Rådets direktiv 2005/60/EF samt Kommissionens direktiv 2006/70/EF (4. hvidvaskdirektiv), EU-Tidende 2015, nr. L 141, side 73, og dele af Europa-Parlamentets og Rådets direktiv 2018/843/EU af 30. maj 2018 om ændring af direktiv (EU) 2015/849 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme og om ændring af direktiv 2009/138/EF og 2013/36/EU, EU-Tidende 2018, nr. L 156, side 43, dele af Europa-Parlamentets Rådets direktiv (EU) 2017/828 af 17. maj 2017 om ændring af direktiv 2007/36/EF, for så vidt angår tilskyndelse til langsigtet aktivt ejerskab, EU-Tidende 2017, nr. L 132, side 1, og dele af Europa-Parlamentets og Rådets direktiv 2019/1160/EU af 20. juni 2019 om ændring af direktiv 2009/65/EF og 2011/61/EU for så vidt angår grænseoverskridende distribution af kollektive investeringsinstitutter, EU-Tidende 2019, nr. L 188, side 106. I loven er der endvidere medtaget visse bestemmelser fra Europa-Parlamentets og Rådets forordning 2013/345/EU af 17. april 2013 om europæiske venturekapitalfonde, EU-Tidende 2013, nr. L 115, side 1, Europa-Parlamentets og Rådets forordning 2013/346/EU af 17. april 2013 om europæiske sociale iværksætterfonde, EU-Tidende 2013, nr. L 115, side 18, Europa-Parlamentets og Rådets forordning 2017/1131/EU af 14. juni 2017 om pengemarkedsforeninger, EU-Tidende 2017, nr. L 169, side 8, og Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering og om ændring af direktiv 2009/65/EF, 2009/138/EF og 2011/61/EU og forordning 1060/2009/EF og 648/2012/EU, EU-Tidende 2017, nr. L 347, side 35. Ifølge artikel 288 i EUF-traktaten gælder en forordning umiddelbart i hver medlemsstat. Gengivelsen af disse bestemmelser i loven er således udelukkende begrundet i praktiske hensyn og berører ikke forordningernes umiddelbare gyldighed i Danmark. 1. I fodnoten til lovens titel ændres »og dele af Europa-Parlamentets og Rådets direktiv 2019/1160/EU af 20. juni 2019 om ændring af direktiv 2009/65/EF og 2011/61/EU for så vidt angår grænseoverskridende distribution af kollektive investeringsinstitutter, EU-Tidende 2019, nr. L 188, side 106« til: »dele af Europa-Parlamentets og Rådets direktiv 2019/1160/EU af 20. juni 2019 om ændring af direktiv 2009/65/EF og 2011/61/EU for så vidt angår grænseoverskridende distribution af kollektive investeringsinstitutter, EU-Tidende 2019, nr. L 188, side 106, og dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2556 af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«. § 8. --- Stk. 2-5. --- 2. I § 8 indsættes som stk. 6:»Stk. 6. En forvalter af alternative investeringsfonde kan levere tjenester med kryptoaktiver som angivet i artikel 60, stk. 5, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, som der specifikt er meddelt tilladelse til i henhold til denne lov, hvis forvalteren giver Finanstilsynet meddelelse mindst 40 arbejdsdage, inden disse tjenester leveres første gang. Meddelelsen skal ledsages af de oplysninger, der er anført i artikel 60, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.« § 27. --- Stk. 2. Under hensynstagen til karakteren af de forvaltede alternative investeringsfonde skal forvalteren have effektive former for virksomhedsstyring, herunder 1-5) --- 6)betryggende kontrol- og sikringsforanstaltninger på it-området og 3. I § 27, stk. 2, nr. 6, indsættes efter »it-området«: », inklusiv for net- og informationssystemer, der oprettes og styres i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. 7) --- Stk. 3. --- § 155. Finanstilsynet påser overholdelsen af regler udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2011/61/EU af 8. juni 2011 om forvaltere af alternative investeringsfonde, og af denne lov og de regler, der er udstedt i medfør af loven, undtagen § 27 b. Finanstilsynet kontrollerer, at reglerne for finansiel information i årsrapporter og delårsrapporter udstedt i medfør af § 131 er overholdt for forvaltere af alternative investeringsfonde, som har udstedt værdipapirer, der er optaget til handel på et reguleret marked, jf. § 213, stk. 1-5 og 8, i lov om kapitalmarkeder. Finanstilsynet påser endvidere overholdelsen af regler udstedt i medfør af § 31, stk. 8, i revisorloven. Erhvervsstyrelsen påser dog overholdelsen af § 136. Finanstilsynet påser desuden overholdelsen af Europa-Parlamentets og Rådets forordning nr. 346/2013/EU af 17. april 2013 om europæiske sociale iværksætterfonde, Europa-Parlamentets og Rådets forordning nr. 345/2013/EU af 17. april 2013 om europæiske venturekapitalfonde, Europa-Parlamentets og Rådets forordning 2017/1131/EU af 14. juni 2017 om pengemarkedsforeninger og Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering og regler fastsat i medfør heraf og regler fastsat i medfør heraf. Finanstilsynet påser overholdelsen af Europa-Parlamentets og Rådets forordning 1286/2014/EU af 26. november 2014 om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP’er), Europa-Parlamentets og Rådets forordning 2019/1156/EU af 20. juni 2019 om lettere grænseoverskridende distribution af kollektive investeringsinstitutter og om ændring af forordning (EU) nr. 345/2013, (EU) nr. 346/2013 og (EU) nr. 1286/2014 og Europa-Parlamentets og Rådets forordning 2019/1238/EU af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt), Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf. 4. I § 155, stk. 1, indsættes som 6. pkt.:»Finanstilsynet påser endvidere overholdelsen af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf samt Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.« Stk. 2-6. --- § 170. --- Stk. 2-6. --- Stk. 7. Bestemmelsen i stk. 1 er ikke til hinder for, at fortrolige oplysninger videregives til: 1-28) --- 5. I § 170, stk. 7, indsættes som nr. 29:»29) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.« Stk. 8-11. --- § 171. Reaktioner givet i henhold til denne lovs § 156, jf. § 345, stk. 12, nr. 4, i lov om finansiel virksomhed, eller af Finanstilsynet efter delegation fra Finanstilsynets bestyrelse til en forvalter af alternative investeringsfonde under tilsyn skal offentliggøres med angivelse af forvalterens navn, jf. dog stk. 4. Forvalteren skal offentliggøre oplysningerne på sin hjemmeside på et sted, hvor de naturligt hører hjemme, hurtigst muligt og senest 3 hverdage efter at den pågældende forvalter har modtaget underretning om reaktionen, eller senest på tidspunktet for offentliggørelse påkrævet efter lov om kapitalmarkeder. Samtidig med offentliggørelsen skal den pågældende forvalter indsætte et link, som giver direkte adgang til reaktionen, på forsiden af den pågældende forvalters hjemmeside på en synlig måde, og det skal af linket og en eventuel tilknyttet tekst tydeligt fremgå, at der er tale om en reaktion fra Finanstilsynet. Hvis den pågældende forvalter kommenterer reaktionen, skal dette ske i forlængelse af denne, og kommentarerne skal være klart adskilt fra reaktionen. Fjernelse af linket på forsiden og informationerne fra den pågældende forvalters hjemmeside skal finde sted efter samme principper, som den pågældende forvalter anvender for øvrige meddelelser, dog tidligst når linket og informationerne har ligget på hjemmesiden i 3 måneder, og tidligst efter førstkommende generalforsamling. Forvaltere af alternative investeringsfondes pligt til at offentliggøre på forvalterens hjemmeside gælder kun for juridiske personer. Finanstilsynet skal offentliggøre oplysningerne på tilsynets hjemmeside. Reaktioner givet i henhold til § 156, jf. § 345, stk. 12, nr. 6, i lov om finansiel virksomhed, og Finanstilsynets beslutninger om at overgive sager til politimæssig efterforskning skal offentliggøres på Finanstilsynets hjemmeside med angivelse af forvalterens navn, jf. dog stk. 4. 6. I § 171, stk. 1, indsættes som 9-11. pkt.:»Reaktioner givet i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor skal offentliggøres på Finanstilsynets hjemmeside med angivelse af forvalterens navn, jf. dog stk. 4. Indbringes reaktionen, der offentliggøres i henhold til 1. eller 8. pkt., for Erhvervsankenævnet eller domstolene, skal dette fremgå af Finanstilsynets offentliggørelse. Sagens status og resultatet af Erhvervsankenævnets eller domstolenes afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt.« Stk. 2-6. --- § 189. Afgørelser truffet af Finanstilsynet eller Erhvervsstyrelsen i henhold til loven eller regler udstedt i medfør af loven, Europa-Parlamentets og Rådets forordning nr. 346/2013/EU af 17. april 2013 om europæiske sociale iværksætterfonde, Europa-Parlamentets og Rådets forordning nr. 345/2013/EU af 17. april 2013 om europæiske venturekapitalfonde, Europa-Parlamentets og Rådets forordning 2017/1131/EU af 14. juni 2017 om pengemarkedsforeninger, Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering, Europa-Parlamentets og Rådets forordning 1286/2014/EU af 26. november 2014 om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP’er), Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser eller Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer eller regler udstedt i medfør heraf kan af den, som afgørelsen retter sig mod, indbringes for Erhvervsankenævnet, senest 4 uger efter at afgørelsen er meddelt den pågældende. 7. I § 189 ændres »tjenesteydelser eller« til: »tjenesteydelser,« og efter »bæredygtige investeringer« indsættes », Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver eller Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. § 190. Overtrædelse af § 4, stk. 2, 1. pkt., § 5, stk. 1-3, stk. 4, 1. pkt., § 6, stk. 1, § 8, stk. 1 og 4, § 9, stk. 1-3, § 10, stk. 1, § 11, stk. 1, § 13, stk. 5, § 15, stk. 1, § 16, stk. 1, stk. 2, 1. pkt., stk. 4, 1. og 3. pkt., og stk. 5 og 7, § 18, stk. 1 og 2, § 19, § 20 a, § 23, stk. 1-5, § 24, stk. 1-6, § 25, stk. 1-3, § 26, § 27, stk. 1 og 2, §§ 29 og 30, § 31, stk. 3 og 4, § 32, stk. 1, § 33, § 34, stk. 1, § 36, stk. 1 og 2, §§ 38-41, § 42, stk. 2, §§ 43 og 45, § 46, stk. 6, jf. § 13, stk. 3, §§ 50-53, § 54, stk. 1, 4 og 5, § 59, § 61, stk. 1-5, § 62, stk. 1 og 2, §§ 64 og 65, § 67, stk. 1-5, § 68, stk. 1-3, §§ 72-74, § 75, stk. 1, § 77, § 79, stk. 1, § 81, § 86, stk. 1, § 87 a, stk. 3 og 6, § 88, stk. 1, § 88 a, stk. 1-3 og 5, stk. 7, 1. pkt., og stk. 8 og 9, § 93, stk. 1, § 95, § 96, stk. 1, §§ 98 og 99, § 101, stk. 1, § 106, stk. 1, § 108, stk. 1, § 109, nr. 2, 2. pkt., § 111, § 118, stk. 1 og 4, § 121, stk. 1-3, § 123, stk. 1, § 127, § 128, stk. 1 og 10, § 129, stk. 1, § 134, stk. 6, 1. og 2. pkt., § 135, stk. 1-3, § 136, stk. 4, § 137, stk. 4, § 138, § 139, stk. 2, 1. pkt., § 141, stk. 1-5, § 146, stk. 1, 3. pkt., § 149, stk. 1, 2. pkt., og §§ 154 a-154 c samt artikel 2, stk. 6, 3.-5. pkt., artikel 4, stk. 3 og 5, artikel 51, stk. 1, 1. pkt., artikel 52, artikel 53, stk. 1, stk. 2, 1. og 3.-6. pkt., og stk. 3-5, artikel 54, artikel 90, stk. 2, 3. pkt., og stk. 3, artikel 91, artikel 98, stk. 6 og 7, artikel 100, stk. 2, 2. pkt., og stk. 4 og 5, artikel 103, artikel 104, stk. 4-7, artikel 106, stk. 4, artikel 107, stk. 4, og artikel 109, stk. 1, i Kommissionens delegerede forordning (EU) nr. 231/2013 af 19. december 2012 om udbygning af Europa-Parlamentets og Rådets direktiv 2011/61/EU for så vidt angår undtagelser, generelle vilkår for drift, depositarer, gearing, gennemsigtighed og tilsyn og artikel 4, artikel 5, stk. 1, 1. pkt., og stk. 2 og 3, artikel 6, stk. 1, artikel 7, artikel 8, stk. 1, 2. pkt., artikel 9, stk. 1, 3 og 4, artikel 10, artikel 11, stk. 1, artikel 12, stk. 1 og 2, artikel 13, stk. 1 og 2, og artikel 15 i Europa-Parlamentets og Rådets forordning (EU) nr. 345/2013 om europæiske venturekapitalfonde og artikel 4, artikel 5, stk. 1, 1. pkt., og stk. 2 og 3, artikel 6, stk. 1, artikel 7, artikel 8, stk. 1, 2. pkt., artikel 9, stk. 1, 3 og 4, artikel 10, stk. 1, artikel 11, artikel 12, stk. 1, artikel 13, stk. 1-3, artikel 14, stk. 1 og 2, og artikel 16 i Europa-Parlamentets og Rådets forordning (EU) nr. 346/2013 om europæiske sociale iværksætterfonde straffes med bøde eller fængsel indtil 4 måneder, medmindre højere straf er forskyldt efter anden lovgivning. 8. I § 190, stk. 1, indsættes efter »om europæiske sociale iværksætterfonde«: »og artikel 59, stk. 1, artikel 60, stk. 5, artikel 70, stk. 1-4, og artikel 72, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«. Stk. 2. Overtrædelse af § 15, stk. 4, § 20, stk. 1-8, § 21, stk. 1, stk. 2, 2. pkt., og stk. 3-5, § 22, stk. 1-3, § 27 a, stk. 1, § 27 b, stk. 1, § 27 c, stk. 1, § 28, stk. 1, nr. 1 og 2, og stk. 2, nr. 1 og 2, § 28 a, § 136 a, stk. 3, 5 og 6, § 163, stk. 3, 5 og 6, og § 171, stk. 1, 1.-5. pkt., og stk. 3, 1.-7. pkt., artikel 5, stk. 1, artikel 6 og 7, artikel 8, stk. 1-3, artikel 9, artikel 10, stk. 1, artikel 13, stk. 1, 3 og 4, og artikel 14 og 19 i Europa-Parlamentets og Rådets forordning 1286/2014/EU om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP’er), artikel 4, stk. 1, artikel 6, artikel 7, stk. 1-4, artikel 9, artikel 10, stk. 1, artikel 11, stk. 1-3, artikel 12-14, artikel 15, stk. 1-5, artikel 16, stk. 1-4 og 6, artikel 17, stk. 1-6, 8 og 9, artikel 18, stk. 1, artikel 19-21 og 23, artikel 24, stk. 1, artikel 25, stk. 1, artikel 26 og 27, artikel 28, stk. 1-5, artikel 29, stk. 1-5 og 7, artikel 30, stk. 3, artikel 31, stk. 3 og 4, artikel 32, stk. 3 og 4, artikel 33, artikel 34, stk. 1 og 3, artikel 35, stk. 1, artikel 36, artikel 37, stk. 1-3, og artikel 44, stk. 1, i Europa-Parlamentets og Rådets forordning 2017/1131/EU af 14. juni 2017 om pengemarkedsforeninger og artikel 5-7, 18-30, 33-42, 44-46, 48, 50 og 52-56 i Europa-Parlamentets og Rådets forordning 2019/1238/EU af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt), straffes med bøde. 9. I § 190, stk. 2, indsættes efter »om pengemarkedsforeninger«: », artikel 64, stk. 8, artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, og artikel 81, stk. 1-14, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. Stk. 3-10. --- § 6 I lov om firmapensionskasser, jf. lovbekendtgørelse nr. 355 af 2. april 2020, som ændret bl.a. ved § 7 i lov nr. 1940 af 15. december 2020, § 2382 af 14. december 2021, § 4 i lov nr. 409 af 25. april 2023, og senest ved § 337 i lov nr. 718 af 13. juni 2023, foretages følgende ændringer: Lov om firmapensionskasser § 3. I denne lov forstås ved: 1-27) --- 1. I § 3 indsættes som nr. 28 og 29:»28) Variable løndele: Aflønningsordninger, hvor den endelige aflønning ikke er kendt på forhånd, herunder bonusordninger, resultatkontrakter, engangsvederlag og andre lignende ordninger, der ikke er en del af den faste løndel.29) Kønsneutral lønpolitik: En lønpolitik baseret på lige løn for samme arbejde eller arbejde af samme værdi uanset den ansattes køn.« 2. Efter § 43 d indsættes:»§ 43 e. En firmapensionskasse skal vedtage en skriftlig lønpolitik, der fremmer en sund og effektiv risikostyring.Stk. 2. Firmapensionskassens lønpolitik skal være kønsneutral.§ 43 f. Firmapensionskassens øverste organ skal godkende firmapensionskassens lønpolitik, jf. § 43 e, herunder retningslinjer for tildeling af variabel løn og retningslinjer for fratrædelsesgodtgørelser, ved enhver væsentlig ændring og mindst hvert fjerde år. Firmapensionskassens lønpolitik skal hurtigst muligt efter godkendelsen offentliggøres på firmapensionskassens hjemmeside. Lønpolitikken skal forblive offentligt tilgængelig på hjemmesiden, så længe den er gældende.Stk. 2. Formanden for Firmapensionskassens bestyrelse skal i sin beretning for firmapensionskassens øverste organ redegøre for aflønningen af firmapensionskassens bestyrelse og direktion. Redegørelsen skal indeholde oplysninger om aflønning i det foregående regnskabsår og om den forventede aflønning i indeværende og det kommende regnskabsår. Formanden for bestyrelsen skal forklare og begrunde lønpolitikkens indhold og dens efterlevelse i sin beretning for virksomhedens øverste organ.Stk. 3. Firmapensionskassens øverste organ skal godkende aflønningen af firmapensionskassens bestyrelse for det igangværende regnskabsår.Stk. 4. Bestyrelsen firmapensionskassen skal årligt udarbejde og offentliggøre en vederlagsrapport.Stk. 5. Vederlagsrapporten skal indeholde følgende:1) Oplysninger om det samlede vederlag, som hvert medlem af bestyrelsen og direktionen som led i dette hverv har optjent fra firmapensionskassen og andre virksomheder inden for samme koncern i de seneste tre år, herunder oplysninger om fastholdelses- og fratrædelsesordningers væsentligste indhold.2) En redegørelse for sammenhængen mellem ledelsens aflønning og firmapensionskassens strategi og relevante mål herfor.Stk. 6. Hurtigst muligt efter generalforsamlingens afholdelse skal vederlagsrapporten offentliggøres på firmapensionskassens hjemmeside. Vederlagsrapporten skal forblive offentligt tilgængelig på hjemmesiden i en periode på 10 år. Vederlagsrapporten kan være tilgængelig i en længere periode end 10 år, forudsat at den ikke længere indeholder personoplysninger.Outsourcing§ 43 g. Ved en firmapensionskasses outsourcing af aktiviteter til en leverandør skal firmapensionskassen sikre, at aflønning af ledelsen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, hos leverandøren sker inden for rammerne af firmapensionskassens lønpolitik. Det skal fremgå af aftalen mellem firmapensionskassen og leverandøren, at firmapensionskassens lønpolitik skal overholdes.Stk. 2. Stk. 1 finder ikke anvendelse, i det omfang leverandøren allerede er underlagt regler om aflønning i den finansielle regulering.Aflønning af ledelsen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassen risikoprofil§ 43 h. Ved firmapensionskassers aflønning af bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, skal firmapensionskassen sikre sig, at følgende er opfyldt:1) De variable løndele til et medlem af bestyrelsen eller direktionen må på tidspunktet for beregningen af den variable løndel højst udgøre 50 pct. af henholdsvis honoraret og den faste grundløn inklusive pension.2) De variable løndele til andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, må højst udgøre 100 pct. af den faste grundløn, inklusive pension på tidspunktet for beregningen af den variable løn.3) Firmapensionskassens øverste organ kan dog beslutte, at de variable løndele til andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, jf. nr. 2, kan udgøre op til 200 pct. af den faste grundløn, inklusive pension, på tidspunktet for beregningen af den variable løndel forudsat af følgende krav opfyldes:a) Firmapensionskassen skal senest ved indkaldelse til det øverste organs forsamling orientere det øverste organ om, at der ønskes stillingtagen til benyttelse af et højere maksimalt loft for de variable løndele.b) Det øverste organ skal tage beslutningen om benyttelse af et højere maksimalt loft for de variable løndele på baggrund af en detaljeret anbefaling fra firmapensionskassen, der begrunder indstillingen herom, herunder antallet af berørte ansatte, disses arbejdsområder, det nye foreslåede maksimale loft og den forventede indvirkning på firmapensionskassens mulighed for at bevare et sundt kapitalgrundlag. Medlemmerne af det øverste organ skal modtage anbefalingen senest samtidig med indkaldelsen til det øverste organs forsamling.c) Firmapensionskassen skal senest samtidig med formidling af anbefalingen til medlemmerne af det øverste organ, jf. litra b, informere Finanstilsynet om anbefalingen til det øverste organ, herunder det foreslåede højere maksimale loft og begrundelsen for indstillingen. Firmapensionskassen skal på anmodning fra Finanstilsynet godtgøre, at det foreslåede højere maksimale loft ikke er i strid med firmapensionskassens forpligtelser efter loven og regler udstedt i medfør af § 43, stk. 2, herunder kapitalgrundlagskravene.d) Beslutningen om benyttelse af et højere maksimalt loft skal tiltrædes af firmapensionskassens øverste organ med mindst 66 pct. af de afgivne stemmer, forudsat at mindst 50 pct. af de stemmeberettigede medlemmer er repræsenteret på forsamlingen. Er mindre end 50 pct. af de stemmeberettigede medlemmer repræsenteret på forsamlingen, skal beslutningen tiltrædes af mindst 75 pct. af de afgivne stemmer. En ansat, som er medlem af det øverste organ i firmapensionskassen, må ikke deltage i afstemningen herom på det øverste organs forsamling, hvis den ansatte har en væsentlig interesse i beslutningen, der kan være stridende mod firmapensionskassens interesser.e) Firmapensionskassen skal senest 8 dage efter det øverste organs forsamling informere Finanstilsynet om det øverste organs beslutning, herunder om størrelsen af et eventuelt besluttet højere maksimalt loft.4) Mindst 50 pct. af en variabel løndel til bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, skal på tidspunktet for beregningen af den variable løn bestå af en balance af efterstillet gæld i firmapensionskassen eller andre instrumenter, som i en passende grad afspejler firmapensionskassens kreditværdighed som en firmapensionskasse, hvis aktivitet formodes at fortsætte. Instrumenterne kan udstedes i firmapensionskassen eller dennes modervirksomhed, der ejer firmapensionskassen fuldt ud.5) Udbetaling af mindst 40 pct. af en variabel løndel, ved større beløb mindst 60 pct., sker over en periode på mindst fire år, med påbegyndelse ét år efter beregningstidspunktet, dog for bestyrelsen og direktionen mindst fem år. Udbetalingen skal ske med en ligelig fordeling over årene eller med en voksende andel i slutningen af perioden.6) Firmapensionskassen kan undlade at udbetale en variabel løndel helt eller delvis, såfremt firmapensionskassen på tidspunktet for udbetaling af den variable løndel ikke overholder solvenskapitalkravet i § 54, eller hvis Finanstilsynet vurderer, at der er nærliggende risiko herfor.7) Firmapensionskassen må ikke udbetale variabel løn til bestyrelsen eller direktionen, såfremt Finanstilsynet i medfør af § 83 kræver, at firmapensionskassen udarbejder en plan for genoprettelse af firmapensionskassens økonomiske stilling.Stk. 2. For bestyrelsen og direktionen må aktieoptioner i modervirksomheden eller lignende instrumenter højst udgøre 12,5 pct. af henholdsvis honoraret og den faste grundløn inklusive pension på tidspunktet for beregningen heraf.Stk. 3. En firmapensionskasse skal sikre, at efterstillet gæld, instrumenter m.v., der overdrages til bestyrelsen, direktionen eller andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, som en del af den variable løn, som er nævnt i stk. 1, nr. 4, ikke må afhændes af disse personer i en passende periode.Stk. 4. En firmapensionskasse skal sikre, at udbetaling af den udskudte variable løndel, jf. stk. 1, nr. 5, til bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, er betinget af, at de kriterier, der har dannet grundlag for beregningen af den variable løndel, fortsat er opfyldt på udbetalingstidspunktet, betinget af, at den pågældende ikke har deltaget i eller været ansvarlig for en adfærd, der har resulteret i betydelige tab for virksomheden, eller ikke har efterlevet passende krav til hæderlighed, samt betinget af, at virksomhedens økonomiske situation ikke er væsentligt forringet i forhold til tidspunktet for beregningen af den variable løndel.Stk. 5. En firmapensionskasse skal sikre, at bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, og som modtager variabel løn, skal tilbagebetale den variable løn helt eller delvis, hvis den variable løn er udbetalt på grundlag af oplysninger om resultater, som kan dokumenteres at være fejlagtige, og hvis modtageren af den variable løn er i ond tro.Stk. 6. Tildeler en firmapensionskasse bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, en pensionsydelse, som udgør variabel løn, jf. § 3, nr. 28, skal firmapensionskassen, hvis modtageren forlader firmapensionskassen inden pensionstidspunktet, beholde denne pensionsydelse i form af instrumenter som nævnt i stk. 1, nr. 4, i fem år. Stk. 4 og 5 finder tilsvarende anvendelse på de i 1. pkt. nævnte tilfælde. Er modtageren et medlem af bestyrelsen eller ansat i firmapensionskassen ved pensionsalderen, skal firmapensionskassen udbetale den variable del af pensionsydelsen til modtageren i form af de i stk. 1, nr. 4, nævnte instrumenter uden mulighed for afhændelse eller udnyttelse i en periode på 5 år. Stk. 5 finder tilsvarende anvendelse på de i 3. pkt. nævnte tilfælde.Stk. 7. For personer i ansættelsesforhold, der er omfattet af en kollektiv overenskomst, finder stk. 1-6 kun anvendelse på aftaler om variable løndele, hvis aftalerne om variabel løn ikke er fastsat i overenskomsten.« § 97. Finanstilsynet påser overholdelsen af denne lov og af de bestemmelser, der er udstedt i medfør af loven, undtagen § 36, stk. 7, og § 45, jf. dog § 111. Finanstilsynet påser endvidere overholdelsen af Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering, Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf. Erhvervsstyrelsen påser overholdelsen af § 21. 3. I § 97, stk. 1, 2. pkt., ændres »tjenesteydelser og« til: »tjenesteydelser,«, og efter »bæredygtige investeringer« indsættes: »og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. Stk. 2. --- § 103. --- Stk. 2-5. --- Stk. 6. Bestemmelsen i stk. 1 er ikke til hinder for, at fortrolige oplysninger videregives til: 1-29) --- 4. I § 103, stk. 6, indsættes som nr. 30:»30) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.« Stk. 7-12. --- § 104. Som part i forholdet til Finanstilsynet anses alene den firmapensionskasse, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af denne lov eller i medfør af Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser, Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering, Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf eller forskrifter fastsat i medfør af denne lov, jf. dog stk. 2 og 3. 5. I § 104, stk. 1, og § 112, stk. 1, indsættes efter »bæredygtige investeringer«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. Stk. 2-4. --- § 105. Reaktioner givet i henhold til denne lovs § 97, stk. 2, jf. § 345, stk. 12, nr. 4, i lov om finansiel virksomhed, eller af Finanstilsynet efter delegation fra Finanstilsynets bestyrelse til en firmapensionskasse under tilsyn skal offentliggøres med angivelse af firmapensionskassens navn, jf. dog stk. 4. Finanstilsynet skal offentliggøre oplysningerne på tilsynets hjemmeside. Reaktioner givet i henhold til § 97, stk. 2, jf. § 345, stk. 12, nr. 6, i lov om finansiel virksomhed, og Finanstilsynets beslutninger om at overgive sager til politimæssig efterforskning skal offentliggøres på Finanstilsynets hjemmeside med angivelse af firmapensionskassens navn. Indbringes reaktionen, der offentliggøres i henhold til 1. pkt., for domstolene, skal dette fremgå af Finanstilsynets offentliggørelse, og det efterfølgende resultat af domstolenes afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt. 6. I § 105, stk. 1, indsættes efter 3. pkt. som nyt punktum:»Reaktioner givet i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og forordninger udstedt i medfør heraf, skal offentliggøres på Finanstilsynets hjemmeside med angivelse af firmapensionskassens navn, jf. dog stk. 4.«7. I § 105, stk. 1, 4. pkt., der bliver 5. pkt., ændres »1. pkt.« til: »1. eller 4. pkt.«8. I § 105, stk. 1, indsættes som 6. pkt.:»Indbringes reaktionen, der offentliggøres i henhold til 4. pkt., for Erhvervsankenævnet, skal dette fremgå af Finanstilsynets offentliggørelse, og det efterfølgende resultat af Erhvervsankenævnets afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt.« Stk. 2-6. --- § 112. Afgørelser truffet af Finanstilsynet eller Erhvervsstyrelsen i henhold til loven eller i medfør af Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser, Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering, Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf eller forskrifter udstedt i medfør af loven kan indbringes for Erhvervsankenævnet, senest 4 uger efter at afgørelsen er meddelt den pågældende. 5. I § 104, stk. 1, og § 112, stk. 1, indsættes efter »bæredygtige investeringer«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. Stk. 2. --- § 117. --- Stk. 2. Overtrædelse af §§ 4, 11 og 17, § 18, stk. 1, § 21, stk. 2 og 3, § 24, stk. 1, 2. pkt., § 29, stk. 1, § 33, § 34, stk. 1-5, § 35, § 36, stk. 1-6, § 37, § 39, stk. 3, § 42, stk. 2, jf. stk. 1, nr. 3 og 4, § 43 a, § 44, stk. 1, § 45, stk. 1, § 45 a, stk. 1, § 49, stk. 1-3, § 54, § 57, stk. 1, § 59, stk. 1, 1. pkt., § 60 stk. 1, § 61, stk. 1 og 3 og stk. 4, 1. pkt., §§ 62 og 63, § 64, stk. 1, stk. 2, 1. pkt., og stk. 3, 2. pkt., § 65, § 66, stk. 1 og 3, § 67, § 68, 1. pkt., § 69, § 70, stk. 1, 1. pkt., og stk. 2, § 75, stk. 1 og 3, § 79, stk. 1, 2. pkt., og stk. 4, § 80, 1. og 3. pkt., § 81, stk. 1, 2. pkt., § 105, stk. 3, 3. pkt., og § 111, stk. 3, 5 og 6, straffes med bøde, medmindre højere straf er forskyldt efter den øvrige lovgivning. Endvidere straffes overtrædelse af de bestemmelser, der er nævnt i § 73, stk. 1, i det omfang en sådan overtrædelse kan straffes efter §§ 312-319 i lov om forsikringsvirksomhed. 9. I § 117, stk. 2, indsættes efter »§ 42, stk. 2, jf. stk. 1, nr. 3 og 4,«: »§§ 43 e, 43 f, § 43 g, stk. 1, § 43 h, stk. 1-6,«, og efter »§ 111, stk. 3, 5 og 6,« indsættes: »og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. Stk. 3-9. --- § 7 I hvidvaskloven, jf. lovbekendtgørelse nr. 316 af 11. marts 2022, som ændret ved § 4 i lov nr. 507 af 20. maj 2022, § 2 i lov nr. 480 af 12. maj 2023, og § 10 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer: Hvidvaskloven § 1. Denne lov finder anvendelse på følgende virksomheder og personer, herunder filialer, distributører og agenter af disse her i landet: 1-21) --- 22)Udbydere af veksling mellem virtuelle valutaer og fiatvalutaer. 1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:»22) Ubydere af kryptoaktivtjenester som defineret i lov om finansiel virksomhed.« 23)Udbydere af virtuelle tegnebøger. 1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:»22) Udbydere af kryptoaktivtjenester som defineret i lov om finansiel virksomhed.« 24)Udbydere af veksling mellem en eller flere typer af virtuel valuta. 1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:»22) Udbydere af kryptoaktivtjenester som defineret i lov om finansiel virksomhed.« 25)Udbydere af overførsel af virtuel valuta. 1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:»22) Udbydere af kryptoaktivtjenester som defineret i lov om finansiel virksomhed.« 26)Udbydere af finansielle tjenester relateret til en udsteders udbud eller salg af virtuelle valutaer. 1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:»22) Udbydere af kryptoaktivtjenester som defineret i lov om finansiel virksomhed.« Stk. 2-7. --- § 2. I denne lov forstås ved: 1-3) --- 4)Korrespondentforbindelse: 2. § 2, nr. 4, affattes således:»4) Korrespondentforbindelse:a) Levering af pengeinstitutydelser fra et pengeinstitut (korrespondenten) til et andet pengeinstitut (respondenten), herunder oprettelse af løbende konto eller en anden passivkonto, samt tilknyttede ydelser som likviditetsstyring, internationale overførsler af midler, checkclearing, gennemstrømningskonti og valutatransaktioner.b) En forbindelse mellem en virksomhed omfattet af § 1, stk. 1, nr. 1-12, 18 eller 22, (korrespondenten) og en virksomhed omfattet af § 1, stk. 1, nr. 1-12, 18 eller 22, (respondenten), herunder hvor der leveres lignende ydelser fra et korrespondentinstitut til et respondentinstitut, herunder forbindelser indgået med henblik på værdipapirtransaktioner eller overførsler af midler eller forbindelser indgået med henblik på transaktioner med kryptoaktiver eller overførsler af kryptoaktiver.« a) Levering af pengeinstitutydelser fra et pengeinstitut (korrespondenten) til et andet pengeinstitut (respondenten), herunder oprettelse af løbende konto eller passivkonto, samt øvrige ydelser som likviditetsstyring, international overførsel af midler m.v. a) En forbindelse mellem en virksomhed omfattet af § 1, stk. 1, nr. 1-12 eller 18, (korrespondenten) til en anden virksomhed omfattet af § 1, stk. 1, nr. 1-12 eller 18, (respondenten), hvor der leveres lignende ydelser, herunder forbindelser indgået med henblik på værdipapirtransaktioner eller overførsler af midler. 5-14) --- 15)Udbyder af virtuelle tegnebøger: En enhed, som leverer tjenester til at beskytte private kryptografiske nøgler på vegne af sine kunder med henblik på at opbevare, lagre og overføre virtuelle valutaer. 3. § 2, nr. 15 og 16, ophæves.Nr. 17-20 bliver herefter nr. 15-18. 16)Virtuel valuta: Et digitalt udtryk for værdi, som ikke er udstedt eller garanteret af en centralbank eller en offentlig myndighed, ikke nødvendigvis er bundet til en lovligt oprettet valuta og ikke har samme retsstatus som valuta eller penge, men som accepteres af fysiske og juridiske personer som vekslingsmiddel, som kan overføres, lagres og handles elektronisk. 3. § 2, nr. 15 og 16, ophæves.Nr. 17-20 bliver herefter nr. 15-18. 17-20) --- 4. I § 2 indsættes som nr. 19:»19) Selvhostet adresse: En distributed ledger-adresse som defineret i Europa-Parlamentets og Rådets forordning (EU) 2023/1113 af 31. maj 2023 om oplysninger, der skal medsendes ved pengeoverførsler og ved overførsler af visse kryptoaktiver og om ændring af direktiv (EU) 2015/849.« § 7. Virksomheder og personer omfattet af denne lov skal identificere og vurdere risikoen for, at virksomheden eller personen kan blive misbrugt til hvidvask eller finansiering af terrorisme. Risikovurderingen skal foretages med udgangspunkt i virksomhedens eller personens forretningsmodel og omfatte vurderingen af risikofaktorer, der er forbundet med kunder, produkter, tjenesteydelser og transaktioner samt leveringskanaler og lande eller geografiske områder, hvor forretningsaktiviteterne udøves. Risikovurderingen skal dokumenteres og løbende opdateres. 5. I § 7, stk. 1, 1. pkt., indsættes efter »personer«: », der er«. Stk. 2. Den daglige ledelse i virksomheder omfattet af § 1, stk. 1, nr. 1-8, 9, 10, 18 og 22-26, dog ikke disses filialer, distributører og agenter her i landet, skal udpege en ansat, der har fuldmagt til at træffe beslutninger på vegne af virksomheden i henhold til § 8, stk. 2, § 17, stk. 2, nr. 5, § 18, stk. 3, og § 19, stk. 1, nr. 3. Personen kan være medlem af virksomhedens daglige ledelse. Personen skal have tilstrækkeligt kendskab til virksomhedens risiko for hvidvask og terrorfinansiering til at kunne træffe beslutninger, der kan påvirke virksomhedens risikoeksponering. Personen skal endvidere have et tilstrækkelig godt omdømme og må ikke have udvist en adfærd, der giver grund til at antage, at personen ikke vil varetage stillingen på forsvarlig måde. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. Stk. 3. --- § 8. Virksomheder og personer omfattet af denne lov skal have tilstrækkelige skriftlige politikker, forretningsgange og kontroller, som skal omfatte risikostyring, kundekendskabsprocedurer, undersøgelses-, noterings- og underretningspligt, opbevaring af oplysninger, screening af medarbejdere og intern kontrol til effektiv forebyggelse, begrænsning og styring af risici for hvidvask og finansiering af terrorisme. Politikker, kontroller og forretningsgange skal udarbejdes med udgangspunkt i risikovurderingen foretaget efter § 7 under hensyntagen til virksomhedens størrelse. 7. I § 8, stk. 1, 1. pkt., indsættes efter »personer«: », der er«. Stk. 2-6. --- § 10. Virksomheder og personer omfattet af denne lov skal gennemføre kundekendskabsprocedurer, jf. §§ 11-21, når 1) --- 2)de udfører en enkeltstående transaktion på a og b) --- a) 500 euro eller derover ved valutaveksling herunder veksling mellem virtuel valuta og fiatvaluta, hvad enten transaktionen sker på én gang eller som flere transaktioner, der er eller ser ud til at være indbyrdes forbundet, eller 8. I § 10, nr. 2, litra c, og tre steder i § 10, nr. 2, litra d, ændres »virtuel valuta« til: »kryptoaktiver«. a) 1.000 euro eller derover ved veksling mellem en eller flere typer af virtuel valuta, overførsel af virtuel valuta eller tjenester relateret til udstedelse af virtuel valuta, hvad enten transaktionen sker på én gang eller som flere transaktioner, der er eller ser ud til at være indbyrdes forbundet, 8. I § 10, nr. 2, litra c, og tre steder i § 10, nr. 2, litra d, ændres »virtuel valuta« til: »kryptoaktiver«. 3-5) --- 9. Efter § 17 indsættes:»§ 17 a. Erhvervsministeren kan fastsætte regler om gennemførelse af risikobegrænsende foranstaltninger ved overførsel af kryptoaktiver, der er rettet mod eller stammer fra en selvhostet adresse.« § 19. Inden etablering af en grænseoverskridende korrespondentforbindelse, der involverer gennemførelse af betalinger med et respondentinstitut uden for Den Europæiske Union, som Unionen ikke har indgået aftale med på det finansielle område, skal korrespondenten ud over kundekendskabsproceduren i medfør af § 11 1-4) --- 10. I § 19 indsættes efter stk. 1 som nyt stykke:»Stk. 2. Inden gennemførelse af kryptoaktivtjenester skal korrespondenten fastslå, om respondenten er godkendt eller registreret i det pågældende land.«Stk. 2 bliver herefter stk. 3. Stk. 2. --- § 33. Finanstilsynet kan fastsætte regler om, at udbydere af betalingstjenester og udstedere af elektroniske penge, der er registreret i et EU- eller EØS-land, og som er etableret her i landet på anden måde end ved en filial, har pligt til at udpege en person med ansvar for at sikre, at virksomheden eller personen overholder reglerne i denne lov. Finanstilsynet kan endvidere fastsætte regler om, at personen skal have tilstedeværelse her i landet, og hvilke funktioner den pågældende person skal udføre på vegne af virksomheden. 11. I § 33, 1. pkt., ændres »udbydere af betalingstjenester og udstedere af elektroniske penge« til: »udbydere af betalingstjenester, udstedere af elektroniske penge og udbydere af kryptoaktivtjenester«. § 35. Virksomheder og personer omfattet af § 1, stk. 1, nr. 5, 8 og 10, for så vidt angår alternative investeringsfonde, og nr. 12-19 og 21-26, skal have en ordning, hvor deres ansatte via en særlig, uafhængig og selvstændig kanal kan indberette overtrædelser eller potentielle overtrædelser af denne lov og regler udstedt i medfør heraf. Indberetninger til ordningen skal kunne foretages anonymt. Virksomheder og personer skal følge op på indberetninger til ordningen og skriftligt kunne dokumentere, hvordan virksomhederne eller personerne har fulgt op på indberetningerne. Lov om beskyttelse af whistleblowere finder anvendelse på ordningen i 1. pkt., jf. dog § 2 i lov om beskyttelse af whistleblowere. 12. I § 35, stk. 1, 1. pkt., og § 36, stk. 1, 1. pkt., ændres »og 21-26« til: », 21 og 22«. Stk. 2-4. --- § 36. Virksomheder og personer omfattet af § 1, stk. 1, nr. 5, 8 og 10, for så vidt angår alternative investeringsfonde, og nr. 12-19 og 21-26, må ikke udsætte den ansatte eller den tidligere ansatte for ufordelagtig behandling eller ufordelagtige følger, som følge af at den ansatte eller den tidligere ansatte har indberettet virksomhedens eller personens overtrædelse eller potentielle overtrædelse af denne lov og regler udstedt i medfør heraf til en tilsynsmyndighed eller til en ordning i virksomheden. Det samme gælder ved fastsættelse, tildeling og udbetaling af variabel løn til ansatte eller tidligere ansatte. 12. I § 35, stk. 1, 1. pkt., og § 36, stk. 1, 1. pkt., ændres »og 21-26« til: », 21 og 22«. Stk. 2-4. --- § 38. --- Stk. 2. --- Stk. 3. Oplysninger om, at der er givet underretning efter § 26, stk. 1 og 2, eller at dette overvejes, eller at der er eller vil blive iværksat en undersøgelse efter § 25, stk. 1, kan videregives mellem virksomheder i koncerner omfattet af § 1, stk. 1, nr. 1-12, 18 eller 22-26, og andre virksomheder i koncernen, der har hjemsted eller er hjemmehørende i et EU- eller EØS-land. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. Stk. 4 og 5. --- Stk. 6. Oplysninger om, at der er givet underretning efter § 26, stk. 1 og 2, eller at dette overvejes, eller at der er eller vil blive iværksat en undersøgelse efter § 25, stk. 1, kan videregives mellem virksomheder og personer omfattet af § 1, stk. 1, nr. 1-14, 16, 18, 20 og 22-26, forudsat 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. 1-3) --- Stk. 7 og 8. --- § 47. Finanstilsynet påser, at virksomheder og personer omfattet af § 1, stk. 1, nr. 1-12, 18 og 22-26, og filialer, distributører og agenter her i landet af sådanne udenlandske virksomheder og personer, overholder loven, regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning 2015/847/EU af 20. maj 2015 om oplysninger, der skal medsendes ved pengeoverførsler, og love og forordninger indeholdende regler om finansielle sanktioner mod lande, personer, grupper, juridiske enheder eller organer. Dette gælder dog ikke overholdelse af § 36. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. Stk. 2. --- Stk. 3. Finanstilsynet skal samarbejde med de kompetente myndigheder i EU- eller EØS-lande om at medvirke ved tilsynsaktiviteter, kontroller på stedet eller inspektioner her i landet, når det gælder virksomheder og personer omfattet af § 1, stk. 1, der er under tilsyn i et andet EU- eller EØS-land, eller en dansk virksomhed eller person omfattet af § 1, stk. 1, nr. 1-12 og 22-26, der er underlagt dansk tilsyn, men opererer i andre EU- eller EØS-lande. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. Stk. 4. --- § 48. --- Stk. 2. Virksomheder og personer omfattet af § 1, stk. 1, nr. 22-26, skal ligeledes registreres hos Finanstilsynet for at kunne udøve deres aktiviteter. 13. § 48, stk. 2, ophæves.Stk. 3-7 bliver herefter stk. 2-6. Stk. 3. Finanstilsynet skal undlade at foretage registrering efter stk. 1 og 2, hvis et medlem af virksomhedens øverste eller daglige ledelse eller personen er dømt for et strafbart forhold, der begrunder en nærliggende fare for misbrug af stillingen eller hvervet, jf. straffelovens § 78, stk. 2. 14. I § 48, stk. 3, der bliver stk. 2, stk. 6, der bliver stk. 5, og stk. 7, der bliver stk. 6, udgår: »og 2«. Stk. 4. --- Stk. 5. Ved Finanstilsynets vurdering i henhold til stk. 3 og 4 finder straffelovens § 78, stk. 3, tilsvarende anvendelse. 15. I § 48, stk. 5, der bliver stk. 4, ændres »stk. 3 og 4« til: »stk. 2 og 3«. Stk. 6. Finanstilsynet kan inddrage registreringen af en virksomhed eller en anden juridisk person foretaget efter stk. 1 og 2, hvis et medlem af virksomhedens øverste eller daglige ledelse eller personen efterfølgende omfattes af stk. 3, eller hvis virksomheden eller en reel ejer efterfølgende omfattes af stk. 4. 14. I § 48, stk. 3, der bliver stk. 2, stk. 6, der bliver stk. 5, og stk. 7, der bliver stk. 6, udgår: »og 2«.16. I § 48, stk. 6, der bliver stk. 5, ændres »stk. 3« til: »stk. 2«, og »stk. 4« ændres til: »stk. 3«. Stk. 7. Finanstilsynet kan inddrage registreringen af en virksomhed eller en person efter stk. 1 og 2, hvis virksomheden eller personen gør sig skyldig i grove eller gentagne overtrædelser af denne lov. 14. I § 48, stk. 3, der bliver stk. 2, stk. 6, der bliver stk. 5, og stk. 7, der bliver stk. 6, udgår: »og 2«. § 49. Virksomheder og personer som nævnt i § 1, stk. 1, nr. 1-12, 18 og 22-26, samt leverandører og underleverandører til disse skal give Finanstilsynet de oplysninger, der er nødvendige for tilsynets virksomhed. Oplysninger, der er af væsentlig betydning for Finanstilsynets tilsyn, skal gives af egen drift og hurtigst muligt. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. Stk. 2-7. --- § 51. Finanstilsynet kan inden for en af Finanstilsynet fastsat frist påbyde de virksomheder og personer, som er nævnt i § 1, stk. 1, nr. 1-12, 18 og 22-26, at foretage de nødvendige foranstaltninger i tilfælde af overtrædelse af bestemmelser i denne lov, regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning 2015/847/EU af 20. maj 2015 om oplysninger, der skal medsendes ved pengeoverførsler, eller forordninger indeholdende regler om finansielle sanktioner mod lande, personer, grupper, juridiske enheder eller organer. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. § 51 a. Finanstilsynet kan påbyde en virksomhed omfattet af § 1, stk. 1, nr. 1-8, 9, 10, 18 og 22-26, dog ikke disses filialer, distributører og agenter her i landet, at afsætte den person, der er udpeget i henhold til § 7, stk. 2, inden for en frist fastsat af Finanstilsynet, hvis personen efter § 7, stk. 2, 3. og 4. pkt., ikke kan bestride stillingen. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. Stk. 2. --- § 51 b. Finanstilsynet kan påbyde en virksomhed eller person omfattet af § 1, stk. 1, nr. 1-8, 9, 10, 18 og 22-26, dog ikke disses filialer, distributører og agenter her i landet, at virksomheden eller personen midlertidigt ikke må optage nye kundeforhold, når der er konstateret en alvorlig overtrædelse af bestemmelser i denne lov eller regler udstedt i medfør heraf. Er overtrædelsen foregået helt eller delvis i en virksomheds udenlandske filial, kan påbuddet udstrækkes til at omfatte filialen. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. Stk. 2. --- § 52. Finanstilsynet kan for virksomheder og personer som nævnt i § 1, stk. 1, nr. 8 og 22-26, fastsætte nærmere regler om anmeldelse, registrering og offentliggørelse, herunder om, hvilke oplysninger der skal registreres, og hvilke forhold anmeldere eller andre kan indsende og registrere elektronisk i Finanstilsynets it-system ved at benytte digital eller tilsvarende elektronisk signatur, samt om brugen af dette system. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. § 53. Erhvervsministeren kan for virksomheder som nævnt i § 1, stk. 1, nr. 1-12, 18 og 22-26, fastsætte regler om disse virksomheders pligt til at offentliggøre oplysninger om Finanstilsynets vurdering af virksomheden og om, at Finanstilsynet har mulighed for at offentliggøre oplysningerne før virksomheden. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. § 54. Har en virksomhed eller person omfattet af § 1, stk. 1, nr. 1-12, 18 og 22-26, videregivet oplysninger om virksomheden eller personen, og er disse kommet offentligheden til kendskab, kan Finanstilsynet påbyde virksomheden eller personen at offentliggøre berigtigende oplysninger inden for en af Finanstilsynet fastsat frist, hvis oplysningerne efter Finanstilsynets vurdering er misvisende, og hvis Finanstilsynet vurderer, at oplysningerne kan have skadevirkning for virksomhedens eller personens kunder, indskydere, øvrige kreditorer, de finansielle markeder, hvorpå aktierne i virksomheden eller værdipapirer udstedt af virksomheden handles, eller den finansielle stabilitet generelt. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. Stk. 2. Berigtiger virksomheden eller personen omfattet af § 1, stk. 1, nr. 1-13, 19, og 23-27, ikke oplysningerne i overensstemmelse med Finanstilsynets påbud og inden for den af Finanstilsynet fastsatte frist, kan Finanstilsynet 486 offentliggøre påbuddet, der er meddelt efter stk. 1. 17. I § 54, stk. 2, ændres: »1-13, 19 og 23-27« til: »1-12, 18 og 22«. § 78. Overtrædelse af § 55, stk. 4, 1.-4. pkt., og stk. 5, 3.-7. pkt., straffes med bøde. Forsætlig eller grov uagtsom overtrædelse af §§ 5 og 5 a, § 6, stk. 1, 2. pkt., § 6 a, § 7, stk. 1 og 2, § 8, stk. 1-4 og 6, §§ 9 og 10, § 11, stk. 1 og 2 og stk. 3, 1., 3. og 4. pkt., § 12, § 14, stk. 1, stk. 2, 2. pkt., stk. 3, stk. 4, 2. pkt., og stk. 5, §§ 15 og 16, § 17, stk. 1-4, §§ 18-20, § 21, stk. 1, 2. pkt., § 22, stk. 2 og 3, § 24, stk. 1, 2. pkt., stk. 2 og 3, § 25, stk. 1-3, § 26, stk. 1 og 3, stk. 4, 1. pkt., og stk. 6, 1. pkt., § 29, stk. 4 og 6, §§ 30 og 31, § 31 b, stk. 1, § 32, § 35, stk. 1, § 35 a, stk. 1, § 36, stk. 1 og 2, § 36 a, § 38, stk. 1, §§ 40, 43 og 44, § 45, stk. 2, § 48, stk. 1 og 2, § 49, stk. 1 og 2, § 57, stk. 2, § 58, stk. 1, § 59, stk. 1, og § 65, stk. 2, og artikel 4-8, 10-12 og 16 i Europa-Parlamentets og Rådets forordning 2015/847/EU af 20. maj 2015 om oplysninger, der skal medsendes ved pengeoverførsler, samt artikel 6, stk. 1, i Rådets forordning 2001/1338/EF af 28. juni 2001 om fastlæggelse af de foranstaltninger, der er nødvendige for at beskytte euroen mod falskmøntneri, som ændret ved forordning 2009/44/EF, jf. Rådets forordning 2001/1339/EF af 28. juni 2001 om udvidelse af virkningerne af forordning 2001/1338/EF om fastlæggelse af de foranstaltninger, der er nødvendige for at beskytte euroen mod falskmøntneri, til også at omfatte de medlemsstater, der ikke har indført euroen som fælles valuta, straffes med bøde, medmindre højere straf er forskyldt efter straffelovens regler. 18. I § 78, stk. 1, 2. pkt., ændres »§ 48, stk. 1 og 2,« til: »§ 48, stk. 1,«. Stk. 2-6. --- § 85. --- Stk. 2 og 3. --- 19. I § 85 indsættes som stk. 4:»Stk. 4. De dele af §§ 59 og 60, som i medfør af stk. 1 er sat i kraft for Grønland, kan ved kongelig anordning sættes helt eller delvis i kraft på ny for Grønland med de ændringer, som de grønlandske forhold tilsiger.« § 8 I lov nr. 718 af 13. juni 2023 om forsikringsvirksomhed, som ændret ved § 9 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer: Lov om forsikringsvirksomhed § 2. For finansielle holdingvirksomheder og forsikringsholdingvirksomheder finder § 67, stk. 1, § 82, kapitel 10, § 95, § 100, § 105, stk. 7, § 107, stk. 1, §§ 133, 139, 165, 170-172 og 174, kapitel 17, §§ 259-262 og 267-275, § 277, stk. 3, § 280, stk. 1, 2 og 5-8, og §§ 283, 284, 301-307, 309 og 312-319 anvendelse. 1. I § 2, stk. 1, ændres »139« til: »138«. Stk. 2 og 3. --- Overskriften. Fælles datacentraler 2. Overskriften før § 8 ophæves. § 8. For fælles datacentraler, jf. § 9, stk. 1, nr. 13, finder følgende regler desuden anvendelse: 3. § 8 ophæves. 1)§ 132, stk. 1, nr. 8, om betryggende kontrol- og sikringsforanstaltninger på it-området og regler herom udstedt efter § 132, stk. 2. 2)Regler om outsourcing udstedt i medfør af § 134, hvis de fælles datacentraler outsourcer it-opgaver, der udføres for virksomheder omfattet af lovens § 9, stk. 1. 3)Kapitel 27 om kommunikation. Stk. 2. Kapitel 22 om tilsyn og kontrol m.v. og kapitel 28 om delegation og klage og regler udstedt i medfør af disse kapitler finder med de fornødne tilpasninger tilsvarende anvendelse for fælles datacentraler, jf. § 9, stk. 1, nr. 13. Stk. 3. Finanstilsynet kan undtagelsesvis i særlige tilfælde og for en tidsbegrænset periode dispensere fra stk. 1 og 2. Dispensationen kan fornyes. § 9. I denne lov forstås ved: 1-12) --- 13)Fælles datacentraler: Virksomheder, hvis væsentligste aktiviteter omfatter it-drifts- eller udviklingsopgaver for flere forsikringsselskaber, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder, og som overvejende er ejet af 4. § 9, stk. 1, nr. 13, ophæves.Nr. 14-43 bliver herefter nr. 13-42. a) et eller flere forsikringsselskaber, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder i forening eller b) en eller flere foreninger, hvis medlemmer overvejende er forsikringsselskaber, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder. 14-43) --- Stk. 2-5. --- § 107. --- Stk. 2. I forsikringsselskaber, der har tilladelse til at udøve livsforsikringsvirksomhed, med en balancesum på over 30 mia. kr. og i forsikringsselskaber, der har tilladelse til at udøve skadesforsikringsvirksomhed, med en balancesum på over 4 mia. kr. skal mindst et medlem af bestyrelsen have ledelseserfaring fra et forsikringsselskab eller et relevant pengeinstitut eller realkreditinstitut. 5. I § 107, stk. 2, ændres »balancesum på over 4 mia. kr.« til: »bruttopræmieindtægt på over 4. mia. kr.,«. § 123. --- Stk. 2. Det i stk. 1 anførte eksponeringsforbud finder ikke anvendelse i forbindelse med deltagelse i bestyrelserne for Danmarks Skibskredit A/S, Banker og Sparekassers Ungdomskontakt, LR Realkredit A/S, Bornholms Erhvervsfond, Grønlandsbanken A/S, regulerede markeder, clearingcentraler, værdipapircentraler, NASDAQ OMX Stockholm AB, NASDAQ OMX Helsinki Oy, IFU – Investeringsfonden for Udviklingslande, IØ – Investeringsfonden for Østlandene, Landbrugets FinansieringsBank A/S, Bankernes Kontantservice A/S, Fundcollect A/S, Fundconnect A/S og DLR Kredit A/S. 6. I § 123, stk. 2, udgår »Landbrugets FinansieringsBank A/S,«. Stk. 3 og 4. --- § 134. Forsikringsselskaber kan outsource en proces, en tjenesteydelse eller en aktivitet, som selskaberne ellers selv ville udføre, til en tjenesteyder. 7. I § 134, stk. 1, indsættes som 2. pkt.:»1. pkt. finder ikke anvendelse for outsourcing på det digitale operationelle område.« Stk. 2-6. --- Stk. 7. Stk. 2-4 og regler fastsat i medfør af stk. 6 gælder ikke for virksomhedernes autentifikation af brugere ved anvendelse af MitID-løsningen, jf. lov om MitID og NemLog-in. 8. § 134, stk. 7, ophæves. § 193. --- Stk. 2-12. --- Stk. 13. Finanstilsynet fastsætter bestemmelser om revisionens gennemførelse i forsikringsselskaber og i forsikringsselskabers dattervirksomheder, herunder om intern revision og om systemrevisionens gennemførelse i fælles datacentraler. 9. I § 193, stk. 13, udgår »og om systemrevisionens gennemførelse i fælles datacentraler«. Stk. 14. --- § 195. --- Stk. 2-5. --- Stk. 6. § 238, stk. 2, § 239, stk. 4, § 242, 2. pkt., § 256, stk. 2, § 257, stk. 4, § 260, 2. pkt., § 274, stk. 3, § 277, 2. pkt., § 294, stk. 3, og § 297, 2. pkt., i selskabsloven finder ikke anvendelse ved bestandsoverdragelser omfattet af stk. 1. 10. I § 195, stk. 6, udgår »§ 274, stk. 3,« og »§ 294, stk. 3,«. Stk. 7-10. --- § 253. Bestemmelserne i § 242, nr. 2, og § 158, stk. 2, finder ikke anvendelse ved stiftelse af gensidige selskaber, der har tilladelse til at udøve skadesforsikringsvirksomhed, med begrænset formål, jf. § 251. 11. I § 253 ændres »§ 158, stk. 2« til: »§ 156, stk. 2«. § 259. --- Stk. 2. Finanstilsynet påser endvidere overholdelsen af følgende: 1-9) --- 12. I § 259, stk. 2, indsættes som nr. 10:»10) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.« § 280. --- Stk. 2-6. --- Stk. 7. Finanstilsynet kan af egen drift eller efter ansøgning tilbagekalde et påbud meddelt efter stk. 2, 3 eller 5, når der er tale om et bestyrelsesmedlem. Afslår Finanstilsynet en ansøgning om tilbagekaldelse, kan ansøgeren forlange afslaget indbragt for domstolene. Anmodning herom skal indgives til Finanstilsynet, inden 4 uger efter at afslaget er meddelt den pågældende. Anmodning om domstolsprøvelse kan dog kun fremsættes, hvis påbuddet ikke er tidsbegrænset og der er forløbet mindst 5 år fra datoen for udstedelsen af påbuddet, eller mindst 2 år efter at Finanstilsynets afslag på tilbagekaldelse er stadfæstet ved dom. 13. I § 280, stk. 7, 1. pkt., ændres »stk. 2, 3 eller 5« til: »stk. 2, 3 eller stk. 4, 3. pkt.« Stk. 8 og 9. --- § 289. § 285, stk. 1, er ikke til hinder for, at fortrolige oplysninger videregives til følgende: 1-13) --- 14. I § 289, stk. 1, indsættes som nr. 14:»14) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.« Stk. 2-5. --- § 302. Som part i forhold til Finanstilsynet anses forsikringsselskabet, forsikringsholdingvirksomheden, det udenlandske forsikringsselskab eller den udenlandske forsikringsholdingvirksomhed, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af denne lov, forskrifter fastsat i medfør af denne lov og forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2009/138/EF af 25. november 2009 om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), jf. dog stk. 2 og 3, og Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf. 15. I § 302, stk. 1, ændres »jf. dog stk. 2 og 3, og Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf« til: »Europa-Parlamentets og Rådets forordning (EU) 2019/2088 af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning (EU) 2020/852 af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf, jf. dog stk. 2 og 3«. Stk. 2-5. --- § 309. Afgørelser truffet af Finanstilsynet eller Erhvervsstyrelsen kan af den, som afgørelsen retter sig til, indbringes for Erhvervsankenævnet, senest 4 uger efter at afgørelsen er meddelt den pågældende i henhold til følgende: 1-8) --- 16. I § 309, stk. 1, indsættes som nr. 9:»9) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.« Stk. 2 og 3. --- § 310. Erhvervsministeren kan fastsætte regler, som er nødvendige for at anvende eller gennemføre de afgørelser eller retsakter, som vedtages af Europa-Kommissionen i medfør af følgende: 1-8) --- 17. I § 310 indsættes som nr. 9:»9) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.« § 312. Med bøde straffes overtrædelse af følgende bestemmelser, medmindre højere straf er forskyldt efter den øvrige lovgivning 1 og 2) --- 18. I § 312, stk. 1, indsættes som nr. 3:»3) Artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.« Stk. 2. Med bøde eller fængsel indtil 4 måneder straffes overtrædelse af følgende bestemmelser, medmindre højere straf er forskyldt efter den øvrige lovgivning: 1)§ 14, stk. 1, § 37, 2. pkt., § 38, stk. 1-4, § 47, 2. pkt., § 54, stk. 1 og 2, § 61, stk. 1, 5 og 6, § 62, 1. pkt., § 63, stk. 1, §§ 64 og 82, § 84, stk. 1, 2. pkt., og stk. 2, § 87, stk. 1, §§ 91 og 92, § 94, stk. 1, 2 og 4, § 96, stk. 1, § 97, stk. 1-4, § 98, stk. 1 og 2, § 99, § 101, stk. 1, § 105, stk. 5, jf. stk. 1, nr. 3 og 4, § 105, stk. 3, § 106, § 117, stk. 1 og 5, §§ 118-120, § 127, stk. 3, jf. § 105, stk. 5, jf. stk. 1, nr. 3 og 4, § 138, § 154, stk. 1-3, § 155, stk. 1, § 156, stk. 1 og 4, § 158, stk. 1, § 159, stk. 1, § 160, stk. 1, § 165, stk. 1, § 173, stk. 1 og 2, § 188, § 189, stk. 1 og 2, § 194, § 195, stk. 1, § 200, stk. 1, § 223, stk. 1 og 4, § 224, stk. 1, § 225, stk. 1, § 258, stk. 1, § 269, stk. 2, og § 333, stk. 1, 2 og 4. 19. I § 312, stk. 2, nr. 1, indsættes efter »§ 101, stk. 1, § 105, stk. 5, jf. stk. 1, nr. 3 og 4,«: »§ 125,«. 2 og 3) --- § 313. Med bøde straffes et forsikringsselskab eller en forsikringsholdingvirksomhed, der ikke efterkommer et påbud, der er givet i medfør af § 46, stk. 2, § 59, § 154, stk. 4, § 159, § 273, stk. 1, 1. pkt., § 274, stk. 1, § 275, stk. 2, eller § 277, stk. 1, eller som overtræder § 112, stk. 1, i selskabsloven. 20. I § 313, stk. 1, ændres »§ 275, stk. 2,« til: »§ 275«. Stk. 2-4. --- § 9 I lov om forsikringsformidling, jf. lovbekendtgørelse nr. 337 af 11. marts 2022, som ændret ved § 10 i lov nr. 570 af 10. maj 2022, § 4 i lov nr. 480 af 12. maj 2023, § 338 i lov nr. 718 af 13. juni 2023 og § 2 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer: Lov om forsikringsformidling § 22. Finanstilsynet påser overholdelsen af denne lov bortset fra § 18 og påser overholdelsen af regler udstedt i medfør af loven. Finanstilsynet påser endvidere overholdelsen af Europa-Parlamentets og Rådets forordning 1286/2014/EU af 26. november 2014 om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP’er), Europa-Parlamentets og Rådets forordning 2019/1238/EU af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt), Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf og forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2016/97 af 20. januar 2016 om forsikringsdistribution. 1. I § 22, stk. 1, 2. pkt., indsættes efter »finansielle tjenesteydelser«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. § 31. --- Stk. 2-5. --- Stk. 6. Stk. 1 er ikke til hinder for, at fortrolige oplysninger videregives til: 1-17) --- 2. I § 31, stk. 6, indsættes som nr. 18:»18) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.« Stk. 7-12. --- § 33. Tilsynsreaktioner givet efter § 22, stk. 2, jf. § 345, stk. 12, nr. 4, i lov om finansiel virksomhed, og tilsynsreaktioner givet efter delegation fra Finanstilsynets bestyrelse til en virksomhed omfattet af denne lov skal offentliggøres med angivelse af virksomhedens navn, jf. dog stk. 4. Virksomheden skal offentliggøre oplysningerne på sin eventuelle hjemmeside på et sted, hvor de naturligt hører hjemme, hurtigst muligt, og senest 3 hverdage efter at virksomheden har modtaget underretning om reaktionen, eller senest på tidspunktet for offentliggørelse påkrævet efter lov om kapitalmarkeder. Samtidig med offentliggørelsen skal virksomheden indsætte et link, som giver direkte adgang til reaktionen, på forsiden af virksomhedens hjemmeside på en synlig måde, og det skal af linket og en eventuel tilknyttet tekst tydeligt fremgå, at der er tale om en reaktion fra Finanstilsynet. Kommenterer virksomheden på reaktionen, skal dette ske i forlængelse af denne, og kommentarerne skal være klart adskilt fra reaktionen. Fjernelse af linket på forsiden og informationerne fra virksomhedens eventuelle hjemmeside skal finde sted efter samme principper, som virksomheden anvender for øvrige meddelelser, dog tidligst når linket og informationerne har ligget på hjemmesiden i 3 måneder, og tidligst efter førstkommende generalforsamling eller repræsentantskabsmøde. Virksomhedens pligt til at offentliggøre oplysningerne på virksomhedens hjemmeside gælder kun for oplysninger om juridiske personer. Finanstilsynet skal offentliggøre oplysningerne på Finanstilsynets hjemmeside. Reaktioner givet i henhold til § 22, stk. 2, jf. § 345, stk. 12 nr. 6, i lov om finansiel virksomhed, og Finanstilsynets beslutninger om at overgive sager efter denne lov eller regler udstedt i medfør af loven eller efter forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2016/97 af 20. januar 2016 om forsikringsdistribution til politimæssig efterforskning skal offentliggøres som resumé på Finanstilsynets hjemmeside med angivelse af virksomhedens navn, jf. dog stk. 4. Indbringes reaktionen, der offentliggøres i henhold til 1. pkt., for Erhvervsankenævnet eller domstolene, skal dette fremgå af Finanstilsynets offentliggørelse, og det efterfølgende resultat af Erhvervsankenævnets eller domstolenes afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt. 3. I § 33, stk. 1, indsættes som efter 7. pkt. som nyt punktum:»Reaktioner givet i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og forordninger udstedt i medfør heraf, skal offentliggøres på Finanstilsynets hjemmeside med angivelse af virksomhedens navn.«4. I § 33, stk. 1, 8. pkt., der bliver 9. pkt., indsættes efter »af loven «: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf«.5. I § 33, stk. 1, 9. pkt., der bliver 10. pkt., ændres »1. pkt.« til: »1. eller 8. pkt.« Stk. 2-6. --- § 36. Som part i forhold til Finanstilsynet anses virksomheder eller personer omfattet af denne lov, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af denne lov eller forskrifter fastsat i medfør af denne lov eller i medfør af Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser eller regler udstedt i medfør heraf, jf. dog stk. 2. 6. I § 36, stk. 1, indsættes efter »Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. Stk. 2 og 3. --- § 37. Afgørelser truffet af Finanstilsynet i henhold til denne lov, regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning (EU) 1286/2014 af 26. november 2014 om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP’er), Europa-Parlamentets og Rådets forordning (EU) 2019/1238 af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt), forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2016/97 af 20. januar 2016 om forsikringsdistribution eller i henhold til Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser eller regler udstedt i medfør heraf kan indbringes for Erhvervsankenævnet af den, som afgørelsen retter sig mod, senest 4 uger efter at afgørelsen er meddelt den pågældende. 7. I § 37 indsættes efter »tjenesteydelser«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. § 42. --- Stk. 2. Overtrædelse af § 8, § 13, stk. 1 og 2, § 17, stk. 1, § 18, stk. 1, § 18 a, stk. 1, § 19, stk. 3, jf. § 19, stk. 1 og 2, § 19, stk. 4, jf. § 19, stk. 1, § 20, stk. 5, jf. § 20, stk. 1-4, § 20, stk. 6, jf. § 20, stk. 1, artikel 5, stk. 1, artikel 6 og 7, artikel 8, stk. 1-3, artikel 9, artikel 10, stk. 1, artikel 13, stk. 1, 3 og 4, og artikel 14 og 19 i Europa-Parlamentets og Rådets forordning 1286/2014/EU om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP’er) og artikel 7, 18, 22-25, 33, 34 og 50 i Europa-Parlamentets og Rådets forordning 2019/1238/EU af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt) straffes med bøde. 8. I § 42, stk. 2, ændres »(PRIIP’er) og« til: »(PRIIP’er),«, og efter »(PEPP-Produkt)« indsættes: », og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. § 10 I lov om en garantifond for skadesforsikringsselskaber, jf. lovbekendtgørelse nr. 2067 af 12. november 2021, som ændret ved § 1 i lov nr. 480 af 12. maj 2023, § 339 i lov nr. 718 af 13. maj 2023 og ved § 3 i 1546 af 12. december 2023, foretages følgende ændringer: Lov om en garantifond for skadesforsikringsselskaber 1. Efter § 12 indsættes:»§ 12 a. Fondens bestyrelse skal indgå aftale med et forsikringsselskab som administrationsselskab som en del af at antage fornøden medhjælp efter § 12, stk. 1.Stk. 2. Fonden skal skriftligt orientere Finanstilsynet, når en aftale efter stk. 1 er indgået. Fonden skal ligeledes skriftligt orientere Finanstilsynet, hvis Fonden ikke kan indgå en aftale efter stk. 1.Stk. 3. Kan Fondens bestyrelse ikke indgå aftale med et forsikringsselskab som administrationsselskab efter stk. 1, skal Finanstilsynet udnævne et forsikringsselskab som administrationsselskab for Fonden, der opfylder følgende kriterier:1) Forsikringsselskabet har fået Finanstilsynets tilladelse til at drive forsikringsvirksomhed til forsikringsklasse 1, 3, 6, 8-10, 12, 13, og 16-18 i bilag 1 i lov om forsikringsvirksomhed.2) Forsikringsselskabet har i henhold til seneste godkendte årsrapport haft en årlig bruttopræmieindtægt på minimum 2 mia. kr.3) Forsikringsselskabet har i de to seneste regnskabsår på balancetidspunktet i gennemsnit haft 125 eller flere fuldtidsansatte.4) Forsikringsselskabet overholder solvenskapitalkravet, der er fastsat for forsikringsselskabet.5) Forsikringsselskabet har minimum en markedsandel i Danmark på 3 pct. målt på bruttopræmie.Stk. 4. Opfylder flere forsikringsselskaber kriterierne i stk. 3, skal Finanstilsynet udnævne et administrationsselskab for Fonden på baggrund af en rotationsordning. Finanstilsynet skal i sin afgørelse inddrage relevante forhold relateret til de omfattede forsikringsselskaber i sin vurdering af, hvilket forsikringsselskab, der skal udnævnes som administrationsselskab, herunder om et forsikringsselskab tidligere har fungeret som administrationsselskab for Fonden.Stk. 5. Finanstilsynet skal udnævne et forsikringsselskab efter stk. 3, for en periode på 48 måneder, jf. dog stk. 7.Stk. 6. Finanstilsynet kan, medmindre særlige forhold taler herfor, ikke udnævne et forsikringsselskab som administrationsselskab i to af hinanden efterfølgende perioder.Stk. 7. Hvis der i perioden, jf. stk. 5, opstår en konkurs i et forsikringsselskab, skal Fondens bestyrelse i henhold til stk. 1 indgå aftale med et nyt forsikringsselskab som administrationsselskab. Det forsikringsselskab, der på tidspunktet for konkursens indtræden er udnævnt som administrationsselskab, skal bistå Fonden indtil sagsbehandlingen af konkursen er afsluttet, uanset om perioden på 48 måneder i mellemtiden måtte være ophørt.Stk. 8. Indgår Fondens bestyrelse aftale efter stk. 1, med et forsikringsselskab om at varetage opgaven som administrationsselskab for Fonden efter udløb af en periode, jf. stk. 5, og indtræder der en konkurs i et forsikringsselskab inden den igangværende periode, jf. stk. 5, udløber, skal forsikringsselskabet, som Fondens bestyrelse har indgået aftale med, overtage opgaven som administrationsselskab på tidspunktet for konkursens indtræden.Stk. 9. Fonden skal betale vederlag til et administrationsselskab udnævnt af Finanstilsynet. Vederlaget fastlægges efter forhandling mellem parterne. Er det ikke muligt for parterne at blive enig om størrelsen på vederlaget, skal Finanstilsynet fastsætte vederlagets størrelse på baggrund af et oplæg fra Fonden.Stk. 10. Et administrationsselskab, der er udnævnt af Finanstilsynet, jf. stk. 3, skal varetage de opgaver, der fremgår af Fondens udbudsmateriale eller andet dokument indeholdende Fondens specificering af opgaverne.« 2. Efter § 17 indsættes i kapitel 10:»§ 17 a. Afgørelser truffet af Finanstilsynet i medfør af § 12 a, stk. 3 og stk. 9, 3. pkt., kan indbringes for Erhvervsankenævnet senest 4 uger efter, at afgørelsen er meddelt det pågældende forsikringsselskab.« § 11 I lov nr. 405 af 25. april 2023 om Kreditforeningen af kommuner og regioner i Danmark foretages følgende ændringer: Lov om Kreditforeningen af kommuner og regioner i Danmark § 21. Finanstilsynet påser overholdelsen af denne lov og de regler, der er udstedt i medfør af loven, bortset fra § 3, stk. 1, 1. pkt., § 4 og § 20. 1. I § 21, stk. 1, indsættes som 2. pkt.:»Finanstilsynet påser endvidere overholdelsen af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.« § 22. --- 2. I § 22 indsættes som stk. 2 og 3:»Stk. 2. § 354 e i lov om finansiel virksomhed finder tilsvarende anvendelse på foreningen for sager om overtrædelse af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.Stk. 3. § 372 a i lov om finansiel virksomhed finder tilsvarende anvendelse på foreningen for regler, som er nødvendige for at anvende eller gennemføre de afgørelser eller retsakter, som vedtages af Europa-Kommissionen i medfør af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.« § 25. --- Stk. 2. Overtrædelse af § 10, jf. § 64 e, stk. 1, § 70, stk. 1-4, og § 71, stk. 1 og 2, i lov om finansiel virksomhed, § 12, § 13, stk. 1, jf. artikel 412, stk. 1 og 2, og artikel 415, stk. 1 og 2, i Europa-Parlamentets og Rådets forordning (EU) om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber, §§ 14 og 16 og § 18, stk. 2, jf. § 183 stk. 1, 1. pkt., og stk. 5, § 184, stk. 1, § 185, stk. 1 og 3 og stk. 4, 1. pkt., §§ 186 og 187, § 188, stk. 1 og stk. 2, 1. pkt., §§ 189 og 190, § 191, stk. 1-3, § 192, 1. pkt., § 193, 1. pkt., § 198, stk. 1, og § 199, stk. 2 og 6, i lov om finansiel virksomhed, straffes med bøde. 3. I § 25, stk. 2, indsættes efter »§ 199, stk. 2 og 6, i lov om finansiel virksomhed,«: »og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. Stk. 3-6. --- § 12 I lov om et skibsfinansieringsinstitut, jf. lovbekendtgørelse nr. 646 af 18. maj 2022 foretages følgende ændring: Lov om et skibsfinansieringsinstitut § 14. Overtrædelse af § 1, stk. 2, § 2 d, stk. 1, § 2 e, stk. 1, 2. og 3. pkt., § 2 h, stk. 1, 2 og 4, og § 3, 2. pkt., straffes med bøde, medmindre højere straf er forskyldt efter anden lovgivning. På samme måde straffes overtrædelse af meddelelsespligten i § 2 i, stk. 1, 1. pkt. 1. I § 14, stk. 1, 1. pkt., indsættes efter »§ 3, 2. pkt.,«: »og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. Stk. 2-4. --- § 13 I lov nr. 871 af 21. juni 2022 om Danmarks Eksport- og Investeringsfond foretages følgende ændring: Lov om Danmarks Eksport- og Investeringsfond § 15. Lov om offentlighed i forvaltningen, lov om Folketingets Ombudsmand, forvaltningsloven og arkivloven finder ikke anvendelse for Danmarks Eksport- og Investeringsfond og dennes selvstændige offentlige dattervirksomheder og øvrige datterselskaber samt enheder forvaltet af Danmarks Eksport- og Investeringsfond eller Danmarks Eksport- og Investeringsfonds selvstændige offentlige dattervirksomheder, for så vidt angår aktiviteter udøvet i medfør af kapitel 2. 1. I § 15 indsættes efter stk. 1 som nyt stykke:»Stk. 2. Europa-Parlamentets og Rådets forordning (EU) 2022/2254 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor finder ikke anvendelse for Danmarks Eksport- og Investeringsfond og dennes selvstændige offentlige dattervirksomheder og øvrige datterselskaber samt enheder forvaltet af Danmarks Eksport- og Investeringsfond eller Danmarks Eksport- og Investeringsfonds selvstændige offentlige dattervirksomheder.«Stk. 2 og 3 bliver herefter stk. 3 og 4. Stk. 2 og 3. --- § 14 I straffeloven, jf. lovbekendtgørelse nr. 1360 af 28. september 2022, som ændret senest ved § 1 i lov nr. 1786 af 28. december 2023, foretages følgende ændring: Straffeloven § 299 d. Med fængsel indtil 6 år straffes den, der under særligt skærpende omstændigheder gør sig skyldig i 1. I § 299 d, stk. 1, indsættes før nr. 1 som nyt nummer:»1) overtrædelse af artikel 89, stk. 2, eller artikel 91, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver,«.Nr. 1-3 bliver herefter nr. 2-4. 1-3) --- Stk. 2. --- § 15 I retsplejeloven, jf. lovbekendtgørelse nr. 1655 af 25. december 2022, som ændret senest ved § 3 i lov nr. 1786 af 28. december 2023, foretages følgende ændring: Retsplejeloven § 806. --- Stk. 2-6. --- Stk. 7. Politiet kan træffe afgørelser om pålæg om edition af oplysninger om transaktioner, konti, depoter, bokse el.lign. fra virksomheder eller personer, der er omfattet af § 1, stk. 1, nr. 1-12 eller 18-26, i lov om forebyggende foranstaltninger mod hvidvask af udbytte og finansiering af terrorisme. Politiet kan i afgørelsen om pålæg om edition efter 1. pkt. bestemme, at der fra virksomheder og personer, der er omfattet af § 1 i lov om forebyggende foranstaltninger mod hvidvask af udbytte og finansiering af terrorisme, kan indhentes oplysninger, som de pågældende har rådighed over, om transaktioner på en konto, hvortil der er overført midler ved en transaktion, som er omfattet af afgørelsen om edition, eller ved en transaktion, der udspringer af en transaktion, som er omfattet af afgørelsen om edition. Stk. 4, 2. pkt., finder tilsvarende anvendelse. Politiets afgørelser efter dette stykke skal være skriftlige og ledsaget af grunde. 1. I § 806, stk. 7, 1. pkt., ændres »§ 1, stk. 1, nr. 1-12 eller 18-26« til: »§ 1, stk. 1, nr. 12 eller 18-22«. Stk. 8-11. ---
Gældende formulering Lovforslaget § 1 I lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 1731 af 5. december 2023, som ændret ved § 335 i lov nr. 718 af 13. juni 2023, § 44 i lov nr. 1534 af 12. december 2023 og § 1 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer: Lov om finansiel virksomhed Fodnoten. Loven indeholder bestemmelser, der gennemfører Rådets direktiv 86/635/EØF af 8. december 1986 (bankregnskabsdirektivet), EF-Tidende 1986, nr. L 372, side 1, Rådets direktiv 89/117/EØF af 13. februar 1989 (offentliggørelse af årsregnskabsdokumenter for filialer fra ikkemedlemslande), EF-Tidende 1989, nr. L 44, side 40, Rådets direktiv 91/674/EØF af 19. december 1991 (forsikringsregnskabsdirektivet), EF-Tidende 1991, nr. L 374, side 7, Europa-Parlamentets og Rådets direktiv 95/26/EF af 29. juni 1995 (BCCI-direktivet), EF-Tidende 1995, nr. L 168, side 7, Europa-Parlamentets og Rådets direktiv 2001/24/EF af 4. april 2001 (likvidationsdirektivet for kreditinstitutter), EF-Tidende 2001, nr. L 125, side 15, Europa-Parlamentets og Rådets direktiv 2002/13/EF af 5. marts 2002 (Solvens I-direktivet), EF-Tidende 2002, nr. L 77, side 17, Europa-Parlamentets og Rådets direktiv 2002/87/EF af 16. december 2002 (konglomeratdirektivet), EU-Tidende 2003, nr. L 35, side 1, dele af Europa-Parlamentets og Rådets direktiv 2006/31/EF af 5. april 2006 (udsættelsesdirektivet), EU-Tidende 2006, nr. L 114, side 60, Europa-Parlamentets og Rådets direktiv 2007/44/EF af 5. september 2007 (kapitalandelsdirektivet), EU-Tidende 2007, nr. L 247, side 1, dele af Europa-Parlamentets og Rådets direktiv 2007/64/EF af 13. november 2007 (betalingstjenestedirektivet), EU-Tidende 2007, nr. L 319, side 1, dele af Europa-Parlamentets og Rådets direktiv 2009/65/EF af 13. juli 2009 (UCITS-direktivet), EU-Tidende 2009, nr. L 302, side 32, dele af Europa-Parlamentets og Rådets direktiv 2009/138/EF af 25. november 2009 (Solvens II-direktivet), EU-Tidende 2009, nr. L 335, side 1, Kommissionens direktiv 2010/43/EU af 1. juli 2010, EU-Tidende 2010, nr. L 176, side 42, dele af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 (CRD IV), EU-Tidende 2013, nr. L 176, side 338, dele af Europa-Parlamentets og Rådets direktiv 2014/49/EU af 16. april 2014 (DGSD), EU-Tidende 2014, nr. L 173, side 149, dele af Europa-Parlamentets og Rådets direktiv 2014/50/EU af 16. april 2014, EU-Tidende 2014, nr. L 128, side 1, dele af Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 (MiFID II), EU-Tidende 2014, nr. L 173, side 349, dele af Europa-Parlamentets og Rådets direktiv 2014/91/EU af 23. juli 2014 (UCITS V-direktivet), EU-Tidende 2014, nr. L 257, side 186, dele af Europa-Parlamentets og Rådets direktiv 2015/849/EU af 20. maj 2015 (4. hvidvaskdirektiv), EU-Tidende 2015, nr. L 141, side 73, dele af Europa-Parlamentets og Rådets direktiv 2018/843/EU af 30. maj 2018, EU-Tidende 2018, nr. L 156, side 43, dele af Europa-Parlamentets og Rådets direktiv 2016/97/EU af 20. januar 2016, EU-Tidende 2016, nr. L 26, side 19, dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 (NIS-direktivet), EU-Tidende 2016, nr. L 194, side 1, dele af Europa-Parlamentets og Rådets direktiv 2017/828/EU af 17. maj 2017, EU-Tidende 2017, nr. L 132, side 1, dele af Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296, dele af Europa-Parlamentets og Rådets direktiv 2017/828/EU af 17. maj 2017, EU-Tidende 2017, nr. L 132, side 1, dele af Europa-Parlamentets og Rådets direktiv 2019/1160/EU af 20. juni 2019, EU-Tidende 2019, nr. L 188, side 106, dele af Europa-Parlamentets og Rådets direktiv (EU) 2019/2162 af 27. november 2019 om udstedelse af dækkede obligationer og offentligt tilsyn med dækkede obligationer og om ændring af direktiv 2009/65/EF og 2014/59/EU, EU-Tidende 2019, nr. L 328, side 29, og dele af Kommissionens delegerede direktiv (EU) 2021/1270 af 21. april 2021 om ændring af direktiv 2010/43/EU for så vidt angår de bæredygtighedsrisici og bæredygtighedsfaktorer, der skal tages hensyn til i forbindelse med institutter for kollektiv investering i værdipapirer (investeringsinstitutter), EU-Tidende 2021, nr. L 277, side 141. Ifølge artikel 288 i EUF-traktaten gælder en forordning umiddelbart i hver medlemsstat. Gengivelsen af disse bestemmelser i loven er således udelukkende begrundet i praktiske hensyn og berører ikke forordningernes umiddelbare gyldighed i Danmark. 1. I fodnoten til lovens titel 1. pkt. udgår »dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 (NIS-direktivet), EU-Tidende 2016, nr. L 194, side 1,«, »og dele af Kommissionens delegerede direktiv (EU) 2021/1270 af 21. april 2021 om ændring af direktiv 2010/43/EU for så vidt angår de bæredygtighedsrisici og bæredygtighedsfaktorer, der skal tages hensyn til i forbindelse med institutter for kollektiv investering i værdipapirer (investeringsinstitutter), EU-Tidende 2021, nr. L 277, side 141« ændres til: », dele af Kommissionens delegerede direktiv (EU) 2021/1270 af 21. april 2021 om ændring af direktiv 2010/43/EU for så vidt angår de bæredygtighedsrisici og bæredygtighedsfaktorer, der skal tages hensyn til i forbindelse med institutter for kollektiv investering i værdipapirer (investeringsinstitutter), EU-Tidende 2021, nr. L 277, side 141, dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 om foranstaltninger til sikring af et føjt fælles cybersikkerhedsniveau i hele Unionen, EU-Tidende 2022, nr. L 333, side 80-152, og dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2556 af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«, i 2. pkt., ændres »84, og« til: »84,«, og efter »L 352, side 1« indsættes: »Europa-Parlamentets og Rådets forordning (EU) 2013/1114 af 31. maj 2023 om markeder for kryptoaktiver«. § 1. --- Stk. 2 og 3. --- Stk. 4. For filialer her i landet af udenlandske virksomheder, der er meddelt tilladelse til at udøve den i §§ 7-10 a nævnte virksomhed i et land inden for Den Europæiske Union eller et land, som Unionen har indgået aftale med10 på det finansielle område, finder §§ 6, 6 a, 6 b, 30, 32, 43, 43 b, 47-48 a, 50-54, 344 og 345, § 347, stk. 1-3, 5 og 7, §§ 347 b, 347 c og 348, § 352, stk. 2, §§ 354 a, 354 b, 360, 363 a, 368-370 og §§ 373-374 anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. 11 For filialer her i landet af kreditinstitutter finder § 152 a, stk. 4, 2. pkt., og § 307 a, stk. 1, 1. pkt., anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. For filialer her i landet af en udenlandsk virksomhed, der er meddelt tilladelse til at udøve den i §§ 7-10 a nævnte virksomhed i et andet land inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, finder § 347 a endvidere anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. For filialer og tilknyttede agenter her i landet af kreditinstitutter, der er meddelt tilladelse til at yde investeringsservice eller udføre investeringsaktiviteter i et andet land inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, og som udfører sådan aktivitet her i landet, finder §§ 30, 32, 344 og 345, § 347, stk. 1-3, 5 og 7, §§ 348, 354 a og 354 b og § 363 b, stk. 1 og 2,12 anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. § 43 og regler udstedt i medfør heraf13 gælder tilsvarende for situationer som nævnt i 4. pkt. 2. I § 1, stk. 4, 2. pkt., udgår »og § 307 a, stk. 1, 1. pkt.,«. Stk. 5-9. --- Stk. 10. Kapitel 20 c finder anvendelse på fælles datacentraler. 3. § 1, stk. 10, ophæves.Stk. 11-18 bliver herefter stk. 10-17. Stk. 11-13. --- 4. I § 1 indsættes efter stk. 13 som nye stykker:»Stk. 14. Kapitel 19 b finder anvendelse på fysiske og juridiske personer og andre virksomheder, der er involveret i udstedelse, udbud til offentligheden og optagelse af kryptoaktiver til handel, eller som leverer tjenesteydelser i forbindelse med kryptoaktiver.Stk. 15. Kapitel 19 c finder anvendelse på operatører af finansiel digital infrastruktur.«Stk. 14-18 bliver herefter stk. 16-20. Stk. 14-18. --- § 10. Virksomheder skal have tilladelse som investeringsforvaltningsselskab for at udføre den daglige ledelse af investeringsforeninger og administrere andre UCITS, jf. bilag 6. Investeringsforvaltningsselskaber må i øvrigt kun udføre virksomhed som nævnt i stk. 2, § 10 a og § 28. 5. I § 10, stk. 1, 2. pkt., ændres »§ 10 a og § 28« til: »§§ 10 a, 10 b og 28«. Stk. 2-7. --- 6. Efter § 10 a indsættes:»§ 10 b. Et investeringsforvaltningsselskab kan levere tjenester med kryptoaktiver som angivet i artikel 60, stk. 5, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, svarende til de tjenester, som det er meddelt tilladelse til i henhold til § 10, hvis selskabet giver Finanstilsynet meddelelse mindst 40 arbejdsdage, inden disse tjenester leveres første gang. Meddelelsen skal ledsages af de oplysninger, der er anført i artikel 60, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.« § 71. En finansiel virksomhed og en finansiel holdingvirksomhed skal have effektive former for virksomhedsstyring, herunder 1-7) --- 8)betryggende kontrol- og sikringsforanstaltninger på it-området og 7. I § 71, stk. 1, nr. 8, indsættes efter »it-området«: »og for net- og informationssystemer, som oprettes og styres i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 om digital operationel modstandsdygtighed i den finansielle sektor«. 9) --- Stk. 2. --- Stk. 3. Finanstilsynet kan fastsætte nærmere regler om de foranstaltninger, som en finansiel virksomhed og en finansiel holdingvirksomhed skal træffe for at have effektive former for virksomhedsstyring, jf. stk. 1 og 2. Finanstilsynet kan desuden fastsætte nærmere regler om hændelsesrapportering for de virksomheder, der udpeges som operatører af væsentlige tjenester i medfør af § 307 a, herunder om, at Finanstilsynet og Center for Cybersikkerhed underrettes ved en hændelse, der har en negativ indvirkning på sikkerheden i virksomhedens net- og informationssystemer. 8. § 71, stk. 3, 2. pkt., ophæves. § 72 a. Pengeinstitutter, sparevirksomheder, realkreditinstitutter og investeringsforvaltningsselskaber kan outsource en proces, en tjenesteydelse eller en aktivitet, som virksomheden ellers selv ville udføre, til en leverandør. 9. I § 72 a, stk. 1, indsættes som 2. pkt.:»1. pkt. finder ikke anvendelse for outsourcing på det digitale operationelle område.« Stk. 2 og 3. --- § 72 c. Regler fastsat i medfør af § 72 a, stk. 3, gælder ikke for virksomhedernes autentifikation af brugere ved anvendelse af MitID-løsningen, jf. lov om MitID og NemLog-in. 10. § 72 c ophæves. § 80. --- Stk. 2-4. --- Stk. 5. Det i stk. 4 anførte eksponeringsforbud finder ikke anvendelse i forbindelse med deltagelse i bestyrelserne for Danmarks Skibskredit A/S, Banker og Sparekassers Ungdomskontakt, LR Realkredit A/S, Bornholms Erhvervsfond, Grønlandsbanken A/S, regulerede markeder, clearingcentraler, værdipapircentraler, NASDAQ OMX Stockholm AB, NASDAQ OMX Helsinki Oy, IFU – Investeringsfonden for Udviklingslande, IØ – Investeringsfonden for Østlandene, Landbrugets FinansieringsBank A/S, Bankernes Kontantservice A/S, Fundcollect A/S, Fundconnect A/S og DLR Kredit A/S. 11. I § 80, stk. 5, udgår »Landbrugets FinansieringsBank A/S,«. Stk. 6-9. --- § 124. --- Stk. 2. Et pengeinstituts og et realkreditinstituts bestyrelse og direktion skal på baggrund af vurderingen efter stk. 1 opgøre instituttets individuelle solvensbehov. Solvensbehovet opgøres som det tilstrækkelige kapitalgrundlag i procent af den samlede risikoeksponering. Solvensbehovet kan ikke være mindre end kapitalgrundlagskravet efter artikel 92, stk. 1, litra c, og minimumskapitalkravet i artikel 93 i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter. 12. I § 124, stk. 2, indsættes efter 2. pkt. som nyt punktum:»Den del af solvensbehovet, der vedrører risiko for overdreven gearing, opgøres i procent af den samlede ikke-risikovægtede eksponering.«13. I § 124, stk. 2, 3. pkt., der bliver 4. pkt., indsættes efter »i artikel 93«: »eller gearingsgradskravet efter artikel 92, stk. 1, litra d,«. Stk. 3. Finanstilsynet kan individuelt fastsætte et højere krav til kapitalgrundlaget i form af et tillæg til kapitalgrundlagskravet, der fremgår af artikel 92, stk. 1, litra c, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter. Dette individuelle solvenskrav er udtryk for Finanstilsynets vurdering af instituttets tilstrækkelige kapitalgrundlag i procent af den samlede risikoeksponering. 14. I § 124, stk. 3, 1. pkt., indsættes efter: »92, stk. 1, litra c,«: »eller til gearingsgradskravet, der fremgår af artikel 92, stk. 1, litra d,«, og i 2. pkt. indsættes efter »samlede risikoeksponering«: »og i procent af den ikke-risikovægtede eksponering, hvis solvenskravet vedrører risiko for overdreven gearing«. Stk. 4-8. --- § 124 a. Finanstilsynet fastsætter årligt et vejledende niveau af yderligere kapitalgrundlag for de individuelle kreditinstitutter og meddeler dette til kreditinstitutterne. Det vejledende niveau af yderligere kapitalgrundlag baseres på en tilsynsmæssig stresstest og opgøres i procent af den samlede risikoeksponering. 15. I § 124 a, stk. 1, 1. pkt., ændres: »meddeler« til: »informerer«.16. I § 124 a, stk. 1, 2. pkt., indsættes efter: »risikoeksponering«: »og i procent af den samlede ikke-risikovægtede eksponering«.Stk. 2. --- Stk. 3. Den del af det vejledende niveau af yderligere kapitalgrundlag, som er fastsat for at tage højde for risikoen for overdreven gearing, skal opfyldes med egentlig kernekapital ud over den egentlige kernekapital, som opretholdes for at opfylde 17. I § 124 a, stk. 3, udgår »egentlig« og »egentlige«. 1-3) --- Stk. 4. --- § 125 d. Et pengeinstitut og et realkreditinstitut, der ikke opfylder det kombinerede kapitalbufferkrav, jf. § 125 a, stk. 1, og som har til hensigt at foretage en handling, der er omfattet af § 125 b, stk. 3, nr. 1-3, skal straks give Finanstilsynet meddelelse herom og oplyse: 18. I § 125 d, stk. 1, indsættes efter »§ 125 a, stk. 1,«: »eller gearingsgradbufferkravet, jf. artikel 92 stk. 1, litra a, jf. Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, hvis gearingsgradsbufferkravet finder anvendelse,«, og »§ 125 b, stk. 3,« ændres til: »§ 125 b, stk. 5,«. 1-4) --- Stk. 2. --- § 199. --- Stk. 2-11. --- Stk. 12. Finanstilsynet fastsætter bestemmelser om revisionens gennemførelse i finansielle virksomheder, i finansielle holdingvirksomheder og i sådanne virksomheders dattervirksomheder. Herunder kan Finanstilsynet fastsætte bestemmelser om intern revision og om systemrevisionens gennemførelse i fælles datacentraler. 19. § 199, stk. 12, 2. pkt., ophæves. Stk. 13. --- § 224. Finanstilsynet kan endvidere inddrage tilladelsen til at drive virksomhed som pengeinstitut, realkreditinstitut og investeringsforvaltningsselskab, 1)hvis den finansielle virksomhed gør sig skyldig i grove eller gentagne overtrædelser af denne lov, hvidvaskloven, lov om kapitalmarkeder eller lov om realkreditlån og realkreditobligationer m.v., regler udstedt i medfør af disse love, Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, forordninger og regler udstedt i medfør af Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber eller Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter, 20. I § 224, stk. 1, nr. 1, indsættes efter »om markeder for finansielle instrumenter«: »eller Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«. 2-5) --- Stk. 2-6. --- Stk. 7. Virksomheder, der har tilladelse til at drive både livsforsikringsvirksomhed og skadesforsikringsvirksomhed i samme selskab, jf. § 11, stk. 12, kan få inddraget deres tilladelse for henholdsvis livsforsikringsvirksomheden og skadesforsikringsvirksomheden særskilt. 21. § 224, stk. 7, ophæves. § 269 a. --- Stk. 2. --- Stk. 3. I vurderingen af, om Finanstilsynet skal begrænse virksomhedens udlodning til det maksimale udlodningsbeløb, skal Finanstilsynet tage hensyn til følgende: 1) --- 2)Udviklingen i virksomhedens økonomiske situation og sandsynligheden for, at virksomheden inden for en overskuelig fremtid opfylder betingelserne for afvikling. 22. I § 269 a, stk. 3, nr. 2, ændres »opfylder betingelserne for afvikling« til: »bliver nødlidende eller forventeligt nødlidende, jf. § 224 a«. 3-5) --- Stk. 4-7. --- § 272. --- Stk. 2-7. --- 23. I § 272 indsættes som stk. 8 og 9:»Stk. 8. Kapitalejere og kreditorer, hvis krav er blevet nedskrevet eller konverteret i henhold til stk. 1, må ikke lide større tab end ved konkursbehandling af pengeinstituttet eller realkreditinstituttet under afvikling.Stk. 9. Finanstilsynets vurdering efter stk. 8 foretages på baggrund af værdiansættelsen i § 8 i lov om restrukturering og afvikling af visse finansielle virksomheder. Værdiansættelsen foretages af Finansiel Stabilitet efter anmodning fra Finanstilsynet. Konstateres det, at en kapitalejer eller kreditor, herunder Garantiformuen, har lidt større tab, end den ville have gjort ved konkursbehandling af pengeinstituttet eller realkreditinstituttet, betales forskellen af Afviklingsformuen, jf. kapitel 11 i lov om restrukturering og afvikling af visse finansielle virksomheder.« § 274. --- Stk. 2. --- Stk. 3. Stk. 1 finder ikke anvendelse, hvis forpligtelsen er undtaget fra bail-in, jf. § 25, stk. 3, i lov om restrukturering og afvikling af visse finansielle virksomheder, eller hvis forpligtelsen er et berettiget indskud, jf. § 2, nr. 7, i lov om restrukturering og afvikling af visse finansielle virksomheder. 24. § 274, stk. 3, affattes således:»Stk. 3. Stk. 1 finder ikke anvendelse, hvis1) forpligtelsen er undtaget fra bail-in, jf. § 25, stk. 3, i lov om restrukturering og afvikling af visse finansielle virksomheder,2) forpligtelsen er en del af et berettiget indskud fra fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, jf. § 2, nr. 19, i lov om restrukturering og afvikling af visse finansielle virksomheder, og overstiger beløbsgrænsen for dækkede indskud, jf. § 9 i lov om en indskyder- og investorgarantiordning, eller3) forpligtelsen ville være et berettiget indskud fra fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, hvis ikke indskuddet var foretaget gennem filialer af institutter, der er etableret inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, når filialen er beliggende uden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område.« Stk. 4-6. --- § 275. En virksomhed skal underrette Finanstilsynet, hvis det ikke er muligt at opfylde § 274, stk. 1, i forhold til en kontrakt vedrørende en forpligtelse omfattet af konkurslovens § 97. Underretningen skal angive kategorien af forpligtelsen og begrundelsen for, at det ikke er muligt at indføre kontraktbestemmelsen. 25. I § 275, stk. 1, indsættes efter 1. pkt. som nyt punktum:»Dette omfatter dog ikke usikrede obligationer og andre former for omsættelig gæld og instrumenter, der skaber eller anerkender en gæld.«. Stk. 2-7. --- Afsnit VIII a. Identifikation af operatører af væsentlige tjenester. 26. Afsnit VIII a ophæves. Kapitel 18 a. Identifikation af operatører af væsentlige tjenester. § 307 a. Finanstilsynet udpeger mindst hvert andet år de penge- og realkreditinstitutter, der er operatører af væsentlige tjenester. Det samme gælder filialer af kreditinstitutter med hjemsted i et andet land inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område. Stk. 2. Finanstilsynet skal i forbindelse med udpegningen efter stk. 1 lægge vægt på, at 1)de tjenester, der leveres, er væsentlige for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter, 2)leveringen af tjenesten afhænger af net- og informationssystemer og 3)en hændelse vil få væsentlige forstyrrende virkninger for leveringen af tjenesten. Stk. 3. Finanstilsynet offentliggør på sin hjemmeside, hvilke penge- og realkreditinstitutter der er udpeget som operatører af væsentlige tjenester. Stk. 4. Finanstilsynet kan fastsætte nærmere regler om udpegning af operatører af væsentlige tjenester og de kriterier, Finanstilsynet kan lægge vægt på efter stk. 1 og 2. Finanstilsynet udarbejder en liste over tjenester, jf. stk. 2, nr. 1. Afsnit IX a. Offentlig forbrugerinformation. 27. Afsnit IX a ophæves og i stedet indsættes:»Afsnit IX aOffentlig forbrugerinformationKapitel 19 a§ 331. Finanstilsynet fremmer den offentlige forbrugerinformation på det finansielle område.Afsnit IX bMarkeder for kryptoaktiverKapitel 19 bDefinitioner§ 332. I denne lov forstås ved:1) Kryptoaktiv: En digital gengivelse af en værdi eller af en rettighed, som kan overføres og lagres elektronisk ved hjælp af distributed ledger-teknologi eller lignende teknologi.2) Aktivbaseret token: En form for kryptoaktiv, der ikke er en elektronisk pengetoken, og som hævdes at bevare en stabil værdi ved at henvise til en anden værdi eller rettighed eller en kombination heraf, herunder en eller flere officielle valutaer.3) Elektronisk pengetoken eller e-pengetoken: En form for kryptoaktiv, som hævdes at bevare en stabil værdi ved at henvise til værdien af en officiel valuta.4) Udsteder af kryptoaktiver: En fysisk eller juridisk person eller en anden virksomhed, der udsteder kryptoaktiver.5) Udbyder af kryptoaktiver: En fysisk eller juridisk person eller en anden virksomhed, eller udstederen, som udbyder kryptoaktiver til offentligheden.6) Udbyder af kryptoaktivtjenester: En juridisk person eller en anden virksomhed, hvis erhverv eller forretning består i at levere en eller flere kryptoaktivtjenester til kunder på et erhvervsmæssigt grundlag, og som har tilladelse til at levere kryptoaktivtjenester i overensstemmelse med artikel 59 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.7) Kryptoaktivtjeneste: En af nedenstående tjenester og aktiviteter vedrørende ethvert kryptoaktiv:a) Levering af deponering og administration af kryptoaktiver på kunders vegne.b) Drift af en handelsplatform for kryptoaktiver.c) Veksling mellem kryptoaktiver og midler.d) Veksling mellem kryptoaktiver og andre kryptoaktiver.e) Udførelse af ordrer vedrørende kryptoaktiver på vegne af kunder.f) Placering af kryptoaktiver.g) Modtagelse og formidling af ordrer vedrørende kryptoaktiver på vegne af kunder.h) Rådgivning om kryptoaktiver.i) Porteføljepleje i forbindelse med kryptoaktiver.j) Levering af tjenester vedrørende overførsel af kryptoaktiver på vegne af kunder.Tilladelse og underretning§ 332 a. En juridisk person eller anden virksomhed, der udbyder aktivbaserede tokens til offentligheden eller anmoder om optagelse af aktivbaserede tokens til handel i EU, skal være udsteder af disse aktivbaserede tokens og have tilladelse af Finanstilsynet i overensstemmelse med artikel 21, jf. artikel 16, stk. 1, litra a, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, jf. dog stk. 2 og 3.Stk. 2. Stk. 1 finder ikke anvendelse på et pengeinstitut, der opfylder kravene i artikel 17 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.Stk. 3. Stk. 1 finder ikke anvendelse på en udsteder af aktivbaserede tokens, som er undtaget efter artikel 16, stk. 2, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, såfremt udstederen giver meddelelse om en hvidbog om kryptoaktiver i overensstemmelse med artikel 19 i samme forordning, og efter anmodning Fra Finanstilsynet giver meddelelse om enhver markedsføringskommunikation til Finanstilsynet.§ 332 b. En person, der udbyder e-pengetokens til offentligheden eller anmoder om optagelse af e-pengetokens til handel i EU, skal være udsteder af disse, være meddelt tilladelse fra Finanstilsynet som pengeinstitut eller e-pengeinstitut og offentliggøre en hvidbog om kryptoaktiver, som Finanstilsynet er blevet underrettet om i overensstemmelse med artikel 51, jf. artikel 48, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.§ 332 c. En juridisk person eller anden virksomhed, der leverer kryptoaktivtjenester i EU, skal have tilladelse af Finanstilsynet efter artikel 63, jf. artikel 59, stk. 1, litra a, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, jf. dog stk. 2.Stk. 2. Stk. 1 finder ikke anvendelse på et pengeinstitut, en værdipapircentral, et fondsmæglerselskab, en markedsoperatør, et e-pengeinstitut, et investeringsforvaltningsselskab eller en forvalter af alternative investeringsfonde, der har tilladelse til at udbyde tjenester som angivet i artikel 60, stk. 1-6, og som har underrettet Finanstilsynet i henhold til artikel 60, stk. 1-6, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, jf. artikel 59, stk. 1, litra b, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.Inddragelse af tilladelse§ 332 d. Finanstilsynet kan inddrage en tilladelse til en udsteder af aktivbaserede tokens efter artikel 24 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.§ 332 e. Finanstilsynet kan inddrage en tilladelse til en udbyder af kryptoaktivtjenester efter artikel 64 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.Indberetning af oplysninger§ 332 f. En udsteder af aktivbaserede tokens omfattet af § 361, stk. 1, nr. 11, skal senest den 1. juli hvert år indberette summen af udstederens gennemsnitlige udestående til Finanstilsynet, jf. stk. 2.Stk. 2. Gennemsnittet af de udestående aktivbaserede tokens beregnes som den samlede markedsværdi af de udestående aktivbaserede tokens, opgjort på baggrund af det daglige udestående ved udgangen af hver dag i de foregående 6 måneder. Opgørelsen foretages den første dag i hver måned. Har virksomheden ikke gennemført 6 måneders drift på datoen for beregningen, anvendes de eventuelt gennemførte måneder med drift og virksomhedens estimater for de gennemsnitlige udestående aktivbaserede tokens for det kommende år som grundlag for beregningen.§ 332 g. En udbyder af kryptoaktivtjenester omfattet af § 361, stk. 1, nr. 12, skal senest den 1. juli hvert år indberette virksomhedens omkostninger til løn, provision og tantieme til Finanstilsynet.Tilsyn§ 332 h. Finanstilsynet, eller hvor kompetencen til at udøve enkelte beføjelser ved lov er tillagt andre danske myndigheder, kan til brug for tilsyn med overholdelsen af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver udøve de beføjelser, der følger af forordningens artikel 94. Dette inkluderer til enhver tid mod behørig legitimation uden retskendelse at kunne få adgang til lokaler og lokaliteter tilhørende udbydere af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens, og personer, der anmoder om optagelse til handel af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens, udstedere af aktivbaserede tokens, udstedere af e-pengetokens og udbydere af kryptoaktivtjenester, med henblik på indhentelse af oplysninger, herunder ved inspektioner.Afsnit IX cKapitel 19 cOperatører af finansielle digitale infrastrukturerUdpegning af operatører af finansielle digitale infrastrukturer§ 333. Finanstilsynet kan udpege en virksomhed, som operatør af finansiel digital infrastruktur, hvis virksomheden opfylder følgende:1) Virksomheden udbyder digital infrastruktur eller forvalter it-tjenester, som nævnt i bilag I, pkt. 8 og 9, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen.2) Virksomhedens væsentligste aktiviteter består i at drive, administrere eller udvikle tjenester, der er nødvendige for kritiske og vigtige forretningsfunktioner i virksomheder, der er omfattet af Europa-Parlamentets og Rådets forordning (EU) 2022/2254 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, som operatører af finansielle digitale infrastrukturer.Stk. 2. Finanstilsynet skal ved udpegningen af en operatør af finansielle digitale infrastrukturer lægge vægt på følgende:1) Omfanget og antallet af virksomheder i den finansielle sektor som virksomheden varetager kritiske og vigtige opgaver for.2) Karakteren af de kritiske og vigtige funktioner, som er afhængige af virksomhedens leverancer.3) Betydningen af operatørens leverancer for den finansielle stabilitet.4) Virksomhedens tilknytning til de virksomheder i den finansielle sektor, som modtager operatørens ydelser, herunder koncernforbindelser og ejerskab.Stk. 3. It-operatører af detailbetalingssystemer og virksomheder, der udfører væsentlig drift eller udvikling for den fælles betalingsinfrastruktur, kan udpeges som operatører af finansielle digitale infrastrukturer.Stk. 4. Finanstilsynet skal på sin hjemmeside offentliggøre, hvilke virksomheder der er udpeget som operatører af finansielle digitale infrastrukturer.Stk. 5. Finanstilsynet kan fastsætte nærmere regler om udpegning af operatører af finansielle digitale infrastrukturer, herunder de kriterier, som Finanstilsynet skal lægge vægt på efter stk. 1 og 2.Foranstaltninger til styring af it- og cyberrisici§ 333 a. En operatør af finansiel digital infrastruktur skal have en forvaltnings- og kontrolramme, der sikrer en effektiv og forsigtig styring af it- og cyberrisici.Stk. 2. En operatør skal som led i rammen for styring af it- og cyberrisici træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risici for sikkerheden i net- og informationssystemer.Stk. 3. Foranstaltningerne nævnt i stk. 2 skal omfatte følgende:1) politikker for risikoanalyse og informationssystemsikkerhed, jf. § 333 d,2) håndtering af hændelser, jf. § 333 f,3) driftskontinuitet, herunder backup-styring og reetablering efter større hændelser og krisestyring, jf. § 333 e, stk. 7,4) forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem operatøren og dens direkte leverandører eller tjenesteudbydere, jf. §§ 333 h-333 j,5) sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder, jf. § 333 e, stk. 2,6) politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici, jf. § 332, stk. 10, og § 333 g,7) grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse, jf. § 333 b, stk. 7, og § 333 e, stk. 4 og 11,8) politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering,9) personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver, og10) brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i infrastrukturen, hvor det er relevant.Stk. 4. En operatør skal, når den overvejer foranstaltninger nævnt i stk. 3, nr. 4, tage hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder, og den generelle kvalitet af deres leverandørers og tjenesteudbyderes produkter og cybersikkerhedspraksis, herunder sikkerheden i deres udviklingsprocedurer. Ved vurderingen skal operatøren desuden tage hensyn til resultaterne af de koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder, der foretages i overensstemmelse med artikel 22, stk. 1, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, hvor det er relevant, og hvor resultaterne af sådanne vurderinger foreligger.Ledelse og organisation§ 333 b. Det øverste ledelsesorgan i en operatør af finansiel digital infrastruktur skal fastlægge, godkende, føre tilsyn med og har ansvaret for gennemførelsen af operatørens ramme, jf. § 333 a, og foranstaltninger efter § 333 b og ordninger for it- og cyberrisikostyring. Det øverste ledelsesorgan skal godkende en strategi for digital operationel modstandsdygtighed, der gennemfører rammen, jf. § 333 a.Stk. 2. Tilsynet med operatørens styring af sine it- og cyberrisici skal placeres i uafhængige kontrolfunktioner. Operatøren skal sikre adskillelse og uafhængighed mellem it- og cyberrisikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner efter modellen med tre forsvarslinjer eller en intern model for risikostyring og kontrol.Stk. 3. En operatør skal dokumentere og gennemgå rammen efter § 333 a mindst en gang om året, samt når der forekommer større IT- eller cyberhændelser, eller som følge af observationer efter test eller revisioner. Gennemgang efter 1. pkt. skal ligeledes foretages efter anmodning fra Finanstilsynet. Gennemgangen af rammen skal operatøren kunne dokumentere i en samlet rapport.Stk. 4. En operatørs interne revision skal regelmæssigt revidere rammen for styring af it- og cyberrisici. Den interne revision skal have tilstrækkelig viden, faglig kompetence og ekspertise til udførelsen af denne opgave.Stk. 5. En operatør skal oprette en funktion med henblik på overvågning af ordninger, der er indgået med tredjepartsudbydere om it-ydelser, eller udpege et direktionsmedlem som ansvarlig for tilsyn og dokumentation i forbindelse med eksponering for it- og cyberrisici fra tredjepartsudbydere.Stk. 6. En operatør skal oprette en funktion til krisestyring, som skal håndtere større it- og cyberhændelser, medfører aktivering af beredskabsplaner, forretningskontinuitetsplaner eller genopretningsplaner. Krisestyringsfunktionen har ansvaret for kommunikation efter 1. pkt.Stk. 7. Medlemmer af det øverste ledelsesorgan af operatøren skal aktivt vedligeholde den viden og de færdigheder, der er nødvendige for at forstå og vurdere it- og cyberrisici og disses indvirkning på driften af operatøren, herunder ved regelmæssigt at følge undervisning, som er passende i forhold til de it- og cyberrisici, som operatøren og dens kunder er eksponeret for.§ 333 c. En operatør af finansiel digital infrastruktur skal dokumentere anvendelsen af sin ramme for styring af it- og cyberrisici på leverancer, der er nødvendige for kritiske og vigtige funktioner hos kunder, såfremt operatøren er datacentral for virksomheder, som er omfattet af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.Styring af it- og cyberrisici§ 333 d. Den ramme for it- og cyberrisikostyring, som en operatør af finansiel digital infrastruktur skal have, jf. § 333 a, skal omfatte en overordnet strategi for digital operationel modstandsdygtighed, der fastsætter, hvordan rammen skal gennemføres.Stk. 2. Operatøren skal med passende mellemrum identificere og vurdere alle væsentlige it- og cyberrisici, som operatøren og dennes ydelser er eksponeret for.Stk. 3. Rammen for it- og cyberrisikostyring skal som minimum omfatte strategier, politikker, procedurer og foranstaltninger, som er nødvendige for at beskytte al fysisk og digital infrastruktur og data i overensstemmelse med de identificerede risici, herunder software, hardware, servere, netværk og relaterede fysiske komponenter og infrastrukturer, såsom lokaler, datacentre og sensitive udpegede områder mod risici.Foranstaltninger til it- og cybersikkerhed§ 333 e. En operatør af finansiel digital infrastrukturs it-systemer, it-protokoller og it-værktøjer skal være pålidelige og med tilstrækkelig kapacitet til rettidigt at håndtere de nødvendige transaktioner m.v. i situationer med spidsbelastning, herunder uventet høje spidsbelastninger.Stk. 2. En operatør skal løbende identificere alle kritiske forretningsfunktioner og it-aktiver, herunder it-aktiver, der understøtter kritiske eller vigtige forretningsfunktioner for operatørens kunder.Stk. 3. En operatør skal identificere alle kritiske eller vigtige forretningsprocesser og tjenester, der er afhængige af eksterne leverandører, og dokumentere egne og kunders afhængigheder af ydelser fra underleverandører.Stk. 4. En operatør skal overvåge og kontrollere it-systemernes og it-værktøjernes funktion og sikkerhed og minimere virkningerne af it- og cyberrisici ved at indføre passende sikkerhedsværktøjer, -politikker og -procedurer. Operatøren skal løbende identificere potentielle sårbarheder og single points of failure.Stk. 5. En operatør skal opretholde et højt niveau af tilgængelighed, autenticitet, integritet og fortrolighed af data, og udforme og gennemføre it-sikkerhedspolitikker, -procedurer, -protokoller og -værktøjer, der er egnede til at sikre modstandsdygtighed, stabilitet og tilgængelighed for it-systemer, der understøtter kritiske eller vigtige funktioner.Stk. 6. En operatør skal indføre mekanismer til overvågning og sporing af anormale aktiviteter, trusler og hændelser i relevant infrastruktur og fastsætte tærskler for igangsættelse af indsats- og beredskabsforanstaltninger.Stk. 7. En operatør skal have en politik for it-driftsstabilitet, som gennemføres ved dokumenterede beredskabsplaner, ordninger, procedurer mv., med henblik på:1) at sikre, at operatørens og dennes kunders kritiske eller vigtige funktioner er stabile,2) at hurtigt, passende og effektivt at sætte ind over for og løse alle it-relaterede hændelser på en måde, der begrænser skaden og prioriterer genoptagelsen af aktiviteter og genopretningstiltag,3) at planer, der omfatter inddæmningsforanstaltninger, der er passende i forhold til hændelserne og som forhindrer yderligere skade, omgående aktiveres4) at anslå foreløbige virkninger, skader og tab, og5) at indføre kommunikations- og krisestyringstiltag, der sikrer, at ajourførte oplysninger videresendes til al relevant internt personale og eksterne interessenter, og indberettes til Finanstilsynet.Stk. 8. En operatør skal have politikker og procedurer for sikkerhedskopiering, der præciserer omfanget af de data, der er genstand for sikkerhedskopiering, og minimumshyppigheden af sikkerhedskopiering baseret på oplysningernes kritiske betydning eller fortrolighedsniveauet for dataene. Operatøren skal endvidere have procedurer og metoder for gendannelse og genopretning efter materiel eller immateriel skade efter væsentlige hændelser.Stk. 9. En operatør skal regelmæssigt teste sine foranstaltninger til beredskab, indsats, genopretning, sikkerhedskopiering og gendannelse.Stk. 10. En operatør skal udvikle politikker for en systematisk læring på baggrund af den viden, som operatøren opnår ved opfølgning på sin ramme for risikostyring, trusselsovervågning, testresultater og it- og cyberhændelser. Den opnåede viden skal danne grundlag for en årlig rapportering til ledelsesorganet med anbefalinger til forbedringer i relevant omfang.Stk. 11. En operatør skal have beredskab for krisekommunikation og ansvarlig offentliggørelse af oplysninger om større cyberhændelser eller væsentlige sårbarheder til berørte parter, herunder kunder, modparter og offentligheden.Styring og indberetning af it- og cyberhændelser§ 333 f. En operatør af finansiel digital infrastruktur skal fastlægge en proces for overvågning, styring og indberetning af it- og cyberhændelser.Stk. 2. En operatør skal registrere alle it- og cyberhændelser og væsentlige cybertrusler. Operatøren skal fastlægge passende procedurer, der sikrer en konsekvent og integreret overvågning, håndtering og opfølgning af it- og cyberhændelser, og at de grundlæggende årsager identificeres, dokumenteres og håndteres.Stk. 3. En operatør skal indberette væsentlige it- og cyberhændelser, jf. stk. 4, til Finanstilsynet og CSIRT’en oprettet i medfør af artikel 10, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen.Stk. 4. En hændelse anses for væsentlig, jf. stk. 3, hvis1) den har forårsaget, eller er i stand til at forårsage, alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for operatøren, eller2) den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig materiel eller immateriel skade.Stk. 5. En operatør skal ved en indberetning, jf. stk. 3, foretage følgende:1) Indsende alle oplysninger, der er nødvendige for Finanstilsynet til at fastslå eventuelle grænseoverskridende virkninger af hændelsen.2) Uden unødigt ophold og under alle omstændigheder inden for 24 timer efter at have fået kendskab til den væsentlige hændelse fremsende en tidlig varsling, som skal angive, om den væsentlige hændelse mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en grænseoverskridende virkning.3) Uden unødigt ophold og under alle omstændigheder inden for 72 timer efter at have fået kendskab til den væsentlige hændelse fremsende en hændelsesunderretning, som skal ajourføre de oplysninger, der er nævnt under nr. 1 og en indledende vurdering af den væsentlige hændelse, herunder dens alvor og indvirkning samt kompromitteringsindikatorerne, hvor sådanne foreligger.4) Efter anmodning fra Finanstilsynet eller fra CSIRT’en fremsende en foreløbig rapport om relevante statusopdateringer.5) Fremsende en endelig rapport senest en måned efter forelæggelsen af den hændelsesunderretning, der er nævnt i nr. 2, der skal omfatte følgende:a) En detaljeret beskrivelse af hændelsen, herunder dens alvor og indvirkning.b) Den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen.c) Anvendte og igangværende afbødende foranstaltninger.d) Oplysninger om eventuelle grænseoverskridende virkninger af hændelsen.6) Forelægge en statusrapport for Finanstilsynet og CSIRT’en senest en måned efter forelæggelsen af den hændelsesunderretning, der er nævnt i nr. 2, hvis hændelsen fortsat pågår på dette tidspunkt, og en endelig rapport senest en måned efter operatørens håndtering af hændelsen.Stk. 6. En operatør skal, hvor det er relevant, uden unødigt ophold underrette modtagere af operatørens tjenester om væsentlige hændelser, der sandsynligvis vil påvirke leveringen af disse tjenester negativt.Stk. 7. En operatør skal uden unødigt ophold underrette modtagere af deres tjenester, som potentielt er berørt af en væsentlig cybertrussel, om eventuelle foranstaltninger eller modforholdsregler, som disse modtagere kan træffe som reaktion på den pågældende trussel. Operatøren skal også informere de pågældende modtagere om den konkrete væsentlige cybertrussel, hvor dette er relevant.Stk. 8. En operatør kan underrette Finanstilsynet om væsentlige cybertrusler, når den anser truslen for at være relevant for det finansielle system, tjenestebrugere eller kunder.Trusselsbaseret penetrationstest§ 333 g. En operatør af finansiel digital infrastruktur skal løbende teste effektiviteten af sine foranstaltninger til sikring mod it- og cyberhændelser, der har eller kan have skadelige virkninger på virksomhedens drift.Stk. 2. En operatør skal have et program for test af digital operationel modstandsdygtighed, som er passende i forhold til de identificerede risici og er integreret med operatørens ramme for it- og cyberrisikostyring, jf. § 333 a.Stk. 3. En operatør kan pålægges at gennemgå trusselsbaserede penetrationstest i overensstemmelse med de regler, der gælder for virksomheder omfattet af kapitel IV i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og retsakter udstedt i medfør heraf.Stk. 4. Vurderingen af, i hvilket omfang en operatør skal gennemføre penetrationstests, jf. stk. 3, skal foretages ud fra1) virkningsrelaterede faktorer, navnlig i hvilket omfang de tjenester, der leveres, og de aktiviteter, der udføres af operatøren, indvirker på den finansielle sektor,2) eventuelle betænkeligheder vedrørende finansiel stabilitet, herunder operatørens systemiske karakter, og3) operatørens specifikke it-risikoprofil, grad af it-modenhed eller de teknologiske kendetegn, der er involveret.Tredjepartsrisici§ 333 h. En operatør af finansiel digital infrastruktur skal styre sine it- og cyberrisici, der er relateret til brug af it-tjenester fra tredjeparter som en integreret del af sin ramme for it- og cyberrisikostyring, jf. § 333 a.Stk. 2. En operatør, der har overladt driften af en forretningsfunktion til en leverandør, har til enhver tid det fulde ansvar for at overholde og opfylde alle forpligtelser i henhold til denne lov.Stk. 3. En operatør skal regelmæssigt gennemgå de risici, der er forbundet med brugen af it-tredjepartsudbydere.Stk. 4. En operatør skal vedtage og regelmæssigt gennemgå en strategi for sine it-tredjepartsrisici. Strategien for it-tredjepartsrisici skal omfatte en politik for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og som leveres af tredjepartsudbydere.Stk. 5. En operatør skal opretholde og ajourføre et register over oplysninger om alle ordninger for brugen af it-tjenester, der leveres af tredjepartsudbydere. Operatøren skal underrette Finanstilsynet om enhver planlagt kontraktlig ordning for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og når en funktion er blevet kritisk eller vigtig.Stk. 6. Inden en operatør indgår en kontraktlig ordning for brugen af it-tjenester, skal operatøren1) vurdere, om den kontraktlige ordning omfatter brugen af it-tjenester, der understøtter en kritisk eller vigtig funktion,2) vurdere om de tilsynsmæssige betingelser for udlicitering er opfyldt,3) identificere og vurdere alle relevante risici i forbindelse med den kontraktlige ordning, herunder muligheden for at sådanne kontraktlige ordninger kan bidrage til at øge it-koncentrationsrisikoen,4) foretage fornøden due diligence over for potentielle tredjepartsudbydere af it-tjenester og under udvælgelses- og vurderingsprocessen sikre, at den pågældende tredjepartsudbyder af it-tjenester er egnet og5) identificere og vurdere interessekonflikter, som den kontraktlige ordning kan give anledning til.Stk. 7. Når en operatør indgår it-kontrakter, der relaterer sig til kritiske og vigtige funktioner, skal operatøren sikre, at den har passende adgangs-, inspektions- og revisionsrettigheder over for tredjepartsudbyderen af it-tjenester. Operatøren skal, på grundlag af en risikobaseret tilgang, fastsætte hyppigheden af revisioner og inspektioner samt de områder, der skal underkastes revision.Stk. 8. En operatør af skal sikre, at de kontraktlige ordninger for brugen af it-tjenester som minimum kan opsiges i enhver af følgende situationer:1) Tredjepartsudbyderen begår en væsentlig overtrædelse af gældende lovgivning eller kontraktvilkår.2) Operatøren identificerer forhold under overvågningen af it-tredjepartsrisici, som kan ændre udførelsen af de funktioner, der er leveret gennem den kontraktlige ordning, herunder væsentlige ændringer, der påvirker ordningen eller situationen for tredjepartsudbyderen af it-tjenester.3) Operatøren dokumenterer svagheder hos tredjepartsudbyderen af it-tjenester, som vedrører dennes samlede it-risikostyring.4) Finanstilsynet ikke længere kan føre effektivt tilsyn med operatøren som følge af betingelserne eller omstændighederne vedrørende de respektive kontraktlige ordninger.Stk. 9. En operatør skal indføre exitstrategier for it-tjenester, der understøtter kritiske eller vigtige funktioner. Exitstrategierne skal tage højde for de risici, der kan opstå hos tredjepartsudbydere af it-tjenester, herunder1) mulige svigt fra tredjepartsudbyderens side,2) en forringelse af kvaliteten af de leverede it-tjenester,3) eventuelle driftsforstyrrelser som følge af uhensigtsmæssig eller manglende levering af it-tjenester,4) eventuelle væsentlige risici i forbindelse med en passende og løbende anvendelse af de pågældende it-tjenester, eller5) opsigelse af kontraktlige ordninger med tredjepartsudbydere af it-tjenester i en af de i stk. 8 anførte situationer.Stk. 10. En operatør skal indføre passende beredskabsforanstaltninger for at opretholde driftsstabiliteten i tilfælde af, at de omstændigheder, der er nævnt i stk. 9, nr. 1-5, indtræder.Stk. 11. En operatør af finansiel digital infrastruktur skal sikre, at den kan opsige kontraktlige ordninger, uden1) at dens forretningsaktiviteter afbrydes,2) at efterlevelsen af de lovgivningsmæssige krav begrænses, og3) at kontinuiteten og kvaliteten af de leverede tjenester til kunder lider skade.Stk. 12. Exitstrategierne skal være dokumenterede, proportionale, testet i tilstrækkeligt omfang og gennemgået regelmæssigt.Stk. 13. En operatør skal identificere alternative løsninger og udarbejde overgangsplaner, så den kan fratage tredjepartsudbyderen af it-tjenester de relevante it-tjenester og de relevante data og sikkert og fuldstændigt kan overføre disse til alternative udbydere eller indarbejde dem internt.Koncentrationsrisici§ 333 i. Når en operatør af finansiel digital infrastruktur foretager identifikation og vurdering af de risici, der er nævnt i § 333 h, stk. 6, nr. 3, skal operatøren tage hensyn til, hvorvidt den påtænkte indgåelse af en kontraktlig ordning, der understøtter kritiske eller vigtige funktioner for de tilsluttede virksomheder, vil føre til1) henlæggelse af funktioner til en tredjepartsudbyder af it-tjenester, som ikke er lette at erstatte, eller2) indgåelse af flere kontraktlige ordninger om levering af it-tjenester, der understøtter kritiske eller vigtige funktioner, med den samme tredjepartsudbyder af it-tjenester eller med tredjepartsudbydere af it-tjenester, som har tætte forbindelser til denne.Centrale kontraktsbestemmelser§ 333 j. Rettigheder og forpligtelser for en operatør af finansiel digital infrastruktur og for tredjepartsudbyderen af it-tjenester skal fordeles klart og fastlægges skriftligt. Den samlede kontrakt skal omfatte serviceniveauaftaler og dokumenteres i et samlet dokument, som parterne skal have adgang til i et varigt og tilgængeligt format.Stk. 2. De kontraktlige ordninger for brugen af it-tjenester skal mindst omfatte følgende elementer:1) En klar og fuldstændig beskrivelse af alle funktioner og it-tjenester, som tredjepartsudbyderen skal levere, med angivelse af om underentreprise af en it-tjeneste, der understøtter en kritisk eller vigtig funktion eller væsentlige dele heraf, er tilladt, og hvis det er tilfældet, de betingelser, der gælder for en sådan underentreprise.2) En angivelse af de steder, navnlig de regioner eller lande, hvor de udliciterede funktioner og it-tjenester eller funktionerne og it-tjenesterne i underentreprise skal leveres, hvor data skal behandles, herunder lagringsstedet, og krav om, at tredjepartsudbyderen på forhånd skal underrette operatøren, hvis den har planer om at ændre disse steder.3) Bestemmelser om tilgængelighed, autenticitet, integritet og fortrolighed med hensyn til databeskyttelse, herunder personoplysninger.4) Bestemmelser om sikring af adgang, genopretning og tilbagelevering af data i et tilgængeligt format i tilfælde af insolvens, afvikling eller afbrydelse af de forretningsaktiviteter, som tredjepartsudbyderen varetager, eller i tilfælde af opsigelse af kontrakten.5) Beskrivelser af serviceniveauet, herunder ajourføringer og revisioner heraf.6) En forpligtelse for tredjepartsudbyderen til at yde bistand til operatøren uden yderligere omkostninger eller til en omkostning, der fastsættes på forhånd, hvis der opstår en it-hændelse, der vedrører den it-tjeneste, som leveres til operatøren.7) En forpligtelse for tredjepartsudbyderen til at samarbejde fuldt ud med Finanstilsynet og afviklingsmyndigheder, herunder personer, som myndighederne har udpeget.8) Opsigelsesrettigheder og dertil knyttede minimumsfrister for opsigelse af de kontraktlige ordninger.Stk. 3. De kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, skal ud over de elementer, der er nævnt i stk. 2, mindst omfatte følgende:1) En fuldstændig beskrivelse af serviceniveauer, herunder ajourføringer og revisioner heraf, med præcise kvantitative og kvalitative præstationsmål inden for de aftalte serviceniveauer, så operatøren kan foretage en effektiv overvågning af it-tjenester, og uden unødigt ophold træffe passende afhjælpende foranstaltninger, når de aftalte serviceniveauer ikke overholdes.2) Opsigelsesfrister og indberetningsforpligtelser for tredjepartsudbyderen af it-tjenester over for operatøren, herunder underretning om enhver udvikling, som kan have væsentlig indvirkning på, hvorvidt tredjepartsudbyderen har evnen til effektivt at levere it-tjenester, der understøtter kritiske eller vigtige funktioner i overensstemmelse med de aftalte serviceniveauer.3) Krav til tredjepartsudbyderen om at gennemføre og teste beredskabsplaner og indføre it-sikkerhedsforanstaltninger, -værktøjer og -politikker, som giver et passende niveau af sikkerhed for, at operatøren kan levere sine tjenester.4) En forpligtelse for tredjepartsudbyderen til at deltage i og fuldt ud samarbejde om operatørens trusselsbaserede penetrationstest, jf. § 333 g, stk. 3.5) En ret til løbende at overvåge tredjepartsudbyderens opgavevaretagelse og risikostyring, herunder adgangs-, inspektions- og revisionsrettigheder for operatøren, Finanstilsynet eller udpegede tredjeparter og adgang til nødvendig information og dokumentation.6) Exitstrategier, herunder indførelse af en obligatorisk passende overgangsperiodea) i løbet af hvilken tredjepartsudbyderen fortsat leverer de respektive funktioner eller it-tjenester med henblik på at mindske risikoen for forstyrrelser i operatøren eller sikre en effektiv afvikling eller omstrukturering heraf, ogb) som giver operatøren mulighed for at migrere til en anden tredjepartsudbyder, eller skifte til interne løsninger, der stemmer overens med den leverede tjenestes kompleksitet.Informationsudveksling§ 333 k. En operatør af finansiel digital infrastruktur kan udveksle oplysninger og efterretninger om cybertrusler i overensstemmelse med reglerne i kapitel VI, i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, og indgå i ordninger oprettet i henhold forordningens artikel 45, stk. 2. En operatør af finansiel digital infrastruktur kan ligeledes udveksle relevante cybersikkerhedsoplysninger i overensstemmelse med reglerne i kapitel VI, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, og indgå i ordninger oprettet i overensstemmelse hermed.Stk. 2. En operatør skal underrette Finanstilsynet om sin deltagelse i de ordninger, der er nævnt i stk. 1, og i tilfælde af udtrædelse af sådanne ordninger.Oplysning til Finanstilsynet§ 333 l. En operatør af finansiel digital infrastruktur skal oplyse Finanstilsynet om følgende:1) Operatørens navn.2) Adressen på operatørens hovedforretningssted og dens andre retlige forretningssteder i Den Europæiske Union.3) Den relevante sektor og delsektor samt typen af enhed, som nævnt i bilag I, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen.4) Operatørens kontaktoplysninger, herunder e-mailadresser, IP-intervaller og telefonnumre på operatøren.5) De medlemsstater, hvor operatøren leverer tjenester.Stk. 2. Ved ændring af oplysningerne i stk. 1 skal operatøren straks og senest tre måneder efter ændringen underrette Finanstilsynet herom.Tilsyn m.v.§ 333 m. Kapitel 21 og 23 og regler udstedt i medfør af disse kapitler finder anvendelse for operatører af finansielle digitale infrastrukturer med de nødvendige tilpasninger.§ 333 n. Finanstilsynet har beføjelse til følgende:1) Pålægge en operatør af finansiel digital infrastruktur regelmæssige og målrettede sikkerhedsaudits udført af et kvalificeret uafhængigt organ eller en kompetent myndighed og at afholde udgifterne hertil.2) Pålægge en operatør af finansiel digital infrastruktur ad hoc-audits, herunder hvor det er berettiget på grund af en væsentlig hændelse eller en overtrædelse af reglerne i denne lov fra operatørens side.3) Pålægge en operatør af finansiel digital infrastruktur sikkerhedsscanninger baseret på objektive, ikke-diskriminerende, fair og gennemsigtige risikovurderingskriterier, hvor det er nødvendigt i samarbejde med den berørte operatør.4) Udstede advarsler om en operatørs overtrædelse af denne lov.5) Udpege en overvågningsansvarlig med veldefinerede opgaver til i en nærmere fastsat periode at føre tilsyn med en operatørs overholdelse af §§ 333 a og 333 f.§ 333 o. Efterkommer en operatør af finansiel digital infrastruktur ikke Finanstilsynets påbud i medfør af denne lov, og efterkommer operatøren ikke påbuddet inden en fornyet frist, som Finanstilsynet efterfølgende sætter, kan Finanstilsynet træffe afgørelse om følgende:1) Midlertidigt at suspendere en myndighedsudstedt certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, operatøren leverer, eller aktiviteter, der udføres af operatøren.2) Midlertidigt at forbyde enhver fysisk person med ledelsesansvar på direktionsniveau eller juridisk repræsentant i operatøren at udøve ledelsesfunktioner i denne.Stk. 2. Midlertidige suspensioner eller forbud, som er pålagt i medfør af stk. 1, kan kun anvendes, indtil operatøren træffer de nødvendige foranstaltninger til at afhjælpe de mangler eller opfylde de krav, som gav anledning til, at foranstaltningerne i medfør af stk. 1, blev anvendt.Stk. 3. En afgørelse efter stk. 1 kan af eller den fysiske person, afgørelsen vedrører, forlanges indbragt for domstolene. Sagen anlægges i den borgerlige retsplejes former.Bemyndigelse§ 333 p. Finanstilsynet kan fastsætte nærmere regler om it- og cyberrisikostyring og kontrol- og sikringsforanstaltninger i en operatør af finansiel digital infrastruktur, herunder om følgende:1) Indholdet af rammerne for styring af it- og cyberrisici, jf. § 333 a, og om indholdet af strategier og politikker på området for digital operationel modstandsdygtighed.2) Det øverste ledelsesorgans opgaver i forbindelse med styringen af it- og cyberrisici.3) Operatører af finansielle digitale infrastrukturers rapportering af væsentlige hændelser og cybertrusler.4) Test, herunder eksterne test, af en operatør af finansielle digitale infrastrukturers cybersikkerhed.5) Krav til testere af en operatør af finansielle digitale infrastrukturers cybersikkerhed.6) Styring og rapportering af tredjepartsrisici.7) Obligatorisk brug af særlige sikkerhedscertificerede produkter eller tjenesteydelser.8) Den interne og eksterne systemrevision i operatører af finansielle digitale infrastrukturer.« Kapitel 19 a. Offentlig forbrugerinformation. § 333 a. Finanstilsynet fremmer den offentlige forbrugerinformation på det finansielle område. Afsnit X c. Fælles datacentraler. 29. Afsnit X c ophæves. Kapitel 20 c. Fælles datacentraler. § 343 q. Ved fælles datacentraler forstås i denne lov virksomheder, hvis væsentligste aktiviteter omfatter it-drifts- eller udviklingsopgaver for flere finansielle virksomheder, finansielle holdingvirksomheder, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder, og som overvejende er ejet af 1)en eller flere finansielle virksomheder, finansielle holdingvirksomheder eller sådanne virksomheders dattervirksomheder i forening eller 2)en eller flere foreninger, hvis medlemmer overvejende er finansielle virksomheder, finansielle holdingvirksomheder eller sådanne virksomheders dattervirksomheder. Stk. 2. Reglerne for fælles datacentraler i denne lov gælder også for datacentraler, der udfører både væsentlig it-drift og it-udvikling for den fælles betalingsinfrastruktur. 1. pkt. gælder ikke for datacentraler, der har tilladelse som it-operatør af et detailbetalingssystem, jf. § 180 a, stk. 1, i lov om kapitalmarkeder. Stk. 3. Finanstilsynet kan undtagelsesvis, hvis særlige grunde gør sig gældende, dispensere fra stk. 1 og 2. Dispensationer skal være tidsbegrænsede, men kan fornyes. § 343 r. § 71, stk. 1, nr. 8, om betryggende kontrol- og sikringsforanstaltninger på it-området finder tilsvarende anvendelse for fælles datacentraler. Stk. 2. Reglerne om betryggende kontrol- og sikringsforanstaltninger på it-området, der er udstedt i medfør af denne lovs § 71, stk. 3, finder tilsvarende anvendelse for fælles datacentraler. Stk. 3. Reglerne om outsourcing udstedt i medfør af § 72 a finder tilsvarende anvendelse for fælles datacentraler, hvis de fælles datacentraler outsourcer it-opgaver, der udføres for virksomheder omfattet af lovens § 5, stk. 1. Stk. 4. §§ 6, 6 a og 6 b om digital kommunikation finder tilsvarende anvendelse for fælles datacentraler. Stk. 5. Kapitel 21 og 23 og regler udstedt i medfør af disse kapitler finder med de fornødne tilpasninger tilsvarende anvendelse for fælles datacentraler. § 344. Finanstilsynet påser overholdelsen af Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, forordninger og regler udstedt i medfør af Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 om et regelsæt for genopretning og afvikling af kreditinstitutter og investeringsselskaber, Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter, Kommissionens delegerede forordning 2017/565/EU af 25. april 2016 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2014/65/EU for så vidt angår de organisatoriske krav til og vilkårene for drift af investeringsselskaber samt definitioner af begreber med henblik på nævnte direktiv, Rådets forordning 2017/1509/EU af 30. august 2017 om restriktive foranstaltninger over for Den Demokratiske Folkerepublik Korea, Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering, Europa-Parlamentets og Rådets forordning 2019/1156/EU af 20. juni 2019 om lettere grænseoverskridende distribution af kollektive investeringsinstitutter og om ændring af forordning (EU) nr. 345/2013, (EU) nr. 346/2013 og (EU) nr. 1286/2014, Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser, Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf, og denne lov og af de regler, der er udstedt i medfør af loven, undtagen § 75 b og § 77, stk. l og 2. Dog påser Erhvervsstyrelsen overholdelsen af § 15, stk. 1, 2 og 4, og §§ 83, 87 og 91. Finanstilsynet kontrollerer, at reglerne for finansiel information i årsrapporter og delårsrapporter i §§ 183-193 og i regler udstedt i medfør af § 196 er overholdt for finansielle virksomheder, som har udstedt omsættelige værdipapirer, der er optaget til handel på et reguleret marked, jf. § 213, stk. 1-5 og 8, i lov om kapitalmarkeder. Finanstilsynet er endvidere ansvarligt for tilsynet efter § 32, stk. 4, nr. 1, jf. § 32, stk. 7, i revisorloven, for så vidt angår virksomheder underlagt tilsyn af Finanstilsynet. 30. I § 344, stk. 1, 1. pkt., indsættes efter »bæredygtige investeringer«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«. Stk. 2-12. --- 31. Efter § 344 e indsættes:»§ 344 f. Erhvervsministeren kan fastsætte regler om udpegelse af en myndighed til at varetage TLPT-relaterede anliggender i henhold til artikel 26, stk. 9, i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og for operatører af finansielle digitale infrastrukturer, jf. § 333.« § 347. --- Stk. 2. --- Stk. 3. Finanstilsynet kan til enhver tid mod behørig legitimation uden retskendelse få adgang til en finansiel virksomhed og dens filialer, en finansiel holdingvirksomhed eller en fælles datacentral med henblik på indhentelse af oplysninger, herunder ved inspektioner. 32. I § 347, stk. 3, ændres »en fælles datacentral« til: »en operatør af finansiel digital infrastruktur«, Stk. 4-8. --- § 347 b. Finanstilsynet kan påbyde en finansiel virksomhed eller en finansiel holdingvirksomhed at lade foretage og afholde udgifterne til en uvildig undersøgelse af et eller flere forhold i den finansielle virksomhed, den finansielle holdingvirksomhed eller den fælles datacentral, såfremt Finanstilsynet vurderer, at dette er af væsentlig betydning for tilsynet med virksomheden, og der ikke er tale om en for Finanstilsynet sædvanligt forekommende undersøgelse. Resultatet af den uvildige undersøgelse skal afgives i en skriftlig rapport, som skal foreligge inden for et af Finanstilsynet fastsat tidspunkt. Finanstilsynet kan bestemme, at de sagkyndige personer, jf. stk. 2-6, løbende skal foretage afrapportering til Finanstilsynet om forhold i forbindelse med undersøgelsen. Det samme gælder for filialer omfattet af § 1, stk. 3 og 4. 33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres », den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«. Stk. 2. Den uvildige undersøgelse 3155 skal foretages af en eller flere sagkyndige personer. Den finansielle virksomhed, den finansielle holdingvirksomhed eller den fælles datacentral udpeger de sagkyndige personer inden for en af Finanstilsynet fastsat frist. Finanstilsynet skal godkende de foreslåede sagkyndige personer. 33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres », den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«. Stk. 3. Den finansielle virksomhed, den finansielle holdingvirksomhed eller den fælles datacentral skal give de sagkyndige personer de oplysninger, der er nødvendige for gennemførelsen af den uvildige undersøgelse. 33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres », den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«. Stk. 4. De sagkyndige personer skal udlevere en kopi af den skriftlige rapport om undersøgelsen til Finanstilsynet, senest samtidig med at rapporten udleveres til den finansielle virksomhed, den finansielle holdingvirksomhed eller den fælles datacentral. 33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres », den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«. Stk. 5. --- Stk. 6. Hvis den sagkyndige person på grund af dennes særlige forhold ikke kan videregive oplysningerne i henhold til stk. 4 og 5 til Finanstilsynet, kan underretning af Finanstilsynet ske af andre end den sagkyndige person, herunder af den finansielle virksomhed, den finansielle holdningvirksomhed eller den fælles datacentral. 33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres »den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«. § 348. --- Stk. 2. Finanstilsynet kan give påbud om berigtigelse af forhold, der er i strid med §§ 43 og 57. Finanstilsynet kan i den forbindelse foretage inspektionsbesøg i filialer af administrationsselskaber. 34. I § 348, stk. 2, 1. pkt., ændres »§§ 43 og 57« til: »§ 43«. § 351. --- Stk. 2-7. --- Stk. 8. Finanstilsynet kan af egen drift eller efter ansøgning tilbagekalde et påbud meddelt efter stk. 2 og 3, og stk. 5, 3. pkt. Afslår Finanstilsynet en ansøgning om tilbagekaldelse, kan ansøgeren forlange afslaget indbragt for domstolene. Anmodning herom skal indgives til Finanstilsynet, inden 4 uger efter at afslaget er meddelt den pågældende. Anmodning om domstolsprøvelse kan dog kun fremsættes, hvis påbuddet ikke er tidsbegrænset og der er forløbet mindst 5 år fra datoen for udstedelsen af påbuddet, eller mindst 2 år efter at Finanstilsynets afslag på tilbagekaldelse er stadfæstet ved dom. 35. I § 351, stk. 8, 1. pkt., ændres »stk. 5, 3. pkt.« til: »stk. 5, 5. pkt.« Stk. 9 og 10. --- § 354. --- Stk. 2-5. --- Stk. 6. Bestemmelsen i stk. 1 er ikke til hinder for, at fortrolige oplysninger videregives til: 1-49) --- 36. I § 354, stk. 6, indsættes som nr. 50:»50) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af, at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.« Stk. 7-16. --- § 354 e. --- Stk. 2. Offentliggørelse, jf. stk. 1, skal ske i sager om overtrædelse af § 7, stk. 1, § 61, stk. 1, §§ 61 b og 61 c, § 71, stk. 1, § 71 a, stk. 1 og stk. 2, 1. pkt., § 71 b, stk. 1, § 71 c, stk. 1, 2. pkt., § 77 d, stk. 1, § 125 b, stk. 1-4 og 6, § 125 d, § 125 e, stk. 1, jf. § 125 b, stk. 1-4 og 6, § 182 b, stk. 1-3, §§ 182 c og 182 d, § 182 e, stk. 1-3, §§ 182 f, 259 a og 261, § 264, stk. 2, 3 og 5, § 264 a, § 265, stk. 2, 4 og 7, § 265 a, stk. 2, § 266, § 267, stk. 1, §§ 267 b og 267 c, § 267 d, stk. 1, § 268, §§ 269 a-269 e, § 272, stk. 7, § 274, stk. 1 og 2, § 275, stk. 1, 2, 4 og 5, § 276, stk. 1, § 313, stk. 1, og artikel 28 og 51, jf. artikel 52, 63 og 92, stk. 1, artikel 99, stk. 1, artikel 101, stk. 1 og 2, artikel 394, stk. 1, artikel 395, artikel 405, stk. 1, artikel 412, stk. 1, artikel 415, stk. 1 og 2, artikel 430, stk. 1, 1. afsnit, 1. pkt., og 2. afsnit, artikel 431, stk. 1-3, artikel 435 og artikel 451, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter. Offentliggørelse, jf. stk. 1, skal ligeledes ske i sager om overtrædelse af Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter. 37. To steder i § 354 e, stk. 2, 1. pkt., og to steder i § 373, stk. 1 og 10, ændres »§ 125 b, stk. 1-4 og 6« til: »§ 125 b, stk. 3-5 og 8«.38. I § 354 e, stk. 2, 2. pkt., indsættes efter »finansielle instrumenter«: »og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. § 354 h. Finanstilsynet kan efter høring af den virksomhed, der underretter Finanstilsynet og Center for Cybersikkerhed om en hændelse, som har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer, orientere offentligheden om hændelsen, hvis offentlighedens kendskab hertil er nødvendig for at forebygge eller håndtere en igangværende hændelse. 3399 Offentliggørelsen må ikke indeholde fortrolige oplysninger om kundeforhold eller oplysninger omfattet af § 30 i lov om offentlighed i forvaltningen. 3400 Offentliggørelsen må ikke indeholde fortrolige oplysninger, der hidrører fra finansielle tilsynsmyndigheder i andre lande inden for eller uden for Den Europæiske Union, medmindre de myndigheder, der har afgivet oplysningerne, har givet deres udtrykkelige tilladelse. 39. § 354 h ophæves. § 355. Som part i forhold til Finanstilsynet anses den finansielle virksomhed, den finansielle holdingvirksomhed, den blandede holdingvirksomhed, den udenlandske finansielle virksomhed eller den udenlandske finansielle holdingvirksomhed, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af denne lov, forskrifter fastsat i medfør af denne lov, Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber og forordninger og regler udstedt i medfør af Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf, jf. dog stk. 2 og 3. 40. I § 355, stk. 1, ændres » og Europa-Parlamentets og Rådets forordning 2020/852/EU« til: », Europa-Parlamentets og Rådets forordning 2020/852/EU«, og efter »investeringer og regler udstedt i medfør heraf« indsættes: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf«. Stk. 2-7. --- § 361. Følgende fysiske og juridiske personer omfattet af denne lov og lov om forsikringsvirksomhed betaler årligt et grundbeløb til Finanstilsynet: 1-3) --- 4)En fælles datacentral betaler 119.000 kr. Har en fælles datacentral i et regnskabsår gennemsnitligt færre end 25 fuldtidsansatte, betaler den fælles datacentral dog 2.200 kr. 41. § 361, stk. 1, nr. 4, affattes således:» 4) En operatør af finansiel digital infrastruktur betaler 119.000 kr. Har operatøren i et regnskabsår gennemsnitligt færre end 25 fuldtidsansatte, betaler operatøren dog 2.200 kr. 1. og 2. pkt. finder ikke anvendelse på en it-operatør af et detailbetalingssystem, der er udpeget som operatør af finansiel digital infrastruktur.« 5-10) --- 42. I § 361, stk. 1, indsættes som nr. 11 og 12:»11) En udsteder af aktivbaserede tokens, der er meddelt tilladelse af Finanstilsynet i henhold til § 332 a, stk. 1, betaler årligt til Finanstilsynet følgende:a) 35.000 kr., når summen af udstederens gennemsnitlige udestående aktivbaserede tokens i 2. halvår af det foregående kalenderår og 1. halvår af det indeværende kalenderår er mindre end 100 mio. kr.b) 100.000 kr., når summen af udstederens gennemsnitlige udestående aktivbaserede tokens i 2. halvår af det foregående kalenderår og 1. halvår af det indeværende kalenderår er mellem 100 mio. kr. og 1 mia. kr.c) 600.000 kr., når summen af udstederens gennemsnitlige udestående aktivbaserede tokens i 2. halvår af det foregående kalenderår og 1. halvår af det indeværende kalenderår er større end 1 mia. kr.12) En udbyder af kryptoaktivtjenester, der er meddelt tilladelse af Finanstilsynet i henhold til § 332 c, stk. 1, betaler årligt et grundbeløb til Finanstilsynet på 12,5 promille af deres omkostninger til løn, provision og tantieme, dog minimum 20.000 kr.« Stk. 2-5. --- Stk. 6. Følgende fysiske og juridiske personer omfattet af hvidvaskloven betaler årligt et grundbeløb til Finanstilsynet: 1)Virksomheder og personer omfattet af § 1, stk. 1, nr. 8 og 22-26, i hvidvaskloven betaler 4.400 kr. 43. I § 361, stk. 6, nr. 1, udgår »og 22-26«. 2) --- Stk. 7. Følgende fysiske og juridiske personer omfattet af lov om forvaltere af alternative investeringsfonde m.v. betaler årligt et grundbeløb til Finanstilsynet: 1-3) --- 44. I § 361, stk. 7, indsættes efter nr. 3 som nyt nummer:»4) Forvaltere af alternative investeringsfonde med registreret hjemsted i et tredjeland, som i henhold til § 130 i lov om forvaltere af alternative investeringsfonde m.v. har tilladelse til markedsføring i Danmark af andele i en alternativ investeringsfond fra et andet land inden for Den Europæiske Union eller et land, som Unionen har indgået aftale med på det finansielle område, betaler et årligt grundbeløb til Finanstilsynet på 8.000 kr.« 4 og 5) --- Stk. 8-11. --- Stk. 12. Kreditservicevirksomheder omfattet af lov om kreditservicevirksomheder og kreditkøbere betaler årligt et grundbeløb til Finanstilsynet på 16.700 kr. 45. I § 361, stk. 13, ændres »Grundbeløb, jf. stk. 1-12,« til: »Faste beløb i dette kapitel«. Stk. 13. --- § 368. Beregning af afgifter fra virksomheder omfattet af § 360, stk. 3, og §§ 362-367 foretages på grundlag af oplysninger i den for seneste regnskabsår aflagte årsrapport eller i mangel af en sådan den senest indsendte regnskabsindberetning. For så vidt angår forsikringsformidlere, foregår beregningen på grundlag af den senest indsendte indtægtsspecifikation. For så vidt angår crowdfundingtjenesteudbydere, foregår beregningen på grundlag af den senest indsendte indberetning efter § 343 c, medmindre en crowdfundingtjenesteudbyder skal betale afgift efter § 361, stk. 1, nr. 10. 46. I § 368, stk. 1, indsættes som 4. og 5. pkt.:»For så vidt angår udstedere af aktivbaserede tokens, foregår beregningen på grundlag af den senest indsendte indberetning efter § 332 f. For så vidt angår udbydere af kryptoaktivtjenester, foregår beregningen på grundlag af den senest indsendte indberetning efter § 332 g.« Stk. 2-5. --- § 372. Afgørelser truffet af Finanstilsynet eller Erhvervsstyrelsen i henhold til denne lov og regler udstedt i medfør af denne lov og Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, eller regler udstedt i medfør af forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 om et regelsæt for genopretning og afvikling af kreditinstitutter, forordninger og regler udstedt i medfør af Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning 2020/1503/EU af 7. oktober 2020 om europæiske crowdfundingtjenesteudbydere for erhvervslivet og regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning (EU) 2019/1238 af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt) og regler udstedt i medfør heraf, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2016/97 af 20. januar 2016 om forsikringsdistribution og regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning (EU) nr. 1286/2014 af 26. november 2014 om dokumenter med central information om sammensatte forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP'er) og regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning (EU) 2017/2402 af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf, kan af den, som afgørelsen retter sig til, indbringes for Erhvervsankenævnet senest 4 uger efter, at afgørelsen er meddelt den pågældende. 47. I § 372, stk. 1, ændres »securitisering og regler udstedt i medfør heraf og« til: »securitisering og regler udstedt i medfør heraf,«, og efter »investeringer og regler udstedt i medfør heraf,« indsættes: »Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver samt regler udstedt i medfør heraf,«. Stk. 2-4. --- § 372 a. Erhvervsministeren kan fastsætte regler, som er nødvendige for at anvende eller gennemføre de afgørelser eller retsakter, som vedtages af Europa-Kommissionen i medfør af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber, Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 om et regelsæt for genopretning og afvikling af kreditinstitutter og investeringsselskaber, Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser, Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer, og Europa-Parlamentets og Rådets forordning 2020/1503/EU af 7. oktober 2020 om europæiske crowdfundingtjenesteudbydere for erhvervslivet, Europa-Parlamentets og Rådets direktiv 2014/51/EU af 16. april 2014 om ændring af direktiv 2003/71/EF og 2009/138/EF samt forordning nr. 1060/2009/EF, nr. 1094/2010/EU og nr. 1095/2010/EU for så vidt angår de beføjelser, der er tillagt den europæiske tilsynsmyndighed (Den Europæiske Tilsynsmyndighed for Forsikrings- og Arbejdsmarkedspensionsordninger) og den europæiske tilsynsmyndighed (Den Europæiske Værdipapirtilsynsmyndighed), Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering og Europa-Parlamentets og Rådets forordning 2019/1238/EU af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt). 48. I § 372 a, stk. 1, ændres »standardiseret securitisering og« til: »standardiseret securitisering,«, og efter: »(PEPP-produkt)« indsættes: », Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. Stk. 2. --- § 373. Overtrædelse af § 7, stk. 1-6, § 8, stk. 1 og 3-6, § 10, stk. 1, 2, 6 og 7, § 16 a, stk. 2, § 16 b, stk. 2, § 25, 2. pkt., § 28, § 33, stk. 1, § 33 a, stk. 1, § 38, stk. 1, 2 og 7 og stk. 8, 1. pkt., § 39, stk. 1, 3 og 4, §§ 40 og 45, § 46, stk. 1 og 2, § 49, stk. 1 og 2, § 50, stk. 2, § 52, § 53, stk. 1 og 2, § 61, stk. 1, §§ 61 b og 61 c, § 63, stk. 1, 2 og 4, § 64, stk. 5, jf. stk. 1, nr. 3 og 4, § 64 a, § 64 c, stk. 4, jf. § 64, stk. 5, jf. stk. 1, nr. 3 og 4, § 65, stk. 1, § 66, § 67, stk. 1, § 74, stk. 1 og 3, § 75, stk. 1, 1. pkt., og stk. 2-4, § 78, stk. 1 og 5-8, § 101, § 102, stk. 2, 3, 5 og 6, §§ 103-106, § 106 a, stk. 1-4, § 106 b, § 106 c, § 106 d, stk. 1-5, § 107 a og § 117, § 118, stk. 4, § 119, § 120, stk. 1, 2. pkt., og stk. 2, § 124, stk. 1, 2 og 5, § 125 b, stk. 1-4 og 6, § 125 c, stk. 1, § 125 d, § 125 e, stk. 1, jf. § 125 b, stk. 1-4 og 6, § 125 e, stk. 1, jf. § 125 c, stk. 1, § 146, stk. 1, § 147, stk. 1, § 149, stk. 1 og 3, §§ 150 og 151, § 152, stk. 1, § 153, stk. 1, §§ 154 og 170-175 a, § 175 g, stk. 1, 5 og 6, § 182, stk. 1 og 2, §§ 194, 195, 200, 200 a og 201, § 202, stk. 1 og 3, § 203, stk. 1, § 204, stk. 1, § 226, stk. 1 og 2, § 227, § 248, stk. 1, § 313 b, § 334, § 343 v, stk. 1, og § 347, stk. 2, samt artikel 11, artikel 26, stk. 2, artikel 31, stk. 1, litra h, artikel 73, stk. 1, artikel 92, stk. 1, artikel 93, stk. 1-5, artikel 97, stk. 1, artikel 394, stk. 1, artikel 395 og 398 og artikel 500, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, og artikel 6, 7, 9, 18-26 og 26 b-26 e, artikel 27, stk. 1 og 4, og artikel 28, stk. 2, i Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering samt artikel 3, stk. 1, 3, 4 og 6, artikel 5, artikel 6, stk. 1-6, artikel 10, artikel 11, artikel 12, stk. 1, artikel 13, stk. 2, artikel 15, stk. 2 og 3, artikel 16, stk. 1, artikel 18, stk. 1 og 4, artikel 20, stk. 1 og 2, og artikel 25 i Europa-Parlamentets og Rådets forordning 2020/1503/EU af 7. oktober 2020 om europæiske crowdfundingtjenesteudbydere for erhvervslivet straffes med bøde eller fængsel indtil 4 måneder, medmindre højere straf er forskyldt efter den øvrige lovgivning. 37. To steder i § 354 e, stk. 2, 1. pkt., og to steder i § 373, stk. 1 og 10, ændres »§ 125 b, stk. 1-4 og 6« til: »§ 125 b, stk. 3-5 og 8«.49. I § 373, stk. 1, indsættes efter: »for erhvervslivet«: »samt artikel 14, stk. 3, artikel 16, stk. 1, artikel 23, stk. 1 og 4, artikel 36, stk. 1-3 og 5-7, artikel 38, stk. 1 og 3, artikel 39, stk. 2, artikel 40, stk. 1 og 2, artikel 48, stk. 1, artikel 49, stk. 4, artikel 50, stk. 1 og 2, artikel 54, artikel 59, stk. 1, artikel 60, stk. 1-6, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, og artikel 76, stk. 1, 2 og 5-8, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«. Stk. 2. Overtrædelse af § 16 c, § 16 d, stk. 1, § 16 f, stk. 1-3, § 54, stk. 2, § 64, stk. 6, § 64 c, stk. 1, 3, 8 og 10, jf. stk. 1 og 3, § 64 e, § 70, stk. 1-5, § 70 a, stk. 1-3, § 71, stk. 1, § 71 a, stk. 1 og stk. 2, 1. pkt., § 71 b, stk. 1, § 71 c, stk. 1, 2. pkt., § 73, stk. 1, 1. pkt., og stk. 2, § 75, stk. 1, 2. pkt., § 75 a, stk. 1, § 75 b, stk. 1, § 75 c, stk. 1, § 77, stk. 1-6 og 10, § 77 a, stk. 1-6, §§ 77 b og 77 c, § 77 d, § 77 f, stk. 1 og 2, § 77 g, stk. 2, § 77 j, § 79 a, stk. 1, nr. 1 og 2, § 80, stk. 1, stk. 2, 1. pkt., og stk. 3, 7 og 8, § 80 a, § 80 b, stk. 1-3 og 5, og § 80 c, stk. 1 og 2, § 81 b, stk. 3, 5 og 6, § 85 b, stk. 3, 5 og 6, § 121, stk. 1, § 122, § 152 a, stk. 1, 1. pkt., § 152 b, stk. 4-7, § 152 c, stk. 1, § 152 d, stk. 1, § 152 e, stk. 1, § 152 g, stk. 1, 1. og 3. pkt., stk. 2-5 og stk. 7, 1. pkt., § 152 j, stk. 1, 2. pkt., eller stk. 2, § 152 k, stk. 1, 2 eller 5, § 152 m, stk. 1, § 182 d, § 182 e, stk. 2 og stk. 7, 1. pkt., og § 182 f, § 183, stk. 1, 1. pkt., og stk. 5, § 184, stk. 1, § 185, stk. 1 og 3 og stk. 4, 1. pkt., §§ 186 og 187, § 188, stk. 1, stk. 2, 1. pkt., og stk. 3, 2. pkt., §§ 189 og 190, § 191, stk. 1-3, § 192, 1. pkt., § 193, 1. pkt., § 198, stk. 1, § 199, stk. 2 og 6, § 206, § 245 a, stk. 1 og 3, § 245 b, stk. 1, 1. pkt., og stk. 2, § 247 a, stk. 9 og 10, § 259 a, § 264, stk. 2 og 3, § 266, stk. 1, § 268, stk. 1-4, § 269 c, §§ 312 og 312 b, § 336 a, stk. 3, 5 og 6, § 347 b, stk. 3 og 6, § 347 c, stk. 2, § 354 a, stk. 1, 1.-5. pkt., og stk. 3, 1.-7. pkt., samt artikel 4 i Rådets forordning om anvendelse af internationale regnskabsstandarder og artikel 4, stk. 1, i Europa-Parlamentets og Rådets forordning om kreditvurderingsbureauer, artikel 28, artikel 41, stk. 1, litra b, artikel 49, stk. 1, litra c, artikel 51, jf. artikel 52, artikel 54, stk. 5, litra a og c, artikel 63, artikel 73, stk. 6, artikel 76, stk. 2, artikel 77, artikel 99, stk. 1, artikel 101, stk. 1 og 2, artikel 113, stk. 7, 1. afsnit, artikel 129, stk. 3 og 7, artikel 221, stk. 1 og 2, artikel 256, stk. 7, 1. afsnit, artikel 259, stk. 1, litra b og e, artikel 262, stk. 2, 2. afsnit, artikel 263, stk. 2, 1. afsnit, artikel 393, artikel 394, stk. 2, artikel 405, stk. 1, artikel 412, stk. 1 og 2, artikel 415, stk. 1 og 2, artikel 430, stk. 1, 1. afsnit, 1. pkt., og 2. afsnit, artikel 431, stk. 1, jf. artikel 435 og 436, artikel 437, stk. 1, artikel 438 og 439, artikel 440, stk. 1, artikel 441, stk. 1, artikel 442 og 444-450, artikel 451, stk. 1, artikel 431, stk. 3, artikel 433, 1.-3. afsnit, artikel 434, 1. afsnit, 2. og 3. pkt., og afsnit 2, 2. pkt., artikel 471, stk. 1, artikel 492, stk. 2-4, artikel 499, stk. 1, og artikel 501, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, artikel 5, stk. 1, artikel 6 og 7, artikel 8, stk. 1-3, artikel 9, artikel 10, stk. 1, artikel 13, stk. 1, 3 og 4, og artikel 14 og 19 i Europa-Parlamentets og Rådets forordning (EU) nr. 1286/2014 af 26. november 2014 om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP'er) og artikel 5-7, 18-30, 33-42, 44-46, 48, 50 og 52-56 i Europa-Parlamentets og Rådets forordning 2019/1238/EU af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt) samt artikel 4, artikel 8, stk. 1-6, artikel 9, stk. 1 og 2, artikel 19, stk. 1-6, artikel 22, artikel 23, stk. 2-14, og artikel 24 i Europa-Parlamentets og Rådets forordning 2020/1503/EU af 7. oktober 2020 om europæiske crowdfundingtjenesteudbydere for erhvervslivet straffes med bøde. På samme måde straffes overtrædelse af meddelelsespligten i § 152 a, stk. 4, 1. pkt. 50. I § 373, stk. 2, 1. pkt., udgår »§ 71 c, stk. 1, 2. pkt.,«, efter »312 b« indsættes: »§ 333 a, stk. 1-3, § 333 b, stk. 1-6, § 333 d, stk. 1-3, § 333 e, stk. 1-11, § 333 f, stk. 1-8, § 333 g, stk. 1-3, § 333 h, stk. 1-13, § 333 i, stk. 1 og 2, § 333 j, stk. 1-3,«, og »samt artikel 4« ændres til: », artikel 4«, og efter »om europæiske crowdfundingtjenesteudbydere for erhvervslivet« indsættes: », artikel 4, stk. 1, stk. 3, 3. afsnit, og stk. 6, artikel 5, stk. 2 og 3, artikel 6, stk. 1-10, artikel 7, stk. 1 og 2, artikel 8, stk. 1-2 og 4-6, artikel 9, artikel 10, artikel 12, stk. 1-4 og 6-9, artikel 13, stk. 2 og 3, artikel 14, artikel 16, stk. 1, 2. afsnit, artikel 17, stk. 1 og 2, artikel 19, stk. 1-9, artikel 22, stk. 1 og 3, artikel 25, stk. 1, 2 og 4, artikel 27, artikel 28, artikel 29, stk. 1-3 og 6, artikel 30, artikel 31, stk. 1-4, artikel 32, stk. 1-4, artikel 33, artikel 34, stk. 1-12, artikel 35, stk. 1, artikel 36, stk. 8-12, artikel 37, stk. 1 og 2, artikel 39, stk. 1, 2. pkt., artikel 41, stk. 1 og 2, artikel 46, stk. 1 og 2, artikel 47, stk. 1-3, artikel 48, stk. 6 og 7, artikel 49, stk. 5, artikel 51, stk. 1-9, 11-13 og stk. 14, 1. pkt., artikel 53 stk. 1-3, 5 og 6, artikel 55, artikel 59, stk. 2, 5 og 8, artikel 64, stk. 8, artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 67, stk. 1, 5 og 6, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9, artikel 76, stk. 3, 4 og 9-15, artikel 77, artikel 78, artikel 79, artikel 80, stk. 1-3, artikel 81, stk. 1-14, artikel 82, stk. 1, artikel 83, stk. 1 og 2, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver samt artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. Stk. 3-9. --- Stk. 10. Forældelsesfristen er dog 10 år for overtrædelse af § 7, stk. 1-4, § 8, stk. 1 og 3, § 10, stk. 1 og 2, § 33 a, stk. 1, § 70, stk. 1-5, § 71, stk. 1 og 3, § 75, § 78, stk. 1 og 5-7, § 102, stk. 2 og 5, § 103, stk. 1, 2 og 4, § 106, stk. 2, § 106 a, stk. 1 og 4, § 106 b, § 106 c, stk. 1 og 3, § 106 d, stk. 1, § 124, stk. 1 og 2, § 125 b, stk. 1-4 og 6, § 125 c, stk. 1, § 125 d, § 125 e, stk. 1, jf. § 125 b, stk. 1-4 og 6, § 125 e, stk. 1, jf. § 125 c, stk. 1, § 126 a, stk. 1-3, 5 og 9, § 150, § 152, stk. 1, § 152 m, stk. 1, § 153, stk. 1, § 167, stk. 1, 3 og 5, § 170, stk. 1, 2 og 5, §§ 171 og 172, § 174, stk. 1 og 2, § 175, § 182, stk. 1 og 2, § 183, stk. 5, §§ 186 og 187, § 188, stk. 1 og stk. 2, 1. pkt., § 193, 1. pkt., § 199, stk. 2 og 6, § 200, § 313 b, § 334, stk. 1, § 343 v, stk. 1, § 347, stk. 2, § 347 b, stk. 3 og 6, samt artikel 11, stk. 1, 2, 3 og 5, artikel 26, stk. 2, artikel 28, stk. 1-4, artikel 31, stk. 1, litra h, artikel 51, jf. artikel 52, artikel 54, stk. 5, litra a og c, artikel 73, stk. 1, artikel 77, artikel 92, stk. 1, artikel 93, stk. 1-5, artikel 97, stk. 1, artikel 113, stk. 7, 1. afsnit, artikel 393, artikel 394, stk. 1, artikel 395, stk. 1, 1. og 2. afsnit, og stk. 3 og 6, artikel 398, 1. og 2. afsnit, artikel 412, stk. 1 og 2, artikel 415, stk. 1 og 2, artikel 471, stk. 1, og artikel 500, stk. 1, i Europa-Parlamentets og Rådets forordning nr. 575/2013/EU om tilsynsmæssige krav til kreditinstitutter eller regler udstedt i medfør af § 373, stk. 4, eller artikel 6, stk. 1, artikel 10, stk. 1, artikel 14, stk. 1, og artikel 19 i Europa-Parlamentets og Rådets forordning nr. 1286/2014/EU af 26. november 2014 om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP'er) samt artikel 12, stk. 1, og artikel 23 i Europa-Parlamentets og Rådets forordning 2020/1503/EU af 7. oktober 2020 om europæiske crowdfundingtjenesteudbydere for erhvervslivet. 37. To steder i § 354 e, stk. 2, 1. pkt., og to steder i § 373, stk. 1 og 10, ændres »§ 125 b, stk. 1-4 og 6« til: »§ 125 b, stk. 3-5 og 8«.51. I § 373, stk. 10, ændres » (PRIIP’er) samt« til: (PRIIP’er),« og efter »for erhvervslivet« indsættes: »og artikel 16, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«. Stk. 11-14. --- Bilag 1. Pengeinstitutvirksomhed. 1-12) --- 13)Udstedere af elektroniske penge. 52. Bilag 1, nr. 13, affattes således:»Udstedelse af elektroniske penge, herunder elektroniske pengetokens, som defineret i § 332, nr. 3.« 53. I bilag 1 indsættes som nr. 14 og 15:»14) Udstedelse af aktivbaserede tokens som defineret i § 332, nr. 2.15) Udbud af kryptoaktivtjenester som defineret i § 332, nr. 7.« Bilag 2. Kreditinstitutvirksomhed. 1-15) --- 54. I bilag 2 indsættes som nr. 16-18:»16) Udstedelse af elektroniske penge, herunder elektroniske pengetokens som defineret i § 332, nr. 3.17) Udstedelse af aktivbaserede tokens som defineret i § 332, nr. 2.18) Udbud af kryptoaktivtjenester som defineret i § 332, nr. 7.« § 2 I lov om betalinger, jf. lovbekendtgørelse nr. 53 af 18. januar 2023, som ændret ved § 9 i lov nr. 409 af 25. april 2023, foretages følgende ændringer: Lov om betalinger Fodnoten. Loven indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, EU-Tidende 2015, nr. 3 L 337, side 35, (2. betalingstjenestedirektiv), Europa-Parlamentets og Rådets direktiv 2009/110/EU af 16. september 2009) om adgang til at optage og udøve virksomhed som udsteder af elektroniske penge og tilsyn med en sådan virksomhed, EU-Tidende 2009, nr. L 267, side 7, (2. e-pengedirektiv) og dele af Europa-Parlamentets og Rådets direktiv 2019/878/EU af 20. maj 2019 om ændring af direktiv 2013/36/EU, for så vidt angår fritagne enheder, finansielle holdingselskaber, blandede finansielle holdingselskaber, aflønning, tilsynsforanstaltninger og –beføjelser og kapitalbevaringsforanstaltninger, EU-Tidende 2019, nr. L 150, side 253 (CRD V). 1. I fodnoten til lovens titel ændres »(2. e-pengedirektiv) og« til: »(2. e-pengedirektiv),« og efter » side 253 (CRD V)« indsættes: »og dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«. § 5. Loven finder ikke anvendelse på følgende aktiviteter m.v.: 1-9) --- 10)Tjenester leveret af en udbyder af tekniske tjenester, der understøtter udbuddet af betalingstjenester, såfremt udbyderen ikke på noget tidspunkt er i besiddelse af de midler, som skal overføres, og der ikke er tale om tjenester omfattet af bilag 1, nr. 7 og 8, jf. dog § 122. 2. § 5, nr. 10, affattes således:»10) Tjenester leveret af en udbyder af tekniske tjenester, der understøtter udbuddet af betalingstjenester, når udbyderen ikke på noget tidspunkt er i besiddelse af de midler, som skal overføres, og der ikke er tale om tjenester omfattet af bilag 1, nr. 7 og 8, jf. dog § 122.« 11-18) --- § 11. En ansøgning om tilladelse skal indeholde de oplysninger, der er nødvendige til brug for Finanstilsynets vurdering af, om kravene i § 10 er opfyldt. Ansøgningen skal som minimum indeholde: 1-10) --- 11)Virksomhedens forretningsgange og interne kontrolmekanismer, herunder administrative, risikostyringsmæssige og regnskabsmæssige procedurer, jf. § 25. 3. I § 11, stk. 1, nr. 11, indsættes efter »procedurer, jf. § 25«: »samt ordninger for brug af it-tjenester i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. 12)Virksomhedens forretningsgange for håndtering og opfølgning på sikkerhedshændelser og sikkerhedsrelaterede kundeklager, herunder procedurer for indberetning af sikkerhedshændelser, jf. § 127. 4. I § 11, stk. 1, nr. 12, ændres: »§ 127« til: »kapitel III i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. 13 og 14) --- 15)Virksomhedens beredskabsplan, herunder en klar beskrivelse af de kritiske funktioner, effektive beredskabsplaner og procedurer til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige. 5. § 11, stk. 1, nr. 15, affattes således:»15) Virksomhedens beredskabsplan, herunder en klar beskrivelse af de kritiske funktioner, effektive politikker og planer for it-driftsstabilitet og planer for it-indsats- og genopretning og procedurer til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige og effektive i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.« 16) --- 17)Virksomhedens sikkerhedspolitik, en detaljeret risikovurdering i tilknytning til de betalingstjenester, som virksomheden påtænker at udbyde, og en beskrivelse af de foranstaltninger, som virksomheden har foretaget for at imødegå de identificerede risici, herunder svig og misbrug af følsomme betalingsdata og personoplysninger. Beskrivelsen af foranstaltningerne skal indeholde oplysninger om, hvordan virksomheden sikrer et højt niveau af teknisk sikkerhed og databeskyttelse, herunder vedrørende de software- og it-systemer, der anvendes af ansøgeren eller de virksomheder, som ansøgeren outsourcer alle eller dele af sine aktiviteter til. 6. § 11, stk. 1, nr. 17, 2. pkt., affattes således:»Beskrivelsen af foranstaltningerne skal indeholde oplysninger om, hvordan virksomheden sikrer et højt niveau af digital operationel modstandsdygtighed i overensstemmelse med kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, navnlig med hensyn til teknisk sikkerhed og databeskyttelse, herunder vedrørende de software- og it-systemer, der anvendes af ansøgeren eller de virksomheder, som ansøgeren outsourcer alle eller dele af sine aktiviteter til.« 18) --- Stk. 2 og 3. --- § 54. En ansøgning om begrænset tilladelse til at udbyde betalingstjenester eller udstede elektroniske penge skal indeholde de oplysninger, der er nødvendige for Finanstilsynets vurdering af, om betingelserne i § 52 er opfyldt. Ansøgningen skal som minimum indeholde: 1-7) --- 8)Oplysninger om virksomhedens forretningsgange og interne kontrolmekanismer, herunder administrative, risikostyringsmæssige og regnskabsmæssige procedurer, omfattende: a og b) --- c) Virksomhedens forretningsgange for håndtering af og opfølgning på sikkerhedshændelser og sikkerhedsrelaterede kundeklager, herunder for indberetning af sikkerhedshændelser, jf. §§ 126 og 127. 7. I § 54, nr. 8, litra c, ændres: »§§ 126 og 127« til: »§ 126 og kapitel III i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. d) --- 9) --- § 60. --- Stk. 2. --- Stk. 3. En ansøgning om tilladelse i henhold til stk. 1 skal indeholde de oplysninger, der er nødvendige til brug for Finanstilsynets vurdering af, om kravene i stk. 2 er opfyldt. Ansøgningen skal som minimum indeholde: 1-4) --- 5)Oplysninger om virksomhedens forretningsgange og interne kontrolmekanismer, herunder administrative, risikostyringsmæssige og regnskabsmæssige procedurer. 8. I § 60, stk. 3, nr. 5, indsættes efter »procedurer«: »samt ordninger for brug af it-tjenester i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. 6)Oplysninger om virksomhedens forretningsgange for håndtering af og opfølgning på sikkerhedshændelser og sikkerhedsrelaterede kundeklager, herunder procedurer for indberetning af sikkerhedshændelser, jf. § 126. 9. I § 60, stk. 3, nr. 6, ændres: »§ 126« til: »kapitel III i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. 7) --- 8)En beskrivelse af virksomhedens beredskabsplan, herunder en klar beskrivelse af de kritiske funktioner, effektive beredskabsplaner og procedurer til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige. 10. § 60, stk. 3, nr. 8, affattes således:»8) En beskrivelse af virksomhedens beredskabsplan, herunder en klar beskrivelse af de kritiske funktioner, effektive politikker og planer for it-driftsstabilitet og planer for it-indsats og genopretning og procedurer til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige og effektive i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.« 9-11) --- Stk. 4-8. --- § 126. --- 11. I § 126 indsættes efter stk. 1 som nyt stykke:»Stk. 2. Stk. 1, nr. 1 og 2, berører ikke anvendelsen af kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.«Stk. 2-5 bliver herefter stk. 3-6. Stk. 2-4. --- Stk. 5. Finanstilsynet kan fastsætte nærmere regler om de procedurer og kontrolmekanismer, en udbyder af betalingstjenester skal have, jf. stk. 1, nr. 1 og 2, og stk. 2. 12. I § 126, stk. 5, der bliver stk. 6, ændres »stk. 2« til: »stk. 3«. § 127. En udbyder af betalingstjenester skal snarest muligt underrette Finanstilsynet om større drifts- og sikkerhedshændelser. Finanstilsynet skal uden unødig forsinkelse vurdere underretningen og videregive oplysninger, der er relevante, til den Europæiske Centralbank, Den Europæiske Banktilsynsmyndighed og relevante tilsynsmyndigheder i de lande, der er berørt af hændelsen. 13. § 127, stk. 1 og 2, ophæves.Stk. 3 og 4 bliver herefter stk. 1 og 2. Stk. 2. I den situation, hvor hændelsen har eller kan få indvirkning på brugerne af betalingstjenestens økonomiske interesser, skal udbyderen snarest muligt orientere brugerne om denne og om de tilgængelige foranstaltninger, som de kan træffe for at begrænse hændelsens negative følger. 13. § 127, stk. 1 og 2, ophæves.Stk. 3 og 4 bliver herefter stk. 1 og 2. Stk. 3. --- Stk. 4. Finanstilsynet fastsætter nærmere regler om den tekniske gennemførelse af indberetningspligten i henhold til stk. 1-3. 14. I § 127, stk. 4, der bliver stk. 2, ændres »stk. 1-3« til: »stk. 1«. § 130. Finanstilsynet påser overholdelsen af loven med undtagelse af § 27 og påser overholdelsen af regler udstedt i medfør af loven, jf. dog §§ 144 og 145. Finanstilsynet påser endvidere overholdelsen af artikel 3-4 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og om ophævelse af forordning (EF) nr. 2560/2001 og Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro og forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked. 15. I § 130, stk. 1, 2. pkt., ændres »og forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked« til: », forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 af 25. november 2015 om betalingstjenester i det indre marked og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf«.16. I § 130, stk. 1, indsættes som 3. pkt.: ¬»Finanstilsynet påser endvidere udstedere af e-pengetokens overholdelse af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf.« Stk. 2 og 3. --- § 135. Finanstilsynet kan inddrage en virksomheds tilladelse som e-pengeinstitut, betalingsinstitut eller udbyder af kontooplysningstjenester eller en begrænset tilladelse til udstedelse af elektroniske penge eller udbud af betalingstjenester, hvis virksomheden 1-6) --- 7)gør sig skyldig i grove eller gentagne overtrædelser af hvidvaskloven. 17. I § 135, stk. 1, nr. 7, indsættes efter: »af hvidvaskloven«: »eller Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«. Stk. 2-4. --- § 136. --- Stk. 2-5. --- Stk. 6. Bestemmelsen i stk. 1 er ikke til hinder for, at fortrolige oplysninger videregives til: 1-26) --- 18. I § 136, stk. 6, indsættes som nr. 27:»27) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor under forudsætning af, at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.« Stk. 7-11. --- § 138. Reaktioner givet efter denne lovs § 130, stk. 2, jf. § 345, stk. 12, nr. 4, i lov om finansiel virksomhed, eller af Finanstilsynet efter delegation fra Finanstilsynets bestyrelse til en virksomhed omfattet af denne lov skal offentliggøres med angivelse af navnet på virksomheden, jf. dog stk. 3. Virksomheden skal offentliggøre oplysningerne på sin eventuelle hjemmeside på et sted, hvor de naturligt hører hjemme, hurtigst muligt og senest 3 hverdage efter at virksomheden har modtaget underretning om reaktionen, eller senest på tidspunktet for offentliggørelse påkrævet efter lov om værdipapirhandel m.v. Samtidig med offentliggørelsen skal virksomheden indsætte et link, som giver direkte adgang til reaktionen, på forsiden af virksomhedens eventuelle hjemmeside på en synlig måde, og det skal af linket og en eventuel tilknyttet tekst tydeligt fremgå, at der er tale om en reaktion fra Finanstilsynet. Kommenterer virksomheden på reaktionen, skal dette ske i forlængelse af denne, og kommentarerne skal være klart adskilt fra reaktionen. Fjernelse af linket på forsiden og informationerne fra virksomhedens eventuelle hjemmeside skal finde sted efter samme principper, som virksomheden anvender for øvrige meddelelser, dog tidligst når linket og informationerne har ligget på hjemmesiden i 3 måneder, og tidligst efter førstkommende generalforsamling eller repræsentantskabsmøde. Virksomhedens pligt til at offentliggøre oplysningerne på virksomhedens hjemmeside gælder kun for juridiske personer. Finanstilsynet skal offentliggøre oplysningerne på tilsynets hjemmeside. Reaktioner givet i henhold til denne lovs § 130, stk. 2, jf. § 345, stk. 12, nr. 6, i lov om finansiel virksomhed, og Finanstilsynets beslutninger om at overgive sager efter denne lov eller regler udstedt i medfør af loven eller efter forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, artikel 3-4 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og om ophævelse af forordning (EF) nr. 2560/2001 og Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro til politimæssig efterforskning skal offentliggøres på Finanstilsynets hjemmeside med angivelse af virksomhedens navn, jf. dog stk. 3. Indbringes reaktionen, der offentliggøres i henhold til 1. pkt., for Erhvervsankenævnet eller domstolene, skal dette fremgå af Finanstilsynets offentliggørelse, og det efterfølgende resultat af Erhvervsankenævnets eller domstolenes afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt. 19. I § 138, stk. 1, 8. pkt., ændres »og Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro« til: », Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf«.20. I § 138, stk. 1, indsættes efter 8. pkt. som nyt punktum:»Reaktioner givet i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf, skal offentliggøres på Finanstilsynets hjemmeside med angivelse af virksomhedens navn.«21. I § 138, stk. 1, 9. pkt., der bliver 10. pkt., ændres »1. pkt.«: til »1. pkt. eller 9. pkt.« Stk. 2-6. --- § 142. Som part i forhold til Finanstilsynet anses virksomheder eller personer, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af denne lov eller regler udstedt i medfør af denne lov, jf. dog stk. 2. 22. I § 142, stk. 1, indsættes efter »regler udstedt i medfør af denne lov«: », forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, artikel 3-4 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og om ophævelse af forordning (EF) nr. 2560/2001, Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro, Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 om markeder for kryptoaktiver og regler udstedt i medfør heraf«. Stk. 2 og 3. --- § 143. Afgørelser truffet af Finanstilsynet i henhold til denne lov, regler udstedt i medfør heraf, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, artikel 3-4 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og om ophævelse af forordning (EF) nr. 2560/2001 eller Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro kan af den, som afgørelsen retter sig mod, indbringes for Erhvervsankenævnet, senest 4 uger efter at afgørelsen er meddelt den pågældende. 23. I § 143 indsættes efter »udstedt i medfør heraf,«: »Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf,«. § 152. Overtrædelse af §§ 2, 3, 16, 17, 19 og 20, § 30, stk. 2, jf. stk. 1, nr. 3 og 4, § 30, stk. 3, jf. stk. 2, jf. stk. 1, nr. 3 og 4, §§ 35, 58 og 59 og § 60, stk. 1, straffes med bøde eller fængsel indtil 4 måneder, medmindre højere straf er forskyldt efter den øvrige lovgivning. 24. I § 152, stk. 1, indsættes efter »og § 60, stk. 1,«: » i denne lov og artikel 48, stk. 1, artikel 49, stk. 4, artikel 50, stk. 1 og 2, artikel 54, artikel 59, stk. 1, artikel 60, stk. 4, artikel 67, stk. 4, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver,«. Stk. 2. Overtrædelse af § 21, stk. 1, § 22, § 25, stk. 1 og 2, § 25 a, stk. 1-3, § 26, stk. 1, § 27, stk. 1, § 27 a, stk. 1, § 28, § 29, stk. 1, nr. 1 og 2, § 36, stk. 1, § 37, stk. 1, 3. pkt., § 38, stk. 1, 1. pkt., og stk. 2, § 40, § 43, stk. 1 og stk. 7, 4. pkt., og stk. 10, § 44, § 45, stk. 1 og 5 og stk. 8, 4. pkt., § 60, stk. 7, § 61, stk. 1, § 62, stk. 1 og 3, § 63, stk. 1 og 2, § 64, stk. 1, 3 og 4, § 66, stk. 1, § 67, stk. 1-6, §§ 68, 69, 70, 71 og 72, § 75, stk. 3, §§ 76-78 og 80, § 81, stk. 1, § 83, stk. 2, §§ 84, 85, 86, 87, 88 og 89, § 90, stk. 2-4, § 91, stk. 1-4, § 92, stk. 2 og 3, § 94, stk. 1 og 2, § 95, § 96, stk. 1-3, § 101, stk. 1, § 110, stk. 1, § 117, § 118, stk. 1 og 2, § 120, stk. 1, § 121, stk. 2, 1. pkt., § 122, stk. 1 og 2, § 123, stk. 1 og 2, § 124, stk. 2 og 4, § 125, stk. 2-6, § 126, stk. 1, § 127, stk. 1-3, og § 128, stk. 1 og 5, samt artikel 3, stk. 1 og 1a, artikel 3a, stk. 3-5, artikel 3b, artikel 4, stk. 1, 3 og 4, og artikel 6 og 7 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og om ophævelse af forordning (EF) nr. 2560/2001, artikel 3-6 og 8-9 i Europa-Parlamentets og Rådets forordning nr. 260/2012/EU af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro og om ændring af forordning nr. 924/2009/EF om grænseoverskridende betalinger i euro (SEPA-forordningen) og Europa-Parlamentets og Rådets forordning nr. 2015/751/EU om interbankgebyrer for kortbaserede betalingstransaktioner straffes med bøde. 25. I § 152, stk. 2, indsættes efter: »(SEPA-forordningen)«: », artikel 46, stk. 1 og 2, artikel 47, stk. 1-3, artikel 48, stk. 6 og 7, artikel 49, stk. 5, artikel 51, stk. 1-9, 11-13 og stk. 14, 1. pkt., artikel 53, stk. 1-3, 5 og 6, artikel 55, artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9 og artikel 82, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. § 3 I lov om kapitalmarkeder, jf. lovbekendtgørelse nr. 41 af 13. januar 2023, som ændret ved § 6 i lov nr. 243 af 7. marts 2023, § 5 i lov nr. 480 af 12. maj 2023 og § 5 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer: Lov om kapitalmarkeder Fodnoten. Loven indeholder bestemmelser, der gennemfører Europa-Parlamentets og Rådets direktiv 98/26/EF af 19. maj 1998, EF-Tidende 1998, nr. L 166, side 45, Europa-Parlamentets og Rådets direktiv 2001/34/EF af 28. maj 2001, EF-Tidende 2001, nr. L 184, side 1, Europa-Parlamentets og Rådets direktiv 2002/47/EF af 14. juni 2002, EF-Tidende 2002, nr. L 168, side 43, som ændret ved Europa-Parlamentets og Rådets forordning (EU) 2021/23 af 16. december 2020, EU-Tidende 2021, nr. L 22, side 1, dele af Europa-Parlamentets og Rådets direktiv 2004/25/EF af 21. april 2004, EU-Tidende 2004, nr. L 142, side 12, dele af Europa-Parlamentets og Rådets direktiv 2004/109/EF af 15. december 2004, EU-Tidende 2004, nr. L 390, side 38, dele af Kommissionens direktiv 2007/14/EF af 8. marts 2007 om gennemførelsesbestemmelser til visse bestemmelser i direktiv 2004/109/EF, EU-Tidende, nr. L 69, side 27, dele af Europa-Parlamentets og Rådets direktiv 2007/36/EF af 11. juli 2007, EU-tidende 2007, nr. L 184, side 17, som ændret ved Europa-Parlamentets og Rådets forordning (EU) 2021/23 af 16. december 2020, EU-Tidende 2021, nr. L 22, side 1, Europa-Parlamentets og Rådets direktiv 2009/44/EF af 6. maj 2009, EU-Tidende 2009, nr. L 146, side 37, dele af Europa-Parlamentets og Rådets direktiv 2010/73/EU af 24. november 2010, EU-Tidende 2010, nr. L 327, side 1, dele af Europa-Parlamentets og Rådets direktiv 2013/50/EU af 22. oktober 2013, EU-Tidende 2013, nr. L 294, side 13, Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014, EU-Tidende 2014, nr. L 173, side 349, som ændret ved Europa-Parlamentets og Rådets direktiv (EU) 2019/2177 af 18. december 2019, EU-Tidende 2019, nr. L 334, side 155, og Europa-Parlamentets og Rådets direktiv (EU) 2021/338 af 16. februar 2021, EU-Tidende 2021, nr. L 68, side 14, dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016, EU-Tidende 2016, nr. L 194, side 1, dele af Europa-Parlamentets og Rådets direktiv 2017/828/EU af 17. maj 2017, EU-Tidende 2017, nr. L 132, side 1, og dele af Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296. I loven er der medtaget visse bestemmelser fra Kommissionens forordning nr. 1031/2010/EU af 12. november 2010, EU-Tidende 2010, nr. L 302, side 1, Europa-Parlamentets og Rådets forordning nr. 236/2012/EU af 14. marts 2012, EU-Tidende 2012, nr. L 86, side 1, dele af Europa-Parlamentets og Rådets forordning nr. 648/2012/EU af 4. juli 2012, EU-Tidende 2012, nr. L 201, side 1, Europa-Parlamentets og Rådets forordning nr. 600/2014 af 15. maj 2014, EU-Tidende 2014, nr. L 173, side 84, som ændret ved Europa-Parlamentets og Rådets forordning (EU) 2019/2175 af 18. december 2019, EU-Tidende 2019, nr. L 334, side 1, Europa-Parlamentets og Rådets forordning nr. 909/2014 af 23. juli 2014, EU-Tidende, nr. L 257, side 1, og Europa-Parlamentets og Rådets forordning nr. 596/2014/EU af 16. april 2014, EU-Tidende 2014, nr. L 173, side 1, Europa-Parlamentets og Rådets forordning 2015/2365/EU af 25. november 2015, nr. L 337, side 1, Europa-Parlamentets og Rådets forordning 2016/1011/EU af 8. juni 2016, EU-Tidende 2016, nr. L 171, side 1, og Europa-Parlamentets og Rådets forordning 2017/1129/EU af 14. juni 2017, EU-Tidende 2017, nr. 168, side 12. Ifølge artikel 288 i EUF-Traktaten gælder en forordning umiddelbart i hver medlemsstat. Gengivelsen af disse bestemmelser i loven er udelukkende begrundet i praktiske hensyn og berører ikke forordningernes umiddelbare gyldighed i Danmark. 1. I fodnoten til lovens titel udgår »dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016, EU-Tidende 2016, nr. L 194, side 1,«, og »og dele af Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296« ændres til: », dele af Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296, og dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«. Overskriften. Identifikation af operatører af væsentlige tjenester 2. Overskriften før § 58 a ophæves. § 58 a. Finanstilsynet udpeger mindst hvert andet år de operatører af markedspladser og centrale modparter (CCP’er), der er operatører af væsentlige tjenester. Det samme gælder filialer af udenlandske operatører af markedspladser. 3. § 58 a ophæves. Stk. 2. Finanstilsynet skal i forbindelse med udpegningen efter stk. 1 lægge vægt på, at 1)de tjenester, der leveres, er væsentlige for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter, 2)leveringen af tjenesten afhænger af net- og informationssystemer og 3)en hændelse vil få væsentlige forstyrrende virkninger for leveringen af tjenesten. Stk. 3. Finanstilsynet offentliggør på sin hjemmeside, hvilke operatører af markedspladser og centrale modparter (CCP’er) der er udpeget som operatører af væsentlige tjenester. Stk. 4. Finanstilsynet kan fastsætte nærmere regler om udpegning af operatører af væsentlige tjenester og de kriterier, Finanstilsynet kan lægge vægt på efter stk. 1 og 2, herunder fastsætte nærmere regler om hændelsesrapportering, herunder om, at Finanstilsynet og Center for Cybersikkerhed underrettes ved en hændelse, der har en negativ indvirkning på sikkerheden i virksomhedens net- og informationssystemer. Finanstilsynet udarbejder en liste over tjenester, jf. stk. 2, nr. 1. § 60. Finanstilsynet kan inddrage en tilladelse efter § 59, når 1-6) --- 7)operatøren af et reguleret marked groft eller gentagne gange tilsidesætter sine pligter efter denne lov, regler fastsat i medfør af loven, påbud i henhold til kapitel 37 eller pligter efter Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter og regler fastsat i medfør heraf. 4. I § 60, stk. 1, nr. 7, ændres: »eller pligter efter Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter og regler fastsat i medfør heraf« til: », pligter efter Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter og regler fastsat i medfør heraf eller pligter efter Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler fastsat i medfør heraf«. Stk. 2. --- § 71. --- Stk. 2. En operatør af et reguleret marked skal 1 og 2) --- 3)sikre en ordentlig forvaltning af den tekniske funktion af markedspladsens systemer, herunder etablere effektive nødsystemer, 5. § 71, stk. 2, nr. 3, affattes således:»3) kunne styre it-risici i overensstemmelse med kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. 4-6) --- Stk. 3. --- § 114. En operatør af en markedsplads skal have systemer, procedurer og ordninger, der sikrer, at markedspladsens handelssystemer 6. I § 114 ændres »have systemer, procedurer og ordninger, der sikrer« til: »etablere og opretholde operationel modstandsdygtighed i overensstemmelse med kravene i kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor for at sikre«. 1)er fleksible, 7. I § 114, nr. 1, ændres »fleksible« til: »modstandsdygtige«. 2-4) --- 5)er omfattet af driftsstabilitetsordninger, der effektivt sikrer, at markedets tjenester kan opretholdes, i tilfælde af at markedspladsens handelssystem svigter. 8. I § 114, nr. 5, indsættes efter »driftsstabilitetsordninger,«: »herunder politikker og planer for it-driftsstabilitet og planer for it-indsats og genopretning udarbejdet i overensstemmelse med artikel 11 i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. § 118. --- Stk. 2. Systemer, procedurer og ordninger som nævnt i stk. 1 skal som minimum omfatte 1)ordninger, der sikrer og letter medlemmers afprøvning af algoritmer, 9. I § 118, stk. 2, nr. 1, indsættes efter »afprøvning af algoritmer«: »i overensstemmelse med kravene til it-risikostyring af informations- og kommunikationsteknologi og til test af digital operationel modstandsdygtighed i kapitel II og IV i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. 2 og 3) --- § 129. --- Stk. 2. 1)Positioner, der besiddes af eller på vegne af en ikkefinansiel enhed, og som reducerer de risici, der er direkte knyttet til den ikkefinansielle enheds forretningsmæssige aktivitet. 10. I § 129, stk. 2, nr. 1 og 2, ændres »reducerer« til: »objektivt kan måles til at reducere«, og i nr. 3, ændres », og som hidrører« til: »med hensyn til positioner, som objektivt kan måles til at hidrøre«. 2)Positioner, der besiddes af eller på vegne af en finansiel enhed, der indgår i en overvejende kommerciel koncern, såfremt den finansielle enhed handler på vegne af en ikkefinansiel enhed i koncernen og positionerne reducerer de risici, der er knyttet til den pågældende ikkefinansielle enheds forretningsmæssige aktivitet. 10. I § 129, stk. 2, nr. 1 og 2, ændres »reducerer« til: »objektivt kan måles til at reducere«, og i nr. 3, ændres », og som hidrører« til: »med hensyn til positioner, som objektivt kan måles til at hidrøre«. 3)Positioner, der besiddes af finansielle og ikkefinansielle modparter, og som hidrører fra transaktioner, der er indgået for at opfylde en forpligtelse til at tilføre en markedsplads likviditet. 10. I § 129, stk. 2, nr. 1 og 2, ændres »reducerer« til: »objektivt kan måles til at reducere«, og i nr. 3, ændres », og som hidrører« til: »med hensyn til positioner, som objektivt kan måles til at hidrøre«. 4) --- § 130. En operatør af en markedsplads, hvorpå der handles med råvarederivater, skal foretage positionsforvaltningskontrol. Operatøren kan i den forbindelse 1-4) --- 5)kræve, at en person midlertidigt tilbagefører likviditet til markedspladsen til en aftalt pris og i en aftalt mængde. 11. § 130, stk. 1, nr. 5, indsættes efter »aftalt mængde«: »med det udtrykkelige formål at afbøde virkningen af en stor og dominerende position«. Stk. 2 og 3. --- § 135. Et fondsmæglerselskab, der benytter sig af algoritmisk handel, skal 1)have effektive systemer og risikokontrolforanstaltninger 729, der a) sikrer, at vedkommendes handelssystemer er modstandsdygtige over for forstyrrelser på markedet og har tilstrækkelig kapacitet til at håndtere perioder med spidsbelastning, 12. I § 135, nr. 1, litra a, ændres »til at håndtere perioder med spidsbelastning« til: »i overensstemmelse med kravene til it-risikostyring i kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. b og c) --- 2) --- 3)have effektive ordninger, der sikrer, at fondsmæglerselskabet kan håndtere en brist i fondsmæglerselskabets handelssystemer, og sikrer, at fondsmæglerselskabets systemer er grundigt afprøvet, og 13. I § 135, nr. 3, indsættes efter »handelssystemer,«: »herunder planer for it-driftsstabilitet og planer for it-indsats og genopretning i overensstemmelse med artikel 11 i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. 4)underlægge sine handelssystemer behørig overvågning, der sikrer, at kravene i nr. 1-3 er overholdt. 14. I § 135, nr. 4, indsættes efter »kravene i nr. 1-3«: »og kravene til it-risikostyring og til test af digital operationel modstandsdygtighed i kapitel II og IV i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. § 180 g. --- Stk. 2. --- Stk. 3. Finanstilsynet kan fastsætte nærmere regler om de foranstaltninger, som en it-operatør af et detailbetalingssystem skal træffe for at have betryggende kontrol- og sikringsforanstaltninger på it-området, jf. stk. 2, nr. 2. 15. I § 180 g, stk. 3, indsættes efter »detailbetalingssystem«: », der ikke er udpeget som operatør af finansiel digital infrastruktur, jf. § 333, stk. 3, i lov om finansiel virksomhed«. § 180 h. Finanstilsynet fastsætter bestemmelser om intern it-revision og om systemrevisionens gennemførelse for en it-operatør af et detailbetalingssystem. 16. I § 180 h indsættes efter »detailbetalingssystem«: », der ikke er udpeget som operatør af finansiel digital infrastruktur, jf. § 333, stk. 3, i lov om finansiel virksomhed«. § 211. --- Stk. 2. Finanstilsynet påser endvidere overholdelsen af: 1-14) --- 17. I § 211, stk. 2, indsættes som nr. 15 og 16:»15) Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf.16) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.« Stk. 3 og 4. --- § 226. § 224, stk. 1, er endvidere ikke til hinder for, at fortrolige oplysninger videregives til: 1-16) --- 18. I § 226 indsættes som nr. 17:»17) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, på betingelse af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.« § 236 a. Finanstilsynet kan efter høring af en operatør af en markedsplads eller central modpart (CCP), der underretter Finanstilsynet og Center for Cybersikkerhed om en hændelse, som har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer, orientere offentligheden om hændelsen, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge eller håndtere en igangværende hændelse. Offentliggørelsen må ikke indeholde fortrolige oplysninger om kundeforhold eller oplysninger omfattet af § 30 i lov om offentlighed i forvaltningen. Offentliggørelsen må ikke indeholde fortrolige oplysninger, der hidrører fra finansielle tilsynsmyndigheder i andre lande inden for eller uden for Den Europæiske Union, medmindre de myndigheder, der har afgivet oplysningerne, har givet deres udtrykkelige tilladelse. 19. § 236 a ophæves. § 248. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde overtrædelse af artikel 3, stk. 1 og 3, artikel 4, stk. 3, litra a-c, artikel 6, artikel 7, stk. 1, 3. afsnit, 1. pkt., artikel 8, stk. 1, 3 og 4, artikel 10, artikel 11, stk. 1, 3. afsnit, 1. pkt., og stk. 3, 3. afsnit, artikel 12, stk. 1, artikel 13, stk. 1, artikel 14, stk. 1, stk. 2, 1. afsnit, og stk. 3, 2.-4. pkt., artikel 15, stk. 1, 1. afsnit og 2. afsnit, 1. og 3. pkt., stk. 2 og stk. 4, 2. pkt., artikel 17, stk. 1, 2. pkt., artikel 18, stk. 1 og 2, stk. 4, 1. pkt., stk. 5, 1. pkt., stk. 6, 1. afsnit, og stk. 8 og 9, artikel 20, stk. 1, og stk. 2, 1. pkt., artikel 21, stk. 1, 2 og 3, artikel 22, stk. 2, artikel 23, stk. 1 og 2, artikel 25, stk. 1 og 2, artikel 26, stk. 1, 1. afsnit, stk. 2-5, stk. 6, 1. afsnit, og stk. 7, 1.-4. afsnit og 8. afsnit, artikel 27, stk. 1, artikel 27 f, stk. 1-3, artikel 27 g, stk. 1-5, og artikel 27 i, stk. 1-4, når en godkendt offentliggørelsesordning (APA) eller en godkendt indberetningsmekanisme (ARM) har en undtagelse i overensstemmelse med artikel 2, stk. 3, artikel 28, stk. 1 og stk. 2, 1. afsnit, artikel 29, stk. 1 og 2, artikel 30, stk. 1, artikel 31, stk. 2 og 3, artikel 35, stk. 1-3, artikel 36, stk. 1-3, og artikel 37, stk. 1 og 3, i Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter. 20. I § 248 udgår »artikel 27 f, stk. 1-3, artikel 27 g, stk. 1-5, og artikel 27 i, stk. 1-4, når en godkendt offentliggørelsesordning (APA) eller en godkendt indberetningsmekanisme (ARM) har en undtagelse i overensstemmelse med artikel 2, stk. 3,«. 21. I § 248 indsættes som 2. pkt.:»Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde overtrædelse af artikel 27 b, stk. 1 og 2, artikel 27 f, stk. 1-3, artikel 27 g, stk. 1-5, og artikel 27 i, stk. 1-4, når en godkendt offentliggørelsesordning (APA) eller en godkendt indberetningsmekanisme (ARM) har en undtagelse i overensstemmelse med artikel 2, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter.« 22. Efter § 251 a indsættes:»§ 251 b. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde overtrædelse af artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9, artikel 76, stk. 3, 4 og 9-15, artikel 88, stk. 1-3, og artikel 92, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.Stk. 2. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller fængsel indtil 4 måneder overtrædelse af artikel 59, stk. 1, artikel 60, stk. 2 og 6, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, artikel 76, stk. 1, 2 og 5-8, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.Stk. 3. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller fængsel indtil 1 år og 6 måneder overtrædelser af artikel 89, stk. 1 og 3, artikel 90, stk. 1, og artikel 91, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.§ 251 c. Medmindre højere straf er forskyldt efter den øvrige lovgivning straffes med bøde overtrædelse af artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1-3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.« § 4 I lov nr. 1155 af 8. juni 2021 om fondsmæglerselskaber og investeringsservice og -aktiviteter, som ændret bl.a. ved § 13 i lov nr. 2382 af 14. december 2021, § 10 i lov nr. 568 af 10. maj 2022, § 3 i lov nr. 409 af 25. april 2023 og senest ved § 4 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer: Lov om fondsmæglerselskaber og investeringsservice og -aktiviteter Fodnoten. Loven indeholder bestemmelser, der gennemfører Europa-Parlamentets og Rådets direktiv 2019/2034/EU af 27. november 2019 (IFD), EU-Tidende 2019, nr. L 314, side 64, dele af Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 (MiFID II), EU-Tidende 2014, nr. L 173, side 349, Europa-Parlamentets og Rådets direktiv 2007/44/EF af 5. september 2007 (kapitalandelsdirektivet), EU-Tidende 2007, nr. L 247, side 1, dele af Europa-Parlamentets og Rådets direktiv 2017/828/EU af 17. maj 2017 (aktionærrettighedsdirektivet), EU-Tidende 2017, nr. L 132, side 1, Europa-Parlamentets og Rådets direktiv 2002/87/EF af 16. december 2002 (konglomeratdirektivet), EU-Tidende 2003, nr. L 35, side 1, dele af Europa-Parlamentets og Rådets direktiv 2013/34/EU af 26. juni 2013 (regnskabsdirektivet), EU-Tidende 2013, nr. L 182, side 19, Kommissionens direktiv 2010/43/EU af 1. juli 2010, EU-Tidende 2010, nr. L 176, side 42, dele af Europa-Parlamentets og Rådets direktiv 2014/49/EU af 16. april 2014 (DGSD), EU-Tidende 2014, nr. L 173, side 149, dele af Europa-Parlamentets og Rådets direktiv 2015/849/EU af 20. maj 2015 (4. hvidvaskdirektiv), EU-Tidende 2015, nr. L 141, side 73, dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 (NIS-direktivet), EU-Tidende 2016, nr. L 194, side 1, dele af Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 (BRRD), EU-Tidende 2014, nr. L 173, side 190, Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296, og dele af Europa-Parlamentets og Rådets direktiv 2019/878/EU af 20. maj 2019, EU-Tidende 2019, nr. L 150, side 253-293.I loven er der endvidere medtaget visse bestemmelser fra Europa-Parlamentets og Rådets forordning 2019/2033/EU af 27. november 2019 (IFR), EU-Tidende 2019, nr. L 314, side 1, og Europa-Parlamentets og Rådets forordning 600/2014/EU af 15. maj 2014 (MiFIR), EU-Tidende 2014, nr. L 173, side 84. Ifølge artikel 288 i EUF-traktaten gælder en forordning umiddelbart i hver medlemsstat. Gengivelsen af disse bestemmelser i loven er således udelukkende begrundet i praktiske hensyn og berører ikke forordningernes umiddelbare gyldighed i Danmark. I loven er der endvidere medtaget visse bestemmelser fra Kommissionens forordning 584/2010/EU af 1. juli 2010, EU-Tidende 2010, nr. L 176, side 16, Europa-Parlamentets og Rådets forordning 1093/2010/EU af 24. november 2010, EU-Tidende 2010, nr. L 331, side 12, og Europa-Parlamentets og Rådets forordning 1095/2010/EU af 24. november 2010, EU-Tidende 2010, nr. L 331, side 84. 1. I fodnoten til lovens titel ændres »og dele af Europa-Parlamentets og Rådets direktiv 2019/878/EU af 20. maj 2019, EU-Tidende 2019, nr. L 150, side 253-293« til: », dele af Europa-Parlamentets og Rådets direktiv 2019/878/EU af 20. maj 2019, EU-Tidende 2019, nr. L 150, side 253-293 og dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«. § 13. --- Stk. 2. Værdipapirhandlere, som ikke har tilladelse efter § 7, stk. 1, § 8, stk. 1, eller § 10, stk. 2, i lov om finansiel virksomhed, er fondsmæglerselskaber. Fondsmæglerselskaber må kun yde eller udføre investeringsservice og -aktiviteter og accessoriske tjenesteydelser omfattet af bilag 1, jf. dog §§ 15 og 16. 2. I § 13, stk. 2, 2. pkt., indsættes efter », jf. dog«: »§ 13, stk. 6,«. Stk. 3-5. --- 3. I § 13 indsættes som stk. 6:»Stk. 6. Et fondsmæglerselskab kan levere tjenester med kryptoaktiver som angivet i artikel 60, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, svarende til de tjenester, som det specifikt er meddelt tilladelse til i henhold til denne lov, hvis selskabet giver Finanstilsynet meddelelse herom mindst 40 arbejdsdage inden disse tjenester leveres første gang. Meddelelsen skal ledsages af de oplysninger, der er anført i artikel 60, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.« § 95. Et fondsmæglerselskab skal træffe de nødvendige forholdsregler for at sikre sammenhæng og regelmæssighed i sin virksomhed som værdipapirhandler og anvende ressourcer, systemer og procedurer, der er hensigtsmæssige hertil. 4. § 95, stk. 1, affattes således:»Et fondsmæglerselskab skal, træffe de foranstaltninger, som er nødvendige for at sikre kontinuitet og regelmæssighed i ydelsen af investeringsservice og udførelsen af investeringsaktiviteter. Fondsmæglerselskabet skal med henblik herpå anvende hensigtsmæssige og forholdsmæssigt afpassede systemer, herunder it-systemer, som oprettes og styres i overensstemmelse med artikel 7 i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, samt hensigtsmæssige og forholdsmæssigt afpassede ressourcer og procedurer.« Stk. 2-7. --- § 164. Finanstilsynet kan endvidere inddrage et fondsmæglerselskabs tilladelse som fondsmæglerselskab i følgende tilfælde: 1)Fondsmæglerselskabet gør sig skyldig i grove eller gentagne overtrædelser af a-c) --- d) Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter eller 5. I § 164, stk. 1, nr. 1, litra d, ændres »instrumenter eller« til: »instrumenter,«, og i litra e, ændres »terrorisme.« til: »terrorisme eller«. e) forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2015/849 af 20. maj 2015 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme. 5. I § 164, stk. 1, nr. 1, litra d, ændres »instrumenter eller« til: »instrumenter,«, og i litra e, ændres »terrorisme.« til: »terrorisme eller«. 6. I § 164, stk. 1, nr. 1, indsættes som litra f:»f) Europa-Parlamentets og Rådets (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.« 2-4) --- Stk. 2 og 3. --- § 214. Finanstilsynet skal uden ugrundet ophold nedskrive eller konvertere hybride kapitalinstrumenter og supplerende kapitalinstrumenter, som opfylder kravene i artikel 9, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) nr. 2019/2033 af 27. november 2019 om tilsynsmæssige krav til investeringsselskaber, i et fondsmæglerselskab, der har tilladelse til at yde eller udføre en eller begge af de i bilag 1, afsnit A, nr. 3 og 6, nævnte investeringsservicer og -aktiviteter, til egentlige kernekapitalinstrumenter. Det samme gælder for nedskrivningsegnede forpligtelser, som opfylder betingelserne i § 205, nr. 4, uanset om forpligtelserne opfylder betingelsen i § 205, nr. 4, litra b, om en restløbetid på mindst 1 år. 7. I § 214, stk. 1, 1. pkt., indsættes efter »egentlige kernekapitalinstrumenter«: », hvis Finanstilsynet vurderer, at fondsmæglerselskabet ikke vil være levedygtigt, medmindre beføjelsen anvendes«. Stk. 2-7. --- 8. I § 214 indsættes som stk. 8 og 9:»Stk. 8. Kapitalejere og kreditorer, hvis krav er blevet nedskrevet eller konverteret i henhold til stk. 1, må ikke lide større tab end ved konkursbehandling af fondsmæglerselskabet.Stk. 9. Finanstilsynets vurdering efter stk. 8 foretages på baggrund af værdiansættelsen i § 8 i lov om restrukturering og afvikling af visse finansielle virksomheder. Værdiansættelsen foretages af Finansiel Stabilitet efter anmodning fra Finanstilsynet. Konstateres det, at en kapitalejer eller kreditor, herunder Garantiformuen, har lidt større tab, end den ville have gjort ved konkursbehandling af fondsmæglerselskabet, betales forskellen af Afviklingsformuen, jf. kapitel 11 i lov om restrukturering og afvikling af visse finansielle virksomheder.« § 216. --- Stk. 2. --- Stk. 3. Stk. 1 finder ikke anvendelse, hvis forpligtelsen er undtaget fra bail-in, jf. § 25, stk. 3, i lov om restrukturering og afvikling af visse finansielle virksomheder, eller hvis forpligtelsen er et berettiget indskud, jf. § 2, nr. 5, i lov om restrukturering og afvikling af visse finansielle virksomheder. 9. § 216, stk. 3, affattes således:»Stk. 3. Stk. 1 finder ikke anvendelse, hvis1) forpligtelsen er undtaget fra bail-in, jf. § 25, stk. 3, i lov om restrukturering og afvikling af visse finansielle virksomheder,2) forpligtelsen er en del af berettigede kontante midler tilhørende fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, jf. § 2, nr. 19, i lov om restrukturering og afvikling af visse finansielle virksomheder, og overstiger beløbsgrænsen for dækkede kontante midler, jf. § 10 i lov om en indskyder- og investorgarantiordning, eller3) forpligtelsen ville være berettigede kontante midler tilhørende fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, hvis ikke midlerne var indsat gennem filialer af institutter, der er etableret inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, når filialen er beliggende uden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område.« Stk. 4-6. --- § 217. Et fondsmæglerselskab, der har tilladelse til at yde eller udføre en eller begge af de i bilag 1, afsnit A, nr. 3 og 6, nævnte investeringsservicer og -aktiviteter, en fondsmæglerholdingvirksomhed, en blandet holdingvirksomhed, en blandet finansiel holdingvirksomhed eller et finansieringsinstitut skal underrette Finanstilsynet, hvis det ikke er muligt at opfylde § 216, stk. 1, i forhold til en kontrakt vedrørende en forpligtelse omfattet af § 97 i konkursloven. Underretningen skal angive kategorien af forpligtelsen og begrundelsen for, at det ikke er muligt at indføre kontraktbestemmelsen. 10. I § 217, stk. 1, indsættes efter 1. pkt. som nyt punktum:¬»Dette omfatter dog ikke usikrede obligationer og andre former for omsættelig gæld og instrumenter, der skaber eller anerkender en gæld«. Stk. 2-7. --- § 219. --- Stk. 2. Finanstilsynet påser endvidere overholdelsen af § 32, stk. 3, nr. 1, jf. § 32, stk. 6, i revisorloven og følgende EU-retsakter og regler udstedt i medfør heraf: 1-11) --- 11. I § 219, stk. 2, indsættes som nr. 12 og 13:»12) Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf.13) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.« Stk. 3. --- § 257. § 255, stk. 1, er endvidere ikke til hinder for, at fortrolige oplysninger videregives til følgende: 1-14) --- 12. I § 257, stk. 1, indsættes som nr. 15:»15) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.« Stk. 2-6. --- § 259. Som part 1646 i forhold til Finanstilsynet anses fondsmæglerselskabet, fondsmæglerholdingvirksomheden, den tilknyttede agent etableret her i landet, den blandede finansielle holdingvirksomhed, den blandede holdingvirksomhed, investeringsselskabet eller investeringsholdingvirksomheden, som Finanstilsynet har truffet eller vil træffe afgørelse1648 over for i medfør af denne lov, forskrifter fastsat i medfør af denne lov, Europa-Parlamentets og Rådets forordning (EU) 2019/2033 af 27. november 2019 om tilsynsmæssige krav til investeringsselskaber, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2019/2034 af 27. november 2019 om tilsyn med investeringsselskaber og forordninger og regler udstedt i medfør af Europa-Parlamentets og Rådets forordning (EU) 2019/2033 af 27. november 2019 om tilsynsmæssige krav til investeringsselskaber, Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf, jf. dog stk. 2 og 3. 13. I § 259, stk. 1, ændres »tjenesteydelser og« til: »tjenesteydelser,«, og efter »bæredygtige investeringer« indsættes: » og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. Stk. 2-5. --- § 266. Med bøde straffes overtrædelse af følgende bestemmelser, medmindre højere straf er forskyldt efter den øvrige lovgivning: 1-4) --- 14. I § 266, stk. 1, indsættes som nr. 5:»5) Artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9, artikel 76, stk. 3, 4 og 9-15, artikel 77, artikel 78, artikel 79, artikel 80, stk. 1-3, artikel 81, stk. 1-14, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.« Stk. 2. Med bøde eller fængsel indtil 4 måneder straffes overtrædelse af følgende bestemmelser, medmindre højere straf er forskyldt efter den øvrige lovgivning: 1-3) --- 15. I § 266, stk. 2, indsættes som nr. 4 og 5:»4) Artikel 59, stk. 1, artikel 60, stk. 3, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, artikel 76, stk. 1, 2 og 5-8, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.5) Artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.« § 275. Afgørelser truffet af Finanstilsynet eller Erhvervsstyrelsen kan af den, som afgørelsen retter sig til, indbringes for Erhvervsankenævnet, senest 4 uger efter at afgørelsen er meddelt den pågældende i henhold til følgende: 1-8) --- 16. I § 275, stk. 1, indsættes som nr. 9 og 10:»9) Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.10) Europa-Parlamentets og Rådets forordning EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.« Stk. 2. --- § 276. Erhvervsministeren kan fastsætte regler, som er nødvendige for at anvende eller gennemføre de afgørelser eller retsakter, som vedtages af Europa-Kommissionen i medfør af følgende: 1-8) --- 17. I § 276, stk. 1, indsættes som nr. 9 og 10:»9) Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.10) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.« § 5 I lov om forvaltere af alternative investeringsfonde m.v., jf. lovbekendtgørelse nr. 2015 af 1. november 2021, som ændret bl.a. ved § 2 i lov nr. 641 af 19. maj 2020, § 2 i lov nr. 2382 af 14. december 2021, § 9 i lov nr. 568 af 10. maj 2022, § 6 i lov nr. 409 af 25. april 2023, og senest ved § 6 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer: Lov om forvaltere af alternative investeringsfonde m.v. Fodnoten. Loven gennemfører Europa-Parlamentets og Rådets direktiv 2011/61/EU af 8. juni 2011 om forvaltere af alternative investeringsfonde og om ændring af direktiv 2003/41/EF og 2009/65/EF samt forordning 1060/2009/EU og 1095/2010/EU, EU-Tidende 2011, nr. L 174, side 1, dele af Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter og om ændring af direktiv 2002/92/EF og direktiv 2011/61/EU, EU-Tidende 2014, nr. L 173, side 349, dele af Europa-Parlamentets og Rådets direktiv 2015/849/EU af 20. maj 2015 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme, om ændring af Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 og om ophævelse af Europa-Parlamentets og Rådets direktiv 2005/60/EF samt Kommissionens direktiv 2006/70/EF (4. hvidvaskdirektiv), EU-Tidende 2015, nr. L 141, side 73, og dele af Europa-Parlamentets og Rådets direktiv 2018/843/EU af 30. maj 2018 om ændring af direktiv (EU) 2015/849 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme og om ændring af direktiv 2009/138/EF og 2013/36/EU, EU-Tidende 2018, nr. L 156, side 43, dele af Europa-Parlamentets Rådets direktiv (EU) 2017/828 af 17. maj 2017 om ændring af direktiv 2007/36/EF, for så vidt angår tilskyndelse til langsigtet aktivt ejerskab, EU-Tidende 2017, nr. L 132, side 1, og dele af Europa-Parlamentets og Rådets direktiv 2019/1160/EU af 20. juni 2019 om ændring af direktiv 2009/65/EF og 2011/61/EU for så vidt angår grænseoverskridende distribution af kollektive investeringsinstitutter, EU-Tidende 2019, nr. L 188, side 106. I loven er der endvidere medtaget visse bestemmelser fra Europa-Parlamentets og Rådets forordning 2013/345/EU af 17. april 2013 om europæiske venturekapitalfonde, EU-Tidende 2013, nr. L 115, side 1, Europa-Parlamentets og Rådets forordning 2013/346/EU af 17. april 2013 om europæiske sociale iværksætterfonde, EU-Tidende 2013, nr. L 115, side 18, Europa-Parlamentets og Rådets forordning 2017/1131/EU af 14. juni 2017 om pengemarkedsforeninger, EU-Tidende 2017, nr. L 169, side 8, og Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering og om ændring af direktiv 2009/65/EF, 2009/138/EF og 2011/61/EU og forordning 1060/2009/EF og 648/2012/EU, EU-Tidende 2017, nr. L 347, side 35. Ifølge artikel 288 i EUF-traktaten gælder en forordning umiddelbart i hver medlemsstat. Gengivelsen af disse bestemmelser i loven er således udelukkende begrundet i praktiske hensyn og berører ikke forordningernes umiddelbare gyldighed i Danmark. 1. I fodnoten til lovens titel ændres »og dele af Europa-Parlamentets og Rådets direktiv 2019/1160/EU af 20. juni 2019 om ændring af direktiv 2009/65/EF og 2011/61/EU for så vidt angår grænseoverskridende distribution af kollektive investeringsinstitutter, EU-Tidende 2019, nr. L 188, side 106« til: »dele af Europa-Parlamentets og Rådets direktiv 2019/1160/EU af 20. juni 2019 om ændring af direktiv 2009/65/EF og 2011/61/EU for så vidt angår grænseoverskridende distribution af kollektive investeringsinstitutter, EU-Tidende 2019, nr. L 188, side 106, og dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2556 af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«. § 8. --- Stk. 2-5. --- 2. I § 8 indsættes som stk. 6:»Stk. 6. En forvalter af alternative investeringsfonde kan levere tjenester med kryptoaktiver som angivet i artikel 60, stk. 5, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, som der specifikt er meddelt tilladelse til i henhold til denne lov, hvis forvalteren giver Finanstilsynet meddelelse mindst 40 arbejdsdage, inden disse tjenester leveres første gang. Meddelelsen skal ledsages af de oplysninger, der er anført i artikel 60, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.« § 27. --- Stk. 2. Under hensynstagen til karakteren af de forvaltede alternative investeringsfonde skal forvalteren have effektive former for virksomhedsstyring, herunder 1-5) --- 6)betryggende kontrol- og sikringsforanstaltninger på it-området og 3. I § 27, stk. 2, nr. 6, indsættes efter »it-området«: », inklusiv for net- og informationssystemer, der oprettes og styres i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. 7) --- Stk. 3. --- § 155. Finanstilsynet påser overholdelsen af regler udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2011/61/EU af 8. juni 2011 om forvaltere af alternative investeringsfonde, og af denne lov og de regler, der er udstedt i medfør af loven, undtagen § 27 b. Finanstilsynet kontrollerer, at reglerne for finansiel information i årsrapporter og delårsrapporter udstedt i medfør af § 131 er overholdt for forvaltere af alternative investeringsfonde, som har udstedt værdipapirer, der er optaget til handel på et reguleret marked, jf. § 213, stk. 1-5 og 8, i lov om kapitalmarkeder. Finanstilsynet påser endvidere overholdelsen af regler udstedt i medfør af § 31, stk. 8, i revisorloven. Erhvervsstyrelsen påser dog overholdelsen af § 136. Finanstilsynet påser desuden overholdelsen af Europa-Parlamentets og Rådets forordning nr. 346/2013/EU af 17. april 2013 om europæiske sociale iværksætterfonde, Europa-Parlamentets og Rådets forordning nr. 345/2013/EU af 17. april 2013 om europæiske venturekapitalfonde, Europa-Parlamentets og Rådets forordning 2017/1131/EU af 14. juni 2017 om pengemarkedsforeninger og Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering og regler fastsat i medfør heraf og regler fastsat i medfør heraf. Finanstilsynet påser overholdelsen af Europa-Parlamentets og Rådets forordning 1286/2014/EU af 26. november 2014 om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP’er), Europa-Parlamentets og Rådets forordning 2019/1156/EU af 20. juni 2019 om lettere grænseoverskridende distribution af kollektive investeringsinstitutter og om ændring af forordning (EU) nr. 345/2013, (EU) nr. 346/2013 og (EU) nr. 1286/2014 og Europa-Parlamentets og Rådets forordning 2019/1238/EU af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt), Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf. 4. I § 155, stk. 1, indsættes som 6. pkt.:»Finanstilsynet påser endvidere overholdelsen af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf samt Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.« Stk. 2-6. --- § 170. --- Stk. 2-6. --- Stk. 7. Bestemmelsen i stk. 1 er ikke til hinder for, at fortrolige oplysninger videregives til: 1-28) --- 5. I § 170, stk. 7, indsættes som nr. 29:»29) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.« Stk. 8-11. --- § 171. Reaktioner givet i henhold til denne lovs § 156, jf. § 345, stk. 12, nr. 4, i lov om finansiel virksomhed, eller af Finanstilsynet efter delegation fra Finanstilsynets bestyrelse til en forvalter af alternative investeringsfonde under tilsyn skal offentliggøres med angivelse af forvalterens navn, jf. dog stk. 4. Forvalteren skal offentliggøre oplysningerne på sin hjemmeside på et sted, hvor de naturligt hører hjemme, hurtigst muligt og senest 3 hverdage efter at den pågældende forvalter har modtaget underretning om reaktionen, eller senest på tidspunktet for offentliggørelse påkrævet efter lov om kapitalmarkeder. Samtidig med offentliggørelsen skal den pågældende forvalter indsætte et link, som giver direkte adgang til reaktionen, på forsiden af den pågældende forvalters hjemmeside på en synlig måde, og det skal af linket og en eventuel tilknyttet tekst tydeligt fremgå, at der er tale om en reaktion fra Finanstilsynet. Hvis den pågældende forvalter kommenterer reaktionen, skal dette ske i forlængelse af denne, og kommentarerne skal være klart adskilt fra reaktionen. Fjernelse af linket på forsiden og informationerne fra den pågældende forvalters hjemmeside skal finde sted efter samme principper, som den pågældende forvalter anvender for øvrige meddelelser, dog tidligst når linket og informationerne har ligget på hjemmesiden i 3 måneder, og tidligst efter førstkommende generalforsamling. Forvaltere af alternative investeringsfondes pligt til at offentliggøre på forvalterens hjemmeside gælder kun for juridiske personer. Finanstilsynet skal offentliggøre oplysningerne på tilsynets hjemmeside. Reaktioner givet i henhold til § 156, jf. § 345, stk. 12, nr. 6, i lov om finansiel virksomhed, og Finanstilsynets beslutninger om at overgive sager til politimæssig efterforskning skal offentliggøres på Finanstilsynets hjemmeside med angivelse af forvalterens navn, jf. dog stk. 4. 6. I § 171, stk. 1, indsættes som 9-11. pkt.:»Reaktioner givet i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor skal offentliggøres på Finanstilsynets hjemmeside med angivelse af forvalterens navn, jf. dog stk. 4. Indbringes reaktionen, der offentliggøres i henhold til 1. eller 8. pkt., for Erhvervsankenævnet eller domstolene, skal dette fremgå af Finanstilsynets offentliggørelse. Sagens status og resultatet af Erhvervsankenævnets eller domstolenes afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt.« Stk. 2-6. --- § 189. Afgørelser truffet af Finanstilsynet eller Erhvervsstyrelsen i henhold til loven eller regler udstedt i medfør af loven, Europa-Parlamentets og Rådets forordning nr. 346/2013/EU af 17. april 2013 om europæiske sociale iværksætterfonde, Europa-Parlamentets og Rådets forordning nr. 345/2013/EU af 17. april 2013 om europæiske venturekapitalfonde, Europa-Parlamentets og Rådets forordning 2017/1131/EU af 14. juni 2017 om pengemarkedsforeninger, Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering, Europa-Parlamentets og Rådets forordning 1286/2014/EU af 26. november 2014 om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP’er), Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser eller Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer eller regler udstedt i medfør heraf kan af den, som afgørelsen retter sig mod, indbringes for Erhvervsankenævnet, senest 4 uger efter at afgørelsen er meddelt den pågældende. 7. I § 189 ændres »tjenesteydelser eller« til: »tjenesteydelser,« og efter »bæredygtige investeringer« indsættes », Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver eller Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. § 190. Overtrædelse af § 4, stk. 2, 1. pkt., § 5, stk. 1-3, stk. 4, 1. pkt., § 6, stk. 1, § 8, stk. 1 og 4, § 9, stk. 1-3, § 10, stk. 1, § 11, stk. 1, § 13, stk. 5, § 15, stk. 1, § 16, stk. 1, stk. 2, 1. pkt., stk. 4, 1. og 3. pkt., og stk. 5 og 7, § 18, stk. 1 og 2, § 19, § 20 a, § 23, stk. 1-5, § 24, stk. 1-6, § 25, stk. 1-3, § 26, § 27, stk. 1 og 2, §§ 29 og 30, § 31, stk. 3 og 4, § 32, stk. 1, § 33, § 34, stk. 1, § 36, stk. 1 og 2, §§ 38-41, § 42, stk. 2, §§ 43 og 45, § 46, stk. 6, jf. § 13, stk. 3, §§ 50-53, § 54, stk. 1, 4 og 5, § 59, § 61, stk. 1-5, § 62, stk. 1 og 2, §§ 64 og 65, § 67, stk. 1-5, § 68, stk. 1-3, §§ 72-74, § 75, stk. 1, § 77, § 79, stk. 1, § 81, § 86, stk. 1, § 87 a, stk. 3 og 6, § 88, stk. 1, § 88 a, stk. 1-3 og 5, stk. 7, 1. pkt., og stk. 8 og 9, § 93, stk. 1, § 95, § 96, stk. 1, §§ 98 og 99, § 101, stk. 1, § 106, stk. 1, § 108, stk. 1, § 109, nr. 2, 2. pkt., § 111, § 118, stk. 1 og 4, § 121, stk. 1-3, § 123, stk. 1, § 127, § 128, stk. 1 og 10, § 129, stk. 1, § 134, stk. 6, 1. og 2. pkt., § 135, stk. 1-3, § 136, stk. 4, § 137, stk. 4, § 138, § 139, stk. 2, 1. pkt., § 141, stk. 1-5, § 146, stk. 1, 3. pkt., § 149, stk. 1, 2. pkt., og §§ 154 a-154 c samt artikel 2, stk. 6, 3.-5. pkt., artikel 4, stk. 3 og 5, artikel 51, stk. 1, 1. pkt., artikel 52, artikel 53, stk. 1, stk. 2, 1. og 3.-6. pkt., og stk. 3-5, artikel 54, artikel 90, stk. 2, 3. pkt., og stk. 3, artikel 91, artikel 98, stk. 6 og 7, artikel 100, stk. 2, 2. pkt., og stk. 4 og 5, artikel 103, artikel 104, stk. 4-7, artikel 106, stk. 4, artikel 107, stk. 4, og artikel 109, stk. 1, i Kommissionens delegerede forordning (EU) nr. 231/2013 af 19. december 2012 om udbygning af Europa-Parlamentets og Rådets direktiv 2011/61/EU for så vidt angår undtagelser, generelle vilkår for drift, depositarer, gearing, gennemsigtighed og tilsyn og artikel 4, artikel 5, stk. 1, 1. pkt., og stk. 2 og 3, artikel 6, stk. 1, artikel 7, artikel 8, stk. 1, 2. pkt., artikel 9, stk. 1, 3 og 4, artikel 10, artikel 11, stk. 1, artikel 12, stk. 1 og 2, artikel 13, stk. 1 og 2, og artikel 15 i Europa-Parlamentets og Rådets forordning (EU) nr. 345/2013 om europæiske venturekapitalfonde og artikel 4, artikel 5, stk. 1, 1. pkt., og stk. 2 og 3, artikel 6, stk. 1, artikel 7, artikel 8, stk. 1, 2. pkt., artikel 9, stk. 1, 3 og 4, artikel 10, stk. 1, artikel 11, artikel 12, stk. 1, artikel 13, stk. 1-3, artikel 14, stk. 1 og 2, og artikel 16 i Europa-Parlamentets og Rådets forordning (EU) nr. 346/2013 om europæiske sociale iværksætterfonde straffes med bøde eller fængsel indtil 4 måneder, medmindre højere straf er forskyldt efter anden lovgivning. 8. I § 190, stk. 1, indsættes efter »om europæiske sociale iværksætterfonde«: »og artikel 59, stk. 1, artikel 60, stk. 5, artikel 70, stk. 1-4, og artikel 72, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«. Stk. 2. Overtrædelse af § 15, stk. 4, § 20, stk. 1-8, § 21, stk. 1, stk. 2, 2. pkt., og stk. 3-5, § 22, stk. 1-3, § 27 a, stk. 1, § 27 b, stk. 1, § 27 c, stk. 1, § 28, stk. 1, nr. 1 og 2, og stk. 2, nr. 1 og 2, § 28 a, § 136 a, stk. 3, 5 og 6, § 163, stk. 3, 5 og 6, og § 171, stk. 1, 1.-5. pkt., og stk. 3, 1.-7. pkt., artikel 5, stk. 1, artikel 6 og 7, artikel 8, stk. 1-3, artikel 9, artikel 10, stk. 1, artikel 13, stk. 1, 3 og 4, og artikel 14 og 19 i Europa-Parlamentets og Rådets forordning 1286/2014/EU om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP’er), artikel 4, stk. 1, artikel 6, artikel 7, stk. 1-4, artikel 9, artikel 10, stk. 1, artikel 11, stk. 1-3, artikel 12-14, artikel 15, stk. 1-5, artikel 16, stk. 1-4 og 6, artikel 17, stk. 1-6, 8 og 9, artikel 18, stk. 1, artikel 19-21 og 23, artikel 24, stk. 1, artikel 25, stk. 1, artikel 26 og 27, artikel 28, stk. 1-5, artikel 29, stk. 1-5 og 7, artikel 30, stk. 3, artikel 31, stk. 3 og 4, artikel 32, stk. 3 og 4, artikel 33, artikel 34, stk. 1 og 3, artikel 35, stk. 1, artikel 36, artikel 37, stk. 1-3, og artikel 44, stk. 1, i Europa-Parlamentets og Rådets forordning 2017/1131/EU af 14. juni 2017 om pengemarkedsforeninger og artikel 5-7, 18-30, 33-42, 44-46, 48, 50 og 52-56 i Europa-Parlamentets og Rådets forordning 2019/1238/EU af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt), straffes med bøde. 9. I § 190, stk. 2, indsættes efter »om pengemarkedsforeninger«: », artikel 64, stk. 8, artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, og artikel 81, stk. 1-14, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. Stk. 3-10. --- § 6 I lov om firmapensionskasser, jf. lovbekendtgørelse nr. 355 af 2. april 2020, som ændret bl.a. ved § 7 i lov nr. 1940 af 15. december 2020, § 2382 af 14. december 2021, § 4 i lov nr. 409 af 25. april 2023, og senest ved § 337 i lov nr. 718 af 13. juni 2023, foretages følgende ændringer: Lov om firmapensionskasser § 3. I denne lov forstås ved: 1-27) --- 1. I § 3 indsættes som nr. 28 og 29:»28) Variable løndele: Aflønningsordninger, hvor den endelige aflønning ikke er kendt på forhånd, herunder bonusordninger, resultatkontrakter, engangsvederlag og andre lignende ordninger, der ikke er en del af den faste løndel.29) Kønsneutral lønpolitik: En lønpolitik baseret på lige løn for samme arbejde eller arbejde af samme værdi uanset den ansattes køn.« 2. Efter § 43 d indsættes:»§ 43 e. En firmapensionskasse skal vedtage en skriftlig lønpolitik, der fremmer en sund og effektiv risikostyring.Stk. 2. Firmapensionskassens lønpolitik skal være kønsneutral.§ 43 f. Firmapensionskassens øverste organ skal godkende firmapensionskassens lønpolitik, jf. § 43 e, herunder retningslinjer for tildeling af variabel løn og retningslinjer for fratrædelsesgodtgørelser, ved enhver væsentlig ændring og mindst hvert fjerde år. Firmapensionskassens lønpolitik skal hurtigst muligt efter godkendelsen offentliggøres på firmapensionskassens hjemmeside. Lønpolitikken skal forblive offentligt tilgængelig på hjemmesiden, så længe den er gældende.Stk. 2. Formanden for Firmapensionskassens bestyrelse skal i sin beretning for firmapensionskassens øverste organ redegøre for aflønningen af firmapensionskassens bestyrelse og direktion. Redegørelsen skal indeholde oplysninger om aflønning i det foregående regnskabsår og om den forventede aflønning i indeværende og det kommende regnskabsår. Formanden for bestyrelsen skal forklare og begrunde lønpolitikkens indhold og dens efterlevelse i sin beretning for virksomhedens øverste organ.Stk. 3. Firmapensionskassens øverste organ skal godkende aflønningen af firmapensionskassens bestyrelse for det igangværende regnskabsår.Stk. 4. Bestyrelsen firmapensionskassen skal årligt udarbejde og offentliggøre en vederlagsrapport.Stk. 5. Vederlagsrapporten skal indeholde følgende:1) Oplysninger om det samlede vederlag, som hvert medlem af bestyrelsen og direktionen som led i dette hverv har optjent fra firmapensionskassen og andre virksomheder inden for samme koncern i de seneste tre år, herunder oplysninger om fastholdelses- og fratrædelsesordningers væsentligste indhold.2) En redegørelse for sammenhængen mellem ledelsens aflønning og firmapensionskassens strategi og relevante mål herfor.Stk. 6. Hurtigst muligt efter generalforsamlingens afholdelse skal vederlagsrapporten offentliggøres på firmapensionskassens hjemmeside. Vederlagsrapporten skal forblive offentligt tilgængelig på hjemmesiden i en periode på 10 år. Vederlagsrapporten kan være tilgængelig i en længere periode end 10 år, forudsat at den ikke længere indeholder personoplysninger.Outsourcing§ 43 g. Ved en firmapensionskasses outsourcing af aktiviteter til en leverandør skal firmapensionskassen sikre, at aflønning af ledelsen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, hos leverandøren sker inden for rammerne af firmapensionskassens lønpolitik. Det skal fremgå af aftalen mellem firmapensionskassen og leverandøren, at firmapensionskassens lønpolitik skal overholdes.Stk. 2. Stk. 1 finder ikke anvendelse, i det omfang leverandøren allerede er underlagt regler om aflønning i den finansielle regulering.Aflønning af ledelsen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassen risikoprofil§ 43 h. Ved firmapensionskassers aflønning af bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, skal firmapensionskassen sikre sig, at følgende er opfyldt:1) De variable løndele til et medlem af bestyrelsen eller direktionen må på tidspunktet for beregningen af den variable løndel højst udgøre 50 pct. af henholdsvis honoraret og den faste grundløn inklusive pension.2) De variable løndele til andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, må højst udgøre 100 pct. af den faste grundløn, inklusive pension på tidspunktet for beregningen af den variable løn.3) Firmapensionskassens øverste organ kan dog beslutte, at de variable løndele til andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, jf. nr. 2, kan udgøre op til 200 pct. af den faste grundløn, inklusive pension, på tidspunktet for beregningen af den variable løndel forudsat af følgende krav opfyldes:a) Firmapensionskassen skal senest ved indkaldelse til det øverste organs forsamling orientere det øverste organ om, at der ønskes stillingtagen til benyttelse af et højere maksimalt loft for de variable løndele.b) Det øverste organ skal tage beslutningen om benyttelse af et højere maksimalt loft for de variable løndele på baggrund af en detaljeret anbefaling fra firmapensionskassen, der begrunder indstillingen herom, herunder antallet af berørte ansatte, disses arbejdsområder, det nye foreslåede maksimale loft og den forventede indvirkning på firmapensionskassens mulighed for at bevare et sundt kapitalgrundlag. Medlemmerne af det øverste organ skal modtage anbefalingen senest samtidig med indkaldelsen til det øverste organs forsamling.c) Firmapensionskassen skal senest samtidig med formidling af anbefalingen til medlemmerne af det øverste organ, jf. litra b, informere Finanstilsynet om anbefalingen til det øverste organ, herunder det foreslåede højere maksimale loft og begrundelsen for indstillingen. Firmapensionskassen skal på anmodning fra Finanstilsynet godtgøre, at det foreslåede højere maksimale loft ikke er i strid med firmapensionskassens forpligtelser efter loven og regler udstedt i medfør af § 43, stk. 2, herunder kapitalgrundlagskravene.d) Beslutningen om benyttelse af et højere maksimalt loft skal tiltrædes af firmapensionskassens øverste organ med mindst 66 pct. af de afgivne stemmer, forudsat at mindst 50 pct. af de stemmeberettigede medlemmer er repræsenteret på forsamlingen. Er mindre end 50 pct. af de stemmeberettigede medlemmer repræsenteret på forsamlingen, skal beslutningen tiltrædes af mindst 75 pct. af de afgivne stemmer. En ansat, som er medlem af det øverste organ i firmapensionskassen, må ikke deltage i afstemningen herom på det øverste organs forsamling, hvis den ansatte har en væsentlig interesse i beslutningen, der kan være stridende mod firmapensionskassens interesser.e) Firmapensionskassen skal senest 8 dage efter det øverste organs forsamling informere Finanstilsynet om det øverste organs beslutning, herunder om størrelsen af et eventuelt besluttet højere maksimalt loft.4) Mindst 50 pct. af en variabel løndel til bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, skal på tidspunktet for beregningen af den variable løn bestå af en balance af efterstillet gæld i firmapensionskassen eller andre instrumenter, som i en passende grad afspejler firmapensionskassens kreditværdighed som en firmapensionskasse, hvis aktivitet formodes at fortsætte. Instrumenterne kan udstedes i firmapensionskassen eller dennes modervirksomhed, der ejer firmapensionskassen fuldt ud.5) Udbetaling af mindst 40 pct. af en variabel løndel, ved større beløb mindst 60 pct., sker over en periode på mindst fire år, med påbegyndelse ét år efter beregningstidspunktet, dog for bestyrelsen og direktionen mindst fem år. Udbetalingen skal ske med en ligelig fordeling over årene eller med en voksende andel i slutningen af perioden.6) Firmapensionskassen kan undlade at udbetale en variabel løndel helt eller delvis, såfremt firmapensionskassen på tidspunktet for udbetaling af den variable løndel ikke overholder solvenskapitalkravet i § 54, eller hvis Finanstilsynet vurderer, at der er nærliggende risiko herfor.7) Firmapensionskassen må ikke udbetale variabel løn til bestyrelsen eller direktionen, såfremt Finanstilsynet i medfør af § 83 kræver, at firmapensionskassen udarbejder en plan for genoprettelse af firmapensionskassens økonomiske stilling.Stk. 2. For bestyrelsen og direktionen må aktieoptioner i modervirksomheden eller lignende instrumenter højst udgøre 12,5 pct. af henholdsvis honoraret og den faste grundløn inklusive pension på tidspunktet for beregningen heraf.Stk. 3. En firmapensionskasse skal sikre, at efterstillet gæld, instrumenter m.v., der overdrages til bestyrelsen, direktionen eller andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, som en del af den variable løn, som er nævnt i stk. 1, nr. 4, ikke må afhændes af disse personer i en passende periode.Stk. 4. En firmapensionskasse skal sikre, at udbetaling af den udskudte variable løndel, jf. stk. 1, nr. 5, til bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, er betinget af, at de kriterier, der har dannet grundlag for beregningen af den variable løndel, fortsat er opfyldt på udbetalingstidspunktet, betinget af, at den pågældende ikke har deltaget i eller været ansvarlig for en adfærd, der har resulteret i betydelige tab for virksomheden, eller ikke har efterlevet passende krav til hæderlighed, samt betinget af, at virksomhedens økonomiske situation ikke er væsentligt forringet i forhold til tidspunktet for beregningen af den variable løndel.Stk. 5. En firmapensionskasse skal sikre, at bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, og som modtager variabel løn, skal tilbagebetale den variable løn helt eller delvis, hvis den variable løn er udbetalt på grundlag af oplysninger om resultater, som kan dokumenteres at være fejlagtige, og hvis modtageren af den variable løn er i ond tro.Stk. 6. Tildeler en firmapensionskasse bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, en pensionsydelse, som udgør variabel løn, jf. § 3, nr. 28, skal firmapensionskassen, hvis modtageren forlader firmapensionskassen inden pensionstidspunktet, beholde denne pensionsydelse i form af instrumenter som nævnt i stk. 1, nr. 4, i fem år. Stk. 4 og 5 finder tilsvarende anvendelse på de i 1. pkt. nævnte tilfælde. Er modtageren et medlem af bestyrelsen eller ansat i firmapensionskassen ved pensionsalderen, skal firmapensionskassen udbetale den variable del af pensionsydelsen til modtageren i form af de i stk. 1, nr. 4, nævnte instrumenter uden mulighed for afhændelse eller udnyttelse i en periode på 5 år. Stk. 5 finder tilsvarende anvendelse på de i 3. pkt. nævnte tilfælde.Stk. 7. For personer i ansættelsesforhold, der er omfattet af en kollektiv overenskomst, finder stk. 1-6 kun anvendelse på aftaler om variable løndele, hvis aftalerne om variabel løn ikke er fastsat i overenskomsten.« § 97. Finanstilsynet påser overholdelsen af denne lov og af de bestemmelser, der er udstedt i medfør af loven, undtagen § 36, stk. 7, og § 45, jf. dog § 111. Finanstilsynet påser endvidere overholdelsen af Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering, Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf. Erhvervsstyrelsen påser overholdelsen af § 21. 3. I § 97, stk. 1, 2. pkt., ændres »tjenesteydelser og« til: »tjenesteydelser,«, og efter »bæredygtige investeringer« indsættes: »og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. Stk. 2. --- § 103. --- Stk. 2-5. --- Stk. 6. Bestemmelsen i stk. 1 er ikke til hinder for, at fortrolige oplysninger videregives til: 1-29) --- 4. I § 103, stk. 6, indsættes som nr. 30:»30) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.« Stk. 7-12. --- § 104. Som part i forholdet til Finanstilsynet anses alene den firmapensionskasse, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af denne lov eller i medfør af Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser, Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering, Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf eller forskrifter fastsat i medfør af denne lov, jf. dog stk. 2 og 3. 5. I § 104, stk. 1, og § 112, stk. 1, indsættes efter »bæredygtige investeringer«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. Stk. 2-4. --- § 105. Reaktioner givet i henhold til denne lovs § 97, stk. 2, jf. § 345, stk. 12, nr. 4, i lov om finansiel virksomhed, eller af Finanstilsynet efter delegation fra Finanstilsynets bestyrelse til en firmapensionskasse under tilsyn skal offentliggøres med angivelse af firmapensionskassens navn, jf. dog stk. 4. Finanstilsynet skal offentliggøre oplysningerne på tilsynets hjemmeside. Reaktioner givet i henhold til § 97, stk. 2, jf. § 345, stk. 12, nr. 6, i lov om finansiel virksomhed, og Finanstilsynets beslutninger om at overgive sager til politimæssig efterforskning skal offentliggøres på Finanstilsynets hjemmeside med angivelse af firmapensionskassens navn. Indbringes reaktionen, der offentliggøres i henhold til 1. pkt., for domstolene, skal dette fremgå af Finanstilsynets offentliggørelse, og det efterfølgende resultat af domstolenes afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt. 6. I § 105, stk. 1, indsættes efter 3. pkt. som nyt punktum:»Reaktioner givet i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og forordninger udstedt i medfør heraf, skal offentliggøres på Finanstilsynets hjemmeside med angivelse af firmapensionskassens navn, jf. dog stk. 4.«7. I § 105, stk. 1, 4. pkt., der bliver 5. pkt., ændres »1. pkt.« til: »1. eller 4. pkt.«8. I § 105, stk. 1, indsættes som 6. pkt.:»Indbringes reaktionen, der offentliggøres i henhold til 4. pkt., for Erhvervsankenævnet, skal dette fremgå af Finanstilsynets offentliggørelse, og det efterfølgende resultat af Erhvervsankenævnets afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt.« Stk. 2-6. --- § 112. Afgørelser truffet af Finanstilsynet eller Erhvervsstyrelsen i henhold til loven eller i medfør af Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser, Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering, Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf eller forskrifter udstedt i medfør af loven kan indbringes for Erhvervsankenævnet, senest 4 uger efter at afgørelsen er meddelt den pågældende. 5. I § 104, stk. 1, og § 112, stk. 1, indsættes efter »bæredygtige investeringer«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. Stk. 2. --- § 117. --- Stk. 2. Overtrædelse af §§ 4, 11 og 17, § 18, stk. 1, § 21, stk. 2 og 3, § 24, stk. 1, 2. pkt., § 29, stk. 1, § 33, § 34, stk. 1-5, § 35, § 36, stk. 1-6, § 37, § 39, stk. 3, § 42, stk. 2, jf. stk. 1, nr. 3 og 4, § 43 a, § 44, stk. 1, § 45, stk. 1, § 45 a, stk. 1, § 49, stk. 1-3, § 54, § 57, stk. 1, § 59, stk. 1, 1. pkt., § 60 stk. 1, § 61, stk. 1 og 3 og stk. 4, 1. pkt., §§ 62 og 63, § 64, stk. 1, stk. 2, 1. pkt., og stk. 3, 2. pkt., § 65, § 66, stk. 1 og 3, § 67, § 68, 1. pkt., § 69, § 70, stk. 1, 1. pkt., og stk. 2, § 75, stk. 1 og 3, § 79, stk. 1, 2. pkt., og stk. 4, § 80, 1. og 3. pkt., § 81, stk. 1, 2. pkt., § 105, stk. 3, 3. pkt., og § 111, stk. 3, 5 og 6, straffes med bøde, medmindre højere straf er forskyldt efter den øvrige lovgivning. Endvidere straffes overtrædelse af de bestemmelser, der er nævnt i § 73, stk. 1, i det omfang en sådan overtrædelse kan straffes efter §§ 312-319 i lov om forsikringsvirksomhed. 9. I § 117, stk. 2, indsættes efter »§ 42, stk. 2, jf. stk. 1, nr. 3 og 4,«: »§§ 43 e, 43 f, § 43 g, stk. 1, § 43 h, stk. 1-6,«, og efter »§ 111, stk. 3, 5 og 6,« indsættes: »og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. Stk. 3-9. --- § 7 I hvidvaskloven, jf. lovbekendtgørelse nr. 316 af 11. marts 2022, som ændret ved § 4 i lov nr. 507 af 20. maj 2022, § 2 i lov nr. 480 af 12. maj 2023, og § 10 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer: Hvidvaskloven § 1. Denne lov finder anvendelse på følgende virksomheder og personer, herunder filialer, distributører og agenter af disse her i landet: 1-21) --- 22)Udbydere af veksling mellem virtuelle valutaer og fiatvalutaer. 1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:»22) Ubydere af kryptoaktivtjenester som defineret i lov om finansiel virksomhed.« 23)Udbydere af virtuelle tegnebøger. 1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:»22) Udbydere af kryptoaktivtjenester som defineret i lov om finansiel virksomhed.« 24)Udbydere af veksling mellem en eller flere typer af virtuel valuta. 1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:»22) Udbydere af kryptoaktivtjenester som defineret i lov om finansiel virksomhed.« 25)Udbydere af overførsel af virtuel valuta. 1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:»22) Udbydere af kryptoaktivtjenester som defineret i lov om finansiel virksomhed.« 26)Udbydere af finansielle tjenester relateret til en udsteders udbud eller salg af virtuelle valutaer. 1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:»22) Udbydere af kryptoaktivtjenester som defineret i lov om finansiel virksomhed.« Stk. 2-7. --- § 2. I denne lov forstås ved: 1-3) --- 4)Korrespondentforbindelse: 2. § 2, nr. 4, affattes således:»4) Korrespondentforbindelse:a) Levering af pengeinstitutydelser fra et pengeinstitut (korrespondenten) til et andet pengeinstitut (respondenten), herunder oprettelse af løbende konto eller en anden passivkonto, samt tilknyttede ydelser som likviditetsstyring, internationale overførsler af midler, checkclearing, gennemstrømningskonti og valutatransaktioner.b) En forbindelse mellem en virksomhed omfattet af § 1, stk. 1, nr. 1-12, 18 eller 22, (korrespondenten) og en virksomhed omfattet af § 1, stk. 1, nr. 1-12, 18 eller 22, (respondenten), herunder hvor der leveres lignende ydelser fra et korrespondentinstitut til et respondentinstitut, herunder forbindelser indgået med henblik på værdipapirtransaktioner eller overførsler af midler eller forbindelser indgået med henblik på transaktioner med kryptoaktiver eller overførsler af kryptoaktiver.« a) Levering af pengeinstitutydelser fra et pengeinstitut (korrespondenten) til et andet pengeinstitut (respondenten), herunder oprettelse af løbende konto eller passivkonto, samt øvrige ydelser som likviditetsstyring, international overførsel af midler m.v. a) En forbindelse mellem en virksomhed omfattet af § 1, stk. 1, nr. 1-12 eller 18, (korrespondenten) til en anden virksomhed omfattet af § 1, stk. 1, nr. 1-12 eller 18, (respondenten), hvor der leveres lignende ydelser, herunder forbindelser indgået med henblik på værdipapirtransaktioner eller overførsler af midler. 5-14) --- 15)Udbyder af virtuelle tegnebøger: En enhed, som leverer tjenester til at beskytte private kryptografiske nøgler på vegne af sine kunder med henblik på at opbevare, lagre og overføre virtuelle valutaer. 3. § 2, nr. 15 og 16, ophæves.Nr. 17-20 bliver herefter nr. 15-18. 16)Virtuel valuta: Et digitalt udtryk for værdi, som ikke er udstedt eller garanteret af en centralbank eller en offentlig myndighed, ikke nødvendigvis er bundet til en lovligt oprettet valuta og ikke har samme retsstatus som valuta eller penge, men som accepteres af fysiske og juridiske personer som vekslingsmiddel, som kan overføres, lagres og handles elektronisk. 3. § 2, nr. 15 og 16, ophæves.Nr. 17-20 bliver herefter nr. 15-18. 17-20) --- 4. I § 2 indsættes som nr. 19:»19) Selvhostet adresse: En distributed ledger-adresse som defineret i Europa-Parlamentets og Rådets forordning (EU) 2023/1113 af 31. maj 2023 om oplysninger, der skal medsendes ved pengeoverførsler og ved overførsler af visse kryptoaktiver og om ændring af direktiv (EU) 2015/849.« § 7. Virksomheder og personer omfattet af denne lov skal identificere og vurdere risikoen for, at virksomheden eller personen kan blive misbrugt til hvidvask eller finansiering af terrorisme. Risikovurderingen skal foretages med udgangspunkt i virksomhedens eller personens forretningsmodel og omfatte vurderingen af risikofaktorer, der er forbundet med kunder, produkter, tjenesteydelser og transaktioner samt leveringskanaler og lande eller geografiske områder, hvor forretningsaktiviteterne udøves. Risikovurderingen skal dokumenteres og løbende opdateres. 5. I § 7, stk. 1, 1. pkt., indsættes efter »personer«: », der er«. Stk. 2. Den daglige ledelse i virksomheder omfattet af § 1, stk. 1, nr. 1-8, 9, 10, 18 og 22-26, dog ikke disses filialer, distributører og agenter her i landet, skal udpege en ansat, der har fuldmagt til at træffe beslutninger på vegne af virksomheden i henhold til § 8, stk. 2, § 17, stk. 2, nr. 5, § 18, stk. 3, og § 19, stk. 1, nr. 3. Personen kan være medlem af virksomhedens daglige ledelse. Personen skal have tilstrækkeligt kendskab til virksomhedens risiko for hvidvask og terrorfinansiering til at kunne træffe beslutninger, der kan påvirke virksomhedens risikoeksponering. Personen skal endvidere have et tilstrækkelig godt omdømme og må ikke have udvist en adfærd, der giver grund til at antage, at personen ikke vil varetage stillingen på forsvarlig måde. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. Stk. 3. --- § 8. Virksomheder og personer omfattet af denne lov skal have tilstrækkelige skriftlige politikker, forretningsgange og kontroller, som skal omfatte risikostyring, kundekendskabsprocedurer, undersøgelses-, noterings- og underretningspligt, opbevaring af oplysninger, screening af medarbejdere og intern kontrol til effektiv forebyggelse, begrænsning og styring af risici for hvidvask og finansiering af terrorisme. Politikker, kontroller og forretningsgange skal udarbejdes med udgangspunkt i risikovurderingen foretaget efter § 7 under hensyntagen til virksomhedens størrelse. 7. I § 8, stk. 1, 1. pkt., indsættes efter »personer«: », der er«. Stk. 2-6. --- § 10. Virksomheder og personer omfattet af denne lov skal gennemføre kundekendskabsprocedurer, jf. §§ 11-21, når 1) --- 2)de udfører en enkeltstående transaktion på a og b) --- a) 500 euro eller derover ved valutaveksling herunder veksling mellem virtuel valuta og fiatvaluta, hvad enten transaktionen sker på én gang eller som flere transaktioner, der er eller ser ud til at være indbyrdes forbundet, eller 8. I § 10, nr. 2, litra c, og tre steder i § 10, nr. 2, litra d, ændres »virtuel valuta« til: »kryptoaktiver«. a) 1.000 euro eller derover ved veksling mellem en eller flere typer af virtuel valuta, overførsel af virtuel valuta eller tjenester relateret til udstedelse af virtuel valuta, hvad enten transaktionen sker på én gang eller som flere transaktioner, der er eller ser ud til at være indbyrdes forbundet, 8. I § 10, nr. 2, litra c, og tre steder i § 10, nr. 2, litra d, ændres »virtuel valuta« til: »kryptoaktiver«. 3-5) --- 9. Efter § 17 indsættes:»§ 17 a. Erhvervsministeren kan fastsætte regler om gennemførelse af risikobegrænsende foranstaltninger ved overførsel af kryptoaktiver, der er rettet mod eller stammer fra en selvhostet adresse.« § 19. Inden etablering af en grænseoverskridende korrespondentforbindelse, der involverer gennemførelse af betalinger med et respondentinstitut uden for Den Europæiske Union, som Unionen ikke har indgået aftale med på det finansielle område, skal korrespondenten ud over kundekendskabsproceduren i medfør af § 11 1-4) --- 10. I § 19 indsættes efter stk. 1 som nyt stykke:»Stk. 2. Inden gennemførelse af kryptoaktivtjenester skal korrespondenten fastslå, om respondenten er godkendt eller registreret i det pågældende land.«Stk. 2 bliver herefter stk. 3. Stk. 2. --- § 33. Finanstilsynet kan fastsætte regler om, at udbydere af betalingstjenester og udstedere af elektroniske penge, der er registreret i et EU- eller EØS-land, og som er etableret her i landet på anden måde end ved en filial, har pligt til at udpege en person med ansvar for at sikre, at virksomheden eller personen overholder reglerne i denne lov. Finanstilsynet kan endvidere fastsætte regler om, at personen skal have tilstedeværelse her i landet, og hvilke funktioner den pågældende person skal udføre på vegne af virksomheden. 11. I § 33, 1. pkt., ændres »udbydere af betalingstjenester og udstedere af elektroniske penge« til: »udbydere af betalingstjenester, udstedere af elektroniske penge og udbydere af kryptoaktivtjenester«. § 35. Virksomheder og personer omfattet af § 1, stk. 1, nr. 5, 8 og 10, for så vidt angår alternative investeringsfonde, og nr. 12-19 og 21-26, skal have en ordning, hvor deres ansatte via en særlig, uafhængig og selvstændig kanal kan indberette overtrædelser eller potentielle overtrædelser af denne lov og regler udstedt i medfør heraf. Indberetninger til ordningen skal kunne foretages anonymt. Virksomheder og personer skal følge op på indberetninger til ordningen og skriftligt kunne dokumentere, hvordan virksomhederne eller personerne har fulgt op på indberetningerne. Lov om beskyttelse af whistleblowere finder anvendelse på ordningen i 1. pkt., jf. dog § 2 i lov om beskyttelse af whistleblowere. 12. I § 35, stk. 1, 1. pkt., og § 36, stk. 1, 1. pkt., ændres »og 21-26« til: », 21 og 22«. Stk. 2-4. --- § 36. Virksomheder og personer omfattet af § 1, stk. 1, nr. 5, 8 og 10, for så vidt angår alternative investeringsfonde, og nr. 12-19 og 21-26, må ikke udsætte den ansatte eller den tidligere ansatte for ufordelagtig behandling eller ufordelagtige følger, som følge af at den ansatte eller den tidligere ansatte har indberettet virksomhedens eller personens overtrædelse eller potentielle overtrædelse af denne lov og regler udstedt i medfør heraf til en tilsynsmyndighed eller til en ordning i virksomheden. Det samme gælder ved fastsættelse, tildeling og udbetaling af variabel løn til ansatte eller tidligere ansatte. 12. I § 35, stk. 1, 1. pkt., og § 36, stk. 1, 1. pkt., ændres »og 21-26« til: », 21 og 22«. Stk. 2-4. --- § 38. --- Stk. 2. --- Stk. 3. Oplysninger om, at der er givet underretning efter § 26, stk. 1 og 2, eller at dette overvejes, eller at der er eller vil blive iværksat en undersøgelse efter § 25, stk. 1, kan videregives mellem virksomheder i koncerner omfattet af § 1, stk. 1, nr. 1-12, 18 eller 22-26, og andre virksomheder i koncernen, der har hjemsted eller er hjemmehørende i et EU- eller EØS-land. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. Stk. 4 og 5. --- Stk. 6. Oplysninger om, at der er givet underretning efter § 26, stk. 1 og 2, eller at dette overvejes, eller at der er eller vil blive iværksat en undersøgelse efter § 25, stk. 1, kan videregives mellem virksomheder og personer omfattet af § 1, stk. 1, nr. 1-14, 16, 18, 20 og 22-26, forudsat 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. 1-3) --- Stk. 7 og 8. --- § 47. Finanstilsynet påser, at virksomheder og personer omfattet af § 1, stk. 1, nr. 1-12, 18 og 22-26, og filialer, distributører og agenter her i landet af sådanne udenlandske virksomheder og personer, overholder loven, regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning 2015/847/EU af 20. maj 2015 om oplysninger, der skal medsendes ved pengeoverførsler, og love og forordninger indeholdende regler om finansielle sanktioner mod lande, personer, grupper, juridiske enheder eller organer. Dette gælder dog ikke overholdelse af § 36. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. Stk. 2. --- Stk. 3. Finanstilsynet skal samarbejde med de kompetente myndigheder i EU- eller EØS-lande om at medvirke ved tilsynsaktiviteter, kontroller på stedet eller inspektioner her i landet, når det gælder virksomheder og personer omfattet af § 1, stk. 1, der er under tilsyn i et andet EU- eller EØS-land, eller en dansk virksomhed eller person omfattet af § 1, stk. 1, nr. 1-12 og 22-26, der er underlagt dansk tilsyn, men opererer i andre EU- eller EØS-lande. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. Stk. 4. --- § 48. --- Stk. 2. Virksomheder og personer omfattet af § 1, stk. 1, nr. 22-26, skal ligeledes registreres hos Finanstilsynet for at kunne udøve deres aktiviteter. 13. § 48, stk. 2, ophæves.Stk. 3-7 bliver herefter stk. 2-6. Stk. 3. Finanstilsynet skal undlade at foretage registrering efter stk. 1 og 2, hvis et medlem af virksomhedens øverste eller daglige ledelse eller personen er dømt for et strafbart forhold, der begrunder en nærliggende fare for misbrug af stillingen eller hvervet, jf. straffelovens § 78, stk. 2. 14. I § 48, stk. 3, der bliver stk. 2, stk. 6, der bliver stk. 5, og stk. 7, der bliver stk. 6, udgår: »og 2«. Stk. 4. --- Stk. 5. Ved Finanstilsynets vurdering i henhold til stk. 3 og 4 finder straffelovens § 78, stk. 3, tilsvarende anvendelse. 15. I § 48, stk. 5, der bliver stk. 4, ændres »stk. 3 og 4« til: »stk. 2 og 3«. Stk. 6. Finanstilsynet kan inddrage registreringen af en virksomhed eller en anden juridisk person foretaget efter stk. 1 og 2, hvis et medlem af virksomhedens øverste eller daglige ledelse eller personen efterfølgende omfattes af stk. 3, eller hvis virksomheden eller en reel ejer efterfølgende omfattes af stk. 4. 14. I § 48, stk. 3, der bliver stk. 2, stk. 6, der bliver stk. 5, og stk. 7, der bliver stk. 6, udgår: »og 2«.16. I § 48, stk. 6, der bliver stk. 5, ændres »stk. 3« til: »stk. 2«, og »stk. 4« ændres til: »stk. 3«. Stk. 7. Finanstilsynet kan inddrage registreringen af en virksomhed eller en person efter stk. 1 og 2, hvis virksomheden eller personen gør sig skyldig i grove eller gentagne overtrædelser af denne lov. 14. I § 48, stk. 3, der bliver stk. 2, stk. 6, der bliver stk. 5, og stk. 7, der bliver stk. 6, udgår: »og 2«. § 49. Virksomheder og personer som nævnt i § 1, stk. 1, nr. 1-12, 18 og 22-26, samt leverandører og underleverandører til disse skal give Finanstilsynet de oplysninger, der er nødvendige for tilsynets virksomhed. Oplysninger, der er af væsentlig betydning for Finanstilsynets tilsyn, skal gives af egen drift og hurtigst muligt. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. Stk. 2-7. --- § 51. Finanstilsynet kan inden for en af Finanstilsynet fastsat frist påbyde de virksomheder og personer, som er nævnt i § 1, stk. 1, nr. 1-12, 18 og 22-26, at foretage de nødvendige foranstaltninger i tilfælde af overtrædelse af bestemmelser i denne lov, regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning 2015/847/EU af 20. maj 2015 om oplysninger, der skal medsendes ved pengeoverførsler, eller forordninger indeholdende regler om finansielle sanktioner mod lande, personer, grupper, juridiske enheder eller organer. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. § 51 a. Finanstilsynet kan påbyde en virksomhed omfattet af § 1, stk. 1, nr. 1-8, 9, 10, 18 og 22-26, dog ikke disses filialer, distributører og agenter her i landet, at afsætte den person, der er udpeget i henhold til § 7, stk. 2, inden for en frist fastsat af Finanstilsynet, hvis personen efter § 7, stk. 2, 3. og 4. pkt., ikke kan bestride stillingen. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. Stk. 2. --- § 51 b. Finanstilsynet kan påbyde en virksomhed eller person omfattet af § 1, stk. 1, nr. 1-8, 9, 10, 18 og 22-26, dog ikke disses filialer, distributører og agenter her i landet, at virksomheden eller personen midlertidigt ikke må optage nye kundeforhold, når der er konstateret en alvorlig overtrædelse af bestemmelser i denne lov eller regler udstedt i medfør heraf. Er overtrædelsen foregået helt eller delvis i en virksomheds udenlandske filial, kan påbuddet udstrækkes til at omfatte filialen. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. Stk. 2. --- § 52. Finanstilsynet kan for virksomheder og personer som nævnt i § 1, stk. 1, nr. 8 og 22-26, fastsætte nærmere regler om anmeldelse, registrering og offentliggørelse, herunder om, hvilke oplysninger der skal registreres, og hvilke forhold anmeldere eller andre kan indsende og registrere elektronisk i Finanstilsynets it-system ved at benytte digital eller tilsvarende elektronisk signatur, samt om brugen af dette system. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. § 53. Erhvervsministeren kan for virksomheder som nævnt i § 1, stk. 1, nr. 1-12, 18 og 22-26, fastsætte regler om disse virksomheders pligt til at offentliggøre oplysninger om Finanstilsynets vurdering af virksomheden og om, at Finanstilsynet har mulighed for at offentliggøre oplysningerne før virksomheden. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. § 54. Har en virksomhed eller person omfattet af § 1, stk. 1, nr. 1-12, 18 og 22-26, videregivet oplysninger om virksomheden eller personen, og er disse kommet offentligheden til kendskab, kan Finanstilsynet påbyde virksomheden eller personen at offentliggøre berigtigende oplysninger inden for en af Finanstilsynet fastsat frist, hvis oplysningerne efter Finanstilsynets vurdering er misvisende, og hvis Finanstilsynet vurderer, at oplysningerne kan have skadevirkning for virksomhedens eller personens kunder, indskydere, øvrige kreditorer, de finansielle markeder, hvorpå aktierne i virksomheden eller værdipapirer udstedt af virksomheden handles, eller den finansielle stabilitet generelt. 6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«. Stk. 2. Berigtiger virksomheden eller personen omfattet af § 1, stk. 1, nr. 1-13, 19, og 23-27, ikke oplysningerne i overensstemmelse med Finanstilsynets påbud og inden for den af Finanstilsynet fastsatte frist, kan Finanstilsynet 486 offentliggøre påbuddet, der er meddelt efter stk. 1. 17. I § 54, stk. 2, ændres: »1-13, 19 og 23-27« til: »1-12, 18 og 22«. § 78. Overtrædelse af § 55, stk. 4, 1.-4. pkt., og stk. 5, 3.-7. pkt., straffes med bøde. Forsætlig eller grov uagtsom overtrædelse af §§ 5 og 5 a, § 6, stk. 1, 2. pkt., § 6 a, § 7, stk. 1 og 2, § 8, stk. 1-4 og 6, §§ 9 og 10, § 11, stk. 1 og 2 og stk. 3, 1., 3. og 4. pkt., § 12, § 14, stk. 1, stk. 2, 2. pkt., stk. 3, stk. 4, 2. pkt., og stk. 5, §§ 15 og 16, § 17, stk. 1-4, §§ 18-20, § 21, stk. 1, 2. pkt., § 22, stk. 2 og 3, § 24, stk. 1, 2. pkt., stk. 2 og 3, § 25, stk. 1-3, § 26, stk. 1 og 3, stk. 4, 1. pkt., og stk. 6, 1. pkt., § 29, stk. 4 og 6, §§ 30 og 31, § 31 b, stk. 1, § 32, § 35, stk. 1, § 35 a, stk. 1, § 36, stk. 1 og 2, § 36 a, § 38, stk. 1, §§ 40, 43 og 44, § 45, stk. 2, § 48, stk. 1 og 2, § 49, stk. 1 og 2, § 57, stk. 2, § 58, stk. 1, § 59, stk. 1, og § 65, stk. 2, og artikel 4-8, 10-12 og 16 i Europa-Parlamentets og Rådets forordning 2015/847/EU af 20. maj 2015 om oplysninger, der skal medsendes ved pengeoverførsler, samt artikel 6, stk. 1, i Rådets forordning 2001/1338/EF af 28. juni 2001 om fastlæggelse af de foranstaltninger, der er nødvendige for at beskytte euroen mod falskmøntneri, som ændret ved forordning 2009/44/EF, jf. Rådets forordning 2001/1339/EF af 28. juni 2001 om udvidelse af virkningerne af forordning 2001/1338/EF om fastlæggelse af de foranstaltninger, der er nødvendige for at beskytte euroen mod falskmøntneri, til også at omfatte de medlemsstater, der ikke har indført euroen som fælles valuta, straffes med bøde, medmindre højere straf er forskyldt efter straffelovens regler. 18. I § 78, stk. 1, 2. pkt., ændres »§ 48, stk. 1 og 2,« til: »§ 48, stk. 1,«. Stk. 2-6. --- § 85. --- Stk. 2 og 3. --- 19. I § 85 indsættes som stk. 4:»Stk. 4. De dele af §§ 59 og 60, som i medfør af stk. 1 er sat i kraft for Grønland, kan ved kongelig anordning sættes helt eller delvis i kraft på ny for Grønland med de ændringer, som de grønlandske forhold tilsiger.« § 8 I lov nr. 718 af 13. juni 2023 om forsikringsvirksomhed, som ændret ved § 9 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer: Lov om forsikringsvirksomhed § 2. For finansielle holdingvirksomheder og forsikringsholdingvirksomheder finder § 67, stk. 1, § 82, kapitel 10, § 95, § 100, § 105, stk. 7, § 107, stk. 1, §§ 133, 139, 165, 170-172 og 174, kapitel 17, §§ 259-262 og 267-275, § 277, stk. 3, § 280, stk. 1, 2 og 5-8, og §§ 283, 284, 301-307, 309 og 312-319 anvendelse. 1. I § 2, stk. 1, ændres »139« til: »138«. Stk. 2 og 3. --- Overskriften. Fælles datacentraler 2. Overskriften før § 8 ophæves. § 8. For fælles datacentraler, jf. § 9, stk. 1, nr. 13, finder følgende regler desuden anvendelse: 3. § 8 ophæves. 1)§ 132, stk. 1, nr. 8, om betryggende kontrol- og sikringsforanstaltninger på it-området og regler herom udstedt efter § 132, stk. 2. 2)Regler om outsourcing udstedt i medfør af § 134, hvis de fælles datacentraler outsourcer it-opgaver, der udføres for virksomheder omfattet af lovens § 9, stk. 1. 3)Kapitel 27 om kommunikation. Stk. 2. Kapitel 22 om tilsyn og kontrol m.v. og kapitel 28 om delegation og klage og regler udstedt i medfør af disse kapitler finder med de fornødne tilpasninger tilsvarende anvendelse for fælles datacentraler, jf. § 9, stk. 1, nr. 13. Stk. 3. Finanstilsynet kan undtagelsesvis i særlige tilfælde og for en tidsbegrænset periode dispensere fra stk. 1 og 2. Dispensationen kan fornyes. § 9. I denne lov forstås ved: 1-12) --- 13)Fælles datacentraler: Virksomheder, hvis væsentligste aktiviteter omfatter it-drifts- eller udviklingsopgaver for flere forsikringsselskaber, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder, og som overvejende er ejet af 4. § 9, stk. 1, nr. 13, ophæves.Nr. 14-43 bliver herefter nr. 13-42. a) et eller flere forsikringsselskaber, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder i forening eller b) en eller flere foreninger, hvis medlemmer overvejende er forsikringsselskaber, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder. 14-43) --- Stk. 2-5. --- § 107. --- Stk. 2. I forsikringsselskaber, der har tilladelse til at udøve livsforsikringsvirksomhed, med en balancesum på over 30 mia. kr. og i forsikringsselskaber, der har tilladelse til at udøve skadesforsikringsvirksomhed, med en balancesum på over 4 mia. kr. skal mindst et medlem af bestyrelsen have ledelseserfaring fra et forsikringsselskab eller et relevant pengeinstitut eller realkreditinstitut. 5. I § 107, stk. 2, ændres »balancesum på over 4 mia. kr.« til: »bruttopræmieindtægt på over 4. mia. kr.,«. § 123. --- Stk. 2. Det i stk. 1 anførte eksponeringsforbud finder ikke anvendelse i forbindelse med deltagelse i bestyrelserne for Danmarks Skibskredit A/S, Banker og Sparekassers Ungdomskontakt, LR Realkredit A/S, Bornholms Erhvervsfond, Grønlandsbanken A/S, regulerede markeder, clearingcentraler, værdipapircentraler, NASDAQ OMX Stockholm AB, NASDAQ OMX Helsinki Oy, IFU – Investeringsfonden for Udviklingslande, IØ – Investeringsfonden for Østlandene, Landbrugets FinansieringsBank A/S, Bankernes Kontantservice A/S, Fundcollect A/S, Fundconnect A/S og DLR Kredit A/S. 6. I § 123, stk. 2, udgår »Landbrugets FinansieringsBank A/S,«. Stk. 3 og 4. --- § 134. Forsikringsselskaber kan outsource en proces, en tjenesteydelse eller en aktivitet, som selskaberne ellers selv ville udføre, til en tjenesteyder. 7. I § 134, stk. 1, indsættes som 2. pkt.:»1. pkt. finder ikke anvendelse for outsourcing på det digitale operationelle område.« Stk. 2-6. --- Stk. 7. Stk. 2-4 og regler fastsat i medfør af stk. 6 gælder ikke for virksomhedernes autentifikation af brugere ved anvendelse af MitID-løsningen, jf. lov om MitID og NemLog-in. 8. § 134, stk. 7, ophæves. § 193. --- Stk. 2-12. --- Stk. 13. Finanstilsynet fastsætter bestemmelser om revisionens gennemførelse i forsikringsselskaber og i forsikringsselskabers dattervirksomheder, herunder om intern revision og om systemrevisionens gennemførelse i fælles datacentraler. 9. I § 193, stk. 13, udgår »og om systemrevisionens gennemførelse i fælles datacentraler«. Stk. 14. --- § 195. --- Stk. 2-5. --- Stk. 6. § 238, stk. 2, § 239, stk. 4, § 242, 2. pkt., § 256, stk. 2, § 257, stk. 4, § 260, 2. pkt., § 274, stk. 3, § 277, 2. pkt., § 294, stk. 3, og § 297, 2. pkt., i selskabsloven finder ikke anvendelse ved bestandsoverdragelser omfattet af stk. 1. 10. I § 195, stk. 6, udgår »§ 274, stk. 3,« og »§ 294, stk. 3,«. Stk. 7-10. --- § 253. Bestemmelserne i § 242, nr. 2, og § 158, stk. 2, finder ikke anvendelse ved stiftelse af gensidige selskaber, der har tilladelse til at udøve skadesforsikringsvirksomhed, med begrænset formål, jf. § 251. 11. I § 253 ændres »§ 158, stk. 2« til: »§ 156, stk. 2«. § 259. --- Stk. 2. Finanstilsynet påser endvidere overholdelsen af følgende: 1-9) --- 12. I § 259, stk. 2, indsættes som nr. 10:»10) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.« § 280. --- Stk. 2-6. --- Stk. 7. Finanstilsynet kan af egen drift eller efter ansøgning tilbagekalde et påbud meddelt efter stk. 2, 3 eller 5, når der er tale om et bestyrelsesmedlem. Afslår Finanstilsynet en ansøgning om tilbagekaldelse, kan ansøgeren forlange afslaget indbragt for domstolene. Anmodning herom skal indgives til Finanstilsynet, inden 4 uger efter at afslaget er meddelt den pågældende. Anmodning om domstolsprøvelse kan dog kun fremsættes, hvis påbuddet ikke er tidsbegrænset og der er forløbet mindst 5 år fra datoen for udstedelsen af påbuddet, eller mindst 2 år efter at Finanstilsynets afslag på tilbagekaldelse er stadfæstet ved dom. 13. I § 280, stk. 7, 1. pkt., ændres »stk. 2, 3 eller 5« til: »stk. 2, 3 eller stk. 4, 3. pkt.« Stk. 8 og 9. --- § 289. § 285, stk. 1, er ikke til hinder for, at fortrolige oplysninger videregives til følgende: 1-13) --- 14. I § 289, stk. 1, indsættes som nr. 14:»14) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.« Stk. 2-5. --- § 302. Som part i forhold til Finanstilsynet anses forsikringsselskabet, forsikringsholdingvirksomheden, det udenlandske forsikringsselskab eller den udenlandske forsikringsholdingvirksomhed, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af denne lov, forskrifter fastsat i medfør af denne lov og forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2009/138/EF af 25. november 2009 om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), jf. dog stk. 2 og 3, og Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf. 15. I § 302, stk. 1, ændres »jf. dog stk. 2 og 3, og Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf« til: »Europa-Parlamentets og Rådets forordning (EU) 2019/2088 af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning (EU) 2020/852 af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf, jf. dog stk. 2 og 3«. Stk. 2-5. --- § 309. Afgørelser truffet af Finanstilsynet eller Erhvervsstyrelsen kan af den, som afgørelsen retter sig til, indbringes for Erhvervsankenævnet, senest 4 uger efter at afgørelsen er meddelt den pågældende i henhold til følgende: 1-8) --- 16. I § 309, stk. 1, indsættes som nr. 9:»9) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.« Stk. 2 og 3. --- § 310. Erhvervsministeren kan fastsætte regler, som er nødvendige for at anvende eller gennemføre de afgørelser eller retsakter, som vedtages af Europa-Kommissionen i medfør af følgende: 1-8) --- 17. I § 310 indsættes som nr. 9:»9) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.« § 312. Med bøde straffes overtrædelse af følgende bestemmelser, medmindre højere straf er forskyldt efter den øvrige lovgivning 1 og 2) --- 18. I § 312, stk. 1, indsættes som nr. 3:»3) Artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.« Stk. 2. Med bøde eller fængsel indtil 4 måneder straffes overtrædelse af følgende bestemmelser, medmindre højere straf er forskyldt efter den øvrige lovgivning: 1)§ 14, stk. 1, § 37, 2. pkt., § 38, stk. 1-4, § 47, 2. pkt., § 54, stk. 1 og 2, § 61, stk. 1, 5 og 6, § 62, 1. pkt., § 63, stk. 1, §§ 64 og 82, § 84, stk. 1, 2. pkt., og stk. 2, § 87, stk. 1, §§ 91 og 92, § 94, stk. 1, 2 og 4, § 96, stk. 1, § 97, stk. 1-4, § 98, stk. 1 og 2, § 99, § 101, stk. 1, § 105, stk. 5, jf. stk. 1, nr. 3 og 4, § 105, stk. 3, § 106, § 117, stk. 1 og 5, §§ 118-120, § 127, stk. 3, jf. § 105, stk. 5, jf. stk. 1, nr. 3 og 4, § 138, § 154, stk. 1-3, § 155, stk. 1, § 156, stk. 1 og 4, § 158, stk. 1, § 159, stk. 1, § 160, stk. 1, § 165, stk. 1, § 173, stk. 1 og 2, § 188, § 189, stk. 1 og 2, § 194, § 195, stk. 1, § 200, stk. 1, § 223, stk. 1 og 4, § 224, stk. 1, § 225, stk. 1, § 258, stk. 1, § 269, stk. 2, og § 333, stk. 1, 2 og 4. 19. I § 312, stk. 2, nr. 1, indsættes efter »§ 101, stk. 1, § 105, stk. 5, jf. stk. 1, nr. 3 og 4,«: »§ 125,«. 2 og 3) --- § 313. Med bøde straffes et forsikringsselskab eller en forsikringsholdingvirksomhed, der ikke efterkommer et påbud, der er givet i medfør af § 46, stk. 2, § 59, § 154, stk. 4, § 159, § 273, stk. 1, 1. pkt., § 274, stk. 1, § 275, stk. 2, eller § 277, stk. 1, eller som overtræder § 112, stk. 1, i selskabsloven. 20. I § 313, stk. 1, ændres »§ 275, stk. 2,« til: »§ 275«. Stk. 2-4. --- § 9 I lov om forsikringsformidling, jf. lovbekendtgørelse nr. 337 af 11. marts 2022, som ændret ved § 10 i lov nr. 570 af 10. maj 2022, § 4 i lov nr. 480 af 12. maj 2023, § 338 i lov nr. 718 af 13. juni 2023 og § 2 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer: Lov om forsikringsformidling § 22. Finanstilsynet påser overholdelsen af denne lov bortset fra § 18 og påser overholdelsen af regler udstedt i medfør af loven. Finanstilsynet påser endvidere overholdelsen af Europa-Parlamentets og Rådets forordning 1286/2014/EU af 26. november 2014 om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP’er), Europa-Parlamentets og Rådets forordning 2019/1238/EU af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt), Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf og forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2016/97 af 20. januar 2016 om forsikringsdistribution. 1. I § 22, stk. 1, 2. pkt., indsættes efter »finansielle tjenesteydelser«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. § 31. --- Stk. 2-5. --- Stk. 6. Stk. 1 er ikke til hinder for, at fortrolige oplysninger videregives til: 1-17) --- 2. I § 31, stk. 6, indsættes som nr. 18:»18) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.« Stk. 7-12. --- § 33. Tilsynsreaktioner givet efter § 22, stk. 2, jf. § 345, stk. 12, nr. 4, i lov om finansiel virksomhed, og tilsynsreaktioner givet efter delegation fra Finanstilsynets bestyrelse til en virksomhed omfattet af denne lov skal offentliggøres med angivelse af virksomhedens navn, jf. dog stk. 4. Virksomheden skal offentliggøre oplysningerne på sin eventuelle hjemmeside på et sted, hvor de naturligt hører hjemme, hurtigst muligt, og senest 3 hverdage efter at virksomheden har modtaget underretning om reaktionen, eller senest på tidspunktet for offentliggørelse påkrævet efter lov om kapitalmarkeder. Samtidig med offentliggørelsen skal virksomheden indsætte et link, som giver direkte adgang til reaktionen, på forsiden af virksomhedens hjemmeside på en synlig måde, og det skal af linket og en eventuel tilknyttet tekst tydeligt fremgå, at der er tale om en reaktion fra Finanstilsynet. Kommenterer virksomheden på reaktionen, skal dette ske i forlængelse af denne, og kommentarerne skal være klart adskilt fra reaktionen. Fjernelse af linket på forsiden og informationerne fra virksomhedens eventuelle hjemmeside skal finde sted efter samme principper, som virksomheden anvender for øvrige meddelelser, dog tidligst når linket og informationerne har ligget på hjemmesiden i 3 måneder, og tidligst efter førstkommende generalforsamling eller repræsentantskabsmøde. Virksomhedens pligt til at offentliggøre oplysningerne på virksomhedens hjemmeside gælder kun for oplysninger om juridiske personer. Finanstilsynet skal offentliggøre oplysningerne på Finanstilsynets hjemmeside. Reaktioner givet i henhold til § 22, stk. 2, jf. § 345, stk. 12 nr. 6, i lov om finansiel virksomhed, og Finanstilsynets beslutninger om at overgive sager efter denne lov eller regler udstedt i medfør af loven eller efter forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2016/97 af 20. januar 2016 om forsikringsdistribution til politimæssig efterforskning skal offentliggøres som resumé på Finanstilsynets hjemmeside med angivelse af virksomhedens navn, jf. dog stk. 4. Indbringes reaktionen, der offentliggøres i henhold til 1. pkt., for Erhvervsankenævnet eller domstolene, skal dette fremgå af Finanstilsynets offentliggørelse, og det efterfølgende resultat af Erhvervsankenævnets eller domstolenes afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt. 3. I § 33, stk. 1, indsættes som efter 7. pkt. som nyt punktum:»Reaktioner givet i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og forordninger udstedt i medfør heraf, skal offentliggøres på Finanstilsynets hjemmeside med angivelse af virksomhedens navn.«4. I § 33, stk. 1, 8. pkt., der bliver 9. pkt., indsættes efter »af loven «: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf«.5. I § 33, stk. 1, 9. pkt., der bliver 10. pkt., ændres »1. pkt.« til: »1. eller 8. pkt.« Stk. 2-6. --- § 36. Som part i forhold til Finanstilsynet anses virksomheder eller personer omfattet af denne lov, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af denne lov eller forskrifter fastsat i medfør af denne lov eller i medfør af Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser eller regler udstedt i medfør heraf, jf. dog stk. 2. 6. I § 36, stk. 1, indsættes efter »Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. Stk. 2 og 3. --- § 37. Afgørelser truffet af Finanstilsynet i henhold til denne lov, regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning (EU) 1286/2014 af 26. november 2014 om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP’er), Europa-Parlamentets og Rådets forordning (EU) 2019/1238 af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt), forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2016/97 af 20. januar 2016 om forsikringsdistribution eller i henhold til Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser eller regler udstedt i medfør heraf kan indbringes for Erhvervsankenævnet af den, som afgørelsen retter sig mod, senest 4 uger efter at afgørelsen er meddelt den pågældende. 7. I § 37 indsættes efter »tjenesteydelser«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«. § 42. --- Stk. 2. Overtrædelse af § 8, § 13, stk. 1 og 2, § 17, stk. 1, § 18, stk. 1, § 18 a, stk. 1, § 19, stk. 3, jf. § 19, stk. 1 og 2, § 19, stk. 4, jf. § 19, stk. 1, § 20, stk. 5, jf. § 20, stk. 1-4, § 20, stk. 6, jf. § 20, stk. 1, artikel 5, stk. 1, artikel 6 og 7, artikel 8, stk. 1-3, artikel 9, artikel 10, stk. 1, artikel 13, stk. 1, 3 og 4, og artikel 14 og 19 i Europa-Parlamentets og Rådets forordning 1286/2014/EU om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP’er) og artikel 7, 18, 22-25, 33, 34 og 50 i Europa-Parlamentets og Rådets forordning 2019/1238/EU af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt) straffes med bøde. 8. I § 42, stk. 2, ændres »(PRIIP’er) og« til: »(PRIIP’er),«, og efter »(PEPP-Produkt)« indsættes: », og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. § 10 I lov om en garantifond for skadesforsikringsselskaber, jf. lovbekendtgørelse nr. 2067 af 12. november 2021, som ændret ved § 1 i lov nr. 480 af 12. maj 2023, § 339 i lov nr. 718 af 13. maj 2023 og ved § 3 i 1546 af 12. december 2023, foretages følgende ændringer: Lov om en garantifond for skadesforsikringsselskaber 1. Efter § 12 indsættes:»§ 12 a. Fondens bestyrelse skal indgå aftale med et forsikringsselskab som administrationsselskab som en del af at antage fornøden medhjælp efter § 12, stk. 1.Stk. 2. Fonden skal skriftligt orientere Finanstilsynet, når en aftale efter stk. 1 er indgået. Fonden skal ligeledes skriftligt orientere Finanstilsynet, hvis Fonden ikke kan indgå en aftale efter stk. 1.Stk. 3. Kan Fondens bestyrelse ikke indgå aftale med et forsikringsselskab som administrationsselskab efter stk. 1, skal Finanstilsynet udnævne et forsikringsselskab som administrationsselskab for Fonden, der opfylder følgende kriterier:1) Forsikringsselskabet har fået Finanstilsynets tilladelse til at drive forsikringsvirksomhed til forsikringsklasse 1, 3, 6, 8-10, 12, 13, og 16-18 i bilag 1 i lov om forsikringsvirksomhed.2) Forsikringsselskabet har i henhold til seneste godkendte årsrapport haft en årlig bruttopræmieindtægt på minimum 2 mia. kr.3) Forsikringsselskabet har i de to seneste regnskabsår på balancetidspunktet i gennemsnit haft 125 eller flere fuldtidsansatte.4) Forsikringsselskabet overholder solvenskapitalkravet, der er fastsat for forsikringsselskabet.5) Forsikringsselskabet har minimum en markedsandel i Danmark på 3 pct. målt på bruttopræmie.Stk. 4. Opfylder flere forsikringsselskaber kriterierne i stk. 3, skal Finanstilsynet udnævne et administrationsselskab for Fonden på baggrund af en rotationsordning. Finanstilsynet skal i sin afgørelse inddrage relevante forhold relateret til de omfattede forsikringsselskaber i sin vurdering af, hvilket forsikringsselskab, der skal udnævnes som administrationsselskab, herunder om et forsikringsselskab tidligere har fungeret som administrationsselskab for Fonden.Stk. 5. Finanstilsynet skal udnævne et forsikringsselskab efter stk. 3, for en periode på 48 måneder, jf. dog stk. 7.Stk. 6. Finanstilsynet kan, medmindre særlige forhold taler herfor, ikke udnævne et forsikringsselskab som administrationsselskab i to af hinanden efterfølgende perioder.Stk. 7. Hvis der i perioden, jf. stk. 5, opstår en konkurs i et forsikringsselskab, skal Fondens bestyrelse i henhold til stk. 1 indgå aftale med et nyt forsikringsselskab som administrationsselskab. Det forsikringsselskab, der på tidspunktet for konkursens indtræden er udnævnt som administrationsselskab, skal bistå Fonden indtil sagsbehandlingen af konkursen er afsluttet, uanset om perioden på 48 måneder i mellemtiden måtte være ophørt.Stk. 8. Indgår Fondens bestyrelse aftale efter stk. 1, med et forsikringsselskab om at varetage opgaven som administrationsselskab for Fonden efter udløb af en periode, jf. stk. 5, og indtræder der en konkurs i et forsikringsselskab inden den igangværende periode, jf. stk. 5, udløber, skal forsikringsselskabet, som Fondens bestyrelse har indgået aftale med, overtage opgaven som administrationsselskab på tidspunktet for konkursens indtræden.Stk. 9. Fonden skal betale vederlag til et administrationsselskab udnævnt af Finanstilsynet. Vederlaget fastlægges efter forhandling mellem parterne. Er det ikke muligt for parterne at blive enig om størrelsen på vederlaget, skal Finanstilsynet fastsætte vederlagets størrelse på baggrund af et oplæg fra Fonden.Stk. 10. Et administrationsselskab, der er udnævnt af Finanstilsynet, jf. stk. 3, skal varetage de opgaver, der fremgår af Fondens udbudsmateriale eller andet dokument indeholdende Fondens specificering af opgaverne.« 2. Efter § 17 indsættes i kapitel 10:»§ 17 a. Afgørelser truffet af Finanstilsynet i medfør af § 12 a, stk. 3 og stk. 9, 3. pkt., kan indbringes for Erhvervsankenævnet senest 4 uger efter, at afgørelsen er meddelt det pågældende forsikringsselskab.« § 11 I lov nr. 405 af 25. april 2023 om Kreditforeningen af kommuner og regioner i Danmark foretages følgende ændringer: Lov om Kreditforeningen af kommuner og regioner i Danmark § 21. Finanstilsynet påser overholdelsen af denne lov og de regler, der er udstedt i medfør af loven, bortset fra § 3, stk. 1, 1. pkt., § 4 og § 20. 1. I § 21, stk. 1, indsættes som 2. pkt.:»Finanstilsynet påser endvidere overholdelsen af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.« § 22. --- 2. I § 22 indsættes som stk. 2 og 3:»Stk. 2. § 354 e i lov om finansiel virksomhed finder tilsvarende anvendelse på foreningen for sager om overtrædelse af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.Stk. 3. § 372 a i lov om finansiel virksomhed finder tilsvarende anvendelse på foreningen for regler, som er nødvendige for at anvende eller gennemføre de afgørelser eller retsakter, som vedtages af Europa-Kommissionen i medfør af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.« § 25. --- Stk. 2. Overtrædelse af § 10, jf. § 64 e, stk. 1, § 70, stk. 1-4, og § 71, stk. 1 og 2, i lov om finansiel virksomhed, § 12, § 13, stk. 1, jf. artikel 412, stk. 1 og 2, og artikel 415, stk. 1 og 2, i Europa-Parlamentets og Rådets forordning (EU) om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber, §§ 14 og 16 og § 18, stk. 2, jf. § 183 stk. 1, 1. pkt., og stk. 5, § 184, stk. 1, § 185, stk. 1 og 3 og stk. 4, 1. pkt., §§ 186 og 187, § 188, stk. 1 og stk. 2, 1. pkt., §§ 189 og 190, § 191, stk. 1-3, § 192, 1. pkt., § 193, 1. pkt., § 198, stk. 1, og § 199, stk. 2 og 6, i lov om finansiel virksomhed, straffes med bøde. 3. I § 25, stk. 2, indsættes efter »§ 199, stk. 2 og 6, i lov om finansiel virksomhed,«: »og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. Stk. 3-6. --- § 12 I lov om et skibsfinansieringsinstitut, jf. lovbekendtgørelse nr. 646 af 18. maj 2022 foretages følgende ændring: Lov om et skibsfinansieringsinstitut § 14. Overtrædelse af § 1, stk. 2, § 2 d, stk. 1, § 2 e, stk. 1, 2. og 3. pkt., § 2 h, stk. 1, 2 og 4, og § 3, 2. pkt., straffes med bøde, medmindre højere straf er forskyldt efter anden lovgivning. På samme måde straffes overtrædelse af meddelelsespligten i § 2 i, stk. 1, 1. pkt. 1. I § 14, stk. 1, 1. pkt., indsættes efter »§ 3, 2. pkt.,«: »og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«. Stk. 2-4. --- § 13 I lov nr. 871 af 21. juni 2022 om Danmarks Eksport- og Investeringsfond foretages følgende ændring: Lov om Danmarks Eksport- og Investeringsfond § 15. Lov om offentlighed i forvaltningen, lov om Folketingets Ombudsmand, forvaltningsloven og arkivloven finder ikke anvendelse for Danmarks Eksport- og Investeringsfond og dennes selvstændige offentlige dattervirksomheder og øvrige datterselskaber samt enheder forvaltet af Danmarks Eksport- og Investeringsfond eller Danmarks Eksport- og Investeringsfonds selvstændige offentlige dattervirksomheder, for så vidt angår aktiviteter udøvet i medfør af kapitel 2. 1. I § 15 indsættes efter stk. 1 som nyt stykke:»Stk. 2. Europa-Parlamentets og Rådets forordning (EU) 2022/2254 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor finder ikke anvendelse for Danmarks Eksport- og Investeringsfond og dennes selvstændige offentlige dattervirksomheder og øvrige datterselskaber samt enheder forvaltet af Danmarks Eksport- og Investeringsfond eller Danmarks Eksport- og Investeringsfonds selvstændige offentlige dattervirksomheder.«Stk. 2 og 3 bliver herefter stk. 3 og 4. Stk. 2 og 3. --- § 14 I straffeloven, jf. lovbekendtgørelse nr. 1360 af 28. september 2022, som ændret senest ved § 1 i lov nr. 1786 af 28. december 2023, foretages følgende ændring: Straffeloven § 299 d. Med fængsel indtil 6 år straffes den, der under særligt skærpende omstændigheder gør sig skyldig i 1. I § 299 d, stk. 1, indsættes før nr. 1 som nyt nummer:»1) overtrædelse af artikel 89, stk. 2, eller artikel 91, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver,«.Nr. 1-3 bliver herefter nr. 2-4. 1-3) --- Stk. 2. --- § 15 I retsplejeloven, jf. lovbekendtgørelse nr. 1655 af 25. december 2022, som ændret senest ved § 3 i lov nr. 1786 af 28. december 2023, foretages følgende ændring: Retsplejeloven § 806. --- Stk. 2-6. --- Stk. 7. Politiet kan træffe afgørelser om pålæg om edition af oplysninger om transaktioner, konti, depoter, bokse el.lign. fra virksomheder eller personer, der er omfattet af § 1, stk. 1, nr. 1-12 eller 18-26, i lov om forebyggende foranstaltninger mod hvidvask af udbytte og finansiering af terrorisme. Politiet kan i afgørelsen om pålæg om edition efter 1. pkt. bestemme, at der fra virksomheder og personer, der er omfattet af § 1 i lov om forebyggende foranstaltninger mod hvidvask af udbytte og finansiering af terrorisme, kan indhentes oplysninger, som de pågældende har rådighed over, om transaktioner på en konto, hvortil der er overført midler ved en transaktion, som er omfattet af afgørelsen om edition, eller ved en transaktion, der udspringer af en transaktion, som er omfattet af afgørelsen om edition. Stk. 4, 2. pkt., finder tilsvarende anvendelse. Politiets afgørelser efter dette stykke skal være skriftlige og ledsaget af grunde. 1. I § 806, stk. 7, 1. pkt., ændres »§ 1, stk. 1, nr. 1-12 eller 18-26« til: »§ 1, stk. 1, nr. 12 eller 18-22«. Stk. 8-11. ---
I lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 1731 af 5. december 2023, som ændret ved § 335 i lov nr. 718 af 13. juni 2023, § 44 i lov nr. 1534 af 12. december 2023 og § 1 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer:
Lov om finansiel virksomhed
Fodnoten. Loven indeholder bestemmelser, der gennemfører Rådets direktiv 86/635/EØF af 8. december 1986 (bankregnskabsdirektivet), EF-Tidende 1986, nr. L 372, side 1, Rådets direktiv 89/117/EØF af 13. februar 1989 (offentliggørelse af årsregnskabsdokumenter for filialer fra ikkemedlemslande), EF-Tidende 1989, nr. L 44, side 40, Rådets direktiv 91/674/EØF af 19. december 1991 (forsikringsregnskabsdirektivet), EF-Tidende 1991, nr. L 374, side 7, Europa-Parlamentets og Rådets direktiv 95/26/EF af 29. juni 1995 (BCCI-direktivet), EF-Tidende 1995, nr. L 168, side 7, Europa-Parlamentets og Rådets direktiv 2001/24/EF af 4. april 2001 (likvidationsdirektivet for kreditinstitutter), EF-Tidende 2001, nr. L 125, side 15, Europa-Parlamentets og Rådets direktiv 2002/13/EF af 5. marts 2002 (Solvens I-direktivet), EF-Tidende 2002, nr. L 77, side 17, Europa-Parlamentets og Rådets direktiv 2002/87/EF af 16. december 2002 (konglomeratdirektivet), EU-Tidende 2003, nr. L 35, side 1, dele af Europa-Parlamentets og Rådets direktiv 2006/31/EF af 5. april 2006 (udsættelsesdirektivet), EU-Tidende 2006, nr. L 114, side 60, Europa-Parlamentets og Rådets direktiv 2007/44/EF af 5. september 2007 (kapitalandelsdirektivet), EU-Tidende 2007, nr. L 247, side 1, dele af Europa-Parlamentets og Rådets direktiv 2007/64/EF af 13. november 2007 (betalingstjenestedirektivet), EU-Tidende 2007, nr. L 319, side 1, dele af Europa-Parlamentets og Rådets direktiv 2009/65/EF af 13. juli 2009 (UCITS-direktivet), EU-Tidende 2009, nr. L 302, side 32, dele af Europa-Parlamentets og Rådets direktiv 2009/138/EF af 25. november 2009 (Solvens II-direktivet), EU-Tidende 2009, nr. L 335, side 1, Kommissionens direktiv 2010/43/EU af 1. juli 2010, EU-Tidende 2010, nr. L 176, side 42, dele af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 (CRD IV), EU-Tidende 2013, nr. L 176, side 338, dele af Europa-Parlamentets og Rådets direktiv 2014/49/EU af 16. april 2014 (DGSD), EU-Tidende 2014, nr. L 173, side 149, dele af Europa-Parlamentets og Rådets direktiv 2014/50/EU af 16. april 2014, EU-Tidende 2014, nr. L 128, side 1, dele af Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 (MiFID II), EU-Tidende 2014, nr. L 173, side 349, dele af Europa-Parlamentets og Rådets direktiv 2014/91/EU af 23. juli 2014 (UCITS V-direktivet), EU-Tidende 2014, nr. L 257, side 186, dele af Europa-Parlamentets og Rådets direktiv 2015/849/EU af 20. maj 2015 (4. hvidvaskdirektiv), EU-Tidende 2015, nr. L 141, side 73, dele af Europa-Parlamentets og Rådets direktiv 2018/843/EU af 30. maj 2018, EU-Tidende 2018, nr. L 156, side 43, dele af Europa-Parlamentets og Rådets direktiv 2016/97/EU af 20. januar 2016, EU-Tidende 2016, nr. L 26, side 19, dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 (NIS-direktivet), EU-Tidende 2016, nr. L 194, side 1, dele af Europa-Parlamentets og Rådets direktiv 2017/828/EU af 17. maj 2017, EU-Tidende 2017, nr. L 132, side 1, dele af Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296, dele af Europa-Parlamentets og Rådets direktiv 2017/828/EU af 17. maj 2017, EU-Tidende 2017, nr. L 132, side 1, dele af Europa-Parlamentets og Rådets direktiv 2019/1160/EU af 20. juni 2019, EU-Tidende 2019, nr. L 188, side 106, dele af Europa-Parlamentets og Rådets direktiv (EU) 2019/2162 af 27. november 2019 om udstedelse af dækkede obligationer og offentligt tilsyn med dækkede obligationer og om ændring af direktiv 2009/65/EF og 2014/59/EU, EU-Tidende 2019, nr. L 328, side 29, og dele af Kommissionens delegerede direktiv (EU) 2021/1270 af 21. april 2021 om ændring af direktiv 2010/43/EU for så vidt angår de bæredygtighedsrisici og bæredygtighedsfaktorer, der skal tages hensyn til i forbindelse med institutter for kollektiv investering i værdipapirer (investeringsinstitutter), EU-Tidende 2021, nr. L 277, side 141. Ifølge artikel 288 i EUF-traktaten gælder en forordning umiddelbart i hver medlemsstat. Gengivelsen af disse bestemmelser i loven er således udelukkende begrundet i praktiske hensyn og berører ikke forordningernes umiddelbare gyldighed i Danmark.
1. I fodnoten til lovens titel 1. pkt. udgår »dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 (NIS-direktivet), EU-Tidende 2016, nr. L 194, side 1,«, »og dele af Kommissionens delegerede direktiv (EU) 2021/1270 af 21. april 2021 om ændring af direktiv 2010/43/EU for så vidt angår de bæredygtighedsrisici og bæredygtighedsfaktorer, der skal tages hensyn til i forbindelse med institutter for kollektiv investering i værdipapirer (investeringsinstitutter), EU-Tidende 2021, nr. L 277, side 141« ændres til: », dele af Kommissionens delegerede direktiv (EU) 2021/1270 af 21. april 2021 om ændring af direktiv 2010/43/EU for så vidt angår de bæredygtighedsrisici og bæredygtighedsfaktorer, der skal tages hensyn til i forbindelse med institutter for kollektiv investering i værdipapirer (investeringsinstitutter), EU-Tidende 2021, nr. L 277, side 141, dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 om foranstaltninger til sikring af et føjt fælles cybersikkerhedsniveau i hele Unionen, EU-Tidende 2022, nr. L 333, side 80-152, og dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2556 af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«, i 2. pkt., ændres »84, og« til: »84,«, og efter »L 352, side 1« indsættes: »Europa-Parlamentets og Rådets forordning (EU) 2013/1114 af 31. maj 2023 om markeder for kryptoaktiver«.
1. I fodnoten til lovens titel 1. pkt. udgår »dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 (NIS-direktivet), EU-Tidende 2016, nr. L 194, side 1,«, »og dele af Kommissionens delegerede direktiv (EU) 2021/1270 af 21. april 2021 om ændring af direktiv 2010/43/EU for så vidt angår de bæredygtighedsrisici og bæredygtighedsfaktorer, der skal tages hensyn til i forbindelse med institutter for kollektiv investering i værdipapirer (investeringsinstitutter), EU-Tidende 2021, nr. L 277, side 141« ændres til: », dele af Kommissionens delegerede direktiv (EU) 2021/1270 af 21. april 2021 om ændring af direktiv 2010/43/EU for så vidt angår de bæredygtighedsrisici og bæredygtighedsfaktorer, der skal tages hensyn til i forbindelse med institutter for kollektiv investering i værdipapirer (investeringsinstitutter), EU-Tidende 2021, nr. L 277, side 141, dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 om foranstaltninger til sikring af et føjt fælles cybersikkerhedsniveau i hele Unionen, EU-Tidende 2022, nr. L 333, side 80-152, og dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2556 af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«, i 2. pkt., ændres »84, og« til: »84,«, og efter »L 352, side 1« indsættes: »Europa-Parlamentets og Rådets forordning (EU) 2013/1114 af 31. maj 2023 om markeder for kryptoaktiver«.
Stk. 4. For filialer her i landet af udenlandske virksomheder, der er meddelt tilladelse til at udøve den i §§ 7-10 a nævnte virksomhed i et land inden for Den Europæiske Union eller et land, som Unionen har indgået aftale med10 på det finansielle område, finder §§ 6, 6 a, 6 b, 30, 32, 43, 43 b, 47-48 a, 50-54, 344 og 345, § 347, stk. 1-3, 5 og 7, §§ 347 b, 347 c og 348, § 352, stk. 2, §§ 354 a, 354 b, 360, 363 a, 368-370 og §§ 373-374 anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. 11 For filialer her i landet af kreditinstitutter finder § 152 a, stk. 4, 2. pkt., og § 307 a, stk. 1, 1. pkt., anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. For filialer her i landet af en udenlandsk virksomhed, der er meddelt tilladelse til at udøve den i §§ 7-10 a nævnte virksomhed i et andet land inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, finder § 347 a endvidere anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. For filialer og tilknyttede agenter her i landet af kreditinstitutter, der er meddelt tilladelse til at yde investeringsservice eller udføre investeringsaktiviteter i et andet land inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, og som udfører sådan aktivitet her i landet, finder §§ 30, 32, 344 og 345, § 347, stk. 1-3, 5 og 7, §§ 348, 354 a og 354 b og § 363 b, stk. 1 og 2,12 anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. § 43 og regler udstedt i medfør heraf13 gælder tilsvarende for situationer som nævnt i 4. pkt.
2. I § 1, stk. 4, 2. pkt., udgår »og § 307 a, stk. 1, 1. pkt.,«.
2. I § 1, stk. 4, 2. pkt., udgår »og § 307 a, stk. 1, 1. pkt.,«.
Stk. 10. Kapitel 20 c finder anvendelse på fælles datacentraler.
3. § 1, stk. 10, ophæves.
3. § 1, stk. 10, ophæves.
Stk. 11-18 bliver herefter stk. 10-17.
4. I § 1 indsættes efter stk. 13 som nye stykker:
4. I § 1 indsættes efter stk. 13 som nye stykker:
»Stk. 14. Kapitel 19 b finder anvendelse på fysiske og juridiske personer og andre virksomheder, der er involveret i udstedelse, udbud til offentligheden og optagelse af kryptoaktiver til handel, eller som leverer tjenesteydelser i forbindelse med kryptoaktiver.
Stk. 15. Kapitel 19 c finder anvendelse på operatører af finansiel digital infrastruktur.«
Stk. 14-18 bliver herefter stk. 16-20.
§ 10. Virksomheder skal have tilladelse som investeringsforvaltningsselskab for at udføre den daglige ledelse af investeringsforeninger og administrere andre UCITS, jf. bilag 6. Investeringsforvaltningsselskaber må i øvrigt kun udføre virksomhed som nævnt i stk. 2, § 10 a og § 28.
5. I § 10, stk. 1, 2. pkt., ændres »§ 10 a og § 28« til: »§§ 10 a, 10 b og 28«.
5. I § 10, stk. 1, 2. pkt., ændres »§ 10 a og § 28« til: »§§ 10 a, 10 b og 28«.
6. Efter § 10 a indsættes:
6. Efter § 10 a indsættes:
»§ 10 b. Et investeringsforvaltningsselskab kan levere tjenester med kryptoaktiver som angivet i artikel 60, stk. 5, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, svarende til de tjenester, som det er meddelt tilladelse til i henhold til § 10, hvis selskabet giver Finanstilsynet meddelelse mindst 40 arbejdsdage, inden disse tjenester leveres første gang. Meddelelsen skal ledsages af de oplysninger, der er anført i artikel 60, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.«
§ 71. En finansiel virksomhed og en finansiel holdingvirksomhed skal have effektive former for virksomhedsstyring, herunder
betryggende kontrol- og sikringsforanstaltninger på it-området og
7. I § 71, stk. 1, nr. 8, indsættes efter »it-området«: »og for net- og informationssystemer, som oprettes og styres i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 om digital operationel modstandsdygtighed i den finansielle sektor«.
7. I § 71, stk. 1, nr. 8, indsættes efter »it-området«: »og for net- og informationssystemer, som oprettes og styres i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 om digital operationel modstandsdygtighed i den finansielle sektor«.
Stk. 3. Finanstilsynet kan fastsætte nærmere regler om de foranstaltninger, som en finansiel virksomhed og en finansiel holdingvirksomhed skal træffe for at have effektive former for virksomhedsstyring, jf. stk. 1 og 2. Finanstilsynet kan desuden fastsætte nærmere regler om hændelsesrapportering for de virksomheder, der udpeges som operatører af væsentlige tjenester i medfør af § 307 a, herunder om, at Finanstilsynet og Center for Cybersikkerhed underrettes ved en hændelse, der har en negativ indvirkning på sikkerheden i virksomhedens net- og informationssystemer.
8. § 71, stk. 3, 2. pkt., ophæves.
8. § 71, stk. 3, 2. pkt., ophæves.
§ 72 a. Pengeinstitutter, sparevirksomheder, realkreditinstitutter og investeringsforvaltningsselskaber kan outsource en proces, en tjenesteydelse eller en aktivitet, som virksomheden ellers selv ville udføre, til en leverandør.
9. I § 72 a, stk. 1, indsættes som 2. pkt.:
9. I § 72 a, stk. 1, indsættes som 2. pkt.:
»1. pkt. finder ikke anvendelse for outsourcing på det digitale operationelle område.«
§ 72 c. Regler fastsat i medfør af § 72 a, stk. 3, gælder ikke for virksomhedernes autentifikation af brugere ved anvendelse af MitID-løsningen, jf. lov om MitID og NemLog-in.
Stk. 5. Det i stk. 4 anførte eksponeringsforbud finder ikke anvendelse i forbindelse med deltagelse i bestyrelserne for Danmarks Skibskredit A/S, Banker og Sparekassers Ungdomskontakt, LR Realkredit A/S, Bornholms Erhvervsfond, Grønlandsbanken A/S, regulerede markeder, clearingcentraler, værdipapircentraler, NASDAQ OMX Stockholm AB, NASDAQ OMX Helsinki Oy, IFU – Investeringsfonden for Udviklingslande, IØ – Investeringsfonden for Østlandene, Landbrugets FinansieringsBank A/S, Bankernes Kontantservice A/S, Fundcollect A/S, Fundconnect A/S og DLR Kredit A/S.
11. I § 80, stk. 5, udgår »Landbrugets FinansieringsBank A/S,«.
11. I § 80, stk. 5, udgår »Landbrugets FinansieringsBank A/S,«.
Stk. 2. Et pengeinstituts og et realkreditinstituts bestyrelse og direktion skal på baggrund af vurderingen efter stk. 1 opgøre instituttets individuelle solvensbehov. Solvensbehovet opgøres som det tilstrækkelige kapitalgrundlag i procent af den samlede risikoeksponering. Solvensbehovet kan ikke være mindre end kapitalgrundlagskravet efter artikel 92, stk. 1, litra c, og minimumskapitalkravet i artikel 93 i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter.
12. I § 124, stk. 2, indsættes efter 2. pkt. som nyt punktum:
12. I § 124, stk. 2, indsættes efter 2. pkt. som nyt punktum:
»Den del af solvensbehovet, der vedrører risiko for overdreven gearing, opgøres i procent af den samlede ikke-risikovægtede eksponering.«
13. I § 124, stk. 2, 3. pkt., der bliver 4. pkt., indsættes efter »i artikel 93«: »eller gearingsgradskravet efter artikel 92, stk. 1, litra d,«.
13. I § 124, stk. 2, 3. pkt., der bliver 4. pkt., indsættes efter »i artikel 93«: »eller gearingsgradskravet efter artikel 92, stk. 1, litra d,«.
Stk. 3. Finanstilsynet kan individuelt fastsætte et højere krav til kapitalgrundlaget i form af et tillæg til kapitalgrundlagskravet, der fremgår af artikel 92, stk. 1, litra c, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter. Dette individuelle solvenskrav er udtryk for Finanstilsynets vurdering af instituttets tilstrækkelige kapitalgrundlag i procent af den samlede risikoeksponering.
14. I § 124, stk. 3, 1. pkt., indsættes efter: »92, stk. 1, litra c,«: »eller til gearingsgradskravet, der fremgår af artikel 92, stk. 1, litra d,«, og i 2. pkt. indsættes efter »samlede risikoeksponering«: »og i procent af den ikke-risikovægtede eksponering, hvis solvenskravet vedrører risiko for overdreven gearing«.
14. I § 124, stk. 3, 1. pkt., indsættes efter: »92, stk. 1, litra c,«: »eller til gearingsgradskravet, der fremgår af artikel 92, stk. 1, litra d,«, og i 2. pkt. indsættes efter »samlede risikoeksponering«: »og i procent af den ikke-risikovægtede eksponering, hvis solvenskravet vedrører risiko for overdreven gearing«.
§ 124 a. Finanstilsynet fastsætter årligt et vejledende niveau af yderligere kapitalgrundlag for de individuelle kreditinstitutter og meddeler dette til kreditinstitutterne. Det vejledende niveau af yderligere kapitalgrundlag baseres på en tilsynsmæssig stresstest og opgøres i procent af den samlede risikoeksponering.
15. I § 124 a, stk. 1, 1. pkt., ændres: »meddeler« til: »informerer«.
15. I § 124 a, stk. 1, 1. pkt., ændres: »meddeler« til: »informerer«.
16. I § 124 a, stk. 1, 2. pkt., indsættes efter: »risikoeksponering«: »og i procent af den samlede ikke-risikovægtede eksponering«.
16. I § 124 a, stk. 1, 2. pkt., indsættes efter: »risikoeksponering«: »og i procent af den samlede ikke-risikovægtede eksponering«.
Stk. 3. Den del af det vejledende niveau af yderligere kapitalgrundlag, som er fastsat for at tage højde for risikoen for overdreven gearing, skal opfyldes med egentlig kernekapital ud over den egentlige kernekapital, som opretholdes for at opfylde
17. I § 124 a, stk. 3, udgår »egentlig« og »egentlige«.
17. I § 124 a, stk. 3, udgår »egentlig« og »egentlige«.
§ 125 d. Et pengeinstitut og et realkreditinstitut, der ikke opfylder det kombinerede kapitalbufferkrav, jf. § 125 a, stk. 1, og som har til hensigt at foretage en handling, der er omfattet af § 125 b, stk. 3, nr. 1-3, skal straks give Finanstilsynet meddelelse herom og oplyse:
18. I § 125 d, stk. 1, indsættes efter »§ 125 a, stk. 1,«: »eller gearingsgradbufferkravet, jf. artikel 92 stk. 1, litra a, jf. Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, hvis gearingsgradsbufferkravet finder anvendelse,«, og »§ 125 b, stk. 3,« ændres til: »§ 125 b, stk. 5,«.
18. I § 125 d, stk. 1, indsættes efter »§ 125 a, stk. 1,«: »eller gearingsgradbufferkravet, jf. artikel 92 stk. 1, litra a, jf. Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, hvis gearingsgradsbufferkravet finder anvendelse,«, og »§ 125 b, stk. 3,« ændres til: »§ 125 b, stk. 5,«.
Stk. 12. Finanstilsynet fastsætter bestemmelser om revisionens gennemførelse i finansielle virksomheder, i finansielle holdingvirksomheder og i sådanne virksomheders dattervirksomheder. Herunder kan Finanstilsynet fastsætte bestemmelser om intern revision og om systemrevisionens gennemførelse i fælles datacentraler.
19. § 199, stk. 12, 2. pkt., ophæves.
19. § 199, stk. 12, 2. pkt., ophæves.
§ 224. Finanstilsynet kan endvidere inddrage tilladelsen til at drive virksomhed som pengeinstitut, realkreditinstitut og investeringsforvaltningsselskab,
hvis den finansielle virksomhed gør sig skyldig i grove eller gentagne overtrædelser af denne lov, hvidvaskloven, lov om kapitalmarkeder eller lov om realkreditlån og realkreditobligationer m.v., regler udstedt i medfør af disse love, Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, forordninger og regler udstedt i medfør af Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber eller Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter,
20. I § 224, stk. 1, nr. 1, indsættes efter »om markeder for finansielle instrumenter«: »eller Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«.
20. I § 224, stk. 1, nr. 1, indsættes efter »om markeder for finansielle instrumenter«: »eller Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«.
Stk. 7. Virksomheder, der har tilladelse til at drive både livsforsikringsvirksomhed og skadesforsikringsvirksomhed i samme selskab, jf. § 11, stk. 12, kan få inddraget deres tilladelse for henholdsvis livsforsikringsvirksomheden og skadesforsikringsvirksomheden særskilt.
21. § 224, stk. 7, ophæves.
21. § 224, stk. 7, ophæves.
Stk. 3. I vurderingen af, om Finanstilsynet skal begrænse virksomhedens udlodning til det maksimale udlodningsbeløb, skal Finanstilsynet tage hensyn til følgende:
Udviklingen i virksomhedens økonomiske situation og sandsynligheden for, at virksomheden inden for en overskuelig fremtid opfylder betingelserne for afvikling.
22. I § 269 a, stk. 3, nr. 2, ændres »opfylder betingelserne for afvikling« til: »bliver nødlidende eller forventeligt nødlidende, jf. § 224 a«.
22. I § 269 a, stk. 3, nr. 2, ændres »opfylder betingelserne for afvikling« til: »bliver nødlidende eller forventeligt nødlidende, jf. § 224 a«.
23. I § 272 indsættes som stk. 8 og 9:
23. I § 272 indsættes som stk. 8 og 9:
»Stk. 8. Kapitalejere og kreditorer, hvis krav er blevet nedskrevet eller konverteret i henhold til stk. 1, må ikke lide større tab end ved konkursbehandling af pengeinstituttet eller realkreditinstituttet under afvikling.
Stk. 9. Finanstilsynets vurdering efter stk. 8 foretages på baggrund af værdiansættelsen i § 8 i lov om restrukturering og afvikling af visse finansielle virksomheder. Værdiansættelsen foretages af Finansiel Stabilitet efter anmodning fra Finanstilsynet. Konstateres det, at en kapitalejer eller kreditor, herunder Garantiformuen, har lidt større tab, end den ville have gjort ved konkursbehandling af pengeinstituttet eller realkreditinstituttet, betales forskellen af Afviklingsformuen, jf. kapitel 11 i lov om restrukturering og afvikling af visse finansielle virksomheder.«
Stk. 3. Stk. 1 finder ikke anvendelse, hvis forpligtelsen er undtaget fra bail-in, jf. § 25, stk. 3, i lov om restrukturering og afvikling af visse finansielle virksomheder, eller hvis forpligtelsen er et berettiget indskud, jf. § 2, nr. 7, i lov om restrukturering og afvikling af visse finansielle virksomheder.
24. § 274, stk. 3, affattes således:
24. § 274, stk. 3, affattes således:
»Stk. 3. Stk. 1 finder ikke anvendelse, hvis
1) forpligtelsen er undtaget fra bail-in, jf. § 25, stk. 3, i lov om restrukturering og afvikling af visse finansielle virksomheder,
2) forpligtelsen er en del af et berettiget indskud fra fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, jf. § 2, nr. 19, i lov om restrukturering og afvikling af visse finansielle virksomheder, og overstiger beløbsgrænsen for dækkede indskud, jf. § 9 i lov om en indskyder- og investorgarantiordning, eller
3) forpligtelsen ville være et berettiget indskud fra fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, hvis ikke indskuddet var foretaget gennem filialer af institutter, der er etableret inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, når filialen er beliggende uden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område.«
§ 275. En virksomhed skal underrette Finanstilsynet, hvis det ikke er muligt at opfylde § 274, stk. 1, i forhold til en kontrakt vedrørende en forpligtelse omfattet af konkurslovens § 97. Underretningen skal angive kategorien af forpligtelsen og begrundelsen for, at det ikke er muligt at indføre kontraktbestemmelsen.
25. I § 275, stk. 1, indsættes efter 1. pkt. som nyt punktum:
25. I § 275, stk. 1, indsættes efter 1. pkt. som nyt punktum:
»Dette omfatter dog ikke usikrede obligationer og andre former for omsættelig gæld og instrumenter, der skaber eller anerkender en gæld.«.
Afsnit VIII a. Identifikation af operatører af væsentlige tjenester.
26. Afsnit VIII a ophæves.
26. Afsnit VIII a ophæves.
Kapitel 18 a. Identifikation af operatører af væsentlige tjenester.
§ 307 a. Finanstilsynet udpeger mindst hvert andet år de penge- og realkreditinstitutter, der er operatører af væsentlige tjenester. Det samme gælder filialer af kreditinstitutter med hjemsted i et andet land inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område.
Stk. 2. Finanstilsynet skal i forbindelse med udpegningen efter stk. 1 lægge vægt på, at
de tjenester, der leveres, er væsentlige for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter,
leveringen af tjenesten afhænger af net- og informationssystemer og
en hændelse vil få væsentlige forstyrrende virkninger for leveringen af tjenesten.
Stk. 3. Finanstilsynet offentliggør på sin hjemmeside, hvilke penge- og realkreditinstitutter der er udpeget som operatører af væsentlige tjenester.
Stk. 4. Finanstilsynet kan fastsætte nærmere regler om udpegning af operatører af væsentlige tjenester og de kriterier, Finanstilsynet kan lægge vægt på efter stk. 1 og 2. Finanstilsynet udarbejder en liste over tjenester, jf. stk. 2, nr. 1.
Afsnit IX a. Offentlig forbrugerinformation.
27. Afsnit IX a ophæves og i stedet indsættes:
27. Afsnit IX a ophæves og i stedet indsættes:
Offentlig forbrugerinformation
§ 331. Finanstilsynet fremmer den offentlige forbrugerinformation på det finansielle område.
Markeder for kryptoaktiver
§ 332. I denne lov forstås ved:
1) Kryptoaktiv: En digital gengivelse af en værdi eller af en rettighed, som kan overføres og lagres elektronisk ved hjælp af distributed ledger-teknologi eller lignende teknologi.
2) Aktivbaseret token: En form for kryptoaktiv, der ikke er en elektronisk pengetoken, og som hævdes at bevare en stabil værdi ved at henvise til en anden værdi eller rettighed eller en kombination heraf, herunder en eller flere officielle valutaer.
3) Elektronisk pengetoken eller e-pengetoken: En form for kryptoaktiv, som hævdes at bevare en stabil værdi ved at henvise til værdien af en officiel valuta.
4) Udsteder af kryptoaktiver: En fysisk eller juridisk person eller en anden virksomhed, der udsteder kryptoaktiver.
5) Udbyder af kryptoaktiver: En fysisk eller juridisk person eller en anden virksomhed, eller udstederen, som udbyder kryptoaktiver til offentligheden.
6) Udbyder af kryptoaktivtjenester: En juridisk person eller en anden virksomhed, hvis erhverv eller forretning består i at levere en eller flere kryptoaktivtjenester til kunder på et erhvervsmæssigt grundlag, og som har tilladelse til at levere kryptoaktivtjenester i overensstemmelse med artikel 59 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
7) Kryptoaktivtjeneste: En af nedenstående tjenester og aktiviteter vedrørende ethvert kryptoaktiv:
a) Levering af deponering og administration af kryptoaktiver på kunders vegne.
b) Drift af en handelsplatform for kryptoaktiver.
c) Veksling mellem kryptoaktiver og midler.
d) Veksling mellem kryptoaktiver og andre kryptoaktiver.
e) Udførelse af ordrer vedrørende kryptoaktiver på vegne af kunder.
f) Placering af kryptoaktiver.
g) Modtagelse og formidling af ordrer vedrørende kryptoaktiver på vegne af kunder.
h) Rådgivning om kryptoaktiver.
i) Porteføljepleje i forbindelse med kryptoaktiver.
j) Levering af tjenester vedrørende overførsel af kryptoaktiver på vegne af kunder.
Tilladelse og underretning
§ 332 a. En juridisk person eller anden virksomhed, der udbyder aktivbaserede tokens til offentligheden eller anmoder om optagelse af aktivbaserede tokens til handel i EU, skal være udsteder af disse aktivbaserede tokens og have tilladelse af Finanstilsynet i overensstemmelse med artikel 21, jf. artikel 16, stk. 1, litra a, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, jf. dog stk. 2 og 3.
Stk. 2. Stk. 1 finder ikke anvendelse på et pengeinstitut, der opfylder kravene i artikel 17 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
Stk. 3. Stk. 1 finder ikke anvendelse på en udsteder af aktivbaserede tokens, som er undtaget efter artikel 16, stk. 2, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, såfremt udstederen giver meddelelse om en hvidbog om kryptoaktiver i overensstemmelse med artikel 19 i samme forordning, og efter anmodning Fra Finanstilsynet giver meddelelse om enhver markedsføringskommunikation til Finanstilsynet.
§ 332 b. En person, der udbyder e-pengetokens til offentligheden eller anmoder om optagelse af e-pengetokens til handel i EU, skal være udsteder af disse, være meddelt tilladelse fra Finanstilsynet som pengeinstitut eller e-pengeinstitut og offentliggøre en hvidbog om kryptoaktiver, som Finanstilsynet er blevet underrettet om i overensstemmelse med artikel 51, jf. artikel 48, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
§ 332 c. En juridisk person eller anden virksomhed, der leverer kryptoaktivtjenester i EU, skal have tilladelse af Finanstilsynet efter artikel 63, jf. artikel 59, stk. 1, litra a, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, jf. dog stk. 2.
Stk. 2. Stk. 1 finder ikke anvendelse på et pengeinstitut, en værdipapircentral, et fondsmæglerselskab, en markedsoperatør, et e-pengeinstitut, et investeringsforvaltningsselskab eller en forvalter af alternative investeringsfonde, der har tilladelse til at udbyde tjenester som angivet i artikel 60, stk. 1-6, og som har underrettet Finanstilsynet i henhold til artikel 60, stk. 1-6, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, jf. artikel 59, stk. 1, litra b, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
Inddragelse af tilladelse
§ 332 d. Finanstilsynet kan inddrage en tilladelse til en udsteder af aktivbaserede tokens efter artikel 24 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
§ 332 e. Finanstilsynet kan inddrage en tilladelse til en udbyder af kryptoaktivtjenester efter artikel 64 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
Indberetning af oplysninger
§ 332 f. En udsteder af aktivbaserede tokens omfattet af § 361, stk. 1, nr. 11, skal senest den 1. juli hvert år indberette summen af udstederens gennemsnitlige udestående til Finanstilsynet, jf. stk. 2.
Stk. 2. Gennemsnittet af de udestående aktivbaserede tokens beregnes som den samlede markedsværdi af de udestående aktivbaserede tokens, opgjort på baggrund af det daglige udestående ved udgangen af hver dag i de foregående 6 måneder. Opgørelsen foretages den første dag i hver måned. Har virksomheden ikke gennemført 6 måneders drift på datoen for beregningen, anvendes de eventuelt gennemførte måneder med drift og virksomhedens estimater for de gennemsnitlige udestående aktivbaserede tokens for det kommende år som grundlag for beregningen.
§ 332 g. En udbyder af kryptoaktivtjenester omfattet af § 361, stk. 1, nr. 12, skal senest den 1. juli hvert år indberette virksomhedens omkostninger til løn, provision og tantieme til Finanstilsynet.
§ 332 h. Finanstilsynet, eller hvor kompetencen til at udøve enkelte beføjelser ved lov er tillagt andre danske myndigheder, kan til brug for tilsyn med overholdelsen af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver udøve de beføjelser, der følger af forordningens artikel 94. Dette inkluderer til enhver tid mod behørig legitimation uden retskendelse at kunne få adgang til lokaler og lokaliteter tilhørende udbydere af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens, og personer, der anmoder om optagelse til handel af kryptoaktiver, undtagen aktivbaserede tokens eller e-pengetokens, udstedere af aktivbaserede tokens, udstedere af e-pengetokens og udbydere af kryptoaktivtjenester, med henblik på indhentelse af oplysninger, herunder ved inspektioner.
Operatører af finansielle digitale infrastrukturer
Udpegning af operatører af finansielle digitale infrastrukturer
§ 333. Finanstilsynet kan udpege en virksomhed, som operatør af finansiel digital infrastruktur, hvis virksomheden opfylder følgende:
1) Virksomheden udbyder digital infrastruktur eller forvalter it-tjenester, som nævnt i bilag I, pkt. 8 og 9, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen.2) Virksomhedens væsentligste aktiviteter består i at drive, administrere eller udvikle tjenester, der er nødvendige for kritiske og vigtige forretningsfunktioner i virksomheder, der er omfattet af Europa-Parlamentets og Rådets forordning (EU) 2022/2254 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, som operatører af finansielle digitale infrastrukturer.
1) Virksomheden udbyder digital infrastruktur eller forvalter it-tjenester, som nævnt i bilag I, pkt. 8 og 9, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen.
2) Virksomhedens væsentligste aktiviteter består i at drive, administrere eller udvikle tjenester, der er nødvendige for kritiske og vigtige forretningsfunktioner i virksomheder, der er omfattet af Europa-Parlamentets og Rådets forordning (EU) 2022/2254 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, som operatører af finansielle digitale infrastrukturer.
Stk. 2. Finanstilsynet skal ved udpegningen af en operatør af finansielle digitale infrastrukturer lægge vægt på følgende:
1) Omfanget og antallet af virksomheder i den finansielle sektor som virksomheden varetager kritiske og vigtige opgaver for.
2) Karakteren af de kritiske og vigtige funktioner, som er afhængige af virksomhedens leverancer.
3) Betydningen af operatørens leverancer for den finansielle stabilitet.
4) Virksomhedens tilknytning til de virksomheder i den finansielle sektor, som modtager operatørens ydelser, herunder koncernforbindelser og ejerskab.
Stk. 3. It-operatører af detailbetalingssystemer og virksomheder, der udfører væsentlig drift eller udvikling for den fælles betalingsinfrastruktur, kan udpeges som operatører af finansielle digitale infrastrukturer.
Stk. 4. Finanstilsynet skal på sin hjemmeside offentliggøre, hvilke virksomheder der er udpeget som operatører af finansielle digitale infrastrukturer.
Stk. 5. Finanstilsynet kan fastsætte nærmere regler om udpegning af operatører af finansielle digitale infrastrukturer, herunder de kriterier, som Finanstilsynet skal lægge vægt på efter stk. 1 og 2.
Foranstaltninger til styring af it- og cyberrisici
§ 333 a. En operatør af finansiel digital infrastruktur skal have en forvaltnings- og kontrolramme, der sikrer en effektiv og forsigtig styring af it- og cyberrisici.
Stk. 2. En operatør skal som led i rammen for styring af it- og cyberrisici træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risici for sikkerheden i net- og informationssystemer.
Stk. 3. Foranstaltningerne nævnt i stk. 2 skal omfatte følgende:
1) politikker for risikoanalyse og informationssystemsikkerhed, jf. § 333 d,
2) håndtering af hændelser, jf. § 333 f,
3) driftskontinuitet, herunder backup-styring og reetablering efter større hændelser og krisestyring, jf. § 333 e, stk. 7,
4) forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem operatøren og dens direkte leverandører eller tjenesteudbydere, jf. §§ 333 h-333 j,
5) sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder, jf. § 333 e, stk. 2,
6) politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici, jf. § 332, stk. 10, og § 333 g,
7) grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse, jf. § 333 b, stk. 7, og § 333 e, stk. 4 og 11,
8) politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering,
9) personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver, og
10) brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i infrastrukturen, hvor det er relevant.
Stk. 4. En operatør skal, når den overvejer foranstaltninger nævnt i stk. 3, nr. 4, tage hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder, og den generelle kvalitet af deres leverandørers og tjenesteudbyderes produkter og cybersikkerhedspraksis, herunder sikkerheden i deres udviklingsprocedurer. Ved vurderingen skal operatøren desuden tage hensyn til resultaterne af de koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder, der foretages i overensstemmelse med artikel 22, stk. 1, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, hvor det er relevant, og hvor resultaterne af sådanne vurderinger foreligger.
§ 333 b. Det øverste ledelsesorgan i en operatør af finansiel digital infrastruktur skal fastlægge, godkende, føre tilsyn med og har ansvaret for gennemførelsen af operatørens ramme, jf. § 333 a, og foranstaltninger efter § 333 b og ordninger for it- og cyberrisikostyring. Det øverste ledelsesorgan skal godkende en strategi for digital operationel modstandsdygtighed, der gennemfører rammen, jf. § 333 a.
Stk. 2. Tilsynet med operatørens styring af sine it- og cyberrisici skal placeres i uafhængige kontrolfunktioner. Operatøren skal sikre adskillelse og uafhængighed mellem it- og cyberrisikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner efter modellen med tre forsvarslinjer eller en intern model for risikostyring og kontrol.
Stk. 3. En operatør skal dokumentere og gennemgå rammen efter § 333 a mindst en gang om året, samt når der forekommer større IT- eller cyberhændelser, eller som følge af observationer efter test eller revisioner. Gennemgang efter 1. pkt. skal ligeledes foretages efter anmodning fra Finanstilsynet. Gennemgangen af rammen skal operatøren kunne dokumentere i en samlet rapport.
Stk. 4. En operatørs interne revision skal regelmæssigt revidere rammen for styring af it- og cyberrisici. Den interne revision skal have tilstrækkelig viden, faglig kompetence og ekspertise til udførelsen af denne opgave.
Stk. 5. En operatør skal oprette en funktion med henblik på overvågning af ordninger, der er indgået med tredjepartsudbydere om it-ydelser, eller udpege et direktionsmedlem som ansvarlig for tilsyn og dokumentation i forbindelse med eksponering for it- og cyberrisici fra tredjepartsudbydere.
Stk. 6. En operatør skal oprette en funktion til krisestyring, som skal håndtere større it- og cyberhændelser, medfører aktivering af beredskabsplaner, forretningskontinuitetsplaner eller genopretningsplaner. Krisestyringsfunktionen har ansvaret for kommunikation efter 1. pkt.
Stk. 7. Medlemmer af det øverste ledelsesorgan af operatøren skal aktivt vedligeholde den viden og de færdigheder, der er nødvendige for at forstå og vurdere it- og cyberrisici og disses indvirkning på driften af operatøren, herunder ved regelmæssigt at følge undervisning, som er passende i forhold til de it- og cyberrisici, som operatøren og dens kunder er eksponeret for.
§ 333 c. En operatør af finansiel digital infrastruktur skal dokumentere anvendelsen af sin ramme for styring af it- og cyberrisici på leverancer, der er nødvendige for kritiske og vigtige funktioner hos kunder, såfremt operatøren er datacentral for virksomheder, som er omfattet af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Styring af it- og cyberrisici
§ 333 d. Den ramme for it- og cyberrisikostyring, som en operatør af finansiel digital infrastruktur skal have, jf. § 333 a, skal omfatte en overordnet strategi for digital operationel modstandsdygtighed, der fastsætter, hvordan rammen skal gennemføres.
Stk. 2. Operatøren skal med passende mellemrum identificere og vurdere alle væsentlige it- og cyberrisici, som operatøren og dennes ydelser er eksponeret for.
Stk. 3. Rammen for it- og cyberrisikostyring skal som minimum omfatte strategier, politikker, procedurer og foranstaltninger, som er nødvendige for at beskytte al fysisk og digital infrastruktur og data i overensstemmelse med de identificerede risici, herunder software, hardware, servere, netværk og relaterede fysiske komponenter og infrastrukturer, såsom lokaler, datacentre og sensitive udpegede områder mod risici.
Foranstaltninger til it- og cybersikkerhed
§ 333 e. En operatør af finansiel digital infrastrukturs it-systemer, it-protokoller og it-værktøjer skal være pålidelige og med tilstrækkelig kapacitet til rettidigt at håndtere de nødvendige transaktioner m.v. i situationer med spidsbelastning, herunder uventet høje spidsbelastninger.
Stk. 2. En operatør skal løbende identificere alle kritiske forretningsfunktioner og it-aktiver, herunder it-aktiver, der understøtter kritiske eller vigtige forretningsfunktioner for operatørens kunder.
Stk. 3. En operatør skal identificere alle kritiske eller vigtige forretningsprocesser og tjenester, der er afhængige af eksterne leverandører, og dokumentere egne og kunders afhængigheder af ydelser fra underleverandører.
Stk. 4. En operatør skal overvåge og kontrollere it-systemernes og it-værktøjernes funktion og sikkerhed og minimere virkningerne af it- og cyberrisici ved at indføre passende sikkerhedsværktøjer, -politikker og -procedurer. Operatøren skal løbende identificere potentielle sårbarheder og single points of failure.
Stk. 5. En operatør skal opretholde et højt niveau af tilgængelighed, autenticitet, integritet og fortrolighed af data, og udforme og gennemføre it-sikkerhedspolitikker, -procedurer, -protokoller og -værktøjer, der er egnede til at sikre modstandsdygtighed, stabilitet og tilgængelighed for it-systemer, der understøtter kritiske eller vigtige funktioner.
Stk. 6. En operatør skal indføre mekanismer til overvågning og sporing af anormale aktiviteter, trusler og hændelser i relevant infrastruktur og fastsætte tærskler for igangsættelse af indsats- og beredskabsforanstaltninger.
Stk. 7. En operatør skal have en politik for it-driftsstabilitet, som gennemføres ved dokumenterede beredskabsplaner, ordninger, procedurer mv., med henblik på:
1) at sikre, at operatørens og dennes kunders kritiske eller vigtige funktioner er stabile,
2) at hurtigt, passende og effektivt at sætte ind over for og løse alle it-relaterede hændelser på en måde, der begrænser skaden og prioriterer genoptagelsen af aktiviteter og genopretningstiltag,
3) at planer, der omfatter inddæmningsforanstaltninger, der er passende i forhold til hændelserne og som forhindrer yderligere skade, omgående aktiveres
4) at anslå foreløbige virkninger, skader og tab, og
5) at indføre kommunikations- og krisestyringstiltag, der sikrer, at ajourførte oplysninger videresendes til al relevant internt personale og eksterne interessenter, og indberettes til Finanstilsynet.
Stk. 8. En operatør skal have politikker og procedurer for sikkerhedskopiering, der præciserer omfanget af de data, der er genstand for sikkerhedskopiering, og minimumshyppigheden af sikkerhedskopiering baseret på oplysningernes kritiske betydning eller fortrolighedsniveauet for dataene. Operatøren skal endvidere have procedurer og metoder for gendannelse og genopretning efter materiel eller immateriel skade efter væsentlige hændelser.
Stk. 9. En operatør skal regelmæssigt teste sine foranstaltninger til beredskab, indsats, genopretning, sikkerhedskopiering og gendannelse.
Stk. 10. En operatør skal udvikle politikker for en systematisk læring på baggrund af den viden, som operatøren opnår ved opfølgning på sin ramme for risikostyring, trusselsovervågning, testresultater og it- og cyberhændelser. Den opnåede viden skal danne grundlag for en årlig rapportering til ledelsesorganet med anbefalinger til forbedringer i relevant omfang.
Stk. 11. En operatør skal have beredskab for krisekommunikation og ansvarlig offentliggørelse af oplysninger om større cyberhændelser eller væsentlige sårbarheder til berørte parter, herunder kunder, modparter og offentligheden.
Styring og indberetning af it- og cyberhændelser
§ 333 f. En operatør af finansiel digital infrastruktur skal fastlægge en proces for overvågning, styring og indberetning af it- og cyberhændelser.
Stk. 2. En operatør skal registrere alle it- og cyberhændelser og væsentlige cybertrusler. Operatøren skal fastlægge passende procedurer, der sikrer en konsekvent og integreret overvågning, håndtering og opfølgning af it- og cyberhændelser, og at de grundlæggende årsager identificeres, dokumenteres og håndteres.
Stk. 3. En operatør skal indberette væsentlige it- og cyberhændelser, jf. stk. 4, til Finanstilsynet og CSIRT’en oprettet i medfør af artikel 10, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen.
Stk. 4. En hændelse anses for væsentlig, jf. stk. 3, hvis
1) den har forårsaget, eller er i stand til at forårsage, alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for operatøren, eller
2) den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig materiel eller immateriel skade.
Stk. 5. En operatør skal ved en indberetning, jf. stk. 3, foretage følgende:
1) Indsende alle oplysninger, der er nødvendige for Finanstilsynet til at fastslå eventuelle grænseoverskridende virkninger af hændelsen.
2) Uden unødigt ophold og under alle omstændigheder inden for 24 timer efter at have fået kendskab til den væsentlige hændelse fremsende en tidlig varsling, som skal angive, om den væsentlige hændelse mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en grænseoverskridende virkning.
3) Uden unødigt ophold og under alle omstændigheder inden for 72 timer efter at have fået kendskab til den væsentlige hændelse fremsende en hændelsesunderretning, som skal ajourføre de oplysninger, der er nævnt under nr. 1 og en indledende vurdering af den væsentlige hændelse, herunder dens alvor og indvirkning samt kompromitteringsindikatorerne, hvor sådanne foreligger.
4) Efter anmodning fra Finanstilsynet eller fra CSIRT’en fremsende en foreløbig rapport om relevante statusopdateringer.
5) Fremsende en endelig rapport senest en måned efter forelæggelsen af den hændelsesunderretning, der er nævnt i nr. 2, der skal omfatte følgende:
a) En detaljeret beskrivelse af hændelsen, herunder dens alvor og indvirkning.
b) Den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen.
c) Anvendte og igangværende afbødende foranstaltninger.
d) Oplysninger om eventuelle grænseoverskridende virkninger af hændelsen.
6) Forelægge en statusrapport for Finanstilsynet og CSIRT’en senest en måned efter forelæggelsen af den hændelsesunderretning, der er nævnt i nr. 2, hvis hændelsen fortsat pågår på dette tidspunkt, og en endelig rapport senest en måned efter operatørens håndtering af hændelsen.
Stk. 6. En operatør skal, hvor det er relevant, uden unødigt ophold underrette modtagere af operatørens tjenester om væsentlige hændelser, der sandsynligvis vil påvirke leveringen af disse tjenester negativt.
Stk. 7. En operatør skal uden unødigt ophold underrette modtagere af deres tjenester, som potentielt er berørt af en væsentlig cybertrussel, om eventuelle foranstaltninger eller modforholdsregler, som disse modtagere kan træffe som reaktion på den pågældende trussel. Operatøren skal også informere de pågældende modtagere om den konkrete væsentlige cybertrussel, hvor dette er relevant.
Stk. 8. En operatør kan underrette Finanstilsynet om væsentlige cybertrusler, når den anser truslen for at være relevant for det finansielle system, tjenestebrugere eller kunder.
Trusselsbaseret penetrationstest
§ 333 g. En operatør af finansiel digital infrastruktur skal løbende teste effektiviteten af sine foranstaltninger til sikring mod it- og cyberhændelser, der har eller kan have skadelige virkninger på virksomhedens drift.
Stk. 2. En operatør skal have et program for test af digital operationel modstandsdygtighed, som er passende i forhold til de identificerede risici og er integreret med operatørens ramme for it- og cyberrisikostyring, jf. § 333 a.
Stk. 3. En operatør kan pålægges at gennemgå trusselsbaserede penetrationstest i overensstemmelse med de regler, der gælder for virksomheder omfattet af kapitel IV i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og retsakter udstedt i medfør heraf.
Stk. 4. Vurderingen af, i hvilket omfang en operatør skal gennemføre penetrationstests, jf. stk. 3, skal foretages ud fra
1) virkningsrelaterede faktorer, navnlig i hvilket omfang de tjenester, der leveres, og de aktiviteter, der udføres af operatøren, indvirker på den finansielle sektor,
2) eventuelle betænkeligheder vedrørende finansiel stabilitet, herunder operatørens systemiske karakter, og
3) operatørens specifikke it-risikoprofil, grad af it-modenhed eller de teknologiske kendetegn, der er involveret.
§ 333 h. En operatør af finansiel digital infrastruktur skal styre sine it- og cyberrisici, der er relateret til brug af it-tjenester fra tredjeparter som en integreret del af sin ramme for it- og cyberrisikostyring, jf. § 333 a.
Stk. 2. En operatør, der har overladt driften af en forretningsfunktion til en leverandør, har til enhver tid det fulde ansvar for at overholde og opfylde alle forpligtelser i henhold til denne lov.
Stk. 3. En operatør skal regelmæssigt gennemgå de risici, der er forbundet med brugen af it-tredjepartsudbydere.
Stk. 4. En operatør skal vedtage og regelmæssigt gennemgå en strategi for sine it-tredjepartsrisici. Strategien for it-tredjepartsrisici skal omfatte en politik for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og som leveres af tredjepartsudbydere.
Stk. 5. En operatør skal opretholde og ajourføre et register over oplysninger om alle ordninger for brugen af it-tjenester, der leveres af tredjepartsudbydere. Operatøren skal underrette Finanstilsynet om enhver planlagt kontraktlig ordning for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og når en funktion er blevet kritisk eller vigtig.
Stk. 6. Inden en operatør indgår en kontraktlig ordning for brugen af it-tjenester, skal operatøren
1) vurdere, om den kontraktlige ordning omfatter brugen af it-tjenester, der understøtter en kritisk eller vigtig funktion,
2) vurdere om de tilsynsmæssige betingelser for udlicitering er opfyldt,
3) identificere og vurdere alle relevante risici i forbindelse med den kontraktlige ordning, herunder muligheden for at sådanne kontraktlige ordninger kan bidrage til at øge it-koncentrationsrisikoen,
4) foretage fornøden due diligence over for potentielle tredjepartsudbydere af it-tjenester og under udvælgelses- og vurderingsprocessen sikre, at den pågældende tredjepartsudbyder af it-tjenester er egnet og
5) identificere og vurdere interessekonflikter, som den kontraktlige ordning kan give anledning til.
Stk. 7. Når en operatør indgår it-kontrakter, der relaterer sig til kritiske og vigtige funktioner, skal operatøren sikre, at den har passende adgangs-, inspektions- og revisionsrettigheder over for tredjepartsudbyderen af it-tjenester. Operatøren skal, på grundlag af en risikobaseret tilgang, fastsætte hyppigheden af revisioner og inspektioner samt de områder, der skal underkastes revision.
Stk. 8. En operatør af skal sikre, at de kontraktlige ordninger for brugen af it-tjenester som minimum kan opsiges i enhver af følgende situationer:
1) Tredjepartsudbyderen begår en væsentlig overtrædelse af gældende lovgivning eller kontraktvilkår.
2) Operatøren identificerer forhold under overvågningen af it-tredjepartsrisici, som kan ændre udførelsen af de funktioner, der er leveret gennem den kontraktlige ordning, herunder væsentlige ændringer, der påvirker ordningen eller situationen for tredjepartsudbyderen af it-tjenester.
3) Operatøren dokumenterer svagheder hos tredjepartsudbyderen af it-tjenester, som vedrører dennes samlede it-risikostyring.
4) Finanstilsynet ikke længere kan føre effektivt tilsyn med operatøren som følge af betingelserne eller omstændighederne vedrørende de respektive kontraktlige ordninger.
Stk. 9. En operatør skal indføre exitstrategier for it-tjenester, der understøtter kritiske eller vigtige funktioner. Exitstrategierne skal tage højde for de risici, der kan opstå hos tredjepartsudbydere af it-tjenester, herunder
1) mulige svigt fra tredjepartsudbyderens side,
2) en forringelse af kvaliteten af de leverede it-tjenester,
3) eventuelle driftsforstyrrelser som følge af uhensigtsmæssig eller manglende levering af it-tjenester,
4) eventuelle væsentlige risici i forbindelse med en passende og løbende anvendelse af de pågældende it-tjenester, eller
5) opsigelse af kontraktlige ordninger med tredjepartsudbydere af it-tjenester i en af de i stk. 8 anførte situationer.
Stk. 10. En operatør skal indføre passende beredskabsforanstaltninger for at opretholde driftsstabiliteten i tilfælde af, at de omstændigheder, der er nævnt i stk. 9, nr. 1-5, indtræder.
Stk. 11. En operatør af finansiel digital infrastruktur skal sikre, at den kan opsige kontraktlige ordninger, uden
1) at dens forretningsaktiviteter afbrydes,
2) at efterlevelsen af de lovgivningsmæssige krav begrænses, og
3) at kontinuiteten og kvaliteten af de leverede tjenester til kunder lider skade.
Stk. 12. Exitstrategierne skal være dokumenterede, proportionale, testet i tilstrækkeligt omfang og gennemgået regelmæssigt.
Stk. 13. En operatør skal identificere alternative løsninger og udarbejde overgangsplaner, så den kan fratage tredjepartsudbyderen af it-tjenester de relevante it-tjenester og de relevante data og sikkert og fuldstændigt kan overføre disse til alternative udbydere eller indarbejde dem internt.
§ 333 i. Når en operatør af finansiel digital infrastruktur foretager identifikation og vurdering af de risici, der er nævnt i § 333 h, stk. 6, nr. 3, skal operatøren tage hensyn til, hvorvidt den påtænkte indgåelse af en kontraktlig ordning, der understøtter kritiske eller vigtige funktioner for de tilsluttede virksomheder, vil føre til
1) henlæggelse af funktioner til en tredjepartsudbyder af it-tjenester, som ikke er lette at erstatte, eller
2) indgåelse af flere kontraktlige ordninger om levering af it-tjenester, der understøtter kritiske eller vigtige funktioner, med den samme tredjepartsudbyder af it-tjenester eller med tredjepartsudbydere af it-tjenester, som har tætte forbindelser til denne.
Centrale kontraktsbestemmelser
§ 333 j. Rettigheder og forpligtelser for en operatør af finansiel digital infrastruktur og for tredjepartsudbyderen af it-tjenester skal fordeles klart og fastlægges skriftligt. Den samlede kontrakt skal omfatte serviceniveauaftaler og dokumenteres i et samlet dokument, som parterne skal have adgang til i et varigt og tilgængeligt format.
Stk. 2. De kontraktlige ordninger for brugen af it-tjenester skal mindst omfatte følgende elementer:
1) En klar og fuldstændig beskrivelse af alle funktioner og it-tjenester, som tredjepartsudbyderen skal levere, med angivelse af om underentreprise af en it-tjeneste, der understøtter en kritisk eller vigtig funktion eller væsentlige dele heraf, er tilladt, og hvis det er tilfældet, de betingelser, der gælder for en sådan underentreprise.
2) En angivelse af de steder, navnlig de regioner eller lande, hvor de udliciterede funktioner og it-tjenester eller funktionerne og it-tjenesterne i underentreprise skal leveres, hvor data skal behandles, herunder lagringsstedet, og krav om, at tredjepartsudbyderen på forhånd skal underrette operatøren, hvis den har planer om at ændre disse steder.
3) Bestemmelser om tilgængelighed, autenticitet, integritet og fortrolighed med hensyn til databeskyttelse, herunder personoplysninger.
4) Bestemmelser om sikring af adgang, genopretning og tilbagelevering af data i et tilgængeligt format i tilfælde af insolvens, afvikling eller afbrydelse af de forretningsaktiviteter, som tredjepartsudbyderen varetager, eller i tilfælde af opsigelse af kontrakten.
5) Beskrivelser af serviceniveauet, herunder ajourføringer og revisioner heraf.
6) En forpligtelse for tredjepartsudbyderen til at yde bistand til operatøren uden yderligere omkostninger eller til en omkostning, der fastsættes på forhånd, hvis der opstår en it-hændelse, der vedrører den it-tjeneste, som leveres til operatøren.
7) En forpligtelse for tredjepartsudbyderen til at samarbejde fuldt ud med Finanstilsynet og afviklingsmyndigheder, herunder personer, som myndighederne har udpeget.
8) Opsigelsesrettigheder og dertil knyttede minimumsfrister for opsigelse af de kontraktlige ordninger.
Stk. 3. De kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, skal ud over de elementer, der er nævnt i stk. 2, mindst omfatte følgende:
1) En fuldstændig beskrivelse af serviceniveauer, herunder ajourføringer og revisioner heraf, med præcise kvantitative og kvalitative præstationsmål inden for de aftalte serviceniveauer, så operatøren kan foretage en effektiv overvågning af it-tjenester, og uden unødigt ophold træffe passende afhjælpende foranstaltninger, når de aftalte serviceniveauer ikke overholdes.
2) Opsigelsesfrister og indberetningsforpligtelser for tredjepartsudbyderen af it-tjenester over for operatøren, herunder underretning om enhver udvikling, som kan have væsentlig indvirkning på, hvorvidt tredjepartsudbyderen har evnen til effektivt at levere it-tjenester, der understøtter kritiske eller vigtige funktioner i overensstemmelse med de aftalte serviceniveauer.
3) Krav til tredjepartsudbyderen om at gennemføre og teste beredskabsplaner og indføre it-sikkerhedsforanstaltninger, -værktøjer og -politikker, som giver et passende niveau af sikkerhed for, at operatøren kan levere sine tjenester.
4) En forpligtelse for tredjepartsudbyderen til at deltage i og fuldt ud samarbejde om operatørens trusselsbaserede penetrationstest, jf. § 333 g, stk. 3.
5) En ret til løbende at overvåge tredjepartsudbyderens opgavevaretagelse og risikostyring, herunder adgangs-, inspektions- og revisionsrettigheder for operatøren, Finanstilsynet eller udpegede tredjeparter og adgang til nødvendig information og dokumentation.
6) Exitstrategier, herunder indførelse af en obligatorisk passende overgangsperiode
a) i løbet af hvilken tredjepartsudbyderen fortsat leverer de respektive funktioner eller it-tjenester med henblik på at mindske risikoen for forstyrrelser i operatøren eller sikre en effektiv afvikling eller omstrukturering heraf, og
b) som giver operatøren mulighed for at migrere til en anden tredjepartsudbyder, eller skifte til interne løsninger, der stemmer overens med den leverede tjenestes kompleksitet.
§ 333 k. En operatør af finansiel digital infrastruktur kan udveksle oplysninger og efterretninger om cybertrusler i overensstemmelse med reglerne i kapitel VI, i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, og indgå i ordninger oprettet i henhold forordningens artikel 45, stk. 2. En operatør af finansiel digital infrastruktur kan ligeledes udveksle relevante cybersikkerhedsoplysninger i overensstemmelse med reglerne i kapitel VI, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, og indgå i ordninger oprettet i overensstemmelse hermed.
Stk. 2. En operatør skal underrette Finanstilsynet om sin deltagelse i de ordninger, der er nævnt i stk. 1, og i tilfælde af udtrædelse af sådanne ordninger.
Oplysning til Finanstilsynet
§ 333 l. En operatør af finansiel digital infrastruktur skal oplyse Finanstilsynet om følgende:
2) Adressen på operatørens hovedforretningssted og dens andre retlige forretningssteder i Den Europæiske Union.
3) Den relevante sektor og delsektor samt typen af enhed, som nævnt i bilag I, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen.
4) Operatørens kontaktoplysninger, herunder e-mailadresser, IP-intervaller og telefonnumre på operatøren.
5) De medlemsstater, hvor operatøren leverer tjenester.
Stk. 2. Ved ændring af oplysningerne i stk. 1 skal operatøren straks og senest tre måneder efter ændringen underrette Finanstilsynet herom.
§ 333 m. Kapitel 21 og 23 og regler udstedt i medfør af disse kapitler finder anvendelse for operatører af finansielle digitale infrastrukturer med de nødvendige tilpasninger.
§ 333 n. Finanstilsynet har beføjelse til følgende:
1) Pålægge en operatør af finansiel digital infrastruktur regelmæssige og målrettede sikkerhedsaudits udført af et kvalificeret uafhængigt organ eller en kompetent myndighed og at afholde udgifterne hertil.
2) Pålægge en operatør af finansiel digital infrastruktur ad hoc-audits, herunder hvor det er berettiget på grund af en væsentlig hændelse eller en overtrædelse af reglerne i denne lov fra operatørens side.
3) Pålægge en operatør af finansiel digital infrastruktur sikkerhedsscanninger baseret på objektive, ikke-diskriminerende, fair og gennemsigtige risikovurderingskriterier, hvor det er nødvendigt i samarbejde med den berørte operatør.
4) Udstede advarsler om en operatørs overtrædelse af denne lov.
5) Udpege en overvågningsansvarlig med veldefinerede opgaver til i en nærmere fastsat periode at føre tilsyn med en operatørs overholdelse af §§ 333 a og 333 f.
§ 333 o. Efterkommer en operatør af finansiel digital infrastruktur ikke Finanstilsynets påbud i medfør af denne lov, og efterkommer operatøren ikke påbuddet inden en fornyet frist, som Finanstilsynet efterfølgende sætter, kan Finanstilsynet træffe afgørelse om følgende:
1) Midlertidigt at suspendere en myndighedsudstedt certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, operatøren leverer, eller aktiviteter, der udføres af operatøren.
2) Midlertidigt at forbyde enhver fysisk person med ledelsesansvar på direktionsniveau eller juridisk repræsentant i operatøren at udøve ledelsesfunktioner i denne.
Stk. 2. Midlertidige suspensioner eller forbud, som er pålagt i medfør af stk. 1, kan kun anvendes, indtil operatøren træffer de nødvendige foranstaltninger til at afhjælpe de mangler eller opfylde de krav, som gav anledning til, at foranstaltningerne i medfør af stk. 1, blev anvendt.
Stk. 3. En afgørelse efter stk. 1 kan af eller den fysiske person, afgørelsen vedrører, forlanges indbragt for domstolene. Sagen anlægges i den borgerlige retsplejes former.
§ 333 p. Finanstilsynet kan fastsætte nærmere regler om it- og cyberrisikostyring og kontrol- og sikringsforanstaltninger i en operatør af finansiel digital infrastruktur, herunder om følgende:
1) Indholdet af rammerne for styring af it- og cyberrisici, jf. § 333 a, og om indholdet af strategier og politikker på området for digital operationel modstandsdygtighed.
2) Det øverste ledelsesorgans opgaver i forbindelse med styringen af it- og cyberrisici.
3) Operatører af finansielle digitale infrastrukturers rapportering af væsentlige hændelser og cybertrusler.
4) Test, herunder eksterne test, af en operatør af finansielle digitale infrastrukturers cybersikkerhed.
5) Krav til testere af en operatør af finansielle digitale infrastrukturers cybersikkerhed.
6) Styring og rapportering af tredjepartsrisici.
7) Obligatorisk brug af særlige sikkerhedscertificerede produkter eller tjenesteydelser.
8) Den interne og eksterne systemrevision i operatører af finansielle digitale infrastrukturer.«
Kapitel 19 a. Offentlig forbrugerinformation.
§ 333 a. Finanstilsynet fremmer den offentlige forbrugerinformation på det finansielle område.
Afsnit X c. Fælles datacentraler.
Kapitel 20 c. Fælles datacentraler.
§ 343 q. Ved fælles datacentraler forstås i denne lov virksomheder, hvis væsentligste aktiviteter omfatter it-drifts- eller udviklingsopgaver for flere finansielle virksomheder, finansielle holdingvirksomheder, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder, og som overvejende er ejet af
en eller flere finansielle virksomheder, finansielle holdingvirksomheder eller sådanne virksomheders dattervirksomheder i forening eller
en eller flere foreninger, hvis medlemmer overvejende er finansielle virksomheder, finansielle holdingvirksomheder eller sådanne virksomheders dattervirksomheder.
Stk. 2. Reglerne for fælles datacentraler i denne lov gælder også for datacentraler, der udfører både væsentlig it-drift og it-udvikling for den fælles betalingsinfrastruktur. 1. pkt. gælder ikke for datacentraler, der har tilladelse som it-operatør af et detailbetalingssystem, jf. § 180 a, stk. 1, i lov om kapitalmarkeder.
Stk. 3. Finanstilsynet kan undtagelsesvis, hvis særlige grunde gør sig gældende, dispensere fra stk. 1 og 2. Dispensationer skal være tidsbegrænsede, men kan fornyes.
§ 343 r. § 71, stk. 1, nr. 8, om betryggende kontrol- og sikringsforanstaltninger på it-området finder tilsvarende anvendelse for fælles datacentraler.
Stk. 2. Reglerne om betryggende kontrol- og sikringsforanstaltninger på it-området, der er udstedt i medfør af denne lovs § 71, stk. 3, finder tilsvarende anvendelse for fælles datacentraler.
Stk. 3. Reglerne om outsourcing udstedt i medfør af § 72 a finder tilsvarende anvendelse for fælles datacentraler, hvis de fælles datacentraler outsourcer it-opgaver, der udføres for virksomheder omfattet af lovens § 5, stk. 1.
Stk. 4. §§ 6, 6 a og 6 b om digital kommunikation finder tilsvarende anvendelse for fælles datacentraler.
Stk. 5. Kapitel 21 og 23 og regler udstedt i medfør af disse kapitler finder med de fornødne tilpasninger tilsvarende anvendelse for fælles datacentraler.
§ 344. Finanstilsynet påser overholdelsen af Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, forordninger og regler udstedt i medfør af Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 om et regelsæt for genopretning og afvikling af kreditinstitutter og investeringsselskaber, Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter, Kommissionens delegerede forordning 2017/565/EU af 25. april 2016 om supplerende regler til Europa-Parlamentets og Rådets direktiv 2014/65/EU for så vidt angår de organisatoriske krav til og vilkårene for drift af investeringsselskaber samt definitioner af begreber med henblik på nævnte direktiv, Rådets forordning 2017/1509/EU af 30. august 2017 om restriktive foranstaltninger over for Den Demokratiske Folkerepublik Korea, Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering, Europa-Parlamentets og Rådets forordning 2019/1156/EU af 20. juni 2019 om lettere grænseoverskridende distribution af kollektive investeringsinstitutter og om ændring af forordning (EU) nr. 345/2013, (EU) nr. 346/2013 og (EU) nr. 1286/2014, Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser, Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf, og denne lov og af de regler, der er udstedt i medfør af loven, undtagen § 75 b og § 77, stk. l og 2. Dog påser Erhvervsstyrelsen overholdelsen af § 15, stk. 1, 2 og 4, og §§ 83, 87 og 91. Finanstilsynet kontrollerer, at reglerne for finansiel information i årsrapporter og delårsrapporter i §§ 183-193 og i regler udstedt i medfør af § 196 er overholdt for finansielle virksomheder, som har udstedt omsættelige værdipapirer, der er optaget til handel på et reguleret marked, jf. § 213, stk. 1-5 og 8, i lov om kapitalmarkeder. Finanstilsynet er endvidere ansvarligt for tilsynet efter § 32, stk. 4, nr. 1, jf. § 32, stk. 7, i revisorloven, for så vidt angår virksomheder underlagt tilsyn af Finanstilsynet.
30. I § 344, stk. 1, 1. pkt., indsættes efter »bæredygtige investeringer«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«.
30. I § 344, stk. 1, 1. pkt., indsættes efter »bæredygtige investeringer«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«.
31. Efter § 344 e indsættes:
31. Efter § 344 e indsættes:
»§ 344 f. Erhvervsministeren kan fastsætte regler om udpegelse af en myndighed til at varetage TLPT-relaterede anliggender i henhold til artikel 26, stk. 9, i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og for operatører af finansielle digitale infrastrukturer, jf. § 333.«
Stk. 3. Finanstilsynet kan til enhver tid mod behørig legitimation uden retskendelse få adgang til en finansiel virksomhed og dens filialer, en finansiel holdingvirksomhed eller en fælles datacentral med henblik på indhentelse af oplysninger, herunder ved inspektioner.
32. I § 347, stk. 3, ændres »en fælles datacentral« til: »en operatør af finansiel digital infrastruktur«,
32. I § 347, stk. 3, ændres »en fælles datacentral« til: »en operatør af finansiel digital infrastruktur«,
§ 347 b. Finanstilsynet kan påbyde en finansiel virksomhed eller en finansiel holdingvirksomhed at lade foretage og afholde udgifterne til en uvildig undersøgelse af et eller flere forhold i den finansielle virksomhed, den finansielle holdingvirksomhed eller den fælles datacentral, såfremt Finanstilsynet vurderer, at dette er af væsentlig betydning for tilsynet med virksomheden, og der ikke er tale om en for Finanstilsynet sædvanligt forekommende undersøgelse. Resultatet af den uvildige undersøgelse skal afgives i en skriftlig rapport, som skal foreligge inden for et af Finanstilsynet fastsat tidspunkt. Finanstilsynet kan bestemme, at de sagkyndige personer, jf. stk. 2-6, løbende skal foretage afrapportering til Finanstilsynet om forhold i forbindelse med undersøgelsen. Det samme gælder for filialer omfattet af § 1, stk. 3 og 4.
33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres », den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«.
33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres », den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«.
Stk. 2. Den uvildige undersøgelse 3155 skal foretages af en eller flere sagkyndige personer. Den finansielle virksomhed, den finansielle holdingvirksomhed eller den fælles datacentral udpeger de sagkyndige personer inden for en af Finanstilsynet fastsat frist. Finanstilsynet skal godkende de foreslåede sagkyndige personer.
33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres », den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«.
33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres », den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«.
Stk. 3. Den finansielle virksomhed, den finansielle holdingvirksomhed eller den fælles datacentral skal give de sagkyndige personer de oplysninger, der er nødvendige for gennemførelsen af den uvildige undersøgelse.
33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres », den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«.
33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres », den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«.
Stk. 4. De sagkyndige personer skal udlevere en kopi af den skriftlige rapport om undersøgelsen til Finanstilsynet, senest samtidig med at rapporten udleveres til den finansielle virksomhed, den finansielle holdingvirksomhed eller den fælles datacentral.
33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres », den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«.
33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres », den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«.
Stk. 6. Hvis den sagkyndige person på grund af dennes særlige forhold ikke kan videregive oplysningerne i henhold til stk. 4 og 5 til Finanstilsynet, kan underretning af Finanstilsynet ske af andre end den sagkyndige person, herunder af den finansielle virksomhed, den finansielle holdningvirksomhed eller den fælles datacentral.
33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres »den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«.
33. I § 347 b, stk. 1, 2, 3, 4 og 6, ændres »den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«.
Stk. 2. Finanstilsynet kan give påbud om berigtigelse af forhold, der er i strid med §§ 43 og 57. Finanstilsynet kan i den forbindelse foretage inspektionsbesøg i filialer af administrationsselskaber.
34. I § 348, stk. 2, 1. pkt., ændres »§§ 43 og 57« til: »§ 43«.
34. I § 348, stk. 2, 1. pkt., ændres »§§ 43 og 57« til: »§ 43«.
Stk. 8. Finanstilsynet kan af egen drift eller efter ansøgning tilbagekalde et påbud meddelt efter stk. 2 og 3, og stk. 5, 3. pkt. Afslår Finanstilsynet en ansøgning om tilbagekaldelse, kan ansøgeren forlange afslaget indbragt for domstolene. Anmodning herom skal indgives til Finanstilsynet, inden 4 uger efter at afslaget er meddelt den pågældende. Anmodning om domstolsprøvelse kan dog kun fremsættes, hvis påbuddet ikke er tidsbegrænset og der er forløbet mindst 5 år fra datoen for udstedelsen af påbuddet, eller mindst 2 år efter at Finanstilsynets afslag på tilbagekaldelse er stadfæstet ved dom.
35. I § 351, stk. 8, 1. pkt., ændres »stk. 5, 3. pkt.« til: »stk. 5, 5. pkt.«
35. I § 351, stk. 8, 1. pkt., ændres »stk. 5, 3. pkt.« til: »stk. 5, 5. pkt.«
Stk. 6. Bestemmelsen i stk. 1 er ikke til hinder for, at fortrolige oplysninger videregives til:
36. I § 354, stk. 6, indsættes som nr. 50:
36. I § 354, stk. 6, indsættes som nr. 50:
»50) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af, at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.«
Stk. 2. Offentliggørelse, jf. stk. 1, skal ske i sager om overtrædelse af § 7, stk. 1, § 61, stk. 1, §§ 61 b og 61 c, § 71, stk. 1, § 71 a, stk. 1 og stk. 2, 1. pkt., § 71 b, stk. 1, § 71 c, stk. 1, 2. pkt., § 77 d, stk. 1, § 125 b, stk. 1-4 og 6, § 125 d, § 125 e, stk. 1, jf. § 125 b, stk. 1-4 og 6, § 182 b, stk. 1-3, §§ 182 c og 182 d, § 182 e, stk. 1-3, §§ 182 f, 259 a og 261, § 264, stk. 2, 3 og 5, § 264 a, § 265, stk. 2, 4 og 7, § 265 a, stk. 2, § 266, § 267, stk. 1, §§ 267 b og 267 c, § 267 d, stk. 1, § 268, §§ 269 a-269 e, § 272, stk. 7, § 274, stk. 1 og 2, § 275, stk. 1, 2, 4 og 5, § 276, stk. 1, § 313, stk. 1, og artikel 28 og 51, jf. artikel 52, 63 og 92, stk. 1, artikel 99, stk. 1, artikel 101, stk. 1 og 2, artikel 394, stk. 1, artikel 395, artikel 405, stk. 1, artikel 412, stk. 1, artikel 415, stk. 1 og 2, artikel 430, stk. 1, 1. afsnit, 1. pkt., og 2. afsnit, artikel 431, stk. 1-3, artikel 435 og artikel 451, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter. Offentliggørelse, jf. stk. 1, skal ligeledes ske i sager om overtrædelse af Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter.
37. To steder i § 354 e, stk. 2, 1. pkt., og to steder i § 373, stk. 1 og 10, ændres »§ 125 b, stk. 1-4 og 6« til: »§ 125 b, stk. 3-5 og 8«.
37. To steder i § 354 e, stk. 2, 1. pkt., og to steder i § 373, stk. 1 og 10, ændres »§ 125 b, stk. 1-4 og 6« til: »§ 125 b, stk. 3-5 og 8«.
38. I § 354 e, stk. 2, 2. pkt., indsættes efter »finansielle instrumenter«: »og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
38. I § 354 e, stk. 2, 2. pkt., indsættes efter »finansielle instrumenter«: »og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
§ 354 h. Finanstilsynet kan efter høring af den virksomhed, der underretter Finanstilsynet og Center for Cybersikkerhed om en hændelse, som har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer, orientere offentligheden om hændelsen, hvis offentlighedens kendskab hertil er nødvendig for at forebygge eller håndtere en igangværende hændelse. 3399 Offentliggørelsen må ikke indeholde fortrolige oplysninger om kundeforhold eller oplysninger omfattet af § 30 i lov om offentlighed i forvaltningen. 3400 Offentliggørelsen må ikke indeholde fortrolige oplysninger, der hidrører fra finansielle tilsynsmyndigheder i andre lande inden for eller uden for Den Europæiske Union, medmindre de myndigheder, der har afgivet oplysningerne, har givet deres udtrykkelige tilladelse.
§ 355. Som part i forhold til Finanstilsynet anses den finansielle virksomhed, den finansielle holdingvirksomhed, den blandede holdingvirksomhed, den udenlandske finansielle virksomhed eller den udenlandske finansielle holdingvirksomhed, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af denne lov, forskrifter fastsat i medfør af denne lov, Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber og forordninger og regler udstedt i medfør af Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf, jf. dog stk. 2 og 3.
40. I § 355, stk. 1, ændres » og Europa-Parlamentets og Rådets forordning 2020/852/EU« til: », Europa-Parlamentets og Rådets forordning 2020/852/EU«, og efter »investeringer og regler udstedt i medfør heraf« indsættes: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf«.
40. I § 355, stk. 1, ændres » og Europa-Parlamentets og Rådets forordning 2020/852/EU« til: », Europa-Parlamentets og Rådets forordning 2020/852/EU«, og efter »investeringer og regler udstedt i medfør heraf« indsættes: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf«.
§ 361. Følgende fysiske og juridiske personer omfattet af denne lov og lov om forsikringsvirksomhed betaler årligt et grundbeløb til Finanstilsynet:
En fælles datacentral betaler 119.000 kr. Har en fælles datacentral i et regnskabsår gennemsnitligt færre end 25 fuldtidsansatte, betaler den fælles datacentral dog 2.200 kr.
41. § 361, stk. 1, nr. 4, affattes således:
41. § 361, stk. 1, nr. 4, affattes således:
» 4) En operatør af finansiel digital infrastruktur betaler 119.000 kr. Har operatøren i et regnskabsår gennemsnitligt færre end 25 fuldtidsansatte, betaler operatøren dog 2.200 kr. 1. og 2. pkt. finder ikke anvendelse på en it-operatør af et detailbetalingssystem, der er udpeget som operatør af finansiel digital infrastruktur.«
42. I § 361, stk. 1, indsættes som nr. 11 og 12:
42. I § 361, stk. 1, indsættes som nr. 11 og 12:
»11) En udsteder af aktivbaserede tokens, der er meddelt tilladelse af Finanstilsynet i henhold til § 332 a, stk. 1, betaler årligt til Finanstilsynet følgende:
a) 35.000 kr., når summen af udstederens gennemsnitlige udestående aktivbaserede tokens i 2. halvår af det foregående kalenderår og 1. halvår af det indeværende kalenderår er mindre end 100 mio. kr.
b) 100.000 kr., når summen af udstederens gennemsnitlige udestående aktivbaserede tokens i 2. halvår af det foregående kalenderår og 1. halvår af det indeværende kalenderår er mellem 100 mio. kr. og 1 mia. kr.
c) 600.000 kr., når summen af udstederens gennemsnitlige udestående aktivbaserede tokens i 2. halvår af det foregående kalenderår og 1. halvår af det indeværende kalenderår er større end 1 mia. kr.
12) En udbyder af kryptoaktivtjenester, der er meddelt tilladelse af Finanstilsynet i henhold til § 332 c, stk. 1, betaler årligt et grundbeløb til Finanstilsynet på 12,5 promille af deres omkostninger til løn, provision og tantieme, dog minimum 20.000 kr.«
Stk. 6. Følgende fysiske og juridiske personer omfattet af hvidvaskloven betaler årligt et grundbeløb til Finanstilsynet:
Virksomheder og personer omfattet af § 1, stk. 1, nr. 8 og 22-26, i hvidvaskloven betaler 4.400 kr.
43. I § 361, stk. 6, nr. 1, udgår »og 22-26«.
43. I § 361, stk. 6, nr. 1, udgår »og 22-26«.
Stk. 7. Følgende fysiske og juridiske personer omfattet af lov om forvaltere af alternative investeringsfonde m.v. betaler årligt et grundbeløb til Finanstilsynet:
44. I § 361, stk. 7, indsættes efter nr. 3 som nyt nummer:
44. I § 361, stk. 7, indsættes efter nr. 3 som nyt nummer:
»4) Forvaltere af alternative investeringsfonde med registreret hjemsted i et tredjeland, som i henhold til § 130 i lov om forvaltere af alternative investeringsfonde m.v. har tilladelse til markedsføring i Danmark af andele i en alternativ investeringsfond fra et andet land inden for Den Europæiske Union eller et land, som Unionen har indgået aftale med på det finansielle område, betaler et årligt grundbeløb til Finanstilsynet på 8.000 kr.«
Stk. 12. Kreditservicevirksomheder omfattet af lov om kreditservicevirksomheder og kreditkøbere betaler årligt et grundbeløb til Finanstilsynet på 16.700 kr.
45. I § 361, stk. 13, ændres »Grundbeløb, jf. stk. 1-12,« til: »Faste beløb i dette kapitel«.
45. I § 361, stk. 13, ændres »Grundbeløb, jf. stk. 1-12,« til: »Faste beløb i dette kapitel«.
§ 368. Beregning af afgifter fra virksomheder omfattet af § 360, stk. 3, og §§ 362-367 foretages på grundlag af oplysninger i den for seneste regnskabsår aflagte årsrapport eller i mangel af en sådan den senest indsendte regnskabsindberetning. For så vidt angår forsikringsformidlere, foregår beregningen på grundlag af den senest indsendte indtægtsspecifikation. For så vidt angår crowdfundingtjenesteudbydere, foregår beregningen på grundlag af den senest indsendte indberetning efter § 343 c, medmindre en crowdfundingtjenesteudbyder skal betale afgift efter § 361, stk. 1, nr. 10.
46. I § 368, stk. 1, indsættes som 4. og 5. pkt.:
46. I § 368, stk. 1, indsættes som 4. og 5. pkt.:
»For så vidt angår udstedere af aktivbaserede tokens, foregår beregningen på grundlag af den senest indsendte indberetning efter § 332 f. For så vidt angår udbydere af kryptoaktivtjenester, foregår beregningen på grundlag af den senest indsendte indberetning efter § 332 g.«
§ 372. Afgørelser truffet af Finanstilsynet eller Erhvervsstyrelsen i henhold til denne lov og regler udstedt i medfør af denne lov og Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, eller regler udstedt i medfør af forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 om et regelsæt for genopretning og afvikling af kreditinstitutter, forordninger og regler udstedt i medfør af Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning 2020/1503/EU af 7. oktober 2020 om europæiske crowdfundingtjenesteudbydere for erhvervslivet og regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning (EU) 2019/1238 af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt) og regler udstedt i medfør heraf, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2016/97 af 20. januar 2016 om forsikringsdistribution og regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning (EU) nr. 1286/2014 af 26. november 2014 om dokumenter med central information om sammensatte forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP'er) og regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning (EU) 2017/2402 af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf, kan af den, som afgørelsen retter sig til, indbringes for Erhvervsankenævnet senest 4 uger efter, at afgørelsen er meddelt den pågældende.
47. I § 372, stk. 1, ændres »securitisering og regler udstedt i medfør heraf og« til: »securitisering og regler udstedt i medfør heraf,«, og efter »investeringer og regler udstedt i medfør heraf,« indsættes: »Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver samt regler udstedt i medfør heraf,«.
47. I § 372, stk. 1, ændres »securitisering og regler udstedt i medfør heraf og« til: »securitisering og regler udstedt i medfør heraf,«, og efter »investeringer og regler udstedt i medfør heraf,« indsættes: »Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver samt regler udstedt i medfør heraf,«.
§ 372 a. Erhvervsministeren kan fastsætte regler, som er nødvendige for at anvende eller gennemføre de afgørelser eller retsakter, som vedtages af Europa-Kommissionen i medfør af Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter og investeringsselskaber, Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 om et regelsæt for genopretning og afvikling af kreditinstitutter og investeringsselskaber, Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser, Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer, og Europa-Parlamentets og Rådets forordning 2020/1503/EU af 7. oktober 2020 om europæiske crowdfundingtjenesteudbydere for erhvervslivet, Europa-Parlamentets og Rådets direktiv 2014/51/EU af 16. april 2014 om ændring af direktiv 2003/71/EF og 2009/138/EF samt forordning nr. 1060/2009/EF, nr. 1094/2010/EU og nr. 1095/2010/EU for så vidt angår de beføjelser, der er tillagt den europæiske tilsynsmyndighed (Den Europæiske Tilsynsmyndighed for Forsikrings- og Arbejdsmarkedspensionsordninger) og den europæiske tilsynsmyndighed (Den Europæiske Værdipapirtilsynsmyndighed), Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering og Europa-Parlamentets og Rådets forordning 2019/1238/EU af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt).
48. I § 372 a, stk. 1, ændres »standardiseret securitisering og« til: »standardiseret securitisering,«, og efter: »(PEPP-produkt)« indsættes: », Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
48. I § 372 a, stk. 1, ændres »standardiseret securitisering og« til: »standardiseret securitisering,«, og efter: »(PEPP-produkt)« indsættes: », Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
§ 373. Overtrædelse af § 7, stk. 1-6, § 8, stk. 1 og 3-6, § 10, stk. 1, 2, 6 og 7, § 16 a, stk. 2, § 16 b, stk. 2, § 25, 2. pkt., § 28, § 33, stk. 1, § 33 a, stk. 1, § 38, stk. 1, 2 og 7 og stk. 8, 1. pkt., § 39, stk. 1, 3 og 4, §§ 40 og 45, § 46, stk. 1 og 2, § 49, stk. 1 og 2, § 50, stk. 2, § 52, § 53, stk. 1 og 2, § 61, stk. 1, §§ 61 b og 61 c, § 63, stk. 1, 2 og 4, § 64, stk. 5, jf. stk. 1, nr. 3 og 4, § 64 a, § 64 c, stk. 4, jf. § 64, stk. 5, jf. stk. 1, nr. 3 og 4, § 65, stk. 1, § 66, § 67, stk. 1, § 74, stk. 1 og 3, § 75, stk. 1, 1. pkt., og stk. 2-4, § 78, stk. 1 og 5-8, § 101, § 102, stk. 2, 3, 5 og 6, §§ 103-106, § 106 a, stk. 1-4, § 106 b, § 106 c, § 106 d, stk. 1-5, § 107 a og § 117, § 118, stk. 4, § 119, § 120, stk. 1, 2. pkt., og stk. 2, § 124, stk. 1, 2 og 5, § 125 b, stk. 1-4 og 6, § 125 c, stk. 1, § 125 d, § 125 e, stk. 1, jf. § 125 b, stk. 1-4 og 6, § 125 e, stk. 1, jf. § 125 c, stk. 1, § 146, stk. 1, § 147, stk. 1, § 149, stk. 1 og 3, §§ 150 og 151, § 152, stk. 1, § 153, stk. 1, §§ 154 og 170-175 a, § 175 g, stk. 1, 5 og 6, § 182, stk. 1 og 2, §§ 194, 195, 200, 200 a og 201, § 202, stk. 1 og 3, § 203, stk. 1, § 204, stk. 1, § 226, stk. 1 og 2, § 227, § 248, stk. 1, § 313 b, § 334, § 343 v, stk. 1, og § 347, stk. 2, samt artikel 11, artikel 26, stk. 2, artikel 31, stk. 1, litra h, artikel 73, stk. 1, artikel 92, stk. 1, artikel 93, stk. 1-5, artikel 97, stk. 1, artikel 394, stk. 1, artikel 395 og 398 og artikel 500, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, og artikel 6, 7, 9, 18-26 og 26 b-26 e, artikel 27, stk. 1 og 4, og artikel 28, stk. 2, i Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering samt artikel 3, stk. 1, 3, 4 og 6, artikel 5, artikel 6, stk. 1-6, artikel 10, artikel 11, artikel 12, stk. 1, artikel 13, stk. 2, artikel 15, stk. 2 og 3, artikel 16, stk. 1, artikel 18, stk. 1 og 4, artikel 20, stk. 1 og 2, og artikel 25 i Europa-Parlamentets og Rådets forordning 2020/1503/EU af 7. oktober 2020 om europæiske crowdfundingtjenesteudbydere for erhvervslivet straffes med bøde eller fængsel indtil 4 måneder, medmindre højere straf er forskyldt efter den øvrige lovgivning.
37. To steder i § 354 e, stk. 2, 1. pkt., og to steder i § 373, stk. 1 og 10, ændres »§ 125 b, stk. 1-4 og 6« til: »§ 125 b, stk. 3-5 og 8«.
37. To steder i § 354 e, stk. 2, 1. pkt., og to steder i § 373, stk. 1 og 10, ændres »§ 125 b, stk. 1-4 og 6« til: »§ 125 b, stk. 3-5 og 8«.
49. I § 373, stk. 1, indsættes efter: »for erhvervslivet«: »samt artikel 14, stk. 3, artikel 16, stk. 1, artikel 23, stk. 1 og 4, artikel 36, stk. 1-3 og 5-7, artikel 38, stk. 1 og 3, artikel 39, stk. 2, artikel 40, stk. 1 og 2, artikel 48, stk. 1, artikel 49, stk. 4, artikel 50, stk. 1 og 2, artikel 54, artikel 59, stk. 1, artikel 60, stk. 1-6, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, og artikel 76, stk. 1, 2 og 5-8, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«.
49. I § 373, stk. 1, indsættes efter: »for erhvervslivet«: »samt artikel 14, stk. 3, artikel 16, stk. 1, artikel 23, stk. 1 og 4, artikel 36, stk. 1-3 og 5-7, artikel 38, stk. 1 og 3, artikel 39, stk. 2, artikel 40, stk. 1 og 2, artikel 48, stk. 1, artikel 49, stk. 4, artikel 50, stk. 1 og 2, artikel 54, artikel 59, stk. 1, artikel 60, stk. 1-6, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, og artikel 76, stk. 1, 2 og 5-8, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«.
Stk. 2. Overtrædelse af § 16 c, § 16 d, stk. 1, § 16 f, stk. 1-3, § 54, stk. 2, § 64, stk. 6, § 64 c, stk. 1, 3, 8 og 10, jf. stk. 1 og 3, § 64 e, § 70, stk. 1-5, § 70 a, stk. 1-3, § 71, stk. 1, § 71 a, stk. 1 og stk. 2, 1. pkt., § 71 b, stk. 1, § 71 c, stk. 1, 2. pkt., § 73, stk. 1, 1. pkt., og stk. 2, § 75, stk. 1, 2. pkt., § 75 a, stk. 1, § 75 b, stk. 1, § 75 c, stk. 1, § 77, stk. 1-6 og 10, § 77 a, stk. 1-6, §§ 77 b og 77 c, § 77 d, § 77 f, stk. 1 og 2, § 77 g, stk. 2, § 77 j, § 79 a, stk. 1, nr. 1 og 2, § 80, stk. 1, stk. 2, 1. pkt., og stk. 3, 7 og 8, § 80 a, § 80 b, stk. 1-3 og 5, og § 80 c, stk. 1 og 2, § 81 b, stk. 3, 5 og 6, § 85 b, stk. 3, 5 og 6, § 121, stk. 1, § 122, § 152 a, stk. 1, 1. pkt., § 152 b, stk. 4-7, § 152 c, stk. 1, § 152 d, stk. 1, § 152 e, stk. 1, § 152 g, stk. 1, 1. og 3. pkt., stk. 2-5 og stk. 7, 1. pkt., § 152 j, stk. 1, 2. pkt., eller stk. 2, § 152 k, stk. 1, 2 eller 5, § 152 m, stk. 1, § 182 d, § 182 e, stk. 2 og stk. 7, 1. pkt., og § 182 f, § 183, stk. 1, 1. pkt., og stk. 5, § 184, stk. 1, § 185, stk. 1 og 3 og stk. 4, 1. pkt., §§ 186 og 187, § 188, stk. 1, stk. 2, 1. pkt., og stk. 3, 2. pkt., §§ 189 og 190, § 191, stk. 1-3, § 192, 1. pkt., § 193, 1. pkt., § 198, stk. 1, § 199, stk. 2 og 6, § 206, § 245 a, stk. 1 og 3, § 245 b, stk. 1, 1. pkt., og stk. 2, § 247 a, stk. 9 og 10, § 259 a, § 264, stk. 2 og 3, § 266, stk. 1, § 268, stk. 1-4, § 269 c, §§ 312 og 312 b, § 336 a, stk. 3, 5 og 6, § 347 b, stk. 3 og 6, § 347 c, stk. 2, § 354 a, stk. 1, 1.-5. pkt., og stk. 3, 1.-7. pkt., samt artikel 4 i Rådets forordning om anvendelse af internationale regnskabsstandarder og artikel 4, stk. 1, i Europa-Parlamentets og Rådets forordning om kreditvurderingsbureauer, artikel 28, artikel 41, stk. 1, litra b, artikel 49, stk. 1, litra c, artikel 51, jf. artikel 52, artikel 54, stk. 5, litra a og c, artikel 63, artikel 73, stk. 6, artikel 76, stk. 2, artikel 77, artikel 99, stk. 1, artikel 101, stk. 1 og 2, artikel 113, stk. 7, 1. afsnit, artikel 129, stk. 3 og 7, artikel 221, stk. 1 og 2, artikel 256, stk. 7, 1. afsnit, artikel 259, stk. 1, litra b og e, artikel 262, stk. 2, 2. afsnit, artikel 263, stk. 2, 1. afsnit, artikel 393, artikel 394, stk. 2, artikel 405, stk. 1, artikel 412, stk. 1 og 2, artikel 415, stk. 1 og 2, artikel 430, stk. 1, 1. afsnit, 1. pkt., og 2. afsnit, artikel 431, stk. 1, jf. artikel 435 og 436, artikel 437, stk. 1, artikel 438 og 439, artikel 440, stk. 1, artikel 441, stk. 1, artikel 442 og 444-450, artikel 451, stk. 1, artikel 431, stk. 3, artikel 433, 1.-3. afsnit, artikel 434, 1. afsnit, 2. og 3. pkt., og afsnit 2, 2. pkt., artikel 471, stk. 1, artikel 492, stk. 2-4, artikel 499, stk. 1, og artikel 501, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, artikel 5, stk. 1, artikel 6 og 7, artikel 8, stk. 1-3, artikel 9, artikel 10, stk. 1, artikel 13, stk. 1, 3 og 4, og artikel 14 og 19 i Europa-Parlamentets og Rådets forordning (EU) nr. 1286/2014 af 26. november 2014 om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP'er) og artikel 5-7, 18-30, 33-42, 44-46, 48, 50 og 52-56 i Europa-Parlamentets og Rådets forordning 2019/1238/EU af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt) samt artikel 4, artikel 8, stk. 1-6, artikel 9, stk. 1 og 2, artikel 19, stk. 1-6, artikel 22, artikel 23, stk. 2-14, og artikel 24 i Europa-Parlamentets og Rådets forordning 2020/1503/EU af 7. oktober 2020 om europæiske crowdfundingtjenesteudbydere for erhvervslivet straffes med bøde. På samme måde straffes overtrædelse af meddelelsespligten i § 152 a, stk. 4, 1. pkt.
50. I § 373, stk. 2, 1. pkt., udgår »§ 71 c, stk. 1, 2. pkt.,«, efter »312 b« indsættes: »§ 333 a, stk. 1-3, § 333 b, stk. 1-6, § 333 d, stk. 1-3, § 333 e, stk. 1-11, § 333 f, stk. 1-8, § 333 g, stk. 1-3, § 333 h, stk. 1-13, § 333 i, stk. 1 og 2, § 333 j, stk. 1-3,«, og »samt artikel 4« ændres til: », artikel 4«, og efter »om europæiske crowdfundingtjenesteudbydere for erhvervslivet« indsættes: », artikel 4, stk. 1, stk. 3, 3. afsnit, og stk. 6, artikel 5, stk. 2 og 3, artikel 6, stk. 1-10, artikel 7, stk. 1 og 2, artikel 8, stk. 1-2 og 4-6, artikel 9, artikel 10, artikel 12, stk. 1-4 og 6-9, artikel 13, stk. 2 og 3, artikel 14, artikel 16, stk. 1, 2. afsnit, artikel 17, stk. 1 og 2, artikel 19, stk. 1-9, artikel 22, stk. 1 og 3, artikel 25, stk. 1, 2 og 4, artikel 27, artikel 28, artikel 29, stk. 1-3 og 6, artikel 30, artikel 31, stk. 1-4, artikel 32, stk. 1-4, artikel 33, artikel 34, stk. 1-12, artikel 35, stk. 1, artikel 36, stk. 8-12, artikel 37, stk. 1 og 2, artikel 39, stk. 1, 2. pkt., artikel 41, stk. 1 og 2, artikel 46, stk. 1 og 2, artikel 47, stk. 1-3, artikel 48, stk. 6 og 7, artikel 49, stk. 5, artikel 51, stk. 1-9, 11-13 og stk. 14, 1. pkt., artikel 53 stk. 1-3, 5 og 6, artikel 55, artikel 59, stk. 2, 5 og 8, artikel 64, stk. 8, artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 67, stk. 1, 5 og 6, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9, artikel 76, stk. 3, 4 og 9-15, artikel 77, artikel 78, artikel 79, artikel 80, stk. 1-3, artikel 81, stk. 1-14, artikel 82, stk. 1, artikel 83, stk. 1 og 2, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver samt artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
50. I § 373, stk. 2, 1. pkt., udgår »§ 71 c, stk. 1, 2. pkt.,«, efter »312 b« indsættes: »§ 333 a, stk. 1-3, § 333 b, stk. 1-6, § 333 d, stk. 1-3, § 333 e, stk. 1-11, § 333 f, stk. 1-8, § 333 g, stk. 1-3, § 333 h, stk. 1-13, § 333 i, stk. 1 og 2, § 333 j, stk. 1-3,«, og »samt artikel 4« ændres til: », artikel 4«, og efter »om europæiske crowdfundingtjenesteudbydere for erhvervslivet« indsættes: », artikel 4, stk. 1, stk. 3, 3. afsnit, og stk. 6, artikel 5, stk. 2 og 3, artikel 6, stk. 1-10, artikel 7, stk. 1 og 2, artikel 8, stk. 1-2 og 4-6, artikel 9, artikel 10, artikel 12, stk. 1-4 og 6-9, artikel 13, stk. 2 og 3, artikel 14, artikel 16, stk. 1, 2. afsnit, artikel 17, stk. 1 og 2, artikel 19, stk. 1-9, artikel 22, stk. 1 og 3, artikel 25, stk. 1, 2 og 4, artikel 27, artikel 28, artikel 29, stk. 1-3 og 6, artikel 30, artikel 31, stk. 1-4, artikel 32, stk. 1-4, artikel 33, artikel 34, stk. 1-12, artikel 35, stk. 1, artikel 36, stk. 8-12, artikel 37, stk. 1 og 2, artikel 39, stk. 1, 2. pkt., artikel 41, stk. 1 og 2, artikel 46, stk. 1 og 2, artikel 47, stk. 1-3, artikel 48, stk. 6 og 7, artikel 49, stk. 5, artikel 51, stk. 1-9, 11-13 og stk. 14, 1. pkt., artikel 53 stk. 1-3, 5 og 6, artikel 55, artikel 59, stk. 2, 5 og 8, artikel 64, stk. 8, artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 67, stk. 1, 5 og 6, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9, artikel 76, stk. 3, 4 og 9-15, artikel 77, artikel 78, artikel 79, artikel 80, stk. 1-3, artikel 81, stk. 1-14, artikel 82, stk. 1, artikel 83, stk. 1 og 2, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver samt artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
Stk. 10. Forældelsesfristen er dog 10 år for overtrædelse af § 7, stk. 1-4, § 8, stk. 1 og 3, § 10, stk. 1 og 2, § 33 a, stk. 1, § 70, stk. 1-5, § 71, stk. 1 og 3, § 75, § 78, stk. 1 og 5-7, § 102, stk. 2 og 5, § 103, stk. 1, 2 og 4, § 106, stk. 2, § 106 a, stk. 1 og 4, § 106 b, § 106 c, stk. 1 og 3, § 106 d, stk. 1, § 124, stk. 1 og 2, § 125 b, stk. 1-4 og 6, § 125 c, stk. 1, § 125 d, § 125 e, stk. 1, jf. § 125 b, stk. 1-4 og 6, § 125 e, stk. 1, jf. § 125 c, stk. 1, § 126 a, stk. 1-3, 5 og 9, § 150, § 152, stk. 1, § 152 m, stk. 1, § 153, stk. 1, § 167, stk. 1, 3 og 5, § 170, stk. 1, 2 og 5, §§ 171 og 172, § 174, stk. 1 og 2, § 175, § 182, stk. 1 og 2, § 183, stk. 5, §§ 186 og 187, § 188, stk. 1 og stk. 2, 1. pkt., § 193, 1. pkt., § 199, stk. 2 og 6, § 200, § 313 b, § 334, stk. 1, § 343 v, stk. 1, § 347, stk. 2, § 347 b, stk. 3 og 6, samt artikel 11, stk. 1, 2, 3 og 5, artikel 26, stk. 2, artikel 28, stk. 1-4, artikel 31, stk. 1, litra h, artikel 51, jf. artikel 52, artikel 54, stk. 5, litra a og c, artikel 73, stk. 1, artikel 77, artikel 92, stk. 1, artikel 93, stk. 1-5, artikel 97, stk. 1, artikel 113, stk. 7, 1. afsnit, artikel 393, artikel 394, stk. 1, artikel 395, stk. 1, 1. og 2. afsnit, og stk. 3 og 6, artikel 398, 1. og 2. afsnit, artikel 412, stk. 1 og 2, artikel 415, stk. 1 og 2, artikel 471, stk. 1, og artikel 500, stk. 1, i Europa-Parlamentets og Rådets forordning nr. 575/2013/EU om tilsynsmæssige krav til kreditinstitutter eller regler udstedt i medfør af § 373, stk. 4, eller artikel 6, stk. 1, artikel 10, stk. 1, artikel 14, stk. 1, og artikel 19 i Europa-Parlamentets og Rådets forordning nr. 1286/2014/EU af 26. november 2014 om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP'er) samt artikel 12, stk. 1, og artikel 23 i Europa-Parlamentets og Rådets forordning 2020/1503/EU af 7. oktober 2020 om europæiske crowdfundingtjenesteudbydere for erhvervslivet.
37. To steder i § 354 e, stk. 2, 1. pkt., og to steder i § 373, stk. 1 og 10, ændres »§ 125 b, stk. 1-4 og 6« til: »§ 125 b, stk. 3-5 og 8«.
37. To steder i § 354 e, stk. 2, 1. pkt., og to steder i § 373, stk. 1 og 10, ændres »§ 125 b, stk. 1-4 og 6« til: »§ 125 b, stk. 3-5 og 8«.
51. I § 373, stk. 10, ændres » (PRIIP’er) samt« til: (PRIIP’er),« og efter »for erhvervslivet« indsættes: »og artikel 16, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«.
51. I § 373, stk. 10, ændres » (PRIIP’er) samt« til: (PRIIP’er),« og efter »for erhvervslivet« indsættes: »og artikel 16, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«.
Bilag 1. Pengeinstitutvirksomhed.
Udstedere af elektroniske penge.
52. Bilag 1, nr. 13, affattes således:
52. Bilag 1, nr. 13, affattes således:
»Udstedelse af elektroniske penge, herunder elektroniske pengetokens, som defineret i § 332, nr. 3.«
53. I bilag 1 indsættes som nr. 14 og 15:
53. I bilag 1 indsættes som nr. 14 og 15:
»14) Udstedelse af aktivbaserede tokens som defineret i § 332, nr. 2.
15) Udbud af kryptoaktivtjenester som defineret i § 332, nr. 7.«
Bilag 2. Kreditinstitutvirksomhed.
54. I bilag 2 indsættes som nr. 16-18:
54. I bilag 2 indsættes som nr. 16-18:
»16) Udstedelse af elektroniske penge, herunder elektroniske pengetokens som defineret i § 332, nr. 3.
17) Udstedelse af aktivbaserede tokens som defineret i § 332, nr. 2.
18) Udbud af kryptoaktivtjenester som defineret i § 332, nr. 7.«
I lov om betalinger, jf. lovbekendtgørelse nr. 53 af 18. januar 2023, som ændret ved § 9 i lov nr. 409 af 25. april 2023, foretages følgende ændringer:
Fodnoten. Loven indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, EU-Tidende 2015, nr. 3 L 337, side 35, (2. betalingstjenestedirektiv), Europa-Parlamentets og Rådets direktiv 2009/110/EU af 16. september 2009) om adgang til at optage og udøve virksomhed som udsteder af elektroniske penge og tilsyn med en sådan virksomhed, EU-Tidende 2009, nr. L 267, side 7, (2. e-pengedirektiv) og dele af Europa-Parlamentets og Rådets direktiv 2019/878/EU af 20. maj 2019 om ændring af direktiv 2013/36/EU, for så vidt angår fritagne enheder, finansielle holdingselskaber, blandede finansielle holdingselskaber, aflønning, tilsynsforanstaltninger og –beføjelser og kapitalbevaringsforanstaltninger, EU-Tidende 2019, nr. L 150, side 253 (CRD V).
1. I fodnoten til lovens titel ændres »(2. e-pengedirektiv) og« til: »(2. e-pengedirektiv),« og efter » side 253 (CRD V)« indsættes: »og dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«.
1. I fodnoten til lovens titel ændres »(2. e-pengedirektiv) og« til: »(2. e-pengedirektiv),« og efter » side 253 (CRD V)« indsættes: »og dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«.
§ 5. Loven finder ikke anvendelse på følgende aktiviteter m.v.:
Tjenester leveret af en udbyder af tekniske tjenester, der understøtter udbuddet af betalingstjenester, såfremt udbyderen ikke på noget tidspunkt er i besiddelse af de midler, som skal overføres, og der ikke er tale om tjenester omfattet af bilag 1, nr. 7 og 8, jf. dog § 122.
2. § 5, nr. 10, affattes således:
2. § 5, nr. 10, affattes således:
»10) Tjenester leveret af en udbyder af tekniske tjenester, der understøtter udbuddet af betalingstjenester, når udbyderen ikke på noget tidspunkt er i besiddelse af de midler, som skal overføres, og der ikke er tale om tjenester omfattet af bilag 1, nr. 7 og 8, jf. dog § 122.«
§ 11. En ansøgning om tilladelse skal indeholde de oplysninger, der er nødvendige til brug for Finanstilsynets vurdering af, om kravene i § 10 er opfyldt. Ansøgningen skal som minimum indeholde:
Virksomhedens forretningsgange og interne kontrolmekanismer, herunder administrative, risikostyringsmæssige og regnskabsmæssige procedurer, jf. § 25.
3. I § 11, stk. 1, nr. 11, indsættes efter »procedurer, jf. § 25«: »samt ordninger for brug af it-tjenester i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
3. I § 11, stk. 1, nr. 11, indsættes efter »procedurer, jf. § 25«: »samt ordninger for brug af it-tjenester i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
Virksomhedens forretningsgange for håndtering og opfølgning på sikkerhedshændelser og sikkerhedsrelaterede kundeklager, herunder procedurer for indberetning af sikkerhedshændelser, jf. § 127.
4. I § 11, stk. 1, nr. 12, ændres: »§ 127« til: »kapitel III i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
4. I § 11, stk. 1, nr. 12, ændres: »§ 127« til: »kapitel III i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
Virksomhedens beredskabsplan, herunder en klar beskrivelse af de kritiske funktioner, effektive beredskabsplaner og procedurer til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige.
5. § 11, stk. 1, nr. 15, affattes således:
5. § 11, stk. 1, nr. 15, affattes således:
»15) Virksomhedens beredskabsplan, herunder en klar beskrivelse af de kritiske funktioner, effektive politikker og planer for it-driftsstabilitet og planer for it-indsats- og genopretning og procedurer til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige og effektive i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.«
Virksomhedens sikkerhedspolitik, en detaljeret risikovurdering i tilknytning til de betalingstjenester, som virksomheden påtænker at udbyde, og en beskrivelse af de foranstaltninger, som virksomheden har foretaget for at imødegå de identificerede risici, herunder svig og misbrug af følsomme betalingsdata og personoplysninger. Beskrivelsen af foranstaltningerne skal indeholde oplysninger om, hvordan virksomheden sikrer et højt niveau af teknisk sikkerhed og databeskyttelse, herunder vedrørende de software- og it-systemer, der anvendes af ansøgeren eller de virksomheder, som ansøgeren outsourcer alle eller dele af sine aktiviteter til.
6. § 11, stk. 1, nr. 17, 2. pkt., affattes således:
6. § 11, stk. 1, nr. 17, 2. pkt., affattes således:
»Beskrivelsen af foranstaltningerne skal indeholde oplysninger om, hvordan virksomheden sikrer et højt niveau af digital operationel modstandsdygtighed i overensstemmelse med kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, navnlig med hensyn til teknisk sikkerhed og databeskyttelse, herunder vedrørende de software- og it-systemer, der anvendes af ansøgeren eller de virksomheder, som ansøgeren outsourcer alle eller dele af sine aktiviteter til.«
§ 54. En ansøgning om begrænset tilladelse til at udbyde betalingstjenester eller udstede elektroniske penge skal indeholde de oplysninger, der er nødvendige for Finanstilsynets vurdering af, om betingelserne i § 52 er opfyldt. Ansøgningen skal som minimum indeholde:
Oplysninger om virksomhedens forretningsgange og interne kontrolmekanismer, herunder administrative, risikostyringsmæssige og regnskabsmæssige procedurer, omfattende:
c) Virksomhedens forretningsgange for håndtering af og opfølgning på sikkerhedshændelser og sikkerhedsrelaterede kundeklager, herunder for indberetning af sikkerhedshændelser, jf. §§ 126 og 127.
7. I § 54, nr. 8, litra c, ændres: »§§ 126 og 127« til: »§ 126 og kapitel III i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
7. I § 54, nr. 8, litra c, ændres: »§§ 126 og 127« til: »§ 126 og kapitel III i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
Stk. 3. En ansøgning om tilladelse i henhold til stk. 1 skal indeholde de oplysninger, der er nødvendige til brug for Finanstilsynets vurdering af, om kravene i stk. 2 er opfyldt. Ansøgningen skal som minimum indeholde:
Oplysninger om virksomhedens forretningsgange og interne kontrolmekanismer, herunder administrative, risikostyringsmæssige og regnskabsmæssige procedurer.
8. I § 60, stk. 3, nr. 5, indsættes efter »procedurer«: »samt ordninger for brug af it-tjenester i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
8. I § 60, stk. 3, nr. 5, indsættes efter »procedurer«: »samt ordninger for brug af it-tjenester i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
Oplysninger om virksomhedens forretningsgange for håndtering af og opfølgning på sikkerhedshændelser og sikkerhedsrelaterede kundeklager, herunder procedurer for indberetning af sikkerhedshændelser, jf. § 126.
9. I § 60, stk. 3, nr. 6, ændres: »§ 126« til: »kapitel III i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
9. I § 60, stk. 3, nr. 6, ændres: »§ 126« til: »kapitel III i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
En beskrivelse af virksomhedens beredskabsplan, herunder en klar beskrivelse af de kritiske funktioner, effektive beredskabsplaner og procedurer til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige.
10. § 60, stk. 3, nr. 8, affattes således:
10. § 60, stk. 3, nr. 8, affattes således:
»8) En beskrivelse af virksomhedens beredskabsplan, herunder en klar beskrivelse af de kritiske funktioner, effektive politikker og planer for it-driftsstabilitet og planer for it-indsats og genopretning og procedurer til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige og effektive i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.«
11. I § 126 indsættes efter stk. 1 som nyt stykke:
11. I § 126 indsættes efter stk. 1 som nyt stykke:
»Stk. 2. Stk. 1, nr. 1 og 2, berører ikke anvendelsen af kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.«
Stk. 2-5 bliver herefter stk. 3-6.
Stk. 5. Finanstilsynet kan fastsætte nærmere regler om de procedurer og kontrolmekanismer, en udbyder af betalingstjenester skal have, jf. stk. 1, nr. 1 og 2, og stk. 2.
12. I § 126, stk. 5, der bliver stk. 6, ændres »stk. 2« til: »stk. 3«.
12. I § 126, stk. 5, der bliver stk. 6, ændres »stk. 2« til: »stk. 3«.
§ 127. En udbyder af betalingstjenester skal snarest muligt underrette Finanstilsynet om større drifts- og sikkerhedshændelser. Finanstilsynet skal uden unødig forsinkelse vurdere underretningen og videregive oplysninger, der er relevante, til den Europæiske Centralbank, Den Europæiske Banktilsynsmyndighed og relevante tilsynsmyndigheder i de lande, der er berørt af hændelsen.
13. § 127, stk. 1 og 2, ophæves.
13. § 127, stk. 1 og 2, ophæves.
Stk. 3 og 4 bliver herefter stk. 1 og 2.
Stk. 2. I den situation, hvor hændelsen har eller kan få indvirkning på brugerne af betalingstjenestens økonomiske interesser, skal udbyderen snarest muligt orientere brugerne om denne og om de tilgængelige foranstaltninger, som de kan træffe for at begrænse hændelsens negative følger.
13. § 127, stk. 1 og 2, ophæves.
13. § 127, stk. 1 og 2, ophæves.
Stk. 3 og 4 bliver herefter stk. 1 og 2.
Stk. 4. Finanstilsynet fastsætter nærmere regler om den tekniske gennemførelse af indberetningspligten i henhold til stk. 1-3.
14. I § 127, stk. 4, der bliver stk. 2, ændres »stk. 1-3« til: »stk. 1«.
14. I § 127, stk. 4, der bliver stk. 2, ændres »stk. 1-3« til: »stk. 1«.
§ 130. Finanstilsynet påser overholdelsen af loven med undtagelse af § 27 og påser overholdelsen af regler udstedt i medfør af loven, jf. dog §§ 144 og 145. Finanstilsynet påser endvidere overholdelsen af artikel 3-4 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og om ophævelse af forordning (EF) nr. 2560/2001 og Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro og forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked.
15. I § 130, stk. 1, 2. pkt., ændres »og forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked« til: », forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 af 25. november 2015 om betalingstjenester i det indre marked og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf«.
15. I § 130, stk. 1, 2. pkt., ændres »og forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked« til: », forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 af 25. november 2015 om betalingstjenester i det indre marked og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf«.
16. I § 130, stk. 1, indsættes som 3. pkt.: ¬»Finanstilsynet påser endvidere udstedere af e-pengetokens overholdelse af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf.«
16. I § 130, stk. 1, indsættes som 3. pkt.: ¬»Finanstilsynet påser endvidere udstedere af e-pengetokens overholdelse af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf.«
§ 135. Finanstilsynet kan inddrage en virksomheds tilladelse som e-pengeinstitut, betalingsinstitut eller udbyder af kontooplysningstjenester eller en begrænset tilladelse til udstedelse af elektroniske penge eller udbud af betalingstjenester, hvis virksomheden
gør sig skyldig i grove eller gentagne overtrædelser af hvidvaskloven.
17. I § 135, stk. 1, nr. 7, indsættes efter: »af hvidvaskloven«: »eller Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«.
17. I § 135, stk. 1, nr. 7, indsættes efter: »af hvidvaskloven«: »eller Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«.
Stk. 6. Bestemmelsen i stk. 1 er ikke til hinder for, at fortrolige oplysninger videregives til:
18. I § 136, stk. 6, indsættes som nr. 27:
18. I § 136, stk. 6, indsættes som nr. 27:
»27) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor under forudsætning af, at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.«
§ 138. Reaktioner givet efter denne lovs § 130, stk. 2, jf. § 345, stk. 12, nr. 4, i lov om finansiel virksomhed, eller af Finanstilsynet efter delegation fra Finanstilsynets bestyrelse til en virksomhed omfattet af denne lov skal offentliggøres med angivelse af navnet på virksomheden, jf. dog stk. 3. Virksomheden skal offentliggøre oplysningerne på sin eventuelle hjemmeside på et sted, hvor de naturligt hører hjemme, hurtigst muligt og senest 3 hverdage efter at virksomheden har modtaget underretning om reaktionen, eller senest på tidspunktet for offentliggørelse påkrævet efter lov om værdipapirhandel m.v. Samtidig med offentliggørelsen skal virksomheden indsætte et link, som giver direkte adgang til reaktionen, på forsiden af virksomhedens eventuelle hjemmeside på en synlig måde, og det skal af linket og en eventuel tilknyttet tekst tydeligt fremgå, at der er tale om en reaktion fra Finanstilsynet. Kommenterer virksomheden på reaktionen, skal dette ske i forlængelse af denne, og kommentarerne skal være klart adskilt fra reaktionen. Fjernelse af linket på forsiden og informationerne fra virksomhedens eventuelle hjemmeside skal finde sted efter samme principper, som virksomheden anvender for øvrige meddelelser, dog tidligst når linket og informationerne har ligget på hjemmesiden i 3 måneder, og tidligst efter førstkommende generalforsamling eller repræsentantskabsmøde. Virksomhedens pligt til at offentliggøre oplysningerne på virksomhedens hjemmeside gælder kun for juridiske personer. Finanstilsynet skal offentliggøre oplysningerne på tilsynets hjemmeside. Reaktioner givet i henhold til denne lovs § 130, stk. 2, jf. § 345, stk. 12, nr. 6, i lov om finansiel virksomhed, og Finanstilsynets beslutninger om at overgive sager efter denne lov eller regler udstedt i medfør af loven eller efter forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, artikel 3-4 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og om ophævelse af forordning (EF) nr. 2560/2001 og Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro til politimæssig efterforskning skal offentliggøres på Finanstilsynets hjemmeside med angivelse af virksomhedens navn, jf. dog stk. 3. Indbringes reaktionen, der offentliggøres i henhold til 1. pkt., for Erhvervsankenævnet eller domstolene, skal dette fremgå af Finanstilsynets offentliggørelse, og det efterfølgende resultat af Erhvervsankenævnets eller domstolenes afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt.
19. I § 138, stk. 1, 8. pkt., ændres »og Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro« til: », Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf«.
19. I § 138, stk. 1, 8. pkt., ændres »og Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro« til: », Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf«.
20. I § 138, stk. 1, indsættes efter 8. pkt. som nyt punktum:
20. I § 138, stk. 1, indsættes efter 8. pkt. som nyt punktum:
»Reaktioner givet i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf, skal offentliggøres på Finanstilsynets hjemmeside med angivelse af virksomhedens navn.«
21. I § 138, stk. 1, 9. pkt., der bliver 10. pkt., ændres »1. pkt.«: til »1. pkt. eller 9. pkt.«
21. I § 138, stk. 1, 9. pkt., der bliver 10. pkt., ændres »1. pkt.«: til »1. pkt. eller 9. pkt.«
§ 142. Som part i forhold til Finanstilsynet anses virksomheder eller personer, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af denne lov eller regler udstedt i medfør af denne lov, jf. dog stk. 2.
22. I § 142, stk. 1, indsættes efter »regler udstedt i medfør af denne lov«: », forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, artikel 3-4 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og om ophævelse af forordning (EF) nr. 2560/2001, Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro, Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 om markeder for kryptoaktiver og regler udstedt i medfør heraf«.
22. I § 142, stk. 1, indsættes efter »regler udstedt i medfør af denne lov«: », forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, artikel 3-4 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og om ophævelse af forordning (EF) nr. 2560/2001, Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro, Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 om markeder for kryptoaktiver og regler udstedt i medfør heraf«.
§ 143. Afgørelser truffet af Finanstilsynet i henhold til denne lov, regler udstedt i medfør heraf, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, artikel 3-4 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og om ophævelse af forordning (EF) nr. 2560/2001 eller Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro kan af den, som afgørelsen retter sig mod, indbringes for Erhvervsankenævnet, senest 4 uger efter at afgørelsen er meddelt den pågældende.
23. I § 143 indsættes efter »udstedt i medfør heraf,«: »Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf,«.
23. I § 143 indsættes efter »udstedt i medfør heraf,«: »Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf,«.
§ 152. Overtrædelse af §§ 2, 3, 16, 17, 19 og 20, § 30, stk. 2, jf. stk. 1, nr. 3 og 4, § 30, stk. 3, jf. stk. 2, jf. stk. 1, nr. 3 og 4, §§ 35, 58 og 59 og § 60, stk. 1, straffes med bøde eller fængsel indtil 4 måneder, medmindre højere straf er forskyldt efter den øvrige lovgivning.
24. I § 152, stk. 1, indsættes efter »og § 60, stk. 1,«: » i denne lov og artikel 48, stk. 1, artikel 49, stk. 4, artikel 50, stk. 1 og 2, artikel 54, artikel 59, stk. 1, artikel 60, stk. 4, artikel 67, stk. 4, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver,«.
24. I § 152, stk. 1, indsættes efter »og § 60, stk. 1,«: » i denne lov og artikel 48, stk. 1, artikel 49, stk. 4, artikel 50, stk. 1 og 2, artikel 54, artikel 59, stk. 1, artikel 60, stk. 4, artikel 67, stk. 4, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver,«.
Stk. 2. Overtrædelse af § 21, stk. 1, § 22, § 25, stk. 1 og 2, § 25 a, stk. 1-3, § 26, stk. 1, § 27, stk. 1, § 27 a, stk. 1, § 28, § 29, stk. 1, nr. 1 og 2, § 36, stk. 1, § 37, stk. 1, 3. pkt., § 38, stk. 1, 1. pkt., og stk. 2, § 40, § 43, stk. 1 og stk. 7, 4. pkt., og stk. 10, § 44, § 45, stk. 1 og 5 og stk. 8, 4. pkt., § 60, stk. 7, § 61, stk. 1, § 62, stk. 1 og 3, § 63, stk. 1 og 2, § 64, stk. 1, 3 og 4, § 66, stk. 1, § 67, stk. 1-6, §§ 68, 69, 70, 71 og 72, § 75, stk. 3, §§ 76-78 og 80, § 81, stk. 1, § 83, stk. 2, §§ 84, 85, 86, 87, 88 og 89, § 90, stk. 2-4, § 91, stk. 1-4, § 92, stk. 2 og 3, § 94, stk. 1 og 2, § 95, § 96, stk. 1-3, § 101, stk. 1, § 110, stk. 1, § 117, § 118, stk. 1 og 2, § 120, stk. 1, § 121, stk. 2, 1. pkt., § 122, stk. 1 og 2, § 123, stk. 1 og 2, § 124, stk. 2 og 4, § 125, stk. 2-6, § 126, stk. 1, § 127, stk. 1-3, og § 128, stk. 1 og 5, samt artikel 3, stk. 1 og 1a, artikel 3a, stk. 3-5, artikel 3b, artikel 4, stk. 1, 3 og 4, og artikel 6 og 7 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og om ophævelse af forordning (EF) nr. 2560/2001, artikel 3-6 og 8-9 i Europa-Parlamentets og Rådets forordning nr. 260/2012/EU af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro og om ændring af forordning nr. 924/2009/EF om grænseoverskridende betalinger i euro (SEPA-forordningen) og Europa-Parlamentets og Rådets forordning nr. 2015/751/EU om interbankgebyrer for kortbaserede betalingstransaktioner straffes med bøde.
25. I § 152, stk. 2, indsættes efter: »(SEPA-forordningen)«: », artikel 46, stk. 1 og 2, artikel 47, stk. 1-3, artikel 48, stk. 6 og 7, artikel 49, stk. 5, artikel 51, stk. 1-9, 11-13 og stk. 14, 1. pkt., artikel 53, stk. 1-3, 5 og 6, artikel 55, artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9 og artikel 82, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
25. I § 152, stk. 2, indsættes efter: »(SEPA-forordningen)«: », artikel 46, stk. 1 og 2, artikel 47, stk. 1-3, artikel 48, stk. 6 og 7, artikel 49, stk. 5, artikel 51, stk. 1-9, 11-13 og stk. 14, 1. pkt., artikel 53, stk. 1-3, 5 og 6, artikel 55, artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9 og artikel 82, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
I lov om kapitalmarkeder, jf. lovbekendtgørelse nr. 41 af 13. januar 2023, som ændret ved § 6 i lov nr. 243 af 7. marts 2023, § 5 i lov nr. 480 af 12. maj 2023 og § 5 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer:
Fodnoten. Loven indeholder bestemmelser, der gennemfører Europa-Parlamentets og Rådets direktiv 98/26/EF af 19. maj 1998, EF-Tidende 1998, nr. L 166, side 45, Europa-Parlamentets og Rådets direktiv 2001/34/EF af 28. maj 2001, EF-Tidende 2001, nr. L 184, side 1, Europa-Parlamentets og Rådets direktiv 2002/47/EF af 14. juni 2002, EF-Tidende 2002, nr. L 168, side 43, som ændret ved Europa-Parlamentets og Rådets forordning (EU) 2021/23 af 16. december 2020, EU-Tidende 2021, nr. L 22, side 1, dele af Europa-Parlamentets og Rådets direktiv 2004/25/EF af 21. april 2004, EU-Tidende 2004, nr. L 142, side 12, dele af Europa-Parlamentets og Rådets direktiv 2004/109/EF af 15. december 2004, EU-Tidende 2004, nr. L 390, side 38, dele af Kommissionens direktiv 2007/14/EF af 8. marts 2007 om gennemførelsesbestemmelser til visse bestemmelser i direktiv 2004/109/EF, EU-Tidende, nr. L 69, side 27, dele af Europa-Parlamentets og Rådets direktiv 2007/36/EF af 11. juli 2007, EU-tidende 2007, nr. L 184, side 17, som ændret ved Europa-Parlamentets og Rådets forordning (EU) 2021/23 af 16. december 2020, EU-Tidende 2021, nr. L 22, side 1, Europa-Parlamentets og Rådets direktiv 2009/44/EF af 6. maj 2009, EU-Tidende 2009, nr. L 146, side 37, dele af Europa-Parlamentets og Rådets direktiv 2010/73/EU af 24. november 2010, EU-Tidende 2010, nr. L 327, side 1, dele af Europa-Parlamentets og Rådets direktiv 2013/50/EU af 22. oktober 2013, EU-Tidende 2013, nr. L 294, side 13, Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014, EU-Tidende 2014, nr. L 173, side 349, som ændret ved Europa-Parlamentets og Rådets direktiv (EU) 2019/2177 af 18. december 2019, EU-Tidende 2019, nr. L 334, side 155, og Europa-Parlamentets og Rådets direktiv (EU) 2021/338 af 16. februar 2021, EU-Tidende 2021, nr. L 68, side 14, dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016, EU-Tidende 2016, nr. L 194, side 1, dele af Europa-Parlamentets og Rådets direktiv 2017/828/EU af 17. maj 2017, EU-Tidende 2017, nr. L 132, side 1, og dele af Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296. I loven er der medtaget visse bestemmelser fra Kommissionens forordning nr. 1031/2010/EU af 12. november 2010, EU-Tidende 2010, nr. L 302, side 1, Europa-Parlamentets og Rådets forordning nr. 236/2012/EU af 14. marts 2012, EU-Tidende 2012, nr. L 86, side 1, dele af Europa-Parlamentets og Rådets forordning nr. 648/2012/EU af 4. juli 2012, EU-Tidende 2012, nr. L 201, side 1, Europa-Parlamentets og Rådets forordning nr. 600/2014 af 15. maj 2014, EU-Tidende 2014, nr. L 173, side 84, som ændret ved Europa-Parlamentets og Rådets forordning (EU) 2019/2175 af 18. december 2019, EU-Tidende 2019, nr. L 334, side 1, Europa-Parlamentets og Rådets forordning nr. 909/2014 af 23. juli 2014, EU-Tidende, nr. L 257, side 1, og Europa-Parlamentets og Rådets forordning nr. 596/2014/EU af 16. april 2014, EU-Tidende 2014, nr. L 173, side 1, Europa-Parlamentets og Rådets forordning 2015/2365/EU af 25. november 2015, nr. L 337, side 1, Europa-Parlamentets og Rådets forordning 2016/1011/EU af 8. juni 2016, EU-Tidende 2016, nr. L 171, side 1, og Europa-Parlamentets og Rådets forordning 2017/1129/EU af 14. juni 2017, EU-Tidende 2017, nr. 168, side 12. Ifølge artikel 288 i EUF-Traktaten gælder en forordning umiddelbart i hver medlemsstat. Gengivelsen af disse bestemmelser i loven er udelukkende begrundet i praktiske hensyn og berører ikke forordningernes umiddelbare gyldighed i Danmark.
1. I fodnoten til lovens titel udgår »dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016, EU-Tidende 2016, nr. L 194, side 1,«, og »og dele af Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296« ændres til: », dele af Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296, og dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«.
1. I fodnoten til lovens titel udgår »dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016, EU-Tidende 2016, nr. L 194, side 1,«, og »og dele af Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296« ændres til: », dele af Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296, og dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«.
Overskriften. Identifikation af operatører af væsentlige tjenester
2. Overskriften før § 58 a ophæves.
2. Overskriften før § 58 a ophæves.
§ 58 a. Finanstilsynet udpeger mindst hvert andet år de operatører af markedspladser og centrale modparter (CCP’er), der er operatører af væsentlige tjenester. Det samme gælder filialer af udenlandske operatører af markedspladser.
Stk. 2. Finanstilsynet skal i forbindelse med udpegningen efter stk. 1 lægge vægt på, at
de tjenester, der leveres, er væsentlige for opretholdelsen af kritiske samfundsmæssige eller økonomiske aktiviteter,
leveringen af tjenesten afhænger af net- og informationssystemer og
en hændelse vil få væsentlige forstyrrende virkninger for leveringen af tjenesten.
Stk. 3. Finanstilsynet offentliggør på sin hjemmeside, hvilke operatører af markedspladser og centrale modparter (CCP’er) der er udpeget som operatører af væsentlige tjenester.
Stk. 4. Finanstilsynet kan fastsætte nærmere regler om udpegning af operatører af væsentlige tjenester og de kriterier, Finanstilsynet kan lægge vægt på efter stk. 1 og 2, herunder fastsætte nærmere regler om hændelsesrapportering, herunder om, at Finanstilsynet og Center for Cybersikkerhed underrettes ved en hændelse, der har en negativ indvirkning på sikkerheden i virksomhedens net- og informationssystemer. Finanstilsynet udarbejder en liste over tjenester, jf. stk. 2, nr. 1.
§ 60. Finanstilsynet kan inddrage en tilladelse efter § 59, når
operatøren af et reguleret marked groft eller gentagne gange tilsidesætter sine pligter efter denne lov, regler fastsat i medfør af loven, påbud i henhold til kapitel 37 eller pligter efter Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter og regler fastsat i medfør heraf.
4. I § 60, stk. 1, nr. 7, ændres: »eller pligter efter Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter og regler fastsat i medfør heraf« til: », pligter efter Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter og regler fastsat i medfør heraf eller pligter efter Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler fastsat i medfør heraf«.
4. I § 60, stk. 1, nr. 7, ændres: »eller pligter efter Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter og regler fastsat i medfør heraf« til: », pligter efter Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter og regler fastsat i medfør heraf eller pligter efter Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler fastsat i medfør heraf«.
Stk. 2. En operatør af et reguleret marked skal
sikre en ordentlig forvaltning af den tekniske funktion af markedspladsens systemer, herunder etablere effektive nødsystemer,
5. § 71, stk. 2, nr. 3, affattes således:
5. § 71, stk. 2, nr. 3, affattes således:
»3) kunne styre it-risici i overensstemmelse med kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.
§ 114. En operatør af en markedsplads skal have systemer, procedurer og ordninger, der sikrer, at markedspladsens handelssystemer
6. I § 114 ændres »have systemer, procedurer og ordninger, der sikrer« til: »etablere og opretholde operationel modstandsdygtighed i overensstemmelse med kravene i kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor for at sikre«.
6. I § 114 ændres »have systemer, procedurer og ordninger, der sikrer« til: »etablere og opretholde operationel modstandsdygtighed i overensstemmelse med kravene i kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor for at sikre«.
7. I § 114, nr. 1, ændres »fleksible« til: »modstandsdygtige«.
7. I § 114, nr. 1, ændres »fleksible« til: »modstandsdygtige«.
er omfattet af driftsstabilitetsordninger, der effektivt sikrer, at markedets tjenester kan opretholdes, i tilfælde af at markedspladsens handelssystem svigter.
8. I § 114, nr. 5, indsættes efter »driftsstabilitetsordninger,«: »herunder politikker og planer for it-driftsstabilitet og planer for it-indsats og genopretning udarbejdet i overensstemmelse med artikel 11 i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.
8. I § 114, nr. 5, indsættes efter »driftsstabilitetsordninger,«: »herunder politikker og planer for it-driftsstabilitet og planer for it-indsats og genopretning udarbejdet i overensstemmelse med artikel 11 i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.
Stk. 2. Systemer, procedurer og ordninger som nævnt i stk. 1 skal som minimum omfatte
ordninger, der sikrer og letter medlemmers afprøvning af algoritmer,
9. I § 118, stk. 2, nr. 1, indsættes efter »afprøvning af algoritmer«: »i overensstemmelse med kravene til it-risikostyring af informations- og kommunikationsteknologi og til test af digital operationel modstandsdygtighed i kapitel II og IV i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
9. I § 118, stk. 2, nr. 1, indsættes efter »afprøvning af algoritmer«: »i overensstemmelse med kravene til it-risikostyring af informations- og kommunikationsteknologi og til test af digital operationel modstandsdygtighed i kapitel II og IV i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
Positioner, der besiddes af eller på vegne af en ikkefinansiel enhed, og som reducerer de risici, der er direkte knyttet til den ikkefinansielle enheds forretningsmæssige aktivitet.
10. I § 129, stk. 2, nr. 1 og 2, ændres »reducerer« til: »objektivt kan måles til at reducere«, og i nr. 3, ændres », og som hidrører« til: »med hensyn til positioner, som objektivt kan måles til at hidrøre«.
10. I § 129, stk. 2, nr. 1 og 2, ændres »reducerer« til: »objektivt kan måles til at reducere«, og i nr. 3, ændres », og som hidrører« til: »med hensyn til positioner, som objektivt kan måles til at hidrøre«.
Positioner, der besiddes af eller på vegne af en finansiel enhed, der indgår i en overvejende kommerciel koncern, såfremt den finansielle enhed handler på vegne af en ikkefinansiel enhed i koncernen og positionerne reducerer de risici, der er knyttet til den pågældende ikkefinansielle enheds forretningsmæssige aktivitet.
10. I § 129, stk. 2, nr. 1 og 2, ændres »reducerer« til: »objektivt kan måles til at reducere«, og i nr. 3, ændres », og som hidrører« til: »med hensyn til positioner, som objektivt kan måles til at hidrøre«.
10. I § 129, stk. 2, nr. 1 og 2, ændres »reducerer« til: »objektivt kan måles til at reducere«, og i nr. 3, ændres », og som hidrører« til: »med hensyn til positioner, som objektivt kan måles til at hidrøre«.
Positioner, der besiddes af finansielle og ikkefinansielle modparter, og som hidrører fra transaktioner, der er indgået for at opfylde en forpligtelse til at tilføre en markedsplads likviditet.
10. I § 129, stk. 2, nr. 1 og 2, ændres »reducerer« til: »objektivt kan måles til at reducere«, og i nr. 3, ændres », og som hidrører« til: »med hensyn til positioner, som objektivt kan måles til at hidrøre«.
10. I § 129, stk. 2, nr. 1 og 2, ændres »reducerer« til: »objektivt kan måles til at reducere«, og i nr. 3, ændres », og som hidrører« til: »med hensyn til positioner, som objektivt kan måles til at hidrøre«.
§ 130. En operatør af en markedsplads, hvorpå der handles med råvarederivater, skal foretage positionsforvaltningskontrol. Operatøren kan i den forbindelse
kræve, at en person midlertidigt tilbagefører likviditet til markedspladsen til en aftalt pris og i en aftalt mængde.
11. § 130, stk. 1, nr. 5, indsættes efter »aftalt mængde«: »med det udtrykkelige formål at afbøde virkningen af en stor og dominerende position«.
11. § 130, stk. 1, nr. 5, indsættes efter »aftalt mængde«: »med det udtrykkelige formål at afbøde virkningen af en stor og dominerende position«.
§ 135. Et fondsmæglerselskab, der benytter sig af algoritmisk handel, skal
have effektive systemer og risikokontrolforanstaltninger 729, der
a) sikrer, at vedkommendes handelssystemer er modstandsdygtige over for forstyrrelser på markedet og har tilstrækkelig kapacitet til at håndtere perioder med spidsbelastning,
12. I § 135, nr. 1, litra a, ændres »til at håndtere perioder med spidsbelastning« til: »i overensstemmelse med kravene til it-risikostyring i kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
12. I § 135, nr. 1, litra a, ændres »til at håndtere perioder med spidsbelastning« til: »i overensstemmelse med kravene til it-risikostyring i kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
have effektive ordninger, der sikrer, at fondsmæglerselskabet kan håndtere en brist i fondsmæglerselskabets handelssystemer, og sikrer, at fondsmæglerselskabets systemer er grundigt afprøvet, og
13. I § 135, nr. 3, indsættes efter »handelssystemer,«: »herunder planer for it-driftsstabilitet og planer for it-indsats og genopretning i overensstemmelse med artikel 11 i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.
13. I § 135, nr. 3, indsættes efter »handelssystemer,«: »herunder planer for it-driftsstabilitet og planer for it-indsats og genopretning i overensstemmelse med artikel 11 i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.
underlægge sine handelssystemer behørig overvågning, der sikrer, at kravene i nr. 1-3 er overholdt.
14. I § 135, nr. 4, indsættes efter »kravene i nr. 1-3«: »og kravene til it-risikostyring og til test af digital operationel modstandsdygtighed i kapitel II og IV i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
14. I § 135, nr. 4, indsættes efter »kravene i nr. 1-3«: »og kravene til it-risikostyring og til test af digital operationel modstandsdygtighed i kapitel II og IV i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
Stk. 3. Finanstilsynet kan fastsætte nærmere regler om de foranstaltninger, som en it-operatør af et detailbetalingssystem skal træffe for at have betryggende kontrol- og sikringsforanstaltninger på it-området, jf. stk. 2, nr. 2.
15. I § 180 g, stk. 3, indsættes efter »detailbetalingssystem«: », der ikke er udpeget som operatør af finansiel digital infrastruktur, jf. § 333, stk. 3, i lov om finansiel virksomhed«.
15. I § 180 g, stk. 3, indsættes efter »detailbetalingssystem«: », der ikke er udpeget som operatør af finansiel digital infrastruktur, jf. § 333, stk. 3, i lov om finansiel virksomhed«.
§ 180 h. Finanstilsynet fastsætter bestemmelser om intern it-revision og om systemrevisionens gennemførelse for en it-operatør af et detailbetalingssystem.
16. I § 180 h indsættes efter »detailbetalingssystem«: », der ikke er udpeget som operatør af finansiel digital infrastruktur, jf. § 333, stk. 3, i lov om finansiel virksomhed«.
16. I § 180 h indsættes efter »detailbetalingssystem«: », der ikke er udpeget som operatør af finansiel digital infrastruktur, jf. § 333, stk. 3, i lov om finansiel virksomhed«.
Stk. 2. Finanstilsynet påser endvidere overholdelsen af:
17. I § 211, stk. 2, indsættes som nr. 15 og 16:
17. I § 211, stk. 2, indsættes som nr. 15 og 16:
»15) Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf.
16) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.«
§ 226. § 224, stk. 1, er endvidere ikke til hinder for, at fortrolige oplysninger videregives til:
18. I § 226 indsættes som nr. 17:
18. I § 226 indsættes som nr. 17:
»17) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, på betingelse af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.«
§ 236 a. Finanstilsynet kan efter høring af en operatør af en markedsplads eller central modpart (CCP), der underretter Finanstilsynet og Center for Cybersikkerhed om en hændelse, som har væsentlige konsekvenser for kontinuiteten af de væsentlige tjenester, som de leverer, orientere offentligheden om hændelsen, hvis offentlighedens kendskab hertil er nødvendigt for at forebygge eller håndtere en igangværende hændelse. Offentliggørelsen må ikke indeholde fortrolige oplysninger om kundeforhold eller oplysninger omfattet af § 30 i lov om offentlighed i forvaltningen. Offentliggørelsen må ikke indeholde fortrolige oplysninger, der hidrører fra finansielle tilsynsmyndigheder i andre lande inden for eller uden for Den Europæiske Union, medmindre de myndigheder, der har afgivet oplysningerne, har givet deres udtrykkelige tilladelse.
§ 248. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde overtrædelse af artikel 3, stk. 1 og 3, artikel 4, stk. 3, litra a-c, artikel 6, artikel 7, stk. 1, 3. afsnit, 1. pkt., artikel 8, stk. 1, 3 og 4, artikel 10, artikel 11, stk. 1, 3. afsnit, 1. pkt., og stk. 3, 3. afsnit, artikel 12, stk. 1, artikel 13, stk. 1, artikel 14, stk. 1, stk. 2, 1. afsnit, og stk. 3, 2.-4. pkt., artikel 15, stk. 1, 1. afsnit og 2. afsnit, 1. og 3. pkt., stk. 2 og stk. 4, 2. pkt., artikel 17, stk. 1, 2. pkt., artikel 18, stk. 1 og 2, stk. 4, 1. pkt., stk. 5, 1. pkt., stk. 6, 1. afsnit, og stk. 8 og 9, artikel 20, stk. 1, og stk. 2, 1. pkt., artikel 21, stk. 1, 2 og 3, artikel 22, stk. 2, artikel 23, stk. 1 og 2, artikel 25, stk. 1 og 2, artikel 26, stk. 1, 1. afsnit, stk. 2-5, stk. 6, 1. afsnit, og stk. 7, 1.-4. afsnit og 8. afsnit, artikel 27, stk. 1, artikel 27 f, stk. 1-3, artikel 27 g, stk. 1-5, og artikel 27 i, stk. 1-4, når en godkendt offentliggørelsesordning (APA) eller en godkendt indberetningsmekanisme (ARM) har en undtagelse i overensstemmelse med artikel 2, stk. 3, artikel 28, stk. 1 og stk. 2, 1. afsnit, artikel 29, stk. 1 og 2, artikel 30, stk. 1, artikel 31, stk. 2 og 3, artikel 35, stk. 1-3, artikel 36, stk. 1-3, og artikel 37, stk. 1 og 3, i Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter.
20. I § 248 udgår »artikel 27 f, stk. 1-3, artikel 27 g, stk. 1-5, og artikel 27 i, stk. 1-4, når en godkendt offentliggørelsesordning (APA) eller en godkendt indberetningsmekanisme (ARM) har en undtagelse i overensstemmelse med artikel 2, stk. 3,«.
20. I § 248 udgår »artikel 27 f, stk. 1-3, artikel 27 g, stk. 1-5, og artikel 27 i, stk. 1-4, når en godkendt offentliggørelsesordning (APA) eller en godkendt indberetningsmekanisme (ARM) har en undtagelse i overensstemmelse med artikel 2, stk. 3,«.
21. I § 248 indsættes som 2. pkt.:
21. I § 248 indsættes som 2. pkt.:
»Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde overtrædelse af artikel 27 b, stk. 1 og 2, artikel 27 f, stk. 1-3, artikel 27 g, stk. 1-5, og artikel 27 i, stk. 1-4, når en godkendt offentliggørelsesordning (APA) eller en godkendt indberetningsmekanisme (ARM) har en undtagelse i overensstemmelse med artikel 2, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter.«
22. Efter § 251 a indsættes:
22. Efter § 251 a indsættes:
»§ 251 b. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde overtrædelse af artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9, artikel 76, stk. 3, 4 og 9-15, artikel 88, stk. 1-3, og artikel 92, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
Stk. 2. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller fængsel indtil 4 måneder overtrædelse af artikel 59, stk. 1, artikel 60, stk. 2 og 6, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, artikel 76, stk. 1, 2 og 5-8, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
Stk. 3. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller fængsel indtil 1 år og 6 måneder overtrædelser af artikel 89, stk. 1 og 3, artikel 90, stk. 1, og artikel 91, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
§ 251 c. Medmindre højere straf er forskyldt efter den øvrige lovgivning straffes med bøde overtrædelse af artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1-3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.«
I lov nr. 1155 af 8. juni 2021 om fondsmæglerselskaber og investeringsservice og -aktiviteter, som ændret bl.a. ved § 13 i lov nr. 2382 af 14. december 2021, § 10 i lov nr. 568 af 10. maj 2022, § 3 i lov nr. 409 af 25. april 2023 og senest ved § 4 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer:
Lov om fondsmæglerselskaber og investeringsservice og -aktiviteter
Fodnoten. Loven indeholder bestemmelser, der gennemfører Europa-Parlamentets og Rådets direktiv 2019/2034/EU af 27. november 2019 (IFD), EU-Tidende 2019, nr. L 314, side 64, dele af Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 (MiFID II), EU-Tidende 2014, nr. L 173, side 349, Europa-Parlamentets og Rådets direktiv 2007/44/EF af 5. september 2007 (kapitalandelsdirektivet), EU-Tidende 2007, nr. L 247, side 1, dele af Europa-Parlamentets og Rådets direktiv 2017/828/EU af 17. maj 2017 (aktionærrettighedsdirektivet), EU-Tidende 2017, nr. L 132, side 1, Europa-Parlamentets og Rådets direktiv 2002/87/EF af 16. december 2002 (konglomeratdirektivet), EU-Tidende 2003, nr. L 35, side 1, dele af Europa-Parlamentets og Rådets direktiv 2013/34/EU af 26. juni 2013 (regnskabsdirektivet), EU-Tidende 2013, nr. L 182, side 19, Kommissionens direktiv 2010/43/EU af 1. juli 2010, EU-Tidende 2010, nr. L 176, side 42, dele af Europa-Parlamentets og Rådets direktiv 2014/49/EU af 16. april 2014 (DGSD), EU-Tidende 2014, nr. L 173, side 149, dele af Europa-Parlamentets og Rådets direktiv 2015/849/EU af 20. maj 2015 (4. hvidvaskdirektiv), EU-Tidende 2015, nr. L 141, side 73, dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 (NIS-direktivet), EU-Tidende 2016, nr. L 194, side 1, dele af Europa-Parlamentets og Rådets direktiv 2014/59/EU af 15. maj 2014 (BRRD), EU-Tidende 2014, nr. L 173, side 190, Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296, og dele af Europa-Parlamentets og Rådets direktiv 2019/878/EU af 20. maj 2019, EU-Tidende 2019, nr. L 150, side 253-293.
I loven er der endvidere medtaget visse bestemmelser fra Europa-Parlamentets og Rådets forordning 2019/2033/EU af 27. november 2019 (IFR), EU-Tidende 2019, nr. L 314, side 1, og Europa-Parlamentets og Rådets forordning 600/2014/EU af 15. maj 2014 (MiFIR), EU-Tidende 2014, nr. L 173, side 84. Ifølge artikel 288 i EUF-traktaten gælder en forordning umiddelbart i hver medlemsstat. Gengivelsen af disse bestemmelser i loven er således udelukkende begrundet i praktiske hensyn og berører ikke forordningernes umiddelbare gyldighed i Danmark. I loven er der endvidere medtaget visse bestemmelser fra Kommissionens forordning 584/2010/EU af 1. juli 2010, EU-Tidende 2010, nr. L 176, side 16, Europa-Parlamentets og Rådets forordning 1093/2010/EU af 24. november 2010, EU-Tidende 2010, nr. L 331, side 12, og Europa-Parlamentets og Rådets forordning 1095/2010/EU af 24. november 2010, EU-Tidende 2010, nr. L 331, side 84.
1. I fodnoten til lovens titel ændres »og dele af Europa-Parlamentets og Rådets direktiv 2019/878/EU af 20. maj 2019, EU-Tidende 2019, nr. L 150, side 253-293« til: », dele af Europa-Parlamentets og Rådets direktiv 2019/878/EU af 20. maj 2019, EU-Tidende 2019, nr. L 150, side 253-293 og dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«.
1. I fodnoten til lovens titel ændres »og dele af Europa-Parlamentets og Rådets direktiv 2019/878/EU af 20. maj 2019, EU-Tidende 2019, nr. L 150, side 253-293« til: », dele af Europa-Parlamentets og Rådets direktiv 2019/878/EU af 20. maj 2019, EU-Tidende 2019, nr. L 150, side 253-293 og dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«.
Stk. 2. Værdipapirhandlere, som ikke har tilladelse efter § 7, stk. 1, § 8, stk. 1, eller § 10, stk. 2, i lov om finansiel virksomhed, er fondsmæglerselskaber. Fondsmæglerselskaber må kun yde eller udføre investeringsservice og -aktiviteter og accessoriske tjenesteydelser omfattet af bilag 1, jf. dog §§ 15 og 16.
2. I § 13, stk. 2, 2. pkt., indsættes efter », jf. dog«: »§ 13, stk. 6,«.
2. I § 13, stk. 2, 2. pkt., indsættes efter », jf. dog«: »§ 13, stk. 6,«.
3. I § 13 indsættes som stk. 6:
3. I § 13 indsættes som stk. 6:
»Stk. 6. Et fondsmæglerselskab kan levere tjenester med kryptoaktiver som angivet i artikel 60, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, svarende til de tjenester, som det specifikt er meddelt tilladelse til i henhold til denne lov, hvis selskabet giver Finanstilsynet meddelelse herom mindst 40 arbejdsdage inden disse tjenester leveres første gang. Meddelelsen skal ledsages af de oplysninger, der er anført i artikel 60, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.«
§ 95. Et fondsmæglerselskab skal træffe de nødvendige forholdsregler for at sikre sammenhæng og regelmæssighed i sin virksomhed som værdipapirhandler og anvende ressourcer, systemer og procedurer, der er hensigtsmæssige hertil.
4. § 95, stk. 1, affattes således:
4. § 95, stk. 1, affattes således:
»Et fondsmæglerselskab skal, træffe de foranstaltninger, som er nødvendige for at sikre kontinuitet og regelmæssighed i ydelsen af investeringsservice og udførelsen af investeringsaktiviteter. Fondsmæglerselskabet skal med henblik herpå anvende hensigtsmæssige og forholdsmæssigt afpassede systemer, herunder it-systemer, som oprettes og styres i overensstemmelse med artikel 7 i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, samt hensigtsmæssige og forholdsmæssigt afpassede ressourcer og procedurer.«
§ 164. Finanstilsynet kan endvidere inddrage et fondsmæglerselskabs tilladelse som fondsmæglerselskab i følgende tilfælde:
Fondsmæglerselskabet gør sig skyldig i grove eller gentagne overtrædelser af
d) Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter eller
5. I § 164, stk. 1, nr. 1, litra d, ændres »instrumenter eller« til: »instrumenter,«, og i litra e, ændres »terrorisme.« til: »terrorisme eller«.
5. I § 164, stk. 1, nr. 1, litra d, ændres »instrumenter eller« til: »instrumenter,«, og i litra e, ændres »terrorisme.« til: »terrorisme eller«.
e) forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2015/849 af 20. maj 2015 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme.
5. I § 164, stk. 1, nr. 1, litra d, ændres »instrumenter eller« til: »instrumenter,«, og i litra e, ændres »terrorisme.« til: »terrorisme eller«.
5. I § 164, stk. 1, nr. 1, litra d, ændres »instrumenter eller« til: »instrumenter,«, og i litra e, ændres »terrorisme.« til: »terrorisme eller«.
6. I § 164, stk. 1, nr. 1, indsættes som litra f:
6. I § 164, stk. 1, nr. 1, indsættes som litra f:
»f) Europa-Parlamentets og Rådets (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.«
§ 214. Finanstilsynet skal uden ugrundet ophold nedskrive eller konvertere hybride kapitalinstrumenter og supplerende kapitalinstrumenter, som opfylder kravene i artikel 9, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) nr. 2019/2033 af 27. november 2019 om tilsynsmæssige krav til investeringsselskaber, i et fondsmæglerselskab, der har tilladelse til at yde eller udføre en eller begge af de i bilag 1, afsnit A, nr. 3 og 6, nævnte investeringsservicer og -aktiviteter, til egentlige kernekapitalinstrumenter. Det samme gælder for nedskrivningsegnede forpligtelser, som opfylder betingelserne i § 205, nr. 4, uanset om forpligtelserne opfylder betingelsen i § 205, nr. 4, litra b, om en restløbetid på mindst 1 år.
7. I § 214, stk. 1, 1. pkt., indsættes efter »egentlige kernekapitalinstrumenter«: », hvis Finanstilsynet vurderer, at fondsmæglerselskabet ikke vil være levedygtigt, medmindre beføjelsen anvendes«.
7. I § 214, stk. 1, 1. pkt., indsættes efter »egentlige kernekapitalinstrumenter«: », hvis Finanstilsynet vurderer, at fondsmæglerselskabet ikke vil være levedygtigt, medmindre beføjelsen anvendes«.
8. I § 214 indsættes som stk. 8 og 9:
8. I § 214 indsættes som stk. 8 og 9:
»Stk. 8. Kapitalejere og kreditorer, hvis krav er blevet nedskrevet eller konverteret i henhold til stk. 1, må ikke lide større tab end ved konkursbehandling af fondsmæglerselskabet.
Stk. 9. Finanstilsynets vurdering efter stk. 8 foretages på baggrund af værdiansættelsen i § 8 i lov om restrukturering og afvikling af visse finansielle virksomheder. Værdiansættelsen foretages af Finansiel Stabilitet efter anmodning fra Finanstilsynet. Konstateres det, at en kapitalejer eller kreditor, herunder Garantiformuen, har lidt større tab, end den ville have gjort ved konkursbehandling af fondsmæglerselskabet, betales forskellen af Afviklingsformuen, jf. kapitel 11 i lov om restrukturering og afvikling af visse finansielle virksomheder.«
Stk. 3. Stk. 1 finder ikke anvendelse, hvis forpligtelsen er undtaget fra bail-in, jf. § 25, stk. 3, i lov om restrukturering og afvikling af visse finansielle virksomheder, eller hvis forpligtelsen er et berettiget indskud, jf. § 2, nr. 5, i lov om restrukturering og afvikling af visse finansielle virksomheder.
9. § 216, stk. 3, affattes således:
9. § 216, stk. 3, affattes således:
»Stk. 3. Stk. 1 finder ikke anvendelse, hvis
1) forpligtelsen er undtaget fra bail-in, jf. § 25, stk. 3, i lov om restrukturering og afvikling af visse finansielle virksomheder,
2) forpligtelsen er en del af berettigede kontante midler tilhørende fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, jf. § 2, nr. 19, i lov om restrukturering og afvikling af visse finansielle virksomheder, og overstiger beløbsgrænsen for dækkede kontante midler, jf. § 10 i lov om en indskyder- og investorgarantiordning, eller
3) forpligtelsen ville være berettigede kontante midler tilhørende fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, hvis ikke midlerne var indsat gennem filialer af institutter, der er etableret inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, når filialen er beliggende uden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område.«
§ 217. Et fondsmæglerselskab, der har tilladelse til at yde eller udføre en eller begge af de i bilag 1, afsnit A, nr. 3 og 6, nævnte investeringsservicer og -aktiviteter, en fondsmæglerholdingvirksomhed, en blandet holdingvirksomhed, en blandet finansiel holdingvirksomhed eller et finansieringsinstitut skal underrette Finanstilsynet, hvis det ikke er muligt at opfylde § 216, stk. 1, i forhold til en kontrakt vedrørende en forpligtelse omfattet af § 97 i konkursloven. Underretningen skal angive kategorien af forpligtelsen og begrundelsen for, at det ikke er muligt at indføre kontraktbestemmelsen.
10. I § 217, stk. 1, indsættes efter 1. pkt. som nyt punktum:¬»Dette omfatter dog ikke usikrede obligationer og andre former for omsættelig gæld og instrumenter, der skaber eller anerkender en gæld«.
10. I § 217, stk. 1, indsættes efter 1. pkt. som nyt punktum:¬»Dette omfatter dog ikke usikrede obligationer og andre former for omsættelig gæld og instrumenter, der skaber eller anerkender en gæld«.
Stk. 2. Finanstilsynet påser endvidere overholdelsen af § 32, stk. 3, nr. 1, jf. § 32, stk. 6, i revisorloven og følgende EU-retsakter og regler udstedt i medfør heraf:
11. I § 219, stk. 2, indsættes som nr. 12 og 13:
11. I § 219, stk. 2, indsættes som nr. 12 og 13:
»12) Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf.
13) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.«
§ 257. § 255, stk. 1, er endvidere ikke til hinder for, at fortrolige oplysninger videregives til følgende:
12. I § 257, stk. 1, indsættes som nr. 15:
12. I § 257, stk. 1, indsættes som nr. 15:
»15) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.«
§ 259. Som part 1646 i forhold til Finanstilsynet anses fondsmæglerselskabet, fondsmæglerholdingvirksomheden, den tilknyttede agent etableret her i landet, den blandede finansielle holdingvirksomhed, den blandede holdingvirksomhed, investeringsselskabet eller investeringsholdingvirksomheden, som Finanstilsynet har truffet eller vil træffe afgørelse1648 over for i medfør af denne lov, forskrifter fastsat i medfør af denne lov, Europa-Parlamentets og Rådets forordning (EU) 2019/2033 af 27. november 2019 om tilsynsmæssige krav til investeringsselskaber, forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2019/2034 af 27. november 2019 om tilsyn med investeringsselskaber og forordninger og regler udstedt i medfør af Europa-Parlamentets og Rådets forordning (EU) 2019/2033 af 27. november 2019 om tilsynsmæssige krav til investeringsselskaber, Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf, jf. dog stk. 2 og 3.
13. I § 259, stk. 1, ændres »tjenesteydelser og« til: »tjenesteydelser,«, og efter »bæredygtige investeringer« indsættes: » og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
13. I § 259, stk. 1, ændres »tjenesteydelser og« til: »tjenesteydelser,«, og efter »bæredygtige investeringer« indsættes: » og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
§ 266. Med bøde straffes overtrædelse af følgende bestemmelser, medmindre højere straf er forskyldt efter den øvrige lovgivning:
14. I § 266, stk. 1, indsættes som nr. 5:
14. I § 266, stk. 1, indsættes som nr. 5:
»5) Artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9, artikel 76, stk. 3, 4 og 9-15, artikel 77, artikel 78, artikel 79, artikel 80, stk. 1-3, artikel 81, stk. 1-14, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.«
Stk. 2. Med bøde eller fængsel indtil 4 måneder straffes overtrædelse af følgende bestemmelser, medmindre højere straf er forskyldt efter den øvrige lovgivning:
15. I § 266, stk. 2, indsættes som nr. 4 og 5:
15. I § 266, stk. 2, indsættes som nr. 4 og 5:
»4) Artikel 59, stk. 1, artikel 60, stk. 3, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, artikel 76, stk. 1, 2 og 5-8, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
5) Artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.«
§ 275. Afgørelser truffet af Finanstilsynet eller Erhvervsstyrelsen kan af den, som afgørelsen retter sig til, indbringes for Erhvervsankenævnet, senest 4 uger efter at afgørelsen er meddelt den pågældende i henhold til følgende:
16. I § 275, stk. 1, indsættes som nr. 9 og 10:
16. I § 275, stk. 1, indsættes som nr. 9 og 10:
»9) Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
10) Europa-Parlamentets og Rådets forordning EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.«
§ 276. Erhvervsministeren kan fastsætte regler, som er nødvendige for at anvende eller gennemføre de afgørelser eller retsakter, som vedtages af Europa-Kommissionen i medfør af følgende:
17. I § 276, stk. 1, indsættes som nr. 9 og 10:
17. I § 276, stk. 1, indsættes som nr. 9 og 10:
»9) Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.
10) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.«
I lov om forvaltere af alternative investeringsfonde m.v., jf. lovbekendtgørelse nr. 2015 af 1. november 2021, som ændret bl.a. ved § 2 i lov nr. 641 af 19. maj 2020, § 2 i lov nr. 2382 af 14. december 2021, § 9 i lov nr. 568 af 10. maj 2022, § 6 i lov nr. 409 af 25. april 2023, og senest ved § 6 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer:
Lov om forvaltere af alternative investeringsfonde m.v.
Fodnoten. Loven gennemfører Europa-Parlamentets og Rådets direktiv 2011/61/EU af 8. juni 2011 om forvaltere af alternative investeringsfonde og om ændring af direktiv 2003/41/EF og 2009/65/EF samt forordning 1060/2009/EU og 1095/2010/EU, EU-Tidende 2011, nr. L 174, side 1, dele af Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter og om ændring af direktiv 2002/92/EF og direktiv 2011/61/EU, EU-Tidende 2014, nr. L 173, side 349, dele af Europa-Parlamentets og Rådets direktiv 2015/849/EU af 20. maj 2015 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme, om ændring af Europa-Parlamentets og Rådets forordning (EU) nr. 648/2012 og om ophævelse af Europa-Parlamentets og Rådets direktiv 2005/60/EF samt Kommissionens direktiv 2006/70/EF (4. hvidvaskdirektiv), EU-Tidende 2015, nr. L 141, side 73, og dele af Europa-Parlamentets og Rådets direktiv 2018/843/EU af 30. maj 2018 om ændring af direktiv (EU) 2015/849 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme og om ændring af direktiv 2009/138/EF og 2013/36/EU, EU-Tidende 2018, nr. L 156, side 43, dele af Europa-Parlamentets Rådets direktiv (EU) 2017/828 af 17. maj 2017 om ændring af direktiv 2007/36/EF, for så vidt angår tilskyndelse til langsigtet aktivt ejerskab, EU-Tidende 2017, nr. L 132, side 1, og dele af Europa-Parlamentets og Rådets direktiv 2019/1160/EU af 20. juni 2019 om ændring af direktiv 2009/65/EF og 2011/61/EU for så vidt angår grænseoverskridende distribution af kollektive investeringsinstitutter, EU-Tidende 2019, nr. L 188, side 106. I loven er der endvidere medtaget visse bestemmelser fra Europa-Parlamentets og Rådets forordning 2013/345/EU af 17. april 2013 om europæiske venturekapitalfonde, EU-Tidende 2013, nr. L 115, side 1, Europa-Parlamentets og Rådets forordning 2013/346/EU af 17. april 2013 om europæiske sociale iværksætterfonde, EU-Tidende 2013, nr. L 115, side 18, Europa-Parlamentets og Rådets forordning 2017/1131/EU af 14. juni 2017 om pengemarkedsforeninger, EU-Tidende 2017, nr. L 169, side 8, og Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering og om ændring af direktiv 2009/65/EF, 2009/138/EF og 2011/61/EU og forordning 1060/2009/EF og 648/2012/EU, EU-Tidende 2017, nr. L 347, side 35. Ifølge artikel 288 i EUF-traktaten gælder en forordning umiddelbart i hver medlemsstat. Gengivelsen af disse bestemmelser i loven er således udelukkende begrundet i praktiske hensyn og berører ikke forordningernes umiddelbare gyldighed i Danmark.
1. I fodnoten til lovens titel ændres »og dele af Europa-Parlamentets og Rådets direktiv 2019/1160/EU af 20. juni 2019 om ændring af direktiv 2009/65/EF og 2011/61/EU for så vidt angår grænseoverskridende distribution af kollektive investeringsinstitutter, EU-Tidende 2019, nr. L 188, side 106« til: »dele af Europa-Parlamentets og Rådets direktiv 2019/1160/EU af 20. juni 2019 om ændring af direktiv 2009/65/EF og 2011/61/EU for så vidt angår grænseoverskridende distribution af kollektive investeringsinstitutter, EU-Tidende 2019, nr. L 188, side 106, og dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2556 af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«.
1. I fodnoten til lovens titel ændres »og dele af Europa-Parlamentets og Rådets direktiv 2019/1160/EU af 20. juni 2019 om ændring af direktiv 2009/65/EF og 2011/61/EU for så vidt angår grænseoverskridende distribution af kollektive investeringsinstitutter, EU-Tidende 2019, nr. L 188, side 106« til: »dele af Europa-Parlamentets og Rådets direktiv 2019/1160/EU af 20. juni 2019 om ændring af direktiv 2009/65/EF og 2011/61/EU for så vidt angår grænseoverskridende distribution af kollektive investeringsinstitutter, EU-Tidende 2019, nr. L 188, side 106, og dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2556 af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«.
2. I § 8 indsættes som stk. 6:
2. I § 8 indsættes som stk. 6:
»Stk. 6. En forvalter af alternative investeringsfonde kan levere tjenester med kryptoaktiver som angivet i artikel 60, stk. 5, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, som der specifikt er meddelt tilladelse til i henhold til denne lov, hvis forvalteren giver Finanstilsynet meddelelse mindst 40 arbejdsdage, inden disse tjenester leveres første gang. Meddelelsen skal ledsages af de oplysninger, der er anført i artikel 60, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.«
Stk. 2. Under hensynstagen til karakteren af de forvaltede alternative investeringsfonde skal forvalteren have effektive former for virksomhedsstyring, herunder
betryggende kontrol- og sikringsforanstaltninger på it-området og
3. I § 27, stk. 2, nr. 6, indsættes efter »it-området«: », inklusiv for net- og informationssystemer, der oprettes og styres i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.
3. I § 27, stk. 2, nr. 6, indsættes efter »it-området«: », inklusiv for net- og informationssystemer, der oprettes og styres i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.
§ 155. Finanstilsynet påser overholdelsen af regler udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2011/61/EU af 8. juni 2011 om forvaltere af alternative investeringsfonde, og af denne lov og de regler, der er udstedt i medfør af loven, undtagen § 27 b. Finanstilsynet kontrollerer, at reglerne for finansiel information i årsrapporter og delårsrapporter udstedt i medfør af § 131 er overholdt for forvaltere af alternative investeringsfonde, som har udstedt værdipapirer, der er optaget til handel på et reguleret marked, jf. § 213, stk. 1-5 og 8, i lov om kapitalmarkeder. Finanstilsynet påser endvidere overholdelsen af regler udstedt i medfør af § 31, stk. 8, i revisorloven. Erhvervsstyrelsen påser dog overholdelsen af § 136. Finanstilsynet påser desuden overholdelsen af Europa-Parlamentets og Rådets forordning nr. 346/2013/EU af 17. april 2013 om europæiske sociale iværksætterfonde, Europa-Parlamentets og Rådets forordning nr. 345/2013/EU af 17. april 2013 om europæiske venturekapitalfonde, Europa-Parlamentets og Rådets forordning 2017/1131/EU af 14. juni 2017 om pengemarkedsforeninger og Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering og regler fastsat i medfør heraf og regler fastsat i medfør heraf. Finanstilsynet påser overholdelsen af Europa-Parlamentets og Rådets forordning 1286/2014/EU af 26. november 2014 om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP’er), Europa-Parlamentets og Rådets forordning 2019/1156/EU af 20. juni 2019 om lettere grænseoverskridende distribution af kollektive investeringsinstitutter og om ændring af forordning (EU) nr. 345/2013, (EU) nr. 346/2013 og (EU) nr. 1286/2014 og Europa-Parlamentets og Rådets forordning 2019/1238/EU af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt), Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf.
4. I § 155, stk. 1, indsættes som 6. pkt.:
4. I § 155, stk. 1, indsættes som 6. pkt.:
»Finanstilsynet påser endvidere overholdelsen af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf samt Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.«
Stk. 7. Bestemmelsen i stk. 1 er ikke til hinder for, at fortrolige oplysninger videregives til:
5. I § 170, stk. 7, indsættes som nr. 29:
5. I § 170, stk. 7, indsættes som nr. 29:
»29) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.«
§ 171. Reaktioner givet i henhold til denne lovs § 156, jf. § 345, stk. 12, nr. 4, i lov om finansiel virksomhed, eller af Finanstilsynet efter delegation fra Finanstilsynets bestyrelse til en forvalter af alternative investeringsfonde under tilsyn skal offentliggøres med angivelse af forvalterens navn, jf. dog stk. 4. Forvalteren skal offentliggøre oplysningerne på sin hjemmeside på et sted, hvor de naturligt hører hjemme, hurtigst muligt og senest 3 hverdage efter at den pågældende forvalter har modtaget underretning om reaktionen, eller senest på tidspunktet for offentliggørelse påkrævet efter lov om kapitalmarkeder. Samtidig med offentliggørelsen skal den pågældende forvalter indsætte et link, som giver direkte adgang til reaktionen, på forsiden af den pågældende forvalters hjemmeside på en synlig måde, og det skal af linket og en eventuel tilknyttet tekst tydeligt fremgå, at der er tale om en reaktion fra Finanstilsynet. Hvis den pågældende forvalter kommenterer reaktionen, skal dette ske i forlængelse af denne, og kommentarerne skal være klart adskilt fra reaktionen. Fjernelse af linket på forsiden og informationerne fra den pågældende forvalters hjemmeside skal finde sted efter samme principper, som den pågældende forvalter anvender for øvrige meddelelser, dog tidligst når linket og informationerne har ligget på hjemmesiden i 3 måneder, og tidligst efter førstkommende generalforsamling. Forvaltere af alternative investeringsfondes pligt til at offentliggøre på forvalterens hjemmeside gælder kun for juridiske personer. Finanstilsynet skal offentliggøre oplysningerne på tilsynets hjemmeside. Reaktioner givet i henhold til § 156, jf. § 345, stk. 12, nr. 6, i lov om finansiel virksomhed, og Finanstilsynets beslutninger om at overgive sager til politimæssig efterforskning skal offentliggøres på Finanstilsynets hjemmeside med angivelse af forvalterens navn, jf. dog stk. 4.
6. I § 171, stk. 1, indsættes som 9-11. pkt.:
6. I § 171, stk. 1, indsættes som 9-11. pkt.:
»Reaktioner givet i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor skal offentliggøres på Finanstilsynets hjemmeside med angivelse af forvalterens navn, jf. dog stk. 4. Indbringes reaktionen, der offentliggøres i henhold til 1. eller 8. pkt., for Erhvervsankenævnet eller domstolene, skal dette fremgå af Finanstilsynets offentliggørelse. Sagens status og resultatet af Erhvervsankenævnets eller domstolenes afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt.«
§ 189. Afgørelser truffet af Finanstilsynet eller Erhvervsstyrelsen i henhold til loven eller regler udstedt i medfør af loven, Europa-Parlamentets og Rådets forordning nr. 346/2013/EU af 17. april 2013 om europæiske sociale iværksætterfonde, Europa-Parlamentets og Rådets forordning nr. 345/2013/EU af 17. april 2013 om europæiske venturekapitalfonde, Europa-Parlamentets og Rådets forordning 2017/1131/EU af 14. juni 2017 om pengemarkedsforeninger, Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering, Europa-Parlamentets og Rådets forordning 1286/2014/EU af 26. november 2014 om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP’er), Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser eller Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer eller regler udstedt i medfør heraf kan af den, som afgørelsen retter sig mod, indbringes for Erhvervsankenævnet, senest 4 uger efter at afgørelsen er meddelt den pågældende.
7. I § 189 ændres »tjenesteydelser eller« til: »tjenesteydelser,« og efter »bæredygtige investeringer« indsættes », Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver eller Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.
7. I § 189 ændres »tjenesteydelser eller« til: »tjenesteydelser,« og efter »bæredygtige investeringer« indsættes », Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver eller Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.
§ 190. Overtrædelse af § 4, stk. 2, 1. pkt., § 5, stk. 1-3, stk. 4, 1. pkt., § 6, stk. 1, § 8, stk. 1 og 4, § 9, stk. 1-3, § 10, stk. 1, § 11, stk. 1, § 13, stk. 5, § 15, stk. 1, § 16, stk. 1, stk. 2, 1. pkt., stk. 4, 1. og 3. pkt., og stk. 5 og 7, § 18, stk. 1 og 2, § 19, § 20 a, § 23, stk. 1-5, § 24, stk. 1-6, § 25, stk. 1-3, § 26, § 27, stk. 1 og 2, §§ 29 og 30, § 31, stk. 3 og 4, § 32, stk. 1, § 33, § 34, stk. 1, § 36, stk. 1 og 2, §§ 38-41, § 42, stk. 2, §§ 43 og 45, § 46, stk. 6, jf. § 13, stk. 3, §§ 50-53, § 54, stk. 1, 4 og 5, § 59, § 61, stk. 1-5, § 62, stk. 1 og 2, §§ 64 og 65, § 67, stk. 1-5, § 68, stk. 1-3, §§ 72-74, § 75, stk. 1, § 77, § 79, stk. 1, § 81, § 86, stk. 1, § 87 a, stk. 3 og 6, § 88, stk. 1, § 88 a, stk. 1-3 og 5, stk. 7, 1. pkt., og stk. 8 og 9, § 93, stk. 1, § 95, § 96, stk. 1, §§ 98 og 99, § 101, stk. 1, § 106, stk. 1, § 108, stk. 1, § 109, nr. 2, 2. pkt., § 111, § 118, stk. 1 og 4, § 121, stk. 1-3, § 123, stk. 1, § 127, § 128, stk. 1 og 10, § 129, stk. 1, § 134, stk. 6, 1. og 2. pkt., § 135, stk. 1-3, § 136, stk. 4, § 137, stk. 4, § 138, § 139, stk. 2, 1. pkt., § 141, stk. 1-5, § 146, stk. 1, 3. pkt., § 149, stk. 1, 2. pkt., og §§ 154 a-154 c samt artikel 2, stk. 6, 3.-5. pkt., artikel 4, stk. 3 og 5, artikel 51, stk. 1, 1. pkt., artikel 52, artikel 53, stk. 1, stk. 2, 1. og 3.-6. pkt., og stk. 3-5, artikel 54, artikel 90, stk. 2, 3. pkt., og stk. 3, artikel 91, artikel 98, stk. 6 og 7, artikel 100, stk. 2, 2. pkt., og stk. 4 og 5, artikel 103, artikel 104, stk. 4-7, artikel 106, stk. 4, artikel 107, stk. 4, og artikel 109, stk. 1, i Kommissionens delegerede forordning (EU) nr. 231/2013 af 19. december 2012 om udbygning af Europa-Parlamentets og Rådets direktiv 2011/61/EU for så vidt angår undtagelser, generelle vilkår for drift, depositarer, gearing, gennemsigtighed og tilsyn og artikel 4, artikel 5, stk. 1, 1. pkt., og stk. 2 og 3, artikel 6, stk. 1, artikel 7, artikel 8, stk. 1, 2. pkt., artikel 9, stk. 1, 3 og 4, artikel 10, artikel 11, stk. 1, artikel 12, stk. 1 og 2, artikel 13, stk. 1 og 2, og artikel 15 i Europa-Parlamentets og Rådets forordning (EU) nr. 345/2013 om europæiske venturekapitalfonde og artikel 4, artikel 5, stk. 1, 1. pkt., og stk. 2 og 3, artikel 6, stk. 1, artikel 7, artikel 8, stk. 1, 2. pkt., artikel 9, stk. 1, 3 og 4, artikel 10, stk. 1, artikel 11, artikel 12, stk. 1, artikel 13, stk. 1-3, artikel 14, stk. 1 og 2, og artikel 16 i Europa-Parlamentets og Rådets forordning (EU) nr. 346/2013 om europæiske sociale iværksætterfonde straffes med bøde eller fængsel indtil 4 måneder, medmindre højere straf er forskyldt efter anden lovgivning.
8. I § 190, stk. 1, indsættes efter »om europæiske sociale iværksætterfonde«: »og artikel 59, stk. 1, artikel 60, stk. 5, artikel 70, stk. 1-4, og artikel 72, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«.
8. I § 190, stk. 1, indsættes efter »om europæiske sociale iværksætterfonde«: »og artikel 59, stk. 1, artikel 60, stk. 5, artikel 70, stk. 1-4, og artikel 72, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«.
Stk. 2. Overtrædelse af § 15, stk. 4, § 20, stk. 1-8, § 21, stk. 1, stk. 2, 2. pkt., og stk. 3-5, § 22, stk. 1-3, § 27 a, stk. 1, § 27 b, stk. 1, § 27 c, stk. 1, § 28, stk. 1, nr. 1 og 2, og stk. 2, nr. 1 og 2, § 28 a, § 136 a, stk. 3, 5 og 6, § 163, stk. 3, 5 og 6, og § 171, stk. 1, 1.-5. pkt., og stk. 3, 1.-7. pkt., artikel 5, stk. 1, artikel 6 og 7, artikel 8, stk. 1-3, artikel 9, artikel 10, stk. 1, artikel 13, stk. 1, 3 og 4, og artikel 14 og 19 i Europa-Parlamentets og Rådets forordning 1286/2014/EU om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP’er), artikel 4, stk. 1, artikel 6, artikel 7, stk. 1-4, artikel 9, artikel 10, stk. 1, artikel 11, stk. 1-3, artikel 12-14, artikel 15, stk. 1-5, artikel 16, stk. 1-4 og 6, artikel 17, stk. 1-6, 8 og 9, artikel 18, stk. 1, artikel 19-21 og 23, artikel 24, stk. 1, artikel 25, stk. 1, artikel 26 og 27, artikel 28, stk. 1-5, artikel 29, stk. 1-5 og 7, artikel 30, stk. 3, artikel 31, stk. 3 og 4, artikel 32, stk. 3 og 4, artikel 33, artikel 34, stk. 1 og 3, artikel 35, stk. 1, artikel 36, artikel 37, stk. 1-3, og artikel 44, stk. 1, i Europa-Parlamentets og Rådets forordning 2017/1131/EU af 14. juni 2017 om pengemarkedsforeninger og artikel 5-7, 18-30, 33-42, 44-46, 48, 50 og 52-56 i Europa-Parlamentets og Rådets forordning 2019/1238/EU af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt), straffes med bøde.
9. I § 190, stk. 2, indsættes efter »om pengemarkedsforeninger«: », artikel 64, stk. 8, artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, og artikel 81, stk. 1-14, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
9. I § 190, stk. 2, indsættes efter »om pengemarkedsforeninger«: », artikel 64, stk. 8, artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, og artikel 81, stk. 1-14, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
I lov om firmapensionskasser, jf. lovbekendtgørelse nr. 355 af 2. april 2020, som ændret bl.a. ved § 7 i lov nr. 1940 af 15. december 2020, § 2382 af 14. december 2021, § 4 i lov nr. 409 af 25. april 2023, og senest ved § 337 i lov nr. 718 af 13. juni 2023, foretages følgende ændringer:
Lov om firmapensionskasser
§ 3. I denne lov forstås ved:
1. I § 3 indsættes som nr. 28 og 29:
1. I § 3 indsættes som nr. 28 og 29:
»28) Variable løndele: Aflønningsordninger, hvor den endelige aflønning ikke er kendt på forhånd, herunder bonusordninger, resultatkontrakter, engangsvederlag og andre lignende ordninger, der ikke er en del af den faste løndel.
29) Kønsneutral lønpolitik: En lønpolitik baseret på lige løn for samme arbejde eller arbejde af samme værdi uanset den ansattes køn.«
2. Efter § 43 d indsættes:
2. Efter § 43 d indsættes:
»§ 43 e. En firmapensionskasse skal vedtage en skriftlig lønpolitik, der fremmer en sund og effektiv risikostyring.
Stk. 2. Firmapensionskassens lønpolitik skal være kønsneutral.
§ 43 f. Firmapensionskassens øverste organ skal godkende firmapensionskassens lønpolitik, jf. § 43 e, herunder retningslinjer for tildeling af variabel løn og retningslinjer for fratrædelsesgodtgørelser, ved enhver væsentlig ændring og mindst hvert fjerde år. Firmapensionskassens lønpolitik skal hurtigst muligt efter godkendelsen offentliggøres på firmapensionskassens hjemmeside. Lønpolitikken skal forblive offentligt tilgængelig på hjemmesiden, så længe den er gældende.
Stk. 2. Formanden for Firmapensionskassens bestyrelse skal i sin beretning for firmapensionskassens øverste organ redegøre for aflønningen af firmapensionskassens bestyrelse og direktion. Redegørelsen skal indeholde oplysninger om aflønning i det foregående regnskabsår og om den forventede aflønning i indeværende og det kommende regnskabsår. Formanden for bestyrelsen skal forklare og begrunde lønpolitikkens indhold og dens efterlevelse i sin beretning for virksomhedens øverste organ.
Stk. 3. Firmapensionskassens øverste organ skal godkende aflønningen af firmapensionskassens bestyrelse for det igangværende regnskabsår.
Stk. 4. Bestyrelsen firmapensionskassen skal årligt udarbejde og offentliggøre en vederlagsrapport.
Stk. 5. Vederlagsrapporten skal indeholde følgende:
1) Oplysninger om det samlede vederlag, som hvert medlem af bestyrelsen og direktionen som led i dette hverv har optjent fra firmapensionskassen og andre virksomheder inden for samme koncern i de seneste tre år, herunder oplysninger om fastholdelses- og fratrædelsesordningers væsentligste indhold.
2) En redegørelse for sammenhængen mellem ledelsens aflønning og firmapensionskassens strategi og relevante mål herfor.
Stk. 6. Hurtigst muligt efter generalforsamlingens afholdelse skal vederlagsrapporten offentliggøres på firmapensionskassens hjemmeside. Vederlagsrapporten skal forblive offentligt tilgængelig på hjemmesiden i en periode på 10 år. Vederlagsrapporten kan være tilgængelig i en længere periode end 10 år, forudsat at den ikke længere indeholder personoplysninger.
§ 43 g. Ved en firmapensionskasses outsourcing af aktiviteter til en leverandør skal firmapensionskassen sikre, at aflønning af ledelsen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, hos leverandøren sker inden for rammerne af firmapensionskassens lønpolitik. Det skal fremgå af aftalen mellem firmapensionskassen og leverandøren, at firmapensionskassens lønpolitik skal overholdes.
Stk. 2. Stk. 1 finder ikke anvendelse, i det omfang leverandøren allerede er underlagt regler om aflønning i den finansielle regulering.
Aflønning af ledelsen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassen risikoprofil
§ 43 h. Ved firmapensionskassers aflønning af bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, skal firmapensionskassen sikre sig, at følgende er opfyldt:
1) De variable løndele til et medlem af bestyrelsen eller direktionen må på tidspunktet for beregningen af den variable løndel højst udgøre 50 pct. af henholdsvis honoraret og den faste grundløn inklusive pension.
2) De variable løndele til andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, må højst udgøre 100 pct. af den faste grundløn, inklusive pension på tidspunktet for beregningen af den variable løn.
3) Firmapensionskassens øverste organ kan dog beslutte, at de variable løndele til andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, jf. nr. 2, kan udgøre op til 200 pct. af den faste grundløn, inklusive pension, på tidspunktet for beregningen af den variable løndel forudsat af følgende krav opfyldes:
a) Firmapensionskassen skal senest ved indkaldelse til det øverste organs forsamling orientere det øverste organ om, at der ønskes stillingtagen til benyttelse af et højere maksimalt loft for de variable løndele.
b) Det øverste organ skal tage beslutningen om benyttelse af et højere maksimalt loft for de variable løndele på baggrund af en detaljeret anbefaling fra firmapensionskassen, der begrunder indstillingen herom, herunder antallet af berørte ansatte, disses arbejdsområder, det nye foreslåede maksimale loft og den forventede indvirkning på firmapensionskassens mulighed for at bevare et sundt kapitalgrundlag. Medlemmerne af det øverste organ skal modtage anbefalingen senest samtidig med indkaldelsen til det øverste organs forsamling.
c) Firmapensionskassen skal senest samtidig med formidling af anbefalingen til medlemmerne af det øverste organ, jf. litra b, informere Finanstilsynet om anbefalingen til det øverste organ, herunder det foreslåede højere maksimale loft og begrundelsen for indstillingen. Firmapensionskassen skal på anmodning fra Finanstilsynet godtgøre, at det foreslåede højere maksimale loft ikke er i strid med firmapensionskassens forpligtelser efter loven og regler udstedt i medfør af § 43, stk. 2, herunder kapitalgrundlagskravene.
d) Beslutningen om benyttelse af et højere maksimalt loft skal tiltrædes af firmapensionskassens øverste organ med mindst 66 pct. af de afgivne stemmer, forudsat at mindst 50 pct. af de stemmeberettigede medlemmer er repræsenteret på forsamlingen. Er mindre end 50 pct. af de stemmeberettigede medlemmer repræsenteret på forsamlingen, skal beslutningen tiltrædes af mindst 75 pct. af de afgivne stemmer. En ansat, som er medlem af det øverste organ i firmapensionskassen, må ikke deltage i afstemningen herom på det øverste organs forsamling, hvis den ansatte har en væsentlig interesse i beslutningen, der kan være stridende mod firmapensionskassens interesser.
e) Firmapensionskassen skal senest 8 dage efter det øverste organs forsamling informere Finanstilsynet om det øverste organs beslutning, herunder om størrelsen af et eventuelt besluttet højere maksimalt loft.
4) Mindst 50 pct. af en variabel løndel til bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, skal på tidspunktet for beregningen af den variable løn bestå af en balance af efterstillet gæld i firmapensionskassen eller andre instrumenter, som i en passende grad afspejler firmapensionskassens kreditværdighed som en firmapensionskasse, hvis aktivitet formodes at fortsætte. Instrumenterne kan udstedes i firmapensionskassen eller dennes modervirksomhed, der ejer firmapensionskassen fuldt ud.
5) Udbetaling af mindst 40 pct. af en variabel løndel, ved større beløb mindst 60 pct., sker over en periode på mindst fire år, med påbegyndelse ét år efter beregningstidspunktet, dog for bestyrelsen og direktionen mindst fem år. Udbetalingen skal ske med en ligelig fordeling over årene eller med en voksende andel i slutningen af perioden.
6) Firmapensionskassen kan undlade at udbetale en variabel løndel helt eller delvis, såfremt firmapensionskassen på tidspunktet for udbetaling af den variable løndel ikke overholder solvenskapitalkravet i § 54, eller hvis Finanstilsynet vurderer, at der er nærliggende risiko herfor.
7) Firmapensionskassen må ikke udbetale variabel løn til bestyrelsen eller direktionen, såfremt Finanstilsynet i medfør af § 83 kræver, at firmapensionskassen udarbejder en plan for genoprettelse af firmapensionskassens økonomiske stilling.
Stk. 2. For bestyrelsen og direktionen må aktieoptioner i modervirksomheden eller lignende instrumenter højst udgøre 12,5 pct. af henholdsvis honoraret og den faste grundløn inklusive pension på tidspunktet for beregningen heraf.
Stk. 3. En firmapensionskasse skal sikre, at efterstillet gæld, instrumenter m.v., der overdrages til bestyrelsen, direktionen eller andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, som en del af den variable løn, som er nævnt i stk. 1, nr. 4, ikke må afhændes af disse personer i en passende periode.
Stk. 4. En firmapensionskasse skal sikre, at udbetaling af den udskudte variable løndel, jf. stk. 1, nr. 5, til bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, er betinget af, at de kriterier, der har dannet grundlag for beregningen af den variable løndel, fortsat er opfyldt på udbetalingstidspunktet, betinget af, at den pågældende ikke har deltaget i eller været ansvarlig for en adfærd, der har resulteret i betydelige tab for virksomheden, eller ikke har efterlevet passende krav til hæderlighed, samt betinget af, at virksomhedens økonomiske situation ikke er væsentligt forringet i forhold til tidspunktet for beregningen af den variable løndel.
Stk. 5. En firmapensionskasse skal sikre, at bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, og som modtager variabel løn, skal tilbagebetale den variable løn helt eller delvis, hvis den variable løn er udbetalt på grundlag af oplysninger om resultater, som kan dokumenteres at være fejlagtige, og hvis modtageren af den variable løn er i ond tro.
Stk. 6. Tildeler en firmapensionskasse bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, en pensionsydelse, som udgør variabel løn, jf. § 3, nr. 28, skal firmapensionskassen, hvis modtageren forlader firmapensionskassen inden pensionstidspunktet, beholde denne pensionsydelse i form af instrumenter som nævnt i stk. 1, nr. 4, i fem år. Stk. 4 og 5 finder tilsvarende anvendelse på de i 1. pkt. nævnte tilfælde. Er modtageren et medlem af bestyrelsen eller ansat i firmapensionskassen ved pensionsalderen, skal firmapensionskassen udbetale den variable del af pensionsydelsen til modtageren i form af de i stk. 1, nr. 4, nævnte instrumenter uden mulighed for afhændelse eller udnyttelse i en periode på 5 år. Stk. 5 finder tilsvarende anvendelse på de i 3. pkt. nævnte tilfælde.
Stk. 7. For personer i ansættelsesforhold, der er omfattet af en kollektiv overenskomst, finder stk. 1-6 kun anvendelse på aftaler om variable løndele, hvis aftalerne om variabel løn ikke er fastsat i overenskomsten.«
§ 97. Finanstilsynet påser overholdelsen af denne lov og af de bestemmelser, der er udstedt i medfør af loven, undtagen § 36, stk. 7, og § 45, jf. dog § 111. Finanstilsynet påser endvidere overholdelsen af Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering, Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf. Erhvervsstyrelsen påser overholdelsen af § 21.
3. I § 97, stk. 1, 2. pkt., ændres »tjenesteydelser og« til: »tjenesteydelser,«, og efter »bæredygtige investeringer« indsættes: »og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
3. I § 97, stk. 1, 2. pkt., ændres »tjenesteydelser og« til: »tjenesteydelser,«, og efter »bæredygtige investeringer« indsættes: »og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
Stk. 6. Bestemmelsen i stk. 1 er ikke til hinder for, at fortrolige oplysninger videregives til:
4. I § 103, stk. 6, indsættes som nr. 30:
4. I § 103, stk. 6, indsættes som nr. 30:
»30) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.«
§ 104. Som part i forholdet til Finanstilsynet anses alene den firmapensionskasse, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af denne lov eller i medfør af Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser, Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering, Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf eller forskrifter fastsat i medfør af denne lov, jf. dog stk. 2 og 3.
5. I § 104, stk. 1, og § 112, stk. 1, indsættes efter »bæredygtige investeringer«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
5. I § 104, stk. 1, og § 112, stk. 1, indsættes efter »bæredygtige investeringer«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
§ 105. Reaktioner givet i henhold til denne lovs § 97, stk. 2, jf. § 345, stk. 12, nr. 4, i lov om finansiel virksomhed, eller af Finanstilsynet efter delegation fra Finanstilsynets bestyrelse til en firmapensionskasse under tilsyn skal offentliggøres med angivelse af firmapensionskassens navn, jf. dog stk. 4. Finanstilsynet skal offentliggøre oplysningerne på tilsynets hjemmeside. Reaktioner givet i henhold til § 97, stk. 2, jf. § 345, stk. 12, nr. 6, i lov om finansiel virksomhed, og Finanstilsynets beslutninger om at overgive sager til politimæssig efterforskning skal offentliggøres på Finanstilsynets hjemmeside med angivelse af firmapensionskassens navn. Indbringes reaktionen, der offentliggøres i henhold til 1. pkt., for domstolene, skal dette fremgå af Finanstilsynets offentliggørelse, og det efterfølgende resultat af domstolenes afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt.
6. I § 105, stk. 1, indsættes efter 3. pkt. som nyt punktum:
6. I § 105, stk. 1, indsættes efter 3. pkt. som nyt punktum:
»Reaktioner givet i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og forordninger udstedt i medfør heraf, skal offentliggøres på Finanstilsynets hjemmeside med angivelse af firmapensionskassens navn, jf. dog stk. 4.«
7. I § 105, stk. 1, 4. pkt., der bliver 5. pkt., ændres »1. pkt.« til: »1. eller 4. pkt.«
7. I § 105, stk. 1, 4. pkt., der bliver 5. pkt., ændres »1. pkt.« til: »1. eller 4. pkt.«
8. I § 105, stk. 1, indsættes som 6. pkt.:
8. I § 105, stk. 1, indsættes som 6. pkt.:
»Indbringes reaktionen, der offentliggøres i henhold til 4. pkt., for Erhvervsankenævnet, skal dette fremgå af Finanstilsynets offentliggørelse, og det efterfølgende resultat af Erhvervsankenævnets afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt.«
§ 112. Afgørelser truffet af Finanstilsynet eller Erhvervsstyrelsen i henhold til loven eller i medfør af Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser, Europa-Parlamentets og Rådets forordning 2017/2402/EU af 12. december 2017 om en generel ramme for securitisering og om oprettelse af en specifik ramme for simpel, transparent og standardiseret securitisering, Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf eller forskrifter udstedt i medfør af loven kan indbringes for Erhvervsankenævnet, senest 4 uger efter at afgørelsen er meddelt den pågældende.
5. I § 104, stk. 1, og § 112, stk. 1, indsættes efter »bæredygtige investeringer«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
5. I § 104, stk. 1, og § 112, stk. 1, indsættes efter »bæredygtige investeringer«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
Stk. 2. Overtrædelse af §§ 4, 11 og 17, § 18, stk. 1, § 21, stk. 2 og 3, § 24, stk. 1, 2. pkt., § 29, stk. 1, § 33, § 34, stk. 1-5, § 35, § 36, stk. 1-6, § 37, § 39, stk. 3, § 42, stk. 2, jf. stk. 1, nr. 3 og 4, § 43 a, § 44, stk. 1, § 45, stk. 1, § 45 a, stk. 1, § 49, stk. 1-3, § 54, § 57, stk. 1, § 59, stk. 1, 1. pkt., § 60 stk. 1, § 61, stk. 1 og 3 og stk. 4, 1. pkt., §§ 62 og 63, § 64, stk. 1, stk. 2, 1. pkt., og stk. 3, 2. pkt., § 65, § 66, stk. 1 og 3, § 67, § 68, 1. pkt., § 69, § 70, stk. 1, 1. pkt., og stk. 2, § 75, stk. 1 og 3, § 79, stk. 1, 2. pkt., og stk. 4, § 80, 1. og 3. pkt., § 81, stk. 1, 2. pkt., § 105, stk. 3, 3. pkt., og § 111, stk. 3, 5 og 6, straffes med bøde, medmindre højere straf er forskyldt efter den øvrige lovgivning. Endvidere straffes overtrædelse af de bestemmelser, der er nævnt i § 73, stk. 1, i det omfang en sådan overtrædelse kan straffes efter §§ 312-319 i lov om forsikringsvirksomhed.
9. I § 117, stk. 2, indsættes efter »§ 42, stk. 2, jf. stk. 1, nr. 3 og 4,«: »§§ 43 e, 43 f, § 43 g, stk. 1, § 43 h, stk. 1-6,«, og efter »§ 111, stk. 3, 5 og 6,« indsættes: »og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.
9. I § 117, stk. 2, indsættes efter »§ 42, stk. 2, jf. stk. 1, nr. 3 og 4,«: »§§ 43 e, 43 f, § 43 g, stk. 1, § 43 h, stk. 1-6,«, og efter »§ 111, stk. 3, 5 og 6,« indsættes: »og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.
I hvidvaskloven, jf. lovbekendtgørelse nr. 316 af 11. marts 2022, som ændret ved § 4 i lov nr. 507 af 20. maj 2022, § 2 i lov nr. 480 af 12. maj 2023, og § 10 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer:
§ 1. Denne lov finder anvendelse på følgende virksomheder og personer, herunder filialer, distributører og agenter af disse her i landet:
Udbydere af veksling mellem virtuelle valutaer og fiatvalutaer.
1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:
1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:
»22) Ubydere af kryptoaktivtjenester som defineret i lov om finansiel virksomhed.«
Udbydere af virtuelle tegnebøger.
1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:
1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:
»22) Udbydere af kryptoaktivtjenester som defineret i lov om finansiel virksomhed.«
Udbydere af veksling mellem en eller flere typer af virtuel valuta.
1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:
1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:
»22) Udbydere af kryptoaktivtjenester som defineret i lov om finansiel virksomhed.«
Udbydere af overførsel af virtuel valuta.
1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:
1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:
»22) Udbydere af kryptoaktivtjenester som defineret i lov om finansiel virksomhed.«
Udbydere af finansielle tjenester relateret til en udsteders udbud eller salg af virtuelle valutaer.
1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:
1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:
»22) Udbydere af kryptoaktivtjenester som defineret i lov om finansiel virksomhed.«
§ 2. I denne lov forstås ved:
Korrespondentforbindelse:
2. § 2, nr. 4, affattes således:
2. § 2, nr. 4, affattes således:
»4) Korrespondentforbindelse:
a) Levering af pengeinstitutydelser fra et pengeinstitut (korrespondenten) til et andet pengeinstitut (respondenten), herunder oprettelse af løbende konto eller en anden passivkonto, samt tilknyttede ydelser som likviditetsstyring, internationale overførsler af midler, checkclearing, gennemstrømningskonti og valutatransaktioner.
b) En forbindelse mellem en virksomhed omfattet af § 1, stk. 1, nr. 1-12, 18 eller 22, (korrespondenten) og en virksomhed omfattet af § 1, stk. 1, nr. 1-12, 18 eller 22, (respondenten), herunder hvor der leveres lignende ydelser fra et korrespondentinstitut til et respondentinstitut, herunder forbindelser indgået med henblik på værdipapirtransaktioner eller overførsler af midler eller forbindelser indgået med henblik på transaktioner med kryptoaktiver eller overførsler af kryptoaktiver.«
a) Levering af pengeinstitutydelser fra et pengeinstitut (korrespondenten) til et andet pengeinstitut (respondenten), herunder oprettelse af løbende konto eller passivkonto, samt øvrige ydelser som likviditetsstyring, international overførsel af midler m.v.
a) Levering af pengeinstitutydelser fra et pengeinstitut (korrespondenten) til et andet pengeinstitut (respondenten), herunder oprettelse af løbende konto eller passivkonto, samt øvrige ydelser som likviditetsstyring, international overførsel af midler m.v.
a) En forbindelse mellem en virksomhed omfattet af § 1, stk. 1, nr. 1-12 eller 18, (korrespondenten) til en anden virksomhed omfattet af § 1, stk. 1, nr. 1-12 eller 18, (respondenten), hvor der leveres lignende ydelser, herunder forbindelser indgået med henblik på værdipapirtransaktioner eller overførsler af midler.
a) En forbindelse mellem en virksomhed omfattet af § 1, stk. 1, nr. 1-12 eller 18, (korrespondenten) til en anden virksomhed omfattet af § 1, stk. 1, nr. 1-12 eller 18, (respondenten), hvor der leveres lignende ydelser, herunder forbindelser indgået med henblik på værdipapirtransaktioner eller overførsler af midler.
Udbyder af virtuelle tegnebøger: En enhed, som leverer tjenester til at beskytte private kryptografiske nøgler på vegne af sine kunder med henblik på at opbevare, lagre og overføre virtuelle valutaer.
3. § 2, nr. 15 og 16, ophæves.
3. § 2, nr. 15 og 16, ophæves.
Nr. 17-20 bliver herefter nr. 15-18.
Virtuel valuta: Et digitalt udtryk for værdi, som ikke er udstedt eller garanteret af en centralbank eller en offentlig myndighed, ikke nødvendigvis er bundet til en lovligt oprettet valuta og ikke har samme retsstatus som valuta eller penge, men som accepteres af fysiske og juridiske personer som vekslingsmiddel, som kan overføres, lagres og handles elektronisk.
3. § 2, nr. 15 og 16, ophæves.
3. § 2, nr. 15 og 16, ophæves.
Nr. 17-20 bliver herefter nr. 15-18.
4. I § 2 indsættes som nr. 19:
4. I § 2 indsættes som nr. 19:
»19) Selvhostet adresse: En distributed ledger-adresse som defineret i Europa-Parlamentets og Rådets forordning (EU) 2023/1113 af 31. maj 2023 om oplysninger, der skal medsendes ved pengeoverførsler og ved overførsler af visse kryptoaktiver og om ændring af direktiv (EU) 2015/849.«
§ 7. Virksomheder og personer omfattet af denne lov skal identificere og vurdere risikoen for, at virksomheden eller personen kan blive misbrugt til hvidvask eller finansiering af terrorisme. Risikovurderingen skal foretages med udgangspunkt i virksomhedens eller personens forretningsmodel og omfatte vurderingen af risikofaktorer, der er forbundet med kunder, produkter, tjenesteydelser og transaktioner samt leveringskanaler og lande eller geografiske områder, hvor forretningsaktiviteterne udøves. Risikovurderingen skal dokumenteres og løbende opdateres.
5. I § 7, stk. 1, 1. pkt., indsættes efter »personer«: », der er«.
5. I § 7, stk. 1, 1. pkt., indsættes efter »personer«: », der er«.
Stk. 2. Den daglige ledelse i virksomheder omfattet af § 1, stk. 1, nr. 1-8, 9, 10, 18 og 22-26, dog ikke disses filialer, distributører og agenter her i landet, skal udpege en ansat, der har fuldmagt til at træffe beslutninger på vegne af virksomheden i henhold til § 8, stk. 2, § 17, stk. 2, nr. 5, § 18, stk. 3, og § 19, stk. 1, nr. 3. Personen kan være medlem af virksomhedens daglige ledelse. Personen skal have tilstrækkeligt kendskab til virksomhedens risiko for hvidvask og terrorfinansiering til at kunne træffe beslutninger, der kan påvirke virksomhedens risikoeksponering. Personen skal endvidere have et tilstrækkelig godt omdømme og må ikke have udvist en adfærd, der giver grund til at antage, at personen ikke vil varetage stillingen på forsvarlig måde.
6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«.
6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«.
§ 8. Virksomheder og personer omfattet af denne lov skal have tilstrækkelige skriftlige politikker, forretningsgange og kontroller, som skal omfatte risikostyring, kundekendskabsprocedurer, undersøgelses-, noterings- og underretningspligt, opbevaring af oplysninger, screening af medarbejdere og intern kontrol til effektiv forebyggelse, begrænsning og styring af risici for hvidvask og finansiering af terrorisme. Politikker, kontroller og forretningsgange skal udarbejdes med udgangspunkt i risikovurderingen foretaget efter § 7 under hensyntagen til virksomhedens størrelse.
7. I § 8, stk. 1, 1. pkt., indsættes efter »personer«: », der er«.
7. I § 8, stk. 1, 1. pkt., indsættes efter »personer«: », der er«.
§ 10. Virksomheder og personer omfattet af denne lov skal gennemføre kundekendskabsprocedurer, jf. §§ 11-21, når
de udfører en enkeltstående transaktion på
a) 500 euro eller derover ved valutaveksling herunder veksling mellem virtuel valuta og fiatvaluta, hvad enten transaktionen sker på én gang eller som flere transaktioner, der er eller ser ud til at være indbyrdes forbundet, eller
a) 500 euro eller derover ved valutaveksling herunder veksling mellem virtuel valuta og fiatvaluta, hvad enten transaktionen sker på én gang eller som flere transaktioner, der er eller ser ud til at være indbyrdes forbundet, eller
8. I § 10, nr. 2, litra c, og tre steder i § 10, nr. 2, litra d, ændres »virtuel valuta« til: »kryptoaktiver«.
8. I § 10, nr. 2, litra c, og tre steder i § 10, nr. 2, litra d, ændres »virtuel valuta« til: »kryptoaktiver«.
a) 1.000 euro eller derover ved veksling mellem en eller flere typer af virtuel valuta, overførsel af virtuel valuta eller tjenester relateret til udstedelse af virtuel valuta, hvad enten transaktionen sker på én gang eller som flere transaktioner, der er eller ser ud til at være indbyrdes forbundet,
a) 1.000 euro eller derover ved veksling mellem en eller flere typer af virtuel valuta, overførsel af virtuel valuta eller tjenester relateret til udstedelse af virtuel valuta, hvad enten transaktionen sker på én gang eller som flere transaktioner, der er eller ser ud til at være indbyrdes forbundet,
8. I § 10, nr. 2, litra c, og tre steder i § 10, nr. 2, litra d, ændres »virtuel valuta« til: »kryptoaktiver«.
8. I § 10, nr. 2, litra c, og tre steder i § 10, nr. 2, litra d, ændres »virtuel valuta« til: »kryptoaktiver«.
»§ 17 a. Erhvervsministeren kan fastsætte regler om gennemførelse af risikobegrænsende foranstaltninger ved overførsel af kryptoaktiver, der er rettet mod eller stammer fra en selvhostet adresse.«
§ 19. Inden etablering af en grænseoverskridende korrespondentforbindelse, der involverer gennemførelse af betalinger med et respondentinstitut uden for Den Europæiske Union, som Unionen ikke har indgået aftale med på det finansielle område, skal korrespondenten ud over kundekendskabsproceduren i medfør af § 11
10. I § 19 indsættes efter stk. 1 som nyt stykke:
10. I § 19 indsættes efter stk. 1 som nyt stykke:
»Stk. 2. Inden gennemførelse af kryptoaktivtjenester skal korrespondenten fastslå, om respondenten er godkendt eller registreret i det pågældende land.«
Stk. 2 bliver herefter stk. 3.
§ 33. Finanstilsynet kan fastsætte regler om, at udbydere af betalingstjenester og udstedere af elektroniske penge, der er registreret i et EU- eller EØS-land, og som er etableret her i landet på anden måde end ved en filial, har pligt til at udpege en person med ansvar for at sikre, at virksomheden eller personen overholder reglerne i denne lov. Finanstilsynet kan endvidere fastsætte regler om, at personen skal have tilstedeværelse her i landet, og hvilke funktioner den pågældende person skal udføre på vegne af virksomheden.
11. I § 33, 1. pkt., ændres »udbydere af betalingstjenester og udstedere af elektroniske penge« til: »udbydere af betalingstjenester, udstedere af elektroniske penge og udbydere af kryptoaktivtjenester«.
11. I § 33, 1. pkt., ændres »udbydere af betalingstjenester og udstedere af elektroniske penge« til: »udbydere af betalingstjenester, udstedere af elektroniske penge og udbydere af kryptoaktivtjenester«.
§ 35. Virksomheder og personer omfattet af § 1, stk. 1, nr. 5, 8 og 10, for så vidt angår alternative investeringsfonde, og nr. 12-19 og 21-26, skal have en ordning, hvor deres ansatte via en særlig, uafhængig og selvstændig kanal kan indberette overtrædelser eller potentielle overtrædelser af denne lov og regler udstedt i medfør heraf. Indberetninger til ordningen skal kunne foretages anonymt. Virksomheder og personer skal følge op på indberetninger til ordningen og skriftligt kunne dokumentere, hvordan virksomhederne eller personerne har fulgt op på indberetningerne. Lov om beskyttelse af whistleblowere finder anvendelse på ordningen i 1. pkt., jf. dog § 2 i lov om beskyttelse af whistleblowere.
12. I § 35, stk. 1, 1. pkt., og § 36, stk. 1, 1. pkt., ændres »og 21-26« til: », 21 og 22«.
12. I § 35, stk. 1, 1. pkt., og § 36, stk. 1, 1. pkt., ændres »og 21-26« til: », 21 og 22«.
§ 36. Virksomheder og personer omfattet af § 1, stk. 1, nr. 5, 8 og 10, for så vidt angår alternative investeringsfonde, og nr. 12-19 og 21-26, må ikke udsætte den ansatte eller den tidligere ansatte for ufordelagtig behandling eller ufordelagtige følger, som følge af at den ansatte eller den tidligere ansatte har indberettet virksomhedens eller personens overtrædelse eller potentielle overtrædelse af denne lov og regler udstedt i medfør heraf til en tilsynsmyndighed eller til en ordning i virksomheden. Det samme gælder ved fastsættelse, tildeling og udbetaling af variabel løn til ansatte eller tidligere ansatte.
12. I § 35, stk. 1, 1. pkt., og § 36, stk. 1, 1. pkt., ændres »og 21-26« til: », 21 og 22«.
12. I § 35, stk. 1, 1. pkt., og § 36, stk. 1, 1. pkt., ændres »og 21-26« til: », 21 og 22«.
Stk. 3. Oplysninger om, at der er givet underretning efter § 26, stk. 1 og 2, eller at dette overvejes, eller at der er eller vil blive iværksat en undersøgelse efter § 25, stk. 1, kan videregives mellem virksomheder i koncerner omfattet af § 1, stk. 1, nr. 1-12, 18 eller 22-26, og andre virksomheder i koncernen, der har hjemsted eller er hjemmehørende i et EU- eller EØS-land.
6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«.
6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«.
Stk. 6. Oplysninger om, at der er givet underretning efter § 26, stk. 1 og 2, eller at dette overvejes, eller at der er eller vil blive iværksat en undersøgelse efter § 25, stk. 1, kan videregives mellem virksomheder og personer omfattet af § 1, stk. 1, nr. 1-14, 16, 18, 20 og 22-26, forudsat
6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«.
6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«.
§ 47. Finanstilsynet påser, at virksomheder og personer omfattet af § 1, stk. 1, nr. 1-12, 18 og 22-26, og filialer, distributører og agenter her i landet af sådanne udenlandske virksomheder og personer, overholder loven, regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning 2015/847/EU af 20. maj 2015 om oplysninger, der skal medsendes ved pengeoverførsler, og love og forordninger indeholdende regler om finansielle sanktioner mod lande, personer, grupper, juridiske enheder eller organer. Dette gælder dog ikke overholdelse af § 36.
6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«.
6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«.
Stk. 3. Finanstilsynet skal samarbejde med de kompetente myndigheder i EU- eller EØS-lande om at medvirke ved tilsynsaktiviteter, kontroller på stedet eller inspektioner her i landet, når det gælder virksomheder og personer omfattet af § 1, stk. 1, der er under tilsyn i et andet EU- eller EØS-land, eller en dansk virksomhed eller person omfattet af § 1, stk. 1, nr. 1-12 og 22-26, der er underlagt dansk tilsyn, men opererer i andre EU- eller EØS-lande.
6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«.
6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«.
Stk. 2. Virksomheder og personer omfattet af § 1, stk. 1, nr. 22-26, skal ligeledes registreres hos Finanstilsynet for at kunne udøve deres aktiviteter.
13. § 48, stk. 2, ophæves.
13. § 48, stk. 2, ophæves.
Stk. 3-7 bliver herefter stk. 2-6.
Stk. 3. Finanstilsynet skal undlade at foretage registrering efter stk. 1 og 2, hvis et medlem af virksomhedens øverste eller daglige ledelse eller personen er dømt for et strafbart forhold, der begrunder en nærliggende fare for misbrug af stillingen eller hvervet, jf. straffelovens § 78, stk. 2.
14. I § 48, stk. 3, der bliver stk. 2, stk. 6, der bliver stk. 5, og stk. 7, der bliver stk. 6, udgår: »og 2«.
14. I § 48, stk. 3, der bliver stk. 2, stk. 6, der bliver stk. 5, og stk. 7, der bliver stk. 6, udgår: »og 2«.
Stk. 5. Ved Finanstilsynets vurdering i henhold til stk. 3 og 4 finder straffelovens § 78, stk. 3, tilsvarende anvendelse.
15. I § 48, stk. 5, der bliver stk. 4, ændres »stk. 3 og 4« til: »stk. 2 og 3«.
15. I § 48, stk. 5, der bliver stk. 4, ændres »stk. 3 og 4« til: »stk. 2 og 3«.
Stk. 6. Finanstilsynet kan inddrage registreringen af en virksomhed eller en anden juridisk person foretaget efter stk. 1 og 2, hvis et medlem af virksomhedens øverste eller daglige ledelse eller personen efterfølgende omfattes af stk. 3, eller hvis virksomheden eller en reel ejer efterfølgende omfattes af stk. 4.
14. I § 48, stk. 3, der bliver stk. 2, stk. 6, der bliver stk. 5, og stk. 7, der bliver stk. 6, udgår: »og 2«.
14. I § 48, stk. 3, der bliver stk. 2, stk. 6, der bliver stk. 5, og stk. 7, der bliver stk. 6, udgår: »og 2«.
16. I § 48, stk. 6, der bliver stk. 5, ændres »stk. 3« til: »stk. 2«, og »stk. 4« ændres til: »stk. 3«.
16. I § 48, stk. 6, der bliver stk. 5, ændres »stk. 3« til: »stk. 2«, og »stk. 4« ændres til: »stk. 3«.
Stk. 7. Finanstilsynet kan inddrage registreringen af en virksomhed eller en person efter stk. 1 og 2, hvis virksomheden eller personen gør sig skyldig i grove eller gentagne overtrædelser af denne lov.
14. I § 48, stk. 3, der bliver stk. 2, stk. 6, der bliver stk. 5, og stk. 7, der bliver stk. 6, udgår: »og 2«.
14. I § 48, stk. 3, der bliver stk. 2, stk. 6, der bliver stk. 5, og stk. 7, der bliver stk. 6, udgår: »og 2«.
§ 49. Virksomheder og personer som nævnt i § 1, stk. 1, nr. 1-12, 18 og 22-26, samt leverandører og underleverandører til disse skal give Finanstilsynet de oplysninger, der er nødvendige for tilsynets virksomhed. Oplysninger, der er af væsentlig betydning for Finanstilsynets tilsyn, skal gives af egen drift og hurtigst muligt.
6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«.
6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«.
§ 51. Finanstilsynet kan inden for en af Finanstilsynet fastsat frist påbyde de virksomheder og personer, som er nævnt i § 1, stk. 1, nr. 1-12, 18 og 22-26, at foretage de nødvendige foranstaltninger i tilfælde af overtrædelse af bestemmelser i denne lov, regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning 2015/847/EU af 20. maj 2015 om oplysninger, der skal medsendes ved pengeoverførsler, eller forordninger indeholdende regler om finansielle sanktioner mod lande, personer, grupper, juridiske enheder eller organer.
6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«.
6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«.
§ 51 a. Finanstilsynet kan påbyde en virksomhed omfattet af § 1, stk. 1, nr. 1-8, 9, 10, 18 og 22-26, dog ikke disses filialer, distributører og agenter her i landet, at afsætte den person, der er udpeget i henhold til § 7, stk. 2, inden for en frist fastsat af Finanstilsynet, hvis personen efter § 7, stk. 2, 3. og 4. pkt., ikke kan bestride stillingen.
6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«.
6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«.
§ 51 b. Finanstilsynet kan påbyde en virksomhed eller person omfattet af § 1, stk. 1, nr. 1-8, 9, 10, 18 og 22-26, dog ikke disses filialer, distributører og agenter her i landet, at virksomheden eller personen midlertidigt ikke må optage nye kundeforhold, når der er konstateret en alvorlig overtrædelse af bestemmelser i denne lov eller regler udstedt i medfør heraf. Er overtrædelsen foregået helt eller delvis i en virksomheds udenlandske filial, kan påbuddet udstrækkes til at omfatte filialen.
6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«.
6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«.
§ 52. Finanstilsynet kan for virksomheder og personer som nævnt i § 1, stk. 1, nr. 8 og 22-26, fastsætte nærmere regler om anmeldelse, registrering og offentliggørelse, herunder om, hvilke oplysninger der skal registreres, og hvilke forhold anmeldere eller andre kan indsende og registrere elektronisk i Finanstilsynets it-system ved at benytte digital eller tilsvarende elektronisk signatur, samt om brugen af dette system.
6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«.
6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«.
§ 53. Erhvervsministeren kan for virksomheder som nævnt i § 1, stk. 1, nr. 1-12, 18 og 22-26, fastsætte regler om disse virksomheders pligt til at offentliggøre oplysninger om Finanstilsynets vurdering af virksomheden og om, at Finanstilsynet har mulighed for at offentliggøre oplysningerne før virksomheden.
6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«.
6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«.
§ 54. Har en virksomhed eller person omfattet af § 1, stk. 1, nr. 1-12, 18 og 22-26, videregivet oplysninger om virksomheden eller personen, og er disse kommet offentligheden til kendskab, kan Finanstilsynet påbyde virksomheden eller personen at offentliggøre berigtigende oplysninger inden for en af Finanstilsynet fastsat frist, hvis oplysningerne efter Finanstilsynets vurdering er misvisende, og hvis Finanstilsynet vurderer, at oplysningerne kan have skadevirkning for virksomhedens eller personens kunder, indskydere, øvrige kreditorer, de finansielle markeder, hvorpå aktierne i virksomheden eller værdipapirer udstedt af virksomheden handles, eller den finansielle stabilitet generelt.
6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«.
6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52, 53 og § 54, stk. 1, udgår »-26«.
Stk. 2. Berigtiger virksomheden eller personen omfattet af § 1, stk. 1, nr. 1-13, 19, og 23-27, ikke oplysningerne i overensstemmelse med Finanstilsynets påbud og inden for den af Finanstilsynet fastsatte frist, kan Finanstilsynet 486 offentliggøre påbuddet, der er meddelt efter stk. 1.
17. I § 54, stk. 2, ændres: »1-13, 19 og 23-27« til: »1-12, 18 og 22«.
17. I § 54, stk. 2, ændres: »1-13, 19 og 23-27« til: »1-12, 18 og 22«.
§ 78. Overtrædelse af § 55, stk. 4, 1.-4. pkt., og stk. 5, 3.-7. pkt., straffes med bøde. Forsætlig eller grov uagtsom overtrædelse af §§ 5 og 5 a, § 6, stk. 1, 2. pkt., § 6 a, § 7, stk. 1 og 2, § 8, stk. 1-4 og 6, §§ 9 og 10, § 11, stk. 1 og 2 og stk. 3, 1., 3. og 4. pkt., § 12, § 14, stk. 1, stk. 2, 2. pkt., stk. 3, stk. 4, 2. pkt., og stk. 5, §§ 15 og 16, § 17, stk. 1-4, §§ 18-20, § 21, stk. 1, 2. pkt., § 22, stk. 2 og 3, § 24, stk. 1, 2. pkt., stk. 2 og 3, § 25, stk. 1-3, § 26, stk. 1 og 3, stk. 4, 1. pkt., og stk. 6, 1. pkt., § 29, stk. 4 og 6, §§ 30 og 31, § 31 b, stk. 1, § 32, § 35, stk. 1, § 35 a, stk. 1, § 36, stk. 1 og 2, § 36 a, § 38, stk. 1, §§ 40, 43 og 44, § 45, stk. 2, § 48, stk. 1 og 2, § 49, stk. 1 og 2, § 57, stk. 2, § 58, stk. 1, § 59, stk. 1, og § 65, stk. 2, og artikel 4-8, 10-12 og 16 i Europa-Parlamentets og Rådets forordning 2015/847/EU af 20. maj 2015 om oplysninger, der skal medsendes ved pengeoverførsler, samt artikel 6, stk. 1, i Rådets forordning 2001/1338/EF af 28. juni 2001 om fastlæggelse af de foranstaltninger, der er nødvendige for at beskytte euroen mod falskmøntneri, som ændret ved forordning 2009/44/EF, jf. Rådets forordning 2001/1339/EF af 28. juni 2001 om udvidelse af virkningerne af forordning 2001/1338/EF om fastlæggelse af de foranstaltninger, der er nødvendige for at beskytte euroen mod falskmøntneri, til også at omfatte de medlemsstater, der ikke har indført euroen som fælles valuta, straffes med bøde, medmindre højere straf er forskyldt efter straffelovens regler.
18. I § 78, stk. 1, 2. pkt., ændres »§ 48, stk. 1 og 2,« til: »§ 48, stk. 1,«.
18. I § 78, stk. 1, 2. pkt., ændres »§ 48, stk. 1 og 2,« til: »§ 48, stk. 1,«.
19. I § 85 indsættes som stk. 4:
19. I § 85 indsættes som stk. 4:
»Stk. 4. De dele af §§ 59 og 60, som i medfør af stk. 1 er sat i kraft for Grønland, kan ved kongelig anordning sættes helt eller delvis i kraft på ny for Grønland med de ændringer, som de grønlandske forhold tilsiger.«
I lov nr. 718 af 13. juni 2023 om forsikringsvirksomhed, som ændret ved § 9 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer:
Lov om forsikringsvirksomhed
§ 2. For finansielle holdingvirksomheder og forsikringsholdingvirksomheder finder § 67, stk. 1, § 82, kapitel 10, § 95, § 100, § 105, stk. 7, § 107, stk. 1, §§ 133, 139, 165, 170-172 og 174, kapitel 17, §§ 259-262 og 267-275, § 277, stk. 3, § 280, stk. 1, 2 og 5-8, og §§ 283, 284, 301-307, 309 og 312-319 anvendelse.
1. I § 2, stk. 1, ændres »139« til: »138«.
1. I § 2, stk. 1, ændres »139« til: »138«.
Overskriften. Fælles datacentraler
2. Overskriften før § 8 ophæves.
2. Overskriften før § 8 ophæves.
§ 8. For fælles datacentraler, jf. § 9, stk. 1, nr. 13, finder følgende regler desuden anvendelse:
§ 132, stk. 1, nr. 8, om betryggende kontrol- og sikringsforanstaltninger på it-området og regler herom udstedt efter § 132, stk. 2.
Regler om outsourcing udstedt i medfør af § 134, hvis de fælles datacentraler outsourcer it-opgaver, der udføres for virksomheder omfattet af lovens § 9, stk. 1.
Kapitel 27 om kommunikation.
Stk. 2. Kapitel 22 om tilsyn og kontrol m.v. og kapitel 28 om delegation og klage og regler udstedt i medfør af disse kapitler finder med de fornødne tilpasninger tilsvarende anvendelse for fælles datacentraler, jf. § 9, stk. 1, nr. 13.
Stk. 3. Finanstilsynet kan undtagelsesvis i særlige tilfælde og for en tidsbegrænset periode dispensere fra stk. 1 og 2. Dispensationen kan fornyes.
§ 9. I denne lov forstås ved:
Fælles datacentraler: Virksomheder, hvis væsentligste aktiviteter omfatter it-drifts- eller udviklingsopgaver for flere forsikringsselskaber, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder, og som overvejende er ejet af
4. § 9, stk. 1, nr. 13, ophæves.
4. § 9, stk. 1, nr. 13, ophæves.
Nr. 14-43 bliver herefter nr. 13-42.
a) et eller flere forsikringsselskaber, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder i forening eller
b) en eller flere foreninger, hvis medlemmer overvejende er forsikringsselskaber, forsikringsholdingvirksomheder eller sådanne virksomheders dattervirksomheder.
Stk. 2. I forsikringsselskaber, der har tilladelse til at udøve livsforsikringsvirksomhed, med en balancesum på over 30 mia. kr. og i forsikringsselskaber, der har tilladelse til at udøve skadesforsikringsvirksomhed, med en balancesum på over 4 mia. kr. skal mindst et medlem af bestyrelsen have ledelseserfaring fra et forsikringsselskab eller et relevant pengeinstitut eller realkreditinstitut.
5. I § 107, stk. 2, ændres »balancesum på over 4 mia. kr.« til: »bruttopræmieindtægt på over 4. mia. kr.,«.
5. I § 107, stk. 2, ændres »balancesum på over 4 mia. kr.« til: »bruttopræmieindtægt på over 4. mia. kr.,«.
Stk. 2. Det i stk. 1 anførte eksponeringsforbud finder ikke anvendelse i forbindelse med deltagelse i bestyrelserne for Danmarks Skibskredit A/S, Banker og Sparekassers Ungdomskontakt, LR Realkredit A/S, Bornholms Erhvervsfond, Grønlandsbanken A/S, regulerede markeder, clearingcentraler, værdipapircentraler, NASDAQ OMX Stockholm AB, NASDAQ OMX Helsinki Oy, IFU – Investeringsfonden for Udviklingslande, IØ – Investeringsfonden for Østlandene, Landbrugets FinansieringsBank A/S, Bankernes Kontantservice A/S, Fundcollect A/S, Fundconnect A/S og DLR Kredit A/S.
6. I § 123, stk. 2, udgår »Landbrugets FinansieringsBank A/S,«.
6. I § 123, stk. 2, udgår »Landbrugets FinansieringsBank A/S,«.
§ 134. Forsikringsselskaber kan outsource en proces, en tjenesteydelse eller en aktivitet, som selskaberne ellers selv ville udføre, til en tjenesteyder.
7. I § 134, stk. 1, indsættes som 2. pkt.:
7. I § 134, stk. 1, indsættes som 2. pkt.:
»1. pkt. finder ikke anvendelse for outsourcing på det digitale operationelle område.«
Stk. 7. Stk. 2-4 og regler fastsat i medfør af stk. 6 gælder ikke for virksomhedernes autentifikation af brugere ved anvendelse af MitID-løsningen, jf. lov om MitID og NemLog-in.
8. § 134, stk. 7, ophæves.
8. § 134, stk. 7, ophæves.
Stk. 13. Finanstilsynet fastsætter bestemmelser om revisionens gennemførelse i forsikringsselskaber og i forsikringsselskabers dattervirksomheder, herunder om intern revision og om systemrevisionens gennemførelse i fælles datacentraler.
9. I § 193, stk. 13, udgår »og om systemrevisionens gennemførelse i fælles datacentraler«.
9. I § 193, stk. 13, udgår »og om systemrevisionens gennemførelse i fælles datacentraler«.
Stk. 6. § 238, stk. 2, § 239, stk. 4, § 242, 2. pkt., § 256, stk. 2, § 257, stk. 4, § 260, 2. pkt., § 274, stk. 3, § 277, 2. pkt., § 294, stk. 3, og § 297, 2. pkt., i selskabsloven finder ikke anvendelse ved bestandsoverdragelser omfattet af stk. 1.
10. I § 195, stk. 6, udgår »§ 274, stk. 3,« og »§ 294, stk. 3,«.
10. I § 195, stk. 6, udgår »§ 274, stk. 3,« og »§ 294, stk. 3,«.
§ 253. Bestemmelserne i § 242, nr. 2, og § 158, stk. 2, finder ikke anvendelse ved stiftelse af gensidige selskaber, der har tilladelse til at udøve skadesforsikringsvirksomhed, med begrænset formål, jf. § 251.
11. I § 253 ændres »§ 158, stk. 2« til: »§ 156, stk. 2«.
11. I § 253 ændres »§ 158, stk. 2« til: »§ 156, stk. 2«.
Stk. 2. Finanstilsynet påser endvidere overholdelsen af følgende:
12. I § 259, stk. 2, indsættes som nr. 10:
12. I § 259, stk. 2, indsættes som nr. 10:
»10) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.«
Stk. 7. Finanstilsynet kan af egen drift eller efter ansøgning tilbagekalde et påbud meddelt efter stk. 2, 3 eller 5, når der er tale om et bestyrelsesmedlem. Afslår Finanstilsynet en ansøgning om tilbagekaldelse, kan ansøgeren forlange afslaget indbragt for domstolene. Anmodning herom skal indgives til Finanstilsynet, inden 4 uger efter at afslaget er meddelt den pågældende. Anmodning om domstolsprøvelse kan dog kun fremsættes, hvis påbuddet ikke er tidsbegrænset og der er forløbet mindst 5 år fra datoen for udstedelsen af påbuddet, eller mindst 2 år efter at Finanstilsynets afslag på tilbagekaldelse er stadfæstet ved dom.
13. I § 280, stk. 7, 1. pkt., ændres »stk. 2, 3 eller 5« til: »stk. 2, 3 eller stk. 4, 3. pkt.«
13. I § 280, stk. 7, 1. pkt., ændres »stk. 2, 3 eller 5« til: »stk. 2, 3 eller stk. 4, 3. pkt.«
§ 289. § 285, stk. 1, er ikke til hinder for, at fortrolige oplysninger videregives til følgende:
14. I § 289, stk. 1, indsættes som nr. 14:
14. I § 289, stk. 1, indsættes som nr. 14:
»14) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.«
§ 302. Som part i forhold til Finanstilsynet anses forsikringsselskabet, forsikringsholdingvirksomheden, det udenlandske forsikringsselskab eller den udenlandske forsikringsholdingvirksomhed, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af denne lov, forskrifter fastsat i medfør af denne lov og forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2009/138/EF af 25. november 2009 om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), jf. dog stk. 2 og 3, og Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf.
15. I § 302, stk. 1, ændres »jf. dog stk. 2 og 3, og Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf« til: »Europa-Parlamentets og Rådets forordning (EU) 2019/2088 af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning (EU) 2020/852 af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf, jf. dog stk. 2 og 3«.
15. I § 302, stk. 1, ændres »jf. dog stk. 2 og 3, og Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf« til: »Europa-Parlamentets og Rådets forordning (EU) 2019/2088 af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning (EU) 2020/852 af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf, jf. dog stk. 2 og 3«.
§ 309. Afgørelser truffet af Finanstilsynet eller Erhvervsstyrelsen kan af den, som afgørelsen retter sig til, indbringes for Erhvervsankenævnet, senest 4 uger efter at afgørelsen er meddelt den pågældende i henhold til følgende:
16. I § 309, stk. 1, indsættes som nr. 9:
16. I § 309, stk. 1, indsættes som nr. 9:
»9) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.«
§ 310. Erhvervsministeren kan fastsætte regler, som er nødvendige for at anvende eller gennemføre de afgørelser eller retsakter, som vedtages af Europa-Kommissionen i medfør af følgende:
17. I § 310 indsættes som nr. 9:
17. I § 310 indsættes som nr. 9:
»9) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.«
§ 312. Med bøde straffes overtrædelse af følgende bestemmelser, medmindre højere straf er forskyldt efter den øvrige lovgivning
18. I § 312, stk. 1, indsættes som nr. 3:
18. I § 312, stk. 1, indsættes som nr. 3:
»3) Artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.«
Stk. 2. Med bøde eller fængsel indtil 4 måneder straffes overtrædelse af følgende bestemmelser, medmindre højere straf er forskyldt efter den øvrige lovgivning:
§ 14, stk. 1, § 37, 2. pkt., § 38, stk. 1-4, § 47, 2. pkt., § 54, stk. 1 og 2, § 61, stk. 1, 5 og 6, § 62, 1. pkt., § 63, stk. 1, §§ 64 og 82, § 84, stk. 1, 2. pkt., og stk. 2, § 87, stk. 1, §§ 91 og 92, § 94, stk. 1, 2 og 4, § 96, stk. 1, § 97, stk. 1-4, § 98, stk. 1 og 2, § 99, § 101, stk. 1, § 105, stk. 5, jf. stk. 1, nr. 3 og 4, § 105, stk. 3, § 106, § 117, stk. 1 og 5, §§ 118-120, § 127, stk. 3, jf. § 105, stk. 5, jf. stk. 1, nr. 3 og 4, § 138, § 154, stk. 1-3, § 155, stk. 1, § 156, stk. 1 og 4, § 158, stk. 1, § 159, stk. 1, § 160, stk. 1, § 165, stk. 1, § 173, stk. 1 og 2, § 188, § 189, stk. 1 og 2, § 194, § 195, stk. 1, § 200, stk. 1, § 223, stk. 1 og 4, § 224, stk. 1, § 225, stk. 1, § 258, stk. 1, § 269, stk. 2, og § 333, stk. 1, 2 og 4.
19. I § 312, stk. 2, nr. 1, indsættes efter »§ 101, stk. 1, § 105, stk. 5, jf. stk. 1, nr. 3 og 4,«: »§ 125,«.
19. I § 312, stk. 2, nr. 1, indsættes efter »§ 101, stk. 1, § 105, stk. 5, jf. stk. 1, nr. 3 og 4,«: »§ 125,«.
§ 313. Med bøde straffes et forsikringsselskab eller en forsikringsholdingvirksomhed, der ikke efterkommer et påbud, der er givet i medfør af § 46, stk. 2, § 59, § 154, stk. 4, § 159, § 273, stk. 1, 1. pkt., § 274, stk. 1, § 275, stk. 2, eller § 277, stk. 1, eller som overtræder § 112, stk. 1, i selskabsloven.
20. I § 313, stk. 1, ændres »§ 275, stk. 2,« til: »§ 275«.
20. I § 313, stk. 1, ændres »§ 275, stk. 2,« til: »§ 275«.
I lov om forsikringsformidling, jf. lovbekendtgørelse nr. 337 af 11. marts 2022, som ændret ved § 10 i lov nr. 570 af 10. maj 2022, § 4 i lov nr. 480 af 12. maj 2023, § 338 i lov nr. 718 af 13. juni 2023 og § 2 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer:
Lov om forsikringsformidling
§ 22. Finanstilsynet påser overholdelsen af denne lov bortset fra § 18 og påser overholdelsen af regler udstedt i medfør af loven. Finanstilsynet påser endvidere overholdelsen af Europa-Parlamentets og Rådets forordning 1286/2014/EU af 26. november 2014 om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP’er), Europa-Parlamentets og Rådets forordning 2019/1238/EU af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt), Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf og forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2016/97 af 20. januar 2016 om forsikringsdistribution.
1. I § 22, stk. 1, 2. pkt., indsættes efter »finansielle tjenesteydelser«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
1. I § 22, stk. 1, 2. pkt., indsættes efter »finansielle tjenesteydelser«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
Stk. 6. Stk. 1 er ikke til hinder for, at fortrolige oplysninger videregives til:
2. I § 31, stk. 6, indsættes som nr. 18:
2. I § 31, stk. 6, indsættes som nr. 18:
»18) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.«
§ 33. Tilsynsreaktioner givet efter § 22, stk. 2, jf. § 345, stk. 12, nr. 4, i lov om finansiel virksomhed, og tilsynsreaktioner givet efter delegation fra Finanstilsynets bestyrelse til en virksomhed omfattet af denne lov skal offentliggøres med angivelse af virksomhedens navn, jf. dog stk. 4. Virksomheden skal offentliggøre oplysningerne på sin eventuelle hjemmeside på et sted, hvor de naturligt hører hjemme, hurtigst muligt, og senest 3 hverdage efter at virksomheden har modtaget underretning om reaktionen, eller senest på tidspunktet for offentliggørelse påkrævet efter lov om kapitalmarkeder. Samtidig med offentliggørelsen skal virksomheden indsætte et link, som giver direkte adgang til reaktionen, på forsiden af virksomhedens hjemmeside på en synlig måde, og det skal af linket og en eventuel tilknyttet tekst tydeligt fremgå, at der er tale om en reaktion fra Finanstilsynet. Kommenterer virksomheden på reaktionen, skal dette ske i forlængelse af denne, og kommentarerne skal være klart adskilt fra reaktionen. Fjernelse af linket på forsiden og informationerne fra virksomhedens eventuelle hjemmeside skal finde sted efter samme principper, som virksomheden anvender for øvrige meddelelser, dog tidligst når linket og informationerne har ligget på hjemmesiden i 3 måneder, og tidligst efter førstkommende generalforsamling eller repræsentantskabsmøde. Virksomhedens pligt til at offentliggøre oplysningerne på virksomhedens hjemmeside gælder kun for oplysninger om juridiske personer. Finanstilsynet skal offentliggøre oplysningerne på Finanstilsynets hjemmeside. Reaktioner givet i henhold til § 22, stk. 2, jf. § 345, stk. 12 nr. 6, i lov om finansiel virksomhed, og Finanstilsynets beslutninger om at overgive sager efter denne lov eller regler udstedt i medfør af loven eller efter forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2016/97 af 20. januar 2016 om forsikringsdistribution til politimæssig efterforskning skal offentliggøres som resumé på Finanstilsynets hjemmeside med angivelse af virksomhedens navn, jf. dog stk. 4. Indbringes reaktionen, der offentliggøres i henhold til 1. pkt., for Erhvervsankenævnet eller domstolene, skal dette fremgå af Finanstilsynets offentliggørelse, og det efterfølgende resultat af Erhvervsankenævnets eller domstolenes afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt.
3. I § 33, stk. 1, indsættes som efter 7. pkt. som nyt punktum:
3. I § 33, stk. 1, indsættes som efter 7. pkt. som nyt punktum:
»Reaktioner givet i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og forordninger udstedt i medfør heraf, skal offentliggøres på Finanstilsynets hjemmeside med angivelse af virksomhedens navn.«
4. I § 33, stk. 1, 8. pkt., der bliver 9. pkt., indsættes efter »af loven «: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf«.
4. I § 33, stk. 1, 8. pkt., der bliver 9. pkt., indsættes efter »af loven «: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf«.
5. I § 33, stk. 1, 9. pkt., der bliver 10. pkt., ændres »1. pkt.« til: »1. eller 8. pkt.«
5. I § 33, stk. 1, 9. pkt., der bliver 10. pkt., ændres »1. pkt.« til: »1. eller 8. pkt.«
§ 36. Som part i forhold til Finanstilsynet anses virksomheder eller personer omfattet af denne lov, som Finanstilsynet har truffet eller vil træffe afgørelse over for i medfør af denne lov eller forskrifter fastsat i medfør af denne lov eller i medfør af Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser eller regler udstedt i medfør heraf, jf. dog stk. 2.
6. I § 36, stk. 1, indsættes efter »Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
6. I § 36, stk. 1, indsættes efter »Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
§ 37. Afgørelser truffet af Finanstilsynet i henhold til denne lov, regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning (EU) 1286/2014 af 26. november 2014 om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP’er), Europa-Parlamentets og Rådets forordning (EU) 2019/1238 af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt), forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2016/97 af 20. januar 2016 om forsikringsdistribution eller i henhold til Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser eller regler udstedt i medfør heraf kan indbringes for Erhvervsankenævnet af den, som afgørelsen retter sig mod, senest 4 uger efter at afgørelsen er meddelt den pågældende.
7. I § 37 indsættes efter »tjenesteydelser«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
7. I § 37 indsættes efter »tjenesteydelser«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.
Stk. 2. Overtrædelse af § 8, § 13, stk. 1 og 2, § 17, stk. 1, § 18, stk. 1, § 18 a, stk. 1, § 19, stk. 3, jf. § 19, stk. 1 og 2, § 19, stk. 4, jf. § 19, stk. 1, § 20, stk. 5, jf. § 20, stk. 1-4, § 20, stk. 6, jf. § 20, stk. 1, artikel 5, stk. 1, artikel 6 og 7, artikel 8, stk. 1-3, artikel 9, artikel 10, stk. 1, artikel 13, stk. 1, 3 og 4, og artikel 14 og 19 i Europa-Parlamentets og Rådets forordning 1286/2014/EU om dokumenter med central information om sammensatte og forsikringsbaserede investeringsprodukter til detailinvestorer (PRIIP’er) og artikel 7, 18, 22-25, 33, 34 og 50 i Europa-Parlamentets og Rådets forordning 2019/1238/EU af 20. juni 2019 om et paneuropæisk personligt pensionsprodukt (PEPP-produkt) straffes med bøde.
8. I § 42, stk. 2, ændres »(PRIIP’er) og« til: »(PRIIP’er),«, og efter »(PEPP-Produkt)« indsættes: », og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.
8. I § 42, stk. 2, ændres »(PRIIP’er) og« til: »(PRIIP’er),«, og efter »(PEPP-Produkt)« indsættes: », og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.
I lov om en garantifond for skadesforsikringsselskaber, jf. lovbekendtgørelse nr. 2067 af 12. november 2021, som ændret ved § 1 i lov nr. 480 af 12. maj 2023, § 339 i lov nr. 718 af 13. maj 2023 og ved § 3 i 1546 af 12. december 2023, foretages følgende ændringer:
Lov om en garantifond for skadesforsikringsselskaber
»§ 12 a. Fondens bestyrelse skal indgå aftale med et forsikringsselskab som administrationsselskab som en del af at antage fornøden medhjælp efter § 12, stk. 1.
Stk. 2. Fonden skal skriftligt orientere Finanstilsynet, når en aftale efter stk. 1 er indgået. Fonden skal ligeledes skriftligt orientere Finanstilsynet, hvis Fonden ikke kan indgå en aftale efter stk. 1.
Stk. 3. Kan Fondens bestyrelse ikke indgå aftale med et forsikringsselskab som administrationsselskab efter stk. 1, skal Finanstilsynet udnævne et forsikringsselskab som administrationsselskab for Fonden, der opfylder følgende kriterier:
1) Forsikringsselskabet har fået Finanstilsynets tilladelse til at drive forsikringsvirksomhed til forsikringsklasse 1, 3, 6, 8-10, 12, 13, og 16-18 i bilag 1 i lov om forsikringsvirksomhed.
2) Forsikringsselskabet har i henhold til seneste godkendte årsrapport haft en årlig bruttopræmieindtægt på minimum 2 mia. kr.
3) Forsikringsselskabet har i de to seneste regnskabsår på balancetidspunktet i gennemsnit haft 125 eller flere fuldtidsansatte.
4) Forsikringsselskabet overholder solvenskapitalkravet, der er fastsat for forsikringsselskabet.
5) Forsikringsselskabet har minimum en markedsandel i Danmark på 3 pct. målt på bruttopræmie.
Stk. 4. Opfylder flere forsikringsselskaber kriterierne i stk. 3, skal Finanstilsynet udnævne et administrationsselskab for Fonden på baggrund af en rotationsordning. Finanstilsynet skal i sin afgørelse inddrage relevante forhold relateret til de omfattede forsikringsselskaber i sin vurdering af, hvilket forsikringsselskab, der skal udnævnes som administrationsselskab, herunder om et forsikringsselskab tidligere har fungeret som administrationsselskab for Fonden.
Stk. 5. Finanstilsynet skal udnævne et forsikringsselskab efter stk. 3, for en periode på 48 måneder, jf. dog stk. 7.
Stk. 6. Finanstilsynet kan, medmindre særlige forhold taler herfor, ikke udnævne et forsikringsselskab som administrationsselskab i to af hinanden efterfølgende perioder.
Stk. 7. Hvis der i perioden, jf. stk. 5, opstår en konkurs i et forsikringsselskab, skal Fondens bestyrelse i henhold til stk. 1 indgå aftale med et nyt forsikringsselskab som administrationsselskab. Det forsikringsselskab, der på tidspunktet for konkursens indtræden er udnævnt som administrationsselskab, skal bistå Fonden indtil sagsbehandlingen af konkursen er afsluttet, uanset om perioden på 48 måneder i mellemtiden måtte være ophørt.
Stk. 8. Indgår Fondens bestyrelse aftale efter stk. 1, med et forsikringsselskab om at varetage opgaven som administrationsselskab for Fonden efter udløb af en periode, jf. stk. 5, og indtræder der en konkurs i et forsikringsselskab inden den igangværende periode, jf. stk. 5, udløber, skal forsikringsselskabet, som Fondens bestyrelse har indgået aftale med, overtage opgaven som administrationsselskab på tidspunktet for konkursens indtræden.
Stk. 9. Fonden skal betale vederlag til et administrationsselskab udnævnt af Finanstilsynet. Vederlaget fastlægges efter forhandling mellem parterne. Er det ikke muligt for parterne at blive enig om størrelsen på vederlaget, skal Finanstilsynet fastsætte vederlagets størrelse på baggrund af et oplæg fra Fonden.
Stk. 10. Et administrationsselskab, der er udnævnt af Finanstilsynet, jf. stk. 3, skal varetage de opgaver, der fremgår af Fondens udbudsmateriale eller andet dokument indeholdende Fondens specificering af opgaverne.«
2. Efter § 17 indsættes i kapitel 10:
2. Efter § 17 indsættes i kapitel 10:
»§ 17 a. Afgørelser truffet af Finanstilsynet i medfør af § 12 a, stk. 3 og stk. 9, 3. pkt., kan indbringes for Erhvervsankenævnet senest 4 uger efter, at afgørelsen er meddelt det pågældende forsikringsselskab.«
I lov nr. 405 af 25. april 2023 om Kreditforeningen af kommuner og regioner i Danmark foretages følgende ændringer:
Lov om Kreditforeningen af kommuner og regioner i Danmark
§ 21. Finanstilsynet påser overholdelsen af denne lov og de regler, der er udstedt i medfør af loven, bortset fra § 3, stk. 1, 1. pkt., § 4 og § 20.
1. I § 21, stk. 1, indsættes som 2. pkt.:
1. I § 21, stk. 1, indsættes som 2. pkt.:
»Finanstilsynet påser endvidere overholdelsen af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.«
2. I § 22 indsættes som stk. 2 og 3:
2. I § 22 indsættes som stk. 2 og 3:
»Stk. 2. § 354 e i lov om finansiel virksomhed finder tilsvarende anvendelse på foreningen for sager om overtrædelse af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.
Stk. 3. § 372 a i lov om finansiel virksomhed finder tilsvarende anvendelse på foreningen for regler, som er nødvendige for at anvende eller gennemføre de afgørelser eller retsakter, som vedtages af Europa-Kommissionen i medfør af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.«
Stk. 2. Overtrædelse af § 10, jf. § 64 e, stk. 1, § 70, stk. 1-4, og § 71, stk. 1 og 2, i lov om finansiel virksomhed, § 12, § 13, stk. 1, jf. artikel 412, stk. 1 og 2, og artikel 415, stk. 1 og 2, i Europa-Parlamentets og Rådets forordning (EU) om tilsynsmæssige krav til kreditinstitutter og investeringsselskaber, §§ 14 og 16 og § 18, stk. 2, jf. § 183 stk. 1, 1. pkt., og stk. 5, § 184, stk. 1, § 185, stk. 1 og 3 og stk. 4, 1. pkt., §§ 186 og 187, § 188, stk. 1 og stk. 2, 1. pkt., §§ 189 og 190, § 191, stk. 1-3, § 192, 1. pkt., § 193, 1. pkt., § 198, stk. 1, og § 199, stk. 2 og 6, i lov om finansiel virksomhed, straffes med bøde.
3. I § 25, stk. 2, indsættes efter »§ 199, stk. 2 og 6, i lov om finansiel virksomhed,«: »og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.
3. I § 25, stk. 2, indsættes efter »§ 199, stk. 2 og 6, i lov om finansiel virksomhed,«: »og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.
I lov om et skibsfinansieringsinstitut, jf. lovbekendtgørelse nr. 646 af 18. maj 2022 foretages følgende ændring:
Lov om et skibsfinansieringsinstitut
§ 14. Overtrædelse af § 1, stk. 2, § 2 d, stk. 1, § 2 e, stk. 1, 2. og 3. pkt., § 2 h, stk. 1, 2 og 4, og § 3, 2. pkt., straffes med bøde, medmindre højere straf er forskyldt efter anden lovgivning. På samme måde straffes overtrædelse af meddelelsespligten i § 2 i, stk. 1, 1. pkt.
1. I § 14, stk. 1, 1. pkt., indsættes efter »§ 3, 2. pkt.,«: »og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.
1. I § 14, stk. 1, 1. pkt., indsættes efter »§ 3, 2. pkt.,«: »og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.
I lov nr. 871 af 21. juni 2022 om Danmarks Eksport- og Investeringsfond foretages følgende ændring:
Lov om Danmarks Eksport- og Investeringsfond
§ 15. Lov om offentlighed i forvaltningen, lov om Folketingets Ombudsmand, forvaltningsloven og arkivloven finder ikke anvendelse for Danmarks Eksport- og Investeringsfond og dennes selvstændige offentlige dattervirksomheder og øvrige datterselskaber samt enheder forvaltet af Danmarks Eksport- og Investeringsfond eller Danmarks Eksport- og Investeringsfonds selvstændige offentlige dattervirksomheder, for så vidt angår aktiviteter udøvet i medfør af kapitel 2.
1. I § 15 indsættes efter stk. 1 som nyt stykke:
1. I § 15 indsættes efter stk. 1 som nyt stykke:
»Stk. 2. Europa-Parlamentets og Rådets forordning (EU) 2022/2254 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor finder ikke anvendelse for Danmarks Eksport- og Investeringsfond og dennes selvstændige offentlige dattervirksomheder og øvrige datterselskaber samt enheder forvaltet af Danmarks Eksport- og Investeringsfond eller Danmarks Eksport- og Investeringsfonds selvstændige offentlige dattervirksomheder.«
Stk. 2 og 3 bliver herefter stk. 3 og 4.
I straffeloven, jf. lovbekendtgørelse nr. 1360 af 28. september 2022, som ændret senest ved § 1 i lov nr. 1786 af 28. december 2023, foretages følgende ændring:
§ 299 d. Med fængsel indtil 6 år straffes den, der under særligt skærpende omstændigheder gør sig skyldig i
1. I § 299 d, stk. 1, indsættes før nr. 1 som nyt nummer:
1. I § 299 d, stk. 1, indsættes før nr. 1 som nyt nummer:
»1) overtrædelse af artikel 89, stk. 2, eller artikel 91, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver,«.
Nr. 1-3 bliver herefter nr. 2-4.
I retsplejeloven, jf. lovbekendtgørelse nr. 1655 af 25. december 2022, som ændret senest ved § 3 i lov nr. 1786 af 28. december 2023, foretages følgende ændring:
Stk. 7. Politiet kan træffe afgørelser om pålæg om edition af oplysninger om transaktioner, konti, depoter, bokse el.lign. fra virksomheder eller personer, der er omfattet af § 1, stk. 1, nr. 1-12 eller 18-26, i lov om forebyggende foranstaltninger mod hvidvask af udbytte og finansiering af terrorisme. Politiet kan i afgørelsen om pålæg om edition efter 1. pkt. bestemme, at der fra virksomheder og personer, der er omfattet af § 1 i lov om forebyggende foranstaltninger mod hvidvask af udbytte og finansiering af terrorisme, kan indhentes oplysninger, som de pågældende har rådighed over, om transaktioner på en konto, hvortil der er overført midler ved en transaktion, som er omfattet af afgørelsen om edition, eller ved en transaktion, der udspringer af en transaktion, som er omfattet af afgørelsen om edition. Stk. 4, 2. pkt., finder tilsvarende anvendelse. Politiets afgørelser efter dette stykke skal være skriftlige og ledsaget af grunde.
1. I § 806, stk. 7, 1. pkt., ændres »§ 1, stk. 1, nr. 1-12 eller 18-26« til: »§ 1, stk. 1, nr. 12 eller 18-22«.
1. I § 806, stk. 7, 1. pkt., ændres »§ 1, stk. 1, nr. 1-12 eller 18-26« til: »§ 1, stk. 1, nr. 12 eller 18-22«.
Officielle noter
1) Loven indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014, EU-Tidende 2014, nr. L 173, side 349, dele af Europa-Parlamentets og Rådets direktiv (EU) 2019/2177 af 18. december 2019 om ændring af direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), direktiv 2014/65/EU om markeder for finansielle instrumenter og af direktiv (EU) 2015/849 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme (omnibusdirektivet), EU-Tidende 2019, L 334, side 155, dele af Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 af 25. november 2015 om betalingstjenester i det indre marked, EU-tidende 2015, L 337, side 35, dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, EU-Tidende 2022, nr. L 333, side 80-152, og dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2556 af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163. I loven er der medtaget visse bestemmelser fra Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, EU-Tidende 2023, L 150, side 40. Ifølge artikel 288 i EUF-Traktaten gælder en forordning umiddelbart i hver medlemsstat. Gengivelsen af disse bestemmelser i loven er således udelukkende begrundet i praktiske hensyn og berører ikke forordningens umiddelbare gyldighed i Danmark.