Digital operativ motståndskraft för finanssektorn

Prop. 2024/25:44 Innehållsförteckning
1	Förslag till riksdagsbeslut .................................................................	6
2	Lagtext ..............................................................................................	7

	2.1	Förslag till lag med kompletterande bestämmelser
		till EU:s förordning om digital operativ
		motståndskraft för finanssektorn ........................................		7
	2.2	Förslag till lag om ändring i lagen (1967:531) om
		tryggande av pensionsutfästelse m.m. ..............................		14
	2.3	Förslag till lag om ändring i trafikskadelagen
		(1975:1410) ......................................................................		16
	2.4	Förslag till lag om ändring i lagen (1980:1097) om
		Svenska skeppshypotekskassan........................................		18
	2.5	Förslag till lag om ändring i lagen (1998:1479) om
		värdepapperscentraler och kontoföring av finansiella
		instrument.........................................................................		19
	2.6	Förslag till lag om ändring i lagen (2004:46) om
		värdepappersfonder ..........................................................		21
	2.7	Förslag till lag om ändring i lagen (2004:297) om
		bank- och finansieringsrörelse..........................................		25
	2.8	Förslag till lag om ändring i lagen (2007:528) om
		värdepappersmarknaden...................................................		32
	2.9	Förslag till lag om ändring i lagen (2010:751) om
		betaltjänster ......................................................................		42
	2.10	Förslag till lag om ändring i försäkringsrörelselagen
		(2010:2043) ......................................................................		46
	2.11	Förslag till lag om ändring i lagen (2011:755) om
		elektroniska pengar ..........................................................		49
	2.12	Förslag till lag om ändring i lagen (2013:561) om
		förvaltare av alternativa investeringsfonder .....................		52
	2.13	Förslag till lag om ändring i lagen (2018:1219) om
		försäkringsdistribution .....................................................		54
	2.14	Förslag till lag om ändring i lagen (2019:742) om
		tjänstepensionsföretag ......................................................		56
3	Ärendet och dess beredning ............................................................			61
4	EU:s förordning om digital operativ motståndskraft för
	finanssektorn ...................................................................................			62
	4.1	Bakgrund och förordningens syfte ...................................		62
	4.2	Andra EU-rättsakter om ökad motståndskraft ..................		62
	4.3	Tillämpningsområde.........................................................		64
	4.4	Centrala termer och uttryck i förordningen ......................		65
		4.4.1	Digital operativ motståndskraft .......................	65
		4.4.2	IKT-tjänster .....................................................	66
		4.4.3	Finansiell entitet ..............................................	66
		4.4.4	Tredjepartsleverantör av IKT-tjänster .............	66
		4.4.5	Kritisk tredjepartsleverantör av IKT-
			tjänster .............................................................	66
		4.4.6	IKT-risk...........................................................	66
2		4.4.7	IKT-tredjepartsrisk ..........................................	66

	4.4.8	Hotbildsstyrd penetrationstestning .................	67	Prop. 2024/25:44
4.5	IKT-riskhantering............................................................		67
4.6	Testning av digital operativ motståndskraft ....................		67
4.7	Hantering av IKT-tredjepartsrisker .................................		68
4.8	Det fortsatta arbetet inom EU..........................................		68
	4.8.1	Ytterligare bestämmelser................................	68
	4.8.2	Kommande utvärdering ..................................	69
5 Kompletterande bestämmelser i nationell rätt................................			69
5.1	En ny lag införs ...............................................................		69
5.2	Finansinspektionen är behörig myndighet.......................		72
5.3	Svenska skeppshypotekskassan.......................................		73
5.4	Hänvisningar till DORA-förordningen............................		73

5.5Förhållandet till nationella bestämmelser om

		säkerhet............................................................................	74
	5.6	Rapportering och anmälan till Finansinspektionen .........	77
6	IKT-relaterade incidenter och cyberhot .........................................		78
7	Hotbildsstyrda penetrationstester ...................................................		81
	7.1	Ansvariga myndigheter ...................................................	81

7.2Samverkan mellan Finansinspektionen och

		Riksbanken ......................................................................	85
	7.3	Uppgiftsskyldighet för finansiella entiteter .....................	87
8	IKT-tredjepartsrisker......................................................................		88
9	Tillsyn	............................................................................................	90
	9.1	Tillsynens omfattning......................................................	90
	9.2	Rätt att få tillgång till dokument och information ...........	91
	9.3	Rätt att utföra platsundersökningar..................................	93

9.4Finansinspektionens uppföljning av den ledande

tillsynsmyndighetens rekommendationer ........................	94
10 Ingripanden ....................................................................................	95

10.1Överträdelser av DORA-förordningen bör inte

	kriminaliseras ..................................................................		95
10.2	Ingripanden mot finansiella entiteter ...............................		96
	10.2.1	Ingripanden med stöd av befintliga
		bestämmelser i rörelselagar på
		finansmarknadsområdet..................................	96
	10.2.2	Ingripanden med stöd av
		kompletteringslagen .......................................	99

10.3Ingripanden mot vissa företrädare för finansiella

	entiteter..........................................................................	105
10.4	Beräkning av sanktionsavgift ........................................	111

10.5Omständigheter som ska vara styrande vid ett beslut

		om ingripande................................................................	117
	10.6	Betalning, preskription och verkställighet.....................	121
11	Sekretess ......................................................................................		122
12	Offentliggöranden av beslut.........................................................		129
13	Samarbete och informationsutbyte mellan myndigheter ..............		131

Prop. 2024/25:44

14	Informationsutbyte mellan finansiella entiteter.............................		132
15	Hantering av personuppgifter........................................................		134
16	Avgifter	.........................................................................................	136
	16.1	Finansinspektionens verksamhet ....................................	136
	16.2	Riksbankens verksamhet ................................................	137
17	Överklagande, beslut som ska gälla omedelbart och
	verkställighet.................................................................................		138
	17.1	Finansinspektionens beslut.............................................	138
	17.2	Riksbankens beslut .........................................................	140

17.3Verkställighet av den ledande tillsynsmyndighetens

		beslut om viten ...............................................................	141
18	Ändringsdirektivet ........................................................................		142
	18.1	EU-direktiv på finansmarknadsområdet som ändras......	142
	18.2	Ändringar som kräver lagstiftningsåtgärder ...................	143
	18.3	Ändringar som inte kräver lagstiftningsåtgärder ............	148
19	Några andra frågor om överklaganden av Finansinspektionens
	beslut	.............................................................................................	150

19.1Förordnande av sakkunnig i gränsöverskridande

		förfaranden .....................................................................	150
	19.2	Undantag från bosättningskrav.......................................	151
	19.3	Begränsad skyldighet att meddela trafikförsäkring ........	152
	19.4	Tillsyn över Svenska skeppshypotekskassan .................	153
20	Ikraftträdande- och övergångsbestämmelser.................................		154
21	Konsekvensanalys.........................................................................		155
22	Författningskommentar.................................................................		163

22.1Förslaget till lag med kompletterande bestämmelser till EU:s förordning om digital operativ

motståndskraft för finanssektorn ....................................

163

22.2Förslaget till lag om ändring i lagen (1967:531) om

tryggande av pensionsutfästelse m.m. ............................

189

22.3Förslaget till lag om ändring i trafikskadelagen

(1975:1410) ....................................................................

190

22.4Förslaget till lag om ändring i lagen (1980:1097) om

Svenska skeppshypotekskassan......................................

191

22.5Förslaget till lag om ändring i lagen (1998:1479) om

värdepapperscentraler och kontoföring av finansiella
instrument.......................................................................	192

22.6Förslaget till lag om ändring i lagen (2004:46) om

värdepappersfonder ........................................................

193

22.7Förslaget till lag om ändring i lagen (2004:297) om

bank och finansieringsrörelse .........................................

197

22.8Förslaget till lag om ändring i lagen (2007:528) om

värdepappersmarknaden.................................................

203

22.9Förslaget till lag om ändring i lagen (2010:751) om

	betaltjänster ....................................................................	212
22.10	Förslaget till lag om ändring i
	försäkringsrörelselagen (2010:2043)..............................	216

22.11Förslaget till lag om ändring i lagen (2011:755) om

elektroniska pengar........................................................

219

22.12Förslaget till lag om ändring i lagen (2013:561) om

förvaltare av alternativa investeringsfonder ..................

222

22.13Förslaget till lag om ändring i lagen (2018:1219) om

försäkringsdistribution...................................................

225

22.14Förslaget till lag om ändring i lagen (2019:742) om

	tjänstepensionsföretag ...................................................	226
Bilaga 1	Europaparlamentets och rådets förordning (EU)
	2022/2554 av den 14 december 2022 om digital
	operativ motståndskraft för finanssektorn och om
	ändring av förordningarna (EG) nr 1060/2009, (EU)
	nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014
	och (EU) 2016/1011 ......................................................	233
Bilaga 2	Europaparlamentets och rådets direktiv (EU)
	2022/2556 av den 14 december 2022 om ändring av
	direktiven 2009/65/EG, 2009/138/EG, 2011/61/EU,
	2013/36/EU, 2014/59/EU, 2014/65/EU, (EU)
	2015/2366 och (EU) 2016/2341 vad gäller digital
	operativ motståndskraft för finanssektorn .....................	312
Bilaga 3	Sammanfattning av promemorian .................................	323
Bilaga 4	Promemorians lagförslag...............................................	324
Bilaga 5	Förteckning över remissinstanserna ..............................	371
Bilaga 6	Lagrådsremissens lagförslag .........................................	372
Bilaga 7	Lagrådets yttrande .........................................................	426
Bilaga 8	Jämförelsetabell över genomförandet av
	ändringsdirektivet..........................................................	429
Utdrag ur protokoll vid regeringssammanträde den 24 oktober
	2024 ....................................................................................	434

Prop. 2024/25:44

Riksbanken

2 § Riksbanken ska övervaka och samordna de hotbildsstyrda penetra- tionstester som ska genomföras enligt artiklarna 26 och 27 i EU-förord- ningen.

Riksbanken ska utfärda sådana intyg som avses i artikel 26.7 i EU- förordningen.

Samverkan

3 § Finansinspektionen ska ge Riksbanken tillfälle att yttra sig innan Finansinspektionen fattar beslut enligt 1 §.

Riksbanken ska ge Finansinspektionen tillfälle att yttra sig innan Riksbanken fattar beslut om hotbildsstyrda penetrationstester som berör Finansinspektionens tillsynsverksamhet. Detta gäller inte om en sam- verkan skulle leda till att ett test onödigt fördröjs. I ett sådant fall ska Riksbanken underrätta Finansinspektionen om beslutet.

Finansinspektionen och Riksbanken ska lämna varandra de uppgifter som respektive myndighet behöver för samverkan.

Uppgiftsskyldighet

4 § På begäran av Riksbanken ska finansiella entiteter lämna de upp- gifter som är nödvändiga för Riksbankens verksamhet enligt 2 §.

Förelägganden

5 § Riksbanken får besluta om de förelägganden som behövs för att en finansiell entitet ska följa uppgiftsskyldigheten i 4 §.

Avgifter till Riksbanken

6 § Riksbanken får ta ut avgifter från de finansiella entiteter som genom- för hotbildsstyrda penetrationstester.

Riksbanken får meddela föreskrifter om avgifterna.

3 kap. Tillsyn

Tillsynens omfattning

1 § Finansinspektionen har tillsyn över att finansiella entiteter följer bestämmelserna i EU-förordningen, denna lag och andra författningar som har meddelats i anslutning till dessa.

Föreläggande om att lämna uppgifter

2 § För tillsynen enligt 1 § får Finansinspektionen besluta att förelägga

1.en fysisk eller juridisk person att tillhandahålla uppgifter, handlingar eller annat, och

2.den som förväntas kunna lämna upplysningar i saken att inställa sig till förhör på tid och plats som inspektionen bestämmer.

Första stycket gäller inte i den utsträckning uppgiftslämnandet skulle strida mot den i lag reglerade tystnadsplikten för advokater.

Platsundersökning	Prop. 2024/25:44
3 § Finansinspektionen får när det är nödvändigt för tillsynen enligt 1 §
genomföra en undersökning i verksamhetslokalerna hos en finansiell
entitet.

4 kap. Ingripanden

Ingripanden mot finansiella entiteter

1 § Finansinspektionen ska ingripa mot följande finansiella entiteter om de åsidosätter sina skyldigheter enligt EU-förordningen, denna lag eller andra författningar som har meddelats i anslutning till dessa:

1.Svenska skeppshypotekskassan,

2.en leverantör av kryptotillgångstjänster,

3.en emittent av tillgångsanknutna token,

4.en pensionsstiftelse,

5.en administratör av kritiska referensvärden,

6.en leverantör av gräsrotsfinansieringstjänster, och

7.ett transaktionsregister.

2 § Bestämmelser om ingripanden mot andra finansiella entiteter än de som anges i 1 § och som åsidosätter sina skyldigheter enligt EU-förord- ningen, denna lag eller andra författningar som har meddelats i anslutning till dessa finns i de lagar som reglerar den berörda verksamheten.

3 § Ett ingripande enligt 1 § mot Svenska skeppshypotekskassan sker genom beslut om föreläggande att inom en viss tid vidta en viss åtgärd eller upphöra med ett visst agerande.

4 § Ett ingripande enligt 1 § mot en emittent av tillgångsanknutna token, en pensionsstiftelse eller ett transaktionsregister sker genom beslut om

1.föreläggande att inom en viss tid vidta en viss åtgärd eller upphöra med ett visst agerande, eller

2.anmärkning.

5 § Ett ingripande enligt 1 § mot en leverantör av kryptotillgångstjänster, en administratör av kritiska referensvärden eller en leverantör av gräsrots- finansieringstjänster sker genom beslut om

1.föreläggande att inom en viss tid vidta en viss åtgärd eller upphöra med ett visst agerande, eller

2.anmärkning.

Om överträdelsen är allvarlig får den finansiella entitetens auktorisation återkallas eller, om det är tillräckligt, en varning meddelas.

6 § Ett ingripande får inte ske om en överträdelse omfattas av ett före- läggande som har förenats med vite och en ansökan om utdömande av vitet har gjorts.

7 § Om ett beslut om anmärkning eller varning enligt 4 eller 5 § har med-
delats, får Finansinspektionen besluta att den som har gjort sig skyldig till
överträdelsen ska betala en sanktionsavgift.	9

Prop. 2024/25:44	8 §	Om en auktorisation återkallas enligt 5 § får Finansinspektionen
	bestämma hur verksamheten ska avvecklas.
	Ett beslut om återkallelse får förenas med förbud att fortsätta med hela
	eller delar av verksamheten.
	Ingripanden mot vissa företrädare för finansiella entiteter
	9 § Finansinspektionen ska ingripa mot någon som ingår i styrelsen för
	en finansiell entitet som anges i 1 § 2–7 eller är dess verkställande direktör,
	eller ersättare för någon av dem, om den finansiella entiteten har åsidosatt
	sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14,
	16.1,	16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27,

28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i EU-förordningen.

Ett ingripande får ske genom en eller båda av följande sanktioner:

1. beslut att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i en sådan finansiell entitet som avses i första stycket, eller ersättare för någon av dem, eller

2. beslut om sanktionsavgift.

Ett ingripande får ske bara om den finansiella entitetens överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Sanktionsföreläggande

10 § Frågor om ingripande mot fysiska personer enligt 9 § tas upp av Finansinspektionen genom ett sanktionsföreläggande.

Ett sanktionsföreläggande innebär att den fysiska personen föreläggs att inom en viss tid godkänna en sanktion som är bestämd till tid eller belopp.

När ett sanktionsföreläggande har godkänts, gäller det som ett domstols- avgörande som fått laga kraft. Ett godkännande som görs efter den tid som angetts i föreläggandet är utan verkan.

11 § Ett sanktionsföreläggande ska innehålla uppgift om

1.den fysiska person som föreläggandet avser,

2.överträdelsen och de omständigheter som behövs för att känneteckna

den,

3.de bestämmelser som är tillämpliga på överträdelsen, och

4.den sanktion som föreläggs personen.

Sanktionsföreläggandet ska också innehålla en upplysning om att ansökan om sanktion kan komma att ges in till domstol, om sanktions- föreläggandet inte godkänns inom den tid som Finansinspektionen anger.

12 § Om ett sanktionsföreläggande inte har godkänts inom angiven tid, får Finansinspektionen ansöka hos domstol om att en sanktion ska beslu- tas. En sådan ansökan ska göras hos den förvaltningsrätt som är behörig att pröva ett överklagande av Finansinspektionens beslut om ingripande mot den finansiella entiteten för samma överträdelse.

Prövningstillstånd krävs vid överklagande till kammarrätten.

13 § Ett sanktionsföreläggande är utan verkan, om föreläggandet inte har Prop. 2024/25:44 delgetts den som det riktas mot inom två år från den tidpunkt då

överträdelsen ägde rum. I ett sådant fall får inte heller någon sanktion enligt 12 § första stycket beslutas.

Sanktionsavgifter

14 § Sanktionsavgiften för en finansiell entitet som anges i 1 § och som är en juridisk person ska som högst fastställas till det högsta av

1.ett belopp som per den 16 januari 2023 i svenska kronor motsvarade en miljon euro,

2.tio procent av den finansiella entitetens omsättning närmast före- gående räkenskapsår eller, i förekommande fall, motsvarande omsättning på koncernnivå, eller

3.tre gånger den vinst som den finansiella entiteten har gjort till följd av regelöverträdelsen, om beloppet går att fastställa.

Sanktionsavgiften får inte bestämmas till ett lägre belopp än

5 000 kronor.

Om en överträdelse har skett under den juridiska personens första verk- samhetsår eller om uppgifter om omsättningen annars saknas eller är brist- fälliga, får omsättningen uppskattas när den högsta sanktionsavgiften ska beräknas.

15 § Sanktionsavgiften för en leverantör av kryptotillgångstjänster får inte vara så stor att leverantören därefter inte uppfyller kraven i Europa- parlamentets och rådets förordning (EU) 2023/1114 av den 31 maj 2023 om marknader för kryptotillgångar och om ändring av förordningarna (EU) nr 1093/2010 och (EU) nr 1095/2010 samt direktiven 2013/36/EU och (EU) 2019/1937 eller andra bestämmelser om soliditet och likviditet som gäller för leverantören.

Sanktionsavgiften för en leverantör av gräsrotsfinansieringstjänster får inte vara så stor att leverantören därefter inte uppfyller kraven enligt artikel 11 i Europaparlamentets och rådets förordning (EU) 2020/1503 av den 7 oktober 2020 om europeiska leverantörer av gräsrotsfinansierings- tjänster för företag och om ändring av förordning (EU) 2017/1129 och direktiv (EU) 2019/1937 eller andra bestämmelser om soliditet och lik- viditet som gäller för leverantören.

16 § Sanktionsavgiften för en fysisk person ska som högst fastställas till det högsta av

1.ett belopp som per den 16 januari 2023 i svenska kronor motsvarade

500 000 euro, eller

2.tre gånger den vinst som den fysiska personen har gjort till följd av regelöverträdelsen, om beloppet går att fastställa.

17 § Sanktionsavgifter tillfaller staten.

Val av ingripande

18 § Vid valet av ingripande ska Finansinspektionen ta hänsyn till hur

allvarlig överträdelsen är och hur länge den har pågått. Särskild hänsyn ska

Prop. 2024/25:44 tas till överträdelsens art, överträdelsens konkreta och potentiella effekter på det finansiella systemet, skador som uppstått samt graden av ansvar hos den fysiska eller juridiska person som har gjort sig skyldig till över- trädelsen.

19 § Utöver det som anges i 18 § ska det i försvårande riktning beaktas om den som har begått överträdelsen tidigare har begått en överträdelse. Vid denna bedömning ska särskild vikt fästas vid om överträdelserna är likartade och den tid som har gått mellan de olika överträdelserna.

I förmildrande riktning ska det beaktas om den som har begått över- trädelsen

1.i väsentlig utsträckning genom ett aktivt samarbete har underlättat Finansinspektionens utredning, och

2.snabbt upphört med överträdelsen eller snabbt verkat för att över- trädelsen ska upphöra, sedan den anmälts till eller påtalats av Finans- inspektionen.

20 § När sanktionsavgiftens storlek fastställs ska särskild hänsyn tas till sådana omständigheter som anges i 18 och 19 §§ samt till den berörda fysiska eller juridiska personens finansiella ställning och, om det går att fastställa, den vinst som personen gjort till följd av överträdelsen.

Möjlighet att avstå från ett ingripande

21 § Finansinspektionen får avstå från ingripande, om

1.överträdelsen är ringa eller ursäktlig,

2.den fysiska eller juridiska personen i fråga gör rättelse,

3.den fysiska personen har verkat för att den juridiska personen ska göra rättelse, eller

4.någon annan myndighet eller något annat organ har vidtagit åtgärder mot den fysiska eller juridiska personen och dessa åtgärder bedöms till- räckliga.

Verkställighet av beslut om sanktionsavgift

22 § En sanktionsavgift ska betalas till Finansinspektionen inom 30 dagar efter det att ett beslut eller en dom om att ta ut avgiften har fått laga kraft eller ett sanktionsföreläggande har godkänts, eller inom den längre tid som anges i beslutet eller föreläggandet.

23 § Om sanktionsavgiften inte har betalats inom den tid som anges i 22 §, ska Finansinspektionen lämna avgiften för indrivning.

Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m.

24 § En sanktionsavgift faller bort i den utsträckning verkställighet inte har skett inom fem år från det att beslutet eller domen om att ta ut avgiften fick laga kraft eller sanktionsföreläggandet godkändes.

Prop. 2024/25:44

2.2Förslag till lag om ändring i lagen (1967:531) om tryggande av pensionsutfästelse m.m.

Härigenom föreskrivs1 att 16 g och 16 i §§ lagen (1967:531) om tryggande av pensionsutfästelse m.m. ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

16 g §2

En pensionsstiftelse som avses i 9 a § andra eller tredje stycket ska upprätta och följa riktlinjer för

1.riskhantering,

2.internrevision, och

3.verksamhet som omfattas av uppdragsavtal.

Pensionsstiftelsen ska upprätta	Pensionsstiftelsen	ska	upprätta
och vid behov följa en beredskaps-	och vid behov följa en beredskaps-
plan som säkerställer att verksam-	plan som säkerställer att verksam-
heten kan bedrivas kontinuerligt.	heten kan bedrivas	kontinuerligt.
	Stiftelsen ska ha sådana nätverks-
	och informationssystem som avses i
	Europaparlamentets	och	rådets
	förordning (EU) 2022/2554 av den
	14 december 2022	om	digital
	operativ motståndskraft för finans-

sektorn och om ändring av förord- ningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Pensionsstiftelsen ska upprätta och följa en sund ersättningspolicy för personer som leder eller övervakar verksamheten eller på annat sätt kan påverka riskerna i verksamheten. Stiftelsen ska regelbundet offentliggöra relevant information om ersättningspolicyn.

16 i §3

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1.vad placeringsriktlinjerna och redogörelsen enligt 16 f § ska inne- hålla, och

2. vad de styrdokument som	2. vad	de styrdokument	som
anges i 16 g § ska innehålla.	anges i	16 g § första och	tredje
	styckena ska innehålla.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av 8 kap. 7 § regeringsformen meddela föreskrifter om hur infor- mation om ersättningspolicyn ska offentliggöras enligt 16 g §.

1Jfr Europaparlamentets och rådets direktiv (EU) 2016/2341 av den 14 december 2016 om verksamhet i och tillsyn över tjänstepensionsinstitut, i lydelsen enligt Europaparlamentets och rådets direktiv (EU) 2022/2556.

2Senaste lydelse 2020:394.

3Senaste lydelse 2020:394.

Prop. 2024/25:44

2.3Förslag till lag om ändring i trafikskadelagen (1975:1410)

Härigenom föreskrivs att 5 § trafikskadelagen (1975:1410)1 ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

5§2

Trafikförsäkring får meddelas av

1.en försäkringsgivare som har fått tillstånd till det enligt 2 kap. 4 § försäkringsrörelselagen (2010:2043),

2.en försäkringsgivare som har fått tillstånd till det enligt 4 kap. 1 § lagen (1998:293) om utländska försäkringsgivares och tjänstepensions- instituts verksamhet i Sverige, och

3.en EES-försäkringsgivare som är verksam i Sverige enligt 2 kap. 1 § lagen om utländska försäkringsgivares och tjänstepensionsinstituts verk- samhet i Sverige.

försäkringsgivare

som

får

försäkringsgivare

som

får

meddela trafikförsäkring är skyldig

att på begäran meddela trafikför-

säkring. I ett tillstånd enligt 2 kap.

4 § försäkringsrörelselagen eller

4 § försäkringsrörelselagen

eller

4 kap.

1 §

lagen

utländska

4 kap.

1 §

lagen

utländska

försäkringsgivares

och

tjänste-

försäkringsgivares

och

tjänste-

pensionsinstituts

verksamhet

pensionsinstituts

verksamhet

Sverige kan dock skyldigheten be-

Sverige får dock skyldigheten be-

gränsas till att gälla försäkring åt

personer som tillhör en viss yrkes-

grupp eller intressegrupp eller som

är bosatta inom ett visst område.

Finansinspektionen kan efter an-

Finansinspektionen får efter an-

sökan besluta om motsvarande be-

gränsning

för försäkringsgivare

gränsning

för försäkringsgivare

som driver verksamhet här enligt

2 kap.

1 §

lagen

utländska

2 kap.

1 §

lagen

utländska

försäkringsgivares och tjänstepen-

sionsinstituts verksamhet i Sverige.

Finansinspektionens beslut

får

Finansinspektionens beslut

får

överklagas hos regeringen.

överklagas till allmän förvaltnings-

domstol. Prövningstillstånd

krävs

vid överklagande till kammar-

rätten.

En försäkringsgivare som avser att meddela trafikförsäkring genom gränsöverskridande verksamhet med stöd av 2 kap. 1 § lagen om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige men som inte har fast driftställe i Sverige ska ha en representant här i landet. Representanten ska vara bosatt i Sverige eller vara en svensk juridisk

1Lagen omtryckt 1994:43.

2Senaste lydelse 2023:666.

2.5	Förslag till lag om ändring i lagen (1998:1479) Prop. 2024/25:44
	om värdepapperscentraler och kontoföring av
	finansiella instrument

Härigenom föreskrivs att 9 kap. 12 § lagen (1998:1479) om värdepappers- centraler och kontoföring av finansiella instrument1 ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

9kap. 12 §2

Finansinspektionen ska ingripa mot någon som ingår i en svensk värdepapperscentrals styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om värdepapperscentralen

1.tillhandahåller tjänster enligt avsnitten A, B och C i bilagan till förordningen om värdepapperscentraler, i den ursprungliga lydelsen, i strid med artiklarna 16, 25 eller 54 i förordningen,

2.har fått auktorisationer som krävs enligt artikel 16 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen, genom osanna upp- gifter eller andra olagliga metoder enligt artikel 20.1 b i förordningen,

3.låtit bli att uppfylla kapitalkravet i strid med artikel 47.1 i förord- ningen om värdepapperscentraler, i den ursprungliga lydelsen,

4.låtit bli att uppfylla de organisatoriska kraven i strid med artiklarna 26–30 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

5.låtit bli att följa uppförandereglerna i strid med artiklarna 32–35 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

6.låtit bli att uppfylla kraven för värdepapperscentraltjänster i strid med artiklarna 37–41 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

7.låtit bli att uppfylla stabilitetskraven i strid med artiklarna 43–47 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

8. låtit bli att uppfylla kraven på			8. låtit bli att uppfylla kraven på
länkar	mellan	värdepappers-	länkar	mellan	värdepappers-
centraler i strid med artikel 48 i			centraler i strid med artikel 48 i
förordningen om		värdepappers-	förordningen om		värdepappers-
centraler, i den ursprungliga lydel-			centraler, i den ursprungliga lydel-
sen, eller			sen,
9. utan	giltig grund vägrat att		9. utan	giltig grund vägrat att
bevilja olika typer av tillträde i strid			bevilja olika typer av tillträde i strid
med artiklarna 49–53 i förord-			med artiklarna 49–53 i förord-
ningen om värdepapperscentraler, i			ningen om värdepapperscentraler, i
den ursprungliga lydelsen.			den ursprungliga lydelsen, eller

10.har åsidosatt sina skyldig- heter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1,

1Senaste lydelse av lagens rubrik 2016:51.

2 Senaste lydelse 2016:51.

Prop. 2024/25:44				16.2,	17,	18.1,	18.2,		19.1,	19.3,
				19.4, 23–25, 26.1–26.8,							27,
				28.1–28.8, 29, 30.1–30.4, 31.12
				eller 45 i Europaparlamentets och
				rådets förordning (EU) 2022/2554
				av den		14 december			2022		om
				digital operativ motståndskraft för
				finanssektorn och om ändring av
				förordningarna				(EG)			nr
				1060/2009, (EU)				nr	648/2012,
				(EU) nr 600/2014, (EU) nr
				909/2014 och (EU) 2016/1011.
Ett ingripande		enligt	första	Ett	ingripande			enligt		första
stycket får ske endast om värde-				stycket får ske bara om värde-
papperscentralens överträdelse är				papperscentralens				överträdelse			är
allvarlig och personen i fråga				allvarlig och den fysiska personen i
uppsåtligen	eller	av	grov	fråga uppsåtligen eller av grov
oaktsamhet orsakat överträdelsen.				oaktsamhet orsakat överträdelsen.
Ingripande sker genom				Ingripande får ske genom en eller
				båda av följande sanktioner:

1.beslut att personen i fråga under en viss tid, lägst tre och högst tio år, eller, för upprepade allvarliga överträdelser, permanent inte får vara styrelseledamot, verkställande direktör eller ersättare för någon av dem i värdepapperscentralen, eller

2.beslut om sanktionsavgift.

Denna lag träder i kraft den 17 januari 2025.

2.6Förslag till lag om ändring i lagen (2004:46) om värdepappersfonder

Härigenom föreskrivs1 att 2 kap. 17 §, 12 kap. 1 a § och 13 kap. 1 § lagen (2004:46) om värdepappersfonder2 ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2kap. 17 §3

Ett fondbolag ska ha sunda rutiner för

1.förvaltning av verksamheten och redovisning,

2.intern kontroll, och

Prop. 2024/25:44

3.drift och förvaltning av sina informationssystem.

Fondbolaget ska särskilt

–upprätta och tillämpa regler för styrelseledamöters och anställdas egna affärer med finansiella instrument,

–dokumentera samtliga transak- tioner som bolaget har genomfört för en värdepappersfonds räkning eller för ett sådant fondföretags räkning som avses i 12 § andra stycket eller 15 § andra stycket, och

–ha en organisation som minskar risken för intresse- konflikter som kan påverka fond- andelsägares eller andra kunders intressen negativt.

3.drift och förvaltning av sina nätverks- och informationssystem.

Rutinerna enligt första stycket 3 ska uppfylla kraven i Europa- parlamentets och rådets förordning

(EU)	2022/2554	av	den
14 december 2022		om	digital

operativ motståndskraft för finans- sektorn och om ändring av förord- ningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

1.upprätta och tillämpa regler för styrelseledamöters och anställdas egna affärer med finansiella instrument,

2.dokumentera samtliga transak- tioner som bolaget har genomfört för en värdepappersfonds räkning eller för ett sådant fondföretags räkning som avses i 12 § andra stycket eller 15 § andra stycket, och

3.ha en organisation som minskar risken för intresse- konflikter som kan påverka fond- andelsägares eller andra kunders intressen negativt.

1Jfr Europaparlamentets och rådets direktiv 2009/65/EG av den 13 juli 2009 om samordning av lagar och andra författningar som avser företag för kollektiva investeringar i överlåtbara värdepapper (fondföretag), i lydelsen enligt Europaparlamentets och rådets direktiv (EU) 2022/2556.

2Senaste lydelse av lagens rubrik 2013:563.

3Senaste lydelse 2013:563.

Prop. 2024/25:44

12kap.

1 a §4

Finansinspektionen ska ingripa mot någon som ingår i ett fondbolags styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om fondbolaget

1.har fått tillstånd att driva fondverksamhet genom att lämna falska uppgifter eller på annat otillbörligt sätt,

2.tillhandahåller diskretionär portföljförvaltning i strid med 1 kap. 4 §,

3.påbörjar marknadsföring av en av bolaget förvaltad värdepappersfond

iett annat land inom EES innan en underrättelse om detta gjorts hos Finansinspektionen i enlighet med 2 kap. 15 c §,

4. inte uppfyller grundläggande			4. inte	uppfyller grundläggande
krav på organisation och drift av			krav på organisation och drift av
verksamheten enligt 2 kap. 17 eller			verksamheten enligt 2 kap.		17 §
17 f § eller	föreskrifter	som har	första stycket 1 eller 2 eller tredje
meddelats	med stöd av	13 kap.	stycket eller 17 f § eller föreskrifter
1 § 11	avseende	dessa	som har meddelats med stöd av
bestämmelser,			13 kap.	1 § 11 avseende	dessa
			bestämmelser,

5.åsidosätter sina skyldigheter eller på annat sätt överträder det som anges om uppdragsavtal i någon av 4 kap. 4–6 §§ eller 7 § första stycket,

6.påbörjar förvaltning och marknadsföring av en värdepappersfond utan att fondbestämmelserna godkänts enligt 4 kap. 9 §,

7.vid upprepade tillfällen låter bli att upprätta eller tillhandahålla informationsbroschyr, faktablad, årsberättelse och halvårsberättelse i enlighet med 4 kap. 15–21 §§,

8.vid upprepade tillfällen placerar medel i en värdepappersfond i strid med det som anges i någon av 5 kap. 1, 3–22, 24 eller 25 §§ eller i före- skrifter som har meddelats med stöd av 13 kap. 1 § 21, 22, 24 och 25 avseende dessa bestämmelser,

9.inte uppfyller kraven på hantering av risker i 5 kap. 2 § första eller andra stycket eller i föreskrifter som har meddelats med stöd av 13 kap.

1§ 23 avseende dessa bestämmelser,

10.i strid med 11 kap. 5 § första stycket låter bli att till Finans- inspektionen anmäla sådana förvärv och avyttringar som avses där,

11. i strid med 11 kap. 5 § tredje					11. i strid med 11 kap. 5 § tredje
stycket låter bli att till Finans-					stycket låter bli att till Finans-
inspektionen anmäla namnen på de					inspektionen anmäla namnen på de
ägare som har ett kvalificerat inne-					ägare som har ett kvalificerat inne-
hav av aktier i bolaget samt stor-					hav av aktier i bolaget samt stor-
leken på innehavet, eller					leken på innehavet,
12. har befunnits ansvarigt för en					12. har befunnits ansvarigt för en
allvarlig, upprepad eller systema-					allvarlig, upprepad eller systema-
tisk	överträdelse		av	lagen	tisk	överträdelse		av	lagen
(2017:630)		om	åtgärder	mot	(2017:630)		om	åtgärder	mot
penningtvätt		och finansiering av			penningtvätt		och finansiering av
terrorism eller föreskrifter som har					terrorism eller föreskrifter som har
meddelats med stöd av den lagen.					meddelats med stöd av den lagen,
					eller

4Senaste lydelse 2023:234.

13.har åsidosatt sina skyldig- Prop. 2024/25:44 heter enligt någon av artiklarna

5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Om en sådan person som anges i första stycket omfattas av tillstånds- eller underrättelseskyldighet enligt 11 kap. 1 eller 4 § för förvärv eller avyttring av aktier i bolaget, ska första stycket 10 och 11 inte gälla för den

personen i fråga om dessa aktier.
Ett ingripande	enligt	första	Ett ingripande enligt första
stycket får ske endast om bolagets			stycket får ske bara om bolagets
överträdelse är	allvarlig	och	överträdelse är allvarlig och den
personen i fråga uppsåtligen eller			fysiska personen i fråga uppsåtligen
av grov oaktsamhet har orsakat			eller av grov oaktsamhet har
överträdelsen.			orsakat överträdelsen.
Ingripande sker genom			Ingripande får ske genom en eller
			båda av följande sanktioner:

1.beslut att personen i fråga under en viss tid, lägst tre och högst tio år, eller, för upprepade allvarliga överträdelser, permanent inte får vara styrelseledamot eller verkställande direktör i ett fondbolag, eller ersättare för någon av dem, eller

2.beslut om sanktionsavgift.

13kap. 1 §5

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1.vilka åtgärder ett fondbolag ska vidta om det tar emot medel med redovisningsskyldighet enligt 1 kap. 4 § eller 7 kap. 1 §,

2.hur ett förvaltningsbolag eller fondföretag ska tillhandahålla infor- mation om de uppgifter som avses i 1 kap. 6 c § första stycket och 8 § första stycket,

3.på vilket språk ett förvaltningsbolag eller fondföretag ska tillhanda- hålla funktionerna i 1 kap. 6 c § första stycket och 8 § första stycket,

4.på vilket språk ett fondföretag ska tillhandahålla information enligt

1kap. 9 § första stycket 1 och 2 och 9 a § första stycket,

5.hur ett fondföretag ska offentliggöra avsikten att upphöra med marknadsföringen av andelar i företaget enligt 1 kap. 9 § första stycket 2,

6.hur medel för distanskommunikation får användas när ett fondföretag som har upphört med marknadsföring i Sverige av andelar i företaget ska tillhandahålla kvarvarande andelsägare här i landet information enligt

1kap. 9 a § första stycket,

7.vilka poster som får räknas in i startkapitalet enligt 2 kap. 4 §,

8.vilka poster som får räknas in i egna medel enligt 2 kap. 8–10 §§,

9.på vilket språk underrättelsen enligt 2 kap. 15 c § första stycket ska skrivas,

5 Senaste lydelse 2023:234.

Prop. 2024/25:44	10. hur fondbolaget ska offentliggöra handlingarna enligt 2 kap. 15 c §
	fjärde stycket,
	11. vad ett fondbolag ska iaktta		11. vad ett fondbolag ska iaktta
	för att uppfylla skyldigheterna i		för att uppfylla		skyldigheterna i
	2 kap. 17, 17 c och 17 f§§,		2 kap. 17 § första stycket 1 och 2
			och tredje stycket, 17 c och 17 f §§,
	12. vilka åtgärder ett fondbolag ska vidta för att uppfylla de krav som
	följer av 2 kap. 17 g §,
	13. hur uppgifter enligt 2 kap. 20 § första stycket ska lämnas,
	14. vilken information som ska lämnas i underrättelsen till andelsägare
	enligt 4 kap. 9 a § och på vilket sätt underrättelsen ska lämnas,
	15. villkor som en andelsklass får vara förenad med enligt 4 kap. 10 §
	andra stycket 2 och under vilka förutsättningar en andelsklass får vara
	förenad med ett visst villkor,
	16. utformningen och tillämpningen av metoder för justerat fondandels-
	värde enligt 4 kap. 10 b § och vilka krav som ska uppfyllas när ett justerat
	fondandelsvärde beräknas och används,
	17. tillhandahållande av	informationsbroschyr och			faktablad enligt
	4 kap. 20 §,
	18. på vilket språk informationen enligt 4 kap. 20 § ska tillhandahållas,
	19. hur volatiliteten i skillnaden mellan fondens avkastning och
	jämförelseindexets avkastning enligt 4 kap. 26 § ska beräknas,
	20. hur informationen enligt 4 kap. 28 § ska presenteras,
	21. kriterier för de finansiella tillgångar som medel i en värdepappers-
	fond får placeras i enligt 5 kap. 1 § andra stycket första meningen,
	22. vilka tekniker och instrument ett fondbolag får använda enligt 5 kap.
	1 § tredje stycket samt villkor och gränser för sådan användning,
	23. det system för riskhantering ett fondbolag ska ha enligt 5 kap. 2 §
	första och andra styckena,
	24. kriterier för indexfonder enligt 5 kap. 7 §,
	25. beräkning av exponeringar enligt 5 kap. 13 och 14 §§,
	26. på vilket sätt underrättelsen till andelsägarna enligt 5 a kap. 7 § ska
	lämnas,
	27. vilka fel och försummelser som ska rapporteras enligt 5 a kap. 18 §,
	28. förutsättningar för	överföring	av	finansiella	instrument	och
	förvaltning enligt 5 a kap. 37 och 46 §§,
	29. vilka åtgärder ett fondbolag ska vidta för att uppfylla de krav som
	följer av bestämmelserna i 7 kap. 3 §,
	30. vad informationen enligt 8 kap. 8 §			ska innehålla, hur den		ska
	utformas, på vilket sätt den ska tillhandahållas och vad som ska bifogas
	informationen,
	31. på vilket språk de handlingar som ska lämnas tillsammans med
	ansökan enligt 8 kap. 19 § ska upprättas,
	32. vilka upplysningar fondbolag, förvaltningsbolag, fondföretag samt
	förvaringsinstitut ska lämna till Finansinspektionen enligt 10 kap.					2 §
	första stycket och när upplysningarna ska lämnas, och
	33. sådana avgifter som avses i 10 kap. 11 §.

Denna lag träder i kraft den 17 januari 2025.

2.7	Förslag till lag om ändring i lagen (2004:297)	Prop. 2024/25:44
	om bank- och finansieringsrörelse

Härigenom föreskrivs1 i fråga om lagen (2004:297) om bank- och finansieringsrörelse2

dels att nuvarande 6 kap. 2 a och 2 b §§ ska betecknas 6 kap. 2 b och

2 c §§,

dels att den nya 6 kap. 2 c §, 10 kap. 1 §, 15 kap. 1 a §, 16 kap. 1 § och 17 kap. 1 § ska ha följande lydelse,

dels att rubriken närmast före 6 kap. 2 a § ska sättas närmast före 6 kap.

2 b §,

dels att det ska införas en ny paragraf, 6 kap. 2 a §, och närmast före

6 kap. 2 a § en ny rubrik av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

6 kap.

Nätverks- och informationssystem

	2 a §
	Ett kreditinstituts nätverks- och
	informationssystem	ska	uppfylla
	kraven i Europaparlamentets och
	rådets förordning (EU) 2022/2554
	av den 14 december		2022	om
	digital operativ motståndskraft för
	finanssektorn och om ändring av
	förordningarna	(EG)		nr
	1060/2009, (EU)	nr	648/2012,
	(EU) nr 600/2014, (EU) nr
	909/2014 och (EU) 2016/1011.
2 b §	2 c §3

En anställd hos ett kreditinstitut som har gjort en anmälan till Finans- inspektionen eller Europeiska värdepappers- och marknadsmyndigheten om misstänkta överträdelser av bestämmelser som gäller för verksamheten får inte göras ansvarig för att ha åsidosatt någon tystnadsplikt, om anmälaren hade anledning att anta att en överträdelse hade skett.

Detsamma gäller om en anställd	Detsamma gäller om en anställd
har gjort en anmälan via det	har gjort en anmälan via det
rapporteringssystem som avses i	rapporteringssystem som avses i
2 a §.	2 b §.

1Jfr Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 om behörighet att utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut, om ändring av direktiv 2002/87/EG och om upphävande av direktiven 2006/48/EG och 2006/49/EG, i lydelsen enligt Europaparlamentets och rådets direktiv (EU) 2022/2556.

2Senaste lydelse av

6 kap. 2 a § 2018:327
rubriken närmast före 6 kap. 2 a § 2016:893.	25
3 Senaste lydelse av tidigare 2 b § 2016:893.	25

1. 8 kap. 9 och 30 §§ samt 37 § andra stycket aktiebolagslagen,

2. 23 kap. 45 b § aktiebolagslag- en,

3. 24 kap. 47 § aktiebolagslagen, och

4. 24 a kap. 24 § aktiebolagslag- en.

Föreslagen lydelse

Prop. 2024/25:44

10kap. 1 §4

För bankaktiebolag gäller föreskrifterna för aktiebolag i allmänhet, om inte något annat följer av denna lag eller är särskilt föreskrivet. Hänvis- ningar i aktiebolagslagen (2005:551) till bestämmelser i samma lag ska i de fall de förekommer avse de bestämmelser i denna lag som gäller i stället för eller utöver bestämmelserna i aktiebolagslagen.

Ifråga om bankaktiebolag ska det som anges om Bolagsverket i följande bestämmelser avse Finansinspektionen:

– 8 kap. 9 och 30 §§ samt 37 § andra stycket aktiebolagslagen,

– 23 kap. 45 b § aktiebolagslag- en,

– 24 kap. 47 § aktiebolagslagen, och

– 24 a kap. 24 § aktiebolagslag- en.

Lydelse enligt prop. 2024/25:43

15kap.

1 a §

Finansinspektionen ska ingripa mot någon som ingår i ett kreditinstituts styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om kreditinstitutet

1.har fått tillstånd att driva bank- eller finansieringsrörelse genom att lämna falska uppgifter eller på annat otillbörligt sätt,

2.i strid med 14 kap. 4 § första stycket låter bli att till Finans- inspektionen anmäla sådana förvärv och avyttringar som avses där,

3.i strid med 14 kap. 4 § tredje stycket låter bli att till Finans- inspektionen anmäla namnen på de ägare som har ett kvalificerat innehav av aktier eller andelar i institutet samt storleken på innehaven,

4. inte uppfyller kraven i 6 kap.	4. inte uppfyller kraven i 6 kap.
1–3 c, 4, 4 a, 4 c eller 5 § eller i	1, 2, 2 b–3 c, 4, 4 a, 4 c eller 5 §
föreskrifter som har meddelats med	eller i föreskrifter som har med-
stöd av 16 kap. 1 § 5,	delats med stöd av 16 kap. 1 § 5,

5.låter bli att lämna information till Finansinspektionen eller lämnar ofullständig eller felaktig information om efterlevnaden av skyldigheten att uppfylla kapitalbaskraven enligt artikel 92 i tillsynsförordningen, i strid med artikel 430.1 i den förordningen,

6.låter bli att rapportera eller lämnar ofullständig eller felaktig infor- mation till Finansinspektionen när det gäller data som avses i artikel 430a

itillsynsförordningen,

7.låter bli att lämna information till Finansinspektionen eller lämnar ofullständig eller felaktig information om en stor exponering i strid med artikel 394.1 i tillsynsförordningen,

8.låter bli att lämna information till Finansinspektionen eller lämnar ofullständig eller felaktig information om likviditet i strid med artikel 415.1 och 415.2 i tillsynsförordningen,

4Senaste lydelse 2022:1649.

9. låter bli att	lämna uppgifter till Finansinspektionen eller lämnar Prop. 2024/25:44
ofullständig eller felaktig information om sin bruttosoliditet i strid med
artikel 430.1 och	430.2 i tillsynsförordningen,

10.vid upprepade tillfällen eller systematiskt låter bli att hålla likvida tillgångar i strid med artikel 412 i tillsynsförordningen,

11.utsätter sig för en exponering som överskrider gränserna enligt artikel 395 i tillsynsförordningen,

12.är exponerat för kreditrisken i en värdepapperiseringsposition utan att uppfylla villkoren i artikel 405 i tillsynsförordningen,

13.låter bli att lämna information eller lämnar ofullständig eller felaktig information i strid med någon av artiklarna 431.1–431.3 och 451.1 i tillsynsförordningen,

14.gör betalningar till innehavare av instrument som ingår i institutets kapitalbas i strid med 8 kap. 3 och 4 §§ lagen (2014:966) om kapital- buffertar eller artikel 28, 51 eller 63 i tillsynsförordningen, när dessa artiklar förbjuder sådana betalningar till innehavare av instrument som ingår i kapitalbasen,

15.har befunnits ansvarigt för en allvarlig, upprepad eller systematisk överträdelse av lagen (2017:630) om åtgärder mot penningtvätt och finan- siering av terrorism eller föreskrifter som har meddelats med stöd av den lagen,

16.har befunnits ansvarigt för en allvarlig, upprepad eller systematisk överträdelse av Europaparlamentets och rådets förordning (EU) 2023/1113 av den 31 maj 2023 om uppgifter som ska åtfölja överföringar av medel och vissa kryptotillgångar och om ändring av direktiv (EU) 2015/849,

17.har tillåtit en styrelseledamot, verkställande direktören eller ersättare för någon av dem att åta sig ett sådant uppdrag i institutet eller kvarstå i

institutet trots att kraven i 3 kap. 2 § första stycket 4 eller 5, 10 kap. 8 a–8 c §§ eller 12 kap. 6 a–6 c §§ eller i föreskrifter som har meddelats med stöd av 16 kap. 1 § 3 inte är uppfyllda,

18.i strid med 6 a kap. 1 eller 2 § låter bli att upprätta eller lämna in en återhämtningsplan eller en koncernåterhämtningsplan,

19.i strid med 6 b kap. 11 § låter bli att anmäla att koncerninternt finansiellt stöd ska lämnas,

20.i strid med 13 kap. 4 a och 5 a §§ låter bli att underrätta Finans- inspektionen om institutet fallerar eller sannolikt kommer att fallera,

21.inte uppfyller kravet på kapitalbas och kvalificerade skulder enligt 4 kap. lagen (2015:1016) om resolution eller i strid med 28 kap. 1 § samma lag låter bli att lämna begärda upplysningar till Riksgäldskontoret,

22.är ett moderföretag enligt artikel 4.1.15 i tillsynsförordningen och inte uppfyller kraven i del tre, fyra, sex eller sju i den förordningen eller 2 kap. 1 eller 2 § lagen (2014:968) om särskild tillsyn över kreditinstitut och värdepappersbolag på grupp- eller undergruppsnivå,

23.omfattas av tillståndsplikt enligt lagen (2003:1223) om utgivning av säkerställda obligationer och

a) har fått tillstånd att ge ut säkerställda obligationer genom att lämna falska uppgifter eller på något annat otillbörligt sätt,

b) driver verksamhet med säkerställda obligationer utan tillstånd,

Prop. 2024/25:44 c) ger ut säkerställda obligationer som inte uppfyller 3 kap. 1, 2, 3, 4, 5, 6, 7, 10, 11 eller 15 § eller 16 § andra stycket lagen om utgivning av säker- ställda obligationer,

d)låter bli att lämna information eller lämnar ofullständig eller felaktig information i strid med 3 kap. 16 § första stycket lagen om utgivning av säkerställda obligationer, eller

e) vid upprepade tillfällen eller	e) vid upprepade				tillfällen		eller
systematiskt låter bli att hålla lik-	systematiskt låter bli att hålla lik-
vida tillgångar i en sådan likvidi-	vida tillgångar i en sådan likvidi-
tetsbuffert som avses i 3 kap. 9 a §	tetsbuffert som avses i 3 kap. 9 a §
lagen om utgivning av säkerställda	lagen om utgivning av säkerställda
obligationer, eller	obligationer,
24. låter bli att lämna uppgifter	24. låter bli att lämna uppgifter
om sin verksamhet med säker-	om sin verksamhet med säker-
ställda obligationer till Finans-	ställda obligationer till Finans-
inspektionen eller lämnar ofull-	inspektionen eller lämnar ofull-
ständiga eller felaktiga uppgifter i	ständiga eller felaktiga uppgifter i
strid med 13 kap. 3 §.	strid med 13 kap. 3 §, eller
	25. har		åsidosatt		sina skyldig-
	heter	enligt någon			av	artiklarna
	5–10, 11.1–11.10, 12–14, 16.1,
	16.2,	17,	18.1,	18.2,		19.1,	19.3,
	19.4, 23–25, 26.1–26.8,						27,
	28.1–28.8, 29, 30.1–30.4, 31.12
	eller 45 i Europaparlamentets och
	rådets förordning (EU) 2022/2554.

Om en sådan person som anges i första stycket omfattas av tillstånds- eller underrättelseskyldighet enligt 14 kap. 1 eller 3 § för förvärv eller avyttring av aktier eller andelar i institutet, ska första stycket 2 och 3 inte

gälla för den personen i fråga om dessa aktier eller andelar.
Ett	ingripande		enligt		första	Ett ingripande		enligt	första
stycket får ske endast om institutets						stycket får ske bara om institutets
överträdelse		är	allvarlig		och	överträdelse är allvarlig och den
personen i fråga uppsåtligen eller						fysiska personen i fråga uppsåtligen
av	grov	oaktsamhet		orsakat		eller av grov oaktsamhet orsakat
överträdelsen.						överträdelsen.
Ingripande sker genom						Ingripande får ske genom en eller
						båda av följande sanktioner:
1. beslut		att personen		i	fråga	1. beslut att	personen i		fråga
under en viss tid, lägst tre år och						under en viss tid, lägst tre och högst
högst tio år, inte får vara styrelse-						tio år, inte får vara styrelseledamot
ledamot eller verkställande direktör						eller verkställande direktör i ett
i ett kreditinstitut, eller ersättare för						kreditinstitut,	eller	ersättare för
någon av dem, eller						någon av dem, eller
2. beslut om sanktionsavgift.

Nuvarande lydelse

Föreslagen lydelse

Prop. 2024/25:44

16kap. 1 §5

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1.vilken information ett kreditinstitut ska lämna till sina kunder eller till dem som institutet erbjuder sina tjänster,

2.hur uppgifter enligt 1 kap. 11 § ska lämnas,

3.de krav som ska gälla för deltagande i ledningen av ett kreditinstitut enligt 3 kap. 2 § första stycket 4 och 5 och 14 kap. 2 § andra stycket 1,

4.vilka poster som får räknas in i startkapitalet enligt 3 kap. 5–7 §§,


5. vilka åtgärder ett kreditinstitut				5. vilka åtgärder ett kreditinstitut
ska vidta för att uppfylla de krav på				ska vidta för att uppfylla de krav på
soliditet och likviditet, risk-				soliditet och likviditet, risk-
hantering,	genomlysning, system			hantering,	genomlysning, system
för hantering av uppgifter om				för hantering av uppgifter om
insättare och		deras insättningar,		insättare och		deras insättningar,
amortering, sundhet, att inte bidra				amortering, sundhet, att inte bidra
till finansiella obalanser på kredit-				till finansiella obalanser på kredit-
marknaden	samt		riktlinjer och	marknaden	samt		riktlinjer och
instruktioner		som	avses i 6 kap.	instruktioner		som	avses i 6 kap.
1–5 §§,				1, 2 och 2 b–5 §§,

6.erkännande av utländska krav enligt 6 kap. 3 d §,

7.innehållet i en återhämtningsplan enligt 6 a kap. 1 § och en koncern- återhämtningsplan enligt 6 a kap. 2 §, när planerna ska upprättas och hur ofta de ska uppdateras,

8.innehållet i en ansökan om godkännande av avtal gällande koncern- internt finansiellt stöd enligt 6 b kap. 3 § första stycket,

9.vad det beslut som styrelsen i det stödgivande företaget fattar enligt 6 b kap. 8 § ska innehålla,

10.innehållet i en anmälan om givande av koncerninternt finansiellt stöd enligt 6 b kap. 11 §,

11.offentliggörandet av information enligt 6 b kap. 16 §,

12.vilka åtgärder ett kreditinstitut ska vidta för att uppfylla de krav på kreditprövning, dokumentation och beslutsunderlag som avses i 8 kap. 1–4 §§ i fråga om

– krediter till andra än konsumenter, och

– sådana krediter till konsumenter som är bostadskrediter,

13.tillhandahållande av tjänster till en jävskrets som avses i 8 kap. 5 och

6 §§,

14.kreditinstituts mångfaldspolicy vid tillsättandet av styrelse samt resurser för introduktion och utbildning av styrelseledamöter,

15.vilka begränsningar som gäller när ett bankaktiebolag eller ett kredit- marknadsbolag tar emot egna aktier eller aktier i sitt moderbolag som pant enligt 10 kap. 12 §,

16.vilka upplysningar ett kreditinstitut och sådana utländska kredit- institut som inrättat filial i Sverige ska lämna till Finansinspektionen för dess tillsynsverksamhet,

5 Senaste lydelse 2018:1791.

Prop. 2024/25:44

17.vilka kreditinstitut som ska upprätta register som avses i 13 kap. 8 a §, vad registren ska innehålla och inom vilken tid kreditinstitutet ska ge in registren för olika typer av avtal, och

18.sådana avgifter för tillsyn, ansökningar, anmälningar och under- rättelser som avses i 13 kap. 16 §.

17kap. 1 §6

Finansinspektionens beslut enligt	Följande	beslut av		Finans-
13 kap. 12 § och 15 kap. 9 a § och	inspektionen får inte överklagas:
18 § tredje stycket får inte över-
klagas.
	1. beslut om sammankallande av
	styrelse eller stämma enligt 13 kap.
	12 §,
	2. beslut	om	sanktionsföre-
	läggande enligt 15 kap. 9 a §,
	3. beslut om föreläggande att den
	som driver rörelsen ska lämna de
	upplysningar	om	rörelsen		som
	inspektionen	behöver		för	att
	bedöma om lagen är tillämplig på
	rörelsen enligt 15 kap. 18 § tredje
	stycket,
	4. beslut om begäran att den som
	är revisor i ett företag ska lämna
	sådana upplysningar om företagets
	rörelse enligt 15 kap. 18 § tredje
	stycket, eller
	5. beslut om förordnande av sak-
	kunnig enligt
	– 10 kap.	1 §	andra	stycket 2
	denna lag och 23 kap. 45 b § aktie-
	bolagslagen (2005:551),
	– 10 kap.	1 §	andra	stycket 3
	denna lag och 24 kap. 47 § aktie-
	bolagslagen, eller
	– 10 kap.	1 §	andra	stycket 4
	denna lag och 24 a kap. 24 § aktie-
	bolagslagen.

Finansinspektionens beslut som avses i 10 kap. 1 § andra stycket 1 får överklagas till regeringen.

Andra beslut av Finansinspektionen enligt denna lag får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten. Inspektionen får bestämma att ett beslut om förbud, föreläggande eller

återkallelse ska gälla omedelbart.

6Senaste lydelse 2018:817. Ändringen innebär bl.a. att andra stycket tas bort.

Prop. 2024/25:44

2.8Förslag till lag om ändring i lagen (2007:528) om värdepappersmarknaden

Härigenom föreskrivs1 i fråga om lagen (2007:528) om värdepappers- marknaden

dels att 8 kap. 10, 11, 23 och 35 §§, 13 kap. 1, 1 a och 1 d §§ och 25 kap.

1 a, 1 e, 1 i, 10 a och 15 a §§ ska ha följande lydelse,

dels att det ska införas en ny paragraf, 25 kap. 1 j §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

8kap. 10 §2

Ett värdepappersinstitut ska ha tillräckliga system, resurser och rutiner för att institutet ska kunna tillhandahålla investeringstjänster och utföra

investeringsverksamhet kontinuerligt och regelbundet.
				Informations- och kommunika-
				tionstekniksystem		ska	uppfylla
				kraven i Europaparlamentets och
				rådets förordning (EU) 2022/2554
				av den 14 december			2022	om
				digital operativ motståndskraft för
				finanssektorn och om ändring av
				förordningarna		(EG)		nr
				1060/2009,	(EU)	nr	648/2012,
				(EU) nr 600/2014, (EU) nr
				909/2014 och (EU) 2016/1011.
Ett	värdepappersinstitut	ska	ha	Ett värdepappersinstitut ska				ha
sunda	skyddsmekanismer	för	att	sunda skyddsmekanismer för att, i
säkerställa skyddet och autentise-				enlighet med kraven i Europa-
ringen	vid informationsöverföring			parlamentets och rådets förordning
och för att minimera risken för				(EU) 2022/2554, säkerställa skyd-
dataförvanskning och obehörig åt-				det och autentiseringen vid infor-
komst till informationen.				mationsöverföring och för att mini-
				mera risken	för dataförvanskning
				och obehörig åtkomst till infor-
				mationen.
			11 §

Ett värdepappersinstitut skall 1. tillämpa sunda rutiner för

a)förvaltning av verksamheten, och

b)redovisning,

2. ha rutiner för intern kontroll,

Ett värdepappersinstitut ska

2.ha rutiner för intern kontroll,

och

1Jfr Europaparlamentets och rådets direktiv 2014/65/EU av den 15 maj 2014 om marknader för finansiella instrument och om ändring av direktiv 2002/92/EG och av direktiv 2011/61/EU, i lydelsen enligt Europaparlamentets och rådets direktiv (EU) 2022/2556.

2Senaste lydelse 2017:679.

3.ha effektiva metoder för risk- bedömning, och

4.ha effektiv drift och förvaltning av sina informationssystem.

3. ha effektiva metoder för risk- Prop. 2024/25:44 bedömning.

			23 §3
Ett	värdepappersinstitut som			Ett	värdepappersinstitut					som
bedriver algoritmisk handel ska ha				bedriver algoritmisk handel ska ha
effektiva system och riskkontroller				effektiva system och riskkontroller
som är anpassade för den verksam-				som är anpassade för den verksam-
heten. Systemen		och	kontrollerna	heten. Systemen				och	kontrollerna
ska säkerställa		att	institutets	ska	säkerställa			att	institutets
handelssystem		är	motstånds-	handelssystem				är	motstånds-
kraftiga	och	har	tillräcklig	kraftiga		och		har	tillräcklig
kapacitet, att de omfattas av lämp-				kapacitet i enlighet med kraven i
liga handelströsklar och handels-				kapitel II		i	Europaparlamentets
limiter och att de förhindrar att				och	rådets		förordning			(EU)
felaktiga order skickas eller att				2022/2554, att de omfattas av
systemet på annat sätt fungerar så				lämpliga		handelströsklar				och
att det kan skapa eller bidra till en				handelslimiter och att de förhindrar
oordnad marknad.				att felaktiga order skickas eller att
				systemet på annat sätt fungerar så
				att det kan skapa eller bidra till en
				oordnad marknad.

Värdepappersinstitutet ska också ha effektiva system och åtgärder för riskkontroll för att säkerställa att handelssystemen inte kan användas för något ändamål som strider mot marknadsmissbruksförordningen eller mot reglerna på en handelsplats till vilken institutet är anslutet.

Värdepappersinstitutet ska ha	Värdepappersinstitutet ska ha
inrättat effektiva arrangemang för	inrättat effektiva arrangemang för
kontinuerlig drift av verksamheten	kontinuerlig drift av verksamheten
för att hantera driftavbrott i sina	för att hantera driftavbrott i sina
handelssystem och ska se till att	handelssystem, inbegripet en IKT-
systemen är fullt testade och	kontinuitetspolicy och IKT-konti-
lämpligt övervakade för att säker-	nuitetsplaner samt IKT-relaterade
ställa att de uppfyller kraven i	åtgärds- och återställningsplaner
första och andra styckena.	för informations- och kommunika-
	tionsteknik som inrättas i enlighet
	med artikel 11 i Europaparla-
	mentets och rådets förordning (EU)
	2022/2554. Institutet ska se till att
	systemen är fullt testade och
	lämpligt övervakade för att säker-
	ställa att de uppfyller kraven i
	första och andra styckena och
	kraven i kapitlen II och IV i samma
	förordning.
3 Senaste lydelse 2017:679.	33

Prop. 2024/25:44

Värdepappersinstitutet ska dokumentera de åtgärder som det har vidtagit enligt första–tredje styckena så att Finansinspektionen har möjlighet att övervaka att institutet har följt denna lag.

35 §4

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1.vilka åtgärder ett värdepappersbolag ska vidta för att uppfylla de krav på soliditet och likviditet, riskhantering, ersättningssystem och genom- lysning samt riktlinjer och instruktioner som avses i 3–8 §§,

2.värdepappersbolags mångfaldspolicy vid tillsättandet av styrelse samt resurser för introduktion och utbildning av styrelseledamöter,

3.de riktlinjer, regler och rutiner ett värdepappersinstitut ska upprätta och tillämpa enligt 9 §,

4.vilka system, resurser och

rutiner ett värdepappersinstitut ska

ha enligt 10 §,

5. vad

ett

värdepappersinstitut

4. vad

ett

värdepappersinstitut

ska iaktta för att uppfylla skyldig-

heterna i 11 §,

6. de

processer

för

produkt-

5. de

processer

för

produkt-

godkännande

och

översyn

ett

godkännande

och

översyn

ett

värdepappersinstitut

ska

enligt

värdepappersinstitut

ska

enligt

13 §,

7. den

information

ett

värde-

6. den

information

ett

värde-

pappersinstitut

ska

lämna

enligt

pappersinstitut

ska

lämna

enligt

14 § första stycket,

8. de

arrangemang

ett

värde-

7. de

arrangemang

ett

värde-

pappersinstitut ska ha för att få

information och för att förstå egen-

skaperna hos finansiella instrument

och den fastställda målgruppen för

instrumenten

enligt

14 §

andra

instrumenten

enligt

14 §

andra

stycket,

9. de

arrangemang

ett

värde-

8. de

arrangemang

ett

värde-

pappersinstitut

som

distribuerar

pappersinstitut

som

distribuerar

finansiella instrument ska ha för

urvalet

av finansiella

instrument

urvalet

finansiella

instrument

och tjänster som erbjuds eller

rekommenderas till kunder,

10. kraven

för bedömning

9. kraven

för bedömning

kunskap

och

kompetens

enligt

kunskap

och

kompetens

enligt

15 §,

11. dokumentation

enligt

16 §

10. dokumentation

enligt

16 §

och hur lång tid dokumentation ska

sparas enligt 20 §, och

12. övervakning av handeln och

11. övervakning av handeln och

kursbildningen enligt 21 §.

4Senaste lydelse 2021:480.

1. identifiera och hantera de risker, inbegripet IKT-risker i enlighet med kapitel II i Europa- parlamentets och rådets förordning (EU) 2022/2554, som kan uppstå i verksamheten, och

2. identifiera och hantera de intressekonflikter som kan uppstå mellan börsens eller dess ägares intressen och intresset av att en reglerad marknad drivs i enlighet med första och andra styckena.

En börs får inte i sitt regelverk ställa oskäliga krav på emittenter och deltagare vid en reglerad mark- nad. Vad som utgör ett oskäligt krav ska bedömas med hänsyn till dess ändamål, EU-rätten och övriga omständigheter.

13kap. 1 §5

En börs ska driva sin verksamhet hederligt, rättvist och professionellt och på ett sätt så att allmänhetens förtroende för värdepappersmarknaden upprätthålls.

När börsen driver en reglerad marknad, ska den tillämpa principerna om

1.fritt tillträde, som innebär att var och en som uppfyller de krav som ställs i denna lag och av börsen får delta i handeln,

2.neutralitet, som innebär att börsens regler för den reglerade mark- naden tillämpas på ett likformigt sätt gentemot alla som deltar i handeln, och

3.god genomlysning, som innebär att deltagarna får en snabb, samtidig och korrekt information om handeln och att allmänheten får tillfälle att ta del av sådan information.

En börs ska också

1. identifiera och hantera de risker som kan uppstå i verksam- heten,

2. ha säkra tekniska system, samt

3. identifiera och hantera de intressekonflikter som kan uppstå mellan börsens eller dess ägares intressen och intresset av att en reglerad marknad drivs i enlighet med första och andra styckena.

1 a §6

En börs ska inrätta effektiva	En börs ska inrätta och upprätt-
system, förfaranden och arrange-	hålla en operativ motståndskraft i
mang för att säkerställa att handels-	enlighet med kraven i kapitel II i
systemen	Europaparlamentets och rådets
	förordning (EU) 2022/2554 för att
	säkerställa att handelssystemen

1.är motståndskraftiga,

2.har tillräcklig kapacitet för att kunna hantera svåra påfrestningar på marknaden i fråga om order- och meddelandevolymer,

3.kan upprätthålla ordnad handel vid förhållanden med påfrestningar på marknaden,

5Senaste lydelse 2009:588.

6Senaste lydelse 2017:679.

Prop. 2024/25:44

4. är fullständigt testade, och
5. garanterar kontinuitet i verk-	5. garanterar		kontinuitet i	verk-
samheten vid eventuella drift-	samheten	vid	eventuella	drift-
avbrott i handelssystemet.	avbrott i	handelssystemet,		inbe-
	gripet en IKT-kontinuitetspolicy
	och IKT-kontinuitetsplaner samt
	IKT-relaterade		åtgärds-	och
	återställningsplaner i enlighet med
	artikel 11	i Europaparlamentets
	och rådets		förordning	(EU)
	2022/2554.

1 d §7

En börs ska inrätta effektiva system, förfaranden och arrangemang för att säkerställa att deltagare som använder algoritmiska handelssystem på en reglerad marknad som börsen driver inte kan skapa eller bidra till otillbörliga marknadsförhållanden på marknaden och för att kunna hantera eventuella otillbörliga marknadsförhållanden som kan uppstå till följd av användningen av sådana algoritmiska handelssystem.

I de förfaranden som avses i första stycket ska det ingå

1. krav på deltagarna att utföra	1. krav på deltagarna att utföra
lämpliga tester av algoritmer och	lämpliga tester av algoritmer och
att tillhandahålla miljöer för att	att tillhandahålla miljöer för att
underlätta sådana tester,	underlätta sådana tester, i enlighet
	med kraven i kapitlen II och IV i
	Europaparlamentets och rådets
	förordning (EU) 2022/2554,

2.system för att begränsa andelen inte utförda order i förhållande till transaktionerna som kan läggas in i systemet av en deltagare,

3.system för att det ska vara möjligt att bromsa orderflödet om det finns en risk för att taket för systemkapaciteten uppnås, och

4.system för att begränsa och upprätthålla den minsta prisändring som får tillämpas på den reglerade marknaden.

25kap.

1 a §8

Finansinspektionen ska ingripa mot någon som ingår i ett svenskt värdepappersinstituts styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om värdepappersinstitutet har åsidosatt sina skyldigheter enligt

1.5 kap. 1, 3, 6 eller 7 §,

2.6 kap. 1, 4 eller 6 §,

3. någon av	8 kap. 8 e	eller	3. någon av	8 kap. 8 e	eller
9–34 §§ eller	föreskrifter	som	9–34 §§ eller	föreskrifter	som
meddelats med stöd av någon av			meddelats med stöd av någon av
bestämmelserna i 8 kap. 35 § 3–12,			bestämmelserna i 8 kap. 35 § 3–11,

7Senaste lydelse 2017:679.

8Senaste lydelse 2021:968.

4. någon av 9 kap. 1 §, 8	§ tredje stycket, 9–12, 14–17 a, 19 a–41 eller Prop. 2024/25:44
43 §§ eller föreskrifter som meddelats med stöd av någon av
bestämmelserna i 9 kap. 50	§ 1, 3–9 eller 11,

5.någon av 11 kap. 1 §, 1 a § andra stycket, 1 b–4 a eller 12 §§ eller driver en tillväxtmarknad för små och medelstora företag trots att kraven i 13 § inte är uppfyllda,

6.någon av 13 kap. 1 a–1 j, 6 a eller 9 §§,

7.någon av 15 a kap. 7, 8 eller 10–14 §§,

8. 22 kap.	2 § andra	stycket, 5		8. 22 kap.	2 § andra stycket, 5
eller 6 § eller inte har följt ett beslut				eller 6 § eller inte har följt ett beslut
som meddelats av Finansinspek-				som meddelats av Finansinspek-
tionen enligt 22 kap. 1 §, 2 § första				tionen enligt 22 kap. 1 §, 2 § första
stycket eller 3 §, eller				stycket eller 3 §,
9. 23 kap. 2 § första stycket eller				9. 23 kap. 2 § första stycket eller
föreskrifter	som meddelats		med	föreskrifter	som meddelats med
stöd av 23 kap. 15 § 1, eller inte har				stöd av 23 kap. 15 § 1, eller inte har
följt en begäran, ett föreläggande				följt en begäran, ett föreläggande
eller ett beslut som meddelats av				eller ett beslut som meddelats av
Finansinspektionen enligt 23 kap.				Finansinspektionen enligt			23 kap.
2 § tredje	stycket,	3 §	första	2 § tredje	stycket,	3 §	första
stycket, 3 a	eller 3 b § eller har			stycket, 3 a	eller 3 b § eller har
motsatt sig en undersökning enligt				motsatt sig en undersökning enligt
23 kap. 4 §.				23 kap. 4 §, eller
				10. någon	av artiklarna 5–10,
				11.1–11.10, 12–14, 16.1, 16.2, 17,
				18.1, 18.2, 19.1, 19.3, 19.4, 23–25,
				26.1–26.8,	27, 28.1–28.8, 29,
				30.1–30.4, 31.12 eller 45 i
				Europaparlamentets		och	rådets
				förordning (EU) 2022/2554.

1 e §9

Finansinspektionen ska ingripa mot någon som ingår i en börs styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om börsen

1.har fått sitt tillstånd genom att lämna falska uppgifter eller på annat otillbörligt sätt,

2.har tillåtit en styrelseledamot, verkställande direktören eller ersättare för någon av dem att åta sig ett sådant uppdrag i företaget eller kvarstå i företaget trots att kraven i 12 kap. 2 § 4 eller 5 eller någon av 6 b–6 d §§ inte är uppfyllda,

3.har åsidosatt sina skyldigheter enligt

a) 8 kap. 21 § eller föreskrifter	a) 8 kap. 21 § eller föreskrifter
som meddelats med stöd av 8 kap.	som meddelats med stöd av 8 kap.
35 § 12,	35 § 11,

b)någon av 11 kap. 1 §, 1 a § andra stycket, 1 b–4 a eller 12 §§ eller driver en tillväxtmarknad för små och medelstora företag trots att kraven i 13 § inte är uppfyllda,

9 Senaste lydelse 2021:968.

Prop. 2024/25:44

c)12 kap. 6 e, 7 eller 10 § eller föreskrifter som meddelats med stöd av någon av bestämmelserna i 12 kap. 11 § 2–4,

d)någon av 13 kap. 1–2, 6–7 a eller 9 §§ eller 12 § femte stycket eller föreskrifter som meddelats med stöd av 13 kap. 17 § 1,

e)14 kap. 1, 2 eller 3 §,

f)15 kap. 1, 2, 5, 9 eller 10 §,

g)någon av 15 a kap. 7, 8 eller 10–12 §§,

h)22 kap. 2 § andra stycket, 5 eller 6 § eller inte har följt ett beslut som meddelats av Finansinspektionen enligt 22 kap. 1 eller 3 §, eller

i)23 kap. 2 § första stycket eller föreskrifter som meddelats med stöd av 23 kap. 15 § 1, eller inte har följt en begäran, ett föreläggande eller ett beslut som meddelats av Finansinspektionen enligt 23 kap. 2 § andra stycket, 3 § första stycket eller 3 b § eller har motsatt sig en undersökning

enligt 23 kap. 4 §,
4. i strid med 24 kap. 5 § första	4. i strid med 24 kap. 5 § första
stycket låter bli att till Finans-	stycket låter bli att till Finans-
inspektionen anmäla sådana för-	inspektionen anmäla sådana för-
värv och avyttringar som avses där,	värv och avyttringar som avses där,
eller
5. i strid med 24 kap. 5 § tredje	5. i strid med 24 kap. 5 § tredje
stycket låter bli att till Finans-	stycket låter bli att till Finans-
inspektionen anmäla namnen på de	inspektionen anmäla namnen på de
ägare som har ett kvalificerat inne-	ägare som har ett kvalificerat inne-
hav av aktier eller andelar i före-	hav av aktier eller andelar i före-
taget samt storleken på innehaven.	taget samt storleken på innehaven,
	eller
	6. har åsidosatt sina skyldigheter
	enligt någon av artiklarna 5–10,
	11.1–11.10, 12–14, 16.1, 16.2, 17,
	18.1, 18.2, 19.1, 19.3, 19.4, 23–25,
	26.1–26.8, 27, 28.1–28.8, 29,
	30.1–30.4, 31.12 eller 45 i Europa-
	parlamentets och rådets förordning
	(EU) 2022/2554.

Om en sådan person som avses i första stycket omfattas av tillstånds- eller underrättelseskyldighet enligt 24 kap. 1 eller 4 § för förvärv eller avyttring av aktier eller andelar i företaget, ska första stycket 4 och 5 inte gälla för den personen i fråga om dessa aktier eller andelar.

1 i §10

Finansinspektionen ska ingripa mot någon som ingår i en central motparts styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om den centrala motparten har åsidosatt sina skyldigheter enligt förordningen om återhämtning och resolution av centrala motparter genom att inte

1.utarbeta, upprätthålla och uppdatera en återhämtningsplan (artikel 9),

2.tillhandahålla nödvändiga uppgifter för att utarbeta resolutionsplan (artikel 13), eller

10Senaste lydelse 2022:743.

3.underrätta Finansinspektionen om att den centrala motparten fallerar eller sannolikt kommer att fallera (artikel 70.1).

	Finansinspektionen		ska även
	ingripa mot en sådan fysisk person
	som avses i första stycket om den
	centrala motparten har åsidosatt
	sina skyldigheter enligt någon av
	artiklarna	5–10,	11.1–11.10,
	12–14, 16.1, 16.2, 17, 18.1, 18.2,
	19.1, 19.3, 19.4, 23–25, 26.1–26.8,
	27, 28.1–28.8, 29, 30.1–30.4, 31.12
	eller 45 i Europaparlamentets och
	rådets förordning (EU) 2022/2554.
Ingripande får ske genom en eller båda av följande sanktioner:
1. att den fysiska personen under	1. beslut att den fysiska personen
en viss tid, lägst tre och högst tio år,	under en viss tid, lägst tre och högst
inte får vara styrelseledamot eller	tio år, inte får vara styrelseledamot
verkställande direktör i en central	eller verkställande direktör i en
motpart, eller ersättare för någon av	central motpart, eller ersättare för
dem, eller	någon av dem, eller
2. sanktionsavgift.	2. beslut om sanktionsavgift.
Ett ingripande enligt första	Ett ingripande enligt första eller
stycket får ske bara om den centrala	andra stycket får ske bara om den
motpartens överträdelse är allvarlig	centrala motpartens överträdelse är
och den fysiska personen i fråga	allvarlig och den fysiska personen i
uppsåtligen eller av grov oakt-	fråga uppsåtligen eller av grov
samhet orsakat överträdelsen.	oaktsamhet orsakat överträdelsen.

1 j §

Finansinspektionen ska ingripa mot någon som ingår i en leveran- tör av datarapporteringstjänsters styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om leverantören har åsido- satt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ingripande får ske genom en eller båda av följande sanktioner:

1. beslut att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i en leverantör av datarapporterings- tjänster, eller ersättare för någon av dem, eller

Prop. 2024/25:44

						2. beslut om sanktionsavgift.
						Ett ingripande får ske bara om
						Finansinspektionen har tillsyn över
						leverantören av datarapporterings-
						tjänster och om leverantörens över-
						trädelse är allvarlig och den fysiska
						personen i fråga uppsåtligen eller
						av grov oaktsamhet har orsakat
						överträdelsen.
					10 a §11
Frågor		om	ingripanden		mot	Frågor om		ingripanden		mot
fysiska personer för				överträdelser		fysiska	personer för		överträdelser
enligt någon av 1 a, 1 b, 1 d–1 f, 1 i,						enligt någon av 1 a, 1 b, 1 d–1 f, 1 i,
15 a	eller	15 b §§		tas upp av		1 j, 15 a eller 15 b §§ tas upp av
Finansinspektionen				genom		Finansinspektionen			genom
sanktionsföreläggande.						sanktionsföreläggande.
Ett	sanktionsföreläggande				inne-	Ett sanktionsföreläggande				inne-
bär att den fysiska personen före-						bär att den fysiska personen före-
läggs att inom en viss tid godkänna						läggs att inom en viss tid godkänna
ett ingripande			enligt	1 c §	andra	ett ingripande		enligt 1 c §		andra
stycket, 1 d §			fjärde	stycket	eller	stycket,	1 d §	fjärde	stycket, 1 i §
1 i § andra stycket som är bestämt						tredje	stycket	eller	1 j §	andra
till tid eller belopp eller enligt 1 g §						stycket som är bestämt till tid eller
andra	stycket		eller	15 c §	andra	belopp	eller	enligt	1 g §	andra
stycket som är bestämt till belopp.						stycket	eller 15 c §		andra stycket
						som är bestämt till belopp.

När föreläggandet har godkänts, gäller det som ett domstolsavgörande som fått laga kraft. Ett godkännande som görs efter den tid som angetts i föreläggandet är utan verkan.

15 a §12

Finansinspektionen ska ingripa mot den eller de personer som har ansvaret för ledningen av en filial till ett sådant företag som anges i 15 §, om företaget

1.har fått sitt tillstånd genom att lämna falska uppgifter eller på annat otillbörligt sätt,

2.har tillåtit en person som har ansvaret för ledningen av filialen att åta sig ett sådant uppdrag i filialen eller att kvarstå i detta trots att kraven i 4 kap. 4 § 5 eller i föreskrifter som meddelats med stöd av 3 kap. 12 § 2 inte är uppfyllda, eller

3.har åsidosatt sina skyldigheter enligt

a) någon	av	8 kap. 9–20	eller	a) någon	av	8 kap. 9–20	eller
21–34 §§	eller	föreskrifter	som	21–34 §§	eller	föreskrifter	som
meddelats med stöd av någon av				meddelats med stöd av någon av
bestämmelserna i 8 kap. 35 § 3–12,				bestämmelserna i 8 kap. 35 § 3–11,

11Senaste lydelse 2022:743.

12Senaste lydelse 2021:968.

Prop. 2024/25:44

9 §5

Vid valet av ingripande ska Finansinspektionen ta hänsyn till hur allvarlig överträdelsen är och hur länge den har pågått. Särskild hänsyn ska tas till skador som har uppstått och graden av ansvar.

Finansinspektionen får avstå från	Finansinspektionen får avstå från
ingripande enligt 8 och 8 a §§ om	ingripande enligt 8–8 b §§ om

1.en överträdelse är ringa eller ursäktlig,

2.betalningsinstitutet gör rättelse eller om den fysiska personen i betalningsinstitutets ledning verkat för att institutet gör rättelse, eller

3.någon annan myndighet har vidtagit åtgärder mot institutet eller den fysiska personen i betalningsinstitutets ledning som bedöms vara till- räckliga.

16 a §6
Frågor om ingripanden mot	Frågor om ingripanden	mot
fysiska personer enligt 8 a § tas upp	fysiska personer enligt 8 a	eller
av Finansinspektionen genom	8 b § tas upp av Finansinspektionen
sanktionsföreläggande.	genom sanktionsföreläggande.

Finansinspektionen ska då tillämpa bestämmelserna i 15 kap. 9 a–9 d §§

lagen (2004:297) om bank- och finansieringsrörelse.
Lydelse enligt prop. 2024/25:43						Föreslagen lydelse
					23 b §
Finansinspektionen ska ingripa						Finansinspektionen ska ingripa
mot en person som ingår i en						mot någon som ingår i en
registrerad			betaltjänstleverantörs			registrerad			betaltjänstleverantörs
styrelse eller är dess verkställande						styrelse eller är dess verkställande
direktör eller på motsvarande sätt						direktör eller på motsvarande sätt
företräder		betaltjänstleverantören,				företräder		betaltjänstleverantören,
eller är ersättare för någon av dem,						eller är ersättare för någon av dem,
om den registrerade betaltjänst-						om den registrerade betaltjänst-
leverantören har befunnits ansvarig						leverantören har befunnits ansvarig
för en överträdelse av lagen						för en överträdelse av lagen
(2017:630)			om	åtgärder	mot	(2017:630)			om	åtgärder	mot
penningtvätt			och finansiering av			penningtvätt			och finansiering av
terrorism eller föreskrifter som har						terrorism eller föreskrifter som har
meddelats med stöd av den lagen						meddelats med stöd av den lagen
eller	en		överträdelse		av	eller	en		överträdelse		av
Europaparlamentets				och	rådets	Europaparlamentets				och	rådets
förordning (EU) 2023/1113.						förordning (EU) 2023/1113.
Ett	ingripande			enligt	första	Ett	ingripande			enligt	första
stycket får ske endast om över-						stycket får ske bara om över-
trädelsen		är	allvarlig, upprepad			trädelsen		är	allvarlig, upprepad
eller systematisk och personen i						eller systematisk och personen i
fråga uppsåtligen eller av grov						fråga uppsåtligen eller av grov
oaktsamhet orsakat överträdelsen.						oaktsamhet orsakat överträdelsen.

5Senaste lydelse 2017:652.

6Senaste lydelse 2017:652.

Prop. 2024/25:44

2.10Förslag till lag om ändring i försäkringsrörelselagen (2010:2043)

Härigenom föreskrivs1 i fråga om försäkringsrörelselagen (2010:2043)2 dels att 21 kap. 2 § ska upphöra att gälla,

dels att 10 kap. 3 §, 11 kap. 1 §, 18 kap. 2 a och 18 a §§ och 21 kap. 1 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 18 kap. 1 b §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

10kap. 3 §3


Ett försäkringsföretag ska ha	Ett	försäkringsföretag ska			ha
system, resurser och rutiner som är	system, resurser och rutiner som är
lämpliga för att verksamheten ska	lämpliga för att verksamheten ska
kunna bedrivas med kontinuitet och	kunna bedrivas med kontinuitet och
i enlighet med gällande regler.	i enlighet med gällande regler.
	Nätverks- och			informationssystem
	ska uppfylla kraven i Europaparla-
	mentets och rådets förordning (EU)
	2022/2554		av	den 14 december
	2022 om digital operativ mot-
	ståndskraft		för finanssektorn		och
	om	ändring		av förordningarna
	(EG) nr 1060/2009, (EU) nr
	648/2012, (EU) nr 600/2014, (EU)

nr 909/2014 och (EU) 2016/1011.

Ett försäkringsföretag ska ha en beredskapsplan.

11kap. 1 §4

För försäkringsaktiebolag gäller föreskrifterna för aktiebolag i allmänhet, om inte något annat följer av denna lag eller är särskilt före- skrivet. Hänvisningar i aktiebolagslagen (2005:551) till bestämmelser i samma lag ska i de fall de förekommer avse de bestämmelser i denna lag som gäller i stället för eller utöver bestämmelserna i aktiebolagslagen.

I fråga om försäkringsaktiebolag ska det som anges om Bolagsverket i följande bestämmelser avse Finansinspektionen:

– 8 kap. 9 och 30 §§ samt 37 §	1.	8 kap. 9 och 30 §§ samt 37 §
andra stycket aktiebolagslagen,	andra stycket aktiebolagslagen,
– 23 kap. 45 b § aktiebolags-	2.	23 kap. 45 b § aktiebolags-
lagen,	lagen,
– 24 kap. 47 § aktiebolagslagen,	3.	24 kap. 47 § aktiebolagslagen,
och	och

1Jfr Europaparlamentets och rådets direktiv 2009/138/EG av den 25 november 2009 om upptagande och utövande av försäkrings- och återförsäkringsverksamhet (Solvens II), i lydelsen enligt Europaparlamentets och rådets direktiv (EU) 2022/2556.

2Senaste lydelse av 21 kap. 2 § 2019:766.

3Senaste lydelse 2015:700.

4Senaste lydelse 2022:1650.

– 24 a kap. 24 § aktiebolags-	4. 24 a kap. 24 § aktiebolags-
lagen.	lagen.

Bestämmelserna i 32 kap. aktiebolagslagen om aktiebolag med särskild vinstutdelningsbegränsning gäller inte för försäkringsaktiebolag.

18 kap.

1 b §

Finansinspektionen ska ingripa mot någon som ingår i försäkrings- företagets styrelse eller är dess verkställande direktör, eller ersät- tare för någon av dem, om företaget har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europa- parlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt första stycket får ske bara om företagets överträdelse är allvarlig och den fysiska personen i fråga uppsåt- ligen eller av grov oaktsamhet orsakat överträdelsen.

						2 a §5
Ingripande			enligt		1 a §	sker	Ett ingripande enligt 1 a			eller
genom							1 b § får ske genom en eller båda
							av följande sanktioner:
1. beslut		att	personen i			fråga	1. beslut	att	personen i	fråga
under en viss tid, lägst tre och högst							under en viss tid, lägst tre och högst
tio år, inte får upprätthålla en funk-							tio år, inte får upprätthålla en funk-
tion som avses i 1 a § första stycket							tion som avses i 1 a § första stycket
i ett försäkringsföretag, eller							och 1 b § första stycket i ett för-
							säkringsföretag, eller
2. beslut om sanktionsavgift.
						18 a §6
Frågor		om		ingripanden		mot	Frågor	om	ingripanden	mot
fysiska	personer			för överträdelser			fysiska personer för överträdelser
enligt	1 a § tas			upp	av Finans-		enligt 1 a	eller	1 b § tas upp av
inspektionen			genom		sanktions-		Finansinspektionen genom			sank-
föreläggande.							tionsföreläggande.

Finansinspektionen ska då tillämpa bestämmelserna om sanktions- föreläggande i 15 kap. 9 a–9 d §§ lagen (2004:297) om bank- och finansieringsrörelse.

5Senaste lydelse 2017:653.

6Senaste lydelse 2017:653.

Prop. 2024/25:44

Prop. 2024/25:44		21 kap.
			1 §7
	Finansinspektionens	beslut i	Följande	beslut av		Finans-
	ärenden enligt 17 kap. 13 § första		inspektionen får inte överklagas:
	stycket och 18 kap.	25 § andra
	stycket samt beslut om sanktions-
	föreläggande får inte överklagas.
			1. beslut om sammankallande av
			styrelse eller stämma enligt 17 kap.
			13 § första stycket,
			2. beslut	om	sanktionsföre-
			läggande enligt 18 kap. 18 a §,
			3. beslut om föreläggande att den
			som driver rörelsen ska lämna de
			upplysningar	om	rörelsen		som
			inspektionen	behöver		för	att
			bedöma om lagen är tillämplig på
			rörelsen enligt 18 kap. 25 § andra
			stycket,
			4. beslut om begäran att den som
			är revisor i ett företag ska lämna
			sådana upplysningar om företagets
			rörelse enligt 18 kap. 25 § andra
			stycket, eller
			5. beslut om förordnande av sak-
			kunnig enligt
			– 11 kap.	1 §	andra	stycket 2
			denna lag och 23 kap. 45 b § aktie-
			bolagslagen (2005:551),
			– 11 kap.	1 §	andra	stycket 3
			denna lag och 24 kap. 47 § aktie-
			bolagslagen, eller
			– 11 kap.	1 §	andra	stycket 4
			denna lag och 24 a kap. 24 § aktie-
			bolagslagen.

Denna lag träder i kraft den 17 januari 2025.

48	7 Senaste lydelse 2019:766.

Prop. 2024/25:44

9 §1

Finansinspektionen får avstå från	Finansinspektionen får avstå från
ingripande enligt 8 och 8 a §§ om	ingripande enligt 8–8 b §§ om

1.en överträdelse är ringa eller ursäktlig,

2.institutet för elektroniska pengar gör rättelse eller om den fysiska personen verkat för att institutet gör rättelse, eller

3.någon annan myndighet har vidtagit åtgärder mot institutet eller den fysiska personen som bedöms vara tillräckliga.

16 a §2
Frågor om ingripanden mot	Frågor om ingripanden	mot
fysiska personer enligt 8 a § tas upp	fysiska personer enligt 8 a	eller
av Finansinspektionen genom	8 b § tas upp av Finansinspektionen
sanktionsföreläggande.	genom sanktionsföreläggande.

Finansinspektionen ska då tillämpa bestämmelserna i 15 kap. 9 a–9 d §§

lagen (2004:297) om bank- och finansieringsrörelse.
Lydelse enligt prop. 2024/25:43				Föreslagen lydelse
			23 b §
Finansinspektionen		ska	ingripa	Finansinspektionen ska ingripa
mot en person som ingår i den				mot någon som ingår i den
registrerade	utgivarens		styrelse	registrerade			utgivarens styrelse
eller är dess verkställande direktör,				eller	är		dess		verkställande
eller är ersättare för någon av dem,				direktör, eller är ersättare för
om den registrerade utgivaren har				någon av dem, om den registre-
befunnits ansvarig för överträdelse				rade	utgivaren			har		befunnits
av lagen (2017:630) om åtgärder				ansvarig för överträdelse av lagen
mot penningtvätt och finansiering				(2017:630)			om	åtgärder			mot
av terrorism eller föreskrifter som				penningtvätt och finansiering av
har meddelats med stöd av den				terrorism		eller		föreskrifter som
lagen eller en överträdelse av				har meddelats med stöd av den
Europaparlamentets		och	rådets	lagen eller en överträdelse av
förordning (EU) 2023/1113.				Europaparlamentets						och	rådets
				förordning (EU) 2023/1113.
Ett ingripande enligt			första	Ett	ingripande				enligt		första
stycket får ske endast om över-				stycket får ske bara om över-
trädelsen är	allvarlig,	systematisk		trädelsen är allvarlig, systematisk
eller upprepad och personen i fråga				eller upprepad och personen i
uppsåtligen eller av grov oaktsam-				fråga uppsåtligen eller av grov
het orsakat överträdelsen.				oaktsamhet orsakat överträdelsen.
				Finansinspektionen						ska	även
				ingripa mot någon som ingår i
				den	registrerade					utgivarens
				styrelse		eller		är	dess		verk-

1Senaste lydelse 2017:655.

2Senaste lydelse 2017:655.

Prop. 2024/25:44

2.12Förslag till lag om ändring i lagen (2013:561) om förvaltare av alternativa investeringsfonder

Härigenom föreskrivs1 i fråga om lagen (2013:561) om förvaltare av alternativa investeringsfonder

dels att 8 kap. 2 § och 14 kap. 13 a § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 14 kap. 1 b §, av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

8kap. 2 §

En AIF-förvaltare ska ha sunda rutiner för

1. förvaltning av verksamheten och redovisning,

2. drift och förvaltning av sina	2. drift och förvaltning av sina
informationssystem, och	nätverks- och informationssystem,
	och
3. intern kontroll.
	Rutinerna enligt första stycket 2
	ska uppfylla kraven i Europa-
	parlamentets och rådets förordning
	(EU) 2022/2554 av den 14 decem-
	ber 2022 om digital operativ mot-
	ståndskraft för finanssektorn och
	om ändring av förordningarna
	(EG) nr 1060/2009, (EU) nr
	648/2012, (EU) nr 600/2014, (EU)
	nr 909/2014 och (EU) 2016/1011.
AIF-förvaltaren ska särskilt

1.upprätta och tillämpa regler för anställdas egna transaktioner,

2.upprätta och tillämpa regler för investeringar som görs för för- valtarens egen räkning,

3.ha rutiner för att kunna säkerställa att varje transaktion som genom- förs för en alternativ investeringsfonds räkning är möjlig att rekonstruera

iefterhand med avseende på dess ursprung, art, parter, tidpunkt och plats, samt

4.ha rutiner för att säkerställa att tillgångarna i de alternativa investeringsfonder som förvaltaren förvaltar investeras i enlighet med denna lag och andra författningar som reglerar verksamheten eller lag- stiftningen i det land där fonden är etablerad samt fondbestämmelser, bolagsordning eller motsvarande regelverk.

14 kap.

1 b §

Finansinspektionen ska ingripa mot någon som ingår i en AIF-

1Jfr Europaparlamentets och rådets direktiv 2011/61/EU av den 8 juni 2011 om förvaltare av alternativa investeringsfonder samt om ändring av direktiv 2003/41/EG och 2009/65/EG och förordningarna (EG) nr 1060/2009 och (EU) nr 1095/2010, i lydelsen enligt Europaparlamentets och rådets direktiv (EU) 2022/2556.

förvaltares ledning eller styrelse eller är förvaltarens verkställande direktör eller motsvarande, eller ersättare för någon av dem, om för- valtaren har åsidosatt sina skyldig- heter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt första stycket får ske bara om AIF- förvaltarens överträdelse är all- varlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande får ske genom en eller båda av följande sanktioner:

1. beslut att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får upprätthålla en funktion som avses i första stycket i en AIF-förvaltare, eller ersättare för någon av dem, eller

2. beslut om sanktionsavgift.

	13 a §2
Frågor om ingripanden	mot	Frågor	om	ingripanden				mot
fysiska personer enligt 1 a	eller	fysiska personer			enligt		1 a,	1 b
9 a § tas upp av Finansinspektionen		eller 9 a §	tas		upp	av	Finans-
genom sanktionsföreläggande.		inspektionen		genom		sanktions-
		föreläggande.

Finansinspektionen ska då tillämpa bestämmelserna om sanktions- föreläggande i 12 kap. 9 a–9 d §§ lagen (2004:46) om värdepappers- fonder.

Denna lag träder i kraft den 17 januari 2025.

2Senaste lydelse 2017:658.

Prop. 2024/25:44

4. har åsidosatt sina skyldigheter enligt någon av 4 kap. 1–3, 5–11 eller 13 §§, 5 kap. 1–8, 10–16 eller 18–21 §§, 6 kap. 1–6 eller 8–15 §§ eller 7 kap. 1 §,

5. har befunnits ansvarig för en överträdelse av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism eller före- skrifter som meddelats med stöd av den lagen, eller

(EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finans- sektorn och om ändring av

förordningarna (EG) nr 1060/2009, (EU) nr 648/2012,

Prop. 2024/25:44

2.13Förslag till lag om ändring i lagen (2018:1219) om försäkringsdistribution

Härigenom föreskrivs att 9 kap. 2 och 4 §§ lagen (2018:1219) om försäk- ringsdistribution ska ha följande lydelse.

Nuvarande lydelse			Föreslagen lydelse
		9 kap.
			2 §
Finansinspektionen		ska besluta	Finansinspektionen ska ingripa
att ingripa mot någon som ingår i			mot någon som ingår i en svensk
en svensk	försäkringsförmedlares		försäkringsförmedlares styrelse, är
styrelse,	är dess	verkställande	dess verkställande direktör eller på
direktör eller på motsvarande sätt			motsvarande sätt företräder försäk-
företräder	försäkringsförmedlaren,		ringsförmedlaren, eller är ersättare
eller är ersättare för någon av dem,			för någon av dem, om försäkrings-
om försäkringsförmedlaren			förmedlaren

1.bedriver försäkringsdistribution i Sverige och inte uppfyller kraven på tillstånd eller registrering i 2 kap.,

2.har fått tillstånd att bedriva försäkringsdistribution genom att lämna falska uppgifter eller på annat otillbörligt sätt,

3.för distribution av försäkringar använder någon som inte har rätt att bedriva försäkringsdistribution eller att distribuera sådana försäkringar som distributionen avser,

4. har åsidosatt sina skyldigheter enligt någon av 4 kap. 1–3, 5–11 eller 13 §§, 5 kap. 1–8, 10–16 eller 18–21 §§, 6 kap. 1–6 eller 8–15 §§ eller 7 kap. 1 §, eller

5. har befunnits ansvarig för en överträdelse av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism eller före- skrifter som meddelats med stöd av den lagen.

				(EU) nr	600/2014, (EU) nr Prop. 2024/25:44
				909/2014 och (EU) 2016/1011.
Ett ingripande sker genom ett				Ingripande får ske genom en
beslut om				eller båda av följande sanktioner:
1. att personen i fråga under en				1. beslut	att personen i fråga
viss tid, dock lägst tre år och högst				under en viss tid, dock lägst tre och
tio år, inte	får upprätthålla en			högst tio år, inte får upprätthålla en
funktion som avses i första stycket				funktion som avses i första stycket
hos en försäkringsdistributör, eller				hos en försäkringsdistributör, eller
2. sanktionsavgift.				2. beslut om sanktionsavgift.
				4 §
Ett ingripande enligt 2 eller 3 §				Ett ingripande enligt 2 § första
får ske bara om överträdelsen är				stycket 1–5 eller 3 § får ske bara om
allvarlig,	upprepad		eller	överträdelsen är allvarlig, upprepad
systematisk och personen i fråga				eller systematisk och den fysiska
uppsåtligen	eller	av	grov	personen i fråga uppsåtligen eller
oaktsamhet orsakat överträdelsen.				av grov oaktsamhet orsakat över-
				trädelsen.

Ett ingripande enligt 2 § första stycket 6 får ske bara om över- trädelsen är allvarlig och den fysiska personen i fråga uppsåt- ligen eller av grov oaktsamhet orsakat överträdelsen.

Denna lag träder i kraft den 17 januari 2025.

Prop. 2024/25:44

2.14Förslag till lag om ändring i lagen (2019:742) om tjänstepensionsföretag

Härigenom föreskrivs1 i fråga om lagen (2019:742) om tjänstepensions- företag

dels att 9 kap. 2 §, 10 kap. 1 §, 15 kap. 3, 4, 18, 20 och 23 §§ och 17 kap.

1 § ska ha följande lydelse,

dels att rubriken närmast efter rubriken till 15 kap. ska lyda ”Ingripande mot tjänstepensionsföretag och vissa fysiska personer”,

dels att det ska införas fyra nya paragrafer, 15 kap. 1 a, 2 a, 17 a och 18 a §§, och närmast före 15 kap. 18 a § en ny rubrik av följande lydelse.

Nuvarande lydelse	Föreslagen lydelse
9 kap.
	2 §
Ett tjänstepensionsföretag ska ha	Ett tjänstepensionsföretag ska ha
system, resurser och rutiner som är	system, resurser och rutiner som är
lämpliga för att verksamheten ska	lämpliga för att verksamheten ska
kunna drivas med kontinuitet och i	kunna drivas med kontinuitet och i
enlighet med gällande regler.	enlighet	med	gällande regler.
	Nätverks-	och	informationssystem
	ska uppfylla kraven i Europaparla-
	mentets och rådets förordning (EU)
	2022/2554	av	den 14 december
	2022 om digital operativ mot-
	ståndskraft för		finanssektorn och
	om ändring av förordningarna
	(EG) nr 1060/2009, (EU) nr
	648/2012, (EU) nr 600/2014, (EU)
	nr 909/2014 och (EU) 2016/1011.
Ett tjänstepensionsföretag ska ha en beredskapsplan.

10 kap.

1 §2

För tjänstepensionsaktiebolag gäller bestämmelserna för aktiebolag i allmänhet, om inte något annat följer av denna lag eller av sådana bestämmelser i försäkringsrörelselagen (2010:2043) som det hänvisas till i denna lag. Hänvisningar i aktiebolagslagen (2005:551) till bestämmelser i samma lag ska i de fall de förekommer avse de bestämmelser i denna lag eller i försäkringsrörelselagen som gäller i stället för eller utöver aktiebolagslagen.

I fråga om tjänstepensionsaktiebolag ska det som sägs om Bolagsverket i följande bestämmelser avse Finansinspektionen:

– 8 kap. 9 och 30 §§ och 37 §	1. 8 kap. 9 och 30 §§ och 37 §
andra stycket aktiebolagslagen,	andra stycket aktiebolagslagen,

2Senaste lydelse 2022:1651.

– 23 kap.	45 b §	aktiebolags-	2.	23 kap.	45 b §	aktiebolags- Prop. 2024/25:44
lagen,			lagen,
– 24 kap. 47 § aktiebolagslagen,			3.	24 kap. 47 § aktiebolagslagen,
och			och
– 24 a kap.	24 §	aktiebolags-	4.	24 a kap.	24 §	aktiebolags-
lagen.			lagen.

Bestämmelserna i 32 kap. aktiebolagslagen om aktiebolag med särskild vinstutdelningsbegränsning gäller inte för tjänstepensionsaktiebolag.

15 kap.

1 a §

Finansinspektionen ska ingripa mot någon som ingår i tjänste- pensionsföretagets styrelse eller är dess verkställande direktör, eller är ersättare för någon av dem, om företaget har åsidosatt sina skyl- digheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt första stycket får ske bara om företagets överträdelse är allvarlig och den fysiska personen i fråga uppsåt- ligen eller av grov oaktsamhet orsakat överträdelsen.

2 a §

Ett ingripande enligt 1 a § får ske genom en eller båda av följande sanktioner:

1.beslut att personen i fråga under en viss tid, lägst tre och högst tio år, inte får upprätthålla en funk- tion som avses i 1 a § första stycket

iett tjänstepensionsföretag, eller

2.beslut om sanktionsavgift.

3 §

Vid valet av ingripande ska Finansinspektionen ta hänsyn till hur allvarlig överträdelsen är och hur länge den har pågått. Särskild hänsyn ska

tas till skador som har uppstått och graden av ansvar.
I försvårande riktning ska det	I försvårande riktning ska det
beaktas om tjänstepensionsföre-	beaktas	om	tjänstepensionsföre-
taget tidigare har begått en över-	taget tidigare har begått en över-
trädelse.	trädelse	eller	om den fysiska

Prop. 2024/25:44		personen tidigare orsakat en sådan
		överträdelse.
I förmildrande riktning ska det beaktas om
1. företaget i väsentlig utsträck-		1. företaget	eller	den	fysiska
ning genom ett aktivt samarbete har		personen i väsentlig		utsträckning
underlättat Finansinspektionens ut-		genom ett aktivt samarbete har
redning, och		underlättat Finansinspektionens ut-
		redning, och
2. företaget snabbt har upphört		2. företaget	snabbt	har	upphört
med överträdelsen sedan den an-		med överträdelsen, eller den fysiska
mälts till eller påtalats av Finans-		personen snabbt verkat för att över-
inspektionen.		trädelsen ska upphöra, sedan den
		anmälts till eller påtalats av Finans-
		inspektionen.
		4 §
Finansinspektionen får avstå från ingripande om
1. en överträdelse är ringa eller ursäktlig,
2. tjänstepensionsföretaget	gör	2. tjänstepensionsföretaget				gör
rättelse, eller		rättelse eller om den fysiska per-
		sonen verkat för att företaget gör
		rättelse, eller
3. någon annan myndighet	har	3. någon annan myndighet				har
vidtagit åtgärder mot företaget och		vidtagit åtgärder mot företaget eller
dessa åtgärder bedöms tillräckliga.		den fysiska personen och dessa
		åtgärder bedöms tillräckliga.

17 a §

En sanktionsavgift för en fysisk person ska som högst fastställas till det högsta av

1. två gånger den vinst som den fysiska personen gjort till följd av regelöverträdelsen, om beloppet går att fastställa, eller

2. ett belopp som per den

16 januari 2023 i kronor mot- svarade fem miljoner euro.

Avgiften tillfaller staten.

		18 §
När	sanktionsavgiftens	storlek	När	sanktionsavgiftens	storlek
fastställs, ska särskild hänsyn tas			fastställs, ska särskild hänsyn tas
till sådana omständigheter som			till sådana omständigheter som
anges	i 3 § samt till	tjänste-	anges	i 3 § samt till	tjänste-
pensionsföretagets finansiella stäl-			pensionsföretagets eller den fysiska
lning och, om det går att fastställa,			personens finansiella ställning och,
den vinst som gjorts till följd av			om det går att fastställa, den vinst
regelöverträdelsen.			som gjorts till följd av regelöver-
			trädelsen.

En beslutad sanktionsavgift eller förseningsavgift faller bort i den utsträckning verkställighet inte har skett inom fem år från det att beslutet fick laga kraft eller sanktionsföreläggandet godkändes.

En sanktionsavgift eller förseningsavgift ska betalas till Finansinspektionen inom 30 dagar efter det att beslutet om den har fått laga kraft eller sanktionsföre- läggandet godkänts eller inom den längre tid som anges i beslutet.

Sanktionsföreläggande

Prop. 2024/25:44

18 a §

Frågor om ingripanden mot fysiska personer för överträdelser enligt 1 a § tas upp av Finans- inspektionen genom sanktionsföre- läggande.

Finansinspektionen ska då tillämpa bestämmelserna om sanktionsföreläggande i 15 kap. 9 a–9 d §§ lagen (2004:297) om bank- och finansieringsrörelse.

20 §

En sanktionsavgift eller förseningsavgift ska betalas till Finansinspektionen inom 30 dagar efter det att beslutet om den har fått laga kraft eller inom den längre tid som anges i beslutet.

23 §

En beslutad sanktionsavgift eller förseningsavgift faller bort i den utsträckning verkställighet inte har skett inom fem år från det att beslutet fick laga kraft.

17kap. 1 §

Finansinspektionens beslut enligt	Följande	beslut av		Finans-
denna lag får överklagas till allmän	inspektionen får inte överklagas:
förvaltningsdomstol.
	1. beslut	om	sanktionsföre-
	läggande	enligt	15 kap.	18 a §,
	eller

2.beslut om förordnande av sak- kunnig enligt

– 10 kap. 1 § andra stycket 2 denna lag och 23 kap. 45 b § aktie- bolagslagen (2005:551),

– 10 kap. 1 § andra stycket 3 denna lag och 24 kap. 47 § aktie- bolagslagen, eller

– 10 kap. 1 § andra stycket 4 denna lag och 24 a kap. 24 § aktie- bolagslagen.

Prop. 2024/25:44	4	EU:s förordning om digital operativ

motståndskraft för finanssektorn

4.1Bakgrund och förordningens syfte

DORA-förordningen syftar till att genom enhetliga krav i nätverks- och informationssystem uppnå en hög gemensam nivå av digital operativ motståndskraft i den finansiella sektorn (artikel 1.1). I Europeiska kommissionens förslag till förordning samt i skälen till förordningen betonas de senaste årtiondenas snabba digitalisering (skäl 1) och hur användningen av informations- och kommunikationsteknologi (IKT) i dag är avgörande för driften av alla finansiella entiteters vanliga dagliga funktioner (skäl 2). Samtidigt påpekas att en ökad digitalisering innebär ökade sårbarheter (skäl 1) och att Europeiska systemrisknämnden i en rapport från 2020 bekräftar att den höga graden av sammanlänkning mellan finansiella entiteter, finansmarknader och finansmarknads- infrastruktur kan utgöra en systemsårbarhet som kan få negativa konsekvenser för den finansiella stabiliteten i EU (skäl 3). Det enhetliga regelverk som nu styr unionens finansiella sektor och som reformerades efter finanskrisen 2008 syftar främst till att stärka den finansiella mot- ståndskraften i finanssektorn (skäl 5). Även om IKT-säkerhet och digital motståndskraft ingår i de operativa riskerna som omfattas av befintligt regelverk, uppmärksammas de inte i tillräckligt hög omfattning i unions- lagstiftningen (skäl 5 och 8). Detta har lett till skillnader i lagstiftning och olika nationella reglerings- och tillsynsstrategier för IKT-risk, vilket riskerar att utgöra ett hinder för den inre marknadens funktion (skäl 9). Det har därför identifierats ett behov av att utveckla det gemensamma regel- verket och tillsynssystemet för den finansiella sektorn så att det även omfattar harmoniserande bestämmelser kring digital operativ motstånds- kraft (skäl 8 och 11).

4.2Andra EU-rättsakter om ökad motståndskraft

NIS2 och CER

DORA-förordningen är en del av ett samlat EU-rättsligt ramverk för en ökad motståndskraft inom EU. Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäkerhetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972 och om upphävande av direktiv (EU) 2016/1148, i det följande benämnt NIS2-direktivet, ersätter det tidigare s.k. NIS-direktivet. NIS-direktivet var den första övergripande ramen för cybersäkerhet som antogs på unionsnivå. Syftet med NIS- direktivet var att förbättra den inre marknadens funktion genom att fastställa åtgärder för att uppnå en hög gemensam nivå på säkerhet i nätverks- och informationssystem inom unionen som används för att tillhandahålla samhällsviktiga tjänster i centrala sektorer och säkerställa kontinuiteten i sådana tjänster när de utsätts för incidenter. NIS-direktivet omfattar tre typer av finansiella entiteter: kreditinstitut, handelsplatser och

centrala motparter. Direktivet har genomförts i svensk rätt genom lagen (2018:1174) om informationssäkerhet för samhällsviktiga och digitala tjänster.

Ioch med NIS2-direktivet har tillämpningsområdet utökats till att om- fatta aktörer inom fler sektorer, men direktivet omfattar fortfarande samma typer av finansiella entiteter som det tidigare NIS-direktivet. NIS2- direktivet fastställer till skillnad från det tidigare direktivet enhetliga kriterier för att avgöra vilka entiteter som omfattas av dess tillämpnings- område utifrån en storleksbaserad regel. Ett större antal finansiella entiteter omfattas därför av NIS2-direktivet. I NIS2-direktivet skärps kraven på entiteterna genom minimikrav för åtgärder som ska tillämpas för att hantera risker kopplade till säkerheten i entiteters nätverks- och informationssystem. Direktivet innehåller även mer precisa rapporterings- krav. I likhet med vad som gäller enligt NIS-direktivet ska medlems- staterna enligt NIS2-direktivet utse en eller flera behöriga myndigheter och en nationell gemensam kontaktpunkt. Liksom NIS-direktivet före- skriver NIS2-direktivet att det ska finnas en eller flera enheter för hantering av it-säkerhetsincidenteter (s.k. CSIRT-enheter) som bl.a. ska ansvara för hanteringen av incidenter. I NIS2-direktivet åläggs dessa ytterligare uppgifter. NIS2-direktivet innehåller dessutom nya regler om ett ramverk för storskaliga cybersäkerhetsincidenter och cyberkriser. Varje medlemsstat ska enligt direktivet utse en eller flera behöriga myndigheter som ansvarar för hanteringen av sådana incidenter och kriser (cyberkrishanteringsmyndighet). Vidare ställer NIS2-direkivet större krav på såväl strategiskt som operativt samarbete mellan medlemsstaterna. I NIS2-direktivet regleras även nya former för samarbete mellan medlems- staterna. Ett forum för samarbete är det europeiska kontaktnätverket för cyberkriser (EU-CyCLONe), som ska verka stödjande vid samordning och hantering av storskaliga incidenter och cyberkriser.

Europaparlamentets och rådets direktiv (EU) 2022/2557 av den 14 december 2022 om kritiska entiteters motståndskraft och om upp- hävande av rådets direktiv 2008/114/EG, i det följande benämnt CER- direktivet, innehåller bestämmelser som syftar till att förebygga, motstå och hantera störningar eller avbrott i samhällsviktig verksamhet, inbegripet kritisk infrastruktur. Direktivet inrättar en övergripande ram för att hantera kritiska entiteters motståndskraft med hänsyn till alla faror, oberoende av om det är naturliga faror eller orsakade av människan, olyckshändelser eller avsiktligt framkallade faror (skäl 1–4). CER- direktivet ålägger de kritiska entiteterna skyldigheter att bl.a. vidta åtgärder för att stärka sin motståndskraft och att rapportera incidenter. Det innehåller också bestämmelser om tillsyn och sanktioner. Vidare fastställs

iCER-direktivet en ram för samarbete mellan medlemsstaterna. CER- direktivet omfattar samma finansiella entiteter som NIS2-direktivet.

NIS2-direktivet och det kompletterande CER-direktivet ska vara genomförda i svensk rätt den 17 oktober 2024. Regeringen har gett en särskild utredare i uppdrag att föreslå de anpassningar av svensk rätt som är nödvändiga för att direktiven ska kunna genomföras (dir. 2023:30 och dir. 2024:3, se även delbetänkandet Nya regler om cybersäkerhet [SOU 2024:18]).

Prop. 2024/25:44

Prop. 2024/25:44 DORA-förordningen har företräde framför direktiven

Av NIS2-direktivet och CER-direktivet följer att berörda bestämmelser i direktiven inte ska vara tillämpliga om det i en sektorsspecifik EU-rättsakt ställs åtminstone likvärda krav som i direktiven på att entiteter ska vidta åtgärder för att stärka sin motståndskraft (artikel 4 i NIS2-direktivet och artikel 1.3 i CER-direktivet). DORA-förordningen är en sektorsspecifik EU-rättsakt i förhållande till både NIS2-direktivet och CER-direktivet (artikel 1.2 i DORA-förordningen). I DORA-förordningen fastställs strängare krav på IKT-riskhantering och IKT-relaterad incident- rapportering än i motsvarande bestämmelser i NIS2-direktivet (jfr skäl 16

iDORA-förordningen). Det innebär att bestämmelserna i NIS2-direktivet om riskhanterings- och rapporteringsskyldigheter beträffande cyber- säkerhet och om tillsyn och efterlevnadskontroll inte gäller för de finansiella entiteter som omfattas av DORA-förordningen (skäl 28 och artikel 4 i NIS2-direktivet). DORA-förordningens krav på IKT-risk- hantering inbegriper även skydd av fysisk IKT-infrastruktur (jfr skäl 21 i CER-direktivet). De finansiella entiteterna som omfattas av DORA- förordningen ska därför undantas från artikel 11 och kapitlen 3, 4 och 6 i CER-direktivet (artikel 8 i CER-direktivet). De finansiella entiteterna ska dock ingå i den förteckning som ska upprättas över entiteter som omfattas av direktiven (artikel 3.3 i NIS2 direktivet och artikel 6.3 i CER- direktivet).

Det är viktigt att upprätthålla en stark koppling mellan finanssektorn och EU:s övergripande ram för cybersäkerhet för att säkerställa överens- stämmelse med de strategier för cybersäkerhet som ska antas av medlems- staterna och göra det möjligt för finansiella tillsynsmyndigheter att få kännedom om cyberincidenter som påverkar andra sektorer som omfattas av NIS2-direktivet (jfr skäl 16 i DORA-förordningen och skäl 28 i NIS2- direktivet). De europeiska tillsynsmyndigheterna och de behöriga myndig- heterna enligt DORA-förordningen ska därför ha möjlighet att delta i samarbetsgruppens verksamhet och att utbyta information och samarbeta med de gemensamma kontaktpunkterna och med CSIRT-enheterna och de behöriga myndigheterna enligt NIS2-direktivet (artikel 47 i DORA- förordningen). De behöriga myndigheterna enligt DORA-förordningen ska även översända uppgifter om större IKT-relaterade incidenter och, i förekommande fall, betydande cyberhot till CSIRT-enheterna, de behöriga myndigheterna eller de gemensamma kontaktpunkterna enligt NIS2- direktivet (artikel 19.6 c i DORA-förordningen). Medlemsstaterna kan även reglera att finansiella entiteter som frivilligt rapporterar betydande cyberhot till den behöriga myndigheten enligt DORA-förordningen även får vidarebefordra anmälan till en CSIRT-enhet (artikel 19.2, se även avsnitt 6) Vidare bör medlemsstaterna fortsätta att inkludera finanssektorn

isina strategier för cybersäkerhet, och CSIRT-enheterna kan inbegripa finanssektorn i sin verksamhet.

4.3Tillämpningsområde

DORA-förordningen är tillämplig på de flesta fysiska och juridiska personer som är verksamma inom den finansiella sektorn (artikel 2). I

förordningen benämns dessa som finansiella entiteter (artikel 2.2). Prop. 2024/25:44 Förvaltare av alternativa investeringsfonder, försäkrings- och återförsäk-

ringsföretag, tjänstepensionsinstitut och försäkrings- och återförsäk- ringsförmedlare som inte uppfyller vissa storlekskrav undantas från tillämpningsområdet. Från förordningens tillämpningsområde undantas även postgiroinstitut, försäkringsförmedlare som bedriver förmedling som sidoverksamhet och personer som omfattas av artiklarna 2 och 3 i Europa- parlamentets och rådets direktiv 2014/65/EU av den 15 maj 2014 om marknader för finansiella instrument och om ändring av direktiv 2002/92/EG och av direktiv 2011/61/EU. Förordningen ger även möjlighet att undanta bl.a. Svenska skeppshypotekskassan från tillämpningsområdet (se avsnitt 5.3). Som Myndigheten för samhällsskydd och beredskap framför, kan entiteter som undantas från tillämpningsområdet i DORA- förordningen i stället omfattas av NIS2- och CER-direktiven (se avsnitt 4.2).

Förordningen gäller bara för de institut som anges i förordningen (artikel 2). Det innebär, som Finansinspektionen framför, att nationella konstruktioner, t.ex. bostadskreditinstitut och konsumentkreditinstitut, inte är att anse som finansiella entiteter enligt DORA-förordningen. Nationella konstruktioner kan dock, som Getswish AB tar upp, omfattas av DORA-förordningen i dess egenskap av tredjepartsleverantörer av IKT- tjänster (artikel 2.1 u, se även avsnitt 4.4.4 och 4.4.5).

Förordningen gäller för flera olika typer av finansiella entiteter inom den finansiella sektorn där riskerna varierar utifrån den verksamhet som den enskilda entiteten får bedriva. Proportionalitetsprincipen är därmed central vid tillämpningen av förordningen (artikel 4 och skäl 21). Finansiella entiteter ska uppfylla kraven i förordningen med beaktande av bl.a. sin storlek och allmänna riskprofil samt karaktären på, omfattningen av och komplexiteten i sina tjänster. På motsvarande sätt ska tillsynsmyndig- heterna beakta de finansiella entiteternas tillämpning av proportionalitets- principen när de utövar sin tillsyn.

4.4Centrala termer och uttryck i förordningen

4.4.1Digital operativ motståndskraft

Digital operativ motståndskraft definieras i DORA-förordningen som en finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säker- ställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott (artikel 3.1). Begreppet syftar till att säkerställa både robusta IKT-system samt företagsledningar och organisationer som är rustade att stå emot och hantera alla möjliga former av IKT-relaterade incidenter.

tillhandahålls av tredjepartsleverantörer av IKT-tjänster eller av under- Prop. 2024/25:44 leverantörer till sådana leverantörer (artikel 3.18).

4.4.8Hotbildsstyrd penetrationstestning

Hotbildsstyrd penetrationstestning avser en testram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer som uppfattas som ett genuint cyberhot. Testramen ska ge ett kontrollerat, skräddarsytt och underrättelsestyrt test (s.k. red team-test) av de kritiska produktionssystem som är i drift hos den finansiella entiteten (artikel 3.17).

4.5IKT-riskhantering

IDORA-förordningen anges vilka krav på IKT-riskhantering som ska gälla för de finansiella entiteterna. Finansiella entiteter ska ha en sund, heltäckande och väldokumenterad IKT-riskhanteringsram som ska göra det möjligt för de finansiella entiteterna att säkerställa en hög nivå av digital operativ motståndskraft (artikel 6.1). IKT-riskhanteringsramen ska innehålla en strategi för digital operativ motståndskraft som inbegriper metoder för att hantera IKT-risker och genomförandet av tester av den digitala operativa motståndskraften (artikel 6.8). Metoder för att hantera IKT-risker avser bl.a. regelbundna riskbedömningar (artikel 8), över- vakning av IKT-systemens verksamhet (artikel 9), rutiner för säkerhets- kopiering, återskapande och återställning (artikel 12) samt IKT- kontinuitetspolicys (artikel 11). Strategin ska uppdateras regelbundet (artikel 6).

För vissa finansiella entiteter gäller en förenklad IKT-riskhanteringsram (se artikel 16).

Finansiella entiteter ska registrera alla IKT-relaterade incidenter och betydande cyberhot och inrätta lämpliga förfaranden och processer för att säkerställa en konsekvent och integrerad övervakning, hantering och upp- följning av IKT-relaterade incidenter (artikel 17.1 och 17.2). Allvarliga IKT-relaterade incidenter ska rapporteras till den behöriga myndigheten (artikel 19). Finansiella entiteter får också på frivillig basis rapportera betydande cyberhot till den relevanta behöriga myndigheten.

Det finns också bestämmelser om klassificering av IKT-relaterade incidenter och cyberhot. Kommissionen har vidare möjlighet att komplettera förordningen med tekniska standarder inom detta område (artikel 18).

4.6 Testning av digital operativ motståndskraft

DORA-förordningen innehåller bestämmelser om testning av digital
operativ motståndskraft. Enligt förordningen ska varje finansiell entitet
som en integrerad del av sin IKT-riskhanteringsram inrätta, upprätthålla
och se över ett sunt och heltäckande program för testning (artikel 24.1).
Testprogrammet ska innehålla bestämmelser om utförande av lämpliga	67
	67

Prop. 2024/25:44 tester såsom bl.a. sårbarhetsanalyser, nätverkssäkerhetsbedömningar, fysiska säkerhetsgranskningar och penetrationstester (artikel 25.1). Utifrån testresultatet ska den finansiella entiteten besluta en åtgärdsplan för att säkerställa att identifierade brister hanteras på ett tillfredsställande sätt (artikel 24.5).

Finansiella entiteter som är verksamma inom delsektorer för centrala finansiella tjänster och som har en central betydelse för systemet ska dessutom regelbundet genomföra avancerad testning baserad på hotbilds- styrd penetrationstestning (artikel 26.1 och 26.8 samt skäl 56). Sådana tester ska som utgångspunkt genomföras vart tredje år.

4.7Hantering av IKT-tredjepartsrisker

IKT-tredjepartsrisker ska hanteras som en integrerad del av IKT-risk- hanteringsramen, vilken ska innehålla en strategi för IKT-tredjepartsrisk (artikel 28). Finansiella entiteter ska upprätthålla ett register med infor- mation om användningen av IKT-tjänster som tillhandahålls av tredje- partsleverantörer av IKT-tjänster och åtminstone årligen rapportera till den behöriga myndigheten om antalet nya arrangemang. Innan en finansiell entitet ingår ett kontraktsmässigt arrangemang om användning av IKT- tjänster ska den bl.a. genomföra due diligence-granskning av potentiella tredjepartsleverantörer, identifiera och bedöma intressekonflikter som det kontraktsmässiga arrangemanget kan orsaka samt identifiera och bedöma alla relevanta risker i samband med det kontraktsmässiga arrangemanget, inbegripet möjligheten att sådana kontraktsmässiga arrangemang kan bidra till att förstärka IKT-koncentrationsrisken. Förordningen innehåller även krav på exitstrategier (artikel 28.8) och bestämmelser om innehållet

ide kontraktsmässiga arrangemangen för användning av IKT-tjänster (artikel 30).

För kritiska tredjepartsleverantörer av IKT-tjänster ska det inrättas ett särskilt tillsynsforum som en underkommitté till de europeiska tillsyns- myndigheterna (artiklarna 31–44).

4.8Det fortsatta arbetet inom EU

4.8.1Ytterligare bestämmelser

De europeiska tillsynsmyndigheterna har genom den gemensamma kommittén, i vissa fall i samråd med antingen Europeiska unionens cyber- säkerhetsbyrå (Enisa) eller med Europeiska centralbanken (ECB) eller med både Enisa och ECB, utarbetat förslag till tekniska standarder för tillsyn och genomförande på ett antal områden. Kommissionen har enligt DORA-förordningen befogenhet att anta sådana tekniska standarder (artiklarna 15, 16, 18, 20, 26, 28, 30 och 41).

Kommissionen ges enligt DORA-förordningen även befogenhet att anta delegerade akter för att komplettera förordningens bestämmelser om vilka kriterier de europeiska tillsynsmyndigheterna ska tillämpa för att iden- tifiera kritiska tredjepartsleverantörer av IKT-tjänster (artikel 31.6) och för

Prop. 2024/25:44

Regeringens bedömning: Utgångspunkten bör vara att befintliga bestämmelser om ingripanden i respektive rörelselag ska tillämpas.

Promemorians förslag och bedömning överensstämmer i sak med regeringens förslag och bedömning.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget och bedömningen eller har inget att invända mot dem.

Finansinspektionen anser att det bör förtydligas hur bestämmelserna i den nya lagen och rörelselagarna förhåller sig till varandra när en finansiell entitet har mer än ett tillstånd.

Sveriges advokatsamfund föreslår att det i kompletteringslagen förtyd- ligas vad som avses med transaktionsregister och värdepapperiserings- register.

Skälen för regeringens förslag och bedömning: En EU-förordning är direkt tillämplig i varje medlemsstat. Till skillnad från ett EU-direktiv ska en EU-förordning inte, och får inte heller, genomföras i nationell rätt. Några särskilda åtgärder för att genomföra DORA-förordningen i svensk rätt ska därför inte vidtas. För att förordningen ska kunna tillämpas krävs likväl att medlemsstaterna inför vissa nationella bestämmelser. Det krävs bl.a. att medlemsstaterna inför administrativa åtgärder och avhjälpande åtgärder mot finansiella entiteter och personer som ingår i ledningen för dessa när den finansiella entiteten har gjort sig skyldig till en överträdelse av förordningen (artikel 50.4 och 50.5).

Genom DORA-förordningen införs harmoniserade regler om digital operativ motståndskraft och krav på hantering av IKT-risk för finans- sektorn. Krav på hantering av IKT-risker har tidigare behandlats separat i olika EU-rättsakter och som en del av de operativa riskkraven för de enskilda företagen. I Sverige finns det därför i dag inte någon lagstiftning som uttryckligen reglerar digital operativ motståndskraft och IKT-riskkrav (jfr avsnitt 4.1). DORA-förordningen har ett brett tillämpningsområde och ett stort antal företag på finansmarknadsområdet, s.k. finansiella entiteter, omfattas av kraven i förordningen. I avsnitt 5.3 föreslås att även Svenska skeppshypotekskassan ska omfattas.

För de flesta finansiella entiteter som omfattas av DORA-förordningen finns det i Sverige en särskild rörelsereglering, t.ex. lagen (2004:297) om bank- och finansieringsrörelse, med bestämmelser om bl.a. tillsyns- befogenheter och administrativa sanktioner vid överträdelser av respektive regelverk (se avsnitt 10.2.1). Tillsyns- och ingripandebestämmelserna i de olika rörelselagarna har samma struktur och överensstämmer i mångt och mycket med varandra. I huvudsak tillgodoser dessa befintliga bestäm- melser kraven enligt DORA-förordningen. Vissa skillnader finns dock. Detta gäller t.ex. sanktionsavgifter där maximibeloppen skiljer sig åt liksom de ytterligare omständigheter som ska beaktas när avgiften ska bestämmas. Utgångspunkten bör vara att befintliga bestämmelser i respektive rörelselag ska tillämpas. Det innebär att samma regler, t.ex. om ingripanden, gäller oavsett om frågan rör krav om digital operativ mot- ståndskraft eller krav som särskilt rör den verksamhet som den finansiella entiteten har tillstånd för. En sådan lagstiftningsmodell skapar även förutsättningar för att andra bestämmelser om t.ex. handräckning och beaktande av soliditets- och likviditetskrav vid fastställande av en sanktionsavgift (se t.ex. 25 kap. 9 § tredje stycket lagen [2007:528] om

värdepappersmarknaden) blir tillämpliga vid ingripanden enligt DORA- förordningen, vilket bedöms vara i enlighet med den reglering av behörig myndighets befogenheter som förordningen kräver (jfr artikel 46). Det behöver dock införas bestämmelser om ingripande mot företrädare för finansiella entiteter vid överträdelser av DORA-förordningen (avsnitt 10.3). Även sådana bestämmelser bör införas i rörelselagarna för att så långt möjligt åstadkomma en enhetlig reglering för de enskilda finansiella entiteterna.

DORA-förordningen kräver även att behörig myndighet ska kunna ingripa med sanktioner och andra avhjälpande åtgärder mot vissa finansiella entiteter och personer i deras ledning som i dag saknar nationell rörelselagstiftning, t.ex. emittenter av tillgångsanknutna token (se avsnitt 10.2.2). Sådana kompletterande bestämmelser har i andra lagstift- ningsärenden på finansmarknadsområdet införts i en särskild lag med kompletterande bestämmelser (se t.ex. lagen [2013:287] med komplet- terande bestämmelser till EU:s förordning om OTC-derivat, centrala mot- parter och transaktionsregister). Bestämmelser som är nödvändiga till följd av DORA-förordningen bör därför tas in i en ny lag som kompletterar för- ordningen. Lagen bör benämnas lagen med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn, i det följande benämnd kompletteringslagen.

Som Finansinspektionen tar upp kan en finansiell entitet ha mer än ett tillstånd och därmed omfattas av tillsyns- och ingripandebestämmelser i mer än en lag. Till exempel kan ett kreditinstitut ha tillstånd för både bank- eller finansieringsrörelse och att bedriva gräsrotsfinansieringstjänster. Redan i dag förekommer viss överlappning mellan olika lagar på finans- marknadsområdet (se t.ex. 18 kap. 1 § försäkringsrörelselagen [2010:2043] och 8 kap. 3 § lagen [2018:1219] om försäkringsdistribution, se även prop. 2017/18:216 s. 90–91). Om ett förfarande anses strida mot flera lagar bör Finansinspektionen, som konstaterats i tidigare lagstift- ningsärenden, kunna välja mellan de ingripandemöjligheter som finns tillgängliga och bestämma sig för det förfarande som framstår som mest effektivt i den enskilda situationen (se prop. 2016/17:22 s. 205 och prop. 2022/23:7 s. 86).

Kompletteringslagen bör utformas efter förebild av andra lagar på finansmarknadsområdet som kompletterar EU-förordningar, se t.ex. lagen med kompletterande bestämmelser till EU:s förordning om OTC-derivat, centrala motparter och transaktionsregister.

Bestämmelserna i kompletteringslagen och ändringar i befintliga lagar bör utformas i linje med motsvarande bestämmelser på finansmarknads- området, förutsatt att detta är förenligt med DORA-förordningen. Inrikt- ningen bör vidare vara att inte införa några bestämmelser som går utöver vad som krävs enligt förordningen.

Enligt flera lagar på finansmarknadsområdet som kompletterar EU- förordningar gäller att termer och uttryck i lagen ska ha samma betydelse som i EU-förordningen (se t.ex. 1 kap. 1 § andra stycket lagen [2022:1746] med kompletterande bestämmelser till EU:s förordning om en pan- europeisk privat pensionsprodukt [PEPP-produkt]). När det gäller vilka entiteter, dvs. företag inom finanssektorn, som ska anses som finansiella entiteter och i och med det omfattas av DORA-förordningen innehåller förordningen inte några självständiga definitioner för vad som avses med

Prop. 2024/25:44

Prop. 2024/25:44 respektive entitet. I stället gäller samma definition som enligt de EU- rättsakter som reglerar entiteten (se artikel 2.1 tillsammans med artikel 3). Med t.ex. kreditinstitut avses således detsamma som enligt artikel 4.1.1 i Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och om ändring av förordning (EU) nr 648/2012, dvs. ett företag vars verksamhet består i att från allmänheten ta emot insättningar eller andra återbetalbara medel och att bevilja krediter för egen räkning (artikel 3.31 i DORA-förordningen). Vissa definitioner är i och för sig mindre tillgängliga än andra. Så är t.ex., som Sveriges advokatsamfund tar upp, fallet med transaktionsregister och värdepapperiseringsregister. Genom hänvisningarna i DORA-förord- ningen till andra EU-rättsakter framgår dock även för dessa entiteter vad som avses med respektive begrepp. Med ett transaktionsregister avses en juridisk person som centralt samlar in och registerför uppgifter om derivat (artikel 3.41 i DORA-förordningen tillsammans med artikel 2.2 i Europa- parlamentets och rådets förordning (EU) nr 648/2012 av den 4 juli 2012 om OTC-derivat, centrala motparter och transaktionsregister). Ett värde- papperiseringsregister är å sin sida en juridisk person som centralt samlar in och registerför uppgifter om värdepapperiseringar (artikel 3.59 i DORA-förordningen tillsammans med artikel 2.23 i Europaparlamentets och rådets förordning (EU) 2017/2402 av den 12 december 2017 om ett allmänt ramverk för värdepapperisering och om inrättande av ett särskilt ramverk för enkel, transparent och standardiserad värdepapperisering samt om ändring av direktiven 2009/65/EG, 2009/138/EG och 2011/61/EU och förordningarna (EG) nr 1060/2009 och (EU) nr 648/2012, i det följande benämnd EU:s förordning om värdepapperisering). Det bör inte utan starka skäl införas andra termer och uttryck i svensk rätt än de som används i en EU-rättsakt. Motsvarande gäller för förtydliganden av sådant som uteslutande definieras i EU-rättsakter. Regeringen anser därmed, till skillnad från Sveriges advokatsamfund, att termer och uttryck i kompletteringslagen bör ha samma betydelse som i DORA-förordningen. Inte heller bör det göras några förtydliganden av de begrepp som används i DORA-förordningen eller andra EU-rättsakter.

	5.2	Finansinspektionen är behörig myndighet

	Regeringens förslag: En upplysningsbestämmelse ska införas i
	kompletteringslagen om att det följer av DORA-förordningen att
	Finansinspektionen är behörig myndighet enligt förordningen.

	Promemorians förslag överensstämmer med regeringens förslag.
	Remissinstanserna tillstyrker förslaget eller har inget att invända mot
	det.
	Skälen för regeringens förslag: Enligt DORA-förordningen ska till-
	synen av de krav som ställs upp i förordningen säkerställas av de behöriga
	myndigheter som har utsetts i enlighet med vissa särskilt angivna EU-
	rättsakter (artikel 46). I Sverige är det Finansinspektionen som är behörig
	myndighet för nästan alla berörda finansiella entiteter, t.ex. kreditinstitut
	(se artikel	46 a). För kreditvärderingsinstitut och värdepapperiserings-
72	register är det dock Europeiska värdepappers- och marknadsmyndigheten

(Esma) som är behörig myndighet (se artikel 46 n om kreditvärderings- Prop. 2024/25:44 institut och artikel 46 q om värdepapperiseringsregister). För sådana

kreditinstitut som har klassificerats som betydande i enlighet med artikel

6.4i Rådets förordning (EU) nr 1024/2013 av den 15 oktober 2013 om tilldelning av särskilda uppgifter till Europeiska centralbanken i fråga om politiken för tillsyn över kreditinstitut, är även Europeiska centralbanken (ECB) behörig myndighet. Det följer därför direkt av DORA-förordningen att Finansinspektionen är behörig myndighet enligt förordningen. En upplysningsbestämmelse om detta bör införas i kompletteringslagen.

5.3Svenska skeppshypotekskassan

Regeringens förslag: Svenska skeppshypotekskassan ska inte undan- tas från tillämpningsområdet för DORA-förordningen.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna tillstyrker förslaget eller har inget att invända mot

det.

Skälen för regeringens förslag: Medlemsstaterna får utesluta vissa enheter från tillämpningsområdet för DORA-förordningen. Svenska skeppshypotekskassan är en sådan enhet (artikel 2.4 i DORA-förordningen tillsammans med artikel 2.5.23 i Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 om behörighet att utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut och värdepappersföretag, om ändring av direktiv 2002/87/EG och om upphävande av direktiv 2006/48/EG och 2006/49/EG, i det följande benämnt kapitaltäcknings- direktivet.

Svenska skeppshypotekskassan behandlas som ett kreditinstitut vid tillämpning av EU:s regelverk om kapitaltäckning (se 1 kap. 2 § 7 lagen [2014:968] om särskild tillsyn över kreditinstitut och värdepappersbolag). Det innebär att bestämmelserna i Europaparlamentets och rådets förord- ning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kredit- institut och om ändring av förordning (EU) nr 648/2012 som gäller för kreditinstitut också gäller för Svenska skeppshypotekskassan, utom i fråga om bestämmelserna om stora exponeringar. I och med att DORA-förord- ningen ska gälla för kreditinstitut, bör förordningen också gälla för Svenska skeppshypotekskassan. Möjligheten enligt förordningen att undanta denna enhet utnyttjas således inte.

5.4Hänvisningar till DORA-förordningen

Regeringens förslag: Hänvisningar till DORA-förordningen ska vara dynamiska, dvs. avse förordningen i den vid varje tidpunkt gällande lydelsen.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna tillstyrker förslaget eller har inget att invända mot

det.

Prop. 2024/25:44 Skälen för regeringens förslag: Hänvisningar till EU-rättsakter kan göras antingen statiska eller dynamiska. En statisk hänvisning innebär att hänvisningen avser EU-rättsakten i en viss angiven lydelse. En dynamisk hänvisning innebär att hänvisningen avser EU-rättsakten i den vid varje tidpunkt gällande lydelsen. I några av de bestämmelser som nu föreslås krävs det en hänvisning till DORA-förordningen. För att eventuella ändringar i förordningen ska få omedelbart genomslag i den svenska lag- stiftningen är det lämpligt att hänvisningarna till förordningen är dynamiska. När det gäller EU-förordningar är det också den hänvis- ningsteknik som har använts i senare lagstiftningsärenden (se t.ex. prop. 2016/17:22 s. 95–96, prop. 2020/21:66 s. 48–49, prop. 2020/21:206 s. 49 och prop. 2022/23:7 s. 89–90).

Likväl förekommer det alltjämt statiska hänvisningar till EU-förord- ningar, se t.ex. 9 kap. 12 § första stycket 1–8 lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument. Den bestämmelsen kommer med de ändringar som föreslås (se avsnitt 18) att innehålla såväl statiska som dynamiska hänvisningar.

5.5Förhållandet till nationella bestämmelser om säkerhet

Regeringens bedömning: DORA-förordningen kräver inga ändringar i lagstiftning inom områdena allmän säkerhet, försvar eller nationell säkerhet.

Det bör inte göras några tillägg i kompletteringslagen för bestäm- melser om nationell säkerhet.

Promemorians bedömning överensstämmer i huvudsak med rege- ringens bedömning. Promemorian innehåller dock inte någon bedömning om behovet av tillägg i kompletteringslagen för bestämmelser om nationell säkerhet.

Remissinstanserna: Flertalet remissinstanser tillstyrker bedömningen eller har inget att invända mot den.

Några remissinstanser, bl.a. Finansinspektionen, Försvarsmakten, För- svarets radioanstalt, Riksbanken, Säkerhetspolisen och Totalförsvarets forskningsinstitut, anser att förhållandet mellan DORA-regelverket och säkerhetsskyddslagen (2018:585) bör förtydligas. Även Telia Sverige AB efterfrågar förtydliganden om detta och då särskilt utifrån de krav som gäller för finansiella entiteter vid avtal med tredjepartsleverantörer av IKT-tjänster.

Säkerhetspolisen anser att det av kompletteringslagen bör framgå att sådan säkerhetskänslig verksamhet som hanterar säkerhetsskydds- klassificerade uppgifter inte omfattas av DORA-förordningen. Myndig- heten anser även att kompletteringslagen bör innehålla ett tillägg som innebär att förordningens krav gäller för övrig säkerhetskänslig verk- samhet, dvs. sådan verksamhet som bedöms vara säkerhetskänslig utifrån ett riktighets- eller tillgänglighetsperspektiv.

Finansinspektionen, Försvarets radioanstalt och Säkerhetspolisen anser att skyldigheten att lämna uppgifter enligt DORA-förordningen inte ska

omfatta uppgifter som är säkerhetsskyddsklassificerade enligt säkerhets-	Prop. 2024/25:44
skyddslagen.
Finansinspektionen och Riksbanken anser att det ska införas en
skyldighet att lämna säkerhetsskyddsklassificerade uppgifter som om-
fattas av DORA-förordningen, men att denna skyldighet inte ska omfatta
incidentrapportering.
Totalförsvarets forskningsinstitut framför att uppgiftsskyldigheten
enligt kompletteringslagen kan innebära att säkerhetsskyddsklassificerad
information begärs in av Riksbanken och efterfrågar en bedömning av hur
sådan information ska hanteras.
Skälen för regeringens bedömning: I DORA-förordningen anges att
förordningen inte påverkar medlemsstaternas ansvar när det gäller
väsentliga statliga funktioner inom områdena allmän säkerhet, försvar och
nationell säkerhet i enlighet med unionsrätten, t.ex. när det gäller tillhanda-
hållande av information som står i strid med skyddet av den nationella
säkerheten (artikel 1.3 och skäl 17). Det innebär att förordningen i sig inte
kräver någon ändring i någon lagstiftning inom områdena allmän säkerhet,
försvar och nationell säkerhet. För svensk del berör detta i första hand
säkerhetsskyddslagen.
Säkerhetsskyddslagen gäller för den som till någon del bedriver verk-
samhet som är av betydelse för Sveriges säkerhet eller som omfattas av ett
för Sverige förpliktande internationellt åtagande om säkerhetsskydd
(1 kap. 1 §). Den är tillämplig på såväl allmän som enskild verksamhet.
Med säkerhetsskydd avses skydd mot t.ex. spioneri och olika brott som
kan hota verksamheten samt skydd i andra fall av säkerhetsskyddsklassi-
ficerade uppgifter. Med säkerhetsskyddsklassificerade uppgifter avses
uppgifter som rör säkerhetskänslig verksamhet och som därför omfattas av
sekretess enligt offentlighets- och sekretesslagen (2009:400) eller som
skulle ha omfattats av sekretess enligt den lagen, om den hade varit
tillämplig (1 kap. 2 §). Den som till någon del bedriver säkerhetskänslig
verksamhet ska utreda behovet av säkerhetsskydd och dokumentera det i
en säkerhetsskyddsanalys (2 kap. 1 §). Med utgångspunkt i analysen ska
verksamhetsutövaren planera och vidta de säkerhetsskyddsåtgärder som
behövs med hänsyn till verksamhetens art och omfattning, förekomst av
säkerhetsskyddsklassificerade uppgifter och övriga omständigheter.
Säkerhetsskyddsåtgärder kan avse informationssäkerhet, fysisk säkerhet
och personalsäkerhet (2 kap. 2–4 §§). Finansinspektionen är tillsyns-
myndighet för enskilda verksamhetsutövare inom området finansiella
företag samt för motsvarande utländska företag som är etablerade i Sverige
(8 kap. 1 § säkerhetsskyddsförordningen [2021:955]).
DORA-förordningen och säkerhetsskyddslagen kan båda bli tillämpliga
i en verksamhet som helt eller delvis är säkerhetskänslig. En finansiell
entitet som bedriver säkerhetskänslig verksamhet kan därmed behöva
tillämpa såväl DORA-förordningen som säkerhetsskyddslagen för en och
samma verksamhet. Detta gäller både finansiella entiteter och, som Telia
Sverige AB framför, tredjepartsleverantörer av IKT-tjänster. Tredjeparts-
leverantörer av IKT-tjänster, som inte klassificeras som kritiska, berörs i
första hand genom de avtalsvillkor som ska gälla för denna typ av tjänster
(se artiklarna 30 och 31 i DORA-förordningen). Även om det förekommer
visst överlapp mellan de enskilda bestämmelserna i DORA-förordningen
och säkerhetsskyddslagen har regelverken olika tillämpningsområden och	75

Prop. 2024/25:44	syften. Det kan t.ex. innebära att finansiella entiteter ska incident-
	rapportera både enligt DORA-förordningen och säkerhetsskyddslagen.
	Inför genomförandet av ett hotbildsstyrt penetrationstest kan den
	finansiella entiteten behöva analysera behovet av ytterligare säkerhets-
	skyddsåtgärder. Utifrån analysen ska den finansiella entiteten vidta de
	åtgärder som krävs för att uppfylla kraven på säkerhetsskydd, t.ex. ingå
	säkerhetsskyddsavtal med aktörer som kan få tillgång till säkerhets-
	klassificerade uppgifter eller annan säkerhetskänslig verksamhet (se 4 kap.
	säkerhetsskyddslagen). Om det i ett enskilt fall inte skulle vara möjligt att
	vidta åtgärder för att upprätthålla ett tillräckligt säkerhetsskydd vid
	tillämpningen av DORA-förordningen bör säkerhetsskyddslagens krav,
	med hänvisning till artikel 1.3 i förordningen, få företräde. Detta gäller
	även i förhållande till de krav som enligt DORA-förordningen ska gälla
	när en finansiell entitet anlitar en tredjepartsleverantör av IKT-tjänster,
	t.ex. för avtalsvillkor med en skyldighet för en tredjepartsleverantör av
	IKT-tjänster att bistå den finansiella entiteten (artikel 30.1 f). Det bör inte
	krävas ett säkerhetsskyddsavtal med Riksbanken vid hotbildsstyrda
	penetrationstester (jfr prop. 2020/21:194 s. 32). Ett uppgiftslämnande som
	följer av lag är inte att anse som ett obehörigt röjande av uppgifter (se
	8 kap. 1 och 2 §§ säkerhetsskyddslagen). En finansiell entitet kan därmed
	lämna säkerhetsskyddsklassificerade uppgifter till Finansinspektionen och
	Riksbanken enligt DORA-förordningen utan att det är att anse som ett
	otillåtet röjande enligt säkerhetsskyddslagen. Dessa uppgifter bör i sin tur
	omfattas av sekretess hos myndigheterna oavsett om de har sitt ursprung
	hos den finansiella entiteten eller en tredjepartsleverantör av IKT-tjänster
	(se avsnitt 11). Myndigheternas möjligheter att dela uppgifter med andra
	myndigheter berörs i avsnitt 7.2 och 14.
	DORA-förordningen är, som utvecklas i avsnitt 5.1, en direkt tillämplig
	EU-förordning vilket innebär att medlemsstaternas utrymme att införa
	nationella bestämmelser är ytterst begränsat. De bestämmelser som
	föreslås i kompletteringslagen avser att uppfylla kraven i förordningen.
	Vidare innehåller DORA-förordningen, till skillnad från NIS2-direktivet
	och det tidigare NIS-direktivet, inte någon bestämmelse som ger medlems-
	staterna möjlighet att besluta att finansiella entiteter som delvis bedriver
	verksamhet inom bl.a. nationell säkerhet ska undantas från krav på risk-
	hantering och incidentrapportering. Det är därmed inte möjligt att, såsom
	Försvarets radioanstalt och Riksbanken anför, införa bestämmelser om
	allmänna undantag i kompletteringslagen från de krav som gäller enligt
	DORA-förordningen.
	Finansinspektionen och Säkerhetspolisen framför att det bör framgå av
	kompletteringslagen att uppgiftsskyldigheten enligt DORA-förordningen
	inte omfattar säkerhetsskyddsklassificerade uppgifter. Eftersom det redan
	följer av artikel 1.3 och skäl 17 i förordningen att det inte finns någon
	skyldighet att lämna uppgifter om det skulle stå i strid med skyddet av den
	nationella säkerheten anser regeringen att det inte finns behov av någon
	nationell bestämmelse i den delen. När det gäller incidentrapporteringen
	enligt DORA-förordningen har Finansinspektionen en skyldighet att
	vidarebefordra sådana rapporter till bl.a. de europeiska tillsynsmyndig-
	heterna och i vissa fall till Europeiska centralbanken (se artikel 19.6). Som
	Lagrådet framför är det viktigt att den finansiella entiteten säkerställer att
76	en incidentrapport inte innehåller säkerhetsskyddsklassificerade uppgifter

och att sådana uppgifter inte förs vidare till Finansinspektionen i samband Prop. 2024/25:44 med rapporteringen. Finansinspektionen har att informera de finansiella

entiteterna om vilka uppgifter som ska ges in och om de tekniska förut- sättningarna för systemet för incidentrapportering. Detta bör samordnas med Finansinspektionens uppgifter kopplade till säkerhetsskydd. När en incidentrapport väl har getts in till Finansinspektionen gäller bestämmel- serna i säkerhetsskyddslagen för myndighetens hantering av säkerhets- skyddsklassificerade uppgifter. För uppgifter i en incidentrapport kan sekretess gälla enligt bl.a. 18 kap. 8 § offentlighets- och sekretesslagen (se vidare avsnitt 11). I ett enskilt fall kan det, som Lagrådet berör, innebära att en svensk myndighet inte kan lämna vidare alla uppgifter om en allvarlig ITK-relaterad incident.

5.6Rapportering och anmälan till Finansinspektionen

Regeringens bedömning: Regeringen eller den myndighet som regeringen bestämmer har möjlighet att meddela bestämmelser om hur finansiella entiteter ska rapportera allvarliga IKT-relaterade incidenter och anmäla betydande cyberhot. Detsamma gäller för bestämmelser om hur och när finansiella entiteter ska lämna uppgifter om tredjeparts- leverantörer av IKT-tjänster.

Promemorian behandlar inte frågan.

Remissinstanserna: Flertalet remissinstanser tar inte upp frågan. Finansinspektionen efterfrågar ett bemyndigande för att kunna före-

skriva om enligt vilket format som inrapportering enligt DORA-förord- ningen ska ske och vid vilken tidpunkt som rapporteringen ska göras.

Skälen för regeringens bedömning: Finansiella entiteter ska enligt DORA-förordningen rapportera allvarliga IKT-relaterade incidenter till Finansinspektionen (artikel 19.1, se även avsnitt 6). Vidare får de, på frivillig basis, anmäla betydande cyberhot till Finansinspektionen (artikel 19.2). Finansiella entiteteter ska även, som en del av hanteringen av IKT-tredjepartsrisker, rapportera vissa uppgifter till Finansinspek- tionen. Det gäller uppgifter om antalet nya arrangemang för användningen av IKT-tjänster, kategorier av tredjepartsleverantörer av IKT-tjänster, typen av kontraktsmässigt arrangemang och de IKT-tjänster och funk- tioner som tillhandahålls (artikel 28.3).

Kompletterande tekniska standarder ska tas fram på EU-nivå för att fastställa standardmallar för rapportering av allvarliga IKT-relaterade incidenter (artikel 20) och för det register över uppgifter om tredjeparts- leverantörer av IKT-tjänster som avses i artikel 28.3 (artikel 28.9).

Själva rapporteringen av IKT-relaterade incidenter och cyberhot behöver dock göras i ett format som kan hanteras av de system som används av mottagaren, dvs. Finansinspektionen. Det finns därför, som Finansinspektionen påpekar, skäl att reglera i vilket format som rapporteringen ska göras. Det finns även behov av bestämmelser för rapporteringen av uppgifter om tredjepartsleverantörer av IKT-tjänster ska

göras. Detta gäller både hur och när det ska ske.

Prop. 2024/25:44 Bestämmelser om hur och när rapporteringen ska ske kan meddelas av regeringen eller den myndighet som regeringen bestämmer i form av verkställighetsföreskrifter (8 kap. 7 § regeringsformen). Det behövs således inte något bemyndigande i kompletteringslagen för detta.

6IKT-relaterade incidenter och cyberhot

Regeringens bedömning: Sverige bör inte utnyttja möjligheten att bestämma att finansiella entiteter ska använda DORA-förordningens mallar när de överlämnar information om en IKT-relaterad incident till en enligt NIS2-direktivet behörig myndighet eller CSIRT-enhet.

Möjligheten att bestämma att finansiella entiteter som frivilligt rapporterar om allvarliga cyberhot också får vidarebefordra en anmälan till en enligt NIS2-direktivet särskilt utsedd CSIRT-enhet bör inte utnyttjas.

Promemorians bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Flertalet remissinstanser tillstyrker bedömningen eller har inget att invända mot den.

Myndigheten för samhällsskydd och beredskap rekommenderar att finansiella entiteter ska ges möjlighet att frivilligt dela information om allvarliga cyberhot med berörda myndigheter enligt NIS2-direktivet. Myndigheten föreslår att samma rapporteringsformulär bör användas vid incidentrapportering enligt NIS2-direktivet och DORA-förordningen. Myndigheten anser även att det bör införas särskilda bestämmelser om informationsutbyte kring kritiska tredjepartsleverantörer och samverkan mellan myndigheten och Finansinspektionen. Försvaret radioanstalt anser att det finns andra aktörer som också kan ha nytta av information om IKT- relaterade incidenter, t.ex. CSIRT-enheter.

Skälen för regeringens bedömning

DORA-förordningen

I DORA-förordningen finns det flera bestämmelser om rapportering av allvarliga IKT-relaterade incidenter och betydande cyberhot. Allvarliga IKT-relaterade incidenter ska rapporteras till den relevanta behöriga myndigheten (artikel 19.1). Rapporteringen inleds med en första anmälan. En anmälan ska sedan följas upp av en delrapport

–så snart statusen för den ursprungliga incidenten har förändrats avse- värt eller hanteringen av den allvarliga IKT-relaterade incidenten har förändrats på grund av ny tillgänglig information,

–när så är lämpligt åtföljd av uppdaterade anmälningar varje gång en relevant statusuppdatering finns tillgänglig, samt

–på särskild begäran av den behöriga myndigheten.

	Avslutningsvis ska det göras en slutrapport när analysen av grund-
78	orsakerna har slutförts och de faktiska påverkanssiffrorna finns tillgäng-
78

liga för att ersätta uppskattningar. Detta gäller oavsett om begränsande åtgärder redan har vidtagits (artikel 19.4).

Den första anmälan och rapporterna ska innehålla all information som är nödvändig för att den behöriga myndigheten ska kunna fastställa betydelsen av den allvarliga IKT-relaterade incidenten och även bedöma eventuella gränsöverskridande konsekvenser (artikel 19.1 femte stycket). Kommissionen har möjlighet att komplettera förordningen med tekniska standarder om själva rapporteringen (artikel 20).

Den behöriga myndigheten ska skyndsamt lämna närmare uppgifter om den allvarliga IKT-relaterade incidenten till flera andra myndigheter, t.ex. Europeiska bankmyndigheten (EBA), Europeiska värdepappers- och marknadsmyndigheten (Esma) eller Europeiska försäkrings- och tjänste- pensionsmyndigheten (Eiopa) samt, som Försvarets radioanstalt påpekar, till de behöriga myndigheter, gemensamma kontaktpunkter eller CSIRT- enheter som har utsetts eller inrättats i enlighet med NIS2-direktivet (artikel 19.6). EBA, Esma eller Eiopa och Europeiska centralbanken (ECB) ska därefter, i samråd med Europeiska unionens cybersäkerhets- byrå (Enisa) och i samarbete med den relevanta behöriga myndigheten, bedöma om den allvarliga IKT-relaterade incidenten är relevant för behöriga myndigheter i andra medlemsstater. Efter denna bedömning ska EBA, Esma eller Eiopa så snart som möjligt underrätta de relevanta behöriga myndigheterna i andra medlemsstater i ärendet. ECB ska under- rätta medlemmarna i Europeiska centralbankssystemet om frågor som är relevanta för betalningssystemet. Baserat på denna underrättelse ska de behöriga myndigheterna vid behov vidta alla nödvändiga åtgärder för att skydda det finansiella systemets omedelbara stabilitet (artikel 19.7).

Den behöriga myndigheten ska bekräfta mottagandet av en första anmälan och av varje rapport. När så är möjligt, får myndigheten skynd- samt tillhandahålla relevant och proportionell återkoppling eller väg- ledning på hög nivå till den finansiella entiteten. Myndigheten får också diskutera åtgärder som tillämpas på finansiell entitetsnivå och sätt att minimera och mildra de negativa effekterna i den finansiella sektorn. Finansiella entiteter är dock fortsatt fullt ansvariga för hanteringen av och konsekvenserna av de IKT-relaterade incidenterna (artikel 22).

För cyberhot gäller att finansiella entiteter får rapportera betydande cyberhot till den relevanta behöriga myndigheten när de anser att hotet är relevant för det finansiella systemet, tjänsteanvändarna eller kunderna. Den relevanta behöriga myndigheten får i sin tur informera andra relevanta myndigheter (EBA, Esma eller Eiopa m.fl.) om cyberhot som rapporteras till den. Medlemsstaterna får fastställa att de finansiella entiteter som rapporterar på frivillig grund också får vidarebefordra detta till de CSIRT- enheter som utsetts eller inrättats i enlighet med NIS2-direktivet (artikel 19.2). Som för IKT-relaterade incidenter har kommissionen möj- lighet att komplettera förordningen med tekniska standarder om själva rapporteringen av cyberhot (artikel 20).

I vissa fall ska en finansiell entitets kunder informeras. Så är fallet om en allvarlig IKT-relaterad incident inträffar och den påverkar kunders ekonomiska intressen. På motsvarande sätt gäller vid ett betydande cyber- hot att den finansiella entiteten ska informera de kunder som kan påverkas av hotet (artikel 19.3).

Prop. 2024/25:44

Information till myndigheter och enheter enligt NIS2-direktivet

Som utvecklas i avsnitt 5.1 är DORA-förordningen direkt tillämplig och det behövs därmed inte några ytterligare bestämmelser för att finansiella entiteter ska vara skyldiga att rapportera om allvarliga IKT-relaterade incidenter på de sätt som anges i förordningen. På motsvarande sätt behövs det inte heller några ytterligare bestämmelser för att Finansinspektionen ska kunna utföra de uppgifter som enligt förordningen ska utföras av den behöriga myndigheten (se avsnitt 9.1).

Medlemsstaterna ges ett visst handlingsutrymme för vad som ska gälla för rapportering av IKT-relaterade incidenter och frivillig anmälan av cyberhot. Enligt förordningen får de bestämma att vissa eller alla finansiella entiteter ska använda DORA-förordningens mallar för rapportering också när de överlämnar anmälan och rapporter till de behöriga myndigheterna eller de CSIRT-enheter som utsetts eller inrättats

ienlighet med NIS2-direktivet (artikel 19.1 sjätte stycket i DORA-förord- ningen, se även avsnitt 4.2). När det gäller frivillig rapportering av betydande cyberhot får medlemsstaterna fastställa att de finansiella entiteter som rapporterar på frivillig basis också får vidarebefordra en anmälan till de CSIRT-enheter som utsetts eller inrättats i enlighet med NIS2-direktivet (artikel 19.2 tredje stycket). Det är av särskild vikt att relevanta myndigheter informeras om allvarliga IKT-relaterade incidenter och betydande cyberhot. Detta bör ske så snart det är möjligt. Det är också angeläget att myndigheter får tillräcklig och korrekt information om vad som inträffat så att relevanta åtgärder kan vidtas på ett tidigt stadium. Samtidigt är det en avvägning om och när en myndighet ska informeras om en händelse. Det finns risker med att en myndighet informeras om en händelse med svag anknytning till dess verksamhet. En alltför omfattande informationsspridning kan leda till en mindre effektiv hantering av en uppkommen händelse. När det gäller finansiella entiteter torde det i första hand vara Finansinspektionen, i egenskap av tillsynsmyndighet, som har nytta av information om en allvarlig IKT-relaterad incident. Detta blir också fallet då Finansinspektionen ska vara behörig myndighet enligt DORA-förordningen (se avsnitt 5.2) till vilken finansiella entiteter ska rapportera om en allvarlig IKT-relaterad incident (artikel 19.1 första stycket). Finansinspektionen ska sedan skyndsamt lämna över uppgifter till flera andra myndigheter, bl.a. den behöriga myndigheten, den gemen- samma kontaktpunkten eller de CSIRT-enheter som utsetts eller inrättats enligt NIS2-direktivet (artikel 19.6). Detta får, till skillnad från vad Myndigheten för samhällsskydd och beredskap anför, anses tillräckligt för att relevanta myndigheter i ett tidigt skede ska få kännedom om en incident. Möjligheten enligt DORA-förordningen att bestämma om vilken information som en finansiell entitet ska lämna till en enligt NIS2- direktivet behörig myndighet eller CSIRT-enhet bör därför inte utnyttjas (artikel 19.1 sjätte stycket). Inte heller bör möjligheten att bestämma att en finansiell entitet som gör en frivillig anmälan om ett allvarligt cyberhot också får vidarebefordra en anmälan till en enligt NIS2-direktivet särskilt utsedd CSIRT-enhet utnyttjas (artikel 19.2 tredje stycket). Att, så som Myndigheten för samhällsskydd och beredskap efterfrågar, införa ytterligare nationella bestämmelser för att stärka informationsutbytet kring kritiska tredjepartsleverantörer och samverkan kring incidentrapportering

och cyberkrishantering i förhållande till det nationella genomförandet av Prop. 2024/25:44 NIS2-direktivet låter sig mot denna bakgrund inte göras inom ramen för

detta lagstiftningsarbete.

7Hotbildsstyrda penetrationstester

7.1	Ansvariga myndigheter

Regeringens förslag: Finansinspektionen ska bestämma vilka finan-
siella entiteter som ska genomföra hotbildsstyrda penetrationstester och
hur ofta.
Riksbanken ska övervaka och samordna hotbildsstyrda penetrations-
tester. Riksbanken ska även utfärda intyg om att testerna uppfyller
kraven i DORA-förordningen.

Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller
har inget att invända mot det.
Finansinspektionen och Sveriges riksbank (Riksbanken) efterfrågar en
tydligare uppdelning av de uppgifter som myndigheterna ska utföra enligt
artiklarna 26 och 27 i DORA-förordningen.
Kungl. Tekniska högskolan framför att kraven på hotbildsstyrda
penetrationstester möjligen bör kompletteras med krav som skapar
incitament för finansiella entiteter att nyttja IKT-lösningar som löpande
utvecklas, drifthålls och förvaltas med hänsyn till snabbt förändrade
hotbilder och med hjälp av kunskap från forskningens framkant om hur
moderna säkra IKT-tjänster tas fram och vidmakthålls.
Skälen för regeringens förslag
Krav på avancerade tester enligt DORA-förordningen
I DORA-förordningen finns det bestämmelser om testning av digital
operativ motståndskraft (artiklarna 24–27). Vissa finansiella entiteter ska
regelbundet genomföra avancerade tester med hjälp av hotbildsstyrd
penetrationstestning. Syftet med testningen är att den finansiella entiteten
ska kunna bedöma sin beredskap att hantera IKT-relaterade incidenter,
identifiera svagheter, brister och luckor i den digitala operativa motstånds-
kraften och snabbt genomföra korrigerande åtgärder. Det är särskilt finan-
siella entiteter som är verksamma inom delsektorer för centrala finansiella
tjänster och som har en central betydelse för systemet som bör komma i
fråga för hotbildsstyrda penetrationstester (skäl 56). Sådana tester ska
genomföras vart tredje år om inte den behöriga myndigheten begär något
annat (artikel 26.1).
De hotbildsstyrda penetrationstesterna ska utformas i enlighet med det
av Europeiska centralbanken utvecklade testramverket TIBER-EU
(TIBER = Threat Intelligence-Based Ethical Red teaming) och innehålla
s.k. red-team-tester (artikel 26.11, se även skäl 56). Ett red-team-test
innebär att en cyberattack under kontrollerade former simuleras mot en		81

Prop. 2024/25:44 organisations anställda, processer och teknik. Syftet med testet är att identifiera brister för att sedan kunna förbättra motståndskraften för organisationen.

När testet har avslutats och efter att rapporter och åtgärdsplaner har godkänts ska den finansiella entiteten förses med ett intyg som bekräftar att testet har genomförts i enlighet med kraven i DORA-förordningen. Intyget är tänkt att möjliggöra ett ömsesidigt erkännande av hotbildsstyrda penetrationstester mellan behöriga myndigheter i olika medlemsstater (artikel 26.7). Intyget bör enbart användas för ömsesidigt erkännande och bör inte utesluta några uppföljningsåtgärder som krävs för att hantera den IKT-risk som den finansiella entiteten är utsatt för. Avsikten med intyget är inte att det ska innebära tillsynsmyndighetens godkännande av den finansiella entitetens kapacitet att hantera och begränsa IKT-risk (skäl 61). För de finansiella entiteterna gäller alltjämt förordningens krav om IKT- riskhantering med en skyldighet att regelbundet se över den egna styrningen och organisationen (se t.ex. artikel 5.2 e–h). Det finns inte anledning att, som Kungl. Tekniska högskolan framför, införa ytterligare krav om att verksamheten ska ses över.

De finansiella entiteterna är enligt förordningen skyldiga att genomföra hotbildsstyrda penetrationstester (artikel 26.1). De behöriga myndig- heterna har enligt förordningen vissa uppgifter kopplade till testningen. I ett första steg ska myndigheterna identifiera vilka finansiella entiteter som ska testas (artikel 26.8 tredje stycket). Myndigheterna ska godkänna en finansiell entitets bedömning av vad som ska testas, dvs. om ett test ska omfatta flera eller alla av en finansiell entitets kritiska eller viktiga funk- tioner och ska utföras på produktionssystem i drift som stöder sådana funktioner (artikel 26.2). Själva testerna ska för de allra flesta finansiella entiteter utföras av en oberoende part (artikel 24.4). Detta hindrar inte att en finansiell entitet använder en intern testare, men det ställer särskilda krav på bl.a. avsatta resurser och hanteringen av intressekonflikter (artiklarna 26.8 och 27). Användande av en intern testare kräver även ett särskilt godkännande av den ansvariga myndigheten (artikel 27.2 a). Vart tredje test ska dock utföras av en extern testare (artikel 26.8 första stycket).

För att dra nytta av den expertis som redan i vissa fall förvärvats med avseende på genomförandet av TIBER-EU, får medlemsstaterna utse en enda offentlig myndighet inom finanssektorn för alla frågor som rör hotbildsstyrd penetrationstestning och ge myndigheten alla befogenheter och uppgifter i detta syfte (artikel 26.9). Om ingen sådan myndighet utses får en behörig myndighet delegera uppgifter som rör sådan testning till en annan nationell myndighet inom den finansiella sektorn (artikel 26.10).

I figur 7.1 ges en översiktlig bild av förfarandet för hotbildsstyrd penetrationstestning enligt DORA-förordningen.

Figur 7.1

Hotbilsstyrd penetrationstestning

Prop. 2024/25:44

Den behöriga myndigheten

beslutar att en finansiella entitet

ska genomgå hotbildsstyrd

penetrationetestning

Den finansiella entiteten tar fram en plan för vad det hotbildsstyrda penetrations-testet ska omfatta

Ansvarig myndighet godkänner planen och om testet ska utföras av en intern eller extern testare

Testet utförs under övervakning

av en ansvarig myndighet

Den finansiella entiteten underrättar den behöriga myndigheten om att ett intyg har utfärdats samt en sammanfattning av testresultatet och åtgärdsplaner

Den finansiella entiteten ger in en sammanfattning av testresultatet, åtgärdsplaner och dokumentation av testet till ansvarig myndighet

Ett intyg om att testet har

genomförts i enlighet med kraven

i DORA-förordningen utfärdas

Bör en eller flera myndigheter ansvara för testningen?

Medlemsstaterna ges enligt DORA-förordningen möjlighet att välja vilken myndighet som ska ansvara för frågor som rör hotbildsstyrd penetrations- testning. Det måste dock vara en myndighet inom den finansiella sektorn (artikel 26.9). Om ingen myndighet utses kommer den behöriga myndig- heten att ansvara för testerna.

I Sverige finns det tre myndigheter inom den finansiella sektorn som kan vara aktuella. Dessa är Finansinspektionen, Riksbanken och Riksgälds- kontoret.

Finansinspektionen är som behörig myndighet enligt DORA-förord- ningen (se avsnitt 5.2) den myndighet som utövar tillsyn över de finan- siella entiteter som kan komma att omfattas att krav på hotbildsstyrda penetrationstester. Som tillsynsmyndighet på finansmarknadsområdet är Finansinspektionen den myndighet som kan antas ha mest regelbunden och upparbetad kontakt med samtliga finansiella entiteter som kommer att omfattas av krav om att genomföra tester. Inspektionen är också den myndighet som i dag har bäst kännedom om de finansiella entiteternas riskprofiler och entiteternas betydelse för den finansiella stabiliteten. Det kan dock ifrågasättas om den myndighet som utövar tillsyn också ska ha aktiv del i den typ av testverksamhet som ska utföras enligt DORA-förord- ningen. Finansinspektionen har i dag inte någon verksamhet som rör eller anknyter till hotbildsstyrda penetrationstester. Om Finansinspektionen ska utföra all testverksamhet skulle det innebära ett utvidgat uppdrag, bortom det nuvarande kärnuppdraget om tillsyn, regelgivning och tillstånds- prövning som rör finansiella marknader och finansiella företag.

Riksbanken utövar inte tillsyn över enskilda företag och har en, i förhållande till Finansinspektionen, begränsad kontakt med företag som är verksamma inom den finansiella sektorn. De samordnar och övervakar dock redan hotbildsstyrda penetrationstester. Systemviktiga finansiella företag har i dag möjlighet att hos Riksbanken genomföra sådana frivilliga tester som regleras i TIBER-EU. Riksbanken har, som centralbank, även

Prop. 2024/25:44 en samordnande roll och är kontaktpunkt i förhållande till andra länders TIBER-program. Ett uppdrag att också ansvara för testverksamhet enligt DORA-förordningen innebär emellertid att Riksbanken kan komma att behöva utvidga verksamheten. Det beror på att fler finansiella företag kommer att behöva genomgå tester enligt förordningen än vad som hittills erbjudits inom ramen för TIBER-EU. Riksbanken saknar å andra sidan den ingående kunskap om de enskilda finansiella entiteterna och deras risk- profiler som en tillsynsmyndighet besitter. Inte heller innebär myndig- hetens nuvarande verksamhet sådan myndighetsutövning mot enskild som den hotbildsstyrda penetrationstestningen enligt DORA-förordningen kommer att medföra.

Liksom Finansinspektionen och Riksbanken verkar även Riksgälds- kontoret inom den finansiella sektorn och skulle därmed kunna komma i fråga för uppgifter enligt DORA-förordningen. Riksgäldskontoret har vissa uppgifter som rör finansiella entiteter eftersom myndigheten bl.a. är resolutionsmyndighet. I förhållande till Finansinspektionen är dessa upp- gifter mer begränsade och omfattar bara vissa företag inom det finansiella området. Inte heller bedriver Riksgäldskontoret i dag någon form av testning av digital operativ motståndskraft som påminner om den testning som ska utföras enligt förordningen, t.ex. TIBER-EU.

Sammantaget framstår det som mindre ändamålsenligt att ge någon av Finansinspektionen, Riksbanken eller Riksgäldskontoret ensam ansvaret för alla frågor som rör hotbildsstyrd penetrationstestning i Sverige. I stället bör Finansinspektionen och Riksbanken dela på ansvaret.

Ansvarsfördelning mellan Finansinspektionen och Riksbanken

Utgångspunkten bör vara att de kompetenser som Finansinspektionen och Riksbanken redan besitter tas tillvara vid fördelningen av ansvaret för olika delar av den hotbildsstyrda penetrationstestningen.

Finansinspektionen bör därför ansvara för uppgifter som ligger inom ramen för eller har nära anknytning till myndighetens nuvarande uppdrag. I första hand gäller detta myndighetens tillsynsverksamhet. Inspektionen bör i och med det vara den myndighet som enligt DORA-förordningen ska besluta om vilka finansiella entiteter som ska genomföra hotbildsstyrda penetrationstester och med vilken frekvens, dvs. hur ofta, testerna ska utföras.

Vissa uppgifter inom den hotbildsstyrda penetrationstestningen är, som anges ovan, mindre lämpliga att en tillsynsmyndighet utför. I första hand gäller det uppgifter som innebär att samordna och övervaka hotbildsstyrda penetrationstester. Detta omfattar bl.a. att initiera en ny testomgång med en finansiell entitet, att validera vilka kritiska eller viktiga funktioner som ska omfattas av testningen (artikel 26.2 tredje stycket) och säkerställa att den testare som anlitas för utförandet av testet uppfyller de krav som ställs i förordningen (artikel 27). Med att övervaka och samordna avses även att säkerställa att den finansiella entiteten tillämpar den testmetod och det tillvägagångssätt som ska följas för varje specifik fas i testprocessen. Riksbankens kompetens och erfarenhet av att genomföra hotbildsstyrda penetrationstester inom ramverket för TIBER-EU bör tas tillvara. Riks- banken bör därför ges i uppdrag att övervaka och samordna de hotbilds- styrda penetrationstester som ska genomföras enligt DORA-förordningen.

Som ett led i detta bör Riksbanken också utfärda ett sådant intyg som avses Prop. 2024/25:44 i artikel 26.7 i DORA-förordningen om att testerna uppfyller kraven i

förordningen.

Bestämmelser om ansvarsfördelningen, i enlighet med artikel 26.9 och

26.10i DORA-förordningen, bör tas in i kompletteringslagen. Finans- inspektionen och Riksbanken efterfrågar ytterligare vägledning för ansvarsfördelningen mellan myndigheterna. Artiklarna 26 och 27 i DORA-förordningen om hotbildsstyrd penetrationstestning ska komplet- teras med tekniska standarder för tillsyn i enlighet med TIBER-EU-ramen (artikel 26.11). De tekniska standarderna ska bl.a. närmare specificera kraven i fråga om omfattningen av den hotbildsstyrda penetrationstest- ningen som avses i artikel 26.2, den testmetod och det tillvägagångssätt som ska följas för varje specifik fas i testprocessen, testningens resultat och avslutnings- och åtgärdsfaser samt samarbetet kring testning av finansiella entiteter som är verksamma i mer än en medlemsstat. Den ansvarsfördelning som föreslås i kompletteringslagen bör gälla även för de uppgifter som ska utföras av nationella myndigheter enligt den tekniska standarden. Uppdraget att övervaka och samordna de hotbildsstyrda pene- trationstesterna bör alltså innefatta de uppgifter för nationella myndigheter som regleras i den tekniska standarden, med undantag för de beslut som ska fattas av Finansinspektionen enligt kompletteringslagen.

7.2Samverkan mellan Finansinspektionen och Riksbanken

Regeringens förslag: Finansinspektionen ska ge Riksbanken tillfälle att yttra sig innan Finansinspektionen fattar beslut om vilka finansiella entiteter som ska genomföra hotbildsstyrda penetrationstester och hur ofta.

Riksbanken ska ge Finansinspektionen möjlighet att yttra sig innan Riksbanken fattar beslut om testningen som berör Finansinspektionens tillsynsverksamhet. Om detta skulle innebära att testet onödigt fördröjs är det tillräckligt att Riksbanken underrättar Finansinspektionen om beslutet.

Finansinspektionen och Riksbanken ska lämna varandra de uppgifter som respektive myndighet behöver för samverkan.

Promemorians förslag överensstämmer i huvudsak med regeringens förslag. Promemorians förslag innehåller inte någon begränsning av Riksbankens skyldighet att samverka med Finansinspektionen.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det.

Riksbanken framför att skyldigheten att samverka med Finans- inspektionen bör vara mer begränsad under den aktiva testfasen.

Prop. 2024/25:44

Skälen för regeringens förslag

Möjlighet att yttra sig

I avsnitt 7.1 föreslås att både Finansinspektionen och Riksbanken ska ut- föra uppgifter som rör de hotbildsstyrda penetrationstester som ska genomföras enligt DORA-förordningen. När ansvaret på detta sätt delas mellan två myndigheter är det viktigt med samarbete dem emellan. Detta är inte nödvändigt för alla delar av verksamheten, men fyller en viktig funktion i situationer där ett beslut som fattas av den ena myndigheten påverkar den andra myndighetens verksamhet. Det är inte alla åtgärder som vidtas i arbetet med hotbildsstyrda penetrationstester som påverkar den andra myndighetens verksamhet. Det finns därför inte skäl att kräva en generell samverkan mellan myndigheterna. Både Finansinspektionens och Riksbankens uppgifter kan dock väntas innefatta moment som påverkar den andra myndighetens verksamhet. I dessa delar bör det införas bestämmelser som reglerar hur Finansinspektionen och Riksbanken ska samverka med varandra.

Finansinspektionens beslut om vilka finansiella entiteter som ska genomföra hotbildsstyrda penetrationstester och hur ofta testerna ska utföras, kommer att påverka Riksbankens verksamhet. Finansinspektionen bör därför ge Riksbanken möjlighet att yttra sig innan inspektionen fattar beslut i dessa frågor.

Riksbankens verksamhet med att övervaka och samordna genom- förandet av de hotbildsstyrda penetrationstesterna involverar till stor del inte Finansinspektionen och dess tillsynsverksamhet, eftersom testerna ska vara skilda från tillsynen över de enskilda finansiella entiteterna. Vissa beslut och ställningstaganden kräver dock den behöriga myndighetens, dvs. tillsynsmyndighetens, medverkan. Så är t.ex. fallet när det gäller validering av vilka delar av den finansiella entitetens verksamhet som ska omfattas av testningen (artikel 26.2) och ett godkännande att använda interna testare (artikel 27.2). Det kan även uppstå andra fall som direkt berör Finansinspektionens tillsynsverksamhet. Riksbanken bör därför ge Finansinspektionen möjlighet att yttra sig innan Riksbanken fattar beslut som påverkar Finansinspektionens tillsynsverksamhet. Det finns dock vissa beslut där ett samråd riskerar att i onödan fördröja, och med det också fördyra, ett test. Som Riksbanken framför bör det framför allt kunna vara fråga om beslut som fattas under den aktiva testfasen, dvs. när testet pågår. Riksbanken bör därför inte vara skyldig att ge Finansinspektionen tillfälle att yttra sig om det skulle leda till att ett test onödigt fördröjs. I ett sådant fall är det tillräckligt att Finansinspektionen underrättas om beslutet.

Utbyte av känsliga uppgifter

Sekretess kan gälla för vissa uppgifter i en statlig myndighets verksamhet enligt DORA-förordningen (se avsnitt 11). Det är möjligt att Finans- inspektionen och Riksbanken, inom ramen för den samverkan som föreslås ovan, kan behöva utbyta uppgifter som omfattas av denna eller annan sekretess.

Sekretess hindrar i och för sig inte att en uppgift lämnas till en annan myndighet om det är nödvändigt för att den utlämnande myndigheten ska kunna fullgöra sin verksamhet (10 kap. 2 § offentlighets- och sekretess- lagen [2009:400], förkortad OSL). En sekretessbelagd uppgift kan också

lämnas till en annan myndighet, om det är uppenbart att intresset av att Prop. 2024/25:44 uppgiften lämnas har företräde framför det intresse som sekretessen ska

skydda (10 kap. 27 § OSL).

Det är tveksamt om dessa bestämmelser i offentlighets- och sekretess- lagen är tillräckliga för att Finansinspektionen och Riksbanken ska kunna samverka och lämna uppgifter till varandra på det sätt som krävs för att de ska kunna fullgöra sina uppgifter enligt DORA-förordningen och komplet- teringslagen. I första hand är det den mottagande myndigheten som be- höver information för att kunna fullgöra sina uppgifter. Riksbanken be- höver uppgifter från Finansinspektionen för att kunna fatta beslut om själva genomförandet av testningen. På motsvarande sätt kan Finans- inspektionen behöva uppgifter från Riksbanken för att fatta beslut om vilka finansiella entiteter som ska genomföra testningen. Denna typ av informa- tionsutbyte kan inte ske med stöd av bestämmelsen om nödvändigt ut- lämnande (10 kap. 2 §), då ett sådant utlämnande bara är möjligt för att den utlämnande myndigheten ska kunna fullgöra sitt uppdrag. Ett utläm- nande bör i och för sig kunna ske med stöd av generalklausulen (10 kap.

27 §) under förutsättning att det står klart att intresset av ett utlämnande har företräde framför det intresse som sekretessen ska skydda. Ett mer rutinmässigt utlämnande bör dock bara i undantagsfall kunna ske med stöd den bestämmelsen (se prop. 1979/80:2 del A s. 327).

För att Finansinspektionen och Riksbanken ska kunna utföra sina upp- gifter enligt DORA-förordningen och kompletteringslagen bör det krävas ett nära samarbete, med ett omfattande och kontinuerligt informations- utbyte. Det bör lämpligen införas en bestämmelse om att myndigheterna ska lämna vissa uppgifter till varandra. På så sätt tydliggörs skyldigheterna för myndigheterna. En sådan bestämmelse medför också att sekretess inte hindrar att en uppgift lämnas (10 kap. 28 §). Ett utlämnande blir därmed inte beroende av att bestämmelsen om nödvändigt utlämnande (10 kap.

2 §) eller generalklausulen (10 kap. 27 §) är tillämplig. Det bör således införas en särskild uppgiftsskyldighet mellan Finansinspektionen och Riksbanken som möjliggör ett utbyte av uppgifter trots sekretess. Uppgiftsskyldigheten bör begränsas till det som myndigheterna ska samverka med varandra om.

7.3	Uppgiftsskyldighet för finansiella entiteter

Regeringens förslag: På begäran av Riksbanken ska finansiella
entiteter lämna de uppgifter som är nödvändiga för Riksbankens verk-
samhet som rör hotbildsstyrda penetrationstester.
Riksbanken ska få besluta om de förelägganden som behövs för att
en finansiell entitet ska följa sin uppgiftsskyldighet i förhållande till
Riksbanken.
Ett beslut om föreläggande ska kunna förenas med vite.

Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna tillstyrker förslaget eller har inget att invända mot
det.
Skälen för regeringens förslag: I avsnitt 9 föreslås flera olika tillsyns-
befogenheter. Med den uppdelning mellan Finansinspektionens och Riks-		87

Prop. 2024/25:44 bankens ansvarsområden som föreslås i avsnitt 7.1 kommer befogen- heterna bara gälla för Finansinspektionen. Frågan är därmed om Riks- banken behöver motsvarande befogenheter för den hotbildsstyrda penetrationstestningen.

Genomförande av den hotbildsstyrda penetrationstestningen bör i huvudsak ske genom frivillig dialog och samarbete mellan de finansiella entiteter som utför testerna och Riksbanken. Samtidigt rör det sig om krav enligt såväl DORA-förordningen som kompletteringslagen. Riksbanken har inte någon generell befogenhet för att säkerställa att de finansiella entiteterna följer myndighetens anvisningar.

För att Riksbanken ska kunna övervaka och samordna testerna (se avsnitt 7.1) bör myndigheten ges möjlighet att begära in uppgifter av den finansiella entiteten. Detta bör bara gälla de uppgifter som är nödvändiga för Riksbankens verksamhet som rör de hotbildsstyrda penetrations- testerna. Om den finansiella entiteten inte följer Riksbankens begäran bör Riksbanken kunna förelägga den finansiella entiteten att lämna den efter- frågade informationen. Ett föreläggande om att lämna uppgifter bör kunna förenas med vite.

Finansiella entiteter får anlita underleverantörer eller tredjepartsleveran- törer av IKT-tjänster, s.k. utkontraktering (se artiklarna 29 och 30 i DORA-förordningen). I de fall ett hotbildsstyrt penetrationstest även ska omfatta den verksamhet som bedrivs av en tredjepartsleverantör av IKT- tjänster kommer även leverantören att omfattas av testet. Enligt DORA- förordningen är det likväl den finansiella entiteten som har fullt ansvar för att säkerställa att förordningen efterlevs och entiteten ska vidta nödvändiga åtgärder och skyddsåtgärder för att säkerställa att berörda tredjeparts- leverantörer av IKT-tjänster deltar i den hotbildsstyrda penetrations- testningen (artikel 26.3). Även i dessa situationer med utkontraktering bör det vara tillräckligt att skyldigheten att lämna uppgifter bara gäller för den finansiella entiteten.

En bestämmelse om uppgiftsskyldighet bör tas in i kompletteringslagen. Bestämmelsen bör utformas efter förebild av motsvarande bestämmelse om uppgiftsskyldighet i lagen (2022:1568) om Sveriges riksbank (12 kap. 1 §).

	8	IKT-tredjepartsrisker

	Regeringens bedömning: Det bör inte införas ett undantag från
	DORA-förordningen för verksamhet som bedrivs enligt lagen om
	clearing och avveckling av betalningar.

		Promemorian behandlar inte frågan.
		Remissinstanserna: Flertalet remissinstanser tar inte upp frågan.
		Getswish AB framför att det finns risk för regelkonflikter mellan DORA-
	förordningen och lagen (2024:114) om clearing och avveckling av betal-
	ningar. Detta gäller särskilt olika krav på riskhantering och en finansiell
	entitets möjlighet enligt DORA-förordningen att säga upp ett avtal med en
88	tredjepartsleverantör av IKT-tjänster. Bolaget anser att det ska tas in ett
88

förtydligande i kompletteringslagen om att avtalsvillkor för användning av IKT-tjänster inte får äventyra ett clearingbolags tillstånd och förmåga att följa nationell lag.

Skälen för regeringens bedömning: I DORA-förordningen finns det flera bestämmelser om utkontraktering av IKT-tjänster och hantering av risker som kan uppkomma vid sådan utkontraktering (artiklarna 28–30). Med IKT-tredjepartsrisk avses enligt förordningen en IKT-risk som kan uppstå för en finansiell entitet i samband med dess användning av IKT- tjänster som tillhandahålls av tredjepartsleverantörer av IKT-tjänster eller av underleverantörer till sådana leverantörer, inbegripet genom ut- kontrakteringsarrangemang (artikel 3.18). En finansiell entitet ska hantera IKT-tredjepartsrisker inom sin IKT-riskhanteringsram (artikel 28.1). Redan innan avtalet ingås ska den finansiella entiteten identifiera och bedöma relevanta risker (artikel 28.4 c). Detta gäller även risker som kan uppkomma om en tredjepartsleverantör av IKT-tjänster anlitar annan för tjänsterna, s.k. underentreprenad (artikel 29.2). Den finansiella entiteten ska förbehålla sig rätten att avsluta ett uppdragsavtal, t.ex. om tredjeparts- leverantören av IKT-tjänster på ett betydande sätt bryter mot tillämpliga lagar (artikel 28.7). I förordningen anges även krav om vad ett uppdrags- avtal ska innehålla (artikel 30).

Såväl DORA-förordningen som lagen om clearing och avveckling av betalningar innehåller krav på riskhantering och att verksamheten ska kunna bedrivas utan avbrott (se t.ex. artiklarna 6 och 11 i DORA-förord- ningen jämförda med 3 kap. 2 § lagen om clearing och avveckling av betalningar). Det finns också krav om vad som ska gälla vid ut- kontraktering (artiklarna 28–30 i DORA-förordningen jämförda med 3 kap. 6 § lagen om clearing och avveckling av betalningar).

Bestämmelserna i DORA-förordningen riktar sig till de finansiella entiteterna och det är också de som ska uppfylla kraven i förordningen om utkontraktering (artiklarna 28 och 29). En tredjepartsleverantör av IKT- tjänster påverkas i och för sig genom de avtalsvillkor som en finansiell entitet måste ställa för att kunna ingå ett avtal om utkontraktering av IKT- tjänster. Vad som gäller för uppdragstagaren, dvs. tredjepartsleverantören, styrs däremot av de regelverk som gäller för den fysiska eller juridiska personen. Förvisso kan en tredjepartsleverantör av IKT-tjänster, om den är att anse som kritisk, omfattas av DORA-förordningens bestämmelser om tillsynsram (se artiklarna 31–44). Om företaget har tillstånd enligt lagen om clearing och avveckling av betalningar gäller bestämmelserna i den lagen. Det innebär att en finansiell entitets utkontraktering av en IKT- tjänst, där tredjepartleverantören anlitar en underentreprenör, kan omfattas av mer än ett regelverk. Det är inte möjligt att, så som Getswish AB efterfrågar, införa undantag i kompletteringslagen från kraven i DORA- förordningen för nationellt reglerad verksamhet. Hur olika regelverk förhåller sig till varandra är i stället i första hand en fråga för rätts- tillämpningen att hantera.

Prop. 2024/25:44

Prop. 2024/25:44	9	Tillsyn

	9.1	Tillsynens omfattning

	Regeringens förslag: Finansinspektionen ska ha tillsyn över att finan-
	siella entiteter följer DORA-förordningen, kompletteringslagen och
	andra författningar som har meddelats i anslutning till dessa.

	Promemorians förslag överensstämmer i huvudsak med regeringens
	förslag. Enligt promemorians förslag ska dock tillsynen bara omfatta
	DORA-förordningen och kompletteringslagen.
	Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller
	har inget att invända mot det.
	Finansinspektionen anser att det bör tydliggöras att tillsynen också ska
	omfatta efterlevnaden av bl.a. tekniska standarder.
	Sparbankernas Riksförbund framför att bestämmelser om tillsyns-
	åtgärder redan finns i rörelselagstiftningen och avstyrker förslaget då det
	innebär en dubbelreglering.
	Skälen för regeringens förslag: Enligt DORA-förordningen ska de be-
	höriga myndigheterna säkerställa efterlevnaden av förordningen i enlighet
	med de befogenheter som myndigheten tilldelats i de EU-rättsakter som
	anger behörig myndighet för de finansiella entiteterna (artikel 46). Vidare
	ska de behöriga myndigheterna ha alla tillsyns-, utrednings- och sanktions-
	befogenheter som krävs för att de ska kunna fullgöra sina skyldigheter
	enligt förordningen. I DORA-förordningen anges uttryckligen de utred-
	ningsbefogenheter som den behöriga myndigheten som minst ska ha
	(artikel 50.2). Det anges också att utövandet av befogenheterna kan ske
	direkt, i samarbete med eller genom delegering till andra myndigheter eller
	genom ansökan till de behöriga rättsliga myndigheterna (artikel 51.1).
	I svensk rätt regleras Finansinspektionens tillsyns- och utrednings-
	befogenheter i de finansiella entiteternas respektive rörelselagstiftningar
	och i de lagar som kompletterar olika EU-förordningar på finansmarknads-
	området.
	Bestämmelserna i DORA-förordningen om de behöriga myndigheternas
	tillsyn riktar sig till myndigheterna och är direkt tillämpliga. I lag-
	stiftningsärendet med anledning av EU:s förordning om en paneuropeisk
	privat pensionsprodukt (PEPP-produkt) gjordes dock bedömningen att det
	för tydlighets skull bör framgå av kompletteringslagen att Finans-
	inspektionen, som behörig myndighet, har tillsyn över EU-förordningen
	och kompletteringslagen (se prop. 2022/23:7 s. 145). Detta bör gälla också
	i detta lagstiftningsärende. Vidare ges kommissionen enligt DORA-
	förordningen befogenhet att anta tekniska standarder för tillsyn för att
	komplettera förordningens bestämmelser (se avsnitt 4.8.1). Som Finans-
	inspektionen framför bör tillsynen omfatta även dessa andra författningar
	som reglerar en finansiell entitets verksamhet. Det bör därför framgå av
	kompletteringslagen att Finansinspektionen har tillsyn över att finansiella
	entiteter följer DORA-förordningen, kompletteringslagen och andra
	författningar som har meddelats i anslutning till dessa.
	De utredningsbefogenheter som i dag finns på finansmarknadsområdet
90	innefattar i huvudsak de befogenheter som anges i DORA-förordningen.

För flertalet av de finansiella entiteter som omfattas av rörelselagstiftning	Prop. 2024/25:44
på finansmarknadsområdet har Finansinspektionen redan vissa tillsyns-
och utredningsbefogenheter som är tillämpliga även när det gäller tillsynen
av att entiteten följer kraven i DORA-förordningen (se t.ex. 23 kap. 1 §
lagen om värdepappersmarknaden, 13 kap. 2 § lagen [2004:297] om bank-

och finansieringsrörelse och 17 kap. 2 § försäkringsrörelselagen [2010:2043]). Som påtalas av remissinstanserna och berörs nedan finns det dock vissa skillnader enligt de olika regelverken (se avsnitt 9.3).

En konsekvens av att det införs bestämmelser i kompletteringslagen är att det, som Sparbankernas Riksförbund påtalar, uppstår en viss dubbel- reglering. Det handlar framför allt om möjligheterna att inhämta uppgifter, hålla förhör och genomföra platsundersökningar. Motsvarande över- lappning förekommer dock redan mellan flera lagar på finansmarknads- området (se t.ex. 17 kap. 1 § försäkringsrörelselagen och 8 kap. 3 § lagen [2018:1219] om försäkringsdistribution, se även prop. 2017/18:216 s. 90–91). Finansinspektionen har i en sådan situation möjlighet att välja vilken bestämmelse som ska användas.

9.2Rätt att få tillgång till dokument och information

Regeringens förslag: För tillsynen över att bestämmelserna i DORA- förordningen följs ska Finansinspektionen få förelägga en fysisk eller juridisk person att tillhandahålla uppgifter, handlingar eller annat.

Finansinspektionen ska även få förelägga den som förväntas kunna lämna upplysningar i saken att inställa sig till förhör.

Ett föreläggande om upplysningar eller om inställelse till förhör ska få förenas med vite.

Ett föreläggande om upplysningar eller om inställelse till förhör ska dock inte få strida mot den i lag reglerade tystnadsplikten för advokater.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller

har inget att invända mot det.

Sveriges advokatsamfund påtalar att en skyldighet att lämna information kan strida mot den grundläggande rätten för fysiska och juridiska personer att inte belasta sig själva och att det i vart fall bör lyftas att rätten att inte belasta sig själv ska särskilt iakttas av Finansinspektionen.

Sparbankernas Riksförbund påpekar att Finansinspektionen enligt för- slaget ges befogenheter som går utöver vad som krävs enligt DORA- förordningen.

Skälen för regeringens förslag: Enligt DORA-förordningen ska den behöriga myndigheten få tillgång till alla dokument eller uppgifter i vilken form som helst som enligt myndigheten är relevanta för fullgörandet av dess uppgifter och få eller ta en kopia av dem (artikel 50.2 a). Den behöriga myndigheten ska även kunna kalla till sig företrädare för finansiella entiteter och be dem om muntliga eller skriftliga förklaringar angående sakförhållanden eller dokument som rör föremålet för och syftet med

utredningen samt nedteckna svaren samt höra vilken annan fysisk eller

Prop. 2024/25:44	juridisk person som helst som går med på att höras i syfte att samla in
	information om föremålet för utredningen (artikel 50.2 b). Bestäm-
	melserna i DORA-förordningen är en minimireglering som tillåter att
	medlemsstaterna ger dess behöriga myndigheter ytterligare befogenheter.
	För tillsynen över att DORA-förordningen, kompletteringslagen och
	föreskrifter som meddelats med stöd av den lagen följs, bör Finansinspek-
	tionen ha möjlighet att begära in uppgifter och handlingar eller annat.
	Även om det, som Sparbankernas Riksförbund påpekar, går utöver vad
	förordningen kräver bör Finansinspektionen som enligt andra lagar på
	finansmarknadsområdet få kalla den som kan förväntas kunna lämna
	upplysningar i saken till förhör (se t.ex. 23 kap. 3 § lagen om värdepap-
	persmarknaden). En bestämmelse om detta bör tas in i kompletterings-
	lagen.
	Rätten att inte belasta sig själv (artikel 6 i den europeiska konventionen
	angående skydd för de mänskliga rättigheterna och de grundläggande
	friheterna [Europakonventionen] och artiklarna 47 och 48 i Europeiska
	unionens stadga om de grundläggande rättigheterna [EU-stadgan] har
	behandlats i flera tidigare lagstiftningsärenden på finansmarknadsområdet
	(se t.ex. prop. 2022/23:124 s. 41–42). Utifrån vad som hittills framkommit
	finns det inte anledning att göra några andra överväganden än de som
	tidigare gjorts. Således anser regeringen, till skillnad från Sveriges
	advokatsamfund, att det varken av Europadomstolens eller EU-domstolens
	praxis för närvarande går att dra slutsatsen att rätten att inte belasta sig
	själv skulle innebära ett generellt förbud mot uppgiftsskyldighet på finans-
	marknadsområdet. En bestämmelse om uppgiftsskyldighet måste dock
	tillämpas på ett sätt som är förenligt med Europakonventionen och EU-
	stadgan och beakta den utveckling som kan ske i rättspraxis. Det innebär,
	som Sveriges advokatsamfund påpekar, att Finansinspektionen vid
	tillämpningen särskilt ska iaktta rätten att inte belasta sig själv.
	Finansinspektionen har enligt flera lagar på finansmarknadsområdet
	även möjlighet att besluta om vite (se t.ex. 25 kap. 29 § lagen om värde-
	pappersmarknaden). Det saknas skäl att behandla den nu aktuella situa-
	tionen på något annat sätt. Finansinspektionen bör därför få motsvarande
	möjlighet att besluta om vite när den fattar tillsynsbeslut enligt
	kompletteringslagen. Som regeringen har konstaterat i flera lagstiftnings-
	ärenden får begreppet straff enligt Europakonventionen även anses om-
	fatta vite (se prop. 2007/08:107 s. 24 och prop. 2012/13:143 s. 69).
	Eftersom vite kan likställas med straff behöver Finansinspektionen även
	här iaktta rätten att inte belasta sig själv vid tillämpning av de föreslagna
	befogenheterna och göra en bedömning i varje enskilt fall (jfr prop.
	2016/17:162 s. 550–551 samt prop. 2022/23:124 s. 40–42). Skyldigheten
	att inställa sig till förhör innebär t.ex. inte någon automatisk skyldighet att
	yttra sig vid förhöret (se prop. 2016/17:22 s. 142).
	Enligt EU-förordningen ska behörig myndighet utöva sina befogenheter
	”i enlighet med nationella rättsliga ramar” (artikel 51.1). I och med detta
	finns ett utrymme att beakta nationella regler om t.ex. anonymitetsskydd
	och efterforskningsförbud (prop. 2009/10:217 s. 17–19). Skyldigheten att
	tillhandahålla Finansinspektionen information begränsas således även av
	bl.a. tryckfrihetsförordningen och yttrandefrihetsgrundlagen. Det innebär
	samtidigt att Finansinspektionen är förhindrad att förelägga den som
92	omfattas av skydd enligt tryckfrihetsförordningen eller yttrandefrihets-

grundlagen. Eftersom det redan följer av principen att grundlag har före- Prop. 2024/25:44 träde framför vanlig lag, behöver detta inte anges särskilt (jfr prop.

2011/12:175 s. 19 och prop. 2016/17:22 s. 142).

I likhet med flera lagar på finansmarknadsområdet bör det i komplet- teringslagen tas in en uttrycklig bestämmelse om att en begäran om upplysningar eller ett beslut om inställelse till förhör inte får strida mot den i lag reglerade tystnadsplikten för advokater (se t.ex. 23 kap. 3 § lagen om värdepappersmarknaden). Det är endast när det gäller advokater som det är befogat att Finansinspektionen ska ha en skyldighet att i samband med föreläggandet beakta tystnadsplikten (se prop. 2018/19:38 s. 33). Frågan om den person som omfattas av en sådan tystnadsplikt har en skyldighet att lämna uppgifter till Finansinspektionen får avgöras i det enskilda fallet och beror på vilken tystnadsplikt det är fråga om (jfr Kammarrätten i Stockholms dom den 28 september 2006 i mål nr 4514-06).

9.3	Rätt att utföra platsundersökningar

Regeringens förslag: Om det är nödvändigt för tillsynen, ska Finans-
inspektionen få genomföra en undersökning i verksamhetslokalerna hos
en finansiell entitet.

Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller
har inget att invända mot det.
Finansinspektionen framför att myndigheten bör få genomföra plats-
undersökningar dels på andra platser än i verksamhetslokalerna hos en
finansiell entitet, dels hos uppdragstagare.
Skälen för regeringens förslag: Enligt DORA-förordningen ska den
behöriga myndigheten kunna utföra kontroller eller inspektioner på plats
(artikel 50.2 b).
För att Finansinspektionen ska ha de befogenheter som krävs enligt
DORA-förordningen bör inspektionen få rätt att genomföra plats-
undersökningar.
Finansinspektionen har befogenhet att genomföra platsundersökningar
enligt flera lagar på finansmarknadsområdet. Som Finansinspektionen
framför gäller detta i vissa fall inte bara i verksamhetslokalerna (se t.ex.
23 kap. 4 § första stycket lagen om värdepappersmarknaden och 13 kap.
4 § lagen om bank- och finansieringsrörelse). I vissa fall får platsunder-
sökningar	dessutom göras hos uppdragstagare (se 23 kap. 4 § andra
stycket lagen om värdepappersmarknaden). Enligt andra lagar är detta
begränsat till verksamhetslokalerna hos den som står under tillsyn (se t.ex.
8 kap. 3 § lagen [2022:1746] med kompletterande bestämmelser till EU:s
förordning om en paneuropeisk privat pensionsprodukt [PEPP-produkt]).
En tillsynsåtgärd bör inte vara mer ingripande än vad som är nödvändigt
för att fullgöra tillsynen. I DORA-förordningen anges bara att den
behöriga myndigheten ska få utföra kontroller eller inspektioner på plats
för att kunna fullgöra sina skyldigheter enligt förordningen (artikel 50.1
och 50.2 b). Utifrån vad som hittills framkommit anser regeringen, till
skillnad från Finansinspektionen, att detta bör vara tillräckligt också när		93

Prop. 2024/25:44 det gäller tillsynen enligt DORA-förordningen. Det innebär att Finans- inspektionen, om det är nödvändigt för tillsynen över att en finansiell entitet följer bestämmelserna i DORA-förordningen och kompletterings- lagen, bör få genomföra en undersökning i dennes verksamhetslokaler. En bestämmelse om detta bör tas in i kompletteringslagen.

I likhet med det som annars gäller på finansmarknadsområdet saknas anledning att ge Finansinspektionen rätt att använda tvångsmedel för att genomföra platsundersökningar (jfr prop. 2022/23:7 s. 148).

Liksom när det gäller andra åtgärder krävs att en platsundersökning aldrig får vara mer långtgående än vad som behövs och att det avsedda resultatet av en sådan undersökning står i rimligt förhållande till de olägen- heter som kan antas uppstå för den som undersökningen riktas mot (se 5 § förvaltningslagen [2017:900]).

9.4Finansinspektionens uppföljning av den ledande tillsynsmyndighetens rekommendationer

Regeringens bedömning: Det behövs inte några ytterligare bestäm- melser för att Finansinspektionen ska kunna förbjuda användningen eller införandet av en tjänst som tillhandahålls av en kritisk tredje- partsleverantör.

Promemorians bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den.

Skälen för regeringens bedömning: Enligt DORA-förordningen ska tillsynen av kritiska tredjepartsleverantörer av IKT-tjänster utföras på unionsnivå av den ledande tillsynsmyndigheten (artikel 31). En av de tre europeiska tillsynsmyndigheterna EBA, Esma eller Eiopa ska utses till ledande tillsynsmyndighet för var och en av de kritiska tredjepartsleveran- törerna. För att utföra sina uppgifter enligt DORA-förordningen får den ledande tillsynsmyndigheten bl.a. genomföra allmänna utredningar och in- spektioner (artiklarna 38 och 39). Inom tre månader efter slutförandet av en utredning eller en inspektion, ska den ledande tillsynsmyndigheten anta rekommendationer som riktar sig till den kritiska tredjepartsleverantören (artikel 40.3).

Den ledande tillsynsmyndigheten ska bistås av en gemensam under- sökningsgrupp. Denna grupp ska bestå av personal från de europeiska tillsynsmyndigheterna, relevanta behöriga myndigheter och, på frivillig basis, personal från nationell behörig myndighet enligt NIS2-direktivet och nationell behörig myndighet från den medlemsstat där den kritiska tredjepartsleverantören är etablerad (artikel 40). Den ledande tillsyns- myndigheten kan även delegera befogenheter till tjänstemän och andra personer (se artiklarna 37–39 i DORA-förordningen). Befogenheterna för den ledande tillsynsmyndigheten att bedriva tillsyn och ingripa mot kritiska tredjepartsleverantörer regleras direkt i DORA-förordningen.

Efterlevnaden av rekommendationerna för kritiska tredjepartsleveran- Prop. 2024/25:44 törer ska ingå i de behöriga myndigheternas tillsyn av de finansiella

entiteterna (artikel 42). Om Finansinspektionen bedömer att en finansiell entitet i sin hantering av IKT-tredjepartsrisker inte tar hänsyn till eller i tillräcklig utsträckning hanterar de specifika risker som identifieras i rekommendationen får inspektionen underrätta den finansiella entiteten om att inspektionen kan komma att vidta åtgärder i avsaknad av lämpliga kontraktsmässiga arrangemang för hantering av sådana risker (artikel 42.4). Som en sista utväg får Finansinspektionen fatta beslut om att finansiella entiteter tillfälligt, helt eller delvis, ska avbryta använd- ningen eller införandet av en tjänst som tillhandahålls av den kritiska tredjepartsleverantören till dess att riskerna har åtgärdats. Vid behov får Finansinspektionen även kräva att finansiella entiteter helt eller delvis ska avsluta relevanta kontraktsmässiga arrangemang som har ingåtts med de kritiska tredjepartsleverantörerna (artikel 42.6). Sådana beslut ska fattas i enlighet med artikel 50 om administrativa sanktioner och avhjälpande åtgärder i förordningen.

Finansinspektionen ska kunna ingripa, med stöd av kompletteringslagen eller med befintliga bestämmelser i rörelselagarna, mot finansiella entiteter genom beslut om föreläggande att inom viss tid vidta en viss åtgärd eller upphöra med ett visst agerande (se förslagen i avsnitt 10.2). Med stöd av detta har inspektionen möjlighet att fatta de beslut som krävs enligt artikel 40.6 i DORA-förordningen.

10Ingripanden

10.1Överträdelser av DORA-förordningen bör inte kriminaliseras

Regeringens bedömning: Det bör inte införas några bestämmelser om straffansvar för överträdelser av DORA-förordningen.

Promemorians bedömning överensstämmer med regeringens bedöm-
ning.
Remissinstanserna tillstyrker bedömningen eller har inget att invända
mot den.
Skälen för regeringens bedömning: Enligt DORA-förordningen får
medlemsstaterna besluta att inte fastställa regler för administrativa
sanktioner eller avhjälpande åtgärder för överträdelser som omfattas av
straffrättsliga påföljder i deras nationella rätt (artikel 52.1). Detta innebär
att medlemsstaterna har ett handlingsutrymme att, i stället för att införa
administrativa sanktioner och andra avhjälpande åtgärder, kriminalisera
överträdelser av DORA-förordningen.
I svensk rätt finns det inte någon straffrättslig reglering som tar sikte på
de överträdelser som anges i DORA-förordningen. Frågor om sanktioner
på finansmarknadsområdet har varit föremål för överväganden vid flera
tidigare lagstiftningsärenden (se t.ex. prop. 2022/23:7 s. 150). Regeringen
har i dessa gjort bedömningen att det inte är aktuellt att använda straff-	95

Prop. 2024/25:44 rättsliga sanktioner i stället för administrativa sanktioner. Inte heller när det gäller överträdelser av DORA-förordningen finns det skäl att införa straffrättsliga sanktioner. Sanktioner vid överträdelser av förordningen bör därför vara av administrativt slag.

	10.2	Ingripanden mot finansiella entiteter
	10.2.1	Ingripanden med stöd av befintliga bestämmelser i
		rörelselagar på finansmarknadsområdet

	Regeringens förslag: I kompletteringslagen ska det införas en
	upplysningsbestämmelse om att bestämmelser om ingripanden mot
	finansiella entiteter som åsidosätter sina skyldigheter enligt DORA-
	förordningen, kompletteringslagen eller andra författningar som har
	meddelats i anslutning till dessa finns i de lagar som reglerar den
	berörda entitetens verksamhet.
	Regeringens bedömning: Finansinspektionens ingripandebefogen-
	heter är tillräckliga för att uppfylla förordningens krav.

	Promemorians förslag och bedömning överensstämmer i huvudsak
	med regeringens förslag och bedömning. Promemorians förslag avviker
	från regeringens förslag genom att det inte föreslås någon upplysning om
	att ett ingripande får ske även vid överträdelser av andra författningar som
	reglerar verksamheten.
	Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget och
	bedömningen eller har inget att invända mot dem.
	Finansinspektionen anser att det bör tydliggöras att ett ingripande också
	kan ske vid överträdelser av bl.a. tekniska standarder.
	Skälen för regeringens förslag och bedömning
	Ingripandemöjligheter enligt andra lagar
	Enligt DORA-förordningen ska medlemsstaterna fastställa regler om
	lämpliga administrativa sanktioner och avhjälpande åtgärder vid över-
	trädelser av förordningen och säkerställa att de genomförs effektivt.
	Sådana sanktioner och åtgärder ska vara effektiva, proportionella och av-
	skräckande (artikel 50.3). Förordningen innehåller inte någon uppräkning
	av vilka överträdelser av de materiella bestämmelserna som ska kunna leda
	till ingripanden. Det är en skillnad jämfört med flera andra EU-rättsakter
	på finansmarknadsområdet. Det finns därför inte skäl att ange vilka över-
	trädelser av DORA-förordningen som ska kunna leda till ett ingripande i
	en s.k. överträdelsekatalog.
	DORA-förordningen är tillämplig på nästan alla finansiella entiteter som
	verkar på finansmarknadsområdet (se artikel 2.1, se även avsnitt 4.3).
	Bestämmelser om ingripanden finns i regel i rörelselagarna för de olika
	finansiella entiteterna. Till exempel finns det för kreditinstitut en
	bestämmelse i lagen om bank- och finansieringsrörelse enligt vilken
	Finansinspektionen ska ingripa om ett kreditinstitut har åsidosatt sina
	skyldigheter enligt den lagen eller andra författningar som reglerar
96	institutets verksamhet (15 kap. 1 §). Motsvarande bestämmelser finns för

betalningsinstitut och leverantörer av kontoinformationstjänster i lagen (2010:751) om betaltjänster (8 kap. 8 §). Ett betalningsinstitut är en juridisk person som har tillstånd att tillhandahålla betaltjänster. Betaltjänstleverantörer som beviljats undantag från tillståndsplikt och leverantörer av kontoinformationstjänster är i Sverige registrerade betal- tjänstleverantörer (se prop. 2017/18:77 s. 217 och 8 kap. 23 § lagen om betaltjänster). Vidare finns det för institut för elektroniska pengar och registrerade utgivare (institut för elektroniska pengar som är undantagna från tillståndsplikt) bestämmelser i lagen (2011:755) om elektroniska pengar (1 kap. 2 § 7 och 5 kap. 8 § för institut för elektroniska pengar och 1 kap. 2 § 11 och 5 kap. 23 § för registrerade utgivare), för värdepappers- företag, som när det rör sig om svenska företag benämns värdepappers- bolag, i lagen om värdepappersmarknaden (25 kap. 1 §), för värdepappers- centraler i lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument (9 kap. 11 §), för centrala motparter i lagen om värdepappersmarknaden (1 kap. 1 a § första stycket och 25 kap. 1 §), för handelsplatser och leverantörer av datarapporteringstjänster i lagen om värdepappersmarknaden (25 kap. 1 §), för förvaltare av alternativa inve- steringsfonder i lagen (2013:561) om förvaltare av alternativa inve- steringsfonder (14 kap. 1 §), för förvaltningsbolag, som i lagen (2004:46) om värdepappersfonder benämns fondbolag (10 kap. 1 §), för försäkrings- företag (inklusive återförsäkringsbolag) i försäkringsrörelselagen (18 kap. 1 §) och för tjänstepensionsföretag, i dess egenskap av tjänstepensions- institut, i lagen (2019:742) om tjänstepensionsföretag (15 kap. 1 §).

Med andra författningar avses enligt rörelselagarna även EU-förord- ningar (se bl.a. prop. 2021/22:169 s. 59 och prop. 2006/07:115 s. 635–636). Bestämmelserna om ingripanden i rörelselagarna omfattar därmed även finansiella entiteters skyldigheter enligt DORA-förord- ningen. För ovan uppräknade finansiella entiteter har Finansinspektionen således enligt gällande rätt befogenhet att ingripa vid överträdelser av bestämmelserna i DORA-förordningen. Det saknas skäl att därutöver införa bestämmelser i kompletteringslagen om ingripanden mot dessa finansiella entiteter vid överträdelser av DORA-förordningen (se avsnitt 5.1). DORA-förordningen kräver därför, i denna del, inte någon lag- stiftningsåtgärd.

Frågor om ingripanden mot finansiella entiteter som inte omfattas av en svensk rörelselag behandlas i avsnitt 10.2.2.

DORA-förordningens krav på ingripandebefogenheter tillgodoses av gällande rätt

De behöriga myndigheterna ska enligt artikel 50.4 i DORA-förordningen ges befogenhet att tillämpa åtminstone följande administrativa sanktioner och andra avhjälpande åtgärder vid överträdelser av förordningen:

–föreläggande om att upphöra med sitt agerande (punkt a),

–kräva att varje praxis eller beteende som strider mot förordningen tillfälligt eller permanent upphör och förhindra en upprepning av dessa (punkt b),

–vidta vilken typ av åtgärd som helst, även av ekonomisk art, för att säkerställa att finansiella entiteter fortsätter att uppfylla rättsliga krav (punkt c),

Prop. 2024/25:44

Prop. 2024/25:44	– kräva tillgång till befintliga uppgifter om datatrafik som innehas av en
	teleoperatör, i den mån det är tillåtet i nationell rätt (punkt d), och
	– utfärda offentliga meddelanden, inbegripet offentliga uttalanden, med
	uppgift om identitet och överträdelsens art (punkt e).
	I de olika rörelselagarna på finansmarknadsområdet finns det bestäm-
	melser om hur Finansinspektionen kan ingripa (dvs. besluta om sanktioner
	och andra åtgärder) mot olika finansiella entiteter. Finansinspektionen har
	enligt dessa lagar möjlighet att ingripa genom föreläggande att vidta
	rättelse inom viss tid, genom förbud att verkställa beslut eller genom
	anmärkning. Om en överträdelse är allvarlig, ska den finansiella entitetens
	tillstånd återkallas, eller om det är tillräckligt varning meddelas. Föreläg-
	ganden och förbud kan förenas med vite. Vid anmärkning och varning kan
	sanktionsavgifter påföras.
	Det finns en strävan efter enhetliga ingripandemöjligheter på finans-
	marknadsområdet. Utgångspunkten har hittills varit lagstiftningsmodellen
	på bankområdet. Motsvarande modell har sedan införts i de andra
	rörelselagarna på finansmarknadsområdet (se t.ex. 25 kap. 1 § lagen om
	värdepappersmarknaden och 18 kap. 2 § försäkringsrörelselagen).
	Finansinspektionen har således enligt gällande rätt möjlighet att före-
	lägga en finansiell entitet att upphöra med ett visst agerande. Vidare gäller
	att om en finansiell entitets tillstånd återkallas, kan Finansinspektionen
	förena beslutet om återkallelse med ett förbud om att fortsätta rörelsen (se
	t.ex. 25 kap. 6 § andra stycket lagen om värdepappersmarknaden). Mot-
	svarande bestämmelser finns i flera EU-rättsakter på finansmarknads-
	området (se t.ex. artikel 42.2 första stycket a i Europaparlamentets och
	rådets förordning (EU) 2016/1011 av den 8 juni 2016 om index som
	används som referensvärden för finansiella instrument och finansiella
	avtal eller för att mäta investeringsfonders resultat, och om ändring av
	direktiven 2008/48/EG och 2014/17/EU och förordning (EU) nr 596/2014,
	i det följande benämnd EU:s förordning om referensvärden och
	artiklarna 69.2 första stycket k och 70.6 b i Europaparlamentets och rådets
	direktiv 2014/65/EU av den 15 maj 2014 om marknader för finansiella
	instrument och om ändring av direktiv 2002/92/EG och av direktiv
	2011/61/EU, i det följande benämnt MiFID II).
	Bestämmelserna i ovan nämnda lagar om att Finansinspektionen kan
	kräva att ett visst agerande upphör och inte upprepas har i en rad tidigare
	lagstiftningsärenden bedömts uppfylla motsvarande krav på befogenheter
	för behöriga myndigheter i andra EU-rättsakter (se t.ex. prop. 2013/14:228
	s. 234 och prop. 2016/17:162 s. 488–490 och 528–529). Det finns inte
	anledning att göra en annan bedömning i detta lagstiftningsärende när det
	gäller kraven i artikel 50.4 a och b i DORA-förordningen. Dessa
	ingripandeåtgärder, tillsammans med andra åtgärder i form av anmärk-
	ning, varning och återkallelse av tillstånd, får också anses uppfylla kraven
	i förordningen om att den behöriga myndigheten ska kunna vidta vilken
	typ av åtgärd som helst, även av ekonomisk art, för att säkerställa att
	finansiella entiteter fortsätter att uppfylla rättsliga krav (artikel 50.4 c).
	Vidare ska den behöriga myndigheten, i den mån det är tillåtet enligt
	nationell rätt, kunna få ut befintliga uppgifter över datatrafik som innehas
	av en teleoperatör, om det finns rimliga misstankar om överträdelser och
98	om sådana uppgifter kan vara av betydelse för att undersöka överträdelser

av reglerna i DORA-förordningen (artikel 50.4 d). I tidigare lagstiftnings- Prop. 2024/25:44 ärenden på finansmarknadsområdet har det gjorts bedömningen att Finans-

inspektionen inte bör ges rätt att begära ut uppgifter om datatrafik från teleoperatör (se prop. 2015/16:170 s. 68–69 och prop. 2016/17:22 s. 161–165). De principer och krav för utlämnande av uppgifter över datatrafik som innehas av en teleoperatör som normalt tillämpas i Sverige bör tillämpas även i detta fall. För uppgifter över datatrafik som innehas av en teleoperatör har i svensk rätt avvägningen mellan den enskildes integritetsskydd och möjligheterna att kunna utreda brott lett till att det krävs brott av en viss svårighetsgrad för att brottsbekämpande myndig- heter ska få tillgång till uppgifterna. Finansinspektionens utredningar på det område som omfattas av DORA-förordningen rör inte brott eller före- teelser som tidigare varit kriminaliserade. Inspektionen bör därför inte heller ges en sådan rätt när det gäller DORA-förordningen.

Den behöriga myndigheten ska enligt DORA-förordningen även kunna besluta om ett offentligt meddelande med uppgift om den fysiska eller juridiska personens identitet och överträdelsens art (artikel 50.4 e). En befogenhet att utfärda offentliga meddelanden ska inbegripa offentliga uttalanden. En möjlighet för Finansinspektionen att meddela ett beslut om anmärkning bör, i enlighet med bedömningar i tidigare lagstiftnings- ärenden, uppfylla dessa krav i förordningen (se prop. 2019/20:37 s. 52 och prop. 2022/23:7 s. 156).

Sammantaget har Finansinspektionen, genom gällande bestämmelser i rörelselagarna, de befogenheter att ingripa mot finansiella entiteter som krävs enligt DORA-förordningen. För tydlighets skull bör det dock tas in en upplysningsbestämmelse i kompletteringslagen om att bestämmelser om ingripanden mot finansiella entiteter som åsidosätter sina skyldigheter enligt DORA-förordningen, kompletteringslagen eller, som Finansinspek- tionen framför och i enlighet med rörelselagarna, andra bestämmelser som har meddelats i anslutning till dessa finns i de lagar som reglerar deras verksamhet.

Lagrådets synpunkt om åtalspreskription behandlas i avsnitt 10.2.2. Ingripanden mot personer som ingår i ledningen för finansiella entiteter

behandlas i avsnitt 10.3.

10.2.2	Ingripanden med stöd av kompletteringslagen

Regeringens förslag: I kompletteringslagen ska det införas bestäm-
melser om ingripanden vid överträdelser av DORA-förordningen,
kompletteringslagen eller andra författningar som har meddelats i
anslutning till dessa mot vissa finansiella entiteter.
Finansinspektionen ska vid överträdelser av de skyldigheter som
följer av DORA-förordningen få ingripa mot
– Svenska skeppshypotekskassan,
– en emittent av s.k. tillgångsanknutna token,
– en pensionsstiftelse, och
– ett transaktionsregister.
Ett ingripande mot Svenska skeppshypotekskassan ska få ske genom
ett beslut om föreläggande att inom viss tid vidta en särskild åtgärd eller
upphöra med ett visst agerande. Ett ingripande mot en emittent av		99

Prop. 2024/25:44

100

tillgångsanknutna token, en pensionsstiftelse eller ett transaktions- register ska få ske genom ett beslut om föreläggande att inom viss tid vidta en särskild åtgärd eller upphöra med ett visst agerande eller anmärkning.

Finansinspektionen ska vid överträdelser av de skyldigheter som följer av DORA-förordningen även få ingripa mot

–en leverantör av kryptotillgångstjänster,

–en administratör av kritiska referensvärden, och

–en leverantör av gräsrotsfinansieringstjänster.

Ett ingripande mot en leverantör av kryptotillgångstjänster, en administratör av kritiska referensvärden eller en leverantör av gräsrots- finansieringstjänster ska få ske genom ett beslut om föreläggande att inom viss tid vidta en särskild åtgärd eller upphöra med ett agerande eller anmärkning. Vid allvarliga överträdelser ska ett ingripande även få ske genom beslut om återkallelse av auktorisation eller, om det är tillräckligt, varning.

Om ett beslut om anmärkning eller varning har meddelats, ska Finansinspektionen få besluta att den som har gjort sig skyldig till överträdelsen ska betala en sanktionsavgift.

Om en auktorisation återkallas ska Finansinspektionen få besluta om hur verksamheten ska avvecklas. Ett beslut om återkallelse ska få förenas med ett förbud att fortsätta rörelsen.

Ett beslut om föreläggande eller återkallelse av auktorisation ska få förenas med vite.

Ett ingripande ska inte få ske om överträdelsen omfattas av ett föreläggande som har förenats med vite och en ansökan om vitet har gjorts.

Promemorians förslag överensstämmer i huvudsak med regeringens förslag. Promemorians förslag avviker från regeringens förslag genom att ett ingripande enligt promemorians förslag också kan göras mot ett kredit- värderingsinstitut och ett värdepapperiseringsregister. Promemorians för- slag avviker även från regeringens förslag genom att ett ingripande bara kan ske vid överträdelser av DORA-förordningen och kompletterings- lagen.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det.

Finansinspektionen anser att det bör tydliggöras att ingripande också kan ske vid överträdelser av bl.a. tekniska standarder.

Skälen för regeringens förslag

Bestämmelser i kompletteringslagen

DORA-förordningen är även tillämplig på vissa finansiella entiteter som inte omfattas av en svensk rörelselag (jfr avsnitt 10.2.1 och de finansiella entiteter som omfattas av en svensk rörelselag). Enligt artikel 2.1 i förord- ningen gäller det

–leverantörer av kryptotillgångstjänster,

–emittenter av tillgångsanknutna token,

–administratörer av kritiska referensvärden,

–leverantörer av gräsrotsfinansieringstjänster, och

– transaktionsregister.

Prop. 2024/25:44

Dessa finansiella entiteter omfattas i stället av direkt tillämpliga EU- förordningar som kompletteras av vissa svenska bestämmelser i en kompletteringslag (se t.ex. lagen [2021:899] med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering och lagen [2018:2024] med kompletterande bestämmelser till EU:s förordning om referensvärden). Enligt dessa regelverk kan Finansinspektionen vanligtvis bara ingripa vid överträdelser av respektive EU-förordning och kompletteringslag. Detta avviker från det som gäller för de finansiella entiteter som omfattas av en rörelselag där Finansinspektionen har möjlighet att ingripa om entiteten har åsidosatt en bestämmelse som gäller för dess verksamhet (se avsnitt 10.2.1). Finansinspektionen har således inte möjlighet att ingripa mot en finansiell entitet som inte omfattas av en rörelsereglering, om den gör sig skyldig till en överträdelse av DORA- förordningen. För att uppfylla kraven enligt DORA-förordningen behöver det införas en sådan möjlighet för Finansinspektionen. En bestämmelse om detta bör tas in i kompletteringslagen. Finansinspektionen bör därmed ges möjlighet att ingripa mot finansiella entiteter som inte omfattas av en rörelselag vid överträdelser av DORA-förordningen eller kompletterings- lagen. Såväl kommissionen som regeringen eller den myndighet som regeringen bestämmer ges möjlighet att meddela ytterligare bestämmelser för de finansiella entiteterna (se avsnitt 4.8.1 och avsnitt 5.6). Som Finansinspektionen framför bör myndigheten få ingripa också vid över- trädelser av sådana andra författningar som har meddelats i anslutning till DORA-förordningen och kompletteringslagen.

När det gäller kreditvärderingsinstitut är det Esma som ansvarar för tillsynen och som ska ingripa mot sådana institut med tillsynsåtgärder och sanktioner (se prop. 2011/12:40 s. 17–19). Motsvarande gäller för värde- papperiseringsregister (se artiklarna 10 och 14.1 i EU:s förordning om värdepapperisering, se även prop. 2019/20:37 s. 28–29). Finansinspek- tionen har således enligt gällande rätt inte någon möjlighet att ingripa mot kreditvärderingsinstitut eller värdepapperiseringsregister. Till skillnad mot vad som föreslås i promemorian bör Finansinspektionen därför inte heller ges rätt att ingripa enligt den nya kompletteringslagen mot sådana finansiella entiteter vid överträdelser av DORA-förordningen.

Särskilt om Svenska skeppshypotekskassan

Svenska skeppshypotekskassan omfattas av DORA-förordningen (se förslagen i avsnitt 5.3). I kompletteringslagen bör det därför införas en möjlighet för Finansinspektionen att ingripa mot kassan om den åsido- sätter sina skyldigheter enligt förordningen eller kompletteringslagen.

Finansinspektionen bör kunna ingripa genom att rikta ett föreläggande mot Svenska skeppshypotekskassan att inom viss tid vita en åtgärd eller upphöra med ett visst agerande. Det motsvarar nuvarande ingripande- befogenheter på finansmarknadsområdet mot kassan (se 8 kap. 1 § lagen om särskild tillsyn över kreditinstitut och värdepappersbolag). En sådan bestämmelse bör därför införas i den nya kompletteringslagen.

101

Prop. 2024/25:44

102

Särskilt om leverantörer av kryptotillgångstjänster och emittenter av tillgångsanknutna token

När det gäller leverantörer av kryptotillgångstjänster och emittenter av tillgångsanknutna token pågår arbetet med nationella bestämmelser som kompletterar Europaparlamentets och rådets förordning (EU) 2023/1114 av den 31 maj 2023 om marknader för kryptotillgångar och om ändring av förordningarna (EU) nr 1093/2010 och (EU) nr 1095/2010 samt direktiven 2013/36/EU och (EU) 2019/1937, i det följande benämnd Mica-förord- ningen (se prop. 2023/24:110 och propositionen En ny EU-reglering om marknader för kryptotillgångar, prop. 2024/25:43).

Finansinspektionen bör kunna ingripa med stöd av kompletteringslagen också mot leverantörer av kryptotillgångstjänster och emittenter av tillgångsanknutna token som åsidosätter sina skyldigheter enligt DORA- förordningen. I likhet med vad som föreslås för andra finansiella entiteter som saknar rörelselag, bör sådana bestämmelser tas in i kompletterings- lagen.

Särskilt om pensionsstiftelser

I Sverige finns det två typer av tjänstepensionsinstitut: tjänstepensions- företag och pensionsstiftelser. Tjänstepensionsföretag behandlas i avsnitt 10.2.1.

Pensionsstiftelser omfattas i och för sig av en svensk rörelselag, lagen (1967:531) om tryggande av pensionsutfästelse m.m. Den lagen skiljer sig dock från de andra rörelselagarna på finansmarknadsområdet och Finans- inspektionen har förhållandevis begränsade möjligheter att ingripa mot en pensionsstiftelse. Finansinspektionens tillsyn och möjligheter att ingripa mot en pensionsstiftelse är kopplade till de krav som följer av Europa- parlamentets och rådets direktiv (EU) 2016/2341 av den 14 december 2016 om verksamhet i och tillsyn över tjänstepensionsinstitut, i det följande benämnt andra tjänstepensionsdirektivet, och en stiftelses förvalt- ning (se 35 § lagen om tryggande av pensionsutfästelse m.m. jämförd med t.ex. 18 kap. 1 § försäkringsrörelselagen). För att uppfylla kraven enligt DORA-förordningen krävs därmed att det införs bestämmelser om ingripanden mot en pensionsstiftelse. Sådana bestämmelser bör också de lämpligen tas in i kompletteringslagen.

Föreläggande att upphöra med en överträdelse och att inte upprepa den

På finansmarknadsområdet gäller vanligtvis att Finansinspektionen kan ingripa genom ett föreläggande om att vidta rättelse (se t.ex. 3 kap. 1 § första stycket 1 lagen [2019:1215] med kompletterande bestämmelser till EU:s förordning om värdepapperisering). Detta bör gälla även enligt kompletteringslagen. Ett föreläggande bör kunna riktas både mot juridiska och fysiska personer (jfr prop. 2020/21:206 s. 76 och prop. 2018/19:4 s. 68).

En överträdelse kan även bestå i en underlåtenhet att uppfylla vissa krav. Finansinspektionen bör därmed också kunna förelägga den finansiella entiteten att vidta en positiv åtgärd för att uppfylla kraven i DORA-förord- ningen. I likhet med det som gäller enligt flera lagar på finansmarknads- området bör Finansinspektionen också ha möjlighet att förelägga den som har överträtt DORA-förordningen att inom viss tid vidta en åtgärd för att

komma till rätta med situationen eller att upphöra med ett agerande (jfr t.ex. 3 kap. 3 § första stycket 2 lagen med kompletterande bestämmelser till EU:s förordning om värdepapperisering).

Som gäller enligt flera lagar på finansmarknadsområdet bör ett före- läggande enligt kompletteringslagen få förenas med vite (jfr t.ex. 4 kap. 3 § lagen med kompletterande bestämmelser till EU:s förordning om värdepapperisering).

Återkallelse av auktorisation, varning och anmärkning

När det gäller finansiella entiteter som omfattas av en rörelselag ska bestämmelserna om ingripanden i respektive rörelselag tillämpas vid en överträdelse av DORA-förordningen (se avsnitt 10.1.2). Det innebär att Finansinspektionen vid en allvarlig överträdelse av förordningen kan återkalla ett tillstånd för en finansiell entitet. Inspektionen kan också, om det är tillräckligt, besluta om en varning (se t.ex. 15 kap. 1 § tredje stycket lagen om bank- och finansieringsrörelse).

Leverantörer av kryptotillgångstjänster, administratörer av kritiska referensvärden och leverantörer av gräsrotsfinansieringstjänster måste ha ett särskilt tillstånd, dvs. vara auktoriserade av den behöriga myndigheten, för att få bedriva verksamhet och i och med det vara en finansiell entitet. (artikel 59 i Mica-förordningen, artikel 34 i EU:s förordning om referens- värden och artikel 12 i Europaparlamentets och rådets förordning (EU) 2020/1503 av den 7 oktober 2020 om europeiska leverantörer av gräsrots- finansieringstjänster för företag och om ändring av förordning (EU) 2017/1129 och direktiv (EU) 2019/1937). Om en sådan finansiell entitet inte följer bestämmelserna i de EU-förordningar som särskilt reglerar dess verksamhet får den behöriga myndigheten återkalla auktorisationen (se t.ex. 3 kap. 2 § första stycket 3 lagen [2021:899] med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering).

Detta bör också gälla vid allvarliga överträdelser av DORA-förord- ningen. Finansinspektionen bör därmed, med stöd av kompletteringslagen, kunna återkalla auktorisationen för en leverantör av kryptotillgångs- tjänster, en administratör av kritiska referensvärden och en leverantör av gräsrotsfinansieringstjänster. Liksom gäller enligt flera lagar på finans- marknadsområdet bör inspektionen också, om det är tillräckligt, kunna besluta om en varning (se t.ex. 3 kap. 2 § första stycket 3 lagen med kompletterande bestämmelser till EU:s förordning om gräsrotsfinan- siering). En återkallelse av auktorisation är den allvarligaste formen av ingripande och åtgärden får stora konsekvenser såväl för den finansiella entiteten som dess kunder. Denna ingripandeåtgärd bör inte användas utan starka skäl. Varning bör därför, i enlighet med vad som gäller enligt flera lagar på finansmarkansområdet, vara ett alternativ till återkallelse som Finansinspektionen får tillgripa när förutsättningarna för återkallelse i och för sig föreligger, men en varning i det enskilda fallet framstår som en tillräcklig åtgärd (se prop. 2020/21:206 s. 77).

I de olika rörelselagarna finns det också en möjlighet att ingripa genom ett beslut om anmärkning. En anmärkning kan användas när det är fråga om överträdelser som inte är så allvarliga att det finns förutsättningar att återkalla tillståndet eller besluta om varning (se t.ex. 18 kap. 2 § första stycket försäkringsrörelselagen, se även prop. 2006/07:115 s. 499). Detta

Prop. 2024/25:44

103

Prop. 2024/25:44	bör även gälla vid överträdelser av DORA-förordningen. Finansinspek-
	tionen bör därmed, med stöd av kompletteringslagen, ha möjlighet att
	besluta om en anmärkning mot en leverantör av kryptotillgångstjänster, en
	administratör av kritiska referensvärden och en leverantör av gräsrots-
	finansieringstjänster.
	Liksom gäller enligt flera lagar på finansmarknadsområdet bör
	ingripandeåtgärderna anmärkning och varning kunna förenas med sank-
	tionsavgifter (se t.ex. 3 kap. 3 § lagen med kompletterande bestämmelser
	till EU:s förordning om gräsrotsfinansiering).
	Lagrådet hänvisar till sitt yttrande över lagrådsremissen Europeiska
	gröna obligationer (Fi2024/01252) och frågan om åtalspreskription. I det
	yttrandet påpekar Lagrådet att det inte framgår av den föreslagna lagstift-
	ningen hur länge Finansinspektionen kan dröja med att besluta om sank-
	tionsavgifter och att frågan bör uppmärksammas i det fortsatta lagstift-
	ningsarbetet. Enligt Lagrådet kan samma resonemang föras för nu aktuella
	bestämmelser om sanktionsavgifter.
	Regeringen konstaterar att det på finansmarknadsområdet finns
	bestämmelser om preskription bara i fråga om vissa ingripanden (se t.ex.
	6 kap.	3 l §	lagen	[1991:980] om handel med	finansiella	instrument,
	25 kap.	20 §	lagen	om värdepappersmarknaden	och 3 kap.	4 § andra
	stycket lagen [2019:277] med kompletterande bestämmelser till EU:s
	förordning om transparens i transaktioner för värdepapperisering och om
	återanvändning). Bestämmelser om att Finansinspektionen får besluta att
	den som har åsidosatt sina skyldigheter ska betala en sanktionsavgift finns
	emellertid som nämns ovan i ett stort antal lagar på finansmarknads-
	området. Bestämmelserna gäller i en del fall både fysiska och juridiska
	personer. I andra fall gäller bestämmelserna bara juridiska personer såsom
	tillståndspliktiga finansiella företag. De överträdelser som medför att
	Finansinspektionen ska besluta om sanktionsavgift kan också skilja sig åt
	i stor utsträckning. I en del fall kan en överträdelse vara enkel att upptäcka.
	Men i andra fall kan en överträdelse vara av den arten att den vanligtvis
	kan upptäckas först om Finansinspektionen gör en omfattande och
	tidskrävande undersökning. Frågan om hur länge Finansinspektionen bör
	kunna dröja med att besluta om en sanktionsavgift för en finansiell entitet
	när det, som i kompletteringslagen och berörda rörelselagar, inte finns
	några bestämmelser om det, får därför hanteras i ett annat sammanhang.
	Frågan om preskription vid ingripande mot vissa företrädare för finan-
	siella entiteter som ska tas upp genom sanktionsföreläggande behandlas i
	avsnitt 10.3.
	Beräkningen av sanktionsavgifter behandlas i avsnitt 10.4.
	Ett ingripande genom ett föreläggande att vidta rättelse och ett beslut om
	anmärkning bör inte komma i fråga för samma överträdelse. Ett före-
	läggande kan endast användas när det krävs för att få den finansiella
	entiteten i fråga att vidta åtgärder för att rätta till något. En anmärkning
	bör i stället användas när det inte finns något att åtgärda men överträdelsen
	likväl bör medföra en sanktion (jfr prop. 2002/03:139 s. 548 och prop.
	2022/23:7 s. 156).
	Vid återkallelse av auktorisation gäller enligt flera rörelselagar på
	finansmarknadsområdet att Finansinspektionen har möjlighet att bestäm-
	ma hur avvecklingen av rörelsen ska ske (se t.ex. 15 kap. 4 § första stycket
104	lagen om bank- och finansieringsrörelse). Genom dessa bestämmelser får

Finansinspektionen möjlighet att i sitt beslut om återkallelse ge anvis- Prop. 2024/25:44 ningar om hur rörelsen ska avvecklas. Därigenom ges utrymme att ta

hänsyn till individuella förhållanden hos den verksamhet som beslutet avser (se prop. 1990/91:142 s. 175, prop.1991/92:113 s. 208 och prop. 2006/07:115 s. 639). Också vid en återkallelse av auktorisationen för en leverantör av kryptotillgångstjänster, en administratör av kritiska referens- värden och en leverantör av gräsrotsfinansieringstjänster är det av vikt att verksamheten avvecklas på ett ordnat sätt. I kompletteringslagen bör det införas en bestämmelse om att Finansinspektionen ska få besluta hur verk- samheten ska avvecklas om en auktorisation återkallas.

I likhet med det som gäller enligt flera rörelselagar på finansmarknads- området bör ett beslut om återkallelse av auktorisation få förenas med förbud att fortsätta verksamheten och ett sådant förbud med vite (se t.ex.

15 kap. 4 § andra stycket och 20 § lagen om bank- och finansierings- rörelse). Bestämmelser om detta bör tas in i kompletteringslagen.

Överträdelsen omfattas av ett föreläggande som förenats med vite

Som berörs ovan får begreppet straff i den mening som avses i Europa- konventionen även anses omfatta t.ex. vite, se avsnitt 9.2. Om ett vite har dömts ut bör det inte vara möjligt att besluta om en sanktion för samma sak (jfr prop. 2016/17:22 s. 227–229). I avsnitt 9.2 föreslås att Finans- inspektionen ska få utfärda förelägganden om att tillhandahålla uppgifter eller inställa sig till förhör. Ovan föreslås att inspektionen ska kunna besluta om ett förbud att fortsätta verksamheten efter tillståndet återkallats och i avsnitt 10.3 föreslås bestämmelser om förbud att vara styrelseleda- mot eller verkställande direktör eller ersättare för någon av dem. Dessa beslut ska få förenas med vite.

Om ett föreläggande förenas med vite och det inte följs, bör Finans- inspektionen välja mellan att ansöka om utdömande av vitet eller att ingripa mot överträdelsen (jfr samma prop. s. 228). Det bör tas in en bestämmelse i kompletteringslagen om att ett ingripande inte får ske om överträdelsen omfattas av ett föreläggande som har förenats med vite och överträdelsen ligger till grund för en ansökan om utdömande av vitet.

10.3	Ingripanden mot vissa företrädare för
	finansiella entiteter

Regeringens förslag: Det ska tas in bestämmelser om ingripanden mot
fysiska personer vid en finansiell entitets överträdelse av DORA-
förordningen. För finansiella entiteter som omfattas av en rörelselag ska
bestämmelserna tas in i respektive rörelselag. För andra finansiella
entiteter ska det införas bestämmelser i kompletteringslagen.
Finansinspektionen ska få ingripa mot någon som ingår i styrelsen för
andra finansiella entiteter än Svenska skeppshypotekskassan eller är
dess verkställande direktör, eller ersättare för någon av dem, om den
finansiella entiteten har åsidosatt sina skyldigheter enligt DORA-
förordningen. För finansiella entiteter som är AIF-förvaltare ska detta
också gälla förvaltarens ledning eller verkställande direktör eller
motsvarande.		105

Prop. 2024/25:44 Ett ingripande ska få ske bara om den finansiella entitetetens över- trädelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande ska få ske genom en eller båda av följande administrativa sanktioner:

1.att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får företräda den finansiella entiteten, eller

2.sanktionsavgift.

Ett beslut om förbud mot att företräda den finansiella entiteten ska få förenas med vite.

Frågor om ingripanden mot fysiska personer ska tas upp av Finans- inspektionen genom ett sanktionsföreläggande. Ett godkänt sanktions- föreläggande gäller som ett domstolsavgörande som har fått laga kraft.

Det ska införas en bestämmelse om vilka uppgifter ett sanktions- föreläggande ska innehålla.

Om ett sanktionsföreläggande inte har godkänts inom angiven tid ska Finansinspektionen få ansöka hos domstol om att en sanktion ska beslutas. En sådan ansökan ska göras hos den förvaltningsrätt som är behörig att pröva ett överklagande av Finansinspektionens beslut om ingripande mot den finansiella entiteten. Prövningstillstånd ska krävas vid överklagande till kammarrätten.

Ett sanktionsföreläggande ska vara utan verkan om föreläggandet inte har delgetts den som det riktas mot inom viss tid, oavsett om det gäller handläggningen vid Finansinspektionen eller i domstol.

Promemorians förslag överensstämmer i huvudsak med regeringens förslag. Promemorians förslag innehåller dock inte en särskild bestäm- melse om ingripande mot företrädare för försäkringsförmedlare. Promemorians förslag avviker även från regeringens förslag genom att det enligt promemorians förslag ska vara möjligt att ingripa mot företrädare för Svenska skeppshypotekskassan, ett kreditvärderingsinstitut och ett värdepapperiseringsregister.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller har inget att invända mot det.

Myndigheten för samhällsskydd och beredskap framför att bestäm- melserna, så långt möjligt, bör vara desamma som de bestämmelser som föreslås med anledning av NIS2-direktivet.

Svenska försäkringsförmedlares förening efterfrågar, på motsvarande sätt som för försäkringsföretag, en särskild bestämmelse i lagen om försäkringsdistribution.

Flera remissinstanser har frågor om kretsen som kan bli föremål för ett ingripande. Kungl. Tekniska högskolan anser att det bör förtydligas vilka som omfattas av begreppet ledningsorgan och under vilka omständigheter. Finansinspektionen påpekar att den i dag inte har möjlighet att besluta om sanktionsavgifter mot företrädare för Svenska skeppshypotekskassan och ifrågasätter en sådan möjlighet vid överträdelser av DORA-förordningen. När det gäller ingripanden mot företrädare för en AIF-förvaltare konstaterar såväl Finansinspektionen som Fondbolagens förening att inspektionen, till skillnad mot vad som gäller andra finansiella entiteter, ges möjlighet att ingripa mot förvaltarens ledning. Inspektionen anser att

106

det bör förtydligas vilka företrädare de får ingripa mot medan fond-	Prop. 2024/25:44
bolagens förening avstyrker förslaget.
Bolagsverket framför att det finns behov av bestämmelser som ut-
tryckligen anger att Bolagsverket, efter en underrättelse från Finans-
inspektionen, ska avregistrera den som ett förbud att företräda en finansiell
entitet avser. Bolagsverket anser vidare att om en person åter ska få
företräda en finansiell entitet, ska den finansiella entiteten anmäla detta till
Bolagsverket.
Sparbankernas Riksförbund påpekar att vissa krav i DORA-
förordningen inte riktar sig till kreditinstitut och att det, som det får förstås,
inte bör införas en möjlighet att ingripa enligt t.ex. lagen om bank- och
finansieringsrörelse vid en överträdelse av sådana krav i förordningen.
Skälen för regeringens förslag
Bestämmelser behöver införas i rörelselagarna och i
kompletteringslagen
Enligt DORA-förordningen ska medlemsstaterna ge den behöriga myndig-
heten befogenhet att, vid en juridisk persons överträdelse, tillämpa admi-
nistrativa sanktioner och avhjälpande åtgärder på medlemmar i lednings-
organet och på andra personer som enligt nationell rätt är ansvariga för
överträdelsen (artikel 50.5).
I de flesta rörelselagar på finansmarknadsområdet finns det bestäm-
melser om ingripanden mot fysiska personer som ingår i ledningen för en
finansiell entitet. Bestämmelserna är anpassade utifrån den verksamhet
som respektive finansiell entitet bedriver, t.ex. bank- och finansierings-
rörelse. Det är vidare lämpligt att bestämmelser inom finansmarknads-
området så långt möjligt är desamma. Dessa bestämmelser bör därför, till
skillnad från vad Myndigheten för samhällsskydd och beredskap anser,
ligga till grund för vad som ska gälla vid överträdelser av DORA-
förordningen.
Finansinspektionens möjligheter att ingripa är dock begränsade till
överträdelser av rörelselagarna eller överträdelse av andra särskilt angivna
bestämmelser såsom lagen (2017:630) om åtgärder mot penningtvätt och
finansiering av terrorism (se t.ex. 15 kap. 1 a § lagen om bank- och
finansieringsrörelse och 18 kap. 1 a § försäkringsrörelselagen). Det finns
således inte, som gäller för ingripanden mot den finansiella entiteten, en
mer generell möjlighet att ingripa mot en företrädare för den finansiella
entiteten om den finansiella entiteten har överträtt en bestämmelse som
gäller för verksamheten (se t.ex. 15 kap. 1 § jämförd med 15 kap. 1 a §
lagen om bank- och finansieringsrörelse, se även avsnitt 10.2.1).
Finansinspektionen har således enligt gällande rätt inte någon möjlighet
att ingripa mot fysiska personer som ingår i ledningen för en finansiell
entitet om den juridiska personen har åsidosatt sina skyldigheter enligt
DORA-förordningen. För att uppfylla kraven enligt förordningen bör det
införas bestämmelser om detta. I enlighet med vad som ovan anförs om
ingripanden, bör bestämmelserna första hand införas i de rörelselagar som
redan har tillämpliga bestämmelser om ingripanden, t.ex. i lagen om bank-
och finansieringsrörelse (se avsnitt 10.2.1). Som Svenska försäkrings-
förmedlares förening framför bör detta också gälla försäkringsförmedlare
och lagen (2018:1219) om försäkringsdistribution. Som utgångspunkt bör	107

Prop. 2024/25:44

108

Finansinspektionen ha samma möjligheter att ingripa oavsett överträdelse, dvs. om det är en överträdelse av DORA-förordningen eller någon annan bestämmelse som gäller för verksamheten. När det gäller preskription av Finansinspektionens möjlighet att ingripa gäller således som huvudregel att ett sanktionsföreläggande är utan verkan, om föreläggandet inte har delgetts den som det riktas mot inom två år från den tidpunkt då överträdelsen ägde rum (se t.ex. 15 kap. 9 d § lagen om bank- och finansieringsrörelse). När det gäller ingripanden mot företrädare med stöd av kompletteringslagen, se nedan.

Bestämmelser om ingripanden mot personer i ledningen för finansiella entiteter som inte omfattas av en rörelselag bör, också det i enlighet med vad som ovan anförs om ingripanden mot de finansiella entiteterna, införas i kompletteringslagen (se avsnitt 10.2.2).

En uppräkning av de överträdelser som kan leda till ingripande

I tidigare lagstiftningsärenden har regeringen när det gäller ingripanden mot fysiska personer för företags överträdelser ansett att det med hänsyn till bl.a. rättssäkerhet och förutsebarhet för den enskilde finns skäl att i lag uttryckligen ange de överträdelser som kan föranleda sanktion, inte minst eftersom bestämmelserna kan anses ha straffrättslig karaktär (se prop. 2016/17:162 s. 536–537 och de hänvisningar som görs där). Detta gäller fortfarande. De överträdelser av en finansiell entitet som kan leda till ett ingripande mot en ansvarig fysisk person bör därför anges uttryckligen i bestämmelserna i rörelselagarna och i kompletteringslagen.

Som Sparbankernas Riksförbund påpekar gäller inte alla krav i DORA- förordningen för samtliga finansiella entiteter. Till exempel är det bara värdepapperscentraler som ska förse de behöriga myndigheterna med kopior av resultatet av IKT-kontinuitetstesterna eller liknande övningar (artikel 11.9). Bestämmelserna om förenklad IKT-riskhanteringsram gäller, som sig bör, bara de finansiella entiteter som har rätt att tillämpa de bestämmelserna (se artikel 16). Det författningstekniskt mest lämpliga bör likväl vara att Finansinspektionen enligt rörelselagarna och komplet- teringslagen ges möjlighet att ingripa vid överträdelser av de bestämmelser i förordningen som riktar sig mot finansiella entiteter.

Personer som Finansinspektionen ska kunna ingripa mot

De fysiska personer som enligt DORA-förordningen ska kunna bli föremål för en sanktion eller en åtgärd enligt förordningen är i allt väsentligt desamma som i motsvarande bestämmelser i andra EU-rättsakter på finansmarknadsområdet (artikel 50.5 i DORA-förordningen jämförd med t.ex. artikel 65.2 i kapitaltäckningsdirektivet och artikel 70.2 i MiFID II).

Bestämmelserna i kapitaltäckningsdirektivet har genomförts genom bestämmelser i bl.a. lagen om bank- och finansieringsrörelse (15 kap. 1 a §). Vid det genomförandet gjordes bedömningen att den personkrets som kan träffas av administrativa sanktioner och åtgärder bör vara styrelsen, den verkställande direktören och ersättare för dessa (prop. 2014/15:57 s. 39–40). Motsvarande bedömning gjordes vid genom- förandet av MiFID II för värdepappersinstitut och börser (prop. 2016/17:162 s. 537–538). Också vid överträdelser av DORA-förordningen bör ingripanden kunna ske mot den som ingår i styrelsen för en finansiell

entitet eller är dess verkställande direktör, eller ersättare för någon av dem. Vilka som avses med dessa begrepp och hur de förhåller sig till EU- rättsakterna har utvecklats i tidigare lagstiftningsärenden (se t.ex. prop. 2014/15:57 s. 39–40). Till skillnad från Kungl. Tekniska högskolan anser regeringen därför att det inte finns anledning förtydliga detta ytterligare. När det gäller ersättare kan dock följande tilläggas. Genom bestämmel- serna skapas en möjlighet att ingripa mot en företrädare för en finansiell entitet för en entitets överträdelse. I detta ligger att företrädaren har en betydande del i överträdelsen och, genom sin ställning, har haft möjlighet att agera för att förhindra överträdelsen. Detta tydliggörs genom kraven om företrädaren uppsåtligen eller av grov oaktsamhet ska ha orsakat över- trädelsen (se nedan). För ersättare torde det innebära att ansvar bara kan komma i fråga om de haft samma ställning som den de är ersättare för, t.ex. när en ordinarie styrelseledamot vid ett sammanträde eller beslut har ersatts av en ersättare.

Såväl Finansinspektionen som Fondbolagens förening efterfrågar för- tydliganden när det gäller ingripanden mot företrädare för en AIF- förvaltare. För de flesta finansiella entiteter gäller att verksamheten ska bedrivas antingen som aktiebolag eller ekonomisk förening eller liknande juridiska former, t.ex. ömsesidigt försäkringsbolag. Det innebär att entiteten ska ha en styrelse (se t.ex. 2 kap. 1 § och 11 kap. 7 § försäkrings- rörelselagen [2010:2043]). Vanligtvis finns också krav om att entiteten ska ha en verkställande direktör (se t.ex. 11 kap. 9 § försäkringsrörelselagen). För AIF-förvaltare gäller att verksamheten får bedrivas i andra former än aktiebolag, t.ex. handelsbolag (se prop. 2012/13:155 s. 375). De andra formerna omfattas inte av krav på att utse styrelse och verkställande direktör. Liksom gäller vid överträdelser av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism bör det vara möjligt att ingripa mot företrädare för en AIF-förvaltare också när verksamheten bedrivs i annan form än aktiebolag eller ekonomisk förening (jfr 14 kap. 1 a § första stycket lagen [2013:561] om förvaltare av alternativa invester- ingsfonder, se även prop. 2016/17:173 s. 367). Således ska Finansinspek- tionen kunna ingripa mot någon som ingår i en AIF-förvaltares ledning eller styrelse eller är dess verkställande direktör eller motsvarande.

Beträffande Svenska skeppshypotekskassan bör Finansinspektionen, som inspektionen tar upp, inte ha möjlighet att ingripa mot företrädare, vilket också gäller enligt annan reglering.

Ingripandeåtgärder och förutsättningarna för ett ingripande bör vara desamma som enligt andra lagar på finansmarknadsområdet

Det finns inte några särskilda och detaljerade bestämmelser i DORA- förordningen om hur och när den behöriga myndigheten ska kunna ingripa mot medlemmar i ledningsorganet för en finansiell entitet.

Ett ingripande mot ledamöter i den juridiska personens styrelse, dess verkställande direktör eller ersättare för dessa bör kunna ske på samma sätt som enligt andra lagar på finansmarknadsområdet (se t.ex. 15 kap. 1 a § fjärde stycket lagen om bank- och finansieringsrörelse). Finansinspek- tionen bör därför kunna ingripa mot personer som ingår i ledningsorganet för en finansiell entitet genom ett förbud mot att utöva ledningsuppdrag

Prop. 2024/25:44

109

Prop. 2024/25:44 eller genom sanktionsavgift. Dessa två sanktioner bör också kunna kombineras.

Beräkningen av sanktionsavgifter behandlas i avsnitt 10.4.

I flera lagar på finansmarknadsområdet gäller att ett förbud mot att utöva ledningsfunktioner ska gälla för viss tid, lägst tre år och högst tio år (se t.ex. 15 kap. 1 a § fjärde stycket 1 lagen om bank- och finansierings- rörelse). Detsamma bör gälla för de förbud som nu föreslås. Ett förbud bör även få förenas med vite. Bestämmelser om detta bör tas in i den nya kompletteringslagen, vilket överensstämmer med det som kommer att gälla enligt de olika rörelselagarna.

Ett beslut om förbud mot att utöva vissa ledningsfunktioner i en finansiell entitet innebär i första hand ett förbud att inneha en sådan ställning i den aktuella juridiska personen. Förbudet i är dock vidare än så och omfattar även motsvarande ledande funktioner i andra finansiella entiteter som omfattas av bestämmelsen (se prop. 2016/17:173 s. 370). Efterlevnaden är i första hand något som Finansinspektionen har att hantera vid en ledningsprövning (prop. 2014/15:57 s. 48–49). Det är inte möjligt att, som Bolagsverket efterfrågar, inom ramen för detta lagstift- ningsärende föreslå kompletterande bestämmelser om hur finansiella entiteter ska agera efter ett beslut. När det gäller Finansinspektionen bör en uppgiftsskyldighet regleras på annan nivå än lag (jfr 3 § förordningen [2022:1765] med kompletterande bestämmelser till EU:s förordning om en paneuropeisk privat pensionsprodukt [PEPP-produkt]).

Det bör krävas att överträdelsen är allvarlig och att personen i fråga uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen, eftersom sanktionerna endast ska kunna komma i fråga i särskilt allvarliga fall och de har straffrättslig karaktär. Detta överensstämmer med det som gäller enligt flera lagar på finansmarknadsområdet (se t.ex. 15 kap. 1 a § tredje stycket lagen om bank- och finansieringsrörelse, se även prop. 2016/17:162 s. 539–542 och de hänvisningar som görs där). Enligt DORA-förordningen ska befogenheterna att tillämpa administrativa sank- tioner och avhjälpande åtgärder mot fysiska personer som ingår i lednings- organet för en finansiell entitet ges med förbehåll för villkor som före- skrivs i nationell rätt (artikel 50.5). Förordningen hindrar därför inte att ett sådant ingripande villkoras på det sättet.

Sanktionsföreläggande

Ingripanden mot fysiska personer som ingår i ledningsorganet för en finan- siell entitet bör, i likhet med det som gäller enligt flera lagar på finans- marknadsområdet, ske genom ett sanktionsföreläggande (se t.ex. 25 kap. 10 a § lagen om värdepappersmarknaden, se även prop. 2016/17:162 s. 536 och de hänvisningar som görs där). Ett sanktionsföreläggande innebär att den fysiska personen föreläggs att inom en viss tid godkänna ett ingripande som är bestämt till tid eller belopp. När ett sanktions- föreläggande har godkänts gäller det som ett domstolsavgörande som har fått laga kraft. Det innebär bl.a. att föreläggandet kan verkställas enligt utsökningsbalken om avgiften inte betalas i tid (jfr prop. 2014/15:57 s. 61). Ett godkännande som görs efter den tid som anges i föreläggandet är utan verkan.

110

Ett sanktionsföreläggande bör, i likhet med det som gäller enligt andra Prop. 2024/25:44 lagar på finansmarknadsområdet, innehålla vissa uppgifter (se t.ex. 25 kap.

10 b § lagen om värdepappersmarknaden). I kompletteringslagen och de rörelselagar som saknar bestämmelser om sanktionsförelägganden bör det därför anges att ett sanktionsföreläggande ska innehålla en uppgift om den fysiska person som föreläggandet avser, en uppgift om överträdelsen och de omständigheter som behövs för att känneteckna den, uppgift om de bestämmelser som är tillämpliga på överträdelsen och om den sanktion som föreläggs personen. Föreläggandet bör också innehålla en upplysning om att en ansökan om sanktion kan komma att ges in till domstol om föreläggandet inte godkänns inom den tid som Finansinspektionen anger.

Beträffande vad som ska gälla om ett sanktionsföreläggande inte god- känns, görs nu samma bedömning som i tidigare lagstiftningsärenden om sanktioner mot fysiska personer som ingår i en juridisk persons lednings- organ (se t.ex. prop. 2014/15:57 s. 61–62). Finansinspektionen bör alltså ha möjlighet att ansöka hos domstol om att en sanktion ska beslutas. En sådan ansökan bör göras hos den förvaltningsrätt som är behörig att pröva ett överklagande av Finansinspektionens beslut om ingripande mot den juridiska personen för samma överträdelse. Prövningstillstånd bör krävas vid överklagande till kammarrätten.

Vidare bör ett sanktionsföreläggande mot en fysisk person vara utan verkan om föreläggandet inte har delgetts personen inom två år från den tidpunkt då överträdelsen ägde rum. I ett sådant fall bör inte heller domstol få besluta om en sanktion.

Bestämmelserna om sanktionsföreläggande i kompletteringslagen och berörda rörelselagar bör utformas efter förebild av motsvarande bestäm- melser i andra lagar på finansmarknadsområdet (se t.ex. 25 kap. 10 c och 10 d §§ lagen om värdepappersmarknaden).

10.4Beräkning av sanktionsavgift

Regeringens förslag: En sanktionsavgift för en leverantör av krypto- tillgångstjänster, en emittent av s.k. tillgångsanknutna token, en pensionsstiftelse, en administratör av kritiska referensvärden, en leverantör av gräsrotsfinansieringstjänster och ett transaktionsregister som är en juridisk person ska högst kunna fastställas till det högsta av

1. ett belopp som per den 16 januari 2023 i svenska kronor mot- svarade en miljon euro,

2. tio procent av den finansiella entitetens omsättning närmast före- gående räkenskapsår eller, i förekommande fall, motsvarande om- sättning på koncernnivå, eller

3. tre gånger den vinst den finansiella entiteten har gjort till följd av regelöverträdelsen, om beloppet går att fastställa.

Sanktionsavgiften ska inte få bestämmas till ett lägre belopp än

5 000 kronor.

Sanktionsavgiften för en leverantör av kryptotillgångstjänster eller en leverantör av gräsrotsfinansieringstjänster får inte vara så stor att leverantören därefter inte uppfyller de krav särskilda krav om soliditet

och likviditet som gäller för sådana finansiella entiteter.

111

Prop. 2024/25:44

112

Om överträdelsen har skett under den juridiska personens första verksamhetsår eller om uppgifter om omsättningen annars saknas eller är bristfälliga, ska omsättningen få uppskattas när den högsta sanktions- avgiften ska beräknas.

Sanktionsavgiften för en fysisk person ska som högst kunna fast- ställas till det högsta av

1.ett belopp som per den 16 januari 2023 i svenska kronor mot- svarade 500 000 euro, eller

2.tre gånger den vinst som den fysiska personen har gjort till följd av regelöverträdelsen, om beloppet går att fastställa.

Sanktionsavgifter ska tillfalla staten.

Regeringens bedömning: För andra finansiella entiteter är bestäm- melserna i den lag som reglerar entitetens verksamhet tillräckliga för att uppfylla kraven i DORA-förordningen.

Promemorians förslag och bedömning överensstämmer i huvudsak med regeringens förslag och bedömning. Promemorians förslag avviker från regeringens förslag genom att det i promemorian föreslås hur en sanktionsavgift för ett kreditvärderingsinstitut och ett värdepapperiser- ingsregister ska beräknas. Promemorians förslag avviker även från rege- ringens förslag genom att det i promemorian inte föreslås någon begräns- ning av sanktionsavgifterna för en leverantör av kryptotillgångstjänster.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget och bedömningen eller har inget att invända mot dem.

Sveriges advokatsamfund noterar att bestämmelsen i kompletterings- lagen har en annan utformning än motsvarande bestämmelse i vissa rörelseregelverk.

Kommunförsäkringsföreningen anser att sanktionsavgiften bör vara densamma oavsett vilket regelverk som personen omfattas av.

Euroclear Sweden AB anser att sanktionsavgiften enligt kompletterings- lagen åtminstone bör motsvara det som gäller för en sanktionsavgift enligt rörelseregelverket.

Finansinspektionen framför att även för en leverantör av krypto- tillgångstjänster bör en sanktionsavgift inte få vara så stor att leverantören därefter inte uppfyller de krav om soliditet och likviditet som gäller för den. Finansinspektionen anser också att det bör förtydligas vilka andra bestämmelser om soliditet och likviditet som avses när det gäller leverantörer av gräsrotsfinansieringstjänster.

Skälen för regeringens förslag och bedömning

Beräkningsgrunder enligt andra EU-rättsakter och svenska lagar

I DORA-förordningen finns det inte några bestämmelser om storleken på sanktionsavgifter. Detta avviker från det som gäller enligt flera andra EU- rättsakter på finansmarknadsområdet, som innehåller detaljerade bestäm- melser om detta. Bestämmelser med beräkningsgrunder för sanktions- avgifter har införts i både rörelselagstiftning och lagar som kompletterar olika EU-förordningar på finansmarknadsområdet (se t.ex. 25 kap. 9 och 9 a §§ lagen om värdepappersmarknaden och 3 kap. 12 och 13 §§ lagen med kompletterande bestämmelser till EU:s förordning om värdepapperi- sering).

De sanktionsavgifter som ska kunna tas ut vid överträdelser av bestäm- melser i de olika EU-rättsakterna ska i de flesta fall kunna tillämpas på ett antal olika överträdelser, på såväl juridiska som fysiska personer och på företag av olika storlek och med olika ekonomiska resurser och i samtliga medlemsstater. Maximibeloppen i de olika rättsakterna är således bestäm- da för att vara tillräckligt avskräckande och för att kunna uppväga even- tuella vinster som en person kan ha gjort genom överträdelsen.

För juridiska personer finns i de flesta fallen tre alternativa beräknings- metoder för avgifterna:

1.sanktionsavgiften ska kunna uppgå till det högsta av ett bestämt belopp i euro eller, i medlemsstater vars valuta inte är euro, motsvarande värde i nationell valuta vid ett bestämt datum,

2.en viss procentsats av den juridiska personens totala årsomsättning, eller i förekommande fall motsvarande omsättning på koncernivå, eller

3.ett visst antal gånger beloppet för den vinst som erhållits genom över- trädelsen, om den kan fastställas.

Den lägsta sanktionsavgift som får tas ut av en juridisk person är

5 000 kronor. För fysiska personer används beräkningsmetoderna ett och tre, dvs. ett absolut högsta belopp och ett belopp som bestäms utifrån den vinst som personen gjort genom överträdelsen.

I flera lagar på finansmarknadsområdet finns det bestämmelser som för- hindrar att en sanktionsavgift bestäms till ett så stort belopp att företaget därefter inte uppfyller de krav på soliditet och likviditet som gäller enligt dess rörelsereglering (se t.ex. 15 kap. 8 § tredje stycket lagen om bank- och finansieringsrörelse, 25 kap. 9 § tredje stycket lagen om värde- pappersmarknaden och 18 kap. 17 § tredje stycket försäkringsrörelse- lagen). Avsikten är att förhindra att uttaget av avgiften leder till att till- ståndet att bedriva verksamheten måste återkallas (se prop. 2006/07:115 s. 640–641).

Befintliga bestämmelser i rörelselagarna om sanktionsavgifter ska tillämpas

När det gäller finansiella entiteter som omfattas av en rörelselag kan Finansinspektionen ingripa mot dem med stöd av bestämmelserna i rörelselagarna (se förslagen i avsnitt 10.2.1). Det föreslås även att det ska införas bestämmelser i rörelselagarna om att Finansinspektionen ska kunna ingripa mot fysiska personer som ingår i ledningsorganet för dessa finansiella entiteter när den juridiska personen har åsidosatt sina skyldig- heter enligt vissa bestämmelser i DORA-förordningen (avsnitt 10.3). Detta innebär att befintliga bestämmelser om sanktionsavgifter i rörelselagarna blir tillämpliga också vid överträdelser av DORA-förordningen. Dessa bestämmelser bedöms uppfylla kraven i DORA-förordningen. Därmed krävs inga ändringar av bestämmelserna i rörelselagarna som rör beräk- ning av sanktionsavgifter.

Bestämmelser om sanktionsavgifter i kompletteringslagen

För finansiella entiteter som inte omfattas av en rörelselag finns det inte några bestämmelser om beräkning av sanktionsavgifter. För att uppfylla kraven enligt DORA-förordningen behöver det införas bestämmelser för leverantörer av kryptotillgångstjänster, emittenter av tillgångsanknutna

Prop. 2024/25:44

113

Prop. 2024/25:44	token, pensionsstiftelser, administratörer av kritiska referensvärden,
	leverantörer av gräsrotsfinansieringstjänster och transaktionsregister.
	Bestämmelserna bör, liksom andra bestämmelser om ingripanden införas
	i kompletteringslagen (se avsnitt 10.2.2 och 10.3).
	I flera lagar på finansmarknadsområdet med kompletterande bestämmel-
	ser till EU-förordningar finns det bestämmelser med motsvarande beräk-
	ningsgrunder som i rörelselagarna (se t.ex. 4 kap. 6 § lagen med komplet-
	terande bestämmelser till EU:s förordning om referensvärden jämförd med
	25 kap. 9 och 9 a §§ lagen om värdepappersmarknaden). Bestämmelser
	om sanktionsavgifter för juridiska och fysiska personer i kompletterings-
	lagen bör utformas på motsvarande sätt. Som Sveriges advokatsamfund
	noterar kommer en sådan bestämmelse inte fullt ut överensstämma med
	motsvarande bestämmelser i rörelseregelverken. Det förekommer dock
	skillnader även mellan bestämmelserna i de olika rörelseregelverken.
	Följande bör gälla för beräkning av sanktionsavgifter enligt komp-
	letteringslagen.
	Det bör finnas ett högsta belopp för sanktionsavgifter. I enlighet med det
	som gäller enligt andra lagar på finansmarknadsområdet bör det högsta
	beloppet bestämmas till det högsta av olika belopp.
	Ett första belopp bör vara ett fast belopp. En sanktionsavgift bör således,
	om det beloppet är högst, högst kunna uppgå till ett fast belopp. Detta bör
	anges i svenska kronor, som per datumet för ikraftträdande av EU-rätts-
	akten motsvarar ett visst belopp i euro (se t.ex. 25 kap. 9 § första stycket 1
	och 9 a § första stycket 1 lagen om värdepappersmarknaden). Som angetts
	ovan skiljer sig beloppen för beräkningen av den högsta sanktionsavgiften
	i de olika rörelselagarna och kompletteringslagarna. Detta beror delvis på
	bestämmelserna i de bakomliggande EU-rättsakterna och om det rör sig
	om bestämmelser som har sin grund i penningtvättsregelverket (se prop.
	2016/17:173). Storleken på beloppen i kompletteringslagen bör bestäm-
	mas utifrån de finansiella entiteter som ska omfattas av den lagen. Till
	skillnad från Kommunförsäkringsföreningen och Euroclear Sweden AB
	anser regeringen att sanktionsavgiften enligt kompletteringslagen för
	juridiska personer enligt det fasta beloppet lämpligen bör bestämmas till
	en miljon euro. För fysiska personer bör motsvarande belopp bestämmas
	till 500 000 euro. När det gäller finansiella entiteter som redan omfattas av
	bestämmelser om högsta sanktionsavgift, t.ex. kreditinstitut bör de
	beloppen gälla också vid överträdelser av DORA-förordningen.
	I tidigare lagstiftningsärenden på finansmarknadsområdet har det i ett
	flertal fall hänvisats till den valutakurs som motsvarar den s.k. fixing-
	kursen, i äldre lagstiftnings–ärenden benämnd mittkurs (se t.ex. prop.
	2020/21:206 s. 85–86). Fixingkursen fastställs numera av Europeiska
	centralbanken och räknas om av Riksbanken till en kurs mot svenska
	kronor. Riksbanken publicerar sedan kursen på sin webbplats. Det är
	lämpligt att tillämpa denna fixingkurs för omräkning av sanktionsavgiften
	även i detta fall. Enligt fixingkursen den 16 januari 2023, det datum då
	DORA-förordningen trädde i kraft, motsvarade 1 euro 11,2691 svenska
	kronor. Eftersom beloppet för sanktionsavgiften knyts till eurons kurs ett
	visst datum kommer omräkningen mellan euro och svenska kronor inte att
	förändras.
	När det gäller juridiska personer bestäms ett andra belopp vanligtvis
114	utifrån företagets omsättning (se t.ex. 25 kap. 9 § första stycket 2 lagen om

värdepappersmarknaden). Detta bör också gälla enligt kompletterings- lagen. Enligt flera andra lagar på finansmarknadsområdet bestäms detta belopp till tio procent av den finansiella entitetens omsättning närmast föregående räkenskapsår. Om en finansiell entitet ingår i en koncern ska omsättningen som regel beräknas utifrån koncernredovisningen och då utifrån ”motsvarande omsättning på koncernnivå” (se t.ex. 25 kap. 9 § första stycket 2 lagen om värdepappersmarknaden). Avsikten är att omsätt- ning från verksamhet i koncernen som redovisas utifrån samma redovis- ningsregler ska ligga till grund för beräkningen av den högsta sank- tionsavgiften (se prop. 2016/17:162 s. 600–602). Frågan om vad som avses med omsättning har berörts i tidigare lagstiftningsärenden. När det gäller vilka poster i ett företags redovisning som ska ingå i beräkningen av omsättningen bör det avgöras utifrån tillämpliga redovisningsregler, dvs. de EU-rättsliga redovisningsdirektiven och hur de har genomförts i nationell rätt (se samma prop. s. 595–602). För finansiella entiteter rör det sig om tre typer av omsättning: omsättning från verksamhet som redovisas enligt årsredovisningslagen (1995:1554), omsättning från verksamhet som redovisas enligt lagen (1995:1559) om årsredovisning i kreditinstitut och värdepappersbolag och omsättning från verksamhet som redovisas enligt lagen (1995:1560) om årsredovisning i försäkringsföretag. Vilka närmare poster som bör ingå i omsättningen när den beräknas enligt de olika redovisningslagarna har behandlats mer utförligt i förarbetena till andra lagar på finansmarknadsområdet (se t.ex. samma prop. s. 764–765). Regeringen gör inte någon annan bedömning i det nu aktuella fallet.

När det gäller frågan om vilken redovisning som ska ligga till grund för beräkningen hänvisar Lagrådet till sitt yttrande över lagrådsremissen Europeiska gröna obligationer (Fi2024/01252) och förslaget till en ny lag med kompletterande bestämmelser till EU:s förordning om europeiska gröna obligationer. I det yttrandet föreslår Lagrådet en bestämmelse som innebär att den relevanta omsättningen ska vara omsättningen ”enligt den senaste årsredovisning som den juridiska personens ledningsorgan har beslutat”. Lagrådet anser att samma lydelse bör väljas i den nu aktuella kompletteringslagen. I propositionen Europeiska gröna obligationer (prop. 2024/25:21) föreslår regeringen att uttrycket ”närmast föregående räkenskapsår” ska användas i stället för Lagrådets föreslagna formulering. Som skäl anges bl.a. intresset av enhetliga regler då regeringens föreslagna formulering överensstämmer med motsvarande bestämmelser i ett flertal andra lagar på finansmarknadsområdet (se t.ex. 5 kap. 6 § lagen med kompletterande bestämmelser till EU:s marknadsmissbruksförordning och 5 kap. 6 § lagen med kompletterande bestämmelser till EU:s prospekt- förordning). Regeringen gör samma bedömning i detta fall. Enligt kompletteringslagen bör därför också det aktuella beloppet bestämmas utifrån den finansiella entitetens omsättning närmast föregående räken- skapsår eller, i förekommande fall, motsvarande omsättning på koncern- nivå. Beloppet bör lämpligen bestämmas till tio procent av omsättningen.

Enligt flera lagar på finansmarknadsområdet bestäms ett sista belopp utifrån den vinst som personen har gjort till följd av överträdelsen. Detta gäller såväl för juridiska som för fysiska personer, men bara om beloppet går att fastställa (se t.ex. 25 kap. 9 § första stycket 3 och 9 a § första stycket lagen om värdepappersmarknaden). I DORA-förordningen anges att den behöriga myndigheten, när den fastställer en administrativ

Prop. 2024/25:44

115

Prop. 2024/25:44	sanktion, ska ta hänsyn till omfattningen av de vinster som erhållits eller
	av de förluster som undvikits. Detta torde avse den vinning som den
	juridiska eller fysiska personen faktiskt gjort. Hur denna ska beräknas har
	berörts i tidigare lagstiftningsärenden (se t.ex. prop. 2016/17:162 s. 602–
	603). Även om uttryckssättet varierar i olika EU-rättsakter på finans-
	marknadsområdet bör beräkningen också enligt kompletteringslagen
	knytas till ett nettobelopp. Liksom gäller enligt andra lagar på finans-
	marknadsområdet bör ett sådant belopp, också i detta fall, kunna uttryckas
	som den vinst som gjorts till följd av överträdelsen. Inom detta ryms såväl
	den vinst som erhållits som de förluster som undvikits till följd av
	överträdelsen, dvs. den sammantagna fördel som erhållits. Det sista
	beloppet bör därmed bestämmas till tre gånger den ”vinst” som den
	finansiella entiteten eller den fysiska personen har gjort till följd av över-
	trädelsen.
	Den sanktionsavgift som Finansinspektionen med stöd av komplet-
	teringslagen får ta ut av en juridisk person bör, som gäller enligt andra
	lagar på finansmarknadsområdet, inte få bestämmas till ett lägre belopp än
	5 000 kronor (se t.ex. 15 kap. 8 § andra stycket första meningen lagen om
	bank- och finansieringsrörelse och 25 kap. 9 § andra stycket första
	meningen lagen om värdepappersmarknaden).
	I flera lagar på finansmarknadsområdet finns det bestämmelser som tar
	sikte på en situation där en juridisk persons överträdelse har ägt rum under
	företagets första verksamhetsår eller om uppgifter om omsättningen
	annars saknas eller är bristfälliga. I sådana fall får det göras en uppskatt-
	ning av omsättningen (se t.ex. 25 kap. 9 § andra stycket andra meningen
	lagen om värdepappersmarknaden). En motsvarande bestämmelse bör
	införas i kompletteringslagen.
	För leverantörer av gräsrotsfinansieringstjänster gäller enligt lagen med
	kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering
	att en sanktionsavgift inte får vara så stor att leverantörens skyldigheter
	enligt andra bestämmelser om soliditet och likviditet äventyras (3 kap.
	10 §). En sådan begränsning bör också gälla för sanktionsavgifter enligt
	kompletteringslagen. Finansinspektionen framför att det bör förtydligas
	vilka andra bestämmelser om soliditet och likviditet som avses. Med andra
	bestämmelser om soliditet och likviditet bör, liksom enligt motsvarande
	bestämmelse i lagen med kompletterande bestämmelser till EU:s förord-
	ning om gräsrotsfinansiering, avses t.ex. 8 kap. 3 § lagen om värde-
	pappersmarknaden eller 6 kap. 1 § lagen om bank- och finansierings-
	rörelse om leverantören även har tillstånd att bedriva sådan verksamhet (se
	prop. 2020/21:206 s. 85 och 141). Såväl Europaparlamentets och rådets
	förordning (EU) 2020/1503 av den 7 oktober 2020 om europeiska
	leverantörer av gräsrotsfinansieringstjänster för företag och om ändring av
	förordning (EU) 2017/1129 och direktiv (EU) 2019/1937, i det följande
	benämnd EU:s förordning om gräsrotsfinansiering (artikel 11) som Mica-
	förordningen (artikel 67) innehåller bestämmelser om försiktighetskrav.
	En motsvarande begränsning som för leverantörer av gräsrotsfinansier-
	ingstjänster föreslås också för leverantörer av kryptotillgångstjänster (se
	3 kap. 10 § andra stycket andra meningen förslaget till lag med
	kompletterande bestämmelser till EU:s förordning om marknader för
	kryptotillgångar i propositionen En ny EU-reglering om marknader för
116	kryptotillgångar, prop. 2024/25:43). Som Finansinspektionen framför bör

en sanktionsavgift enligt kompletteringslagen inte heller för en leverantör Prop. 2024/25:44 av kryptotillgångstjänster vara så stor att leverantören därefter inte

uppfyller de krav om soliditet och likviditet som gäller för den.

I likhet med det som gäller enligt andra lagar på finansmarknadsområdet bör sanktionsavgifter som meddelas med stöd av kompletteringslagen tillfalla staten (se t.ex. 25 kap. 9 § fjärde stycket och 9 a § andra stycket lagen om värdepappersmarknaden).

10.5Omständigheter som ska vara styrande vid ett beslut om ingripande

Regeringens förslag: Det ska tas in bestämmelser i kompletterings- lagen om vad Finansinspektionens ska beakta vid ingripanden mot en finansiell entitet.

Vid valet av ingripande ska Finansinspektionen ta hänsyn till hur allvarlig överträdelsen är och hur länge den har pågått. Särskild hänsyn ska tas till överträdelsens art, överträdelsens konkreta och potentiella effekter på det finansiella systemet, skador som uppstått samt graden av ansvar för den som har begått överträdelsen.

Finansinspektionen ska i försvårande riktning beakta om den fysiska eller juridiska personen tidigare har begått en överträdelse. Vid denna bedömning ska särskild vikt fästas vid om överträdelserna är likartade och den tid som har gått mellan de olika överträdelserna.

I förmildrande riktning ska det beaktas om den som har begått överträdelsen i väsentlig utsträckning genom ett aktivt samarbete har underlättat Finansinspektionens utredning, och snabbt upphört med överträdelsen eller snabbt verkat för att överträdelsen ska upphöra, sedan den anmälts till eller påtalats av Finansinspektionen.

De omständigheter som ska vara styrande vid valet av ingripande ska beaktas även vid bestämmande av sanktionsavgiftens storlek. Utöver detta ska särskild hänsyn tas till den juridiska eller fysiska personens finansiella ställning och den vinst som gjorts till följd av överträdelsen, om vinsten går att fastställa.

Finansinspektionen ska få avstå från ett ingripande om överträdelsen är ringa eller ursäktlig, den fysiska eller juridiska personen i fråga gör en rättelse, den fysiska personen har verkat för att den juridiska personen gör en rättelse, någon annan myndighet eller något annat organ har vidtagit åtgärder mot den fysiska eller juridiska personen och dessa åtgärder bedöms som tillräckliga.

Regeringens bedömning: Tillämpliga bestämmelser i rörelselagarna om omständigheter som ska beaktas vid val av sanktion är tillräckliga för att uppfylla DORA-förordningens krav.

Promemorians förslag och bedömning överensstämmer i huvudsak med regeringens förslag och bedömning. Promemorians förslag avviker från regeringens förslag genom att bestämmelserna ska omfatta ingrip- anden mot ett kreditvärderingsinstitut och ett värdepapperiseringsregister.

Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget och

bedömningen eller har inget att invända mot dem. Svenska Bankföreningen

117

Prop. 2024/25:44

118

anser att det i lagtexten bör förtydligas att även andra omständigheter, än de som uttryckligen anges, kan beaktas vid ett ingripande.

Skälen för regeringens förslag och bedömning

Bestämmelser i DORA-förordningen

Enligt DORA-förordningen ska de behöriga myndigheterna ta hänsyn till alla relevanta omständigheter när de fastställer typ och nivå på administrativa sanktioner eller avhjälpande åtgärder (artikel 51.2).

I förordningen anges särskilt att den behöriga myndigheten ska ta hän- syn till om överträdelsen är avsiktlig eller om den beror på försummelse. Vidare finns följande, icke uttömmande, uppräkning av omständigheter som ska beaktas (artikel 51.2 a–g):

a)Överträdelsens väsentlighet, svårighetsgrad och varaktighet.

b)Graden av ansvar hos den fysiska eller juridiska person som gjort sig skyldig till överträdelsen.

c)Den finansiella styrkan hos den fysiska eller juridiska personen som har gjort sig skyldig till överträdelsen.

d)Omfattningen av de vinster som erhållits eller av förluster som undvikits av den fysiska eller juridiska personen som gjort sig skyldig till överträdelsen, i de mån de kan bestämmas.

e)Förluster för tredje parter orsakade av överträdelsen, i den mån de kan fastställas.

f)Viljan hos den ansvariga fysiska eller juridiska personen att samarbeta med den behöriga myndigheten, utan att det påverkar behovet av att säkerställa återföring av den vinst som den fysiska eller juridiska personen gjort eller de förluster som denne undvikit.

g)Tidigare överträdelser av den fysiska eller juridiska personen som har gjort sig skyldig till överträdelsen.

Befintliga bestämmelser i rörelselagarna

Bestämmelser om vad den behöriga myndigheten ska ta hänsyn till när den fastställer typ och nivå på administrativa sanktioner eller avhjälpande åtgärder finns i flera EU-rättsakter på finansmarknadsområdet (se t.ex. artikel 72.2 i MiFID II). I huvudsak överensstämmer de bestämmelserna med motsvarande bestämmelser i DORA-förordningen.

Bestämmelserna i de andra EU-rättsakterna har i svensk rätt genomförts i rörelselagarna (se t.ex. 25 kap. 2 § första stycket och 2 a § lagen om värdepappersmarknaden). I rörelselagarna anges det således redan i dag omständigheter som ska beaktas vid ett ingripande. Dessa befintliga bestämmelser bedöms uppfylla kraven i DORA-förordningen. Därmed krävs inga ändringar av bestämmelserna i rörelselagarna som rör omständigheter som ska beaktas vid ett ingripande.

Bestämmelser i kompletteringslagen om omständigheter vid val av ingripande

Bestämmelsen i DORA-förordningen om vad som ska beaktas vid ett ingripande är utformad så att den är riktad till den behöriga myndigheten. Detta skulle kunna förstås som att den är direkt tillämplig och att det därmed inte krävs några lagstiftningsåtgärder.

En motsvarande bestämmelse finns i Europaparlamentets och rådets förordning (EU) 2017/1129 av den 14 juni 2017 om prospekt som ska offentliggöras när värdepapper erbjuds till allmänheten eller tas upp till handel på en reglerad marknad, och om upphävande av direktiv 2003/71/EG, i det följande benämnd EU:s prospektförordning (se artikel 39). Vid införandet av lagen med kompletterande bestämmelser till EU:s prospektförordning gjordes bedömningen att det, för att främja förutsägbarheten och enhetligheten i tillämpningen av bestämmelserna, är en rimlig utgångspunkt att de omständigheter som anges i förordningen om val av sanktioner anges även i lag (prop. 2018/19:83 s. 102–104). Samma bedömning gjordes därefter vid införandet av dels lagen med kom- pletterande bestämmelser till EU:s förordning om värdepapperisering (prop. 2019/20:37 s. 63), dels lagen med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering (prop. 2020/21:206 s. 88). Det finns inte skäl att nu göra någon annan bedömning. De omständigheter som anges i DORA-förordningen bör därför anges även i kompletterings- lagen. I enlighet med vad som ovan anförs om förhållandet mellan rörelse- lagarna och kompletteringslagen (avsnitt 10.2.1 och 10.2.2) kommer dessa bestämmelser bara att gälla vid ingripanden mot Svenska skeppshypoteks- kassan, en leverantör av kryptotillgångstjänster, en emittent av tillgångs- anknutna token, en pensionsstiftelse, en administratör av kritiska referens- värden, en leverantör av gräsrotsfinansieringstjänster och ett transaktions- register.

Bestämmelsen i kompletteringslagen bör utformas efter förebild av motsvarande bestämmelser i andra lagar på finansmarknadsområdet som kompletterar EU-förordningar (se t.ex. 3 kap. 14 § lagen [2019:1215] med kompletterande bestämmelser till EU:s förordning om värdepapperisering och 3 kap. 13 § lagen [2021:899] med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering). Liksom enligt de andra lagarna bör det som anges i lagtexten utgöra en exemplifierande och inte ut- tömmande uppräkning av omständigheter som ska beaktas vid valet av sanktion (jfr t.ex. prop. 2019/20:37 s. 62–63 och prop. 2020/21:206 s. 88–89). Det finns inte anledning att, som Svenska Bankföreningen efterfrågar, uttrycka detta på annat sätt än i de andra lagarna.

Det är inte lämpligt att ange vilken relativ vikt som ska tillmätas olika omständigheter eller hur de ska vägas i det enskilda fallet. Detta är i stället något som ankommer på tillämpande myndighet eller domstol (se även prop. 2013/14:228 s. 237–239).

Den modell som har valts i tidigare lagstiftningsärenden utgår från att det bör stå klart vad som ska vara utgångspunkten vid val av ingripande. Därutöver bör det anges vilka omständigheter som i vart fall bör tillåtas att inverka på beslutet om vilken form av ingripande som slutligen ska väljas. De omständigheter som räknas upp i DORA-förordningen kan därmed delas in i sådana som är hänförliga till själva överträdelsen, och sådana som är att hänföra till den finansiella situationen hos den som begått den aktuella överträdelsen respektive sådana omständigheter som inträffat före eller efter överträdelsen och som är relevanta att beakta.

Med omständigheter som är hänförliga till själva överträdelsen bör avses objektiva faktorer som överträdelsens konkreta och potentiella effekter på det finansiella systemet, överträdelsens allvar och varaktighet och om det finns tredje parter som har orsakats förlust av överträdelsen. Det senare

Prop. 2024/25:44

119

Prop. 2024/25:44 bör, liksom vid tidigare införanden av liknande bestämmelser i EU- rättsakter på finansmarknadsområdet, motsvaras av uttrycket ”skador som uppstått” (se prop. 2015/16:26 s. 104–106). Vid bedömningen av själva överträdelsen bör hänsyn även tas till sådant som i DORA-förordningen uttrycks som ”graden av ansvar” (artikel 51.2 b). Med detta avses i huvudsak att någon kan vara mer eller mindre ansvarig för en överträdelse och ha en omfattande eller mer begränsad kännedom om de omständig- heter som utgör överträdelsen. Detta innefattar även om överträdelsen är uppsåtlig eller om den har begåtts av oaktsamhet. Om nämnda faktorer bildar utgångspunkt för valet av ingripande kan därefter det slutliga utfallet påverkas av faktorer som inte är att hänföra till själva överträdelsen. Till sådana omständigheter bör hänföras omfattningen av erhållna fördelar till följd av överträdelsen, tidigare överträdelser och agerandet hos den som begått överträdelsen efter det att överträdelsen har avslöjats.

Omständigheter som bör beaktas särskilt vid bestämmande av sanktionsavgiftens storlek

I flera lagar på finansmarknadsområdet anges inte bara omständigheter som Finansinspektionen ska beakta vid valet av ingripande. Det anges även omständigheter som ska beaktas vid fastställande av sanktions- avgiftens storlek (se t.ex. 25 kap. 19 c § lagen om värdepappersmark- naden). Också i kompletteringslagen bör det anges omständigheter som Finansinspektionens ska beakta vid fastställande av sanktionsavgiftens storlek.

I likhet med det som gäller enligt flera andra lagar på finansmarknads- området bör Finansinspektionen, vid fastställande av storleken på sanktionsavgiften, ta hänsyn till samtliga relevanta omständigheter. Detta inbegriper sådana omständigheter som ska beaktas vid valet av ingripande. I fråga om sanktionsavgiftens storlek är det därutöver särskilt relevant att beakta den aktuella personens finansiella ställning och storleken på den vinst som personen gjort till följd av överträdelsen.

I DORA-förordningen anges att den finansiella styrkan hos den fysiska eller juridiska personen ska beaktas (artikel 51.2 c). I andra lagstiftnings- ärenden på finansmarknadsområdet har den finansiella ställningen bestämts utifrån den juridiska personens totala omsättning eller den ansvariga fysiska personens årsinkomst. Även andra ekonomiska förhållanden, såsom underhållsskyldighet i fråga om fysisk person och förmögenhetsförhållanden, bör dock kunna beaktas (se prop. 2020/21:206

s.90).

Vidare anges det i DORA-förordningen att omfattningen av de vinster

som erhållits eller förluster som undvikits av den fysiska eller juridiska person som har gjort sig skyldig till överträdelsen ska beaktas (artikel 51.2 d). I likhet med de bedömningar som gjorts i tidigare lagstift- ningsärenden av motsvarande bestämmelser i andra EU-rättsakter, bör i bestämmelsen i den nya kompletteringslagen enbart vinst anges (se t.ex. prop. 2016/17:162 s. 602–603). Den vinst som gjorts avser ett nettobelopp och omfattar de intäkter som erhållits och de förluster som undvikits, dvs. den fördel som faktiskt erhållits (jfr samma prop. s. 603).

120

Finansinspektionen ska kunna avstå från ett ingripandeProp. 2024/25:44

Enligt flera lagar på finansmarknadsområdet får Finansinspektionen avstå från ett ingripande i vissa situationer (se t.ex. 25 kap. 2 § andra stycket lagen om värdepappersmarknaden). Denna möjlighet bör även finnas vid ett ingripande med stöd av kompletteringslagen.

I huvudsak bör Finansinspektionen få avstå från ett ingripande i samma situationer som enligt andra lagar på finansmarknadsområdet (jfr samma lag som ovan). Finansinspektionen bör således kunna avstå från ett ingripande om överträdelsen är ringa eller ursäktlig, den juridiska eller fysiska personen i fråga gör en rättelse eller den fysiska personen har verkat för att den juridiska personen ska göra rättelse. Inspektionen bör också kunna avstå från ett ingripande om någon annan myndighet eller något annat organ har vidtagit åtgärder mot den juridiska eller fysiska personen och dessa åtgärder bedöms tillräckliga. Detta täcker ett stort antal situationer, t.ex. en risk för dubbelprövning (jfr 5 kap. 17 § 3 lagen med kompletterande bestämmelser till EU:s marknadsmissbruksförordning och prop. 2016/17:22 s. 392). Till skillnad från t.ex. lagen med kompletterande bestämmelser till EU:s marknadsmissbruksförordning torde det inte bli aktuellt med ingripanden mot mycket unga och omyndiga personer (se samma prop. s. 227 och 392). Det är därmed svårt att se några ytterligare fall då Finansinspektionen bör kunna avstå från ett ingripande. I kompletteringslagen bör det därmed inte införas någon generell möjlighet för Finansinspektionen att avstå från ingripande om det finns andra särskilda skäl.

10.6Betalning, preskription och verkställighet

Regeringens förslag: Sanktionsavgifter som tas ut med stöd av kompletteringslagen ska betalas inom 30 dagar efter det att ett beslut om att ta ut avgiften har fått laga kraft eller sanktionsföreläggandet godkänts eller den längre tid som anges i beslutet eller föreläggandet. Om en sanktionsavgift inte betalas inom denna tid, ska Finans- inspektionen lämna den obetalda avgiften för indrivning.

En sanktionsavgift ska falla bort i den utsträckning verkställighet inte har skett inom fem år från det att beslutet eller domen fick laga kraft eller sanktionsföreläggandet godkändes.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna tillstyrker förslaget eller har inget att invända mot

det.

Skälen för regeringens förslag: I DORA-förordningen finns det inte några bestämmelser om betalning av sanktionsavgifter, preskription och verkställighet. Medlemsstaterna har således möjlighet att själva avgöra vad som ska gälla i sådana frågor.

I flera lagar på finansmarknadsområdet finns det bestämmelser om betalning, preskription och verkställighet av sanktionsavgifter som beslutas med stöd av de lagarna (se t.ex. 25 kap. 25–28 §§ lagen om värde- pappersmarknaden). För sanktionsavgifter som beslutas med stöd av

kompletteringslagen bör motsvarande bestämmelser införas. Sådana

121

Prop. 2024/25:44 bestämmelser bör utformas efter förebild av motsvarande bestämmelser i andra lagar på finansmarknadsområdet (se t.ex. 25 kap. 25–28 §§ lagen om värdepappersmarknaden).

En sanktionsavgift som beslutas med stöd av kompletteringslagen bör således betalas till Finansinspektionen inom 30 dagar efter det att ett beslut om avgiften har fått laga kraft eller den längre tid som anges i beslutet (jfr t.ex. 25 kap. 25 § lagen om värdepappersmarknaden). Finansinspek- tionens beslut om en sanktionsavgift bör få verkställas enligt utsöknings- balken (jfr t.ex. 25 kap. 26 § lagen om värdepappersmarknaden). Om avgiften inte betalas inom denna tid, bör Finansinspektionen lämna den obetalda avgiften för indrivning (jfr t.ex. 25 kap. 27 § lagen om värde- pappersmarknaden).

Finansinspektionens beslut om sanktionsavgift ska kunna överklagas (se förslagen i avsnitt 17.1). Beslutet är därmed ett sådant beslut som enligt 3 kap. 1 § första stycket 6 a och 20 § första stycket utsökningsbalken får verkställas som en exekutionstitel när beslutet har fått laga kraft (se prop. 2021/22:206). Det behövs därför ingen särskild föreskrift om att beslutet får verkställas enligt utsökningsbalken. Även ett godkänt sanktions- föreläggande kan verkställas (se avsnitt 10.3). Ett mål om sanktionsavgift handläggs som allmänt mål hos Kronofogdemyndigheten (se 1 kap. 6 § och 3 kap. 1 § första stycke 6 utsökningsbalken).

I flera lagar på finansmarknadsområdet anges att en sanktionsavgift som beslutats faller bort, dvs. preskriberas, i den utsträckning verkställighet inte har skett inom fem år (se t.ex. 5 kap. 25 § lagen med kompletterande bestämmelser till EU:s marknadsmissbruksförordning). Motsvarande bör gälla för sanktionsavgifter som beslutas med stöd av kompletteringslagen. Även i dessa fall bör preskriptionstiden vara fem år. Med verkställighet avses faktiska verkställighetsåtgärder. Preskriptionen är absolut. Det betyder att fullgörande inte kan krävas efter det att fem år har gått sedan beslutet fått laga kraft, även om verkställighet har skett under femårs- perioden avseende en del av sanktionsavgiften. Det som preskriberas är den del av avgiften som ännu inte har drivits in (se prop. 2016/17:22 s. 255–257).

	11	Sekretess

	Regeringens bedömning: Det behöver inte införas några nya bestäm-
	melser om sekretess för uppgifter som förekommer i svenska myndig-
	heters verksamhet enligt DORA-förordningen.
	Bestämmelsen i DORA-förordningen om tystnadsplikt kräver inga
	lagstiftningsåtgärder.

	Promemorians förslag överensstämmer inte med regeringens bedöm-
	ning. I promemorian föreslås en särskild bestämmelse om sekretess för
	uppgifter som förekommer i en statlig myndighets verksamhet enligt
	DORA-förordningen.
	Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller
122	har inget att invända mot det.

Svenska Bankföreningen och Sparbankernas Riksförbund framför att	Prop. 2024/25:44
uppgifter om affärs- eller driftförhållanden hos den som myndighetens
verksamhet avser kan vara särskilt känsliga och att det för sådana uppgifter
bör vara en presumtion för sekretess.
TU – medier i Sverige och Svenska journalistförbundet anser att det
finns ett stort insynsintresse för tredjemansuppgifter och avstyrker därmed
förslaget om absolut sekretess. TU – medier i Sverige framför att det för
dessa uppgifter, liksom för uppgifter om affärs- och driftförhållanden, bör
vara en presumtion för offentlighet. TU – medier i Sverige och Svenska
journalistförbundet avstyrker även förslaget om att tystnadsplikten för
tredjemansuppgifter ska ges företräde framför meddelarfriheten.
Försvarets radioanstalt påpekar att vissa uppgifter kan komma att
omfattas av även andra bestämmelser om sekretess än den som föreslås.
Uppgifterna kan t.ex. anses som säkerhets- eller bevakningsåtgärder, för
vilka sekretessen inte är begränsad i tiden.
Riksbanken betonar vikten av en tydlig sekretess för såväl tester som det
internationella samarbetet, dels med de europeiska tillsynsmyndigheterna,
dels med andra medlemsstaters testmyndigheter. Riksbanken ser även ett
behov av ett bredare och frivilligt samarbete på finansmarknadsområdet,
utanför DORA-regelverket, och anser att regeringen bör utreda förutsätt-
ningarna för det.
Skälen för regeringens bedömning
Behov av skydd
De svenska myndigheternas verksamhet enligt DORA-förordningen rör
sig i huvudsak om att utöva tillsyn, arbetsuppgifter som gäller hotbilds-
styrda penetrationstester och att hantera incidentrapporter (se avsnitt 6, 7
och 9). I första hand är det Finansinspektionen och Riksbanken som
kommer att utföra denna verksamhet. Myndigheterna kommer att behöva
hantera uppgifter av olika slag som rör de berörda företagen. Vissa upp-
gifter kommer sannolikt att vara känsliga, såväl för enskilda företag som
för det finansiella systemet. Myndigheterna bör hantera flertalet uppgifter
utan att de delas med någon annan myndighet. Det bör dock röra sig om
samma typ av uppgifter och ibland samma faktiska uppgift, oavsett i vilken
verksamhet och hos vilken myndighet som de förekommer. I första hand
bör det vara fråga om uppgifter om affärs- eller driftförhållanden, dvs.
uppgifter om hur ett företag har valt att organisera och bedriva sin verk-
samhet. Det kan t.ex. vara uppgifter om hur företagets riskhanterings-
system är uppbyggt eller vilka it-system som företaget använder. Det kan
också vara uppgifter om vilka andra företag som tillhandahåller och under-
håller it-system. Det kan vara mer övergripande uppgifter om vilket it-
system som används, men också mer detaljerade uppgifter om hur
systemet är konstruerat, t.ex. vilka algoritmer som används och vilka data
som systemet bearbetar. Redan sådana enskilda och förhållandevis grund-
läggande uppgifter kan vara särskilt känsliga då de mer eller mindre
påvisar vilket skydd ett företag har och i och med det också förmågan att
stå emot ett angrepp. Det bör också, som utvecklas i avsnitt 15, kunna röra
sig om personuppgifter, t.ex. namn och kontaktuppgifter för lednings-
personer. Detta gäller för såväl det enskilda företaget som en uppdrags-
tagare. Dessa uppgifter är i sig inte känsliga, men om de sätts i sitt	123

Prop. 2024/25:44 sammanhang kan de ge grundläggande information om vilket skydd ett företag har, t.ex. om det är allmänt känt att en person har en särskild expertkunskap eller är knuten till ett företag som bara tillhandahåller en viss typ av it-tjänster.

Genom DORA-förordningen införs krav om att vissa företag ska genom- föra tester (se avsnitt 7). Dessa tester kräver ett samspel och tilltro mellan företag och myndigheter. För företagen är det, som Riksbanken tar upp, av yttersta vikt att de uppgifter som företagen delar har ett tillräckligt skydd hos myndigheterna. Det kan motverka syftet med testerna om företagen väljer att begränsa vilka uppgifter som de delar bara utifrån risken att uppgifterna inte kan skyddas hos myndigheterna och förlängningen hamna i orätta händer. Detta skulle försvåra möjligheterna till erfarenhetsutbyte och ett samlat arbete med att öka motståndskraften i hela den finansiella sektorn, vilket är det huvudsakliga syftet med DORA-förordningen (se artikel 1). I stort gäller detta även för incidentrapporteringen där ett mer begränsat informationsutbyte riskerar att leda till att större och mer grundläggande brister inte identifieras, vilket kan påverka hela den finansiella sektorn och den finansiella stabiliteten.

I DORA-förordningen finns en särskild bestämmelse om tystnadsplikt. Bestämmelsen tar i första hand sikte på det samarbete och informations- utbyte som enligt förordningen ska äga rum mellan olika myndigheter. All information som utbyts mellan de behöriga myndigheterna och som avser affärs- eller driftförhållanden och andra ekonomiska eller personliga förhållanden ska anses vara konfidentiell och omfattas av tystnadsplikt (artikel 55.4). Tystnadsplikten ska gälla för alla personer som arbetar eller har arbetat för de behöriga myndigheterna, eller för en myndighet eller ett marknadsföretag eller en fysisk eller juridisk person som de behöriga myndigheterna har delegerat sina befogenheter till. Detta inbegriper revisorer och experter som arbetar på den behöriga myndighetens uppdrag (artikel 55.2). Information som omfattas av tystnadsplikt, inbegripet det informationsutbyte som ska ske mellan behöriga myndigheter enligt DORA-förordningen och behöriga myndigheter som har utsetts eller inrättats i enlighet med NIS2-direktivet, får inte lämnas ut till någon annan person eller myndighet utom när det föreskrivs i unionsrätt eller nationell rätt (artikel 55.3).

För svenska förhållanden torde bestämmelsen i DORA-förordningen främst gälla för de uppgifter som ska utbytas mellan Finansinspektionen och Riksbanken (se avsnitt 7.2). Den torde också omfatta det samarbete och informationsutbyte som ska ske mellan svenska myndigheter och myndigheter i andra medlemsstater och de europeiska tillsynsmyndig- heterna (se t.ex. artikel 48 i DORA-förordningen, se även avsnitt 13). Bestämmelsen är, som förordningen i sig, direkt tillämplig (se avsnitt 5.1). Det som anges i artikel 55.3 om tystnadsplikt kommer därmed att gälla även utan lagstiftningsåtgärder. Möjligheterna för svenska myndigheter att lämna ut eller dela uppgifter styrs av bestämmelserna i offentlighets- och sekretesslagen.

Sammantaget finns det ett behov av skydd för uppgifter som de svenska myndigheterna kommer att hantera med anledning av DORA-förord- ningen. Frågan är vilket skydd som sådana känsliga uppgifter har enligt gällande rätt.

124

Skydd enligt gällande rätt

Bestämmelser om tystnadsplikt i det allmännas verksamhet finns i offentlighets- och sekretesslagen.

Inom finansmarknadsområdet gäller sekretess för vissa uppgifter i en statlig myndighets verksamhet som består i tillståndsgivning eller tillsyn med avseende på bank- och kreditväsendet, värdepappersmarknaden eller försäkringsväsendet (30 kap. 4 § OSL). Sekretess gäller bl.a. för uppgifter om affärs- eller driftförhållanden hos den som myndighetens verksamhet avser, om det kan antas att denne lider skada om uppgiften röjs (första stycket 1). Sekretess gäller också för uppgifter om ekonomiska eller personliga förhållanden för annan som har trätt i affärsförbindelse eller liknande förbindelse med den som myndighetens verksamhet avser (första stycket 2).

I första hand omfattas Finansinspektionens tillstånds- och tillsyns- verksamhet av bestämmelsen. Ordet tillsyn ska emellertid inte ges en alltför snäv tolkning och torde omfatta alla de fall där en myndighet har en övervakande eller styrande funktion (prop. 1979/80:2 del A s. 233). Också verksamhet som syftar till att förhindra problem inom de angivna områdena kan klassas som tillsyn. Bestämmelsen omfattar även delar av Riksbankens verksamhet, t.ex. Riksbankens arbete med att övervaka bank- och kreditväsendet och betalningssystemets stabilitet (se prop. 2013/14:161 s. 36 och prop. 2015/16:5 s. 708).

Sekretessen enligt 30 kap. 4 § offentlighets- och sekretesslagen omfattar inte uppgifter om alla företag som är finansiella entiteter enligt DORA- förordningen (se artikel 2.1 och 2.2). För verksamhet som avser tillsyn över pensionsstiftelser gäller i stället 30 kap. 18 § offentlighets- och sekretesslagen. I sådan verksamhet gäller sekretess för uppgift om stiftelsens affärs- eller driftförhållanden, om det kan antas att stiftelsen lider skada om uppgiften röjs (punkt 1). Sekretess gäller också för uppgift om någon annan enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller någon närstående lider skada eller men om uppgiften röjs (punkt 2).

I allt väsentligt bör de ovan angivna bestämmelserna kunna vara tillämpliga på känsliga uppgifter som Finansinspektionen och Riksbanken kan komma att hantera vid verksamhet som rör tillsyn eller hotbildsstyrda penetrationstester enligt DORA-förordningen. I den mån uppgifter delas mellan myndigheterna bör de utifrån syftet med informationsutbytet, dvs. att myndigheten behöver uppgifterna för sin verksamhet (se avsnitt 7.2), också skyddas hos den myndighet som tar emot uppgifterna.

Vidare kan sekretess, som Försvarets radioanstalt påpekar, gälla för känsliga uppgifter om de rör säkerhets- och bevakningsåtgärder och avser telekommunikation eller system för automatiserad behandling av infor- mation eller behörighet att få tillgång till upptagning för automatiserad behandling eller annan handling (18 kap. 8 § 3 eller 4 OSL). Detta om- fattar bl.a. uppgifter om säkerheten hos telekommunikationer, t.ex. i allmänna datornät, uppgifter om behörighetsarrangemang för att få tillgång till upptagningar för automatisk databehandling, uppgifter om chiffer och liknande metoder som har till syfte att underlätta befordran eller användning i allmän verksamhet av uppgifter utan att föreskriven sekretess åsidosätts samt uppgifter om nycklar till elektroniska signaturer

Prop. 2024/25:44

125

Prop. 2024/25:44	m.m. Sekretessen omfattar också uppgifter om säkerheten avseende t.ex.
	datorprogram i it-system eller de loggar som datorprogrammen genererar
	(prop. 2003/04:93 s. 81).
	Uppgifter som förekommer i incidentrapporter (se avsnitt 6) bör kunna
	omfattas av sekretess enligt denna bestämmelse. I första hand bör det röra
	sig om uppgifter som kan bidra till att lämna upplysningar om olika
	säkerhets- eller bevakningsåtgärder, t.ex. en uppgift om vilken typ och
	version av ett system eller program som används. Dessa uppgifter bör
	dock, utifrån vad som anses som tillsyn enligt 30 kap. 4 och 18 §§
	offentlighets- och sekretesslagen, inte förekomma skilt från en myndighets
	tillsynsverksamhet. Om flera sekretessbestämmelser är tillämpliga på en
	uppgift hos en myndighet och en prövning i ett enskilt fall resulterar i att
	uppgiften inte är sekretessbelagd enligt en eller flera bestämmelser
	samtidigt som den är sekretessbelagd enligt en eller flera andra
	bestämmelser, ska de senare bestämmelserna ha företräde, om inte annat
	anges i denna lag (7 kap. 3 § OSL, se även prop. 2008/09:150 s. 318–320).
	I offentlighets- och sekretesslagen finns det även bestämmelser om
	sekretess i det internationella samarbetet. Sekretess gäller bl.a. för upp-
	gifter som en myndighet får från ett utländskt organ på grund av en
	bindande EU-rättsakt, om det kan antas att Sveriges möjlighet att delta i
	det internationella samarbete som avses i rättsakten eller avtalet försämras
	om uppgiften röjs (15 kap. 1 a § första stycket OSL). Sekretess gäller
	vidare för uppgift som en myndighet har inhämtat i syfte att överlämna
	uppgiften till ett utländskt organ i enlighet med en sådan rättsakt (15 kap.
	1 a § andra stycket OSL). Denna sekretess bör, som Riksbanken efter-
	frågar, omfatta samarbete inom ramen för DORA-förordningen mellan
	svenska myndigheter och myndigheter i andra medlemsstater och
	europeiska myndigheter, t.ex. EBA, Esma och Eiopa (se avsnitt 13).
	Sekretessen är dock begränsad till uppgifter som kommer till svenska
	myndigheter från utländska organ eller uppgifter som svenska myndig-
	heter inhämtar för att lämna vidare till utländska organ.
	För uppgifter som Finansinspektionen hämtar in från en behörig myn-
	dighet i ett annat land inom EES gäller sekretess för sådan uppgift om
	affärs- eller driftförhållanden och ekonomiska eller personliga förhål-
	landen som Finansinspektionen har fått om det följer av ett avtal med en
	mellanfolklig organisation som riksdagen har godkänt (30 kap. 7 § första
	stycket OSL). I begreppet avtal ingår bl.a. rättsakter som gäller till följd
	av Sveriges medlemskap i EU, dvs. anslutningsfördragen och förordningar
	och direktiv som utfärdas av EU:s institutioner (se bl.a. prop. 2006/07:110
	s. 38 och 41 samt RÅ 2007 ref. 45). I DORA-förordningen finns det, som
	anges ovan, även en särskild bestämmelse om tystnadsplikt (artikel 55).
	Bestämmelsen tar sikte på det informationsutbyte som ska ske enligt
	förordningen och information får bara lämnas om så föreskrivs i unionsrätt
	eller nationell rätt. Sekretess gäller därmed, oavsett form, för uppgifter om
	affärs- eller driftförhållanden och ekonomiska eller personliga förhål-
	landen som Finansinspektionen tar emot från andra myndigheter enligt
	förordningen. Motsvarande bör gälla för Riksbankens verksamhet enligt
	DORA-förordningen.
	Sekretessens styrka bestäms i regel utifrån olika skaderekvisit. Vid ett
	rakt skaderekvisit är utgångspunkten att uppgifterna är offentliga och att
126	sekretess bara gäller om det kan antas att en viss skada eller men

uppkommer om uppgiften röjs. Motsatt gäller vid ett omvänt skade- rekvisit. Sekretess gäller då om det inte står klart att uppgiften kan röjas utan att viss skada eller men uppstår. Ett rakt skaderekvisit kan också vara kvalificerat och då krävs särskilt mycket för att sekretess ska gälla. Vidare kan sekretessen vara absolut. I ett sådant fall ska uppgifter alltid hemlig- hållas utan att det görs någon skadeprövning om uppgifterna begärs ut.

De bestämmelser som berörs ovan har olika skaderekvisit. I vissa fall är sekretessen absolut medan det i andra fall råder en presumtion för offentlighet. När det gäller tillsyn över t.ex. kreditinstitut gäller sekretess för uppgift om ekonomiska eller personliga förhållanden för annan som har trätt i affärsförbindelse eller liknande förbindelse med den som myndighetens verksamhet avser (30 kap. 4 § första stycket 2 OSL). För samma typ av uppgifter vid tillsyn över en pensionsstiftelse gäller sekretess för uppgift om någon annan enskilds personliga eller ekonomiska förhållanden, om det kan antas att den enskilde eller någon närstående lider skada eller men om uppgiften röjs (30 kap. 18 § första stycket 2 OSL).

Sekretessen kan därmed vara av olika styrka enbart beroende på vilken finansiell entitet det rör sig. Vanligtvis är detta inte ett problem utan de enskilda bestämmelserna i offentlighets- och sekretesslagen är utformade utifrån vilken typ av uppgifter det rör sig om och det sammanhang som de förekommer i.

För de nu aktuella uppgifterna är det ett begränsat antal företag som utvecklar och tillhandahåller tjänster som rör finansiella företags digitala operativa motståndskraft. Det är således möjligt att olika typer av finansiella entiteter har samma typ av skydd mot angrepp, t.ex. att ett kreditinstitut och en pensionsstiftelse anlitat samma tredjepartleverantör. I vissa fall finns det även en intressegemenskap mellan olika finansiella entiteter, t.ex. att ett försäkringsbolag är ett helägt dotterbolag till ett kreditinstitut eller att ett kreditinstitut har valt att trygga tjänstepensioner i en pensionsstiftelse. I dessa fall kan samma uppgifter, som torde vara lika känsliga oavsett vilken finansiell entitet det rör, i vissa fall anses vara offentliga, men inte i andra. Även i denna del finns dock anledning att beakta pensionsstiftelsernas särart (se avsnitt 18) och det är därmed tveksamt om samma uppgifter faktiskt kommer att hanteras hos myndig- heterna.

Vidare kan en och samma uppgift från en finansiell entitet förekomma i mer än en typ av verksamhet hos myndigheterna, t.ex. dels i tillsynsverk- samheten, dels i en incidentrapport. I tillsynen gäller sekretess för uppgift om t.ex. en finansiell entitets it-system om det kan antas att entiteten lider skada om uppgiften röjs (30 kap. 4 § första stycket 1 OSL). Om uppgiften i stället förekommer i en incidentrapport gäller sekretess om det kan antas att syftet med åtgärden motverkas om uppgiften röjs (18 kap. 8 § OSL). Uppgifterna bör i båda fallen vara lika känsliga och ha samma behov av skydd. Som anges ovan bör dock en uppgift inte kunna förekomma helt skilt från vad som anses som tillsyn enligt 30 kap. 4 och 18 §§ offentlighets- och sekretesslagen.

Flera remissinstanser har synpunkter som rör sekretessens styrka. När det gäller uppgifter om ett företags affärs- och driftförhållanden kan uppgifter som specifikt rör ett företags digitala motståndskraft, som Svenska Bankföreningen och Sparbankernas Riksförbund framför, vara

Prop. 2024/25:44

127

Prop. 2024/25:44 särskilt känsliga. Som utvecklas ovan bör det dock vara samma typ av känsliga uppgifter som kan förekomma vid en myndighets verksamhet enligt DORA-förordningen som i dag förekommer vid annan tillstånds- och tillsynsverksamhet på finansmarknadsområdet. Behovet av skydd bör därmed vara detsamma oavsett om uppgifterna förekommer vid den vanliga finansiella tillsynen eller vid tillsyn enligt DORA-förordningen, de hotbildsstyrda penetrationstesterna eller i incidentrapporter. Rege- ringen anser därmed, till skillnad från Svenska Bankföreningen och Sparbankernas Riksförbund, att det nuvarande skyddet för affärs- eller driftförhållanden är tillräckligt.

För tredjemansuppgifter, dvs. uppgifter om ekonomiska eller personliga förhållanden för annan som har trätt i affärsförbindelse eller liknande förbindelse med den som myndighetens verksamhet avser, är det svårt att få en överblick av vilka uppgifter som är känsliga och vilka som inte är det. Som TU – medier i Sverige och Svenska journalistförbundet framför kan det finnas ett intresse för allmänheten att ta del av också denna typ av uppgifter. Dessa uppgifter kan dock, som utvecklas ovan, behöva ses i ett sammanhang. Uppgifterna kan då vara mycket känsliga även om de var för sig inte ger sken av det. Det kan t.ex. gälla uppgifter om en befattnings- havare i en tredjepartsleverantör av IKT-tjänster som förenat med upp- gifter om befattningshavarens kompetens och erfarenhet kan ge informa- tion om både vilket it-system som används och hur det fungerar. Vanligtvis bör tredjemannen även vara en enskild som bara står i affärsförbindelse med ett företag som omfattas av DORA-förordningen utan att själv omfattas av förordningen och dess krav. Vidare bör tredjemannens verk- samhet som huvudregel vara specialiserad och i första hand riktad mot företag. Det rör sig således, till skillnad mot den som myndighetens verk- samhet avser, inte om en verksamhet där konsumenter erbjuds finansiella tjänster. De nu aktuella tredjemansuppgifterna bör, liksom uppgifter om affärs- eller driftförhållanden, förekomma både i myndigheternas verk- samhet enligt DORA-förordningen och i myndigheternas övriga tillsyns- verksamhet. Detta gäller både typen av uppgifter och de faktiska upp- gifterna. Regeringen anser därmed, till skillnad från TU – medier i Sverige och Svenska journalistförbundet, att det inte finns skäl att inskränka det nu gällande skyddet för denna typ av uppgifter om uppgifterna förekommer vid en myndighets verksamhet enligt DORA-förordningen.

Annat har inte framkommit än att den sekretesstid som gäller enligt ovan berörda bestämmelser är tillräcklig också för uppgifter som förekommer vid verksamhet enligt DORA-förordningen.

Sammantaget anser regeringen att de ovan nämnda bestämmelserna om sekretess tillgodoser behovet av skydd för sådana känsliga uppgifter som kan förekomma i de svenska myndigheternas verksamhet enligt DORA- förordningen. Det finns därför inte behov av några ytterligare bestämmelser.

Frågan, som Riksbanken tar upp, om ett bredare samarbete på finans- marknadsområdet mellan företag och myndigheter och förutsättningarna för det ryms inte inom detta lagstiftningsärende.

Utlämnande trots sekretess berörs i avsnitt 7.2 och 13.

128

Meddelarfrihet	Prop. 2024/25:44
Sekretess innebär ett förbud att röja en uppgift, s.k. tystnadsplikt. Detta
gäller vare sig det sker genom utlämnande av allmän handling, muntligt
eller på annat sätt (3 kap. 1 § OSL). Den rätt att meddela och offentliggöra
uppgifter som följer av 1 kap. 1 och 7 §§ tryckfrihetsförordningen och
1 kap. 1 och 10 §§ yttrandefrihetsgrundlagen, den s.k. meddelarfriheten,
har som regel företräde framför tystnadsplikten. Bestämmelser om tyst-
nadsplikt kan dock genom särskilda bestämmelser i offentlighets- och
sekretesslagen ges företräde framför rätten att meddela och offentliggöra
uppgifter.
När det gäller tystnadsplikten för uppgifter som förekommer i tillstånds-
och tillsynsverksamhet på finansmarknadsområdet gäller meddelar-
friheten bara för vissa uppgifter. Tystnadsplikten inskränker inte rätten
enligt tryckfrihetsförordningen och yttrandefrihetsgrundlagen att meddela
och offentliggöra uppgifter som rör affärs- eller driftförhållanden hos den
som myndighetens verksamhet avser (se 30 kap. 4 § första stycket 1 och
18 § jämförda med 30 kap. 30 § första stycket OSL).
För tredjemansuppgifter som förekommer vid en statlig myndighets
tillsynsverksamhet med avseende på bank- och kreditväsendet, värde-
pappersmarknaden eller försäkringsväsendet gäller absolut sekretess
(30 kap. 4 § första stycket 2 OSL). Detta påverkar även tystnadsplikten
som för dessa tredjemansuppgifter har företräde framför meddelarfriheten.
Till skillnad från TU – medier i Sverige och Svenska journalistförbundet,
anser regeringen att den tystnadsplikt för tredjemansuppgifter som följer
av 30 kap. 4 § första stycket 2 offentlighets- och sekretesslagen inte bör
inskränkas såvitt gäller uppgifter som förekommer vid verksamhet enligt
DORA-förordningen (jfr 30 kap. 4 § första stycket 2 tillsammans med
30 kap. 30 § första stycket OSL).

12	Offentliggöranden av beslut

Regeringens bedömning: Kraven i DORA-förordningen om att den
behöriga myndigheten ska offentliggöra beslut om administrativa
sanktioner kräver inte någon lagstiftningsåtgärd.

Promemorians bedömning överensstämmer med regeringens bedöm-
ning.
Remissinstanserna tillstyrker bedömningen eller har inget att invända
mot den.
Skälen för regeringens bedömning: I DORA-förordningen finns det
särskilda bestämmelser om offentliggörande av beslut. De behöriga
myndigheterna ska offentliggöra alla beslut om att ålägga en administrativ
sanktion som inte kan överklagas efter det att sanktionens adressat har
underrättats om beslutet. Detta ska ske utan dröjsmål och på myndighetens
officiella webbplats (artikel 54.1). Ett offentliggörande ska innehålla
information om överträdelsens typ och art, de ansvariga personernas
identitet och ålagda sanktioner (artikel 54.2). I vissa fall kan den behöriga
myndigheten skjuta upp offentliggörandet, under en period offentliggöra		129

Prop. 2024/25:44	ett anonymiserat beslut eller helt avstå från ett offentliggörande. Så är t.ex.
	fallet om myndigheten anser att ett offentliggörande av de juridiska
	personernas identitet eller av de fysiska personernas identitet och person-
	uppgifter är oproportionellt, kan hota stabiliteten på de finansiella mark-
	naderna, kan äventyra en pågående brottsutredning eller kan vålla den
	berörda personen oproportionell skada (artikel 54.3). I förordningen finns
	det också bestämmelser om hur den behöriga myndigheten ska agera om
	ett beslut om administrativ sanktion överklagas (artikel 54.5) och om att
	ett offentliggörande bara ska ske så länge det är nödvändigt och inte längre
	än fem år (artikel 54.6).
	Det som anges i DORA-förordningen om offentliggörande av beslut är
	formulerat som en skyldighet för de behöriga myndigheterna och får i och
	med det anses vara direkt tillämpligt för dem. Det är därmed inte nöd-
	vändigt att vidta några lagstiftningsåtgärder för att det som anges i förord-
	ningen ska gälla för Finansinspektionen, dvs. den svenska behöriga myn-
	digheten (se avsnitt 5.2).
	En fråga som uppkommer är emellertid om ett sådant offentliggörande
	som anges i DORA-förordningen är förenligt med bestämmelserna om
	sekretess i offentlighets- och sekretesslagen. Sekretess kan gälla för vissa
	uppgifter som förekommer hos myndigheterna och som rör DORA-förord-
	ningen (se avsnitt 11). Detta inbegriper de beslut som Finansinspektionen
	enligt förordningen ska offentliggöra (se artikel 54 i förordningen).
	Sekretess gäller då för uppgift om affärs- eller driftförhållanden hos den
	som myndighetens verksamhet avser, dvs. en finansiell entitet, om det kan
	antas att denne lider skada om uppgiften röjs. Presumtionen är därmed att
	Finansinspektionen får offentliggöra uppgifter om åtgärder eller
	sanktioner, men att sekretess råder om det kan antas att den berörde lider
	skada om uppgiften röjs. DORA-förordningen förutsätter ett offentlig-
	görande av beslut om att påföra en administrativ sanktion, men tillåter
	samtidigt att besluten offentliggörs anonymiserat (artikel 54.3 b). Det
	finns också en möjlighet att i vissa fall inte alls offentliggöra beslutet
	(artikel 54.3 c) eller skjuta upp offentliggörandet (artikel 54.3 a).
	Motsvarande bestämmelser om offentliggöranden finns bl.a. i kapital-
	täckningsdirektivet och Europaparlamentets och rådets förordning (EU) nr
	909/2014 av den 23 juli 2014 om förbättrad värdepappersavveckling i
	Europeiska unionen och om värdepapperscentraler samt ändring av
	direktiv 98/26/EG och 2014/65/EU och förordning (EU) nr 236/2012. I
	tidigare lagstiftningsärenden med anledning av de bestämmelserna gjordes
	bedömningen att den sekretess som gäller enligt i offentlighets- och
	sekretesslagen inte utgör hinder för att offentliggöra beslut (se prop.
	2013/14:228 s. 233–234 och prop. 2015/16:10 s. 244–245). Det finns inte
	anledning att i detta lagstiftningsärende göra någon annan bedömning när
	det gäller bestämmelserna om offentliggörande i DORA-förordningen.
	Kravet på offentliggörande av beslut gäller också beslut som rör fysiska
	personer (se artikel 54.2 och 54.3). Därmed uppkommer frågan om
	gällande regelverk för hantering av personuppgifter hindrar att kraven i
	förordningen uppfylls. I DORA-förordningen anges att personuppgifterna
	ska behandlas i enlighet med Europaparlamentets och rådets förordning
	(EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med
	avseende på behandling av personuppgifter och om det fria flödet av
130	sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän data-

skyddsförordning), i det följande benämnd EU:s dataskyddsförordning, Prop. 2024/25:44 eller Europaparlamentets och rådets förordning (EU) 2018/1725 av den

23 oktober 2018 om skydd för fysiska personer med avseende på behand- ling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG, beroende på vilken förordning som är tillämplig (artikel 56.1). Möjligheten att offent- liggöra ett beslut i anonymiserad form (artikel 54.3 b) innebär i sig ett skydd för personuppgifter. I enlighet med den bedömning som gjorts i ett tidigare lagstiftningsärende (prop. 2020/21:206 s. 92), bör gällande regel- verk för hantering av personuppgifter inte innebära något hinder för upp- fyllande kraven på offentliggörande av beslut enligt DORA-förordningen.

13Samarbete och informationsutbyte mellan myndigheter

Regeringens bedömning: Det informationsutbyte som enligt DORA- förordningen ska ske mellan myndigheter kan komma till stånd inom ramen för gällande svensk rätt.

Promemorians bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Flertalet remissinstanser tillstyrker bedömningen eller har inget att invända mot den.

Riksbanken påpekar att det inom ramen för TIBER-EU förekommer ett samarbete mellan såväl behöriga myndigheter som centralbanker och Europeiska centralbanken.

Skälen för regeringens bedömning: I DORA-förordningen finns det flera bestämmelser om samarbete och informationsutbyte. Detta gäller dels mellan behöriga myndigheter, dels mellan behöriga myndigheter och europeiska myndigheter och andra organ. Till exempel ska de behöriga myndigheterna och den ledande tillsynsmyndigheten (någon av EBA, Esma eller Eiopa) ömsesidigt utbyta all relevant information om kritiska tredjepartsleverantörer av IKT-tjänster som är nödvändig för att de ska kunna utföra sina respektive uppgifter enligt förordningen (artikel 48.2 i DORA-förordningen). De europeiska tillsynsmyndigheterna EBA, Esma och Eiopa får, i samarbete med bl.a. behöriga myndigheter, inrätta mekanismer för att möjliggöra utbyte av effektiv praxis mellan olika finansiella sektorer för att öka situationsmedvetenheten och identifiera gemensamma sårbarheter och risker på it-området (artikel 49.1 första stycket). Vidare ska de behöriga myndigheterna, de europeiska tillsyns- myndigheterna och ECB nära samordna sin tillsyn för att identifiera och åtgärda överträdelser av förordningen, utarbeta och främja bästa praxis, underlätta samarbete, främja en konsekvent tolkning och tillhandahålla bedömningar över jurisdiktionsgränserna om det uppstår menings- skiljaktigheter (artikel 49.2).

131

Prop. 2024/25:44 Frågor om samarbete och informationsutbyte mellan svenska myndig- heter och såväl myndigheter i andra medlemsstater som de europeiska tillsynsmyndigheterna har berörts i flera lagstiftningsärenden. Vid inför- andet av kompletterande bestämmelser till Europaparlamentets och rådets förordning (EU) nr 1286/2014 av den 26 november 2014 om faktablad för paketerade och försäkringsbaserade investeringsprodukter för icke-profes- sionella investerare (Priip-produkter) (prop. 2016/17:78 s. 49) anfördes i huvudsak följande. Beträffande svenska myndigheters möjlighet att lämna ut uppgifter till utländska myndigheter kan det inledningsvis konstateras att det kan komma att handla om uppgifter som omfattas av sekretess (t.ex. 30 kap. 4 eller 6 § OSL). En svensk myndighets möjlighet att lämna ut sekretessbelagda uppgifter till en utländsk myndighet regleras i 8 kap. 3 § offentlighets- och sekretesslagen. Enligt den bestämmelsen får en uppgift som är sekretessbelagd enligt offentlighets- och sekretesslagen inte lämnas ut till utländsk myndighet eller mellanfolklig organisation i andra fall än då utlämnandet sker i enlighet med föreskrift i lag eller förordning eller då uppgiften i motsvarande fall skulle få lämnas ut till svensk myndighet och det enligt den utlämnande myndighetens prövning står klart att det är förenligt med svenska intressen att uppgiften lämnas till den utländska myndigheten eller mellanfolkliga organisationen. En bestämmelse i en EU-förordning är att jämställa med en bestämmelse i svensk lag eller förordning (jfr prop. 1998/99:18 s. 41 och prop. 1999/2000:126 s. 160 och 283).

Detta bör också gälla för samarbete och informationsutbyte inom ramen för DORA-förordningen. Bestämmelserna i förordningen ger således Finansinspektionen och Riksbanken goda möjligheter att lämna ut handlingar och uppgifter till myndigheter i andra medlemsstater och de europeiska tillsynsmyndigheterna (se prop. 2011/12:40 s. 20, prop. 2011/12:175 s. 31 och prop. 2012/13:72 s. 34). I första hand gäller detta behöriga myndigheter i andra medlemsstater samt de europeiska tillsyns- myndigheterna och ECB. Som Riksbanken påpekar kan detta även omfatta centralbanker i andra medlemsstater om de har uppgifter enligt förord- ningen, t.ex. om de liksom Riksbanken har del i genomförandet av de hotbildsstyrda penetrationstesterna (se avsnitt 7.1). Det informations- utbyte som enligt DORA-förordningen ska ske mellan svenska myndig- heter och myndigheter i andra medlemsstater och de europeiska tillsyns- myndigheterna kan därmed komma till stånd inom ramen för gällande svensk rätt, i första hand 8 kap. 3 § offentlighets- och sekretesslagen.

För samarbetet mellan Finansinspektionen och Riksbanken, se avsnitt 7.2.

14Informationsutbyte mellan finansiella entiteter

132

Regeringens bedömning: Kraven i DORA-förordningen om att finan- siella entiteter ska få utbyta information med varandra kräver inte någon lagstiftningsåtgärd.

Promemorians bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Flertalet remissinstanser tillstyrker bedömningen eller har inget att invända mot den.

Skälen för regeringens bedömning: I DORA-förordningen finns det bestämmelser om informationsutbyte mellan finansiella entiteter (artikel 45). Finansiella entiteter får utbyta information och underrättelser om cyberhot, inbegripet indikatorer på äventyrad säkerhet, taktiker, tekniker och förfaranden, cybersäkerhetsvarningar och konfigurations- verktyg, i den mån sådant utbyte av information och underrättelser

a)syftar till att förbättra finansiella entiteters digitala operativa mot- ståndskraft, särskilt genom att öka medvetenheten om cyberhot, begränsa eller hindra cyberhotens spridningsförmåga, varvid försvarsförmåga, metoder för att upptäcka hot, begränsningsstrategier eller åtgärds- och återställningsfaser stöds,

b)äger rum inom betrodda grupper av finansiella entiteter,

c)genomförs genom arrangemang för informationsutbyte som skyddar den potentiellt känsliga karaktären hos den information som utbyts och som styrs av uppföranderegler med full respekt för affärshemligheter, skydd av personuppgifter i enlighet med EU:s dataskyddsförordning och riktlinjer för konkurrenspolitiken.

I förordningen anges också att arrangemang för informationsutbyte ska innehålla fastställda villkor för deltagande och, när så är lämpligt, närmare uppgifter om offentliga myndigheters deltagande och på vilket sätt dessa kan knytas till arrangemangen för informationsutbyte, om deltagandet av tredjepartsleverantörer av IKT-tjänster och om operativa delar, inbegripet användningen av särskilda it-plattformar (artikel 45.2). Finansiella entiteter ska underrätta de behöriga myndigheterna om sitt deltagande i arrangemang för informationsutbyte, när deras medlemskap har godkänts eller, i tillämpliga fall, när medlemskapet upphör. Detta ska göras så snart det har skett (artikel 45.3).

Vidare framförs i skälen till förordningen att IKT-risker blir alltmer komplexa och sofistikerade och därmed kommer effektiva åtgärder för att upptäcka och förebygga en IKT-risk att i hög grad vara beroende av ett regelbundet utbyte mellan finansiella entiteter av underrättelser om hot och sårbarhet. Informationsutbyte bidrar till att skapa ökad medvetenhet om cyberhot. Tveksamheter om vilken typ av information som kan delas med andra marknadsaktörer, eller med myndigheter som inte är tillsyns- myndigheter leder till att användbar information inte lämnas ut. Finansiella entiteter bör därför uppmuntras att sinsemellan utbyta information och underrättelser om cyberhot, och kollektivt utnyttja sina individuella kun- skaper och praktiska erfarenheter på strategisk, taktisk och operativ nivå i syfte att förbättra sin förmåga att på lämpligt sätt bedöma, övervaka, försvara och reagera på cyberhot genom att delta i arrangemang för informationsutbyte. Det är därför nödvändigt att på unionsnivå möjliggöra framväxten av mekanismer för frivilligt informationsutbyte som, när de genomförs i betrodda miljöer, skulle hjälpa finanssektorn att förebygga och kollektivt reagera på cyberhot genom att snabbt begränsa spridningen av IKT-risk och hindra potentiella spridningseffekter genom de finansiella kanalerna (skäl 32).

Prop. 2024/25:44

133

Prop. 2024/25:44 Bestämmelserna i DORA-förordningen är, som utvecklas i avsnitt 5.1, direkt tillämpliga och ger i och med det finansiella entiteter möjlighet att dela information på det sätt som anges i förordningen även utan svenska lagstiftningsåtgärder. Information får dock inte delas på ett sätt som strider mot bestämmelser som begränsar möjligheterna att dela information, t.ex. bestämmelser om tystnadsplikt, personuppgiftsskydd eller konkurrens.

	15	Hantering av personuppgifter

	Regeringens bedömning: EU:s dataskyddsförordning, lagen med
	kompletterande bestämmelser till EU:s dataskyddsförordning och
	förordningen med kompletterande bestämmelser till EU:s dataskydds-
	förordning utgör en tillräcklig reglering för den personuppgifts-
	behandling som kommer att ske med anledning av DORA-förordningen
	och kompletteringslagen. Det behöver således inte införas någon
	ytterligare reglering om denna behandling.

	Promemorians bedömning överensstämmer med regeringens bedöm-
	ning.
	Remissinstanserna tillstyrker bedömningen eller har inget att invända
	mot den.
	Skälen för regeringens bedömning: I DORA-förordningen anges att
	de europeiska tillsynsmyndigheterna och de behöriga myndigheterna
	endast får behandla personuppgifter om det är nödvändigt för att de ska
	kunna fullgöra sina respektive skyldigheter och uppgifter enligt förord-
	ningen, särskilt när det gäller utredning, inspektion, begäran om informa-
	tion, kommunikation, offentliggörande, utvärdering, verifiering, bedöm-
	ning och utarbetande av tillsynsplaner (artikel 56.1). Personuppgifterna
	ska då behandlas i enlighet med EU:s dataskyddsförordning eller Europa-
	parlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober
	2018 om skydd för fysiska personer med avseende på behandling av
	personuppgifter som utförs av unionens institutioner, organ och byråer och
	om det fria flödet av sådana uppgifter samt om upphävande av förordning
	(EG) nr 45/2001 och beslut nr 1247/2002/EG, beroende på vilken som är
	tillämplig. Utom där annat föreskrivs i andra sektorsspecifika rättsakter,
	ska de personuppgifter som hanteras lagras till dess att de tillämpliga
	tillsynsuppgifterna fullgjorts och under alla omständigheter i högst 15 år,
	utom i fall av pågående domstolsförfaranden som kräver ytterligare
	lagring av sådana uppgifter (artikel 56.2).
	EU:s dataskyddsförordning utgör den generella regleringen för person-
	uppgiftsbehandling inom EU. Förordningen kompletteras i Sverige av bl.a.
	lagen (2018:218) med kompletterande bestämmelser till EU:s dataskydds-
	förordning och förordningen (2018:219) med kompletterande bestäm-
	melser till EU:s dataskyddsförordning.
	Personuppgifter kommer att behandlas till följd av DORA-förordningen
	och kompletteringslagen. Detta gäller såväl hos enskilda (t.ex. finansiella
	entiteter och tredjepartsleverantörer av IKT-tjänster), som hos myndig-
134	heter, i första hand Finansinspektionen och Riksbanken.

För att få behandla personuppgifter krävs att det finns en rättslig grund för behandlingen (artikel 6.1 i EU:s dataskyddsförordning).

Finansiella entiteter och tredjepartsleverantörer av IKT-tjänster kan behöva behandla olika typer av personuppgifter. I första hand rör det sig om namn och kontaktuppgifter för ledningspersoner för sådana aktörer. Det bör också kunna röra sig om motsvarande uppgifter till tredje part, t.ex. en uppdragstagare. När det gäller den behandling av personuppgifter som kan komma att ske hos finansiella entiteter och tredjepartsleverantörer av IKT-tjänster kommer behandlingen att vara nödvändig för att antingen fullgöra en rättslig förpliktelse enligt DORA-förordningen eller kompletteringslagen (artikel 6.1 c i EU:s dataskyddsförordning) eller för att fullgöra ett avtal i vilket den registrerade är part eller för att vidta åtgärder på begäran av den registrerade innan ett sådant avtal ingås till följd av den verksamhet som bedrivs (artikel 6.1 b i EU:s dataskydds- förordning). Den rättsliga grunden är, såvitt gäller att fullgöra en rättslig förpliktelse, fastställd i DORA-förordningen och kompletteringslagen (jfr artikel 6.3 i EU:s dataskyddsförordning).

Finansinspektionen kan bl.a. behöva behandla personuppgifter som är nödvändiga för tillsynen över att förordningen följs, t.ex. namn och kontaktuppgifter till ledningspersoner hos finansiella entiteter och tredje- partsleverantörer av IKT-tjänster. Samma typ av personuppgifter bör även kunna förekomma i handlingar som inspektionen får del av inom ramen för sin tillsyn (se avsnitt 9.2 och 9.3). Inspektionen kan också komma att behandla personuppgifter inom ramen för samarbetet mellan olika myn- digheter, t.ex. någon av de europeiska tillsynsmyndigheterna EBA, Esma och Eiopa (se avsnitt 13). Frågan om offentliggörande av personuppgifter i samband med Finansinspektionens beslut om administrativa sanktioner och åtgärder behandlas i avsnitt 12. När det gäller Finansinspektionens behandling av personuppgifter är behandlingen nödvändig för att myndig- heten ska kunna utföra sina uppgifter enligt DORA-förordningen och kompletteringslagen. Den rättsliga grunden för personuppgiftsbehand- lingen är således att den är nödvändig för att utföra en uppgift av allmänt intresse eller som ett led i myndighetsutövning (artikel 6.1 e i EU:s data- skyddsförordning). Den rättsliga grunden är fastställd i DORA-förord- ningen och kompletteringslagen (jfr artikel 6.3 i EU:s dataskyddsförord- ning). Finansinspektionens ansvar för att utöva tillsyn och samarbeta med andra tillsynsmyndigheter, både nationella och europeiska, kan också ses som en rättslig förpliktelse (se artikel 6.1 c i EU:s dataskyddsförordning). Samma gäller för den testning som Riksbanken ska ansvara för enligt DORA-förordningen och kompletteringslagen (se avsnitt 7.1). Också i dessa fall är den rättsliga grunden fastställd i DORA-förordningen och kompletteringslagen (jfr artikel 6.3 i EU:s dataskyddsförordning).

Som nämns ovan kommer personuppgiftsbehandlingen med anledning av DORA-förordningen och kompletteringslagen i huvudsak att bestå av namn och kontaktuppgifter till ledningspersoner hos finansiella entiteter och tredjepartsleverantörer av IKT-tjänster eller uppdragstagare till sådana aktörer. Det bör inte bli aktuellt för vare sig enskilda eller myndigheter att behandla sådana särskilda kategorier av personuppgifter som avses i EU:s dataskyddsförordning (jfr artikel 9 i den förordningen). Risken för intrång i den personliga integriteten får därmed anses begränsad. Det eventuella

Prop. 2024/25:44

135

Prop. 2024/25:44 integritetsintrång som behandlingen av personuppgifter innebär får anses stå i proportion till de behov som motiverar behandlingen.

Sammanfattningsvis görs bedömningen att den personuppgifts- behandling som förslagen ger upphov till är förenlig med EU:s data- skyddsförordning. Befintlig reglering på personuppgiftsområdet utgör en tillräcklig reglering för den personuppgiftsbehandling som kommer med anledning av DORA-förordningen och kompletteringslagen.

	16	Avgifter
	16.1	Finansinspektionens verksamhet

	Regeringens förslag: Finansiella entiteter som står under Finans-
	inspektionens tillsyn ska med årliga avgifter bekosta inspektionens
	verksamhet enligt DORA-förordningen och kompletteringslagen.
	Regeringen ska få meddela föreskrifter om avgifter.

	Promemorians förslag överensstämmer med regeringens förslag.
	Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller
	har inget att invända mot det.
	Euroclear Sweden AB framför att avgifterna ska sättas proportionerligt
	och mot bakgrund av de faktiska kostnader en sådan tillsyn och testning
	medför samt betonar vikten av transparens i detta.
	Sparbankernas Riksförbund framför att det bör preciseras vad avgifterna
	för Finansinspektionens verksamhet ska bekosta.
	Skälen för regeringens förslag: Finansinspektionen får i och med
	DORA-förordningen ytterligare uppgifter (se förslagen i avsnitt 5.2). De
	nya uppgifterna kommer att bestå i tillsyn över att bestämmelserna i
	DORA-förordningen och kompletteringslagen följs. Det är också inspek-
	tionen som ska besluta vilka finansiella entiteter som ska genomgå
	hotbildsstyrda penetrationstester och hur ofta (se förslagen i avsnitt 7.1).
	Därtill ska Finansinspektionen utföra flera uppgifter inom ramen för
	samarbetet med de europeiska tillsynsmyndigheterna och andra behöriga
	myndigheter (se avsnitt 13).
	Med nya uppgifter följer vanligtvis ökade kostnader, vilka kräver
	finansiering. Finansinspektionens verksamhet finansieras i dag dels via
	anslag i statens budget, dels via avgifter för prövning av ärenden.
	De företag som enligt DORA-förordningen är finansiella entiteter står
	i dag under tillsyn hos Finansinspektionen och betalar årliga avgifter till
	inspektionen enligt förordningen (2007:1135) om årliga avgifter för
	finansiering av Finansinspektionens verksamhet. De årliga avgifterna ska
	stå i proportion till de kostnader som inspektionen har haft för tillsynen
	och övriga kostnader som inte finansieras på annat sätt (2 §). Dessa
	avgifter får Finansinspektionen inte disponera. I stället ska de redovisas
	mot inkomsttitel på statens budget. De årliga avgifterna ska i princip mot-
	svara de medel som årligen anvisas Finansinspektionen på statsbudgeten.
	För att finansiera Finansinspektionens verksamhet enligt DORA-förord-
136	ningen och kompletteringslagen bör Finansinspektionen få ta ut årliga

Prop. 2024/25:44	17	Överklagande, beslut som ska gälla

		omedelbart och verkställighet
	17.1	Finansinspektionens beslut

	Regeringens förslag: Finansinspektionens beslut om sanktionsföre-
	läggande enligt lagen om tjänstepensionsföretag och kompletterings-
	lagen ska inte få överklagas. Andra beslut som Finansinspektionen
	fattar enligt DORA-förordningen och kompletteringslagen ska få
	överklagas till allmän förvaltningsdomstol. Prövningstillstånd ska
	krävas vid överklagande till kammarrätten.
	Finansinspektionen ska få bestämma att vissa beslut om föreläggande
	och återkallelse enligt kompletteringslagen ska gälla omedelbart. Detta
	ska även gälla för Finansinspektionens beslut om hotbildsstyrda
	penetrationstester.
	Regeringens bedömning: Kraven i DORA-förordningen om att den
	behöriga myndigheten ska motivera sina beslut tillgodoses av gällande
	svensk rätt.

	Promemorians förslag och bedömning överensstämmer i huvudsak
	med regeringens förslag och bedömning. Promemorians förslag avviker
	från regeringens förslag genom att det inte förslås att Finansinspektionen
	ska få bestämma att ett beslut om hotbildsstyrda penetrationstester ska
	gälla omedelbart.
	Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget och
	bedömningen eller har inget att invända mot dem.
	Finansinspektionen och Riksbanken framför att även ett beslut om att en
	finansiell entitet ska genomföra hotbildsstyrda penetrationstester ska
	kunna gälla omedelbart.
	Skälen för regeringens förslag och bedömning
	Motiveringsskyldighet och en grundläggande överklagbarhet
	Enligt DORA-förordningen ska alla beslut om att ålägga administrativa
	sanktioner eller avhjälpande åtgärder vara vederbörligen motiverade och
	kunna överklagas (artikel 50.6).
	I förvaltningslagen finns det allmänna bestämmelser om krav på
	motivering av beslut (32 §). De förvaltningsbeslut som kan aktualiseras till
	följd av DORA-förordningen är t.ex. Finansinspektionens beslut om
	ingripanden genom administrativa sanktioner eller åtgärder. Sådana beslut
	bör omfattas av bestämmelsen i förvaltningslagen och därmed krävs det
	inte någon lagstiftningsåtgärd med anledning av DORA-förordningens
	krav på motivering av vissa beslut.
	När det gäller finansiella entiteter som omfattas av en rörelselag kan
	Finansinspektionen, vid överträdelser av DORA-förordningen, ingripa
	med stöd av bestämmelserna i den rörelselag som reglerar den finansiella
	entitetens verksamhet (se avsnitt 10.2.1). De beslut som Finans-
	inspektionen fattar till följd av ett sådant ingripande kan överklagas med
	stöd av bestämmelser i respektive lag (se t.ex. 26 kap. 1 § andra stycket
138	lagen om	värdepappersmarknaden). Möjligheten att överklaga sådana

beslut följer således redan av respektive rörelselag och därmed krävs det inte någon lagstiftningsåtgärd med anledning av DORA-förordningen.

Ingripanden mot finansiella entiteter som inte omfattas av en rörelselag ska ske med stöd av kompletteringslagen (se förslagen i avsnitt 10.2.2). För att uppfylla kraven i DORA-förordningen om överklagbarhet bör det införas en bestämmelse om detta i kompletteringslagen. På finansmark- nadsområdet gäller som huvudregel att beslut av Finansinspektionen får överklagas och då prövas av allmän förvaltningsdomstol samt att krav på prövningstillstånd gäller vid överklagande till kammarrätten (se t.ex. 26 kap. 1 § andra och tredje styckena lagen om värdepappersmarknaden). Detta bör även gälla för Finansinspektionens beslut enligt kompletterings- lagen.

Ett beslut om sanktionsföreläggande bör inte få överklagas

Ett ingripande mot en företrädare för en finansiell entitet ska ske genom ett sanktionsföreläggande (se förslagen i avsnitt 10.3). Ett sanktions- föreläggande innebär att den fysiska personen föreläggs att inom en viss tid godkänna ett ingripande som är bestämt till tid eller belopp. När föreläggandet har godkänts gäller det som ett domstolsavgörande som har fått laga kraft. Om ett sanktionsföreläggande inte har godkänts inom angiven tid får Finansinspektionen ansöka hos domstol om att en sanktion ska beslutas. Ett beslut om sanktionsföreläggande är i sig ett förberedande beslut. Beslutet utgör inte hinder mot en senare och slutlig prövning i domstol av om det finns skäl för att meddela sanktionen, t.ex. en sanktions- avgift. Det finns även risk för att ett överklagande av ett beslut om sanktionsföreläggande fördröjer Finansinspektionens utredning i onödan.

Enligt andra lagar på finansmarknadsområdet gäller att ett beslut om sanktionsföreläggande inte får överklagas (se t.ex. 26 kap. 1 § första stycket lagen om värdepappersmarknaden). Det är också vad som kommer att gälla för sanktionsförelägganden som meddelas mot företrädare för finansiella entiteter som omfattas av en rörelselag (se avsnitt 10.2.1). Motsvarande bör gälla för sanktionsförelägganden som meddelas enligt lagen om tjänstepensionsföretag och den nya kompletteringslagen. En fysisk person som har fått ett felaktigt sanktionsföreläggande meddelat mot sig, har möjlighet att ansöka om resning (se prop. 2016/17:162 s. 573–574).

Vissa beslut ska kunna gälla omedelbart

I flera lagar på finansmarknadsområdet finns det bestämmelser om att Finansinspektionen får bestämma att ett beslut om förbud, föreläggande eller återkallelse ska gälla omedelbart (se t.ex. 26 kap. 1 § fjärde stycket lagen om värdepappersmarknaden). Bestämmelser om att en myndighet i vissa fall kan verkställa ett beslut omedelbart om ett väsentligt allmänt eller enskilt intresse kräver det finns även i förvaltningslagen (35 §). Förvaltningslagen är subsidiär, vilket innebär att om en annan lag eller en förordning innehåller någon bestämmelse som avviker från förvaltnings- lagen, tillämpas den bestämmelsen (4 §).

I fråga om ingripanden med stöd av kompletteringslagen bedöms allmänintresset av omedelbar verkställighet vara särskilt stort i vissa fall. Det gäller särskilt för förelägganden för att få en aktör att upphöra med ett

Prop. 2024/25:44

139

Prop. 2024/25:44 agerande som strider mot DORA-förordningen eller kompletteringslagen. Även vid ett beslut om att en fysisk person under en viss tid inte får vara styrelseledamot eller verkställande direktör är det av betydelse att beslutet gäller omedelbart. Slutligen kan det också vid ett beslut om återkallelse av tillstånd vara av stor vikt att beslutet gäller omedelbart. För att signalera att allmänintresset av omedelbar verkställighet kan vara särskilt högt i de nu aktuella fallen bör en bestämmelse tas in i kompletteringslagen om att Finansinspektionen får bestämma att dessa beslut ska gälla omedelbart (jfr bl.a. prop. 2020/21:206 s. 95).

Vid ingripanden mot finansiella entiteter som omfattas av en rörelselag finns bestämmelser i respektive rörelselag om omedelbar verkställighet av Finansinspektionens beslut om förbud, föreläggande och återkallelse av tillstånd (se avsnitt 10.2.1). De hotbildsstyrda penetrationstesterna är förhållandevis omfattande och såväl planeringen som genomförandet tar tid i anspråk. Testerna ska dessutom, som utgångspunkt, genomföras minst vart tredje år (se artikel 26.1 i DORA-förordningen). Därtill kommer den snabba utvecklingen inom området. Det är av vikt att testerna både påbörjas i tid och slutförs så snart det är möjligt. Även i dessa fall bedöms allmänintresset av omedelbar verkställighet vara särskilt stort. Det bör därför, som Finansinspektionen och Riksbanken framför, införas en bestämmelse i kompletteringslagen om att Finansinspektionen får bestämma att ett beslut om hotbildsstyrda penetrationstester ska gälla omedelbart.

	17.2	Riksbankens beslut

	Regeringens förslag: Riksbankens beslut om föreläggande enligt
	kompletteringslagen och om utfärdande av intyg enligt artikel 26.7 i
	DORA-förordningen ska få överklagas till allmän förvaltningsdomstol.
	Andra beslut som Riksbanken fattar med stöd av kompletteringslagen
	ska inte få överklagas. Prövningstillstånd ska krävas vid överklagande
	till kammarrätten.

	Promemorians förslag överensstämmer med regeringens förslag.
	Remissinstanserna tillstyrker förslaget eller har inget att invända mot
	det.
	Skälen för regeringens förslag: Riksbanken ska övervaka och sam-
	ordna hotbildstyrda penetrationstester samt utfärda intyg som bekräftar att
	ett test har genomförts i enlighet med kraven i DORA-förordningen (se
	förslagen i avsnitt 7.1). För att kunna utföra dessa uppgifter ska Riks-
	banken få förelägga finansiella entiteter att lämna de uppgifter som är
	nödvändiga för myndighetens verksamhet som rör dessa tester (se
	förslagen i avsnitt 7.3).
	En myndighets beslut som rör enskilda får vanligtvis överklagas till
	allmän förvaltningsdomstol. Riksbankens beslut om föreläggande enligt
	kompletteringslagen bör därmed få överklagas. Även Riksbankens beslut
	om utfärdande av intyg rör enskilda och bör därför få överklagas. För dessa
	beslut gäller de allmänna bestämmelserna att ett beslut bara får överklagas
	om det kan antas påverka någons situation på ett inte obetydligt sätt och
140	då av den som beslutet angår, om det har gått honom eller henne emot (41

och 42 §§ förvaltningslagen). Det bör, som vanligtvis gäller för en Prop. 2024/25:44 myndighets beslut, krävas prövningstillstånd vid överklagande till

kammarrätten.

Under genomförandet av de hotbildsstyrda penetrationstesterna torde Riksbanken behöva fatta flera olika beslut. Bland annat ska Riksbanken säkerställa att den finansiella entiteten tillämpar den testmetod och det tillvägagångssätt som ska följas för varje specifik fas i testprocessen. Enligt DORA-förordningen ska Riksbanken också validera vilka kritiska eller viktiga funktioner som ska omfattas av testningen (artikel 26.2 tredje stycket) och säkerställa att den testare som anlitas för utförandet av testet uppfyller de krav som ställs i förordningen (artikel 27). Ett överklagande av dessa beslut skulle kunna fördröja testprocessen i onödan. Dessa beslut bör därför inte få överklagas. Ett beslut av detta slag kan likväl, om än i ett senare skede, komma att prövas av domstol. Detta kan t.ex. ske antingen genom att Riksbanken fattar ett beslut om att inte utfärda ett intyg om att testningen har utförts i enlighet med kraven i DORA-förordningen. Andra beslut än de som avser förelägganden eller utfärdande av intyg bör därför inte få överklagas.

17.3Verkställighet av den ledande tillsynsmyndighetens beslut om viten

Regeringens förslag: Beslut om viten enligt DORA-förordningen ska få verkställas enligt utsökningsbalkens bestämmelser på samma sätt som en svensk dom som har fått laga kraft.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna tillstyrker förslaget eller har inget att invända mot

det.

Skälen för regeringens förslag: Enligt DORA-förordningen ska den ledande tillsynsmyndighetens beslut om viten vara verkställbara (artikel 35.9). Verkställigheten ska följa de civilprocessrättsliga regler som gäller i den medlemsstat inom vars territorium åtgärden ska genom- föras.

Beslut om viten enligt DORA-förordningen, som fattas av den ledande tillsynsmyndigheten, bör därför få verkställas enligt utsökningsbalken på samma sätt som en svensk dom som har fått laga kraft. En bestämmelse om detta bör tas in i kompletteringslagen. Bestämmelsen bör utformas efter förebild av det som gäller enligt motsvarande bestämmelser för verk- ställighet av Esmas beslut om viten enligt förordningen om marknader för finansiella instrument (se 23 kap. 4 b § lagen om värdepappersmarknaden och prop. 2020/21:24 s. 47).

Enligt DORA-förordningen ska domstolarna i den berörda medlems- staten vara behöriga att pröva klagomål som rör oegentligheter i verkstäl- ligheten (artikel 35.9).

Kronofogdemyndigheten är den svenska myndighet som kommer att ansvara för den praktiska verkställigheten och dess beslut kan överklagas till allmän domstol (se 1 kap. 3 § och 18 kap. utsökningsbalken). Dessa

mål bör, liksom mål om avgifter eller viten enligt EU:s förordning om

141

Prop. 2024/25:44 marknader för finansiella instrument, hanteras som enskilda mål (se 1 kap. 6 § tredje stycket utsökningsbalken, se även samma prop.).

18Ändringsdirektivet

18.1EU-direktiv på finansmarknadsområdet som ändras

I samband med DORA-förordningen har Europaparlamentet och rådet genom ändringsdirektivet beslutat om ändringar i följande direktiv:

–Europaparlamentet och rådets direktiv 2009/65/EG av den 13 juli 2009 om samordning av lagar och andra författningar som avser företag för kollektiva investeringar i överlåtbara värdepapper (fondföretag), i det följande benämnt UCITS-direktivet.

– Europaparlamentets och rådets direktiv 2009/138/EG av den 25 november 2009 om upptagande och utövande av försäkrings- och återförsäkringsverksamhet, i det följande benämnt Solvens II-direktivet.

–Europaparlamentets och rådets direktiv 2011/61/EU av den 8 juni 2011 om förvaltare av alternativa investeringsfonder samt om ändring av

	direktiv 2003/41/EG	och	2009/65/EG och förordningarna	(EG)
	nr 1060/2009 och (EU) nr 1095/2010, i det följande benämnt AIFM-
	direktivet.
	– Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni
	2013 om behörighet att utöva verksamhet i kreditinstitut och om tillsyn av
	kreditinstitut och värdepappersföretag, om ändring av direktiv
	2002/87/EG och om upphävande av direktiv 2006/48/EG och 2006/49/EG,
	i det följande benämnt kapitaltäckningsdirektivet.
	– Europaparlamentets och rådets direktiv 2014/59/EU av den 15 maj
	2014 om inrättande av en ram för återhämtning och resolution av kredit-
	institut och värdepappersföretag och om ändring av rådets direktiv
	82/891/EEG och Europaparlamentets och rådets direktiv 2001/24/EG,
	2002/47/EG, 2004/25/EG, 2005/56/EG, 2007/36/EG, 2011/35/EU,
	2012/30/EU och 2013/36/EU samt Europaparlamentets och rådets förord-
	ningar (EU) nr 1093/2010 och (EU) nr 648/2012, i det följande benämnt
	krishanteringsdirektivet.
	– Europaparlamentets och rådets direktiv 2014/65/EU av den 15 maj
	2014 om marknader för finansiella instrument och om ändring av direktiv
	2002/92/EG och av direktiv 2011/61/EU, i det följande benämnt MiFID II,
	– Europaparlamentets	och	rådets direktiv (EU) 2015/2366 av	den
	25 november 2015 om betaltjänster på den inre marknaden, om ändring av
	direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning
	(EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG, i det
	följande benämnt andra betaltjänstdirektivet.
	– Europaparlamentets	och	rådets direktiv (EU) 2016/2341 av	den
	14 december 2016 om verksamhet i och tillsyn över tjänstepensions-
	institut, i det följande benämnt andra tjänstepensionsdirektivet.
	I avsnitt 18.2 och 18.3 behandlas vilken typ av ändringar det rör sig om
142	i de olika EU-direktiven och behovet av lagstiftningsåtgärder.

18.2	Ändringar som kräver lagstiftningsåtgärder	Prop. 2024/25:44

Regeringens förslag: Följande svenska bestämmelser ska ändras med
anledning av ändringar i UCITS-direktivet, Solvens II-direktivet,
AIFM-direktivet, kapitaltäckningsdirektivet, MiFID II, andra betal-
tjänstdirektivet och andra tjänstepensionsdirektivet:
– Bestämmelserna i lagen om värdepappersfonder om krav på
organisation av verksamheten.
– Bestämmelsen i försäkringsrörelselagen om krav på kontinuitet i
verksamheten.
– Bestämmelsen i lagen om förvaltare av alternativa investerings-
fonder om organisatoriska krav.
– Bestämmelsen i lagen om bank- och finansieringsrörelse om risk-
hantering.
– Bestämmelserna i lagen om värdepappersmarknaden om värde-
pappersbolags riskhantering, om värdepappersinstituts interna rikt-
linjer, rutiner och system, om krav för att värdepappersinstitut ska få
bedriva algoritmisk handel och om allmänna verksamhetskrav för
börser.
– Bestämmelserna i lagen om betaltjänster om betaltjänstleveran-
törers hantering av operativa risker.
– Bestämmelserna i lagen om tjänstepensionsföretag och lagen om
tryggande av pensionsutfästelse m.m. om krav på kontinuitet i
verksamheten.
Finansinspektionen ska informera Riksbanken om allvarliga IKT-
relaterade incidenter.
Bemyndigandena i lagen om tryggande av pensionsutfästelse m.m.,
lagen om värdepappersfonder, lagen om bank- och finansieringsrörelse,
lagen om värdepappersmarknaden och lagen om betaltjänster ska
justeras så att de inte omfattar det som regleras av DORA-förordningen.

Promemorians förslag överensstämmer i huvudsak med regeringens
förslag. Promemorians förslag avviker från regeringens förslag genom att
det inte föreslås en särskild bestämmelse för kreditinstituts nätverks- och
informationssystem. Promemorians förslag avviker även från regeringens
förslag genom att det inte föreslås att Finansinspektionen ska informera
Riksbanken om allvarliga IKT-relaterade incidenter.
Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller
har inget att invända mot det.
Myndigheten för samhällsskydd och beredskap betonar vikten av en
enhetlig användning av de olika begreppen och anser att begreppen
beredskapsplan, IKT-plan och IKT-kontinuitetsplan bör kunna ersättas
med begreppet kontinuitetsplan.
Svensk Försäkring och Sveriges advokatsamfund ifrågasätter att mindre
försäkringsföretag ska omfattas av de tillkommande kraven i försäkrings-
rörelselagen på ett företags nätverks- och informationssystem då dessa
företag är undantagna från DORA-förordningen.
Svenska Bankföreningen och Sparbankernas Riksförbund anser att de
tillkommande kraven på ett kreditinstituts nätverks- och informations-
system bör särskiljas från den mer övergripande bestämmelsen om risk-
hantering.		143

Prop. 2024/25:44 Finansinspektionen framför att det bör förtydligas att kraven på fond- bolags och AIF-förvaltares rutiner för drift och förvaltning av verksam- heten också bör omfatta deras nätverkssystem.

När det gäller betaltjänstleverantörer framför Finansinspektionen att det bör tydliggöras vilka betaltjänstleverantörer som fortsatt är rapporterings- skyldiga enligt lagen om betaltjänster. Riksbanken avstyrker förslaget om att de betaltjänstleverantörer som omfattas av DORA-förordningen bara ska incidentrapportera enligt förordningen. Myndigheten för samhälls- skydd och beredskap anser å sin sida att Finansinspektionens informations- skyldighet enligt lagen om betaltjänster även bör gälla den gemensamma kontaktpunkten, Cyberkrishanteringsmyndigheten, den nationella CSIRT- enheten enligt direktiv (EU) 2022/2555. Kungl. Tekniska högskolan framför att det bör förtydligas och utvecklas vad som omfattas av betal- tjänster.

Svenska Pensionsstiftelsers Förening framför att regeringen bör överväga att utreda om pensionsstiftelser lämpligen ska ses som ett tjänste- pensionsinstitut på det sätt som nu sker. Det framför även att regeringen tydligare bör ange hur proportionaliteten ska få genomslag för pensions- stiftelser, t.ex. genom att en pensionsstiftelse oavsett storlek ska få tillämpa den förenklade IKT-riskhanteringsramen. Utifrån pensions- stiftelsers särart bör även förtydligas vilka nätverks- och informations- system som pensionsstiftelsen ska ansvara för enligt förordningen och vilka IKT-risker som ska beaktas inom stiftelsernas riskhantering inom IKT-riskhanteringsramen.

Skälen för regeringens förslag

Skyldighet att uppfylla kraven i DORA-förordningen

En del ändringar i EU-direktiven kräver justeringar av de svenska bestäm- melser som genomför direktiven. I huvudsak rör det bestämmelser om företagens riskhantering och att företagen framöver också ska uppfylla kraven i DORA-förordningen.

Det är, som Myndigheten för samhällsskydd och beredskap tar upp, viktigt med en enhetlig användning av olika begrepp. Begreppen i EU- rättsakterna bör dock som utgångspunkt användas även i de svenska bestämmelserna. I såväl andra tjänstepensionsdirektivet som i det svenska genomförandet används begreppet beredskapsplan (se artikel 21.5 jämförd med 16 g § lagen [1967:531] om tryggande av pensionsutfästelse m.m. och 9 kap. 2 § andra stycket lagen [2019:742] om tjänstepensionsföretag). Samma begrepp används i ändringsdirektivet såvitt gäller ändringen av bestämmelsen i andra tjänstepensionsdirektivet (artikel 8 i ändringsdirek- tivet). Det finns inte anledning att inom ramen för detta lagstiftningsärende se över användningen av detta begrepp.

Fondbolag och AIF-förvaltare

När det gäller fondbolag bör det förtydligas att rutinerna för drift och förvaltning ska uppfylla kraven i DORA-förordningen (2 kap. 17 § första stycket 3 lagen om värdepappersfonder). Som Finansinspektionen framför gäller detta både nätverks- och informationssystem (se artikel 12.1 i

UCITS-direktivet, i lydelsen enligt artikel 1.1 i ändringsdirektivet).

144

Motsvarande förtydliganden bör göras för AIF-förvaltare (8 kap. 2 § första stycket 2 lagen om förvaltare av alternativa investeringsfonder, se även artikel 18.1 i AIFM-direktivet, i lydelsen enligt artikel 3 i ändrings- direktivet).

Försäkringsföretag

För försäkringsföretag bör det förtydligas att företagets nätverks- och informationssystem ska uppfylla kraven i DORA-förordningen (10 kap. 3 § första stycket försäkringsrörelselagen). Som såväl Svensk Försäkring som Sveriges advokatsamfund påpekar är försäkringsföretag undantagna från DORA-förordningen (artikel 2.3 b). Detta undantag knyter an till de försäkringsföretag som är undantagna från Solvens II-direktivet (se artikel 4 i det direktivet). Vid genomförandet av Solvens II-direktivet gjordes dock bedömningen att ett s.k. mindre försäkringsföretag bara ska undantas från bestämmelser om solvens, offentliggörande och grupp- tillsyn, dvs. bestämmelser i 5–9, 16 och 19 kap. försäkringsrörelselagen. Det innebär att mindre försäkringsföretag, i den mån det är propor- tionerligt, omfattas av bestämmelserna om företagsstyrning i 10 kap. försäkringsrörelselagen (4 kap. 5 § samma lag). De nu tillkommande kraven på ett försäkringsföretags nätverks- och informationssystem avser företagsstyrning. Det är inte möjligt att inom ramen för detta lagstiftnings- ärende ompröva den tidigare bedömningen. Regeringen anser därmed, till skillnad från Svensk Försäkring och Sveriges advokatsamfund, att de till- kommande kraven bör gälla samtliga företag som omfattas av försäkrings- rörelselagens bestämmelser om företagsstyrning.

Kreditinstitut och vissa värdepappersbolag

Också för kreditinstitut bör det förtydligas att deras nätverks- och informationssystem ska uppfylla kraven i DORA-förordningen. De tillkommande kraven rör i och för sig riskhanteringen (se skäl 3 i ändringsdirektivet). Likväl bör det för tydlighets skull, som Svenska Bankföreningen och Sparbankernas Riksförbund framför, tas in en särskild bestämmelse om detta i lagen om bank- och finansieringsrörelse.

Kraven gäller även för s.k. mycket stora värdepappersbolag (8 kap. 1 c § lagen om värdepappersmarknaden). Det innebär att följande aktörer ska uppfylla de tillkommande kraven på riskhantering i lagen om bank- och finansieringsrörelse (se 1 kap. 2 § första stycket 7 c–g lagen om särskild tillsyn över kreditinstitut och värdepappersbolag):

–värdepappersbolag med tillstånd att som sidotjänst ta emot kunders medel på konto för att underlätta värdepappersrörelsen enligt 2 kap. 2 § första stycket 8 lagen om värdepappersmarknaden,

–svenska aktiebolag som är sådana värdepappersföretag som avses i artikel 1.2 a eller b i Europaparlamentets och rådets förordning (EU) 2019/2033 av den 27 november 2019 om tillsynskrav för värde- pappersföretag och om ändring av förordningarna (EU) nr 1093/2010, (EU) nr 575/2013, (EU) nr 600/2014 och (EU) nr 806/2014, nedan benämnd värdepappersbolagsförordningen,

–värdepappersbolag för vilka ett beslut av Finansinspektionen enligt 3 a § lagen (2014:968) om särskild tillsyn över kreditinstitut och värde- pappersbolag gäller,

Prop. 2024/25:44

145

Prop. 2024/25:44	–	svenska aktiebolag som är sådana värdepappersföretag som avses i
		artikel 1.5 i värdepappersbolagsförordningen och
	–	svenska aktiebolag som är sådana värdepappersföretag som avses i
		artikel 4.1.1 b i Europaparlamentets och rådets förordning (EU) nr
		575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och om
		ändring av förordning (EU) nr 648/2012, nedan benämnd tillsyns-
		förordningen,

146

Värdepappersinstitut och börser

Det bör även göras vissa förtydliganden för värdepappersinstitut. Ett värdepappersinstitut bör ha särskilda informations- och kommunikations- tekniska system. Dessa system ska inrättas och förvaltas i enlighet det som anges i DORA-förordningen (8 kap. 10 § första stycket lagen om värde- pappersmarknaden). Ett värdepappersinstitut bör också ha sunda skydds- mekanismer för att, i enlighet med kraven i DORA-förordningen, säker- ställa skyddet och autentiseringen vid informationsöverföring och för att minimera risken för dataförvanskning och obehörig åtkomst till infor- mationen (8 kap. 10 § andra stycket lagen om värdepappersmarknaden). Värdepappersinstitut som bedriver algoritmisk handel bör ha system och riskkontroller som säkerställer att institutets handelssystem är motstånds- kraftiga och har tillräcklig kapacitet i enlighet med kraven i DORA- förordningen. Ett sådant värdepappersinstitutet bör också ha effektiva arrangemang för kontinuerlig drift av verksamheten för att hantera drift- avbrott i sina handelssystem. Detta inbegriper när det gäller informations- och kommunikationsteknik en kontinuitetspolicy med tillhörande kontinuitetsplan samt därmed relaterade åtgärds- och återställningsplaner. Dessa ska inrättas i enlighet med kraven i DORA-förordningen. Ett värde- pappersinstitut ska även se till att systemen är fullt testade och lämpligt övervakade för att säkerställa att de uppfyller kraven i förordningen (8 kap. 23 § första och tredje styckena lagen om värdepappersmarknaden).

För börser bör det förtydligas att arbetet med att identifiera och hantera de risker som kan uppstå i verksamheten också ska gälla informations- och kommunikationsteknikrisker i enlighet kraven i DORA-förordningen (13 kap. 1 § tredje stycket 1 lagen om värdepappersmarknaden). De till- kommande kraven enligt DORA-förordningen gör att de särskilda kraven om att en börs ska vara utrustad så att systemets tekniska operationer hanteras korrekt och ha vidtagit effektiva kompletterande åtgärder för att hantera riskerna för systemavbrott är överflödiga (se 13 kap. 1 § tredje stycket 2 lagen om värdepappersmarknaden). Vidare bör det förtydligas att en börs ska inrätta och upprätthålla en operativ motståndskraft, i enlighet med kraven i DORA-förordningen, för att säkerställa att handels- systemen är motståndskraftiga, har tillräcklig kapacitet för att kunna hantera svåra påfrestningar på marknaden i fråga om order- och med- delandevolymer, kan upprätthålla ordnad handel vid förhållanden med påfrestningar på marknaden, är fullständigt testade och garanterar kontinuitet i verksamheten vid eventuella driftavbrott i handelssystemet. För kontinuiteten inbegriper detta en IKT-kontinuitetspolicy och, som Myndigheten för samhällsskydd och beredskap påpekar, IKT-kontinui- tetsplaner samt IKT-relaterade åtgärds- och återställningsplaner i enlighet med DORA-förordningen (13 kap. 1 a § lagen om värdepappersmark-

naden). När det gäller systemen och arrangemangen för att säkerställa att algoritmisk handel inte skapar eller bidrar till otillbörliga marknads- förhållanden bör det förtydligas att kraven om tester och miljöer för att underlätta tester ska gälla i enlighet med kraven i DORA-förordningen (13 kap. 1 d § lagen om värdepappersmarknaden).

Betaltjänstleverantörer

Ändringsdirektivet rör även betaltjänstleverantörer. Det bör förtydligas att de betaltjänstleverantörer som omfattas av DORA-förordningen ska uppfylla dels kraven enligt lagen om betaltjänster, dels de tillkommande kraven enligt DORA-förordningen (5 b kap. 1 § lagen om betaltjänster). Betaltjänstleverantörer som omfattas av DORA-förordningen behöver dock bara incidentrapportera enligt DORA-regelverket (5 b kap. 3 § samma lag, se även artikel 19 i DORA-förordningen). Liksom Finans- inspektionen framför innebär det att kreditinstitut, betalningsinstitut, leverantörer av kontoinformationstjänster och institut för elektroniska pengar enbart ska följa DORA-förordningens bestämmelser om incident- rapportering. De betaltjänstleverantörer som inte är att anse som finan- siella entiteter enligt DORA-förordningen, t.ex. statliga och kommunala myndigheter och postgiroinstitut, ska alltjämt underrätta Finans- inspektionen och betaltjänstanvändarna om operativa incidenter eller säkerhetsincidenter i enlighet med det som gäller enligt lagen om betal- tjänster (1 kap. 3 § lagen om betaltjänster jämförd med artikel 96.7 i andra betaltjänstdirektivet, i lydelsen enligt artikel 7.5 i ändringsdirektivet). Som Riksbanken påpekar kan denna ändring leda till att de inte längre infor- meras om en allvarlig operativ incident eller säkerhetsincident hos de betaltjänstleverantörer som bara ska incidentrapportera enligt DORA- förordningen. Riksbanken bör även i fortsättningen så snart det kan ske få del av uppgifter om allvarliga operativa incidenter och säkerhetsincidenter hos samtliga betaltjänstleverantörer (se prop. 2017/18:77 s. 229). Enligt DORA-förordningen ska den behöriga myndigheten skyndsamt lämna närmare uppgifter om den allvarliga IKT-relaterade incidenten till följande till andra relevanta offentliga myndigheter enligt nationell rätt (artikel 19.6). För att säkerställa att Riksbanken, som en annan relevant offentlig myndighet enligt nationell rätt, informeras om denna typ av incidenter bör det tas in en bestämmelse i kompletteringslagen om att Finansinspektionen ska informera Riksbanken om allvarliga IKT- relaterade incidenter. När det gäller andra myndigheter ska Finans- inspektionen enligt DORA-förordningen informera de behöriga myndig- heter, de gemensamma kontaktpunkter eller de CSIRT-enheter som utsetts eller inrättats i enlighet med direktiv (EU) 2022/2555 (artikel 19.6). Det finns inte anledning att, som Myndigheten för samhällsskydd och beredskap föreslår, införa en motsvarande informationsskyldighet för Finansinspektionen i lagen om betaltjänster. Betaltjänster definieras i 1 kap. 2 § lagen om betaltjänster. Den bestämmelsen genomför artikel 4.3 i och bilaga I till andra betaltjänstdirektivet (se prop. 2017/18:77 s. 331– 332). Det är inte möjligt att, som Kungl. Tekniska högskolan efterfrågar, inom ramen för detta lagstiftningsärende förtydliga vad som omfattas av begreppet betaltjänst.

Prop. 2024/25:44

147

Prop. 2024/25:44 Pensionsstiftelser och tjänstepensionsföretag

Regeringen har vid flera tidigare tillfällen gjort bedömningen att pen- sionsstiftelser är att anse som tjänstepensionsinstitut (se prop. 2004/05:165 s. 107–111 och prop. 2018/19:159 s. 32–34). Det är inte möjligt att, som Svenska Pensionsstiftelsers Förening efterfrågar, närmare beröra detta ställningstagande inom ramen för detta lagstiftningsärende. Som före- ningen också framför anser även regeringen att det är av vikt att pensions- stiftelsernas särart beaktas, t.ex. att en pensionsstiftelse inte får utfästa pension och därmed inte har någon pensionsskuld till de förmåns- berättigade (se prop. 2004/05:165 s. 110 och prop. 2018/19:159 s. 37–40). Enligt DORA-förordningen gäller att de finansiella entiteterna ska genomföra reglerna om IKT-riskhantering i enlighet med proportionali- tetsprincipen, och med beaktande av sin storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, sin verksamhet och sina insatser. Vidare gäller att entiteternas tillämpning av bl.a. bestämmelserna om hantering av IKT-tredjepartsrisker ska stå i proportion till deras storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, verksamhet och insatser, i enlighet med vad som specificeras i de relevanta bestämmel- serna (artikel 4.1 och 4.2). När det gäller IKT-riskhantering och hantering av IKT-tredjepartsrisker har kommissionen befogenhet att komplettera förordningen genom att anta tekniska standarder (se artiklarna 15, 28.9 och 30.5, se även avsnitt 4.8.1). Genomslaget för de olika och enskilda finansiella entiteterna är dock i första hand en fråga för rättstillämpningen.

För tjänstepensionsföretag och pensionsstiftelser bör det förtydligas att de, i egenskap av tjänstepensionsinstitut, ska ha de nätverks- och informa- tionssystem som följer av DORA-förordningen (9 kap. 2 § lagen om tjänstepensionsföretag och 16 g § lagen om tryggande av pensions- utfästelse m.m.).

Inskränkta bemyndiganden

De nya EU-rättsliga bestämmelserna minskar medlemsstaternas hand- lingsutrymme att meddela ytterligare bestämmelser om riskhantering. Bemyndigandena i lagen om tryggande av pensionsutfästelse m.m. (16 i §), lagen om värdepappersfonder (13 kap. 1 § 11), lagen om bank- och finansieringsrörelse (16 kap. 1 § 5), lagen om värdepappersmark- naden (8 kap. 35 § 4) och lagen om betaltjänster (5 b kap. 6 §) bör ändras så att de inte omfattar krav som följer av DORA-förordningen.

18.3Ändringar som inte kräver lagstiftningsåtgärder

	Regeringens bedömning: Följande ändringar kan genomföras med
	stöd av befintliga bemyndiganden för regeringen eller den myndighet
	som regeringen bestämmer:
	– ändringarna i kapitaltäckningsdirektivet om krav på beredskaps-
	och kontinuitetspolicyer samt beredskaps- och kontinuitetsplaner,
	– ändringarna i krishanteringsdirektivet om vad en resolutionsplan
	ska innehålla och vilka omständigheter som ska läggas till grund för
148	resolutionsmyndighetens prövning av en resolutionsplan, och

–ändringarna i andra betaltjänstdirektivet om hur en betaltjänst- leverantörs system för hantering av operativa risker och säkerhetsrisker ska utformas.

Följande ändringar i EU-rättsliga bestämmelser tillgodoses av gällande svensk rätt och kräver inga lagstiftningsåtgärder:

–Ändringarna i kapitaltäckningsdirektivet om att de behöriga myn- digheterna ska ha alla de informationsinsamlings- och undersöknings- befogenheter som myndigheterna behöver för att utöva sina funktioner och om att de behöriga myndigheterna inom tillsynen ska utvärdera de risker som påvisats vid testning av digital operativ motståndskraft.

–Ändringarna i krishanteringsdirektivet om vad en återhämtnings- plan ska innehålla och vilka uppgifter som resolutionsmyndigheter får begära in från institut för utarbetande och uppdatering av resolutions- planer.

–Ändringarna i betaltjänstdirektivet om att direktivet inte är tillämp- ligt på tekniska stödtjänster och om utkontraktering av viktiga operativa funktioner.

Ändringar i EU-rättsliga bestämmelser som inte riktar sig till med- lemsstaterna kräver inte några lagstiftningsåtgärder.

Promemorians bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna tillstyrker bedömningen eller har inget att invända mot den.

Skälen för regeringens bedömning

Ändringar på annan nivå än lag

I några fall har bestämmelserna i EU-direktiven som nu ändras genomförts i föreskrifter. Detta gäller artikel 85.2 i kapitaltäckningsdirektivet om krav på beredskaps- och kontinuitetspolicyer samt beredskaps- och kontinui- tetsplaner (se prop. 2013/14:228 s. 642), artikel 10.7 och avsnitt C i bilagan till krishanteringsdirektivet om vad en resolutionsplan ska inne- hålla och vilka omständigheter som ska läggas till grund för resolutions- myndighetens prövning av en resolutionsplan (se prop. 2015/16:5 s. 237–240) och artikel 5.1 i andra betaltjänstdirektivet om hur en betal- tjänstleverantörs system för hantering av operativa risker och säkerhets- risker ska utformas (se prop. 2017/18:77 s. 223–224 och 684).

Ändringarna i dessa EU-rättsliga bestämmelser bör, i enlighet med tidigare genomföranden, genomföras i föreskrifter. Detta kan ske med stöd av befintliga bemyndiganden (16 kap. 1 § 5 lagen om bank- och finan- sieringsrörelse, 29 kap. 2 § 1 lagen [2015:1016] om resolution och 2 kap. 10 § lagen om betaltjänster).

Ändringar som ryms inom gällande svenska bestämmelser

Vissa ändringar som görs i EU-direktiven är sådana att både äldre och nya lydelser ryms inom gällande svenska bestämmelser. I dessa fall krävs det inte några lagstiftningsåtgärder för att uppfylla kraven enligt EU-rätten.

Detta är fallet för bestämmelserna i kapitaltäckningsdirektivet om att de behöriga myndigheterna ska ha alla de informationsinsamlings- och undersökningsbefogenheter som myndigheterna behöver för att utöva sina

Prop. 2024/25:44

149

Prop. 2024/25:44 funktioner (artikel 65.3, se 13 kap. 6 § lagen om bank- och finansierings- rörelse, 23 kap. 2 och 3 §§ lagen om värdepappersmarknaden och 6 kap. 1 § lagen om särskild tillsyn över kreditinstitut och värdepappersbolag) och att de behöriga myndigheterna inom tillsynen ska utvärdera de risker som påvisats vid testning av digital operativ motståndskraft i enlighet med DORA-förordningen (artikel 97.1, se 9 § förordningen [2014:993] om särskild tillsyn och kapitalbuffertar). Också bestämmelserna i kris- hanteringsdirektivet om vad en återhämtningsplan ska innehålla (avsnitt A 16 i bilagan till direktivet, se 16 kap. 1 § 7 lagen om bank- och finansieringsrörelse, 5 kap. 2 § 9 förordningen (2004:329) om bank- och finansieringsrörelse och 3 § Finansinspektionens föreskrifter [FFFS 2016:6] om återhämtningsplaner, koncernåterhämtningsplaner och avtal om finansiellt stöd inom koncerner) och vilka uppgifter som resolutions- myndigheter får begära från institut för utarbetande och uppdatering av resolutionsplaner (avsnitt B 14 och 14a i bilagan till direktivet, se 28 kap. 1 § lagen om resolution) tillgodoses genom gällande rätt. Till sist gäller detta även för bestämmelserna i andra betaltjänstdirektivet om att direktivet inte är tillämpligt på tekniska stödtjänster (artikel 3 j, se 1 kap. 6 § 4 lagen om betaltjänster) och om utkontraktering av viktiga operativa funktioner (artikel 19.6, se 3 kap. 28 § andra stycket lagen om betal- tjänster).

Ändringar som inte riktar sig till medlemsstaterna

Flera ändringar i EU-direktiven rör bestämmelser som inte riktar sig till de enskilda medlemsstaterna. Detta gäller ändringarna i artikel 12.3 i UCITS- direktivet, artikel 50.1 i Solvens II-direktivet, artikel 18.2 i AIFM- direktivet, artikel 10.9 i krishanteringsdirektivet, artiklarna 17.7 och 48.12 i MiFID II och artikel 98.5 i andra betaltjänstdirektivet. Dessa ändringar kräver således inte några lagstiftningsåtgärder.

	19	Några andra frågor om överklaganden av
		Finansinspektionens beslut
	19.1	Förordnande av sakkunnig i
		gränsöverskridande förfaranden

	Regeringens förslag: Finansinspektionens beslut om förordnande av
	sakkunnig i ärenden om gränsöverskridande fusioner, delningar och
	ombildningar ska inte få överklagas.

	Promemorians förslag överensstämmer med regeringens förslag.
	Remissinstanserna tillstyrker förslaget eller har inget att invända mot
	det.
	Skälen för regeringens förslag: I aktiebolagslagen (2005:551) finns
	det särskilda bestämmelser om fusion, delning och gränsöverskridande
	ombildning. Såväl en fusion som en delning kan vara gränsöverskridande.
150	För förfarandet gäller att det eller de bolag som vill genomföra ett gräns-

överskridande förfarande ska ansöka hos Bolagsverket om tillstånd att Prop. 2024/25:44 verkställa en fusions-, delnings- eller ombildningsplan (23 kap. 20 och

36 a §§, 24 kap. 22 och 31 §§ samt 24 a kap. 22 § aktiebolagslagen). Bolagsverket ska pröva om förutsättningarna för att verkställa en plan är uppfyllda och i så fall utfärda ett intyg om att den del av förfarandet som regleras av svensk lag har genomförts på föreskrivet sätt. Om det vid hand- läggningen av en ansökan om ett gränsöverskridande förfarande upp- kommer en fråga som kräver särskild fackkunskap, får Bolagsverket förordna en lämplig person som sakkunnig. Bolagsverket ska ersätta den sakkunnige för utfört arbete och sökanden ska i sin tur ersätta Bolagsverket för denna kostnad enligt ett beslut som verket fattar (23 kap. 45 b §, 24 kap. 47 § och 24 a kap. 24 § aktiebolagslagen).

Om ett finansiellt företag, dvs. ett företag som omfattas av lagen om bank- och finansieringsrörelse, försäkringsrörelselagen eller lagen om tjänstepensionsföretag, vill genomföra ett gränsöverskridande förfarande finns det särskilda bestämmelser i de lagarna. I sådana fall är det Finans- inspektionen som prövar en ansökan. Inspektionen kan, som Bolagsverket, förordna en sakkunnig vid handläggningen. Finansinspektionen ska i så fall också besluta om sökandens betalningsskyldighet för ersättning till en sakkunnig (jfr 10 kap. 1 § lagen om bank- och finansieringsrörelse, 11 kap. 1 § försäkringsrörelselagen och 10 kap. 1 § lagen om tjänste- pensionsföretag).

Bolagsverkets beslut om betalningsskyldighet för ersättning till sak- kunnig kan överklagas till allmän förvaltningsdomstol (31 kap. 2 § 5 aktiebolagslagen). Ett beslut om förordnande av sakkunnig kan dock inte överklagas. Frågan om en sakkunnig borde ha utsetts kan dock bli föremål för prövning i samband med överklagande av beslutet om fastställande av ersättning (prop. 2021/22:286 s. 202).

I lagen om bank- och finansieringsrörelse (17 kap. 1 § tredje stycket), i försäkringsrörelselagen (21 kap. 3 §) och i lagen om tjänstepensions- företag (17 kap. 1 §) finns det generella bestämmelser om överklagande av Finansinspektionens beslut. Enligt dessa bestämmelser kan såväl ett beslut om förordnande av sakkunnig, som ett beslut om betalnings- skyldighet för ersättning till sakkunnig överklagas till allmän förvaltnings- domstol.

Det saknas skäl för denna skillnad mellan Bolagsverkets och Finans- inspektionens beslut om förordnande av sakkunnig. Om ett beslut om förordnande av sakkunnig kan överklagas finns det också risk för att ärendet i onödan fördröjs. Finansinspektionens beslut om förordnande av sakkunnig i ärenden om gränsöverskridande fusioner, delningar och ombildningar bör därför, som gäller för motsvarande beslut som fattas av Bolagsverket, inte få överklagas.

19.2Undantag från bosättningskrav

Regeringens förslag: Finansinspektionens beslut enligt lagen om bank- och finansieringsrörelse om undantag från bosättningskraven för styrelseledamöter, verkställande direktör och särskild firmatecknare

151

Prop. 2024/25:44 ska få överklagas till allmän förvaltningsdomstol. Prövningstillstånd ska krävas vid överklagande till kammarrätten.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna tillstyrker förslaget eller har inget att invända mot

det.

Skälen för regeringens förslag: I aktiebolagslagen finns det särskilda bestämmelser om bosättningskrav för styrelseledamöter, verkställande direktör och särskilda firmatecknare. För styrelseledamöter gäller att minst hälften ska vara bosatta inom Europeiska ekonomiska samarbetsområdet (8 kap. 9 §). Den verkställande direktören ska vara bosatt inom Europeiska ekonomiska samarbetsområdet (8 kap. 30 §). Av de särskilda firma- tecknarna ska minst en vara bosatt inom Europeiska ekonomiska sam- arbetsområdet (8 kap. 37 §). Bolagsverket får besluta om undantag från dessa bosättningskrav om det finns särskilda skäl. För företag som om- fattas av lagen om bank- och finansieringsrörelse eller försäkringsrörelse- lagen får Finansinspektionen fatta ett motsvarande beslut om undantag (10 kap. 1 § andra stycket lagen om bank- och finansieringsrörelse och 11 kap. 1 § andra stycket försäkringsrörelselagen).

Bolagsverkets beslut om undantag från bosättningskraven överklagas till allmän förvaltningsdomstol (31 kap. 2 § första stycket 2 aktiebolags- lagen). Även Finansinspektionens beslut i dessa frågor överklagas till allmän förvaltningsdomstol om det rör försäkringsföretag (21 kap. 2 § första stycket försäkringsrörelselagen, se även prop. 2018/19:158 s. 653). Finansinspektionens beslut om undantag enligt lagen om bank- och finan- sieringsrörelse överklagas dock till regeringen (17 kap. 1 § första stycket den lagen).

I enlighet med vad som anförts i tidigare lagstiftningsärenden torde det som regel inte finnas något behov av ett ställningstagande från regeringen, i dess egenskap av politiskt organ, i denna typ av ärenden. En över- prövning bör då ske i domstol (prop. 2013/14:86 s. 63–64). Även om det är olika myndigheter som fattar det grundläggande beslutet bör det inte finnas skäl för skilda förfaranden för ett överklagande. Särskilt inte som ett beslut enligt försäkringsrörelselagen överklagas på samma sätt som motsvarande beslut enligt aktiebolagslagen. Ett beslut om undantag från bosättningskraven som Finansinspektionen fattar enligt lagen om bank- och finansieringsrörelse bör därför i fortsättningen också överklagas till allmän förvaltningsdomstol. Liksom gäller vid överklagande av mot- svarande beslut enligt aktiebolagslagen och försäkringsrörelselagen bör prövningstillstånd krävas vid överklagande till kammarrätten av beslut enligt lagen om bank- och finansieringsrörelse (jfr 31 kap. 8 § aktiebolags- lagen och 21 kap. 2 § andra stycket försäkringsrörelselagen).

19.3Begränsad skyldighet att meddela trafikförsäkring

Regeringens förslag: Finansinspektionens beslut enligt trafikskade- lagen om begränsning av skyldigheten att meddela trafikförsäkring ska

152

få överklagas till allmän förvaltningsdomstol. Prövningstillstånd ska	Prop. 2024/25:44
krävas vid överklagande till kammarrätten.

Promemorians förslag överensstämmer med regeringens förslag.
Remissinstanserna tillstyrker förslaget eller har inget att invända mot
det.
Skälen för regeringens förslag: Enligt trafikskadelagen (1975:1410)
ska det som utgångspunkt finnas en trafikförsäkring för ett motordrivet
fordon som är registrerat i vägtrafikregistret och inte är avställt samt för
annat motordrivet fordon som brukas i trafik i Sverige (2 § första stycket).
Trafikförsäkring får meddelas av en svensk försäkringsgivare med till-
stånd enligt 2 kap. 4 § försäkringsrörelselagen, en försäkringsgivare från
tredje land med tillstånd enligt 4 kap. 1 § lagen (1998:293) om utländska
försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige, eller
en EES-försäkringsgivare som är verksam i Sverige med stöd av 2 kap. 1 §
lagen om utländska försäkringsgivares och tjänstepensionsinstituts verk-
samhet i Sverige (5 § första stycket trafikskadelagen).
En försäkringsgivare som får meddela trafikförsäkring i Sverige är
skyldig att på begäran meddela sådan försäkring, den s.k. kontraherings-
plikten. I ett tillstånd att meddela försäkring enligt 2 kap. 4 § försäkrings-
rörelselagen eller 4 kap. 1 § lagen om utländska försäkringsgivares och
tjänstepensionsinstituts verksamhet i Sverige kan denna skyldighet
begränsas till att gälla försäkring åt personer som tillhör en viss yrkesgrupp
eller intressegrupp eller som är bosatta inom ett visst område. Finans-
inspektionen kan efter ansökan besluta om motsvarande begränsning för
en försäkringsgivare som bedriver verksamhet i Sverige enligt 2 kap. 1 §
lagen om utländska försäkringsgivares och tjänstepensionsinstituts
verksamhet i Sverige. Ett sådant beslut får överklagas hos regeringen (5 §
andra stycket trafikskadelagen).
Som anförs ovan för ett beslut om undantag från bosättningskraven
(avsnitt 19.2) torde det inte heller för ett beslut som begränsar kontra-
heringsplikten finnas skäl för att regeringen ska överpröva Finans-
inspektionens beslut. En motsvarande inskränkning för en svensk försäk-
ringsgivare eller en försäkringsgivare från tredje land överklagas dessutom
till allmän förvaltningsdomstol (se 21 kap. 3 § första stycket försäkrings-
rörelselagen och 10 kap. 4 § första stycket lagen om utländska försäkrings-
givares och tjänstepensionsinstituts verksamhet i Sverige). Denna typ av
beslut enligt trafikskadelagen bör i stället, som vanligtvis gäller för
Finansinspektionens beslut, överklagas till allmän förvaltningsdomstol.
Som också vanligtvis gäller för Finansinspektionens beslut, bör prövnings-
tillstånd krävas vid överklagande till kammarrätten (jfr t.ex. 21 kap. 3 §
andra stycket försäkringsrörelselagen och 10 kap. 4 § andra stycket lagen
om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i
Sverige).

19.4 Tillsyn över Svenska skeppshypotekskassan

Regeringens förslag: Finansinspektionens beslut enligt lagen om Svenska skeppshypotekskassan ska få överklagas till allmän

153

Prop. 2024/25:44 förvaltningsdomstol. Prövningstillstånd ska krävas vid överklagande till kammarrätten.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna: Flertalet remissinstanser tillstyrker förslaget eller

har inget att invända mot det.

Svenska skeppshypotekskassan anser att Finansinspektionens beslut fortsatt bör överklagas till regeringen eller att frågan i vart fall bör utredas på ett djupare plan.

Skälen för regeringens förslag: Bestämmelser om Svenska skepps- hypotekskassan finns i lagen (1980:1097) om Svenska skeppshypoteks- kassan. Svenska skeppshypotekskassan har till ändamål att medverka vid finansiering av rederiverksamhet som bedrivs av svenskt rederi eller av en utländsk juridisk person där svenska fysiska eller juridiska personer har ett betydande inflytande eller intresse (1 §).

Svenska skeppshypotekskassan står under tillsyn av Finans- inspektionen. Inspektionen får i samband med tillsynen meddela före- lägganden eller förbud. Dessa beslut får enligt lagen överklagas hos regeringen (38 §).

Som Svenska skeppshypotekskassan också framför bedriver den en speciell verksamhet som skiljer sig från andra aktörer på finansmarknaden. Likväl gäller de skäl som anförs i avsnitt 19.2 och 19.3 också för en överprövning av Finansinspektionens beslut som rör tillsynen över skeppshypotekskassan enligt lagen om Svenska skeppshypotekskassan. Detta är också vad som gäller för överklagande av andra beslut som rör tillsynen över skeppshypotekskassan (se 11 kap. 1 § lagen [2014:966] om kapitalbuffertar och 11 kap. 1 § lagen [2014:968] om särskild tillsyn över kreditinstitut och värdepappersbolag). Finansinspektionens beslut enligt lagen om Svenska skeppshypotekskassan bör därmed i fortsättningen överklagas till allmän förvaltningsdomstol. Vid ett överklagande bör, som vanligtvis gäller för Finansinspektionens beslut, prövningstillstånd krävas för överklagande till kammarrätten (jfr t.ex. 21 kap. 3 § andra stycket försäkringsrörelselagen).

20Ikraftträdande- och övergångsbestämmelser

Regeringens förslag: Kompletteringslagen och övriga lagändringar ska träda i kraft den 17 januari 2025.

Äldre föreskrifter ska tillämpas för överklaganden av Finansinspek- tionens beslut enligt lagen om bank- och finansieringsrörelse om undan- tag från bosättningskrav, enligt trafikskadelagen om begränsad skyldig- het att meddela försäkring och enligt lagen om Svenska skepps- hypotekskassan om beslutet har meddelats före ikraftträdandet.

Promemorians förslag överensstämmer med regeringens förslag. Remissinstanserna tillstyrker förslaget eller har inget att invända mot

154det.

Skälen för regeringens förslag

Prop. 2024/25:44

Ikraftträdande

DORA-förordningen ska tillämpas från och med den 17 januari 2025 (artikel 64 andra stycket). Även de nationella bestämmelser som genomför de ändringar som görs genom ändringsdirektivet ska tillämpas från och med den 17 januari 2025 (artikel 9.1 andra stycket). Kompletteringslagen och övriga lagändringar som föranleds av DORA-förordningen och ändringsdirektivet bör därför träda i kraft vid denna tidpunkt.

De lagändringar som inte har samband med DORA-förordningen (se avsnitt 19) bör träda i kraft så snart det är möjligt. Detta bedöms också vara den 17 januari 2025.

Övergångsbestämmelser

I och med DORA-förordningen införs det nya bestämmelser om digital operativ motståndskraft på finansmarknadsområdet. I huvudsak rör det sig om tillkommande bestämmelser och inte äldre bestämmelser som ändras. Det finns således inte någon tidigare lagstiftning att förhålla sig till. Inte heller finns det några övergångsbestämmelser i vare sig DORA-förord- ningen eller ändringsdirektivet. Det finns därmed inte något behov av övergångsbestämmelser till de lagändringar som nu föreslås med anled- ning av dessa EU-rättsakter.

Inte heller finns det skäl för någon övergångsbestämmelse såvitt gäller Finansinspektionens beslut om förordnande av sakkunnig i ärenden om gränsöverskridande fusioner, delningar och ombildningar (se avsnitt 19.1).

Vissa beslut som tidigare har överklagats till regeringen ska i fortsätt- ningen överklagas till allmän förvaltningsdomstol. Detta gäller beslut enligt lagen om bank- och finansieringsrörelse om undantag från bosätt- ningskraven (se avsnitt 19.2), enligt trafikskadelagen om begränsad skyldighet att meddela trafikförsäkring (se avsnitt 19.3) och enligt lagen om Svenska skeppshypotekskassan (se avsnitt 19.4). I dessa fall, när handläggningsordningen ändras, finns det behov av övergångsbestäm- melser. Beslut som har meddelats före ikraftträdandet bör därför fortsatt överklagas till regeringen (jfr prop. 2013/14:86 s. 86–87).

21Konsekvensanalys

Regeringens bedömning: Genom förslagen tillgodoses DORA-förord- ningens krav när det gäller kompletterande reglering i svensk nationell rätt.

Eventuella ökade kostnader för Finansinspektionen, Riksbanken och andra myndigheter bedöms vara begränsade.

De flesta företag som bedriver verksamhet inom finansmarknads- området berörs av förslagen. Förslagen innebär i varierande omfattning ökade krav och kostnader för dem.

Enskilda berörs i den mån bestämmelserna leder till minskad risk för avbrott i finansiella tjänster och ökad säkerhet inom tjänsterna.

155

Prop. 2024/25:44 Promemorians bedömning överensstämmer med regeringens bedöm- ning.

Remissinstanserna: Flertalet remissinstanser tillstyrker bedömningen eller har inget att invända mot den.

Finansinspektionen anser att deras kostnader till följd av DORA-förord- ningen är omfattande då det kommer att krävas betydande informations- insatser och en betydande ökning av tillsynen. Det kommer även finnas behov av att samla in, upprätthålla och vidarerapportera informations- register om IKT-tredjepartsleverantörer samt att delta i arbetet med de gemensamma undersökningsgrupperna (JET).

Kungl. Tekniska högskolan anser att myndigheterna bör se över sina föreskrifter.

Regelrådet anser att det finns brister när det gäller beskrivningen av storlekskravet som avgör om vissa företag ska omfattas av förslaget och på vilket sätt proportionalitetsprincipen ska tillämpas. Detta gäller även för bedömningen av särskild hänsyn till små företag. Vidare anser Regelrådet det behövs tydligare beskrivningar av vilken påverkan förslaget och DORA-förordningen kan komma att innebära för berörda företags kost- nader, tidsåtgång och verksamhet samt när det gäller påverkan på konkur- rensförhållanden för berörda företag. Regelrådet rekommenderar att det görs en nationell konsekvensutredning av DORA-förordningens effekter på svenska företag.

Totalförsvarets forskningsinstitut påpekar att Riksbanken och Finans- inspektionen genom förslagen kommer att få del av stora mängder känslig information vilket ökar risken för angrepp mot myndigheterna. Totalförsvarets forskningsinstitut efterfrågar även en mer detaljerad analys av företagens kostnader, särskilt hur de påverkar tredjepartsleverantörer av IKT-tjänster.

Skälen för regeringens bedömning

Ramen för konsekvensanalysen

Regelrådet framför att det bör göras en nationell konsekvensutredning av DORA-förordningens effekter på svenska företag. Förslagen i denna proposition kompletterar DORA-förordningen, som är direkt tillämplig i Sverige. Effekterna av DORA-förordningen har behandlats vid fram- tagandet av förordningen (se kommissionens konsekvensanalys och sammanfattningen av den SWD[2020] 198 final och SWD[2020] 199 final). Konsekvensanalysen i denna proposition är därför begränsad till de nationella lagförslag som lämnas.

Förslagens syfte och alternativa lösningar

Förslagen har till syfte att komplettera DORA-förordningen. Förordningen förutsätter att det införs vissa nationella bestämmelser, t.ex. om testning av digital operativ motståndskraft (artiklarna 24–27). Enligt förordningen krävs det även nationella bestämmelser som ger den behöriga myndig- heten nödvändiga utrednings-, tillsyns- och sanktionsbefogenheter (artikel 50.1). För att förordningen ska få genomslag i svensk rätt krävs således att Sverige inför bestämmelser i dessa avseenden.

156

Förslagen innebär att kompletterande bestämmelser till DORA-förord- ningen införs i en ny lag (se avsnitt 5.1). Genom förslagen tillgodoses förordningens krav avseende kompletterande reglering i nationell rätt. Förslagen går inte utöver vad som krävs för att uppfylla kraven i förord- ningen.

Det bedöms inte finnas några alternativa lösningar som skulle vara lämpliga när det gäller de åtgärder som är nödvändiga för att anpassa den svenska lagstiftningen till förordningen. Om Sverige inte gör nödvändiga anpassningar av lagstiftningen är det sannolikt att Europeiska kommis- sionen inleder ett förfarande om fördragsbrott. Att avstå från att införa nödvändiga bestämmelser utgör alltså inte något alternativ.

Förslagen går inte längre än vad som är nödvändigt för att uppfylla kraven enligt DORA-förordningen. Vad gäller förslaget att Riksbanken får uppgifter som rör testning av finansiella företags digitala operativa motståndskraft innebär detta att Riksbankens upparbetade kompetens på området utnyttjas. För- och nackdelar med denna lösning berörs och utvecklas i avsnitt 7.1.

Berörda aktörer

Förordningen berör de flesta företag som är verksamma inom finans- marknadsområdet, i DORA-förordningen benämnda finansiella entiteter. Som anges i avsnitt 4.3 rör det sig om flera olika typer av företag, t.ex. kreditinstitut och försäkringsföretag. Förordningen berör också myndig- heter. I första hand gäller detta Finansinspektionen som är behörig myn- dighet och ska utöva tillsyn enligt förordningen (se avsnitt 5.2). Även Riksbanken berörs då de ska övervaka och samordna hotbildsstyrda penetrationstester. Andra myndigheter, främst Kronofogdemyndigheten, och domstolarna berörs också, t.ex. vid verkställighet och överklaganden (se avsnitt 10.6 och 17).

Konsekvenser för Finansinspektionen

Finansinspektionen kommer att vara behörig myndighet enligt DORA- förordningen (se avsnitt 5.2). Som behörig myndighet kommer Finans- inspektionen bl.a. att ansvara för tillsynen över att förordningen följs och inspektionen får därför vissa utrednings- och tillsynsbefogenheter, liksom befogenheter att ingripa med administrativa sanktioner och andra åtgärder vid överträdelser av förordningen (se förslagen i avsnitt 9 och 10). Finansinspektionen ska också samarbeta med behöriga myndigheter i andra medlemsstater och med de europeiska tillsynsmyndigheterna EBA, Esma och Eiopa (se avsnitt 13). Enligt förslagen ska Finansinspektionens även bestämma vilka finansiella entiteter som ska genomföra hotbilds- styrda penetrationsteser och hur ofta testerna ska genomföras (se avsnitt 7.1).

Ett nytt regelverk innebär i regel ökade kostnader. Detta gäller särskilt i ett inledande skede. Finansinspektionen behöver utveckla nya arbetssätt för att utföra de tillkommande uppgifterna. Liksom Kungl. Tekniska högskolan framför behöver föreskrifter ses över. Det bör också krävas vissa informationsinsatser. Den nya tillsynsstrukturen med den ledande tillsynsmyndigheten bör också kräva vissa arbetsinsatser (artiklarna 31–44 i DORA-förordningen). Liksom Totalförsvarets forskningsinstitut påtalar

Prop. 2024/25:44

157

Prop. 2024/25:44 får inspektionen inom den nya tillsynen del av känsliga uppgifter, vilket i sig kan öka risken för angrepp mot myndigheten. Finansinspektionen hanterar dock redan mycket känslig information om såväl finansiella entiteter som det finansiella systemet. Den nya tillsynen bör inte ha någon större inverkan på myndighetens pågående säkerhetsarbete.

I nuläget är det svårt att göra en bedömning av de ekonomiska konse- kvenserna för Finansinspektionen. Detta har bl.a. att göra med att de tekniska standarderna ännu inte beslutats. Som Finansinspektionen fram- för omfattas dock ett stort antal företag av de tillkommande kraven och ett antal regelverk behöver ses över och anpassas. Som inspektionen också tar upp ska en stor mängd ny information samlas in och vidarebefordras till bl.a. de europeiska tillsynsmyndigheterna. Finansinspektionen ska även delta i den centraliserade tillsynen.

Finansinspektionens verksamhet avseende bl.a. regelgivning och tillsyn finansieras via anslag i statens budget. Detta gäller även inspektionens avgifter till EU:s tillsynsmyndigheter. Kostnaderna för den verksamheten täcks genom avgifter som tas ut enligt förordningen om årliga avgifter för finansiering av Finansinspektionens verksamhet. Sådana avgifter ska uppgå till ett belopp som motsvarar kostnaden för den verksamhet som ska finansieras. Avgiftsintäkterna ska redovisas mot inkomsttitel på statens budget. Enligt förslagen ska Finansinspektionen få ta ut årliga avgifter av de aktörer som omfattas av det nya regelverket, de finansiella entiteterna, för att finansiera verksamheten med tillsyn enligt de nya reglerna (se avsnitt 16). Ändringar i förordningen om årliga avgifter för finansiering av Finansinspektionens verksamhet är därmed att vänta.

Liksom anges ovan kommer ett stort antal av de företag som i dag står under tillsyn av Finansinspektionen, som finansiella entiteter, att omfattas av kraven enligt DORA-förordningen. Europeiska kommissionen ska fastställa kriterier för bestämmande om ett företag ska omfattas fullt ut eller bara delvis av kraven i förordningen. Då arbetet med dessa kriterier fortfarande pågår är det svårt att avgöra hur många företag som kommer att omfattas av bestämmelserna i förordningen och i vilken mån och i och med det konsekvenserna för Finansinspektionens tillsynsarbete. Det torde inte röra sig om mer än ett 20-tal företag som omfattas fullt ut av förord- ningen och i och med det ska genomföra hotbildsstyrda penetrationstester. För andra företag innebär det i första hand skärpta krav på deras organisation och riskhantering. Finansinspektionen bör, till följd av den nuvarande tillsynen, ha en förhållandevis god kunskap om dessa företag. Nya krav bör i och för sig ställa högre krav på tillsynen. De flesta större företagen, t.ex. kreditinstitut och försäkringsföretag, omfattas dock redan i dag av bestämmelser med krav på dess organisation och riskhantering, vilket talar för begränsade konsekvenser för Finansinspektionen. Innan de tekniska standarderna har beslutats är det också svårt att göra någon bedömning av vilka tredjepartsleverantörer av IKT-tjänster som kommer att anses som kritiska och därmed påverka inspektionens arbete inom tillsynsramen för sådana tredjepartsleverantörer (se artiklarna 31–44).

Sammantaget bedöms förslagen leda till ökade, om än begränsade, kostnader för Finansinspektionen. Tillkommande kostnader ska hanteras inom befintliga ekonomiska ramar.

158

Konsekvenser för Riksbanken

Riksbanken får genom förslagen nya uppgifter och befogenheter då myndigheten, i enlighet med DORA-förordningen, får uppgifter som rör testning av finansiella företags digitala operativa motståndskraft (avsnitt 7.1).

Riksbanken utför i dag liknande, om än frivilliga, tester inom ramen för TIBER-EU. Myndigheten har således en upparbetad kompetens för de nya uppgifterna. Detta gäller kunskap dels om själva testerna, dels om företagen som ska genomföra testerna.

Som Totalförsvarets forskningsinstitut tar upp kommer Riksbanken i och med de nya och obligatoriska hotbildsstyrda penetrationstesterna att få in och hantera känsliga uppgifter om de finansiella entiteternas system och hantering av IKT-risker. Det bör dock inte utgöra någon större skillnad gentemot de nuvarande frivilliga TIBER-testerna som även de innehåller känsliga uppgifter. Myndigheten arbetar, liksom andra myndigheter inom den finansiella sektorn, aktivt med frågor som rör dess egna motstånds- kraft och förmåga att bedriva verksamheten utan avbrott. Detta bör, som för Finansinspektionen, inte leda till någon större inverkan på myndig- hetens pågående säkerhetsarbete.

Då det rör sig om en ny reglering bör det, på motsvarande sätt som för Finansinspektionen, krävas vissa informationsinsatser. Det bör också, som utvecklas ovan, bli något fler företag som ska genomföra tester när de nu blir obligatoriska. I huvudsak torde det dock vara samma företag som de som nu utför TIBER-tester, vilka Riksbanken har en förhållandevis god kunskap om. Riksbanken ska också få ta ut avgifter för verksamheten av de företag som ska genomföra testerna. Liksom Kungl. Tekniska hög- skolan tar upp kan det finnas ett behov av att se över Riksbankens föreskrifter.

Sammantaget bedöms därmed konsekvenserna vara begränsade för Riksbanken.

Konsekvenser för företag

De flesta företag som bedriver verksamhet inom finansmarknadsområdet och står under tillsyn hos Finansinspektionen kommer att vara finansiella entiteter enligt DORA-förordningen och i och med det omfattas av kraven i förordningen. Mindre företag omfattas dock inte av DORA-förordningen (se artikel 2.3, se även avsnitt 4.3). Andra företag omfattas inte fullt ut av förordningen (se artikel 16). Därtill gäller proportionalitetsprincipen för företagens IKT-riskhantering, hantering av IKT-relaterade incidenter och cyberhot, hotbildsstyrda penetrationstester och IKT-tredjepartsrisker (se artikel 4). Innan de tekniska standarderna för tillsyn har beslutats är det, som anges under konsekvenserna för Finansinspektionen, svårt att bedöma hur många företag och i vilken omfattning de omfattas av DORA- regelverket. Beträffande proportionaliteten bör viss vägledning ges i de tekniska standarderna. I första hand är det dock en fråga för rättstillämp- ningen. Det är därmed inte lämpligt att, som Regelrådet efterfrågar, nu närmare beröra detta.

När det gäller förordningen i sig, tillkommer krav på företagens organisation och hantering av risker inom områdena för informations- och kommunikationssäkerhet. Det bör dock inte vara helt nya krav då de olika

Prop. 2024/25:44

159

Prop. 2024/25:44	regelverken på finansmarknadsområdet i dag har närliggande, om än mer
	generella och övergripande krav, t.ex. på kontinuitet och beredskaps-
	planer. Dessa delar av förordningen bör i första hand ses som förtyd-
	liganden och justeringar av redan gällande krav enligt de enskilda regel-
	verken, vilket är i linje med de justeringar som görs i de grundläggande
	EU-rättsliga regelverken (se avsnitt 18). Vidare tillkommer också krav på
	incidentrapportering. Dessa krav torde företagen kunna hantera utan större
	ändringar då de redan, enligt de olika regelverken på finansmarknads-
	området, har omfattande krav på regelbunden rapportering till bl.a.
	Finansinspektionen.
	Utifrån de krav som anges i förordningen och utkasten till kommis-
	sionens tekniska standarder för tillsyn torde det i första hand vara större
	kreditinstitut, enstaka försäkringsföretag, börser och värdepappers-
	centraler som kommer att omfattas fullt ut av förordningen och kraven om
	att genomföra hotbildsstyrda penetrationstester. Sammanlagt torde det
	röra sig om högst ett 20-tal svenska företag. Flera av dessa företag
	genomför dock redan motsvarande tester, dels i egen regi, dels inom ramen
	för TIBER-EU. Det finns inte anledning att, som Regelrådet efterfrågar,
	närmare beröra vilka enskilda företag det rör sig om.
	Regelrådet efterfrågar vidare en djupare analys av kostnaderna för de
	enskilda företagen. Nya krav är vanligtvis förenade med ökade kostnader
	för de enskilda företagen. Detta gäller särskilt i ett kort tidsperspektiv. Det
	torde dock vara stora variationer mellan de olika företagen. Vissa företag
	omfattas redan i dag av omfattande krav på riskhantering. Därtill kommer
	att några företag har genomfört de frivilliga TIBER-testerna. För dessa
	företag bör de tillkommande kostnaderna vara mer begränsade. För andra
	företag bör det röra sig om mer kännbara kostnader för att uppfylla de nya
	kraven. Den nya tillsynen innebär därtill ökade kostnader då såväl Finans-
	inspektionen som Riksbanken ges möjlighet att ta ut avgifter (se avsnitt
	16).
	Syftet med DORA-förordningen är att öka motståndskraften och i
	förlängningen möjligheten för företagen att tillhandahålla sina tjänster
	utan avbrott. Driftsavbrott kan vara förenade med stora och oförutsedda
	kostnader både för de företag som drabbas och marknaden i stort.
	Regelrådet efterfrågar en analys av hur förordningen påverkar konkur-
	rensförhållandena för berörda företag. För samtliga finansiella entiteter
	bör en hög driftssäkerhet för det enskilda företaget vara en konkurrens-
	fördel, vilket kan berättiga ett högre pris för företagets tjänster. Genom
	förordningen fastställs enhetliga krav inom hela EU. Detta bör underlätta
	och påskynda företagens arbete med att öka sin egen motståndskraft i
	förhållande till om det är upp till varje medlemsstat eller enskilt företag att
	avgöra vilka krav som ska gälla. Kraven i DORA-förordningen bör i sig
	inte påverka finansiella entiteters möjlighet att bedriva verksamhet i andra
	medlemsstater då detta är något som regleras i de grundläggande EU-
	rättsliga regelverken. Det är även stora skillnader mellan de olika finan-
	siella entiteterna i den mån de bedriver verksamhet i andra medlemsstater.
	De tillkommande kraven bör sammantaget inte ha någon större inverkan
	på finansiella entiteters möjlighet eller vilja att bedriva verksamhet i andra
	medlemsstater. Kraven bör i stället främst påverka tredjepartsleverantörer.
	Enhetliga krav bör underlätta deras verksamhet och förbättra möjlig-
160	heterna att erbjuda sina tjänster till finansiella entiteter, vilket i sig ökar

utbudet på t.ex. IKT-tjänster. Detta gäller dels att fler svenska finansiella entiteter från olika delar av finansmarknadsområdet efterfrågar samma tjänster, dels att svenska finansiella entiteter efterfrågar samma tjänster som finansiella entiteter i andra medlemsstater. I ett längre perspektiv kan de nya kraven således innebära kostnadsbesparingar för finansiella entiteter och stärka allmänhetens förtroende, både för företagen och för marknaden i dess helhet.

När det, som Totalförsvarets forskningsinstitut efterfrågar, gäller tredje- partsleverantörer av IKT-tjänster är det än svårare att göra en bedömning av konsekvenserna. Enhetliga krav bör, som anges ovan, ge dem förbättrade möjligheter att tillhanda sina tjänster. I den mån de klassas som kritiska kommer de att omfattas av tillsyn enligt DORA-förordningen vilket sannolikt innebär ökade kostnader. Andra tredjepartsleverantörer bör främst drabbas av ytterligare krav från uppdragsgivarna, de finansiella entiteterna (se t.ex. artikel 30 om vad som ska regleras i ett avtal om IKT- tjänster). Bestämmelser om uppdragsavtal finns dock i ett flertal regelverk på finansmarknadsområdet. I den mån detta leder till ökade kostnader torde det leda till ett högre pris för IKT-tjänster, vilket i första hand påverkar de finansiella entiteterna.

Beträffande de andra förslagen föreslås att Finansinspektionens beslut om förordnande av sakkunnig i ett gränsöverskridande ärende framöver inte ska få överklagas (avsnitt 19.1). Även om ett beslut inte får överklagas särskilt kan det prövas i samband med överklagande av ett beslut om fastställande av ersättning till den sakkunnige. Ändringen bedöms därmed inte ha några negativa konsekvenser för företagen. Vidare föreslås att vissa beslut som Finansinspektionen fattar fortsättningsvis får överklagas till allmän förvaltningsdomstol (se avsnitt 19.2–19.4). Dessa beslut har hittills överklagats till regeringen. Detta gäller vissa beslut om undantag från bosättningskrav för styrelseledamöter, verkställande direktörer och särskilda firmatecknare, beslut för försäkringsgivare från tredje land om undantag från kontraheringsplikten och beslut som rör Svenska skepps- hypotekskassan. Detta är den överklagandeordning som normalt gäller för överklagande av Finansinspektionens beslut och bedöms därmed inte ha några negativa konsekvenser för företag.

Konsekvenser för domstolarna

De beslut som Finansinspektionen kommer att fatta enligt den nya lagen ska kunna överklagas till allmän förvaltningsdomstol (se avsnitt 17.1). Motsvarande gäller för de beslut som Riksbanken kommer att fatta (se avsnitt 17.2). Mål av nu aktuella slag kan i och för sig vara förhållandevis komplicerade och tidskrävande. Det är dock relativt få beslut från Finans- inspektionen som överklagas. Sammanlagt torde det röra sig om ett begränsat antal beslut från myndigheterna per år och endast ett fåtal som överklagas.

Att vissa beslut framöver ska få överklagas till allmän förvaltnings- domstol i stället för till regeringen kan leda till en ökning av antalet ärenden hos de domstolarna (se avsnitt 19.2–19.4). Även i dessa fall torde det inte röra sig om annat än ett fåtal beslut per år om ens det.

Gränsöverskridande ombildningar är mindre vanliga vilket också torde gälla för beslut om förordnande av sakkunnig. Att förordnandebeslut inte

Prop. 2024/25:44

161

22	Författningskommentar	Prop. 2024/25:44

22.1Förslaget till lag med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn

1 kap. Inledande bestämmelser

Lagens syfte

1 § Denna lag kompletterar Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finans- sektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011, i denna lag kallad EU- förordningen.

Termer och uttryck i denna lag har samma betydelse som i EU-förordningen.

Paragrafen beskriver lagens syfte. Övervägandena finns i avsnitt 5.1 och 5.4.

I första stycket anges den EU-rättsakt som lagen kompletterar och som i lagen benämns EU-förordningen. Av tydlighetsskäl benämns förordning- en dock i det följande som DORA-förordningen.

I andra stycket klargörs att termer och uttryck i lagen har samma betydelse som i DORA-förordningen.

Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dyna- misk hänvisning.

Behörig myndighet

2 § Av artikel 46 i EU-förordningen följer att Finansinspektionen är behörig myn- dighet enligt förordningen.

Paragrafen innehåller en upplysningsbestämmelse om vilken myndighet som i Sverige är behörig myndighet enligt DORA-förordningen. Över- vägandena finns i avsnitt 5.2.

Enligt DORA-förordningen är behörig myndighet den myndighet som har utsetts till behörig myndighet i enlighet med vissa särskilt angivna EU- rättsakter. I Sverige är det enligt de angivna EU-rättsakterna Finansinspek- tionen som är behörig myndighet, förutom i de fall där Europeiska värde- pappers- och marknadsmyndigheten (Esma) är behörig myndighet (se t.ex. artikel 46 n om kreditvärderingsinstitut och artikel 46 q om värde- papperiseringsregister).

Avgifter till Finansinspektionen

3 § För att bekosta Finansinspektionens verksamhet enligt EU-förordningen och denna lag ska de finansiella entiteter som står under inspektionens tillsyn betala årliga avgifter.

Regeringen får meddela föreskrifter om avgifterna.

163

Prop. 2024/25:44 Paragrafen innehåller bestämmelser om avgifter för finansiering av Finansinspektionens verksamhet. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Övervägandena finns i avsnitt 16.1.

Finansinspektionen får, med stöd av första stycket, ta ut årliga avgifter av finansiella entiteter under tillsyn och som är finansiella entiteter enligt DORA-förordningen (se artikel 2.1).

I andra stycket finns ett bemyndigande för regeringen att meddela föreskrifter om avgifterna.

Bestämmelser om avgifter för finansiering av Riksbankens verksamhet som rör hotbildsstyrda penetrationstester finns i 2 kap. 6 §.

Information om allvarliga IKT-relaterade incidenter

4 § Finansinspektionen ska i enlighet med artikel 19.6 i EU-förordningen informera Riksbanken om allvarliga IKT-relaterade incidenter hos en finansiell entitet.

Paragrafen innehåller en bestämmelse om en skyldighet för Finans- inspektionen att informera om allvarliga IKT-relaterade incidenter. Hän- visningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Övervägandena finns i avsnitt 18.

En finansiell entitet, t.ex. ett kreditinstitut, ska enligt DORA-förord- ningen rapportera om allvarliga IKT-relaterade incidenter till den rele- vanta behöriga myndigheten. I Sverige ska sådana rapporter lämnas till Finansinspektionen (se 2 §). För vad som avses med en finansiell entitet, se artikel 2.1 a–t och 2.2 i DORA-förordningen. Enligt förordningen ska Finansinspektionen skyndsamt lämna närmare uppgifter om den allvarliga IKT-relaterade incidenten till bl.a. EBA, Esma eller Eiopa och andra relevanta offentliga myndigheter enligt nationell rätt (artikel 19.6). Genom bestämmelsen tydliggörs att med andra relevanta offentliga myndigheter enligt nationell rätt avses i vart fall Riksbanken.

När det gäller hanteringen är det upp till den finansiella entiteten att säkerställa att en rapport inte innehåller säkerhetsskyddsklassificerade uppgifter. Finansinspektionen har dock att informera om vilka tekniska förutsättningar som gäller för rapporteringen, t.ex. om rapporteringen ska ske i ett system som är anpassat till att hantera säkerhetsskydds- klassificerade uppgifter. Hos Finansinspektionen gäller bestämmelserna i offentlighets- och sekretesslagen (2009:400).

2 kap. Hotbildsstyrda penetrationstester

Finansinspektionen

1 § Finansinspektionen ska besluta om vilka finansiella entiteter som ska genom- föra hotbildsstyrda penetrationstester enligt artikel 26 i EU-förordningen. Finans- inspektionen ska också besluta om hur ofta en finansiell entitet ska genomföra sådana tester.

164

Paragrafen anger de uppgifter som Finansinspektionen ska utföra som rör Prop. 2024/25:44 hotbildsstyrda penetrationstester. Hänvisningen till DORA-förordningen

är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Övervägandena finns i avsnitt 7.1.

Enligt DORA-förordningen ska det genomföras hotbildsstyrda penetra- tionstester. Finansinspektionen ska besluta om vilka finansiella entiteter som ska genomföra dessa tester (jfr artikel 26.10). För vad som avses med en finansiell entitet, se artikel 2.1 a–t och 2.2 i DORA-förordningen. Det kan t.ex. vara ett kreditinstitut eller ett försäkringsföretag. Med hotbilds- styrda penetrationstester avses en ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddar- sytt och underrättelsestyrt test av de kritiska produktionssystem som är i drift hos den finansiella entiteten (artikel 3.17). Kriterierna för att identifiera vilka finansiella entiteter som ska genomföra dessa tester finns i artikel 26.8 tredje stycket och i Europeiska kommissionens (nedan kommissionen) tekniska standarder för tillsyn (artikel 26.11).

Finansinspektionen ska också besluta om hur ofta en finansiell entitet ska genomföra hotbildsstyrda penetrationstester. Utgångspunkten är att ett test ska genomföras minst vart tredje år. Baserat på den finansiella entitetens riskprofil och med beaktande av de operativa omständigheterna får Finansinspektionen bestämma att entiteten ska genomföra tester antingen oftare eller mer sällan (jfr artikel 26.1).

För överklagande av Finansinspektionens beslut, se 5 kap. 1 § och för- fattningskommentaren till den paragrafen. Finansinspektionen får bestäm- ma att ett beslut om hotbildsstyrda penetrationstester ska gälla omedelbart (se 5 kap. 3 §).

I 2 § anges uppgifter som rör de hotbildsstyrda penetrationstesterna som ska utföras av Riksbanken.

Riksbanken

2 § Riksbanken ska övervaka och samordna de hotbildsstyrda penetrationstester som ska genomföras enligt artiklarna 26 och 27 i EU-förordningen.

Riksbanken ska utfärda sådana intyg som avses i artikel 26.7 i EU-förordningen.

Paragrafen anger de uppgifter som Riksbanken ska utföra när det gäller hotbildsstyrda penetrationstester. Paragrafen införs till följd av artikel 26.10 i DORA-förordningen. Hänvisningen till DORA-förord- ningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Övervägandena finns i avsnitt 7.1.

Enligt DORA-förordningen ska det genomföras hotbildsstyrda pene- trationstester. Riksbanken ska enligt första stycket övervaka och samordna dessa tester och inom ramen för detta fatta de beslut som krävs (jfr artikel 26.10). Det är de finansiella entiteterna som ska genomföra själva testerna (se artikel 26.1). Riksbankens roll blir därmed mer övergripande. I detta ingår bl.a. att validera vilka kritiska eller viktiga funktioner som ska omfattas av testningen (artikel 26.2 tredje stycket) och att säkerställa att

den testare som anlitas för utförandet av testet uppfyller de krav som ställs

165

Prop. 2024/25:44	i förordningen (artikel 27). Med att övervaka och samordna avses även att
	säkerställa att den finansiella entiteten tillämpar den testmetod och det
	tillvägagångssätt som ska följas för varje specifik fas i testprocessen. De
	krav som ska gälla för testmetod och tillvägagångssätt utvecklas i
	kommissionens tekniska standarder för tillsyn (artikel 26.11).
	I andra stycket anges att Riksbanken ska utfärda intyg om att ett test har
	utförts i enlighet med kraven i DORA-förordningen (jfr artikel 26.7). Ett
	intyg ska bekräfta att ett hotbildsstyrt penetrationstest har genomförts i
	enlighet med kraven i förordningen och de krav som Riksbanken beslutat
	för det enskilda testet. Dessa krav ska framgå av intyget. Ett intyg ska
	möjliggöra ett ömsesidigt erkännande av hotbildsstyrda penetrationstester
	mellan behöriga myndigheter.
	För överklagande av Riksbankens beslut, se 5 kap. 2 § och författnings-
	kommentaren till den paragrafen.
	I 1 § anges uppgifter som rör de hotbildsstyrda penetrationstesterna som
	ska utföras av Finansinspektionen.
	Samverkan
	3 § Finansinspektionen ska ge Riksbanken tillfälle att yttra sig innan Finans-
	inspektionen fattar beslut enligt 1 §.
	Riksbanken ska ge Finansinspektionen tillfälle att yttra sig innan Riksbanken
	fattar beslut om hotbildsstyrda penetrationstester som berör Finansinspektionens
	tillsynsverksamhet. Detta gäller inte om en samverkan skulle leda till att ett test
	onödigt fördröjs. I ett sådant fall ska Riksbanken underrätta Finansinspektionen
	om beslutet.
	Finansinspektionen och Riksbanken ska lämna varandra de uppgifter som
	respektive myndighet behöver för samverkan.
	Paragrafen innehåller bestämmelser om samverkan mellan Finansinspek-
	tionen och Riksbanken. Paragrafen är utformad efter förebild av 3 kap.
	11 § lagen (2022:1568) om Sveriges riksbank. Övervägandena finns i
	avsnitt 7.2.
	Finansinspektionen ska enligt första stycket ge Riksbanken tillfälle att
	yttra sig inför ett beslut enligt 1 § om vilka finansiella entiteter som ska
	genomföra hotbildsstyrda penetrationstester och med vilken frekvens som
	detta ska ske.
	Riksbanken ska enligt andra stycket ge Finansinspektionen tillfälle att
	yttra sig inför ett beslut om hotbildsstyrda penetrationstester som berör
	inspektionens tillsynsverksamhet. Det kan t.ex. röra ett beslut om vilka
	funktioner hos den finansiella entiteten som ett test ska omfatta och att
	godkänna att den finansiella entiteten använder en intern testare. På mot-
	svarande sätt som för Finansinspektionen, knyts skyldigheten att samverka
	till de uppgifter som Riksbanken ska utföra när det gäller hotbildsstyrda
	penetrationstester enligt DORA-förordningen (se 2 § och författnings-
	kommentaren till den paragrafen för vilka uppgifter det rör sig om).
	Skyldigheten gäller dock inte om en samverkan skulle leda till att ett test
	onödigt fördröjs, vilket i första hand gäller för beslut som fattas under ett
	pågående test. I ett sådant fall är det tillräckligt att Finansinspektionen
	underrättas om beslutet.
	I tredje stycket finns en bestämmelse om utbyte av uppgifter. Finans-
166	inspektionen och Riksbanken ska till varandra lämna de uppgifter som
166

myndigheterna behöver för att kunna samverka. Bestämmelsen är sek-	Prop. 2024/25:44
retessbrytande och möjliggör att myndigheterna inom den samverkan som
ska ske enligt första och andra styckena kan dela uppgifter utan hinder av
sekretess (10 kap. 28 § offentlighets- och sekretesslagen [2009:400]).
Bestämmelsen utesluter inte samverkan inom andra områden. Ett utbyte
av uppgifter får då prövas mot de generella sekretessbrytande bestämmel-
serna i offentlighets- och sekretesslagen, t.ex. som ett nödvändigt utläm-
nande med stöd av 10 kap. 2 § eller enligt generalklausulen i 10 kap. 27 §.
Uppgiftsskyldighet
4 § På begäran av Riksbanken ska finansiella entiteter lämna de uppgifter som är
nödvändiga för Riksbankens verksamhet enligt 2 §.
Paragrafen innehåller bestämmelser om uppgiftsskyldighet för finansiella
entiteter. Paragrafen är utformad efter förebild av 12 kap. 1 § lagen om
Sveriges riksbank. Övervägandena finns i avsnitt 7.3.
Finansiella entiteter är skyldiga att lämna vissa uppgifter till Riks-
banken. Skyldigheten gäller efter begäran av Riksbanken och bara för
uppgifter som är nödvändiga för Riksbankens verksamhet avseende hot-
bildsstyrda penetrationstester enligt DORA-förordningen, dvs. Riks-
bankens uppgifter enligt 2 §.
Ett hotbildsstyrt penetrationstest kan, förutom den finansiella entiteten,
också omfatta en tredjepartsleverantör av IKT-tjänster. Med tredjeparts-
leverantör av IKT-tjänster avses ett företag som tillhandahåller IKT-
tjänster (artikel 3.19). För definitionen av IKT-tjänster, se artikel 3.21 samt
skäl 1 i DORA-förordningen. En finansiell entitet som genomför ett hot-
bildsstyrt penetrationstest ska enligt DORA-förordningen ha det fulla
ansvaret för att säkerställa att tredjepartsleverantörer av IKT-tjänster som
omfattas av testet efterlever förordningens krav (artikel 26.3). Om en
tredjepartsleverantör av IKT-tjänster omfattas av ett hotbildsstyrt penetra-
tionstest gäller uppgiftsskyldigheten även de uppgifter som entiteten har
tillgång till genom avtalet med tredjepartsleverantören.
Förelägganden
5 § Riksbanken får besluta om de förelägganden som behövs för att en finansiell
entitet ska följa uppgiftsskyldigheten i 4 §.
Paragrafen innehåller bestämmelser om förelägganden mot en finansiell
entitet. Paragrafen är utformad efter förebild av 12 kap. 2 § lagen om
Sveriges riksbank. Övervägandena finns i avsnitt 7.3.
I paragrafen finns en bestämmelse om förelägganden kopplade till
uppgiftsskyldigheten för finansiella entiteter. Med stöd av 4 § får Riks-
banken begära att en finansiell entitet ska lämna de uppgifter som behövs
för myndighetens verksamhet som rör hotbildsstyrda penetrationstester.
Om en finansiell entitet inte följer en sådan begäran har Riksbanken möj-
lighet att besluta om ett föreläggande om att lämna uppgifter. Ett beslut
om föreläggande att lämna uppgifter får förenas med vite (se 5 kap. 4 §
och författningskommentaren till den paragrafen).
För Finansinspektionens tillsynsverksamhet finns det bestämmelser om
förelägganden om att lämna uppgifter i 3 kap. 2 §.	167

Prop. 2024/25:44 Avgifter till Riksbanken

168

6 § Riksbanken får ta ut avgifter från de finansiella entiteter som genomför hot- bildsstyrda penetrationstester.

Riksbanken får meddela föreskrifter om avgifterna.

Paragrafen innehåller bestämmelser om avgifter för finansiering av Riks- bankens verksamhet som rör hotbildsstyrda penetrationstester. Paragrafen är utformad efter förebild av 1 kap. 12 § andra stycket och 13 kap. 1 § 1 lagen om Sveriges riksbank. Övervägandena finns i avsnitt 16.2.

Riksbanken får, med stöd av första stycket, ta ut avgifter för den del av myndighetens verksamhet som rör de hotbildsstyrda penetrationstesterna, dvs. de uppgifter som Riksbanken ska ansvara för enligt 2 §. För vilka uppgifter det rör sig om, se författningskommentaren till den paragrafen.

I andra stycket finns ett bemyndigande för Riksbanken att meddela föreskrifter om avgifter. Med stöd av bemyndigandet får Riksbanken med- dela föreskrifter om avgifter för att bekosta dess verksamhet för de hot- bildsstyrda penetrationstesterna som myndigheten ska ansvara för.

Bestämmelser om avgifter för finansiering av Finansinspektionens verksamhet finns i 1 kap. 3 §.

3 kap. Tillsyn

Tillsynens omfattning

1 § Finansinspektionen har tillsyn över att finansiella entiteter följer bestäm- melserna i EU-förordningen, denna lag och andra författningar som har meddelats i anslutning till dessa.

Paragrafen innehåller en bestämmelse om Finansinspektionens tillsyn och vad den omfattar. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydel- sen, s.k. dynamisk hänvisning. Övervägandena finns i avsnitt 9.1.

I enlighet med artikel 46 i DORA-förordningen gäller att Finansinspek- tionen ska ha tillsyn över finansiella entiteter som omfattas av en nationell behörig myndighets tillsyn. Denna tillsyn ska omfatta att entiteterna följer bestämmelserna i förordningen, t.ex. om hantering av IKT-risker i artik- larna 5–14. Tillsynen ska också omfatta att entiteterna följer bestäm- melserna i denna lag, t.ex. skyldigheten att lämna uppgifter enligt 2 §, och andra författningar som har meddelats i anslutning till dessa. Med andra författningar avses dels tekniska standarder för tillsyn som kommissionen beslutat med stöd av bemyndigande i DORA-förordningen, dels före- skrifter som regeringen eller den myndighet som regeringen bestämmer har meddelat.

I artikel 46 i DORA-förordningen anges att de behöriga myndigheterna ska ha de befogenheter och uppgifter som de tilldelats i respektive rättsakt. I lagen införs samtidigt bestämmelser med utredningsbefogenheter för Finansinspektionen. En konsekvens av detta är att det uppstår en viss dubbelreglering. Det handlar framför allt om möjligheterna att inhämta uppgifter, hålla förhör och genomföra platsundersökningar. Finansinspek- tionen har då möjlighet att välja vilken bestämmelse som den ska lägga till grund för sin åtgärd, antingen en bestämmelse i denna lag eller i den lag

som särskilt reglerar den verksamhet som bedrivs av den finansiella Prop. 2024/25:44 entiteten, t.ex. försäkringsrörelselagen (2010:2043).

Föreläggande om att lämna uppgifter

2 § För tillsynen enligt 1 § får Finansinspektionen besluta att förelägga

1.en fysisk eller juridisk person att tillhandahålla uppgifter, handlingar eller annat, och

2.den som förväntas kunna lämna upplysningar i saken att inställa sig till förhör på tid och plats som inspektionen bestämmer.

Första stycket gäller inte i den utsträckning uppgiftslämnandet skulle strida mot den i lag reglerade tystnadsplikten för advokater.

Paragrafen innehåller bestämmelser om Finansinspektionens befogenhet att begära in uppgifter och kalla till förhör. Paragrafen införs till följd av artikel 50.2 i DORA-förordningen och är utformad efter förebild av bl.a. 23 kap. 3 § lagen (2007:528) om värdepappersmarknaden och 2 kap. 2 § lagen (2021:899) med kompletterande bestämmelser till EU:s förordning om gräsrotsfinansiering. Övervägandena finns i avsnitt 9.2.

Enligt första stycket 1 får Finansinspektionen förelägga både en fysisk och juridisk person att bl.a. ge in handlingar. Med handling avses fram- ställning i skrift eller bild och upptagning som kan läsas, avlyssnas eller på annat sätt uppfattas bara med tekniska hjälpmedel (jfr 2 kap. 3 § första stycket tryckfrihetsförordningen).

Skyldigheten enligt första stycket 2 att inställa sig till förhör innebär inte någon skyldighet att yttra sig vid förhöret (se t.ex. prop. 2016/17:22

s.142).

I andra stycket tydliggörs att ett föreläggande inte får beslutas om

uppgiftslämnandet skulle strida mot den i lag reglerade tystnadsplikten för advokater (8 kap. 4 § rättegångsbalken). Att ett föreläggande inte heller får beslutas om uppgiftslämnandet skulle strida mot t.ex. anonymitetsskyddet och efterforskningsförbudet i tryckfrihetsförordningen eller yttrande- frihetsgrundlagen följer redan av principen att grundlag har företräde framför vanlig lag. Med begreppet ”uppgiftslämnande” avses samtliga uppgifter som Finansinspektionen får begära att någon lämnar, dvs. såväl uppgifter som handlingar och annat.

Ett föreläggande enligt första stycket får förenas med vite (se 5 kap. 4 § och författningskommentaren till den paragrafen). Om ett föreläggande ändå inte följs har Finansinspektionen möjlighet att ingripa mot den finansiella entiteten (se 4 kap. 1 och 2 §§).

När det gäller Riksbankens verksamhet som rör hotbildsstyrda penetra- tionstester finns det bestämmelser om uppgiftsskyldighet och föreläg- ganden i 2 kap. 4 och 5 §§.

Platsundersökning

3 § Finansinspektionen får när det är nödvändigt för tillsynen enligt 1 § genomföra en undersökning i verksamhetslokalerna hos en finansiell entitet.

Paragrafen reglerar platsundersökningar i verksamhetslokaler hos finan- siella entiteter. Paragrafen införs till följd av artikel 50.2 i DORA-förord-

ningen och är utformad efter förebild av bl.a. 2 kap. 3 § lagen med

169

Prop. 2024/25:44 kompletterande bestämmelser till EU:s förordning om gräsrotsfinan- siering. Övervägandena finns i avsnitt 9.3.

Finansinspektionen får, när det är nödvändigt för tillsynen, genomföra en undersökning i en finansiell entitets verksamhetslokaler. Undersök- ningen kan endast avse den fysiska eller juridiska person som utreds och får bara genomföras i den personens verksamhetslokaler. Finans- inspektionen får således inte genomföra en undersökning hos uppdrags- tagare till den finansiella entiteten, t.ex. hos en tredjepartsleverantör av IKT-tjänster. Undersökningen är begränsad till det som omfattas av Finansinspektionens tillsyn (se 1 § och författningskommentaren till den paragrafen). Som regel torde det främst vara fråga om att ta del av handlingar och studera rutiner på plats (se prop. 2006/07:115 s. 630). Med verksamhetslokal avses utrymmen som huvudsakligen används i verksam- het som medför eller kan antas medföra bokföringsskyldighet enligt bok- föringslagen (1999:1078) eller som bedrivs av en annan juridisk person än ett dödsbo (jfr 3 kap. 18 § skatteförfarandelagen [2011:1244]). Att en undersökning endast får genomföras i verksamhetslokaler innebär att en lokal som enbart används som privatbostad inte får undersökas (se samma prop. samma s., jfr även prop. 2004/05:142 s. 118–119). Om verksamhet bedrivs i en privatbostad kan emellertid en undersökning genomföras där under vissa förutsättningar. För att en bostad ska kunna anses vara en verksamhetslokal krävs det att bostaden är den plats från vilken verksamheten i fråga huvudsakligen bedrivs. Att så är fallet kan t.ex. framgå genom att verksamheten är registrerad på samma adress som privatbostaden.

Finansinspektionen har inte någon möjlighet att tillgripa tvångsmedel om den person som är föremål för undersökningen inte medverkar till att undersökningen genomförs. En sådan vägran kan dock ligga till grund för ett ingripande mot den finansiella entiteten (se 4 kap. 1 och 2 §§).

4 kap. Ingripanden

Ingripanden mot finansiella entiteter

1 § Finansinspektionen ska ingripa mot följande finansiella entiteter om de åsido- sätter sina skyldigheter enligt EU-förordningen, denna lag eller andra författningar som har meddelats i anslutning till dessa:

1. Svenska skeppshypotekskassan,

2. en leverantör av kryptotillgångstjänster,

3. en emittent av tillgångsanknutna token,

4. en pensionsstiftelse,

5. en administratör av kritiska referensvärden,

6. en leverantör av gräsrotsfinansieringstjänster, och

7. ett transaktionsregister.

	Paragrafen reglerar ingripanden mot finansiella entiteter och införs till
	följd av artikel 50.4 i DORA-förordningen. Hänvisningen till DORA-
	förordningen är utformad på så sätt att den avser förordningen i den vid
	varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Över-
	vägandena finns i avsnitt 5.1 och 10.2.2.
	Finansinspektionen ska ingripa mot en finansiell entitet som åsidosätter
170	sina skyldigheter enligt DORA-förordningen, denna lag eller andra
170

författningar som har meddelats i anslutning till dessa. Ett ingripande kan Prop. 2024/25:44 t.ex. ske om en finansiell entitet inte uppfyller kraven på hantering av IKT-

risker (se artiklarna 5–14 i DORA-förordningen). Med andra författningar avses dels bestämmelser som kommissionen meddelat med stöd av bemyndigande i DORA-förordningen, dels bestämmelser som regeringen eller den myndighet som regeringen bestämmer har meddelat. Paragrafen gäller bara för ingripanden mot de finansiella entiteter som särskilt anges, vilka som huvudregel inte omfattas av en rörelselag. När det gäller andra finansiella entiteter, som omfattas av en rörelselag, har Finansinspektionen möjlighet att ingripa med stöd av bestämmelserna i den lagen (se t.ex.

15 kap. 1 § första stycket lagen [2004:297] om bank- och finansierings- rörelse för ingripanden mot kreditinstitut; se även 2 § och författnings- kommentaren till den paragrafen).

2 § Bestämmelser om ingripanden mot andra finansiella entiteter än de som anges i 1 § och som åsidosätter sina skyldigheter enligt EU-förordningen, denna lag eller andra författningar som har meddelats i anslutning till dessa finns i de lagar som reglerar den berörda verksamheten.

Paragrafen innehåller en upplysning om att det finns bestämmelser om
ingripanden mot finansiella entiteter i andra lagar. Den införs till följd av
artikel 50.4 i DORA-förordningen. Paragrafen är utformad efter förebild
av bl.a. 3 kap. 1 § lagen (2019:1215) med kompletterande bestämmelser
till EU:s förordning om värdepapperisering. Hänvisningen till DORA-
förordningen är utformad på så sätt att den avser förordningen i den vid
varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Övervägan-
dena finns i avsnitt 10.2.1.
Enligt artikel 46 i DORA-förordningen är det de behöriga myndigheter
som har utsetts i medlemsstaterna enligt de i artikeln uppräknade EU-rätts-
akterna som ska utöva tillsynen över att finansiella entiteter uppfyller
kraven i förordningen. I Sverige är det i samtliga dessa fall Finansinspek-
tionen som är behörig myndighet (se 1 kap. 2 § och författningskom-
mentaren till den paragrafen). I artikel 46 i förordningen anges också att
de behöriga myndigheterna ska utöva sin tillsyn i enlighet med de
befogenheter som dessa myndigheter har beviljats genom de uppräknade
EU-rättsakterna. När de rättsakterna har genomförts i svensk rätt har det
med vissa undantag gjorts i de rörelselagar som reglerar de aktuella
verksamheterna. För kreditinstitut finns sådana bestämmelser i lagen
(2004:297) om bank- och finansieringsrörelse (15 kap. 1 §), för betal-
ningsinstitut och leverantörer av kontoinformationstjänster i lagen
(2010:751) om betaltjänster (8 kap. 8 och 23 §§), för institut för elek-
troniska pengar och registrerade utgivare i lagen (2011:755) om elek-
troniska pengar (5 kap. 8 och 23 §§), för värdepappersföretag i lagen om
värdepappersmarknaden (25 kap. 1 §), för värdepapperscentraler i lagen
(1998:1479) om värdepapperscentraler och kontoföring av finansiella
instrument (9 kap. 11 §), för centrala motparter i lagen om värdepappers-
marknaden (1 kap. 1 a § första stycket och 25 kap. 1 §), för handelsplatser
och leverantörer av datarapporteringstjänster i lagen om värdepappers-
marknaden (25 kap. 1 §), för förvaltare av alternativa investeringsfonder
(AIF-förvaltare) i lagen (2013:561) om förvaltare av alternativa
investeringsfonder (14 kap. 1 §), för förvaltningsbolag i lagen (2004:46)	171
	171

Prop. 2024/25:44 om värdepappersfonder (10 kap. 1 §), för försäkringsföretag och åter- försäkringsbolag i försäkringsrörelselagen (18 kap. 1 §) och för tjänste- pensionsinstitut i lagen (2019:742) om tjänstepensionsföretag (15 kap. 1 §).

3 § Ett ingripande enligt 1 § mot Svenska skeppshypotekskassan sker genom beslut om föreläggande att inom en viss tid vidta en viss åtgärd eller upphöra med ett visst agerande.

Paragrafen reglerar hur Finansinspektionen får ingripa mot Svenska skeppshypotekskassan. Den införs till följd av artikel 50.4 i DORA- förordningen. Övervägandena finns i avsnitt 10.2.2.

Ett ingripande mot Svenska skeppshypotekskassan ska ske genom ett föreläggande om att den ska vidta åtgärder för att rätta till något. Detta kan avse att kassan ska upphöra med ett visst agerande. Ett föreläggande kan också avse att kassan ska vidta en positiv åtgärd. Ett ingripande får bara ske om Svenska skeppshypotekskassan inte uppfyller kraven i DORA- förordningen, denna lag eller andra författningar som har meddelats i anslutning till dessa (se 1 §). Ett föreläggande kan förenas med vite enligt 5 kap. 4 §. Det är däremot inte möjligt att förena ett föreläggande med en sanktionsavgift (jfr 7 §).

I 4 och 5 §§ finns bestämmelser om ingripandeåtgärder mot andra typer av finansiella entiteter.

4 § Ett ingripande enligt 1 § mot en emittent av tillgångsanknutna token, en pensionsstiftelse eller ett transaktionsregister sker genom beslut om

1.föreläggande att inom en viss tid vidta en viss åtgärd eller upphöra med ett visst agerande, eller

2.anmärkning.

Paragrafen innehåller bestämmelser om hur Finansinspektionen får ingripa mot de uppräknade finansiella entiteterna. Den införs till följd av artikel 50.4 i DORA-förordningen och är utformad efter förebild av bl.a. 3 kap. 1 § lagen med kompletterande bestämmelser till EU:s förordning om värdepapperisering. Övervägandena finns i avsnitt 10.2.2.

Ett ingripande mot en emittent av tillgångsanknutna token, en pensions- stiftelse eller ett transaktionsregister ska ske genom ett föreläggande, punkt 1, eller en anmärkning, punkt 2. Ett ingripande får bara ske om den finansiella entiteten inte uppfyller kraven i DORA-förordningen, denna lag eller andra författningar som meddelats i anslutning till dessa (se 1 §). Vid valet av ingripandeåtgärd bör den åtgärd väljas som bedöms vara mest verkningsfull i det enskilda fallet. De olika åtgärderna bör inte användas vid en och samma överträdelse.

Ett föreläggande kan bara användas när den finansiella entiteten ska vidta en åtgärd för att komma till rätta med något. Detta kan avse dels att upphöra med ett agerande, dels att vidta en positiv åtgärd. Om det inte finns något att åtgärda, men överträdelsen likväl är sådan att den bör medföra en sanktion, kan i stället Finansinspektionen ingripa genom en anmärkning.

Ett föreläggande kan förenas med vite enligt 5 kap. 4 §, men inte med

en sanktionsavgift (jfr 7 §). För en anmärkning gäller det motsatta (se

172

samma paragrafer). I de fall en administrativ åtgärd eller sanktion ska Prop. 2024/25:44 påföras en juridisk person saknar det betydelse om verksamheten har

överlåtits till någon annan efter det att den aktuella överträdelsen ägde rum (se prop. 2003/04:121 s. 158–159). I 18 och 19 §§ anges omständigheter som ska beaktas vid valet av ingripande.

I 3 och 5 §§ finns bestämmelser om ingripandeåtgärder mot andra typer av finansiella entiteter.

5 § Ett ingripande enligt 1 § mot en leverantör av kryptotillgångstjänster, en administratör av kritiska referensvärden eller en leverantör av gräsrotsfinan- sieringstjänster sker genom beslut om

1.föreläggande att inom en viss tid vidta en viss åtgärd eller upphöra med ett visst agerande, eller

2.anmärkning.

Om överträdelsen är allvarlig får den finansiella entitetens auktorisation åter- kallas eller, om det är tillräckligt, en varning meddelas.

Paragrafen innehåller bestämmelser om hur Finansinspektionen ska ingripa mot vissa finansiella entiteter. Paragrafen införs till följd av artikel 50.4 i DORA-förordningen och är utformad efter förebild av bl.a.

25 kap. 1 § andra stycket lagen om värdepappersmarknaden. Över- vägandena finns i avsnitt 10.2.2.

I första stycket anges de ingripandeåtgärder som Finansinspektionen kan använda mot en leverantör av kryptotillgångstjänster, en administratör av kritiska referensvärden eller en leverantör av gräsrotsfinansieringstjänster. Ingripandeåtgärderna bör bara användas vid överträdelser som inte är att anse som allvarliga. För ingripanden vid allvarliga överträdelser, se andra stycket. Ett ingripande får bara ske om den finansiella entiteten inte uppfyller kraven i DORA-förordningen, denna lag eller andra författningar som meddelats i anslutning till dessa (se 1 §). Liksom gäller för ingrip- anden mot andra finansiella entiteter som inte omfattas av en rörelselag (se 4 §) ska ett ingripande ske genom ett föreläggande att inom en viss tid vidta en viss åtgärd eller upphöra med ett visst agerande, första stycket 1, eller en anmärkning, första stycket 2. För valet av ingripandeåtgärd och hur de förhåller sig till varandra, se författningskommentaren till 4 §. Ett föreläggande kan förenas med vite enligt 5 kap. 4 §, men inte en sanktionsavgift (jfr 7 §). För en anmärkning gäller det motsatta (se samma paragrafer).

Med stöd av andra stycket kan ett ingripande mot en leverantör av kryptotillgångstjänster, en administratör av kritiska referensvärden eller en leverantör av gräsrotsfinansieringstjänster också ske genom en återkallelse av auktorisationen. Ett sådant ingripande får bara ske vid allvarliga över- trädelser av DORA-förordningen, denna lag eller andra författningar som meddelats i anslutning till dessa (se 1 §). Bestämmelsen påverkar inte Finansinspektionens möjlighet att ingripa mot en finansiell entitet med stöd av bestämmelser i andra lagar (se t.ex. 3 kap. 1 § lagen med kompletterande bestämmelser till EU:s förordning om gräsrots- finansiering). Om en finansiell entitet gör sig skyldig till en allvarlig över- trädelse, men det utifrån omständigheterna inte bedöms vara nödvändigt att återkalla auktorisationen, kan i stället en varning meddelas. En varning

kan förenas med en sanktionsavgift (se 7 §).

173

Prop. 2024/25:44 I de fall en administrativ åtgärd eller sanktion ska påföras en juridisk person saknar det betydelse om verksamheten har överlåtits till någon annan efter det att den aktuella överträdelsen ägde rum (se prop. 2003/04:121 s. 158–159).

I 18 och 19 §§ anges omständigheter som ska beaktas vid valet av ingripande.

I 3 och 4 §§ finns bestämmelser om ingripandeåtgärder mot andra typer av finansiella entiteter.

6 § Ett ingripande får inte ske om en överträdelse omfattas av ett föreläggande som har förenats med vite och en ansökan om utdömande av vitet har gjorts.

Paragrafen reglerar frågan om ingripande när Finansinspektionen redan har beslutat om ett föreläggande förenat med vite avseende samma över- trädelse. Den är utformad efter förebild av bl.a. 3 kap. 2 § andra stycket lagen med kompletterande bestämmelser till EU:s förordning om gräsrots- finansiering. Övervägandena finns i avsnitt 10.2.2.

Paragrafen syftar till att förhindra att någon prövas två gånger för samma sak på ett sätt som kan strida mot dubbelprövningsförbudet (artikel 4 i sjunde tilläggsprotokollet till den europeiska konventionen angående skydd för de mänskliga rättigheterna och de grundläggande friheterna [Europakonventionen]). Om ett vitesföreläggande har beslutats och före- läggandet inte följs, kan Finansinspektionen välja att ansöka om att vitet ska dömas ut. Det faktum att ett föreläggande har beslutats utgör inte något hinder mot ett ingripande enligt 3–5 §§. Den avgörande tidpunkten för när hindret uppkommer är tidpunkten då en domstolsprocess inleds om ut- dömande av vitet (se prop. 2016/17:22 s. 227–228).

7 § Om ett beslut om anmärkning eller varning enligt 4 eller 5 § har meddelats, får Finansinspektionen besluta att den som har gjort sig skyldig till överträdelsen ska betala en sanktionsavgift.

Paragrafen reglerar förutsättningarna för Finansinspektionen att besluta om sanktionsavgift. Den införs till följd av artikel 50.4 i DORA-förord- ningen och är utformad efter förebild av bl.a. 3 kap. 3 § lagen med kompletterande bestämmelser till EU:s förordning om gräsrotsfinan- siering. Övervägandena finns i avsnitt 10.2.2.

Bestämmelsen innebär att Finansinspektionen får besluta om en sank- tionsavgift bara om beslut om en anmärkning eller varning enligt 4 eller 5 § har meddelats. Det är därmed inte möjligt att förena förelägganden eller beslut om återkallelse av auktorisation med sanktionsavgift. Inte heller får Finansinspektionen vid ett ingripande mot Svenska skeppshypo- tekskassan enligt 3 § besluta om en sanktionsavgift.

I 14–16 §§ finns bestämmelser om beräkningen av en sanktionsavgift.

8§ Om en auktorisation återkallas enligt 5 §, får Finansinspektionen bestämma hur verksamheten ska avvecklas.

Ett beslut om återkallelse får förenas med förbud att fortsätta med hela eller delar av verksamheten.

174

Paragrafen innehåller bestämmelser om ytterligare åtgärder vid åter- Prop. 2024/25:44 kallelse av en auktorisation och är utformad efter förebild av bl.a. 25 kap.

6 § lagen om värdepappersmarknaden. Övervägandena finns i avsnitt 10.2.2.

Enligt första stycket får Finansinspektionen i ett beslut om återkallelse av en auktorisation ge anvisningar om hur verksamheten ska avvecklas. Inspektionen kan därmed ta hänsyn till de enskilda förhållandena hos den finansiella entitet som beslutet avser.

Om Finansinspektionen meddelar ett beslut om återkallelse av en aukto- risation får inspektionen enligt andra stycket samtidigt meddela förbud för den finansiella entiteten att fortsätta verksamheten. Ett sådant förbud får förenas med vite enligt 5 kap. 4 §.

Ingripanden mot vissa företrädare för finansiella entiteter

9 § Finansinspektionen ska ingripa mot någon som ingår i styrelsen för en finansiell entitet som anges i 1 § 2–7 eller är dess verkställande direktör, eller ersättare för någon av dem, om den finansiella entiteten har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i EU-förordningen.

Ett ingripande får ske genom en eller båda av följande sanktioner:

1.beslut att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i en sådan finansiell entitet som avses i första stycket, eller ersättare för någon av dem, eller

2.beslut om sanktionsavgift.

Ett ingripande får ske bara om den finansiella entitetens överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Paragrafen innehåller bestämmelser om ingripanden mot företrädare för vissa finansiella entiteter. Den införs till följd av artikel 50.5 i DORA- förordningen och är utformad efter förebild av bl.a. 9 kap. 7 § lagen (2022:1746) med kompletterande bestämmelser till EU:s förordning om en paneuropeisk privat pensionsprodukt (PEPP-produkt). Övervägandena finns i avsnitt 10.3.

I första stycket anges de grundläggande förutsättningarna för att Finans- inspektionen ska få ingripa mot en företrädare för en finansiell entitet. Finansinspektionen får bara ingripa vid en överträdelse av de bestäm- melser i DORA-förordningen som särskilt anges. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Även personkretsen är begränsad till de företrädare som särskilt anges. Ett ingripande med stöd av bestämmelsen kan t.ex. ske mot en verkställande direktör i en leverantör av kryptotillgångstjänster om leverantören inte har infört en IKT-kontinuitetspolicy i enlighet med artikel 11.1 i DORA- förordningen. En ersättare kan bli föremål för ingripande om den inträtt i den ordinarie företrädarens ställe (se prop. 2016/17:173 s. 641). För ingripanden mot företrädare för andra finansiella entiteter än de som anges i 1 § 2–9 gäller bestämmelserna i entitetens rörelselagstiftning (se 2 § och författningskommentaren till den paragrafen).

175

Prop. 2024/25:44	I andra stycket anges hur Finansinspektionen får ingripa mot en
	företrädare för en finansiell entitet. Åtgärderna är inte alternativa utan en
	kombination av dem kan komma i fråga beroende på omständigheterna i
	det enskilda fallet. Finansinspektionen får utifrån förutsättningarna i varje
	enskilt fall avgöra vilken eller vilka åtgärder som bör komma i fråga.
	Bestämmelser om sanktionsavgift finns i 14–17 och 20 §§. Finansinspek-
	tionen har bara möjlighet att besluta om att en person inte får företräda en
	sådan finansiell entitet som anges i 1 § 2–7, t.ex. en pensionsstiftelse. Ett
	ingripande enligt bestämmelsen bör dock ha betydelse för den s.k.
	ledningsprövningen hos en finansiell entitet, dvs. prövningen av om en
	person är lämplig att vara t.ex. styrelseledamot i entiteten (se t.ex. 9 kap.
	3 § lagen [2019:742] om tjänstepensionsföretag) Bestämmelser om
	omständigheter som ska beaktas vid valet av ingripande finns i 18, 19 och
	21 §§.
	I tredje stycket anges särskilda förutsättningar för ett ingripande mot en
	företrädare för en finansiell entitet. Ett ingripande får bara ske om
	omständigheterna i såväl första som andra stycket är uppfyllda. Först och
	främst krävs att det rör sig om en allvarlig överträdelse av DORA-
	förordningen. Om en överträdelse är allvarlig eller inte ska bedömas
	utifrån omständigheterna i det enskilda fallet. Som utgångspunkt är det
	mer befogat med ett ingripande mot företrädare för finansiella entiteter vid
	sådana regelöverträdelser som kan medföra allvarliga konsekvenser för
	stabiliteten hos entiteten eller i det finansiella systemet som helhet.
	Detsamma gäller vid överträdelser som kan hota andra viktiga samhälls-
	intressen, t.ex. bekämpningen av penningtvätt eller annan brottslighet. I
	regel bör det vara en allvarlig överträdelse om skyddet för enskilda
	konsumenter har äventyrats på ett särskilt påtagligt sätt. Det bör inte krävas
	att ett sanktionsbeslut har meddelats mot den finansiella entiteten för att
	en sanktion mot en fysisk person ska kunna komma i fråga utan detta ska
	vara en självständig bedömning. Således är det möjligt att ingripa mot en
	företrädare även om den finansiella entiteten inte längre bedriver någon
	verksamhet, t.ex. om auktorisationen återkallats innan överträdelsen upp-
	täckts (jfr prop. 2014/15:57 s. 41). För ett ingripande krävs även att före-
	trädaren, dvs. den fysiska personen, har agerat på ett sätt som kan läggas
	denne till last. Det krävs således att personen i fråga uppsåtligen eller av
	grov oaktsamhet har orsakat överträdelsen. En grov oaktsamhet kan t.ex.
	vara att företrädaren medvetet har tagit en risk när det gäller riktigheten
	hos vissa uppgifter som lämnas till Finansinspektionen. Det kan även vara
	fråga om ett sådant medvetet risktagande om styrelsen eller den verk-
	ställande direktören har underlåtit att se till att det finns en ändamålsenlig
	organisation på plats för rapportering eller informationslämnande, eller
	underlåtit att regelbundet följa upp hur organisationen fungerar. I många
	fall kan de finansiella entiteternas rapporteringsskyldigheter vara tekniskt
	komplicerade och regleringen vara otydlig, vilket lämnar utrymme för
	tolkning. För att ett agerande ska anses grovt oaktsamt bör det i sådana fall
	krävas att företrädaren har fått tydliga indikationer på att det föreligger
	brister, exempelvis genom Finansinspektionens påpekande eller en
	sanktion, och trots det har underlåtit att vidta åtgärder. Som utgångspunkt
	bör det anses som grovt oaktsamt att underlåta att sätta sig in i innebörden
	av de regler om styrning och intern kontroll som har väsentlig betydelse
176	för den finansiella entitetens verksamhet (jfr samma prop. s. 42–43).

I 10 § finns bestämmelser om hur ett ingripande mot företrädare för Prop. 2024/25:44 finansiella entiteter ska beslutas, genom s.k. sanktionsföreläggande (se författningskommentaren till den paragrafen).

Sanktionsföreläggande

10 § Frågor om ingripande mot fysiska personer enligt 9 § tas upp av Finans- inspektionen genom ett sanktionsföreläggande.

Ett sanktionsföreläggande innebär att den fysiska personen föreläggs att inom en viss tid godkänna en sanktion som är bestämd till tid eller belopp.

När ett sanktionsföreläggande har godkänts, gäller det som ett domstols- avgörande som fått laga kraft. Ett godkännande som görs efter den tid som angetts i föreläggandet är utan verkan.

Paragrafen reglerar, tillsammans med 11–13 §§, förfarandet för beslut om sanktioner mot en företrädare för en finansiell entitet. Den är utformad efter förebild av bl.a. 9 kap. 8 § lagen med kompletterande bestämmelser till EU:s förordning om en paneuropeisk privat pensionsprodukt (PEPP- produkt). Övervägandena finns i avsnitt 10.3.

Enligt första stycket ska ingripanden mot en företrädare för en finansiell entitet tas upp av Finansinspektionen genom ett sanktionsföreläggande.

I andra stycket anges att ett sanktionsföreläggande innebär att den som bedöms vara ansvarig för en överträdelse föreläggs att inom en viss tid godkänna en sanktion som är bestämd till tid eller belopp. Tidsfristen bör vara så lång att personen i fråga får skäligt rådrum att ta ställning till Finansinspektionens påståenden.

Enligt tredje stycket gäller ett godkänt sanktionsföreläggande som ett domstolsavgörande som fått laga kraft. Ett godkänt sanktionsföreläggande som avser sanktionsavgift kan därmed verkställas enligt utsöknings- balkens bestämmelser (se 3 kap. 1 § första stycket 3 utsökningsbalken). Ett godkännande som görs efter den tid som angetts i sanktionsföreläg- gandet är utan verkan. I ett sådant fall, eller när företrädaren inte god- känner föreläggandet överhuvudtaget, krävs en domstolsprövning (se 12 § och författningskommentaren till den paragrafen).

11 § Ett sanktionsföreläggande ska innehålla uppgift om

1.den fysiska person som föreläggandet avser,

2.överträdelsen och de omständigheter som behövs för att känneteckna den,

3.de bestämmelser som är tillämpliga på överträdelsen, och

4.den sanktion som föreläggs personen.

Sanktionsföreläggandet ska också innehålla en upplysning om att ansökan om sanktion kan komma att ges in till domstol, om sanktionsföreläggandet inte god- känns inom den tid som Finansinspektionen anger.

Paragrafen anger vad ett sanktionsföreläggande ska innehålla. Den är utformad efter förebild av bl.a. 9 kap. 9 § lagen med kompletterande bestämmelser till EU:s förordning om en paneuropeisk privat pensions- produkt (PEPP-produkt). Övervägandena finns i avsnitt 10.3.

I första stycket finns en uppräkning av vilka uppgifter som ett sanktions- föreläggande ska innehålla. Dessa uppgifter är nödvändiga för att identifiera och särskilja en enskild överträdelse (jfr 48 kap. 6 § rättegångs-

balken och vad som gäller för ett strafföreläggande). Med de omständig-

177

Prop. 2024/25:44 heter som behövs för att känneteckna överträdelsen avses en beskrivning av vad som läggs den berörda fysiska personen till last. Genom Finans- inspektionens uppgifter ska mottagaren enkelt kunna förstå vad inspektionen hävdar att han eller hon har gjort sig skyldig till och däri- genom kunna bedöma hur det ska bemötas. Av sanktionsföreläggandet bör det framgå under vilken tid och på vilken plats som överträdelsen har ägt rum samt vilken juridisk person som har begått den. Dessutom bör det framgå varför Finansinspektionen anser att den juridiska personens överträdelse är allvarlig och på vilka grunder inspektionen bedömer att den fysiska personen i fråga har orsakat överträdelsen uppsåtligen eller av grov oaktsamhet (se 9 § tredje stycket).

Ett sanktionsföreläggande ska enligt andra stycket även innehålla en upplysning om vad som gäller för det fall föreläggandet inte godkänns inom den tid som anges (se även 12 § och författningskommentaren till den paragrafen).

12 § Om ett sanktionsföreläggande inte har godkänts inom angiven tid, får Finans- inspektionen ansöka hos domstol om att en sanktion ska beslutas. En sådan ansökan ska göras hos den förvaltningsrätt som är behörig att pröva ett över- klagande av Finansinspektionens beslut om ingripande mot den finansiella entiteten för samma överträdelse.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Paragrafen anger vad som gäller om ett sanktionsföreläggande inte godkänns inom den tid som anges i föreläggandet. Den är utformad efter förebild av bl.a. 9 kap. 10 § lagen med kompletterande bestämmelser till EU:s förordning om en paneuropeisk privat pensionsprodukt (PEPP- produkt). Övervägandena finns i avsnitt 10.3.

Finansinspektionen ska alltid ange inom vilken tid ett sanktions- föreläggande senast ska godkännas (se 10 § tredje stycket och 11 § andra stycket). Om ett föreläggande inte godkänns inom den tiden får Finans- inspektionen enligt första stycket ansöka om att en sanktion ska beslutas av domstol. En sådan ansökan ska göras hos den förvaltningsrätt som är behörig att pröva ett överklagande av Finansinspektionens beslut om ingripande mot den finansiella entiteten för samma överträdelse, dvs. Förvaltningsrätten i Stockholm. Huvudregeln bör vara att Finans- inspektionen ska ansöka om sanktion om ett sanktionsföreläggande inte godkänns inom den tid som angetts. Finansinspektionen är dock inte bunden av den sanktion som angetts i ett föreläggande som inte har godkänts. Finansinspektionen bör därför innan ansökan sker göra en bedömning av om förutsättningarna för en sanktion fortfarande föreligger och om en lindrigare form av ingripande bör komma i fråga. Inspektionen kan utifrån bedömningen antingen helt avstå från att ge in en ansökan till domstol eller utfärda ett nytt sanktionsföreläggande med en lindrigare sanktion. Utgångspunkten bör dock vara att inspektionen vid tiden för föreläggandet har gjort en noggrann bedömning av vad som är en rimlig sanktion i det aktuella fallet. Den bedömningen bör normalt inte ändras för att föreläggandet inte godkänns och den sanktion som Finansinspektionen ansöker om bör i de allra flesta fallen vara densamma som angetts i föreläggandet (se prop. 2014/15:57 s. 60).

178

I andra stycket anges att det krävs prövningstillstånd vid överklagande Prop. 2024/25:44 av förvaltningsrättens beslut. Ett överklagande görs till kammarrätten.

13 § Ett sanktionsföreläggande är utan verkan, om föreläggandet inte har delgetts den som det riktas mot inom två år från den tidpunkt då överträdelsen ägde rum. I ett sådant fall får inte heller någon sanktion enligt 12 § första stycket beslutas.

I paragrafen finns en preskriptionsbestämmelse för sanktioner mot före- trädare för finansiella entiteter. Den är utformad efter förebild av bl.a. 9 kap. 11 § lagen med kompletterande bestämmelser till EU:s förordning om en paneuropeisk privat pensionsprodukt (PEPP-produkt). Övervägandena finns i avsnitt 10.3.

För en sanktion mot en företrädare för en finansiell entitet gäller en preskriptionstid om två år. Tiden ska räknas från tidpunkten för över- trädelsen till tidpunkten för delgivning av sanktionsföreläggandet (jfr prop. 2014/15:57 s. 64). För delgivningen gäller bestämmelserna i del- givningslagen (2010:1932). Delgivning får inte ske på ett sätt som är olämpligt med hänsyn till omständigheterna i delgivningsärendet (se 4 § andra stycket den lagen). Vid delgivning av ett sanktionsföreläggande får det i normala fall anses vara olämpligt att använda kungörelsedelgivning och andra delgivningsformer enligt 3 § andra stycket, 34–38 och 47–51 §§ delgivningslagen (jfr t.ex. prop. 2015/16:162 s. 222).

Preskriptionen gäller för förfarandet hos såväl Finansinspektionen som domstol (prop. 2022/23:124 s. 52). Ett sanktionsföreläggande är därmed utan verkan om det inte har delgetts företrädaren inom två år från det att överträdelsen ägde rum. Inte heller får en domstol, efter en ansökan från Finansinspektionen, besluta om en sanktion i ett sådant fall.

Sanktionsavgifter

14 § Sanktionsavgiften för en finansiell entitet som anges i 1 § och som är en juridisk person ska som högst fastställas till det högsta av

1. ett belopp som per den 16 januari 2023 i svenska kronor motsvarade en miljon euro,

2.tio procent av den finansiella entitetens omsättning närmast föregående räken- skapsår eller, i förekommande fall, motsvarande omsättning på koncernnivå, eller

3.tre gånger den vinst som den finansiella entiteten har gjort till följd av regel- överträdelsen, om beloppet går att fastställa.

Sanktionsavgiften får inte bestämmas till ett lägre belopp än 5 000 kronor.

Om en överträdelse har skett under den juridiska personens första verksamhetsår eller om uppgifter om omsättningen annars saknas eller är bristfälliga, får omsätt- ningen uppskattas när den högsta sanktionsavgiften ska beräknas.

Paragrafen innehåller bestämmelser om storleken på en sanktionsavgift för en finansiell entitet som är en juridisk person. Den införs till följd av artikel 50.4 i DORA-förordningen och är utformad efter förebild av bl.a.

25 kap. 9 § lagen om värdepappersmarknaden. Övervägandena finns i avsnitt 10.4.

I första stycket anges alternativa modeller för att beräkna storleken på den högsta sanktionsavgiften som får tas ut av en finansiell entitet som är en juridisk person. En sanktionsavgift får inte överstiga det högsta av dessa

tre belopp.

179

Prop. 2024/25:44	Beräkningen i punkt 1 ska göras utifrån den 16 januari 2023, dvs. dagen
	för ikraftträdandet av DORA-förordningen. Vid omräkning mellan euro
	och svenska kronor kan den s.k. fixingkursen tillämpas (jfr t.ex. prop.
	2016/17:162 s. 564). Fixingkursen fastställs av Europeiska centralbanken
	och räknas om av Riksbanken till en kurs mot svenska kronor. Därefter
	publiceras kursen på Riksbankens webbplats varje svensk bankdag. Enligt
	fixingkursen den 16 januari 2023 motsvarade 1 euro 11,2691 svenska
	kronor.
	Beloppet enligt punkt 2 bestäms utifrån den finansiella entitetens om-
	sättning. Omsättningen på koncernnivå bör bestämmas utifrån den senast
	tillgängliga koncernredovisning som godkänts av ledningsorganet för det
	yttersta moderföretaget. Posterna för beräkningen av omsättningen på
	koncernnivå ska således hämtas ur koncernredovisningen för det yttersta
	moderföretaget. Det kan dock gälla olika redovisningsregler för företag
	inom en och samma koncern. För försäkringsföretag gäller t.ex. reglerna i
	lagen (1995:1560) om årsredovisning i försäkringsföretag och för kredit-
	institut och värdepappersbolag gäller reglerna i lagen (1995:1559) om
	årsredovisning i kreditinstitut och värdepappersbolag. För andra företag
	gäller reglerna i årsredovisningslagen (1995:1554). Om den finansiella
	entiteten som en sanktion ska riktas mot upprättar sin årsredovisning enligt
	årsredovisningslagen, är den omsättning som ska ligga till grund för
	sanktionsavgiften summan av nettoomsättningen och övriga rörelse-
	intäkter. Om sanktionsavgiften ska beräknas på koncernnivå ska mot-
	svarande årsomsättning, dvs. summan av nettoomsättningen och övriga
	rörelseintäkter, ligga till grund för beräkningen av sanktionsavgiften. För
	en beskrivning av vilka poster som ska anses utgöra omsättning i ett
	kreditinstitut eller ett försäkringsföretag, se prop. 2016/17:162 s. 764 och
	prop. 2022/23:7 s. 245. Med ”motsvarande omsättning” avses det som
	utgör omsättning enligt de redovisningsregler som gäller för den juridiska
	personen som sanktionen riktas mot. Det är denna omsättning inom
	koncernen som ska ligga till grund för beräkningen av den högsta möjliga
	sanktionsavgiften. Om den finansiella entitet som är föremål för
	ingripande också är ett försäkringsföretag ska således all omsättning från
	försäkringsverksamhet inom koncernen anses vara motsvarande om-
	sättning på koncernnivå. Om företaget som en sanktion ska riktas mot
	i stället upprättar sin årsredovisning enligt årsredovisningslagen, är den
	omsättning som ska ligga till grund för sanktionsavgiften summan av
	nettoomsättningen och övriga rörelseintäkter inom koncernen (prop.
	2016/17:162 s. 764–766).
	Beloppet enligt punkt 3 beräknas utifrån den finansiella entitetens vinst.
	Med den vinst som gjorts avses ett nettobelopp som omfattar de vinster
	som erhållits och de förluster som undvikits, dvs. den fördel som den
	finansiella entiteten erhållit. Det innebär att den högsta sanktionsavgiften
	kan bestämmas utifrån både den vinst som erhållits och den förlust som
	undvikits (jfr samma prop. s. 640).
	I andra stycket anges ett lägsta belopp för en sanktionsavgift.
	I tredje stycket finns en bestämmelse för beräkningen av den högsta
	sanktionsavgiften om överträdelsen har skett under det första verk-
	samhetsåret eller om uppgifter om omsättningen annars saknas eller är
	bristfälliga. I sådana fall får det ske en uppskattning av omsättningen för
180	bestämmandet av den högsta sanktionsavgiften enligt första stycket 2. Det

är endast i de fall det, av de skäl som anges i bestämmelserna, inte går att	Prop. 2024/25:44
beräkna avgiftens storlek som en uppskattad omsättning får läggas till
grund för sanktionsavgiftens storlek (prop. 2015/16:10 s. 251).
I 20 § finns bestämmelser om vilka omständigheter Finansinspektionen
ska beakta när sanktionsavgiftens storlek fastställs.
För andra finansiella entiteter än de som anges i 1 § gäller bestämmel-
serna för beräkning av högsta sanktionsavgift i entitetens rörelse-
lagstiftning (se 2 § och författningskommentaren till den paragrafen).
15 § Sanktionsavgiften för en leverantör av kryptotillgångstjänster får inte vara så
stor att leverantören därefter inte uppfyller kraven i Europaparlamentets och rådets
förordning (EU) 2023/1114 av den 31 maj 2023 om marknader för kryptotillgångar
och om ändring av förordningarna (EU) nr 1093/2010 och (EU) nr 1095/2010 samt
direktiven 2013/36/EU och (EU) 2019/1937 eller andra bestämmelser om soliditet
och likviditet som gäller för leverantören.
Sanktionsavgiften för en leverantör av gräsrotsfinansieringstjänster får inte vara
så stor att leverantören därefter inte uppfyller kraven enligt artikel 11 i Euro-
paparlamentets och rådets förordning (EU) 2020/1503 av den 7 oktober 2020 om
europeiska leverantörer av gräsrotsfinansieringstjänster för företag och om ändring
av förordning (EU) 2017/1129 och direktiv (EU) 2019/1937 eller andra bestäm-
melser om soliditet och likviditet som gäller för leverantören.
Paragrafen innehåller särskilda bestämmelser för sanktionsavgifter för
leverantörer av kryptotillgångstjänster och leverantörer av gräsrots-
finansieringstjänster. Hänvisningarna till EU-förordningarna är utformade
på så sätt att de avser förordningarna i den vid varje tidpunkt gällande
lydelsen, s.k. dynamisk hänvisning. Övervägandena finns i avsnitt 10.4.
För såväl leverantörer av kryptotillgångstjänster som leverantörer av
gräsrotsfinansieringstjänster finns det bestämmelser om försiktighetskrav
(se t.ex. artikel 67 i Mica-förordningen för leverantörer av kryptotillgångs-
tjänster och artikel 11 i EU:s förordning om gräsrotsfinansiering för
leverantörer av gräsrotsfinansieringstjänster).
I första stycket begränsas hur stor en sanktionsavgift får vara för en
leverantör av kryptotillgångstjänster. En sådan avgift får inte vara så stor
att leverantören därefter inte uppfyller kraven i Mica-förordningen, t.ex.
försiktighetskravet i artikel 67, eller andra bestämmelser om soliditet och
likviditet som gäller för leverantören.
I andra stycket begränsas, på motsvarande sätt som i första stycket hur
stor en sanktionsavgift får vara för en leverantör av gräsrotsfinansierings-
tjänster. En sådan avgift får inte vara så stor att leverantören därefter inte
uppfyller kraven enligt artikel 11 i EU:s förordning om gräsrotsfinansiering
för leverantörer av gräsrotsfinansieringstjänster eller andra bestämmelser
om soliditet och likviditet som gäller för leverantören. Med andra bestäm-
melser om soliditet och likviditet som gäller för leverantören avses t.ex.
8 kap. 3 § lagen om värdepappersmarknaden för det fall leverantören även
har tillstånd att bedriva värdepappersrörelse.
Genom bestämmelserna i första och andra styckena förhindras att uttaget
av en sanktionsavgift får till följd att en leverantör inte längre uppfyller
försiktighetskraven och att dess tillstånd att bedriva verksamhet i och med
det måste återkallas. En motsvarande begränsning gäller för leverantörer
av gräsrotsfinansieringstjänster enligt lagen (2021:899) med komplet-
terande bestämmelser till EU:s förordning om gräsrotsfinansiering (se	181

Prop. 2024/25:44 3 kap. 10 § tredje stycket andra meningen). Ingenting hindrar emellertid att inspektionens beslut får till följd att leverantörerna måste göra förändringar av sin verksamhet, t.ex. genom att ändra sin riskprofil (jfr prop. 2006/07:115 s. 641).

16 § Sanktionsavgiften för en fysisk person ska som högst fastställas till det högsta av

1. ett belopp som per den 16 januari 2023 i svenska kronor motsvarade 500 000 euro, eller

2.tre gånger den vinst som den fysiska personen har gjort till följd av regel- överträdelsen, om beloppet går att fastställa.

Paragrafen innehåller bestämmelser om storleken på en sanktionsavgift för en fysisk person. Den införs till följd av artikel 50.4 och 50.5 i DORA- förordningen och är utformad efter förebild av bl.a. 25 kap. 9 a § lagen om värdepappersmarknaden. Övervägandena finns i avsnitt 10.4.

För fysiska personer finns det två alternativa beräkningsmodeller för den högsta sanktionsavgiften som får tas ut av en sådan person i de fall som avses i 9 §. Liksom gäller för finansiella entiteter som är juridiska personer (14 §) får en sanktionsavgift inte överstiga det högsta av dessa två belopp.

Liksom för finansiella entiteter som är juridiska personer (14 § första stycket 1) är det första beloppet ett fast belopp. Detta belopp uppgår enligt punkt 1 till ett belopp som per den 16 januari 2023 i svenska kronor motsvarade 500 000 euro. I fråga om vilken valutakurs som bör tillämpas vid omräkning mellan euro och svenska kronor, se författningskom- mentaren till 14 § första stycket 1 och det som där anges för motsvarande belopp för sanktionsavgifter för finansiella entiteter som också är juridiska personer.

Även för sanktionsavgifter för fysiska personer ska ett av beloppen beräknas utifrån den vinst som den fysiska personen har gjort till följd av överträdelsen (jfr 14 § första stycket 3). För vad som avses med vinst, se författningskommentaren till 14 §. När det gäller fysiska personer torde det i första hand röra sig om ersättning som utgår enligt någon form av incitamentsprogram eller ett innehav som inte minskar i värde. Enligt punkt 2 ska beloppet bestämmas till tre gånger den vinst som den fysiska personen har gjort till följd av överträdelsen, om beloppet går att fastställa. I fråga om termen vinst, se författningskommentaren till 14 § första stycket 3.

I 20 § finns bestämmelser om vilka omständigheter som Finansinspek- tionen ska beakta när sanktionsavgiftens storlek fastställs.

17 § Sanktionsavgifter tillfaller staten.

Paragrafen innehåller en bestämmelse om att sanktionsavgifter enligt 14 och 16 §§ tillfaller staten. Övervägandena finns i avsnitt 10.4.

Val av ingripande

18 § Vid valet av ingripande ska Finansinspektionen ta hänsyn till hur allvarlig överträdelsen är och hur länge den har pågått. Särskild hänsyn ska tas till över- trädelsens art, överträdelsens konkreta och potentiella effekter på det finansiella

182

systemet, skador som uppstått samt graden av ansvar hos den fysiska eller juridiska Prop. 2024/25:44 person som har gjort sig skyldig till överträdelsen.

Paragrafen reglerar, tillsammans med 19–21 §§, vilka omständigheter som ska beaktas vid valet av ingripande. Den införs till följd av artikel 51.2 i DORA-förordningen och är utformad efter förebild av bl.a. 25 kap. 2 § första stycket lagen om värdepappersmarknaden. Övervägandena finns i avsnitt 10.5.

I paragrafen anges vilka omständigheter som är hänförliga till över- trädelsen som ska beaktas vid valet av ingripande. Uppräkningen av omständigheter är inte uttömmande, utan en sammanvägd bedömning av alla relevanta omständigheter ska göras.

Sanktionerna ska alltid vara proportionella i förhållande till över- trädelsen och ligga på en sådan nivå att de är avskräckande. I fråga om varaktighet gäller att en överträdelse som har pågått under lång tid i allmänhet är mer klandervärd än en som har varat kortare tid. En över- trädelse bör dock inte regelmässigt leda till en lindrigare sanktion endast till följd av att den upptäckts tidigt och därmed upphört efter en förhål- landevis kort tid (jfr prop. 2013/14:228 s. 39). Att graden av ansvar hos den som har begått överträdelsen ska beaktas innebär att en överträdelse som begås medvetet typiskt sett bör motivera en strängare sanktion än en överträdelse som begås av oaktsamhet. Att en överträdelse begås i vinningssyfte eller för att vilseleda bör i allmänhet inverka i försvårande riktning.

I 19 § anges ytterligare omständigheter som ska beaktas som för- svårande respektive förmildrande. Bestämmelser om att Finansinspek- tionen i vissa fall får avstå från ingripande finns i 21 §.

Finansinspektionen kan utifrån vad som är motiverat i det enskilda fallet välja att ingripa med en eller flera sanktionsåtgärder. Om flera åtgärder används, måste inspektionen se till att sanktionerna sammantaget är väl avvägda.

19 § Utöver det som anges i 18 § ska det i försvårande riktning beaktas om den som har begått överträdelsen tidigare har begått en överträdelse. Vid denna bedöm- ning ska särskild vikt fästas vid om överträdelserna är likartade och den tid som har gått mellan de olika överträdelserna.

I förmildrande riktning ska det beaktas om den som har begått överträdelsen

1.i väsentlig utsträckning genom ett aktivt samarbete har underlättat Finans- inspektionens utredning, och

2.snabbt upphört med överträdelsen eller snabbt verkat för att överträdelsen ska upphöra, sedan den anmälts till eller påtalats av Finansinspektionen.

Paragrafen reglerar, tillsammans med 18, 20 och 21 §§, vilka omständig- heter som ska beaktas vid valet av ingripande. Den införs till följd av artikel 51.2 i DORA-förordningen och är utformad efter förebild av bl.a.

25 kap. 2 a § lagen om värdepappersmarknaden. Övervägandena finns i avsnitt 10.5.

Av första stycket följer att det är en försvårande omständighet om den som har begått överträdelsen tidigare har begått en överträdelse. Särskild vikt ska fästas vid om överträdelserna är likartade och den tid som har gått mellan de olika överträdelserna. Vid allvarliga och likartade överträdelser

183

Prop. 2024/25:44 torde även en förhållandevis lång tid mellan överträdelserna kunna beaktas i försvårande riktning.

I andra stycket anges två förmildrande omständigheter vid valet av ingripande.

När det gäller punkt 1 krävs att samarbetet i väsentlig utsträckning har underlättat utredningen. Det kan t.ex. handla om att personen i fråga självmant för fram viktig information som Finansinspektionen inte redan har eller inte utan väsentlig arbetsinsats kan få del av (jfr prop. 2001/02:167 s. 99). Att en finansiell entitet eller dess företrädare endast medverkar i utredningen på Finansinspektionens begäran och svarar på inspektionens frågor är inte tillräckligt för att detta krav ska anses uppfyllt. Särskilt stort avseende bör fästas vid om det är personen själv som frivilligt anmäler överträdelsen till Finansinspektionen och om det är först genom de uppgifter som personen lämnar som inspektionen får tillräckligt underlag för att kunna ingripa mot överträdelsen (jfr prop. 2013/14:228 s. 241). När det gäller en juridisk person bör det typiskt sett krävas att det är den juridiska personen som genom ställföreträdare eller ombud med- verkar i utredningen. Att en enskild befattningshavare vid den juridiska personen anmäler en överträdelse bör alltså inte beaktas i förmildrande riktning enligt denna bestämmelse. Bestämmelsen ska inte tolkas motsatsvis på så sätt att den som förnekar en överträdelse eller försvårar utredningen drabbas av en hårdare sanktion än vad som annars hade blivit fallet.

Enligt punkt 2 ska Finansinspektionen i förmildrande riktning även beakta om den som har begått överträdelsen snabbt upphört med den- samma eller snabbt verkat för att överträdelsen ska upphöra, sedan den anmälts till eller påtalats av inspektionen.

Paragrafen reglerar vilka omständigheter som ska beaktas när sanktions- avgiftens storlek ska fastställas. Den införs till följd av artikel 51.2 c och d i DORA-förordningen och är utformad efter förebild av bl.a. 25 kap. 10 § lagen om värdepappersmarknaden. Övervägandena finns i avsnitt 10.5.

Bestämmelsen innebär att de omständigheter som har påverkat valet av ingripande i skälig utsträckning ska beaktas även när sanktionsavgiftens storlek bestäms. I bestämmelsen anges även andra omständigheter som ska beaktas när sanktionsavgiftens storlek bestäms. Storleken på en sanktions- avgift ska regleras i höjande riktning för att ta hänsyn till om en över- trädelse har inneburit en vinst för personen i fråga. För vad som avses med vinst, se författningskommentaren till 14 §. Bestämmelsen kan också med- föra att avgiften sänks till följd av personens finansiella ställning. Med finansiell ställning avses t.ex. en juridisk persons årsomsättning. Uppräkningen av omständigheter som ska beaktas är inte uttömmande.

I 14–16 §§ finns bestämmelser om högsta och lägsta belopp för sank- tionsavgifter.

184

Möjlighet att avstå från ett ingripande

Prop. 2024/25:44

21 § Finansinspektionen får avstå från ingripande, om

1.överträdelsen är ringa eller ursäktlig,

2.den fysiska eller juridiska personen i fråga gör rättelse,

3.den fysiska personen har verkat för att den juridiska personen ska göra rättelse, eller

4.någon annan myndighet eller något annat organ har vidtagit åtgärder mot den fysiska eller juridiska personen och dessa åtgärder bedöms tillräckliga.

Paragrafen innehåller bestämmelser om att Finansinspektionen i vissa fall får avstå från ingripande. Paragrafen är utformad efter förebild av bl.a. 25 kap. 2 § andra stycket lagen om värdepappersmarknaden. Övervägan- dena finns i avsnitt 8.5.

Finansinspektionen får i vissa fall avstå från ingripande. Så kan vara fallet om en överträdelse är ringa eller ursäktlig (punkt 1) eller om det görs en rättelse (punkt 2). Det är också möjligt att avstå från ett ingripande om den fysiska personen har verkat för att den juridiska personen ska göra rättelse (punkt 3) eller om någon annan myndighet eller något annat organ, t.ex. börsens disciplinnämnd, har vidtagit åtgärder mot den juridiska eller fysiska personen och dessa åtgärder bedöms tillräckliga (punkt 4).

Finansinspektionen ska göra en bedömning av samtliga omständigheter i det enskilda fallet. Det bör t.ex. vara överträdelsens allvar som avgör om det faktum att företaget har gjort en rättelse också ska leda till att inspektionen avstår från att ingripa (jfr prop. 2006/07:115 s. 500–501). Vid en allvarlig överträdelse bör det krävas starka skäl för att Finans- inspektionen helt ska avstå från ett ingripande. För vad som kan anses som en allvarlig överträdelse, se författningskommentaren till 9 §.

Verkställighet av beslut om sanktionsavgift

22 § En sanktionsavgift ska betalas till Finansinspektionen inom 30 dagar efter det att ett beslut eller en dom om att ta ut avgiften har fått laga kraft eller ett sanktions- föreläggande har godkänts, eller inom den längre tid som anges i beslutet eller föreläggandet.

23 § Om sanktionsavgiften inte har betalats inom den tid som anges i 22 §, ska Finansinspektionen lämna avgiften för indrivning.

Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m.

Paragraferna innehåller bestämmelser om verkställighet av ett beslut om sanktionsavgift och är utformade efter förebild av bl.a. 25 kap. 25, 27 och 28 §§ lagen om värdepappersmarknaden. Övervägandena finns i avsnitt 10.6.

I 22 § anges inom vilken tid en sanktionsavgift ska betalas. När beslutet har fått laga kraft får det verkställas som en exekutionstitel (se 3 kap. 1 § första stycket 6 a och 20 § första stycket utsökningsbalken). Det innebär

185

Prop. 2024/25:44 att verkställighet kan ske enligt utsökningsbalken utan att det krävs något domstolsavgörande.

Om en avgift inte betalas i tid ska Finansinspektionen enligt 23 § lämna den för indrivning. För detta gäller vanliga bestämmelser om indrivning av statliga fordringar. Ett mål om sanktionsavgift handläggs som allmänt mål hos Kronofogdemyndigheten (se 1 kap. 6 § och 3 kap. 1 § första stycket 6 utsökningsbalken).

Enligt 24 § faller sanktionsavgiften bort om verkställighet inte har skett inom viss tid. Det som preskriberas är den del av avgiften som inte har drivits in när fem år har gått sedan beslutet eller domen fick laga kraft.

5 kap. Överklagande, beslut som ska gälla omedelbart och vite

Överklagande

1 § Finansinspektionens beslut om sanktionsföreläggande enligt denna lag får inte överklagas.

Andra beslut av Finansinspektionen enligt denna lag och EU-förordningen får överklagas till allmän förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Paragrafen innehåller bestämmelser om överklagande av Finansinspek- tionens beslut. Den införs till följd av artikel 50.6 i DORA-förordningen och är utformad efter förebild av bl.a. 4 kap. 1 § lagen med kompletterande bestämmelser till EU:s förordning om värdepapperisering. Övervägandena finns i avsnitt 17.1.

Enligt första stycket gäller ett överklagandeförbud för Finansinspek- tionens beslut om sanktionsföreläggande. Ett godkänt sanktionsföreläg- gande, som visar sig vara felaktigt, kan därmed inte angripas med ordinära rättsmedel. I undantagsfall bör ett godkänt sanktionsföreläggande kunna undanröjas genom ett beslut om resning (jfr prop. 2014/15:57 s. 64–65). Förutsättningarna för att bevilja resning regleras i 37 b § förvaltnings- processlagen (1971:291).

Enligt andra stycket får Finansinspektionens beslut som inte gäller sank- tionsföreläggande överklagas till allmän förvaltningsdomstol. Hänvis- ningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Närmare bestämmelser om överklagande finns i förvaltnings- lagen (2017:900).

Enligt tredje stycket krävs prövningstillstånd vid överklagande till kam- marrätten.

2 § Riksbankens beslut om föreläggande enligt 2 kap. 5 § och beslut om utfärdande av intyg enligt artikel 26.7 i EU-förordningen får överklagas till allmän förvalt- ningsdomstol.

Andra beslut av Riksbanken enligt denna lag och EU-förordningen får inte överklagas.

Prövningstillstånd krävs vid överklagande till kammarrätten.

186

Paragrafen innehåller bestämmelser om överklagande av Riksbankens Prop. 2024/25:44 beslut och är utformad efter förebild av 12 kap. 3 § lagen om Sveriges

riksbank. Övervägandena finns i avsnitt 17.2.

I första stycket anges de beslut som får överklagas till allmän förvalt- ningsdomstol. Det gäller dels beslut om föreläggande att inkomma med uppgifter (se 2 kap. 4 och 5 §§ och författningskommentarerna till de paragraferna), dels beslut om intyg om ett hotbildsstyrt penetrationstest. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning.

Enligt andra stycket får andra beslut än de som avses i första stycket inte överklagas. Det handlar t.ex. om sådana delbeslut som Riksbanken fattar vid övervakningen och samordningen av de hotbildsstyrda penetrations- testerna.

Enligt tredje stycket krävs prövningstillstånd vid överklagande till kammarrätten.

Beslut som ska gälla omedelbart

3 § Finansinspektionen får bestämma att följande beslut ska gälla omedelbart:

1.beslut om hotbildsstyrda penetrationstester enligt 2 kap. 1 §,

2.beslut om föreläggande enligt 4 kap. 3 §, 4 § 1, 5 § första stycket 1 eller 9 § andra stycket 1, eller

3.beslut om återkallelse enligt 4 kap. 5 § andra stycket.

Paragrafen reglerar när Finansinspektionen får bestämma att ett beslut ska gälla omedelbart. Den är utformad efter förebild av bl.a. 10 kap. 2 § lagen med kompletterande bestämmelser till EU:s förordning om en pan- europeisk privat pensionsprodukt (PEPP-produkt). Övervägandena finns i avsnitt 17.1.

Finansinspektionen får bestämma att de beslut som särskilt anges ska gälla omedelbart. Detta kan gälla ett beslut om hotbildsstyrda penetra- tionstester, t.ex. för ett grundläggande beslut om att ett visst företag ska genomföra ett test och hur ofta, punkt 1. Finansinspektion har enligt punkt 2 också möjlighet att bestämma att ett beslut om föreläggande ska gälla omedelbart, t.ex. om det behövs för att få en finansiell entitet att upphöra med ett visst agerande med omedelbar verkan. Enligt punkt 3 får Finansinspektionen även bestämma att ett beslut om återkallelse, och ett med det förenat förbud om att fortsätta bedriva verksamheten, ska gälla omedelbart.

När det gäller andra beslut av Finansinspektionen gäller förvaltnings- lagens bestämmelser om omedelbar verkställighet (se 35 § tredje stycket den lagen).

Vite

4 § Följande beslut får förenas med vite:

1.Riksbankens beslut om föreläggande enligt 2 kap. 5 §, och

2.Finansinspektionens beslut om föreläggande enligt 3 kap. 2 § första stycket, 4 kap. 3 §, 4 § 1, 5 § första stycket 1, 8 § andra stycket eller 9 § andra stycket 1.

187

Prop. 2024/25:44	Paragrafen innehåller en bestämmelse om att Riksbanken och Finans-
	inspektionen får förena vissa beslut med vite. Övervägandena finns i
	avsnitt 7.2, 9.2, 10.2.2 och 10.3.
	Riksbanken och Finansinspektionen får förena de beslut som särskilt
	anges med vite. Riksbanken får enligt punkt 1 förena ett föreläggande om
	att lämna uppgifter som behövs för ett hotbildsstyrt penetrationstest med
	vite. På motsvarande sätt får Finansinspektionen enligt punkt 2 förena ett
	föreläggande om att lämna uppgifter som behövs för tillsynen med vite
	(3 kap. 2 § första stycket). Finansinspektionen får enligt samma punkt
	förena även andra typer av förelägganden med vite, t.ex. om att en
	finansiell entitet ska vidta en åtgärd eller upphöra med ett agerande (4 kap.
	4 § 1, 4 kap. 5 § första stycket 1 eller 4 kap. 9 § andra stycket 1). Även ett
	förbud att fortsätta verksamheten som meddelas samtidigt som ett beslut
	om återkallelse får förenas med vite (4 kap. 8 § andra stycket).
	Ingripanden mot en företrädare för en finansiell entitet ska ske genom
	ett sanktionsföreläggande (se 4 kap. 10 § och författningskommentaren till
	den paragrafen). Det är inte möjligt att förena ett sådant föreläggande med
	vite. Man kan således inte förelägga någon att svara på ett sanktions-
	föreläggande vid äventyr av vite (se 4 kap. 10 § andra stycket). Dock får
	själva sanktionen i sanktionsföreläggandet, t.ex. ett förbud för en fysisk
	person om att företräda den finansiella entiteten, t.ex. som styrelseledamot,
	förenas med vite (4 kap. 11 § första stycket 4).
	Finansinspektionen har inte rätt att själv besluta om utdömande av vite
	utan måste ansöka om det hos allmän förvaltningsdomstol (se 6 § lagen
	[1985:206] om viten).
	5 § Beslut om viten enligt EU-förordningen får verkställas enligt utsökningsbalken
	på samma sätt som en svensk dom som har fått laga kraft.
	Paragrafen reglerar verkställighet av beslut om viten enligt DORA-
	förordningen. Den införs till följd av artikel 35.9 i DORA-förordningen
	och är utformad efter förebild av bl.a. 2 kap. 5 § lagen (2019:1215) med
	kompletterande bestämmelser till EU:s förordning om värdepapperisering.
	Hänvisningen till DORA-förordningen är utformad på så sätt att den avser
	förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk
	hänvisning. Övervägandena finns i avsnitt 17.3.
	Av paragrafen följer att beslut om viten är verkställbara enligt utsök-
	ningsbalken. Bestämmelsen innebär att den ledande tillsynsmyndighetens
	beslut om viten enligt DORA-förordningen är att anse som en utländsk
	exekutionstitel som får verkställas i Sverige (jfr 3 kap. 2 § utsöknings-
	balken). Den ledande tillsynsmyndigheten är den europeiska tillsyns-
	myndighet (EBA, Esma eller Eiopa) som utsetts till tillsynsmyndighet för
	en kritisk tredjepartsleverantör av IKT-tjänster (se artikel 31.1 i DORA-
	förordningen). Myndighetens beslut om viten ska därvid likställas med en
	svensk lagakraftvunnen dom.
	Bestämmelser om viten, bl.a. om den ledande tillsynsmyndighetens
	befogenhet att besluta om vite, vilka förseelser som kan leda till ett beslut
	om vite och om förfarandet finns i artikel 35.6–35.11 i DORA-förord-
	ningen.
	Kronofogdemyndigheten är den myndighet som ansvarar för den
188	praktiska verkställigheten och dess beslut kan överklagas till allmän

domstol. Hos myndigheten handläggs detta som ett enskilt mål (se 1 kap. Prop. 2024/25:44 6 § andra stycket utsökningsbalken). De belopp som åläggs i form av viten

ska tillfalla Europeiska unionens allmänna budget (artikel 35.9 fjärde meningen i DORA-förordningen).

22.2Förslaget till lag om ändring i lagen (1967:531) om tryggande av pensionsutfästelse m.m.

16 g § En pensionsstiftelse som avses i 9 a § andra eller tredje stycket ska upprätta och följa riktlinjer för

1.riskhantering,

2.internrevision, och

3.verksamhet som omfattas av uppdragsavtal.

Pensionsstiftelsen ska upprätta och vid behov följa en beredskapsplan som säkerställer att verksamheten kan bedrivas kontinuerligt. Stiftelsen ska ha sådana nätverks- och informationssystem som avses i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ mot- ståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Paragrafen innehåller bestämmelser om styrdokument för pensions- stiftelser. Ändringen genomför delvis artikel 21.5 i andra tjänstepensions- direktivet, i lydelsen enligt artikel 8 i ändringsdirektivet. Övervägandena finns i avsnitt 18.

I andra stycket förtydligas att en pensionsstiftelse ska ha sådana nätverks- och informationssystem som avses i DORA-förordningen. I och med DORA-förordningen införs nya krav på finansiella entiteters riskhantering. Finansiella entiteter ska, när det gäller digital operativ mot- ståndskraft, vidta de åtgärder som är nödvändiga för att de ska kunna be- driva sin verksamhet och tillhandahålla tjänster och därigenom garantera en smidigt fungerande inre marknad (skäl 3 i ändringsdirektivet). En pensionsstiftelse som tryggar utfästelser om pension till minst 16 personer omfattas av DORA-förordningen och är även en finansiell entitet enligt förordningen (artikel 2.1 p och 2.2 jämförd med 2.3 c i DORA-förord- ningen). Kraven enligt paragrafen och DORA-förordningen gäller dock bara för pensionsstiftelser som tryggar utfästelser om pension till minst 100 personer (se 9 a § och prop. 2018/19:159 s. 34–37). Pensionsstiftelser som tryggar utfästelser om pension till minst 16 men färre än 100 personer omfattas i stället av DORA-förordningens bestämmelser om förenklad IKT-riskhanteringsram (se artikel 16). De närmare kraven på nätverks- och informationssystemen och hur de ska utformas anges i DORA- förordningen. En motsvarande ändring görs för tjänstepensionsföretag i lagen (2019:742) om tjänstepensionsföretag (se 9 kap. 2 § den lagen och författningskommentaren till den paragrafen i avsnitt 23.15).

189

Prop. 2024/25:44 16 i § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1.vad placeringsriktlinjerna och redogörelsen enligt 16 f § ska innehålla, och

2.vad de styrdokument som anges i 16 g § första och tredje styckena ska innehålla.

Regeringen eller den myndighet som regeringen bestämmer kan med stöd av

8 kap. 7 § regeringsformen meddela föreskrifter om hur information om ersättningspolicyn ska offentliggöras enligt 16 g §.

Paragrafen innehåller bl.a. bemyndiganden. Övervägandena finns i avsnitt 18.

I första stycket 2 görs en ändring med anledning av ändringen i 16 g § andra stycket. Bemyndigandet omfattar därmed inte innehållet i en pensionsstiftelses beredskapsplan (se 16 g § andra stycket och författ- ningskommenteraren till den paragrafen).

22.3Förslaget till lag om ändring i trafikskadelagen (1975:1410)

5 § Trafikförsäkring får meddelas av

1.en försäkringsgivare som har fått tillstånd till det enligt 2 kap. 4 § försäkrings- rörelselagen (2010:2043),

2.en försäkringsgivare som har fått tillstånd till det enligt 4 kap. 1 § lagen (1998:293) om utländska försäkringsgivares och tjänstepensionsinstituts verksam- het i Sverige, och

3.en EES-försäkringsgivare som är verksam i Sverige enligt 2 kap. 1 § lagen om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige.

En försäkringsgivare som får meddela trafikförsäkring är skyldig att på begäran meddela trafikförsäkring. I ett tillstånd enligt 2 kap. 4 § försäkringsrörelselagen eller 4 kap. 1 § lagen om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige får dock skyldigheten begränsas till att gälla försäkring åt personer som tillhör en viss yrkesgrupp eller intressegrupp eller som är bosatta inom ett visst område. Finansinspektionen får efter ansökan besluta om mot- svarande begränsning för försäkringsgivare som driver verksamhet här enligt 2 kap. 1 § lagen om utländska försäkringsgivares och tjänstepensionsinstituts verk- samhet i Sverige. Finansinspektionens beslut får överklagas till allmän förvalt- ningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.

En försäkringsgivare som avser att meddela trafikförsäkring genom gräns- överskridande verksamhet med stöd av 2 kap. 1 § lagen om utländska försäkrings- givares och tjänstepensionsinstituts verksamhet i Sverige men som inte har fast driftställe i Sverige ska ha en representant här i landet. Representanten ska vara bosatt i Sverige eller vara en svensk juridisk person. Försäkringsgivaren ska utfärda en fullmakt för representanten att gentemot skadelidande företräda försäkringsgivaren och att själv eller genom någon annan tala och svara för denne angående försäkringsfall. Representanten ska även ha behörighet att företräda försäkringsgivaren vid kontroll av om det finns en giltig trafikförsäkring. Försäkringsgivaren ska informera försäkringstagarna om vem som är försäkrings- givarens representant och om dennes adress. Regeringen eller den myndighet som regeringen bestämmer får meddela ytterligare föreskrifter om villkor för sådana representanter.

	Paragrafen innehåller bestämmelser om meddelande av trafikförsäkring.
190	Övervägandena finns i avsnitt 19.3.
190

En försäkringsgivare som får meddela trafikförsäkring har enligt andra Prop. 2024/25:44 stycket också en skyldighet att meddela sådan försäkring, den s.k. kontra- heringsplikten. Finansinspektionen får begränsa denna skyldighet till att

bara gälla försäkring åt personer som tillhör en viss yrkesgrupp eller intres- segrupp eller som är bosatta inom ett visst område. Detta kan för svenska försäkringsgivare och för försäkringsgivare från tredjeland ske i det grund- läggande tillståndet att meddela försäkring. En EES-försäkringsgivare, dvs. en försäkringsgivare med hemvist i ett annat land inom EES, som inte behöver tillstånd av Finansinspektionen för att meddela försäkringar i Sverige kan i stället ansöka hos Finansinspektionen om en motsvarande begränsning. Stycket ändras så att ett sådant beslut av Finansinspektionen får överklagas till allmän förvaltningsdomstol, i stället för som hittills gällt till regeringen. Prövningstillstånd krävs vid överklagande till kammar- rätten. I stycket görs även språkliga ändringar. Inga ändringar i sak avses.

Ikraftträdande- och övergångsbestämmelser

1.Denna lag träder i kraft den 17 januari 2025.

2.Äldre föreskrifter gäller fortfarande för överklagande av beslut som har med- delats före den 17 januari 2025.

Övervägandena finns i avsnitt 20.

I punkt 1 anges när lagen träder i kraft.

Enligt punkt 2 gäller äldre föreskrifter för överklagande av beslut som meddelats före ikraftträdandet. Det innebär att ett beslut om begränsad kontraheringsplikt för en EES-försäkringsgivare får överklagas till rege- ringen om Finansinspektionen har meddelat beslutet före ikraftträdandet.

22.4Förslaget till lag om ändring i lagen (1980:1097) om Svenska skeppshypotekskassan

38 § Kassan står under tillsyn av Finansinspektionen. Finansinspektionen får förena ett beslut om föreläggande med vite. Inspektionens beslut enligt denna lag gäller omedelbart, om inte myndigheten

beslutar något annat.

Finansinspektionens beslut får överklagas till allmän förvaltningsdomstol. Prövningstillstånd krävs vid överklagande till kammarrätten.

Regeringen meddelar ytterligare föreskrifter om tillsynsverksamheten.

Paragrafen innehåller bestämmelser om tillsynen över Svenska skepps- hypotekskassan. Övervägandena finns i avsnitt 19.4.

I andra stycket görs språkliga ändringar. Ingen ändring avses i sak. Ett förbud, som tidigare särskilt angavs, kan således fortsatt förenas med vite men det sker då i form av ett föreläggande.

I tredje stycket görs redaktionella och språkliga ändringar. Efter ändringarna innehåller stycket bara en bestämmelse om besluts giltighet. I denna del avses ingen ändring i sak. Bestämmelsen om överklagande flyttas till det nya fjärde stycket.

191

Prop. 2024/25:44 I det nya fjärde stycket finns bestämmelser om överklagande. Finans- inspektionens beslut får framöver överklagas till allmän förvaltnings- domstol. Dessa beslut har tidigare överklagats till regeringen. Prövnings- tillstånd krävs vid överklagande till kammarrätten.

192

Det nya femte stycket överensstämmer med hittillsvarande fjärde stycket.

Ikraftträdande- och övergångsbestämmelser

1.Denna lag träder i kraft den 17 januari 2025.

2.Äldre föreskrifter gäller fortfarande för överklagande av beslut som har med- delats före den 17 januari 2025.

Övervägandena finns i avsnitt 20.

I punkt 1 anges när lagen träder i kraft.

Enligt punkt 2 gäller äldre föreskrifter för överklagande av beslut som meddelats före ikraftträdandet. Det innebär att Finansinspektionens beslut enligt lagen får överklagas till regeringen om inspektionen har meddelat beslutet före ikraftträdandet.

22.5Förslaget till lag om ändring i lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument

9 kap.

12 § Finansinspektionen ska ingripa mot någon som ingår i en svensk värde- papperscentrals styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om värdepapperscentralen

1. tillhandahåller tjänster enligt avsnitten A, B och C i bilagan till förordningen om värdepapperscentraler, i den ursprungliga lydelsen, i strid med artiklarna 16, 25 eller 54 i förordningen,

2. har fått auktorisationer som krävs enligt artikel 16 i förordningen om värde- papperscentraler, i den ursprungliga lydelsen, genom osanna uppgifter eller andra olagliga metoder enligt artikel 20.1 b i förordningen,

3. låtit bli att uppfylla kapitalkravet i strid med artikel 47.1 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

4. låtit bli att uppfylla de organisatoriska kraven i strid med artiklarna 26–30 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

5. låtit bli att följa uppförandereglerna i strid med artiklarna 32–35 i förord- ningen om värdepapperscentraler, i den ursprungliga lydelsen,

6. låtit bli att uppfylla kraven för värdepapperscentraltjänster i strid med artiklarna 37–41 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

7. låtit bli att uppfylla stabilitetskraven i strid med artiklarna 43–47 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

8. låtit bli att uppfylla kraven på länkar mellan värdepapperscentraler i strid med artikel 48 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

9. utan giltig grund vägrat att bevilja olika typer av tillträde i strid med artiklarna

49–53 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen, eller 10. har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10,

12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27,

28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets Prop. 2024/25:44 förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ

motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Ett ingripande enligt första stycket får ske bara om värdepapperscentralens överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande får ske genom en eller båda av följande sanktioner:

1.beslut att personen i fråga under en viss tid, lägst tre och högst tio år, eller, för upprepade allvarliga överträdelser, permanent inte får vara styrelseledamot, verk- ställande direktör eller ersättare för någon av dem i värdepapperscentralen, eller

2.beslut om sanktionsavgift.

Paragrafen innehåller bestämmelser om ingripanden mot företrädare för en värdepapperscentral. Övervägandena finns i avsnitt 10.3.

Genom första stycket 10, som är ny, görs ett tillägg till följd av artikel 50.5 i DORA-förordningen. Finansinspektionen kan i och med tillägget ingripa mot en fysisk person som företräder en värdepappers- central om centralen har åsidosatt sina skyldigheter enligt de angivna bestämmelserna i DORA-förordningen. Hänvisningen till DORA-förord- ningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Bestämmelsen gäller bara för en svensk värdepapperscentrals överträdelser. Övriga ändringar i stycket är redaktionella.

I andra stycket görs en språklig ändring. Ingen ändring avses i sak.

I tredje stycket görs en redaktionell och språklig ändring. Ingen ändring avses i sak.

22.6Förslaget till lag om ändring i lagen (2004:46) om värdepappersfonder

2 kap.

17 § Ett fondbolag ska ha sunda rutiner för

1.förvaltning av verksamheten och redovisning,

2.intern kontroll, och

3.drift och förvaltning av sina nätverks- och informationssystem.

Rutinerna enligt första stycket 3 ska uppfylla kraven i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Fondbolaget ska särskilt

1.upprätta och tillämpa regler för styrelseledamöters och anställdas egna affärer med finansiella instrument,

2.dokumentera samtliga transaktioner som bolaget har genomfört för en värdepappersfonds räkning eller för ett sådant fondföretags räkning som avses i 12 § andra stycket eller 15 § andra stycket, och

3.ha en organisation som minskar risken för intressekonflikter som kan påverka fondandelsägares eller andra kunders intressen negativt.

193

Prop. 2024/25:44 Paragrafen innehåller bestämmelser om grundläggande krav på ett fond- bolags organisation. Genom ändringen genomförs artikel 12.1 i UCITS- direktivet, i lydelsen enligt artikel 1.1 i ändringsdirektivet. Övervägandena finns i avsnitt 18.

I första stycket 3 förtydligas att kraven på sunda rutiner för drift och förvaltning gäller både nätverks- och informationssystem. I och med DORA-förordningen införs nya krav på finansiella entiteters riskhan- tering. Finansiella entiteter ska, när det gäller digital operativ motstånds- kraft, vidta de åtgärder som är nödvändiga för att de ska kunna bedriva sin verksamhet och tillhandahålla tjänster och därigenom garantera en smidigt fungerande inre marknad (skäl 3 i ändringsdirektivet). Ett fondbolag omfattas av DORA-förordningen och är även en finansiell entitet enligt förordningen (artikel 2.1 l och 2.2 i DORA-förordningen).

I det nya andra stycket förtydligas kraven på ett fondbolags nätverks- och informationssystem. Rutinerna för drift och förvaltning av dessa system ska uppfylla de krav som närmare anges i DORA-förordningen. En motsvarande ändring görs för AIF-förvaltare i lagen (2013:561) om förvaltare av alternativa investeringsfonder (se 8 kap. 2 § den lagen och författningskommentaren till den paragrafen i avsnitt 23.12).

I det nya tredje stycket, hittillsvarande andra stycket, görs en redak- tionell ändring då den hittillsvarande strecklistan ändras till en punktlista.

12 kap.

1 a § Finansinspektionen ska ingripa mot någon som ingår i ett fondbolags styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om fond- bolaget

1.har fått tillstånd att driva fondverksamhet genom att lämna falska uppgifter eller på annat otillbörligt sätt,

2.tillhandahåller diskretionär portföljförvaltning i strid med 1 kap. 4 §,

3.påbörjar marknadsföring av en av bolaget förvaltad värdepappersfond i ett annat land inom EES innan en underrättelse om detta gjorts hos Finansinspek- tionen i enlighet med 2 kap. 15 c §,

4.inte uppfyller grundläggande krav på organisation och drift av verksamheten enligt 2 kap. 17 § första stycket 1 eller 2 eller tredje stycket eller 17 f § eller före- skrifter som har meddelats med stöd av 13 kap. 1 § 11 avseende dessa bestämmelser,

5.åsidosätter sina skyldigheter eller på annat sätt överträder det som anges om uppdragsavtal i någon av 4 kap. 4–6 §§ eller 7 § första stycket,

6.påbörjar förvaltning och marknadsföring av en värdepappersfond utan att fondbestämmelserna godkänts enligt 4 kap. 9 §,

7.vid upprepade tillfällen låter bli att upprätta eller tillhandahålla informa- tionsbroschyr, faktablad, årsberättelse och halvårsberättelse i enlighet med 4 kap. 15–21 §§,

8.vid upprepade tillfällen placerar medel i en värdepappersfond i strid med det som anges i någon av 5 kap. 1, 3–22, 24 eller 25 §§ eller i föreskrifter som har meddelats med stöd av 13 kap. 1 § 21, 22, 24 och 25 avseende dessa bestämmelser,

9.inte uppfyller kraven på hantering av risker i 5 kap. 2 § första eller andra stycket eller i föreskrifter som har meddelats med stöd av 13 kap. 1 § 23 avseende dessa bestämmelser,

10.i strid med 11 kap. 5 § första stycket låter bli att till Finansinspektionen anmäla sådana förvärv och avyttringar som avses där,

194

11. i strid med 11 kap. 5 § tredje stycket låter bli att till Finansinspektionen Prop. 2024/25:44 anmäla namnen på de ägare som har ett kvalificerat innehav av aktier i bolaget

samt storleken på innehavet,

12.har befunnits ansvarigt för en allvarlig, upprepad eller systematisk över- trädelse av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism eller föreskrifter som har meddelats med stöd av den lagen, eller

13.har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt första stycket får ske bara om bolagets överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen.

Ingripande får ske genom en eller båda av följande sanktioner:

2.beslut om sanktionsavgift.

Paragrafen innehåller bestämmelser om ingripande mot en företrädare för ett fondbolag. Övervägandena finns i avsnitt 10.3.

I första stycket 4 görs en följdändring med anledning av ändringen i

2 kap. 17 §.

Genom första stycket 13, som är ny, görs ett tillägg till följd av artikel 50.5 i DORA-förordningen. Finansinspektionen kan i och med tillägget ingripa mot en fysisk person som företräder ett fondbolag om bolaget har åsidosatt sina skyldigheter enligt de angivna bestämmelserna i DORA-förordningen. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Övriga ändringar i stycket är redaktionella.

I tredje stycket görs en språklig ändring.

I fjärde stycket görs en redaktionell och språklig ändring. Ingen ändring avses i sak.

13 kap.

1 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1.vilka åtgärder ett fondbolag ska vidta om det tar emot medel med redo- visningsskyldighet enligt 1 kap. 4 § eller 7 kap. 1 §,

2.hur ett förvaltningsbolag eller fondföretag ska tillhandahålla information om de uppgifter som avses i 1 kap. 6 c § första stycket och 8 § första stycket,

3.på vilket språk ett förvaltningsbolag eller fondföretag ska tillhandahålla funktionerna i 1 kap. 6 c § första stycket och 8 § första stycket,

4.på vilket språk ett fondföretag ska tillhandahålla information enligt 1 kap. 9 § första stycket 1 och 2 och 9 a § första stycket,

5.hur ett fondföretag ska offentliggöra avsikten att upphöra med marknads- föringen av andelar i företaget enligt 1 kap. 9 § första stycket 2,

195

Prop. 2024/25:44 6. hur medel för distanskommunikation får användas när ett fondföretag som har upphört med marknadsföring i Sverige av andelar i företaget ska tillhandahålla kvarvarande andelsägare här i landet information enligt 1 kap. 9 a § första stycket,

7.vilka poster som får räknas in i startkapitalet enligt 2 kap. 4 §,

8.vilka poster som får räknas in i egna medel enligt 2 kap. 8–10 §§,

9.på vilket språk underrättelsen enligt 2 kap. 15 c § första stycket ska skrivas,

10.hur fondbolaget ska offentliggöra handlingarna enligt 2 kap. 15 c § fjärde stycket,

11.vad ett fondbolag ska iaktta för att uppfylla skyldigheterna i 2 kap. 17 § första stycket 1 och 2 och tredje stycket, 17 c och 17 f §§,

12.vilka åtgärder ett fondbolag ska vidta för att uppfylla de krav som följer av 2 kap. 17 g §,

13.hur uppgifter enligt 2 kap. 20 § första stycket ska lämnas,

14.vilken information som ska lämnas i underrättelsen till andelsägare enligt 4 kap. 9 a § och på vilket sätt underrättelsen ska lämnas,

15.villkor som en andelsklass får vara förenad med enligt 4 kap. 10 § andra stycket 2 och under vilka förutsättningar en andelsklass får vara förenad med ett visst villkor,

16.utformningen och tillämpningen av metoder för justerat fondandelsvärde enligt 4 kap. 10 b § och vilka krav som ska uppfyllas när ett justerat fondandels- värde beräknas och används,

17.tillhandahållande av informationsbroschyr och faktablad enligt 4 kap. 20 §,

18.på vilket språk informationen enligt 4 kap. 20 § ska tillhandahållas,

19.hur volatiliteten i skillnaden mellan fondens avkastning och jämförelse- indexets avkastning enligt 4 kap. 26 § ska beräknas,

20.hur informationen enligt 4 kap. 28 § ska presenteras,

21.kriterier för de finansiella tillgångar som medel i en värdepappersfond får placeras i enligt 5 kap. 1 § andra stycket första meningen,

22.vilka tekniker och instrument ett fondbolag får använda enligt 5 kap. 1 § tredje stycket samt villkor och gränser för sådan användning,

23.det system för riskhantering ett fondbolag ska ha enligt 5 kap. 2 § första och andra styckena,

24.kriterier för indexfonder enligt 5 kap. 7 §,

25.beräkning av exponeringar enligt 5 kap. 13 och 14 §§,

26.på vilket sätt underrättelsen till andelsägarna enligt 5 a kap. 7 § ska lämnas,

27.vilka fel och försummelser som ska rapporteras enligt 5 a kap. 18 §,

28.förutsättningar för överföring av finansiella instrument och förvaltning enligt 5 a kap. 37 och 46 §§,

29.vilka åtgärder ett fondbolag ska vidta för att uppfylla de krav som följer av bestämmelserna i 7 kap. 3 §,

30.vad informationen enligt 8 kap. 8 § ska innehålla, hur den ska utformas, på vilket sätt den ska tillhandahållas och vad som ska bifogas informationen,

31.på vilket språk de handlingar som ska lämnas tillsammans med ansökan enligt 8 kap. 19 § ska upprättas,

32.vilka upplysningar fondbolag, förvaltningsbolag, fondföretag samt förvaringsinstitut ska lämna till Finansinspektionen enligt 10 kap. 2 § första stycket och när upplysningarna ska lämnas, och

33.sådana avgifter som avses i 10 kap. 11 §.

Paragrafen innehåller bemyndiganden. Övervägandena finns i avsnitt 18. I punkt 11 görs en ändring med anledning av ändringen i 2 kap. 17 §.

Bemyndigandet omfattar därmed inte rutinerna för ett fondbolags drift och förvaltning av sina nätverks- och informationssystem (se 2 kap. 17 § första stycket 3 och andra stycket och författningskommenteraren till den

paragrafen). I punkten görs även en redaktionell ändring.

196

22.7	Förslaget till lag om ändring i lagen (2004:297) Prop. 2024/25:44
	om bank och finansieringsrörelse

6 kap.

Nätverks- och informationssystem

2 a § Ett kreditinstituts nätverks- och informationssystem ska uppfylla kraven i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

I paragrafen, som är ny, finns bestämmelser om ett kreditinstituts nätverks- och informationssystem. Paragrafen genomför artikel 74.1 i kapital- täckningsdirektivet, i lydelsen enligt artikel 4.2 i ändringsdirektivet. Övervägandena finns i avsnitt 18.

I paragrafen förtydligas att ett kreditinstituts nätverks- och informations- system ska uppfylla de krav som anges i DORA-förordningen. I och med DORA-förordningen införs nya krav på finansiella entiteters risk- hantering. Finansiella entiteter ska, när det gäller digital operativ mot- ståndskraft, vidta de åtgärder som är nödvändiga för att de ska kunna bedriva sin verksamhet och tillhandahålla tjänster och därigenom garan- tera en smidigt fungerande inre marknad (skäl 3 i ändringsdirektivet). Ett kreditinstitut omfattas av DORA-förordningen och är även en finansiell entitet enligt förordningen (artikel 2.1 a och 2.2 i DORA-förordningen).

Bestämmelsen omfattar inte bara kreditinstitut. Även sådana värde- pappersbolag som avses i 1 kap. 2 § första stycket 7 c–g lagen (2014:968) om särskild tillsyn över kreditinstitut och värdepappersbolag omfattas. Således gäller kraven om nätverks- och informationssystem också för värdepappersbolag med tillstånd att som sidotjänst ta emot kunders medel på konto för att underlätta värdepappersrörelsen enligt 2 kap. 2 § första stycket 8 lagen (2007:528) om värdepappersmarknaden, svenska aktie- bolag som är ett sådant värdepappersföretag som avses i artikel 1.2 a eller b i värdepappersbolagsförordningen, värdepappersbolag för vilket ett beslut av Finansinspektionen enligt 3 a § gäller, svenska aktiebolag som är ett sådant värdepappersföretag som avses i artikel 1.5 i värdepappers- bolagsförordningen och svenska aktiebolag som är ett sådant värde- pappersföretag som avses i artikel 4.1.1 b i tillsynsförordningen (se 8 kap. 1 c § lagen om värdepappersmarknaden, se även prop. 2020/21:173 s. 134–142) .

2 c § En anställd hos ett kreditinstitut som har gjort en anmälan till Finans- inspektionen eller Europeiska värdepappers- och marknadsmyndigheten om miss- tänkta överträdelser av bestämmelser som gäller för verksamheten får inte göras ansvarig för att ha åsidosatt någon tystnadsplikt, om anmälaren hade anledning att anta att en överträdelse hade skett.

Detsamma gäller om en anställd har gjort en anmälan via det rapporterings- system som avses i 2 b §.

Paragrafen, som i hittillsvarande lydelse betecknas 2 b §, innehåller bestämmelser om ansvarsfrihet.

197

Prop. 2024/25:44 I andra stycket görs en följdändring med anledning av att hittillsvarande 2 a § byter beteckning till 2 b §.

10 kap.

1 § För bankaktiebolag gäller föreskrifterna för aktiebolag i allmänhet, om inte något annat följer av denna lag eller är särskilt föreskrivet. Hänvisningar i aktie- bolagslagen (2005:551) till bestämmelser i samma lag ska i de fall de förekommer avse de bestämmelser i denna lag som gäller i stället för eller utöver bestäm- melserna i aktiebolagslagen.

I fråga om bankaktiebolag ska det som anges om Bolagsverket i följande bestämmelser avse Finansinspektionen:

1.8 kap. 9 och 30 §§ samt 37 § andra stycket aktiebolagslagen,

2.23 kap. 45 b § aktiebolagslagen,

3.24 kap. 47 § aktiebolagslagen, och

4.24 a kap. 24 § aktiebolagslagen.

Av paragrafen framgår vilka associationsrättsliga regler som gäller för bankaktiebolag.

I andra stycket görs en redaktionell ändring då den hittillsvarande strecklistan ändras till en punktlista.

15 kap.

	1 a § Finansinspektionen ska ingripa mot någon som ingår i ett kreditinstituts
	styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om
	kreditinstitutet
	1. har fått tillstånd att driva bank- eller finansieringsrörelse genom att lämna
	falska uppgifter eller på annat otillbörligt sätt,
	2. i strid med 14 kap. 4 § första stycket låter bli att till Finansinspektionen
	anmäla sådana förvärv och avyttringar som avses där,
	3. i strid med 14 kap. 4 § tredje stycket låter bli att till Finansinspektionen
	anmäla namnen på de ägare som har ett kvalificerat innehav av aktier eller andelar
	i institutet samt storleken på innehaven,
	4. inte uppfyller kraven i 6 kap. 1, 2, 2 b–3 c, 4, 4 a, 4 c eller 5 § eller i före-
	skrifter som har meddelats med stöd av 16 kap. 1 § 5,
	5. låter bli att lämna information till Finansinspektionen eller lämnar ofull-
	ständig eller felaktig information om efterlevnaden av skyldigheten att uppfylla
	kapitalbaskraven enligt artikel 92 i tillsynsförordningen, i strid med artikel 430.1 i
	den förordningen,
	6. låter bli att rapportera eller lämnar ofullständig eller felaktig information till
	Finansinspektionen när det gäller data som avses i artikel 430a i tillsyns-
	förordningen,
	7. låter bli att lämna information till Finansinspektionen eller lämnar ofull-
	ständig eller felaktig information om en stor exponering i strid med artikel 394.1 i
	tillsynsförordningen,
	8. låter bli att lämna information till Finansinspektionen eller lämnar ofull-
	ständig eller felaktig information om likviditet i strid med artikel 415.1 och 415.2
	i tillsynsförordningen,
	9. låter bli att lämna uppgifter till Finansinspektionen eller lämnar ofullständig
	eller felaktig information om sin bruttosoliditet i strid med artikel 430.1 och 430.2
	i tillsynsförordningen,
	10. vid upprepade tillfällen eller systematiskt låter bli att hålla likvida tillgångar
198	i strid med artikel 412 i tillsynsförordningen,

11.utsätter sig för en exponering som överskrider gränserna enligt artikel 395 i tillsynsförordningen,

12.är exponerat för kreditrisken i en värdepapperiseringsposition utan att upp- fylla villkoren i artikel 405 i tillsynsförordningen,

13.låter bli att lämna information eller lämnar ofullständig eller felaktig information i strid med någon av artiklarna 431.1–431.3 och 451.1 i tillsyns- förordningen,

14.gör betalningar till innehavare av instrument som ingår i institutets kapitalbas i strid med 8 kap. 3 och 4 §§ lagen (2014:966) om kapitalbuffertar eller artikel 28, 51 eller 63 i tillsynsförordningen, när dessa artiklar förbjuder sådana betalningar till innehavare av instrument som ingår i kapitalbasen,

15.har befunnits ansvarigt för en allvarlig, upprepad eller systematisk över- trädelse av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism eller föreskrifter som har meddelats med stöd av den lagen,

16.har befunnits ansvarigt för en allvarlig, upprepad eller systematisk över- trädelse av Europaparlamentets och rådets förordning (EU) 2023/1113 av den 31 maj 2023 om uppgifter som ska åtfölja överföringar av medel och vissa kryptotillgångar och om upphävande av direktiv (EG) 2015/849,

17.har tillåtit en styrelseledamot, verkställande direktören eller ersättare för någon av dem att åta sig ett sådant uppdrag i institutet eller kvarstå i institutet trots

att kraven i 3 kap. 2 § första stycket 4 eller 5, 10 kap. 8 a–8 c §§ eller 12 kap. 6 a–6 c §§ eller i föreskrifter som har meddelats med stöd av 16 kap. 1 § 3 inte är uppfyllda,

18.i strid med 6 a kap. 1 eller 2 § låter bli att upprätta eller lämna in en åter- hämtningsplan eller en koncernåterhämtningsplan,

19.i strid med 6 b kap. 11 § låter bli att anmäla att koncerninternt finansiellt stöd ska lämnas,

20.i strid med 13 kap. 4 a och 5 a §§ låter bli att underrätta Finansinspektionen om institutet fallerar eller sannolikt kommer att fallera,

23.omfattas av tillståndsplikt enligt lagen (2003:1223) om utgivning av säkerställda obligationer och

a) har fått tillstånd att ge ut säkerställda obligationer genom att lämna falska uppgifter eller på något annat otillbörligt sätt,

b) driver verksamhet med säkerställda obligationer utan tillstånd,

c) ger ut säkerställda obligationer som inte uppfyller 3 kap. 1, 2, 3, 4, 5, 6, 7, 10, 11 eller 15 § eller 16 § andra stycket lagen om utgivning av säkerställda obligationer,

d) låter bli att lämna information eller lämnar ofullständig eller felaktig infor- mation i strid med 3 kap. 16 § första stycket lagen om utgivning av säkerställda obligationer, eller

e) vid upprepade tillfällen eller systematiskt låter bli att hålla likvida tillgångar i en sådan likviditetsbuffert som avses i 3 kap. 9 a § lagen om utgivning av säker- ställda obligationer,

24.låter bli att lämna uppgifter om sin verksamhet med säkerställda obligationer till Finansinspektionen eller lämnar ofullständiga eller felaktiga uppgifter i strid med 13 kap. 3 §, eller

25.har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27,

Prop. 2024/25:44

199

Prop. 2024/25:44 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt första stycket får ske bara om institutets överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande får ske genom en eller båda av följande sanktioner:

1.beslut att personen i fråga under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i ett kreditinstitut, eller ersättare för någon av dem, eller

2.beslut om sanktionsavgift.

Paragrafen innehåller bestämmelser om ingripande mot en företrädare för ett kreditinstitut. Övervägandena finns i avsnitt 10.3.

I första stycket 4 görs en följdändring med anledning av den nya 6 kap.

2a §. Vid åsidosättanden som rör ett kreditinstituts nätverks- och informa- tionssystem gäller nya punkt 25.

Genom första stycket 25, som är ny, görs ett tillägg till följd av artikel 50.5 i DORA-förordningen. Finansinspektionen kan i och med tillägget ingripa mot en fysisk person som företräder ett kreditinstitut om institutet har åsidosatt sina skyldigheter enligt de angivna bestämmelserna i DORA-förordningen. Hänvisningen till DORA-förordningen är utfor- mad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Övriga ändringar i stycket är redak- tionella.

I tredje stycket görs en språklig ändring. Ingen ändring avses i sak.

I fjärde stycket görs redaktionella och språkliga ändringar. Inga ändringar avses i sak.

16 kap.

1 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1.vilken information ett kreditinstitut ska lämna till sina kunder eller till dem som institutet erbjuder sina tjänster,

2.hur uppgifter enligt 1 kap. 11 § ska lämnas,

3.de krav som ska gälla för deltagande i ledningen av ett kreditinstitut enligt 3 kap. 2 § första stycket 4 och 5 och 14 kap. 2 § andra stycket 1,

4.vilka poster som får räknas in i startkapitalet enligt 3 kap. 5–7 §§,

5.vilka åtgärder ett kreditinstitut ska vidta för att uppfylla de krav på soliditet och likviditet, riskhantering, genomlysning, system för hantering av uppgifter om insättare och deras insättningar, amortering, sundhet, att inte bidra till finansiella obalanser på kreditmarknaden samt riktlinjer och instruktioner som avses i 6 kap. 1, 2 och 2 b–5 §§,

6.erkännande av utländska krav enligt 6 kap. 3 d §,

7.innehållet i en återhämtningsplan enligt 6 a kap. 1 § och en koncernåter- hämtningsplan enligt 6 a kap. 2 §, när planerna ska upprättas och hur ofta de ska uppdateras,

8.innehållet i en ansökan om godkännande av avtal gällande koncerninternt finansiellt stöd enligt 6 b kap. 3 § första stycket,

200

9.vad det beslut som styrelsen i det stödgivande företaget fattar enligt 6 b kap. Prop. 2024/25:44 8 § ska innehålla,

10.innehållet i en anmälan om givande av koncerninternt finansiellt stöd enligt

6 b kap. 11 §,

11.offentliggörandet av information enligt 6 b kap. 16 §,

12.vilka åtgärder ett kreditinstitut ska vidta för att uppfylla de krav på kredit- prövning, dokumentation och beslutsunderlag som avses i 8 kap. 1–4 §§ i fråga om

– krediter till andra än konsumenter, och

– sådana krediter till konsumenter som är bostadskrediter,

13.tillhandahållande av tjänster till en jävskrets som avses i 8 kap. 5 och 6 §§,

14.kreditinstituts mångfaldspolicy vid tillsättandet av styrelse samt resurser för introduktion och utbildning av styrelseledamöter,

15.vilka begränsningar som gäller när ett bankaktiebolag eller ett kredit- marknadsbolag tar emot egna aktier eller aktier i sitt moderbolag som pant enligt 10 kap. 12 §,

16.vilka upplysningar ett kreditinstitut och sådana utländska kreditinstitut som inrättat filial i Sverige ska lämna till Finansinspektionen för dess tillsyns- verksamhet,

17.vilka kreditinstitut som ska upprätta register som avses i 13 kap. 8 a §, vad registren ska innehålla och inom vilken tid kreditinstitutet ska ge in registren för olika typer av avtal, och

18.sådana avgifter för tillsyn, ansökningar, anmälningar och underrättelser som avses i 13 kap. 16 §.

Paragrafen innehåller bemyndiganden. Övervägandena finns i avsnitt 18. I punkt 5 görs en följdändring med anledning av den nya 6 kap. 2 a §.

Bemyndigandet omfattar därmed inte ett kreditinstituts nätverks- och informationssystem och kraven på dem (se 6 kap. 2 a § och författnings- kommenteraren till den paragrafen).

17 kap.

1 § Följande beslut av Finansinspektionen får inte överklagas:

1.beslut om sammankallande av styrelse eller stämma enligt 13 kap. 12 §,

2.beslut om sanktionsföreläggande enligt 15 kap. 9 a §,

3.beslut om föreläggande att den som driver rörelsen ska lämna de upp- lysningar om rörelsen som inspektionen behöver för att bedöma om lagen är tillämplig på rörelsen enligt 15 kap. 18 § tredje stycket,

4.beslut om begäran att den som är revisor i ett företag ska lämna sådana upplysningar om företagets rörelse enligt 15 kap. 18 § tredje stycket, eller

5.beslut om förordnande av sakkunnig enligt

–10 kap. 1 § andra stycket 2 denna lag och 23 kap. 45 b § aktiebolagslagen (2005:551),

–10 kap. 1 § andra stycket 3 denna lag och 24 kap. 47 § aktiebolagslagen, eller

–10 kap. 1 § andra stycket 4 denna lag och 24 a kap. 24 § aktiebolagslagen. Andra beslut av Finansinspektionen enligt denna lag får överklagas till allmän

förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Inspektionen får bestämma att ett beslut om förbud, föreläggande eller återkal- lelse ska gälla omedelbart.

Paragrafen innehåller bestämmelser om överklagande av Finansinspek-
tionens beslut. Övervägandena finns i avsnitt 19.1 och 19.2.
Första stycket ändras så att ett beslut om förordnande av sakkunnig i
ärenden om gränsöverskridande fusion, delning eller ombildning inte får	201
	201

Prop. 2024/25:44 överklagas. Finansinspektionen kan förordna en sakkunnig om det vid handläggningen uppkommer en fråga som kräver särskild fackkunskap (se t.ex. 23 kap. 45 b § aktiebolagslagen och 10 kap. 1 § denna lag). Sökanden ska ersätta inspektionen för kostnaden för den sakkunniga. Finans- inspektionens beslut om betalningsskyldighet kan överklagas enligt den allmänna överklagandebestämmelsen (andra stycket). Vid överklagande av ett sådant beslut kan, utöver det debiterade beloppets skälighet, även prövas huruvida det var motiverat att förordna en sakkunnig. I stycket görs även redaktionella och språkliga ändringar då det införs en punktlista. Motsvarande ändringar görs i 21 kap. 1 § försäkringsrörelselagen (2010:2043) och 17 kap. 1 § lagen (2019:742) om tjänstepensionsföretag (se de paragraferna och tillhörande författningskommentarer i avsnitt 23.10 och 23.14).

Det hittillsvarande andra stycket om att Finansinspektionens beslut om undantag från bosättningskravet för styrelseledamöter, verkställande direktörer och särskilda firmatecknare ska överklagas till regeringen utgår. I stället ska de allmänna bestämmelserna för överklaganden gälla, dvs. det nya andra stycket (hittillsvarande tredje stycket) och det nya tredje stycket (hittillsvarande fjärde stycket). Ett beslut i dessa frågor får således över- klagas till allmän förvaltningsdomstol och prövningstillstånd krävs vid överklagande till kammarrätten.

Andra–fjärde styckena överensstämmer med hittillsvarande tredje–femte styckena.

Ikraftträdande- och övergångsbestämmelser

1.Denna lag träder i kraft den 17 januari 2025.

2.Äldre föreskrifter gäller fortfarande för överklagande av följande beslut om beslutet har meddelats före den 17 januari 2025:

– beslut om undantag från bosättningskravet för styrelseledamöter enligt 10 kap.

1 § andra stycket 1 denna lag och 8 kap. 9 § aktiebolagslagen (2005:551),

–beslut om undantag från bosättningskravet för en verkställande direktör enligt 10 kap. 1 § andra stycket 1 denna lag och 8 kap. 30 § aktiebolagslagen, och

–beslut om undantag från bosättningskravet för en särskild firmatecknare enligt 10 kap. 1 § andra stycket 1 denna lag och 8 kap. 37 § andra stycket aktiebolags- lagen.

Övervägandena finns i avsnitt 20.

I punkt 1 anges när lagen träder i kraft.

Enligt punkt 2 gäller äldre föreskrifter för överklagande av vissa beslut som meddelats före ikraftträdandet. Finansinspektionens beslut om undantag från bosättningskraven för styrelseledamöter, verkställande direktör och särskild firmatecknare får därmed fortsatt överklagas till regeringen om inspektionen har meddelat beslutet före ikraftträdandet.

202

22.8	Förslaget till lag om ändring i lagen (2007:528) Prop. 2024/25:44
	om värdepappersmarknaden

8 kap.

10 § Ett värdepappersinstitut ska ha tillräckliga system, resurser och rutiner för att institutet ska kunna tillhandahålla investeringstjänster och utföra investerings- verksamhet kontinuerligt och regelbundet.

Informations- och kommunikationstekniksystem ska uppfylla kraven i Europa- parlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förord- ningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Ett värdepappersinstitut ska ha sunda skyddsmekanismer för att, i enlighet med kraven i Europaparlamentets och rådets förordning (EU) 2022/2554, säkerställa skyddet och autentiseringen vid informationsöverföring och för att minimera risken för dataförvanskning och obehörig åtkomst till informationen.

Paragrafen innehåller bl.a. bestämmelser om ett värdepappersinstituts skyddssystem. Genom ändringarna genomförs artikel 16.4 och delvis artikel 16.5 i MiFID II, i lydelsen enligt artikel 6.1 a och b i ändrings- direktivet. Övervägandena finns i avsnitt 18.

I det nya andra stycket förtydligas att ett värdepappersinstituts informa- tions- och kommunikationstekniksystem (s.k. IKT-system) ska uppfylla de krav som anges i DORA-förordningen. I och med DORA-förordningen införs nya krav på finansiella entiteters riskhantering. Finansiella entiteter ska, när det gäller digital operativ motståndskraft, vidta de åtgärder som är nödvändiga för att de ska kunna bedriva sin verksamhet och tillhandahålla tjänster och därigenom garantera en smidigt fungerande inre marknad (skäl 3 i ändringsdirektivet). Ett värdepappersinstitut omfattas av DORA- förordningen och är även en finansiell entitet enligt förordningen (artikel 2.1 e och 2.2 i DORA-förordningen).

I det nya tredje stycket, hittillsvarande andra stycket, förtydligas att ett värdepappersinstitut för att uppfylla det särskilda kravet om skydd för viss information, också ska uppfylla kraven enligt DORA-förordningen. Också i detta fall anges de närmare kraven i DORA-förordningen.

11 § Ett värdepappersinstitut ska

1. tillämpa sunda rutiner för

a)förvaltning av verksamheten, och

b)redovisning,

2.ha rutiner för intern kontroll, och

3.ha effektiva metoder för riskbedömning.

Paragrafen innehåller bl.a. bestämmelser om ett värdepappersinstituts rutiner för verksamheten. Genom ändringen genomförs delvis artikel 16.5 i MiFID II, i lydelsen enligt artikel 6.1 b i ändringsdirektivet. Över- vägandena finns i avsnitt 18.

Hittillsvarande punkt 4, med krav om att ett värdepappersinstitut ska ha effektiv drift och förvaltning av sina informationssystem, utgår då mot- svarande och mer detaljerade krav gäller enligt DORA-förordningen. I

paragrafen görs också en språklig ändring. Ingen ändring avses i sak.

203

Prop. 2024/25:44 23 § Ett värdepappersinstitut som bedriver algoritmisk handel ska ha effektiva system och riskkontroller som är anpassade för den verksamheten. Systemen och kontrollerna ska säkerställa att institutets handelssystem är motståndskraftiga och har tillräcklig kapacitet i enlighet med kraven i kapitel II i Europaparlamentets och rådets förordning (EU) 2022/2554, att de omfattas av lämpliga handelströsklar och handelslimiter och att de förhindrar att felaktiga order skickas eller att systemet på annat sätt fungerar så att det kan skapa eller bidra till en oordnad marknad.

Värdepappersinstitutet ska också ha effektiva system och åtgärder för risk- kontroll för att säkerställa att handelssystemen inte kan användas för något ändamål som strider mot marknadsmissbruksförordningen eller mot reglerna på en handelsplats till vilken institutet är anslutet.

Värdepappersinstitutet ska ha inrättat effektiva arrangemang för kontinuerlig drift av verksamheten för att hantera driftavbrott i sina handelssystem, inbegripet en IKT-kontinuitetspolicy och IKT-kontinuitetsplaner samt IKT-relaterade åtgärds- och återställningsplaner för informations- och kommunikationsteknik som inrättas i enlighet med artikel 11 i Europaparlamentets och rådets förordning (EU) 2022/2554. Institutet ska se till att systemen är fullt testade och lämpligt över- vakade för att säkerställa att de uppfyller kraven i första och andra styckena och kraven i kapitlen II och IV i samma förordning.

I paragrafen finns bestämmelser om allmänna krav för algoritmisk handel. Genom ändringarna genomförs artikel 17.1 i MiFID II, i lydelsen enligt artikel 6.2 a i ändringsdirektivet. Övervägandena finns i avsnitt 18.

I första stycket förtydligas att ett värdepappersinstituts handelssystem ska uppfylla de krav på IKT-riskhantering som anges i DORA- förordningen.

I tredje stycket förtydligas att ett värdepappersinstituts arrangemang för kontinuerlig drift av verksamheten ska uppfylla kraven i DORA-förord- ningen. Detta gäller krav på IKT-kontinuitetspolicy och IKT-kontinui- tetsplaner samt IKT-relaterade åtgärds- och återställningsplaner för infor- mations- och kommunikationsteknik. Även i detta fall anges de närmare kraven i DORA-förordningen. Det förtydligas även att ett institut ska se till att handelssystemen är fullt testade och lämpligt övervakade för att säkerställa att de uppfyller kraven i dels första och andra styckena, dels DORA-förordningen. I stycket görs även en redaktionell ändring.

35 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1.vilka åtgärder ett värdepappersbolag ska vidta för att uppfylla de krav på soliditet och likviditet, riskhantering, ersättningssystem och genomlysning samt riktlinjer och instruktioner som avses i 3–8 §§,

2.värdepappersbolags mångfaldspolicy vid tillsättandet av styrelse samt resurser för introduktion och utbildning av styrelseledamöter,

3.de riktlinjer, regler och rutiner ett värdepappersinstitut ska upprätta och tillämpa enligt 9 §,

4.vad ett värdepappersinstitut ska iaktta för att uppfylla skyldigheterna i 11 §,

5.de processer för produktgodkännande och översyn ett värdepappersinstitut ska ha enligt 13 §,

6.den information ett värdepappersinstitut ska lämna enligt 14 § första stycket,

204

7. de arrangemang ett värdepappersinstitut ska ha för att få information och för Prop. 2024/25:44 att förstå egenskaperna hos finansiella instrument och den fastställda målgruppen

för instrumenten enligt 14 § andra stycket,

8.de arrangemang ett värdepappersinstitut som distribuerar finansiella instrument ska ha för urvalet av finansiella instrument och tjänster som erbjuds eller rekommenderas till kunder,

9.kraven för bedömning av kunskap och kompetens enligt 15 §,

10.dokumentation enligt 16 § och hur lång tid dokumentation ska sparas enligt 20 §, och

11.övervakning av handeln och kursbildningen enligt 21 §.

Paragrafen innehåller bemyndiganden. Övervägandena finns i avsnitt 18. Hittillsvarande punkt 4 utgår med anledning av ändringen i 10 §. Punkterna 4–11, hittillsvarande punkterna 5–12, får ny numrering till

följd av att hittillsvarande punkt 4 utgår.

13 kap.

1 § En börs ska driva sin verksamhet hederligt, rättvist och professionellt och på ett sätt så att allmänhetens förtroende för värdepappersmarknaden upprätthålls.

När börsen driver en reglerad marknad, ska den tillämpa principerna om

1.fritt tillträde, som innebär att var och en som uppfyller de krav som ställs i denna lag och av börsen får delta i handeln,

2.neutralitet, som innebär att börsens regler för den reglerade marknaden tillämpas på ett likformigt sätt gentemot alla som deltar i handeln, och

3.god genomlysning, som innebär att deltagarna får en snabb, samtidig och korrekt information om handeln och att allmänheten får tillfälle att ta del av sådan information.

En börs ska också

1.identifiera och hantera de risker, inbegripet IKT-risker i enlighet med kapitel II i Europaparlamentets och rådets förordning (EU) 2022/2554, som kan uppstå i verksamheten, och

2.identifiera och hantera de intressekonflikter som kan uppstå mellan börsens eller dess ägares intressen och intresset av att en reglerad marknad drivs i enlighet med första och andra styckena.

En börs får inte i sitt regelverk ställa oskäliga krav på emittenter och deltagare vid en reglerad marknad. Vad som utgör ett oskäligt krav ska bedömas med hänsyn till dess ändamål, EU-rätten och övriga omständigheter.

Paragrafen innehåller bestämmelser med allmänna krav på en börs verksamhet. Genom ändringarna genomförs artikel 47.1 b och c i MiFID II, i lydelsen enligt artikel 6.3 a och b i ändringsdirektivet. Övervägandena finns i avsnitt 18.

I tredje stycket 1 förtydligas att en börs ska identifiera och hantera IKT- risker i enlighet med de krav som anges i DORA-förordningen. I och med DORA-förordningen införs nya krav på finansiella entiteters risk- hantering. Finansiella entiteter ska, när det gäller digital operativ mot- ståndskraft, vidta de åtgärder som är nödvändiga för att de ska kunna bedriva sin verksamhet och tillhandahålla tjänster och därigenom garan- tera en smidigt fungerande inre marknad (skäl 3 i ändringsdirektivet). En börs omfattas av DORA-förordningen och är även en finansiell entitet enligt förordningen (artikel 2.1 i och 2.2 i DORA-förordningen).

205

Prop. 2024/25:44 Hittillsvarande tredje stycket 2, med krav om att en börs ska ha säkra tekniska system, utgår då motsvarande och mer detaljerade krav gäller enligt DORA-förordningen. Nya tredje stycket 2, med krav om intresse- konflikter, överensstämmer med hittillsvarande tredje stycket 3.

I fjärde stycket görs en språklig ändring. Ingen ändring avses i sak.

1 a § En börs ska inrätta och upprätthålla en operativ motståndskraft i enlighet med kraven i kapitel II i Europaparlamentets och rådets förordning (EU) 2022/2554 för att säkerställa att handelssystemen

1.är motståndskraftiga,

2.har tillräcklig kapacitet för att kunna hantera svåra påfrestningar på mark- naden i fråga om order- och meddelandevolymer,

3.kan upprätthålla ordnad handel vid förhållanden med påfrestningar på mark- naden,

4.är fullständigt testade, och

5.garanterar kontinuitet i verksamheten vid eventuella driftavbrott i handels- systemet, inbegripet en IKT-kontinuitetspolicy och IKT-kontinuitetsplaner samt IKT-relaterade åtgärds- och återställningsplaner i enlighet med artikel 11 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Paragrafen innehåller bestämmelser med krav på en börs handelssystem. Genom ändringarna genomförs artikel 48.1 i MiFID II, i lydelsen enligt artikel 6.4 a i ändringsdirektivet. Övervägandena finns i avsnitt 18.

I paragrafen förtydligas att en börs ska inrätta och upprätthålla en operativ motståndskraft för handelssystemen i enlighet med kraven på IKT-riskhantering i DORA-förordningen. Vidare förtydligas i punkt 5 att en börs ska ha en IKT-kontinuitetspolicy och IKT-kontinuitetsplaner samt IKT-relaterade åtgärds- och återställningsplaner i enlighet med de krav som anges i DORA-förordningen.

1 d § En börs ska inrätta effektiva system, förfaranden och arrangemang för att säkerställa att deltagare som använder algoritmiska handelssystem på en reglerad marknad som börsen driver inte kan skapa eller bidra till otillbörliga marknads- förhållanden på marknaden och för att kunna hantera eventuella otillbörliga mark- nadsförhållanden som kan uppstå till följd av användningen av sådana algoritmiska handelssystem.

I de förfaranden som avses i första stycket ska det ingå

1.krav på deltagarna att utföra lämpliga tester av algoritmer och att tillhanda- hålla miljöer för att underlätta sådana tester, i enlighet med kraven i kapitlen II och IV i Europaparlamentets och rådets förordning (EU) 2022/2554,

2.system för att begränsa andelen inte utförda order i förhållande till transak- tionerna som kan läggas in i systemet av en deltagare,

3.system för att det ska vara möjligt att bromsa orderflödet om det finns en risk för att taket för systemkapaciteten uppnås, och

4.system för att begränsa och upprätthålla den minsta prisändring som får tillämpas på den reglerade marknaden.

Paragrafen innehåller bestämmelser för en börs algoritmiska handels- system. Genom ändringen genomförs artikel 48.6 i MiFID II, i lydelsen enligt artikel 6.4 b i ändringsdirektivet. Övervägandena finns i avsnitt 18.

I andra stycket anges krav på de förfaranden som en börs ska inrätta för att inte deltagare som använder algoritmiska handelssystem ska kunna skapa eller bidra till otillbörliga marknadsförhållanden på marknaden och

206

för att börsen ska kunna hantera eventuella otillbörliga marknads- Prop. 2024/25:44 förhållanden som kan uppstå till följd av användningen av algoritmiska handelssystem. Genom ändringen i andra stycket 1 förtydligas att kraven

om att deltagarna ska utföra lämpliga tester av algoritmer och tillhanda- hålla miljöer för att underlätta att sådana tester omfattar kraven inom dessa områden enligt DORA-förordningen.

25 kap.

1 a § Finansinspektionen ska ingripa mot någon som ingår i ett svenskt värde- pappersinstituts styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om värdepappersinstitutet har åsidosatt sina skyldigheter enligt

1.5 kap. 1, 3, 6 eller 7 §,

2.6 kap. 1, 4 eller 6 §,

3.någon av 8 kap. 8 e eller 9–34 §§eller föreskrifter som meddelats med stöd av någon av bestämmelserna i 8 kap. 35 § 3–11,

4.någon av 9 kap. 1 §, 8 § tredje stycket, 9–12, 14–17 a, 19 a–41 eller 43 §§ eller föreskrifter som meddelats med stöd av någon av bestämmelserna i 9 kap. 50 § 1, 3–9 eller 11,

5.någon av 11 kap. 1 §, 1 a § andra stycket, 1 b–4 a eller 12 §§ eller driver en tillväxtmarknad för små och medelstora företag trots att kraven i 13 § inte är uppfyllda,

6.någon av 13 kap. 1 a–1 j, 6 a eller 9 §§,

7.någon av 15 a kap. 7, 8 eller 10–14 §§,

8.22 kap. 2 § andra stycket, 5 eller 6 § eller inte har följt ett beslut som med- delats av Finansinspektionen enligt 22 kap. 1 §, 2 § första stycket eller 3 §,

9.23 kap. 2 § första stycket eller föreskrifter som meddelats med stöd av 23 kap. 15 § 1, eller inte har följt en begäran, ett föreläggande eller ett beslut som med- delats av Finansinspektionen enligt 23 kap. 2 § tredje stycket, 3 § första stycket, 3 a eller 3 b § eller har motsatt sig en undersökning enligt 23 kap. 4 §, eller

10.någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Paragrafen innehåller bestämmelser om ingripande mot en företrädare för ett värdepappersinstitut. Övervägandena finns i avsnitt 10.3.

I punkt 3 görs en följdändring med anledning av att i 8 kap. 35 § får hittillsvarande punkterna 5–12 ny numrering och blir punkterna 4–11.

Genom punkt 10, som är ny, görs ett tillägg till följd av artikel 50.5 i DORA-förordningen. Finansinspektionen kan i och med tillägget ingripa mot en fysisk person som företräder ett värdepappersinstitut om institutet har åsidosatt sina skyldigheter enligt de angivna bestämmelserna i DORA- förordningen. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning.

Övriga ändringar är redaktionella.

1 e § Finansinspektionen ska ingripa mot någon som ingår i en börs styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om börsen

207

Prop. 2024/25:44 1. har fått sitt tillstånd genom att lämna falska uppgifter eller på annat otillbörligt sätt,

3.har åsidosatt sina skyldigheter enligt

a)8 kap. 21 § eller föreskrifter som meddelats med stöd av 8 kap. 35 § 11,

b)någon av 11 kap. 1 §, 1 a § andra stycket, 1 b–4 a eller 12 §§ eller driver en tillväxtmarknad för små och medelstora företag trots att kraven i 13 § inte är upp- fyllda,

c)12 kap. 6 e, 7 eller 10 § eller föreskrifter som meddelats med stöd av någon av bestämmelserna i 12 kap. 11 § 2–4,

d)någon av 13 kap. 1–2, 6–7 a eller 9 §§ eller 12 § femte stycket eller före- skrifter som meddelats med stöd av 13 kap. 17 § 1,

e)14 kap. 1, 2 eller 3 §,

f)15 kap. 1, 2, 5, 9 eller 10 §,

g)någon av 15 a kap. 7, 8 eller 10–12 §§,

h)22 kap. 2 § andra stycket, 5 eller 6 § eller inte har följt ett beslut som med- delats av Finansinspektionen enligt 22 kap. 1 eller 3 §, eller

i)23 kap. 2 § första stycket eller föreskrifter som meddelats med stöd av 23 kap. 15 § 1, eller inte har följt en begäran, ett föreläggande eller ett beslut som med- delats av Finansinspektionen enligt 23 kap. 2 § andra stycket, 3 § första stycket eller 3 b § eller har motsatt sig en undersökning enligt 23 kap. 4 §,

4. i strid med 24 kap. 5 § första stycket låter bli att till Finansinspektionen anmäla sådana förvärv och avyttringar som avses där,

5. i strid med 24 kap. 5 § tredje stycket låter bli att till Finansinspektionen anmäla namnen på de ägare som har ett kvalificerat innehav av aktier eller andelar

i företaget samt storleken på innehaven, eller

6.har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

ifråga om dessa aktier eller andelar.

Paragrafen innehåller bestämmelser om ingripande mot en företrädare för en börs. Övervägandena finns i avsnitt 10.3.

I första stycket 3 a görs det en följdändring med anledning av att i 8 kap. 35 § får hittillsvarande punkterna 5–12 ny numrering och blir punkter- na 4–11.

Genom punkt 6, som är ny, görs ett tillägg till följd av artikel 50.5 i DORA-förordningen. Finansinspektionen kan i och med tillägget ingripa mot en fysisk person som företräder en börs om börsen har åsidosatt sina skyldigheter enligt de angivna bestämmelserna i DORA-förordningen. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning.

Övriga ändringar är redaktionella.

208

1 i § Finansinspektionen ska ingripa mot någon som ingår i en central motparts Prop. 2024/25:44 styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om

den centrala motparten har åsidosatt sina skyldigheter enligt förordningen om återhämtning och resolution av centrala motparter genom att inte

1.utarbeta, upprätthålla och uppdatera en återhämtningsplan (artikel 9),

2.tillhandahålla nödvändiga uppgifter för att utarbeta resolutionsplan (artikel 13), eller

3.underrätta Finansinspektionen om att den centrala motparten fallerar eller sannolikt kommer att fallera (artikel 70.1).

Finansinspektionen ska även ingripa mot en sådan fysisk person som avses i första stycket om den centrala motparten har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europa- parlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Ingripande får ske genom en eller båda av följande sanktioner:

1.beslut att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i en central motpart, eller ersättare för någon av dem, eller

2.beslut om sanktionsavgift.

Ett ingripande enligt första eller andra stycket får ske bara om den centrala mot- partens överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Paragrafen innehåller bestämmelser om ingripande mot en företrädare för en central motpart. Övervägandena finns i avsnitt 10.3.

Genom andra stycket, som är nytt, görs ett tillägg till följd av artikel 50.5 i DORA-förordningen. Finansinspektionen kan i och med tillägget ingripa mot en fysisk person som företräder en central motpart om motparten har åsidosatt sina skyldigheter enligt de angivna bestämmelserna i DORA- förordningen. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning.

I tredje stycket, hittillsvarande andra stycket, görs språkliga ändringar. Inga ändringar avses i sak.

I fjärde stycket, hittillsvarande tredje stycket, görs en följdändring med anledningen av att det införs ett nytt andra stycke i paragrafen.

1 j § Finansinspektionen ska ingripa mot någon som ingår i en leverantör av datarapporteringstjänsters styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om leverantören har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europa- parlamentets och rådets förordning (EU) 2022/2554.

Ingripande sker genom en eller båda av följande sanktioner:

1.beslut att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i en leverantör av datarapporteringstjänster, eller ersättare för någon av dem, eller

2.beslut om sanktionsavgift.

Ett ingripande får ske bara om Finansinspektionen har tillsyn över leverantören av datarapporteringstjänster och om leverantörens överträdelse är allvarlig och

209

Prop. 2024/25:44 den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen.

Paragrafen, som är ny, innehåller bestämmelser om ingripande mot en företrädare för en leverantör av datarapporteringstjänster. Paragrafen införs till följd av artikel 50.5 i DORA-förordningen och är utformad efter förebild av 1 b § och 1 c § andra stycket. Övervägandena finns i avsnitt 10.3.

Genom bestämmelsen införs en möjlighet för Finansinspektionen att ingripa mot en företrädare för en leverantör av datarapporteringstjänster vid en sådan leverantörs överträdelse av DORA-förordningen.

Iförsta stycket anges de bestämmelser i DORA-förordningen som vid en överträdelse kan leda till ett ingripande från Finansinspektionen. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Finansinspektionen ska ingripa mot företrädare som ingår i styrelsen för en leverantör av datarapporteringstjänster, är dess verkstäl- lande direktör, eller ersättare för någon av dem.

I andra stycket anges hur Finansinspektionen får ingripa. Ett ingripande får ske genom ett beslut om att den fysiska personen i fråga under en viss tid inte får vara styrelseledamot eller verkställande direktör i leverantör av datarapporteringstjänster eller ersättare för någon av dem. Denna tid ska vara lägst tre år och högst tio år. Ett ingripande kan även ske genom ett beslut om sanktionsavgift. Dessa ingripandeåtgärder kan också kombi- neras. Bestämmelser om omständigheter som ska beaktas vid valet av ingripande finns i 2 och 2 a §§. Bestämmelser om sanktionsavgift finns i 9 a och 10 §§.

Genom tredje stycket begränsas Finansinspektionens möjlighet att ingripa mot en företrädare för en leverantör av datarapporteringstjänster. Finansinspektionen får bara ingripa om inspektionen har tillsyn över leverantören. Bestämmelser om Finansinspektionens tillsyn och dess omfattning finns i 23 kap. 1 §. Av den paragrafen framgår att Finans- inspektionens tillsyn över leverantörer av datarapporteringstjänster bara omfattar sådana svenska APA-leverantörer och ARM-leverantörer för vilka inspektionen i egenskap av behörig myndighet ansvarar för tillståndsgivning och tillsyn enligt Europaparlamentets och rådets förordning (EU) nr 600/2014 av den 15 maj 2014 om marknader för finansiella instrument och om ändring av förordning (EU) nr 648/2012 (se även prop. 2020/21:24 s. 40–41). Av 10 a § följer att frågor om ingripanden enligt denna paragraf tas upp av Finansinspektionen genom sanktionsföreläggande. För att ett ingripande ska kunna komma i fråga krävs även dels att leverantören av datarapporteringstjänsters överträdelse är allvarlig, dels att den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen. Detta motsvarar det som gäller enligt t.ex. 1 c § första stycket och 1 g § första stycket denna lag och 4 kap. 9 § lagen med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn (se även författnings- kommentaren till 4 kap. 9 § lagen med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn och prop. 2014/15:57 s. 40–43 och prop. 2016/17:162 s. 540–542

210

10 a § Frågor om ingripanden mot fysiska personer för överträdelser enligt någon Prop. 2024/25:44 av 1 a, 1 b, 1 d–1 f, 1 i, 1 j, 15 a eller 15 b §§ tas upp av Finansinspektionen genom

sanktionsföreläggande.

Ett sanktionsföreläggande innebär att den fysiska personen föreläggs att inom en viss tid godkänna ett ingripande enligt 1 c § andra stycket, 1 d § fjärde stycket, 1 i § tredje stycket eller 1 j § andra stycket som är bestämt till tid eller belopp eller enligt 1 g § andra stycket eller 15 c § andra stycket som är bestämt till belopp.

När föreläggandet har godkänts, gäller det som ett domstolsavgörande som fått laga kraft. Ett godkännande som görs efter den tid som angetts i föreläggandet är utan verkan.

Paragrafen innehåller bestämmelser om hur Finansinspektionen ska ingripa mot företrädare för bl.a. ett svenskt värdepappersinstitut. Över- vägandena finns i avsnitt 10.3.

I första stycket görs ett tillägg för den nya bestämmelsen om ingripande mot en företrädare för en leverantör av datarapporteringstjänster (se 1 j § och författningskommentaren till den paragrafen). Ett ingripande mot en sådan företrädare, t.ex. en styrelseledamot, ska därmed ske genom ett sanktionsföreläggande. Detta överensstämmer med det som gäller för ingripanden mot företrädare för andra finansiella entiteter, t.ex. ett svenskt värdepappersinstitut, vid överträdelser av DORA-förordningen. I stycket görs även en följdändring med anledning av ändringarna i 1 i §.

Även i andra stycket görs ett tillägg för den nya bestämmelsen om ingripande mot en företrädare för en leverantör av datarapporterings- tjänster (1 j §). Ett sanktionsföreläggande ska även vid överträdelser av DORA-förordningen innebära att företrädaren föreläggs att inom en viss tid godkänna ett ingripande som är bestämt till tid eller belopp. Också detta överensstämmer med det som gäller för ingripanden mot företrädare för andra finansiella entiteter, t.ex. ett svenskt värdepappersinstitut, vid över- trädelser av DORA-förordningen. I stycket görs, liksom i första stycket, en följdändring med anledning av ändringarna i 1 i §.

15 a Finansinspektionen ska ingripa mot den eller de personer som har ansvaret för ledningen av en filial till ett sådant företag som anges i 15 §, om företaget

1.har fått sitt tillstånd genom att lämna falska uppgifter eller på annat otillbörligt

sätt,

2.har tillåtit en person som har ansvaret för ledningen av filialen att åta sig ett sådant uppdrag i filialen eller att kvarstå i detta trots att kraven i 4 kap. 4 § 5 eller

iföreskrifter som meddelats med stöd av 3 kap. 12 § 2 inte är uppfyllda, eller

3.har åsidosatt sina skyldigheter enligt

a)någon av 8 kap. 9–20 eller 21–34 §§ eller föreskrifter som meddelats med stöd av någon av bestämmelserna i 8 kap. 35 § 3–11,

b)någon av 9 kap. 1 §, 8 § tredje stycket, 9–12, 14–17 a, 19 a–30, 31–41 eller

43§§ eller föreskrifter som meddelats med stöd av någon av bestämmelserna i

9kap. 50 § 1, 3–9 eller 11,

c)någon av 11 kap. 1 §, 1 a § andra stycket, 1 b–4 eller 12 §§ eller driver en tillväxtmarknad för små och medelstora företag trots att kraven i 13 § inte är uppfyllda,

d)någon av 13 kap. 1 a–1 j, 6 a eller 9 §§,

e)22 kap. 2 § andra stycket, 5 eller 6 § eller inte har följt ett beslut som meddelats av Finansinspektionen enligt 22 kap. 1 §, 2 § första stycket eller 3 §, eller

f)23 kap. 2 § första stycket eller föreskrifter som meddelats med stöd av 23 kap.

15 § 1, eller inte har följt en begäran, ett föreläggande eller ett beslut som

211

Prop. 2024/25:44 meddelats av Finansinspektionen enligt 23 kap. 2 § tredje stycket, 3 § första stycket, 3 a eller 3 b § eller har motsatt sig en undersökning enligt 23 kap. 4 §.

Paragrafen innehåller bestämmelser om hur Finansinspektionen ska ingripa mot företrädare för ett utländskt företag som hör hemma utanför EES och som driver värdepappersrörelse från filial i Sverige.

I punkt 3 a görs en görs en följdändring med anledning av att i 8 kap. 35 § får hittillsvarande punkterna 5–12 ny numrering och blir punkter- na 4–11.

	22.9	Förslaget till lag om ändring i lagen (2010:751)
		om betaltjänster
	5 b kap.
	1 § En betaltjänstleverantör ska ha ett system med lämpliga åtgärder och kontroll-
	mekanismer för att hantera operativa risker och säkerhetsrisker som är förknippade
	med de betaltjänster som den tillhandahåller. Inom ramen för detta system ska
	betaltjänstleverantören reglera hur incidenter ska hanteras.
	För betaltjänstleverantörer som omfattas av Europaparlamentets och rådets
	förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ mot-
	ståndskraft för finanssektorn och om ändring av förordningarna (EG) nr
	1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU)
	2016/1011 gäller även kapitel II i den förordningen.
	Paragrafen innehåller bestämmelser om en betaltjänstleverantörs system
	för hantering av operativa risker och säkerhetsrisker. Genom ändringen
	genomförs artikel 95.1 i betaltjänstdirektivet, i lydelsen enligt artikel 7.4 i
	ändringsdirektivet. Övervägandena finns i avsnitt 18.
	I det nya andra stycket förtydligas att en betaltjänstleverantör som
	omfattas av DORA-förordningen, dvs. ett kreditinstitut, ett betalnings-
	institut, en leverantör av kontoinformationstjänster eller ett institut för
	elektroniska pengar, även ska uppfylla de krav på hantering av IKT-risker
	som anges i förordningen. Genom DORA-förordningen införs nya krav på
	finansiella entiteters riskhantering. Finansiella entiteter ska, när det gäller
	digital operativ motståndskraft, vidta de åtgärder som är nödvändiga för
	att de ska kunna bedriva sin verksamhet och tillhandahålla tjänster och
	därigenom garantera en smidigt fungerande inre marknad (skäl 3 i
	ändringsdirektivet). De betaltjänstleverantörer som omfattas av DORA-
	förordningen är även finansiella entiteter enligt förordningen (artikel 2.1 a,
	b och d och 2.2 i DORA-förordningen).
	3 § En betaltjänstleverantör ska så snart det kan ske underrätta Finansinspektionen
	om en allvarlig operativ incident eller säkerhetsincident som uppkommit i verk-
	samheten. Finansinspektionen ska så snart det kan ske informera Riksbanken,
	andra berörda svenska myndigheter, Europeiska bankmyndigheten och Europeiska
	centralbanken.
	Om incidenten påverkar eller kan påverka betaltjänstanvändarnas ekonomiska
	intressen, ska betaltjänstleverantören så snart det kan ske informera användarna
	om incidenten och om de åtgärder som kan vidtas för att begränsa risken för skada.
212	Första och andra styckena gäller inte för betaltjänstleverantörer som omfattas
	av bestämmelserna i Europaparlamentets och rådets förordning (EU) 2022/2554.

Paragrafen innehåller bl.a. bestämmelser om att en betaltjänstleverantör i Prop. 2024/25:44 vissa fall ska underrätta Finansinspektionen och informera betaltjänst-

användare om operativa incidenter eller säkerhetsincidenter. Genom ändringen genomförs artikel 96.7 i betaltjänstdirektivet, i lydelsen enligt artikel 7.5 i ändringsdirektivet. Övervägandena finns i avsnitt 18.

I det nya tredje stycket förtydligas att bestämmelserna om underrättelser till Finansinspektionen och information till betaltjänstanvändare (första och andra styckena) inte ska gälla för betaltjänstleverantörer som omfattas av DORA-förordningen, t.ex. kreditinstitut (se författningskommentaren till 1 § för vilka betaltjänstleverantörer som omfattas av DORA-förord- ningen). För sådana betaltjänstleverantörer gäller i stället motsvarande bestämmelser om underrättelser och information i DORA-förordningen (se t.ex. artikel 19). Första och andra styckena kommer i och med ändringen i första hand att gälla för de statliga och kommunala myndig- heter och postgiroinstitut som är att anse som betaltjänstleverantörer.

6 § Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1.hur ett system enligt 1 § första stycket ska utformas,

2.vilka upplysningar en betaltjänstleverantör ska lämna enligt 2 § samt hur och när uppgifterna ska lämnas,

3.vad som utgör en allvarlig operativ incident eller säkerhetsincident enligt 3 § första stycket,

4.hur bedömningen av om en incident påverkar eller kan påverka betaltjänstanvändarnas ekonomiska intressen enligt 3 § andra stycket ska göras, och

5.hur betaltjänstanvändarna ska informeras enligt 3 § andra stycket.

Paragrafen innehåller bemyndiganden. Övervägandena finns i avsnitt 18. I punkt 1 görs en följdändring med anledning av ändringen i 1 §.

Bemyndigandet omfattar därmed inte krav som rör en betaltjänstleveran- törs hantering av IKT-risker (se 1 § och författningskommenteraren till den paragrafen).

8 kap.

8 b § Finansinspektionen ska ingripa mot någon som ingår i betalningsinstitutets styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om institutet har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt första stycket får ske bara om institutets överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande får ske genom en eller båda av följande sanktioner:

1.beslut att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i ett betalningsinstitut, eller ersättare för någon av dem, eller

2.beslut om sanktionsavgift.

Paragrafen, som är ny, innehåller bestämmelser om ingripande mot
företrädare för betalningsinstitut. Den införs till följd av artikel 50.5 i	213

Prop. 2024/25:44 DORA-förordningen och är utformad efter förebild av 25 kap. 1 b och 1 c §§ lagen om värdepappersmarknaden. Övervägandena finns i avsnitt 10.3.

Genom paragrafen införs en möjlighet för Finansinspektionen att ingripa mot en företrädare för ett betalningsinstitut vid ett sådant instituts över- trädelser av DORA-förordningen. Bestämmelsen gäller för ingripanden mot företrädare för betalningsinstitut, dvs. ett aktiebolag eller en ekonomisk förening som har fått tillstånd att tillhandahålla betaltjänster enligt 2 kap. (se 1 kap. 4 §). För ingripanden mot företrädare för en registrerad betaltjänstleverantör, dvs. en betaltjänstleverantör som undan- tagits från krav på tillstånd, se 23 b §.

Iförsta stycket anges de bestämmelser i DORA-förordningen som vid en överträdelse ska kunna medföra ett ingripande från Finansinspektionen. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Finansinspektionen ska ingripa mot företrädare som ingår i betalningsinstitutets styrelse, är dess verkställande direktör, eller ersättare för någon av dem.

I andra stycket anges särskilda förutsättningar för ett ingripande. Utöver det som anges i första stycket krävs för ett ingripande dels att institutets, dvs. den juridiska personens, överträdelse är allvarlig, dels att den fysiska personen, t.ex. den verkställande direktören, uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen. Detta motsvarar det som gäller för ett ingripande mot en företrädare för en leverantör av datarapporterings- tjänster (se 25 kap. 1 k § lagen om värdepappersmarknaden och författ- ningskommentaren till den paragrafen i avsnitt 23.8).

I tredje stycket anges hur Finansinspektionen får ingripa. Ett ingripande får ske genom ett beslut om att den fysiska personen i fråga under en viss tid inte får vara styrelseledamot eller verkställande direktör i ett betalningsinstitut eller ersättare för någon av dem. Denna tid ska vara lägst tre och högst tio år. Ett ingripande kan även ske genom ett beslut om sanktionsavgift. Dessa ingripandeåtgärder kan också kombineras. Bestäm- melser om omständigheter som ska beaktas vid valet av ingripande finns i 9 och 9 a §§ och bestämmelser om sanktionsavgift i 15 b och 16 §§.

Av 16 a § följer att frågor om ingripanden enligt denna paragraf tas upp av Finansinspektionen genom sanktionsföreläggande.

9 § Vid valet av ingripande ska Finansinspektionen ta hänsyn till hur allvarlig överträdelsen är och hur länge den har pågått. Särskild hänsyn ska tas till skador som har uppstått och graden av ansvar.

Finansinspektionen får avstå från ingripande enligt 8–8 b §§ om

1.en överträdelse är ringa eller ursäktlig,

2.betalningsinstitutet gör rättelse eller om den fysiska personen i betalnings- institutets ledning verkat för att institutet gör rättelse, eller

3.någon annan myndighet har vidtagit åtgärder mot institutet eller den fysiska personen i betalningsinstitutets ledning som bedöms vara tillräckliga.

Paragrafen innehåller bestämmelser om omständigheter som ska beaktas vid valet av ingripande mot ett betalningsinstitut. Paragrafen ändras till följd av artikel 51.2 i DORA-förordningen. Övervägandena finns i avsnitt 10.5.

214

I andra stycket görs ett tillägg för den nya bestämmelsen om ingripande Prop. 2024/25:44 mot företrädare för betalningsinstitut vid överträdelser av DORA-förord-

ningen (se 8 b § och författningskommentaren till den paragrafen). Finans- inspektionen får i och med det även vid överträdelser av DORA-förord- ningen i vissa fall avstå från ett ingripande.

16 a § Frågor om ingripanden mot fysiska personer enligt 8 a eller 8 b § tas upp av Finansinspektionen genom sanktionsföreläggande.

Finansinspektionen ska då tillämpa bestämmelserna i 15 kap. 9 a–9 d §§ lagen (2004:297) om bank- och finansieringsrörelse.

Paragrafen innehåller bestämmelser om hur Finansinspektionen ska in- gripa mot företrädare för betalningsinstitut. Övervägandena finns i av- snitt 10.3.

I första stycket görs ett tillägg för den nya bestämmelsen om ingripande mot företrädare för betalningsinstitut vid överträdelser av DORA-förord- ningen (se 8 b § och författningskommentaren till den paragrafen). Ett ingripande mot en sådan företrädare, t.ex. en styrelseledamot, ska därmed ske genom ett sanktionsföreläggande. Detta överensstämmer med det som annars gäller för ingripanden mot företrädare för betalningsinstitut (se 8 a §).

23 b § Finansinspektionen ska ingripa mot någon som ingår i en registrerad betaltjänstleverantörs styrelse eller är dess verkställande direktör eller på motsvarande sätt företräder betaltjänstleverantören, eller är ersättare för någon av dem, om den registrerade betaltjänstleverantören har befunnits ansvarig för en överträdelse av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism eller föreskrifter som har meddelats med stöd av den lagen eller en överträdelse av Europaparlamentets och rådets förordning (EU) 2023/1113.

Ett ingripande enligt första stycket får ske bara om överträdelsen är allvarlig, upprepad eller systematisk och personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Finansinspektionen ska även ingripa mot någon som ingår i en registrerad betaltjänstleverantörs styrelse eller är dess verkställande direktör eller på mot- svarande sätt företräder betaltjänstleverantören, eller är ersättare för någon av dem, om den registrerade betaltjänstleverantören har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt tredje stycket får ske bara om den registrerade betaltjänstleverantörens överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande får ske genom en eller båda av följande sanktioner:

1.beslut att personen i fråga under en viss tid, lägst tre och högst tio år, inte får upprätthålla en funktion som avses i första stycket hos en registrerad betal- tjänstleverantör, eller

2.beslut om sanktionsavgift.

Paragrafen innehåller bestämmelser om ingripande mot företrädare för registrerade betaltjänstleverantörer. Paragrafen ändras till följd av artikel 50.5 i DORA-förordningen. Övervägandena finns i avsnitt 10.3.

I första och andra stycket görs en språklig ändring. Ingen ändring avses

i sak.

215

Prop. 2024/25:44 Genom det nya tredje stycket införs en möjlighet för Finansinspektionen att ingripa mot en företrädare för en registrerad betaltjänstleverantör vid en sådan leverantörs överträdelse av DORA-förordningen. Bestämmelsen gäller för ingripanden mot företrädare för registrerade betaltjänst- leverantörer, dvs. en betaltjänstleverantör som undantagits från krav på tillstånd enligt 2 kap. 3 § (se 1 kap. 4 §). För ingripanden mot företrädare för ett betalningsinstitut, dvs. ett aktiebolag eller en ekonomisk förening som har fått tillstånd att tillhandahålla betaltjänster, se 8 b §. Finansinspek- tionen får bara ingripa om betaltjänstleverantören har överträtt de bestämmelser som särskilt anges. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning.

I fjärde stycket, som är nytt, anges särskilda förutsättningar för ett ingripande. Utöver det som anges i tredje stycket krävs för ett ingripande dels att betaltjänstleverantörens, dvs. den juridiska personens, överträdelse är allvarlig, dels att den fysiska personen, t.ex. den verkställande direktören, uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen. För vad som kan anses som grovt oaktsamt, se författningskommentaren till 4 kap. 9 § lagen med kompletterande bestämmelser till EU:s förord- ning om digital operativ motståndskraft för finanssektorn i avsnitt 23.1.

Av 23 c § följer att 15 b § om sanktionsavgifter för fysiska personer och 16 a § om sanktionsföreläggande gäller vid beslut om ingripande och 18–20 §§ i fråga om verkställighet av beslut om sanktionsavgifter. Av 23 d § följer att Finansinspektionen, vid valet av åtgärd och sanktion, ska ta hänsyn till de omständigheter som anges i 9 § första stycket, 9 a § och 16 §.

I det nya femte stycket, hittillsvarande tredje stycket, görs en redaktionell och språklig ändring. Ingen ändring avses i sak.

22.10Förslaget till lag om ändring i försäkringsrörelselagen (2010:2043)

10 kap.

3 § Ett försäkringsföretag ska ha system, resurser och rutiner som är lämpliga för att verksamheten ska kunna bedrivas med kontinuitet och i enlighet med gällande regler. Nätverks- och informationssystem ska uppfylla kraven i Europa- parlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Ett försäkringsföretag ska ha en beredskapsplan.

Paragrafen innehåller bestämmelser om kontinuitet i verksamheten för ett försäkringsföretag. Genom ändringen genomförs artikel 41.4 i Solvens II- direktivet, i lydelsen enligt artikel 2.1 i ändringsdirektivet. Övervägandena finns i avsnitt 18.

I första stycket förtydligas att ett försäkringsföretags nätverks- och informationssystem ska uppfylla de krav som anges i DORA-förord-

ningen. I och med DORA-förordningen införs nya krav på finansiella

216

entiteters riskhantering. Finansiella entiteter ska, när det gäller digital Prop. 2024/25:44 operativ motståndskraft, vidta de åtgärder som är nödvändiga för att de ska

kunna bedriva sin verksamhet och tillhandahålla tjänster och därigenom garantera en smidigt fungerande inre marknad (skäl 3 i ändringsdirektivet). Ett försäkringsföretag omfattas av DORA-förordningen och är även en finansiell entitet enligt förordningen (artikel 2.1 n och 2.2 i DORA- förordningen).

11 kap.

1 § För försäkringsaktiebolag gäller föreskrifterna för aktiebolag i allmänhet, om inte något annat följer av denna lag eller är särskilt föreskrivet. Hänvisningar i aktiebolagslagen (2005:551) till bestämmelser i samma lag ska i de fall de före- kommer avse de bestämmelser i denna lag som gäller i stället för eller utöver bestämmelserna i aktiebolagslagen.

I fråga om försäkringsaktiebolag ska det som anges om Bolagsverket i följande bestämmelser avse Finansinspektionen:

1.8 kap. 9 och 30 §§ samt 37 § andra stycket aktiebolagslagen,

2.23 kap. 45 b § aktiebolagslagen,

3.24 kap. 47 § aktiebolagslagen, och

4.24 a kap. 24 § aktiebolagslagen.

Bestämmelserna i 32 kap. aktiebolagslagen om aktiebolag med särskild vinst- utdelningsbegränsning gäller inte för försäkringsaktiebolag.

Av paragrafen framgår vilka associationsrättsliga bestämmelser som gäller för försäkringsaktiebolag.

I andra stycket görs en redaktionell ändring då den hittillsvarande strecklistan ändras till en punktlista.

18 kap.

1 b § Finansinspektionen ska ingripa mot någon som ingår i försäkringsföretagets styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om företaget har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt första stycket får ske bara om företagets överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Paragrafen, som är ny, innehåller bestämmelser om ingripanden mot före- trädare för försäkringsföretag. Den införs till följd av artikel 50.5 i DORA- förordningen och är utformad efter förebild av bl.a. 25 kap. 1 a § lagen om värdepappersmarknaden. Övervägandena finns i avsnitt 10.3.

Genom paragrafen införs en möjlighet för Finansinspektionen att ingripa mot en företrädare för ett försäkringsföretag vid ett försäkringsföretags överträdelser av DORA-förordningen.

förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk	217

Prop. 2024/25:44 hänvisning. Finansinspektionen ska kunna ingripa mot företrädare som ingår i försäkringsföretagets styrelse, är dess verkställande direktör, eller ersättare för någon av dem.

I andra stycket anges särskilda förutsättningar för ett ingripande. Utöver det som anges i första stycket krävs för ett ingripande dels att försäkrings- företagets, dvs. den juridiska personens, överträdelse är av allvarligt slag, dels att den fysiska personen, t.ex. den verkställande direktören, uppsåt- ligen eller av grov oaktsamhet har orsakat överträdelsen. För vad som kan anses som grovt oaktsamt, se författningskommentaren till 4 kap. 9 § lagen med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn.

Av 18 a § följer att frågor om ingripanden enligt denna paragraf tas upp av Finansinspektionen genom sanktionsföreläggande.

2 a § Ett ingripande enligt 1 a eller 1 b § får ske genom en eller båda av följande sanktioner:

1.beslut att personen i fråga under en viss tid, lägst tre och högst tio år, inte får upprätthålla en funktion som avses i 1 a § första stycket och 1 b § första stycket i ett försäkringsföretag, eller

2.beslut om sanktionsavgift.

Paragrafen innehåller bestämmelser om hur Finansinspektionen ska ingripa mot en företrädare för ett försäkringsföretag och ändras till följd av artikel 51.2 i DORA-förordningen. Övervägandena finns i avsnitt 10.3.

I paragrafen görs tillägg för den nya paragrafen om ingripande mot företrädare för försäkringsföretag vid överträdelser av DORA-förord- ningen (se 1 b § och författningskommentaren till den paragrafen). Också vid sådana överträdelser ska ett ingripande ske genom ett beslut om att företrädaren inte får inneha en ledande ställning i ett försäkringsföretag eller ett beslut om sanktionsavgift. I paragrafen görs även en redaktionell och språklig ändring.

18 a § Frågor om ingripanden mot fysiska personer för överträdelser enligt 1 a eller 1 b § tas upp av Finansinspektionen genom sanktionsföreläggande.

Finansinspektionen ska då tillämpa bestämmelserna om sanktionsföreläggande i 15 kap. 9 a–9 d §§ lagen (2004:297) om bank- och finansieringsrörelse.

Paragrafen innehåller bestämmelser om hur Finansinspektionen ska in- gripa mot företrädare för försäkringsföretag. Övervägandena finns i avsnitt 8.3.

I första stycket görs ett tillägg för den nya paragrafen om ingripanden mot företrädare för försäkringsföretag vid överträdelser av DORA-förord- ningen (se 1 b § och författningskommentaren till den paragrafen). Ett ingripande mot en sådan företrädare, t.ex. en styrelseledamot, ska därmed ske genom ett sanktionsföreläggande. Detta överensstämmer med det som annars gäller för ingripanden mot företrädare för försäkringsföretag (se 1 a §).

218

21 kap.

Prop. 2024/25:44

1 § Följande beslut av Finansinspektionen får inte överklagas:

1.beslut om sammankallande av styrelse eller stämma enligt 17 kap. 13 § första stycket,

2.beslut om sanktionsföreläggande enligt 18 kap. 18 a §,

3.beslut om föreläggande att den som driver rörelsen ska lämna de upp- lysningar om rörelsen som inspektionen behöver för att bedöma om lagen är tillämplig på rörelsen enligt 18 kap. 25 § andra stycket,

4.beslut om begäran att den som är revisor i ett företag ska lämna sådana upp- lysningar om företagets rörelse enligt 18 kap. 25 § andra stycket, eller

5.beslut om förordnande av sakkunnig enligt

–11 kap. 1 § andra stycket 2 denna lag och 23 kap. 45 b § aktiebolagslagen (2005:551),

–11 kap. 1 § andra stycket 3 denna lag och 24 kap. 47 § aktiebolagslagen, eller

–11 kap. 1 § andra stycket 4 denna lag och 24 a kap. 24 § aktiebolagslagen.

Paragrafen innehåller bestämmelser om att vissa beslut av Finansinspek- tionen inte får överklagas. Övervägandena finns i avsnitt 19.1.

Paragrafen ändras så att Finansinspektionens beslut om förordnande av sakkunnig i ärenden om gränsöverskridande fusion, delning eller om- bildning inte får överklagas. Finansinspektionen kan förordna en sak- kunnig om det vid handläggningen uppkommer en fråga som kräver särskild fackkunskap (se t.ex. 23 kap. 45 b § aktiebolagslagen och 11 kap. 1 § denna lag). Sökanden ska ersätta inspektionen för kostnaden för den sakkunniga. Finansinspektionens beslut om betalningsskyldighet kan överklagas enligt den allmänna överklagandebestämmelsen (3 §). Vid överklagande av ett sådant beslut kan, utöver det debiterade beloppets skälighet, även prövas huruvida det var motiverat att förordna en sak- kunnig. I paragrafen görs även redaktionella och språkliga ändringar då det införs en punktlista. Motsvarande ändringar görs i 17 kap. 1 § lagen (2004:297) om bank och finansieringsrörelse och 17 kap. 1 § lagen

(2019:742) om tjänstepensionsföretag (se de paragraferna och tillhörande författningskommentarer i avsnitt 23.7 och 23.14).

22.11Förslaget till lag om ändring i lagen (2011:755) om elektroniska pengar

5 kap.

8 b § Finansinspektionen ska ingripa mot någon som ingår i styrelsen för institutet
för elektroniska pengar eller är dess verkställande direktör, eller ersättare för
någon av dem, om institutet har åsidosatt sina skyldigheter enligt någon av
artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4,
23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europa-
parlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om
digital operativ motståndskraft för finanssektorn och om ändring av
förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr
909/2014 och (EU) 2016/1011.
Ett ingripande enligt första stycket får ske bara om institutets överträdelse är
allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet
orsakat överträdelsen.
Ingripande får ske genom en eller båda av följande sanktioner:	219
	219

Prop. 2024/25:44 1. beslut att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i ett institut för elektroniska pengar, eller ersättare för någon av dem, eller

2. beslut om sanktionsavgift.

Paragrafen, som är ny, innehåller bestämmelser om ingripande mot företrädare för institut för elektroniska pengar. Den införs till följd av artikel 50.5 i DORA-förordningen och är utformad efter förebild av 25 kap. 1 b och 1 c §§ lagen om värdepappersmarknaden. Övervägandena finns i avsnitt 10.3.

Genom paragrafen införs en möjlighet för Finansinspektionen att ingripa mot en företrädare för ett institut för elektroniska pengar vid ett sådant instituts överträdelse av DORA-förordningen. Paragrafen gäller för ingripanden mot företrädare för ett institut för elektroniska pengar, dvs. ett svenskt aktiebolag eller en svensk ekonomisk förening som har fått tillstånd att ge ut elektroniska pengar (1 kap. 2 § 7). För ingripanden mot företrädare för en registrerade utgivare, dvs. en svensk juridisk person som beviljats undantag från kravet på tillståndsplikt enligt 1 kap. 1 § (1 kap. 4 §), se 23 b §.

Iförsta stycket anges de bestämmelser i DORA-förordningen som vid en överträdelse ska kunna medföra ett ingripande från Finansinspektionen. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Finansinspektionen ska ingripa mot företrädare som ingår i institutets styrelse, är dess verkställande direktör, eller ersättare för någon av dem.

I andra stycket anges särskilda förutsättningar för ett ingripande. Utöver det som anges i första stycket krävs för ett ingripande dels att institutets, dvs. den juridiska personens, överträdelse är allvarlig, dels att den fysiska personen, t.ex. den verkställande direktören, uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen. För vad som kan anses som grovt oaktsamt, se författningskommentaren till 4 kap. 9 § lagen med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn.

I tredje stycket anges hur Finansinspektionen får ingripa. Ett ingripande får ske genom beslut om att den fysiska personen i fråga under en viss tid inte får vara styrelseledamot eller verkställande direktör i ett institut för elektroniska pengar eller ersättare för någon av dem. Denna tid ska vara lägst tre och högst tio år. Ett ingripande kan även ske genom ett beslut om sanktionsavgift. Dessa ingripandeåtgärder kan också kombineras. Bestämmelser om omständigheter som ska beaktas vid valet av ingripande finns i 9 och 9 a §§ och bestämmelser om sanktionsavgift i 15 b och 16 §§.

Av 16 a § följer att frågor om ingripanden enligt denna paragraf tas upp av Finansinspektionen genom sanktionsföreläggande.

	9 § Vid valet av ingripande ska Finansinspektionen ta hänsyn till hur allvarlig
	överträdelsen är och hur länge den har pågått. Särskild hänsyn ska tas till skador
	som har uppstått och graden av ansvar.
	Finansinspektionen får avstå från ingripande enligt 8–8 b §§ om
	1. en överträdelse är ringa eller ursäktlig,
	2. institutet för elektroniska pengar gör rättelse eller om den fysiska personen
220	verkat för att institutet gör rättelse, eller

3. någon annan myndighet har vidtagit åtgärder mot institutet eller den fysiska Prop. 2024/25:44 personen som bedöms vara tillräckliga.

Paragrafen innehåller bestämmelser om omständigheter som ska beaktas vid valet av ingripande mot ett institut för elektroniska pengar och ändras till följd av artikel 51.2 i DORA-förordningen. Övervägandena finns i avsnitt 10.5.

I andra stycket görs ett tillägg för den nya paragrafen om ingripande mot företrädare för institut för elektroniska pengar vid överträdelser av DORA- förordningen (se 8 b § och författningskommentaren till den paragrafen). Finansinspektionen får i och med det även vid överträdelser av DORA- förordningen i vissa fall avstå från ett ingripande.

16 a § Frågor om ingripanden mot fysiska personer enligt 8 a eller 8 b § tas upp av Finansinspektionen genom sanktionsföreläggande.

Finansinspektionen ska då tillämpa bestämmelserna i 15 kap. 9 a–9 d §§ lagen (2004:297) om bank- och finansieringsrörelse.

Paragrafen innehåller bestämmelser om hur Finansinspektionen ska ingripa mot företrädare för institut för elektroniska pengar. Över- vägandena finns i avsnitt 10.3.

I första stycket görs ett tillägg för den nya paragrafen om ingripanden mot företrädare för institut för elektroniska pengar vid överträdelser av DORA-förordningen (se 8 b § och författningskommentaren till den paragrafen). Ett ingripande mot en sådan företrädare, t.ex. en verkställande direktör, ska därmed ske genom ett sanktionsföreläggande. Detta överens- stämmer med det som annars gäller för ingripanden mot företrädare för institut för elektroniska pengar.

23 b § Finansinspektionen ska ingripa mot någon som ingår i den registrerade utgivarens styrelse eller är dess verkställande direktör, eller är ersättare för någon av dem, om den registrerade utgivaren har befunnits ansvarig för överträdelse av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism eller föreskrifter som har meddelats med stöd av den lagen eller en överträdelse av Europaparlamentets och rådets förordning (EU) 2023/1113.

Ett ingripande enligt första stycket får ske bara om överträdelsen är allvarlig, systematisk eller upprepad och personen i fråga uppsåtligen eller av grov oaktsam- het orsakat överträdelsen.

Finansinspektionen ska även ingripa mot någon som ingår i den registrerade utgivarens styrelse eller är dess verkställande direktör, eller är ersättare för någon av dem, om den registrerade utgivaren har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europa- parlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt tredje stycket får ske bara om den registrerade utgivarens överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande får ske genom en eller båda av följande sanktioner:

1.beslut att personen i fråga under en viss tid, lägst tre och högst tio år, inte får upprätthålla en funktion som avses i första stycket hos en utgivare av elektroniska pengar, eller

2.beslut om sanktionsavgift.

221

Prop. 2024/25:44 Paragrafen innehåller bestämmelser om ingripande mot företrädare för registrerade utgivare och ändras till följd av artikel 50.5 i DORA- förordningen. Övervägandena finns i avsnitt 10.3.

I första och andra stycket görs en språklig ändring. Ingen ändring avses i sak.

Genom det nya tredje stycket införs en möjlighet för Finansinspektionen att ingripa mot en företrädare för en registrerad utgivare vid en sådan utgivares överträdelse av DORA-förordningen. Bestämmelsen gäller för ingripanden mot företrädare för en registrerade utgivare, dvs. en svensk juridisk person som beviljats undantag från kravet på tillståndsplikt enligt 1 kap. 1 § (1 kap. 4 §). För ingripanden mot företrädare för ett institut för elektroniska pengar, dvs. ett svenskt aktiebolag eller en svensk ekonomisk förening som har fått tillstånd att ge ut elektroniska pengar, se 8 b §. Finansinspektionen får bara ingripa om den registrerade utgivaren har överträtt de bestämmelser som särskilt anges. Hänvisningen till DORA- förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Ett ingripande får då ske mot någon som ingår i den registrerade utgivarens styrelse eller är dess verkställande direktör, eller är ersättare för någon av dem.

I fjärde stycket, som är nytt, anges särskilda förutsättningar för ett ingripande. Utöver det som anges i tredje stycket krävs för ett ingripande dels att den registrerade utgivarens, dvs. juridiska personens, överträdelse är allvarlig, dels att den fysiska personen, t.ex. den verkställande direk- tören uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen. För vad som kan anses som grovt oaktsamt, se författningskommentaren till 4 kap. 9 § lagen med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn.

I det nya femte stycket, hittillsvarande tredje stycket, görs en redaktionell och språklig ändring. Ingen ändring avses i sak.

22.12Förslaget till lag om ändring i lagen (2013:561) om förvaltare av alternativa investeringsfonder

8 kap.

2 § En AIF-förvaltare ska ha sunda rutiner för

1.förvaltning av verksamheten och redovisning,

2.drift och förvaltning av sina nätverks- och informationssystem, och

3.intern kontroll.

Rutinerna enligt första stycket 2 ska uppfylla kraven i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

222

AIF-förvaltaren ska särskilt

Prop. 2024/25:44

1.upprätta och tillämpa regler för anställdas egna transaktioner,

2.upprätta och tillämpa regler för investeringar som görs för förvaltarens egen räkning,

3.ha rutiner för att kunna säkerställa att varje transaktion som genomförs för en alternativ investeringsfonds räkning är möjlig att rekonstruera i efterhand med avseende på dess ursprung, art, parter, tidpunkt och plats, samt

4.ha rutiner för att säkerställa att tillgångarna i de alternativa investeringsfonder som förvaltaren förvaltar investeras i enlighet med denna lag och andra förfat- tningar som reglerar verksamheten eller lagstiftningen i det land där fonden är etablerad samt fondbestämmelser, bolagsordning eller motsvarande regelverk.

Paragrafen innehåller bestämmelser om organisatoriska krav för en AIF- förvaltare. Genom ändringen genomförs artikel 18.1 i AIFM-direktivet, i lydelsen enligt artikel 3 i ändringsdirektivet. Övervägandena finns i av- snitt 18.

I första stycket 2 förtydligas att kraven på sunda rutiner för drift och förvaltning gäller både nätverks- och informationssystem. I och med DORA-förordningen införs nya krav på finansiella entiteters riskhan- tering. Finansiella entiteter ska, när det gäller digital operativ motstånds- kraft, vidta de åtgärder som är nödvändiga för att de ska kunna bedriva sin verksamhet och tillhandahålla tjänster och därigenom garantera en smidigt fungerande inre marknad (skäl 3 i ändringsdirektivet). En AIF-förvaltare omfattas av DORA-förordningen och är även en finansiell entitet enligt förordningen (artikel 2.1 k och 2.2 i DORA-förordningen). AIF-förvaltare vars alternativa investeringsfonders sammanlagda tillgångar inte över- stiger vissa tröskelvärden, s.k. registrerade AIF-förvaltare, omfattas dock vare sig av DORA-förordningen eller denna paragraf (se artikel 2.3 a i DORA-förordningen och 2 kap. 1 § första stycket).

I det nya andra stycket förtydligas att rutinerna för en AIF-förvaltares drift och förvaltning av nätverks- och informationssystem ska uppfylla de krav som anges i DORA-förordningen. En motsvarande ändring görs för fondbolag i lagen (2004:46) om värdepappersfonder (se 2 kap. 17 § den lagen och författningskommentaren till den paragrafen i avsnitt 23.6).

Den nya tredje stycket överensstämmer med hittillsvarande andra stycket.

14 kap.

1 b § Finansinspektionen ska ingripa mot någon som ingår i en AIF-förvaltares ledning eller styrelse eller är förvaltarens verkställande direktör eller mot- svarande, eller ersättare för någon av dem, om förvaltaren har åsidosatt sina skyldigheter enligt någon av artiklarna artikel 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt första stycket får ske bara om AIF-förvaltarens överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande får ske genom en eller båda av följande sanktioner:

1.beslut att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får upprätthålla en funktion som avses i första stycket i en AIF-förvaltare, eller

ersättare för någon av dem, eller

223

Prop. 2024/25:44 2. beslut om sanktionsavgift.

Paragrafen, som är ny, innehåller bestämmelser om ingripande mot före- trädare för AIF-förvaltare. Den införs till följd av artikel 50.5 i DORA- förordningen och är utformad efter förebild av 1 a §. Övervägandena finns i avsnitt 10.3.

Genom paragrafen införs en möjlighet för Finansinspektionen att ingripa mot en företrädare för en AIF-förvaltare vid en sådan förvaltares över- trädelser av DORA-förordningen.

ien AIF-förvaltares styrelse eller är förvaltarens verkställande direktör eller ersättare för någon av dem. När det gäller AIF-förvaltare kan verk- samheten bedrivas i en form som inte omfattas av krav på att utse styrelse eller verkställande direktör, t.ex. handelsbolag. I ett sådant fall får inspektionen ingripa mot förvaltarens ledning och verkställande direktör eller motsvarande, t.ex. en bolagsman i ett handelsbolag. Avgörande är om företrädaren själv eller som ledamot i ett kollektivt beslutsorgan på den högsta ledningsnivån kan fatta ett beslut som är bindande för den juridiska personen (jfr prop. 2012/13:155 s. 509 och prop. 2016/17:173 s. 641).

Iandra stycket anges särskilda förutsättningar för ett ingripande. Utöver det som anges i första stycket krävs för ett ingripande dels att AIF- förvaltarens, dvs. den juridiska personens, överträdelse är allvarlig, dels att den fysiska personen, t.ex. den verkställande direktören, uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen. För vad som kan anses som grovt oaktsamt, se författningskommentaren till 4 kap. 9 § lagen med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn.

Itredje stycket anges hur Finansinspektionen får ingripa. Ett ingripande får ske genom ett beslut att den fysiska personen i fråga under en viss tid inte får upprätthålla en funktion som avses i första stycket. Denna tid ska vara lägst tre och högst tio år. Ett ingripande kan även ske genom ett beslut om sanktionsavgift. Dessa två ingripandeåtgärder kan också kombineras. Bestämmelser om omständigheter som ska beaktas vid valet av ingripande finns i 2 och 2 a §§ och bestämmelser om sanktionsavgift i 12 a och 13 §§.

Av 13 a § följer att frågor om ingripanden enligt denna paragraf tas upp av Finansinspektionen genom sanktionsföreläggande.

13 a § Frågor om ingripanden mot fysiska personer enligt 1 a, 1 b eller 9 a § tas upp av Finansinspektionen genom sanktionsföreläggande.

Finansinspektionen ska då tillämpa bestämmelserna om sanktionsföreläggande

	i 12 kap. 9 a–9 d §§ lagen (2004:46) om värdepappersfonder.
	Paragrafen innehåller bestämmelser om hur Finansinspektionen ska in-
	gripa mot företrädare för AIF-förvaltare. Övervägandena finns i av-
	snitt 10.3.
	I första stycket görs ett tillägg för den nya paragrafen om ingripanden
224	mot företrädare för AIF-förvaltare (se 1 b § och författningskommentaren
224

till den paragrafen). Ett ingripande mot en sådan företrädare, t.ex. en verk- Prop. 2024/25:44 ställande direktör, ska därmed ske genom ett sanktionsföreläggande. Detta överensstämmer med det som annars gäller för ingripanden mot före-

trädare för AIF-förvaltare.

22.13Förslaget till lag om ändring i lagen (2018:1219) om försäkringsdistribution

9 kap.

2 § Finansinspektionen ska ingripa mot någon som ingår i en svensk försäkrings- förmedlares styrelse, är dess verkställande direktör eller på motsvarande sätt före- träder försäkringsförmedlaren, eller är ersättare för någon av dem, om försäkrings- förmedlaren

1.bedriver försäkringsdistribution i Sverige och inte uppfyller kraven på till- stånd eller registrering i 2 kap.,

2.har fått tillstånd att bedriva försäkringsdistribution genom att lämna falska uppgifter eller på annat otillbörligt sätt,

3.för distribution av försäkringar använder någon som inte har rätt att bedriva försäkringsdistribution eller att distribuera sådana försäkringar som distributionen avser,

4.har åsidosatt sina skyldigheter enligt någon av 4 kap. 1–3, 5–11 eller 13 §§, 5 kap. 1–8, 10–16 eller 18–21 §§, 6 kap. 1–6 eller 8–15 §§ eller 7 kap. 1 §,

5.har befunnits ansvarig för en överträdelse av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism eller föreskrifter som meddelats med stöd av den lagen, eller

Ingripande får ske genom en eller båda av följande sanktioner:

1.beslut att personen i fråga under en viss tid, dock lägst tre och högst tio år, inte får upprätthålla en funktion som avses i första stycket hos en försäkrings- distributör, eller

2.beslut om sanktionsavgift.

Paragrafen innehåller bestämmelser om ingripande mot en företrädare för en försäkringsförmedlare. Övervägandena finns i avsnitt 10.3.

Genom första stycket 6, som är ny, görs ett tillägg till följd av artikel 50.5 i DORA-förordningen. Finansinspektionen kan i och med tillägget ingripa mot en fysisk person som företräder en försäkrings- förmedlare, t.ex. som styrelseledamot, om förmedlaren har åsidosatt sina skyldigheter enligt de angivna bestämmelserna i DORA-förordningen. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Övriga ändringar är redaktionella och språkliga. Inga ändringar avses i sak.

I andra stycket görs redaktionella och språkliga ändringar. Inga

ändringar avses i sak.

225

Prop. 2024/25:44 4 § Ett ingripande enligt 2 § första stycket 1–5 eller 3 § får ske bara om över- trädelsen är allvarlig, upprepad eller systematisk och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

226

Ett ingripande enligt 2 § första stycket 6 får ske bara om överträdelsen är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

I paragrafen anges särskilda krav för ingripande mot en företrädare för en försäkringsförmedlare. Ändringen görs till följd av artikel 50.5 i DORA- förordningen. Övervägandena finns i avsnitt 10.3.

De grundläggande förutsättningarna för ett ingripande mot en före- trädare för en försäkringsförmedlare vid en förmedlares överträdelse av DORA-förordningen anges i 2 §.

I första stycket görs en ändring med anledning av den nya bestämmelsen om ingripanden mot företrädare för försäkringsförmedlare (se 2 § första stycket 6 och författningskommentaren till den paragrafen).

I andra stycket, som är nytt, anges särskilda förutsättningar för ett ingripande. För att ett ingripande ska kunna komma i fråga krävs, utöver det som anges i 2 §, dels att försäkringsförmedlarens överträdelse är allvarlig, dels att den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet har orsakat överträdelsen. Detta motsvarar det som gäller enligt t.ex. 25 kap. 1 c § första stycket och 1 g § första stycket lagen om värdepappersmarknaden (se även prop. 2014/15:57 s. 40–43 och prop. 2016/17:162 s. 540–542). För vad som kan anses som grovt oaktsamt, se författningskommentaren till 4 kap. 9 § lagen med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn i avsnitt 23.1.

22.14Förslaget till lag om ändring i lagen (2019:742) om tjänstepensionsföretag

9 kap.

2 § Ett tjänstepensionsföretag ska ha system, resurser och rutiner som är lämpliga för att verksamheten ska kunna drivas med kontinuitet och i enlighet med gällande regler. Ett tjänstepensionsföretag ska ha system, resurser och rutiner som är lämpliga för att verksamheten ska kunna drivas med kontinuitet och i enlighet med gällande regler. Nätverks- och informationssystem ska uppfylla kraven i Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Ett tjänstepensionsföretag ska ha en beredskapsplan.

Paragrafen innehåller bestämmelser om kontinuitet i verksamheten för ett tjänstepensionsföretag. Genom ändringen genomförs delvis artikel 21.5 i andra tjänstepensionsdirektivet, i lydelsen enligt artikel 8 i ändrings- direktivet. Övervägandena finns i avsnitt 18.

I första stycket förtydligas att ett tjänstepensionsföretags nätverks- och informationssystem ska uppfylla de krav som anges i DORA-förord- ningen. I och med DORA-förordningen införs nya krav på finansiella

entiteters riskhantering. Finansiella entiteter ska, när det gäller digital Prop. 2024/25:44 operativ motståndskraft, vidta de åtgärder som är nödvändiga för att de ska

kunna bedriva sin verksamhet och tillhandahålla tjänster och därigenom garantera en smidigt fungerande inre marknad (skäl 3 i ändrings- direktivet). Ett tjänstepensionsföretag omfattas av DORA-förordningen och är även en finansiell entitet enligt förordningen (artikel 2.1 p och 2.2 i DORA-förordningen). En motsvarande ändring görs för pensionsstiftelser i lagen (1967:531) om tryggande av pensionsutfästelse m.m. (se 16 g § den lagen och författningskommentaren till den paragrafen i avsnitt 23.2).

10 kap.

1 § För tjänstepensionsaktiebolag gäller bestämmelserna för aktiebolag i allmänhet, om inte något annat följer av denna lag eller av sådana bestämmelser i försäkringsrörelselagen (2010:2043) som det hänvisas till i denna lag. Hän- visningar i aktiebolagslagen (2005:551) till bestämmelser i samma lag ska i de fall de förekommer avse de bestämmelser i denna lag eller i försäkringsrörelselagen som gäller i stället för eller utöver aktiebolagslagen.

I fråga om tjänstepensionsaktiebolag ska det som sägs om Bolagsverket i följande bestämmelser avse Finansinspektionen:

1. 8 kap. 9 och 30 §§ och 37 § andra stycket aktiebolagslagen,

2. 23 kap. 45 b § aktiebolagslagen,

3. 24 kap. 47 § aktiebolagslagen, och

4. 24 a kap. 24 § aktiebolagslagen.

Bestämmelserna i 32 kap. aktiebolagslagen om aktiebolag med särskild vinst- utdelningsbegränsning gäller inte för tjänstepensionsaktiebolag.

Av paragrafen framgår vilka associationsrättsliga bestämmelser som gäller för tjänstepensionsaktiebolag.

I andra stycket görs en redaktionell ändring då den hittillsvarande strecklistan ändras till en punktlista.

15 kap.

Ingripande mot tjänstepensionsföretag och vissa fysiska personer

1 a § Finansinspektionen ska ingripa mot någon som ingår i tjänste- pensionsföretagets styrelse eller är dess verkställande direktör, eller är ersättare för någon av dem, om företaget har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europa- parlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt första stycket får ske bara om företagets överträdelse är
allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet
orsakat överträdelsen.
Paragrafen, som är ny, innehåller bestämmelser om ingripanden mot
företrädare för tjänstepensionsföretag. Den införs till följd av artikel 50.5
i DORA-förordningen och är utformad efter förebild av bl.a. 25 kap. 1 a §
i lagen om värdepappersmarknaden. Övervägandena finns i avsnitt 10.3.
Genom paragrafen införs en möjlighet för Finansinspektionen att ingripa
mot en företrädare för ett tjänstepensionsföretag vid ett tjänstepensions-
företags överträdelser av DORA-förordningen.	227
	227

Prop. 2024/25:44 I första stycket anges de bestämmelser i DORA-förordningen som vid en överträdelse ska kunna medföra ett ingripande från Finansinspektionen. Hänvisningen till DORA-förordningen är utformad på så sätt att den avser förordningen i den vid varje tidpunkt gällande lydelsen, s.k. dynamisk hänvisning. Finansinspektionen kan ingripa mot företrädare som ingår i tjänstepensionsföretagets styrelse, är dess verkställande direktör, eller ersättare för någon av dem.

I andra stycket anges särskilda förutsättningar för ett ingripande. Utöver det som anges i första stycket krävs för ett ingripande dels att tjänste- pensionsföretagets, dvs. den juridiska personens, överträdelse är allvarlig, dels att den fysiska personen, t.ex. den verkställande direktören, upp- såtligen eller av grov oaktsamhet har orsakat överträdelsen. För vad som kan anses som grovt oaktsamt, se författningskommentaren till 4 kap. 9 § lagen med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn.

Av 18 a § följer att frågor om ingripanden enligt denna paragraf tas upp av Finansinspektionen genom sanktionsföreläggande.

2 a § Ett ingripande enligt 1 a § får ske genom en eller båda av följande sanktioner:

1.beslut att personen i fråga under en viss tid, lägst tre och högst tio år, inte får upprätthålla en funktion som avses i 1 a § första stycket i ett tjänstepensions- företag, eller

2.beslut om sanktionsavgift.

Paragrafen, som är ny, innehåller bestämmelser om hur Finansinspek- tionen ska ingripa mot en företrädare för ett tjänstepensionsföretag. Den införs till följd av artikel 51.2 i DORA-förordningen och är utformad efter förebild av 18 kap. 2 a § försäkringsrörelselagen. Övervägandena finns i avsnitt 10.3.

Ett ingripande mot en företrädare för ett tjänstepensionsföretag får enligt punkt 1 ske genom ett beslut om att företrädaren under en viss tid inte får vara styrelseledamot eller verkställande direktör, eller är ersättare för någon av dem. Denna tid ska vara lägst tre och högst tio år. Ett ingripande kan även ske genom ett beslut om sanktionsavgift, punkt 2. Dessa ingripandeåtgärder kan också kombineras. Bestämmelser om omständig- heter som ska beaktas vid valet av ingripande finns i 3 och 4 §§. Bestäm- melser om sanktionsavgift finns i 17 a §.

3 § Vid valet av ingripande ska Finansinspektionen ta hänsyn till hur allvarlig överträdelsen är och hur länge den har pågått. Särskild hänsyn ska tas till skador som har uppstått och graden av ansvar.

I försvårande riktning ska det beaktas om tjänstepensionsföretaget tidigare har begått en överträdelse eller om den fysiska personen tidigare orsakat en sådan överträdelse.

I förmildrande riktning ska det beaktas om

1.företaget eller den fysiska personen i väsentlig utsträckning genom ett aktivt samarbete har underlättat Finansinspektionens utredning, och

2.företaget snabbt har upphört med överträdelsen, eller den fysiska personen snabbt verkat för att överträdelsen ska upphöra, sedan den anmälts till eller påtalats av Finansinspektionen.

228

Paragrafen innehåller bestämmelser om omständigheter som ska beaktas Prop. 2024/25:44 vid ett ingripande mot ett tjänstepensionsföretag och ändras till följd av

artikel 51.2 i DORA-förordningen. Övervägandena finns i avsnitt 10.5. Genom den nya 1 a § införs en möjlighet för Finansinspektionen att

ingripa mot vissa företrädare för tjänstepensionsföretag, dvs. vissa fysiska personer med en ledande ställning i ett tjänstepensionsföretag. I 1 a § anges vilka företrädare det rör sig om. Även en sådan företrädares agerande ska beaktas vid valet av ingripande.

I och med ändringen i andra stycket ska Finansinspektionen i försvårande riktning också beakta om företrädaren tidigare har orsakat en överträdelse.

I tredje stycket anges förmildrande omständigheter. Det kan i och med ändringen också vara att företrädaren har underlättat Finansinspektionens utredning, tredje stycket 1, eller verkat för att överträdelsen ska upphöra, tredje stycket 2.

Uppräkningen av försvårande och förmildrande omständigheter är inte uttömmande utan även andra omständigheter kan beaktas (jfr prop. 2018/19:158 s. 767).

4 § Finansinspektionen får avstå från ingripande om

1.en överträdelse är ringa eller ursäktlig,

2.tjänstepensionsföretaget gör rättelse eller om den fysiska personen verkat för att företaget gör rättelse, eller

3.någon annan myndighet har vidtagit åtgärder mot företaget eller den fysiska personen och dessa åtgärder bedöms tillräckliga.

Paragrafen reglerar när Finansinspektionens får avstå från ett ingripande. Övervägandena finns i avsnitt 10.5.

Genom den nya 1 a § införs en möjlighet för Finansinspektionen att ingripa mot vissa företrädare för tjänstepensionsföretag. Liksom annars gäller vid en överträdelse ska Finansinspektionen i vissa kunna avstå från ett ingripande mot en företrädare. Detta kan i och med ändringen också ske om företrädaren verkat för att tjänstepensionsföretaget gör en rättelse, punkt 2, eller någon annan myndighet redan har vidtagit åtgärder mot företrädaren, punkt 3.

17 a § En sanktionsavgift för en fysisk person ska som högst fastställas till det högsta av

1.två gånger den vinst som den fysiska personen gjort till följd av regel- överträdelsen, om beloppet går att fastställa, eller

2.ett belopp som per den 16 januari 2023 i kronor motsvarade fem miljoner euro.

Avgiften tillfaller staten.

Paragrafen, som är ny, innehåller bestämmelser om storleken på en sanktionsavgift för en fysisk person. Den införs till följd av artikel 50.4 och 50.5 i DORA-förordningen och är utformad efter förebild av 18 kap.

17 b § försäkringsrörelselagen. Övervägandena finns i avsnitt 10.4.

För fysiska personer finns det två alternativa beräkningsmodeller för den högsta sanktionsavgift som får tas ut av en sådan person i de fall som avses i 1 a §. En sanktionsavgift får inte överstiga det högsta av dessa två belopp.

229

Prop. 2024/25:44 Det första beloppet utgår från den vinst som den fysiska personen har gjort till följd av överträdelsen. Enligt punkt 1 ska beloppet bestämmas till två gånger den vinst som den fysiska personen gjort till följd av över- trädelsen, om beloppet går att fastställa. Med vinst som gjorts avses ett nettobelopp som omfattar de vinster som erhållits och de förluster som undvikits, dvs. den fördel som erhållits (jfr prop. 2016/17:162 s. 640).

Det andra beloppet är ett fast belopp. Detta belopp uppgår enligt punkt 2 till ett belopp som per den 16 januari 2023 i svenska kronor motsvarade 5 000 000 euro. För omräkningen mellan euro och svenska kronor, se författningskommentaren till 4 kap. 14 § lagen med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn.

I andra stycket anges att sanktionsavgiften tillfaller staten.

I 18 § finns bestämmelser om vilka omständigheter Finansinspektionen ska beakta när sanktionsavgiftens storlek fastställs.

18 § När sanktionsavgiftens storlek fastställs, ska särskild hänsyn tas till sådana omständigheter som anges i 3 § samt till tjänstepensionsföretagets eller den fysiska personens finansiella ställning och, om det går att fastställa, den vinst som gjorts till följd av regelöverträdelsen.

Paragrafen innehåller bestämmelser om omständigheter som ska beaktas vid fastställande av sanktionsavgiftens storlek. Den ändras till följd av artikel 51.2 i DORA-förordningen. Övervägandena finns i avsnitt 10.4.

Genom den nya 1 a § införs en möjlighet att ingripa mot vissa före- trädare för tjänstepensionsföretag. Finansinspektionen kan vid fast- ställande av en sanktionsavgift mot en sådan företrädare i och med ändringen också ta hänsyn till företrädarens finansiella ställning.

Sanktionsföreläggande

18 a § Frågor om ingripanden mot fysiska personer för överträdelser enligt 1 a § tas upp av Finansinspektionen genom sanktionsföreläggande.

Finansinspektionen ska då tillämpa bestämmelserna om sanktionsföreläggande i 15 kap. 9 a–9 d §§ lagen (2004:297) om bank- och finansieringsrörelse.

Paragrafen, som är ny, innehåller bestämmelser om hur Finansinspek- tionen ska ingripa mot företrädare för tjänstepensionsföretag. Den är utformad efter förebild av 18 kap. 18 a § försäkringsrörelselagen. Övervägandena finns i avsnitt 10.3.

Enligt första stycket ska ett ingripande mot en företrädare för ett tjänste- pensionsföretag, t.ex. en verkställande direktör, ske genom ett s.k. sank- tionsföreläggande.

Enligt andra stycket ska bestämmelserna om sanktionsföreläggande i 15 kap. 9 a–9 d §§ lagen om bank- och finansieringsrörelse tillämpas också vid ett sådant ingripande som avses i första stycket. Detta överens- stämmer med det som gäller vid ett motsvarande ingripande mot en före- trädare för ett försäkringsföretag (se 18 kap. 18 a § försäkringsrörelse- lagen).

230

20 § En sanktionsavgift eller förseningsavgift ska betalas till Finansinspektionen Prop. 2024/25:44 inom 30 dagar efter det att beslutet om den har fått laga kraft eller sanktions-

föreläggandet godkänts eller inom den längre tid som anges i beslutet.

23 § En beslutad sanktionsavgift eller förseningsavgift faller bort i den utsträck- ning verkställighet inte har skett inom fem år från det att beslutet fick laga kraft eller sanktionsföreläggandet godkändes.

Paragraferna innehåller bestämmelser om verkställighet av bl.a. sanktions- avgifter och är utformade efter förebild av 18 kap. 20 och 23 §§ försäk- ringsrörelselagen. Övervägandena finns i avsnitt 10.6.

Genom den nya 1 a § införs en möjlighet att ingripa mot vissa före- trädare för tjänstepensionsföretag. Paragraferna ändras så att möjligheten att verkställa enligt 20 § och hinder mot verkställighet enligt 23 § även gäller ett godkänt sanktionsföreläggande.

17 kap.

1 § Följande beslut av Finansinspektionen får inte överklagas:

1.beslut om sanktionsföreläggande enligt 15 kap. 18 a §, eller

2.beslut om förordnande av sakkunnig enligt

–10 kap. 1 § andra stycket 2 denna lag och 23 kap. 45 b § aktiebolagslagen (2005:551),

–10 kap. 1 § andra stycket 3 denna lag och 24 kap. 47 § aktiebolagslagen, eller

–10 kap. 1 § andra stycket 4 denna lag och 24 a kap. 24 § aktiebolagslagen. Andra beslut av Finansinspektionen enligt denna lag får överklagas till allmän

förvaltningsdomstol.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Paragrafen innehåller bestämmelser om överklagande av Finansinspek- tionens beslut. Övervägandena finns i avsnitt 17.1 och 19.1.

I första stycket, som är nytt, införs bestämmelser om att vissa beslut inte får överklagas. Detta gäller enligt första stycket 1 för Finansinspektionens beslut om sanktionsföreläggande (se vidare författningskommentaren till 5 kap. 1 § lagen med kompletterande bestämmelser till EU:s förordning om digital operativ motståndskraft för finanssektorn). Detsamma gäller enligt första stycket 2 för Finansinspektionens beslut om förordnande av sakkunnig i ärenden om gränsöverskridande fusion, delning eller om- bildning. Finansinspektionen kan förordna en sakkunnig om det vid handläggningen uppkommer en fråga som kräver särskild fackkunskap (se t.ex. 23 kap. 45 b § aktiebolagslagen och 10 kap. 1 § denna lag). Sökanden ska ersätta inspektionen för kostnaden för den sakkunniga. Finans- inspektionens beslut om betalningsskyldighet kan överklagas enligt den allmänna överklagandebestämmelsen (se det nya andra stycket). Vid över- klagande av ett sådant beslut kan, utöver det debiterade beloppets skälig- het, även prövas huruvida det var motiverat att förordna en sakkunnig. Motsvarande ändringar görs i 17 kap. 1 § lagen (2004:297) om bank- och finansieringsrörelse och i 21 kap. 1 § försäkringsrörelselagen (2010:2043) (se de paragraferna och tillhörande författningskommentarer i avsnitt 23.7 och 23.10). I stycket görs även redaktionella och språkliga ändringar då det införs en punktlista.

231

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/1

(Lagstiftningsakter)

FÖRORDNINGAR

EUROPAPARLAMENTETS OCH RÅDETS FÖRORDNING (EU) 2022/2554

av den 14 december 2022

om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG)

nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011

(Text av betydelse för EES)

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 114,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska centralbankens yttrande (1),

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (2),

i enlighet med det ordinarie lagstiftningsförfarandet (3), och

av följande skäl:

(1)I den digitala tidsåldern stöder informations- och kommunikationstekniken (IKT) komplexa system som används för dagliga aktiviteter. Den får våra ekonomier att fungera inom viktiga sektorer, inbegripet finanssektorn, och förbättrar den inre marknadens funktion. Ökad digitalisering och sammanlänkning ökar också IKT-risk och gör samhället som helhet – och i synnerhet det finansiella systemet – mer sårbart för cyberhot eller IKT-avbrott. Den allmänt utbredda användningen av IKT-system och hög digitalisering och konnektivitet är i dag centrala inslag i den verksamhet som bedrivs av unionens finansiella entiteter, men deras digitala motståndskraft måste fortfarande hanteras bättre och integreras i deras bredare operativa ramar.

(2)Användningen av IKT har under de senaste årtiondena fått en avgörande roll inom tillhandahållandet av finansiella tjänster och har nått den punkt där den i dag är avgörande för driften av alla finansiella entiteters vanliga dagliga funktioner. Digitaliseringen omfattar i dag t.ex. betalningar, som i allt högre grad har gått från kontanter och pappersbaserade metoder till användning av digitala lösningar, liksom clearing och avveckling av värdepapper, elektronisk och algoritmisk handel, utlåning och finansiering, peer-to-peer-finansiering, kreditvärdering, skadereglering och back-office-verksamhet. Försäkringssektorn har också omvandlats genom användningen av IKT,

(1) EUT C 343, 26.8.2021, s. 1.

(2) EUT C 155, 30.4.2021, s. 38.

(3) Europaparlamentets ståndpunkt av den 10 november 2022 (ännu inte offentliggjord i EUT) och rådets beslut av den 28 november 2022.

233

Prop. 2024/25:44

Bilaga 1

L 333/2	SV	Europeiska unionens officiella tidning	27.12.2022

från framväxten av försäkringsförmedlare som erbjuder sina tjänster online med hjälp av försäkringsteknik (insurtech), till digital försäkringsgarantiverksamhet. Hela finanssektorn har blivit till stor del digital, och digitaliseringen har också fördjupat sammanlänkningarna och beroendena inom finanssektorn och med tredjepart sinfrastruktur och tredjepartstjänsteleverantörer.

(3)Europeiska systemrisknämnden (ESRB) bekräftade i en rapport från 2020 om systemrisker på cyberområdet att den nuvarande höga graden av sammanlänkning mellan finansiella entiteter, finansmarknader och finansmarknadsinfra strukturer, och särskilt det ömsesidiga beroendet mellan deras IKT-system, skulle kunna utgöra en systemsårbarhet, eftersom lokala cyberincidenter snabbt skulle kunna spridas från någon av de cirka 22 000 finansiella entiteterna i unionen till hela det finansiella systemet, utan hinder av geografiska gränser. Allvarliga IKT-relaterade överträdelser inom finanssektorn påverkar inte bara finansiella entiteter var för sig. De underlättar också spridning av lokaliserade sårbarheter i de finansiella överföringskanalerna och kan få negativa konsekvenser för stabiliteten i unionens finansiella system, t.ex. generera likviditetsrusningar och generellt leda till ett minskat förtroende för finansmarknaderna.

(4)På senare år har IKT-risk uppmärksammats av internationella, unionens och nationella beslutsfattare, tillsynsmyn digheter och standardiseringsorgan i ett försök att öka den digitala motståndskraften, fastställa standarder och samordna reglerings- eller tillsynsarbete. På internationell nivå har Baselkommittén för banktillsyn, kommittén för betalningar och marknadsinfrastruktur, rådet för finansiell stabilitet, Financial Stability Institute samt G7 och G20 som mål att förse behöriga myndigheter och marknadsoperatörer inom olika jurisdiktioner med verktyg för att stärka motståndskraften hos deras finansiella system. Det arbetet har också motiverats av behovet av att vederbörligen beakta IKT-risk i ett globalt finansiellt system som är starkt sammanlänkat och eftersträva större samstämmighet vad gäller relevant bästa praxis.

(5)Trots unionens och nationella riktade politiska initiativ och lagstiftningsinitiativ fortsätter IKT-risk att utgöra en utmaning för den operativa motståndskraften, prestandan och stabiliteten i unionens finansiella system. De reformer som följde på finanskrisen 2008 stärkte i första hand den finansiella motståndskraften hos unionens finanssektor och syftade till att skydda unionens konkurrenskraft och stabilitet ur ekonomiska och tillsynsmässiga perspektiv samt vad gäller marknadsbeteende. Även om IKT-säkerhet och digital motståndskraft ingår i de operativa riskerna har de inte uppmärksammats lika mycket i lagstiftningsagendan efter finanskrisen och har bara utvecklats inom vissa områden av unionens politik och regelverk för finansiella tjänster, eller endast i ett fåtal medlemsstater.

(6)I sitt meddelande av den 8 mars 2018 med titeln Handlingsplanen för fintech: – ett viktigt steg mot en mer konkurrenskraftig europeisk finanssektor betonade kommissionen att det är ytterst viktigt att göra unionens finanssektor mer motståndskraftig, inbegripet ur ett operativt perspektiv för att säkerställa dess tekniska säkerhet och goda funktion, och dess snabba återställning efter IKT-relaterade överträdelser och IKT-incidenter, så att finansiella tjänster i förlängningen kan tillhandahållas på ett effektivt och smidigt sätt i hela unionen, inbegripet i stressituationer, samtidigt som konsumenternas och marknadens förtroende bevaras.

(7)I april 2019 utfärdade gemensamt Europeiska tillsynsmyndigheten (Europeiska bankmyndigheten, EBA) inrättad

genom Europaparlamentets och rådets förordning (EU) nr 1093/2010 (4), Europeiska tillsynsmyndigheten (Europeiska försäkrings- och tjänstepensionsmyndigheten, Eiopa) inrättad genom Europaparlamentets och rådets förordning (EU) nr 1094/2010 (5), och Europeiska tillsynsmyndigheten (Europeiska värdepappers- och

(4) Europaparlamentets och rådets förordning (EU) nr 1093/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska bankmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/78/EG (EUT L 331, 15.12.2010, s. 12).

(5) Europaparlamentets och rådets förordning (EU) nr 1094/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska försäkrings- och tjänstepensionsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/79/EG (EUT L 331, 15.12.2010, s. 48).

234

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/3

marknadsmyndigheten, Esma) inrättad genom Europaparlamentets och rådets förordning (EU) nr 1095/2010 (6) (gemensamt kallade de europeiska tillsynsmyndigheterna) teknisk rådgivning och efterlyste ett enhetligt tillvägagångssätt för IKT-risk inom finanssektorn och rekommenderade en proportionell förstärkning av den digitala operativa motståndskraften i sektorn för finansiella tjänster genom ett sektorsspecifikt initiativ från unionen.

(8)Unionens finansiella sektor regleras genom ett enhetligt regelverk och styrs av ett europeiskt system för finansiell tillsyn. Icke desto mindre är bestämmelserna om digital operativ motståndskraft och IKT-säkerhet ännu inte fullständigt eller konsekvent harmoniserade, trots att den digitala operativa motståndskraften är avgörande för att säkerställa finansiell stabilitet och marknadsintegritet i den digitala tidsåldern, och inte mindre viktiga än t.ex. gemensamma standarder för tillsyn eller marknadsbeteenden. Det enhetliga regelverket och tillsynssystemet bör därför utvecklas så att de även omfattar digital operativ motståndskraft, genom att behöriga myndigheters mandat stärks så att de kan övervaka hanteringen av IKT-risk inom den finansiella sektorn i syfte att skydda den inre marknadens integritet och effektivitet samt för att främja dess korrekta funktion.

(9)Skillnader i lagstiftning och olika nationella reglerings- eller tillsynsstrategier för IKT-risk skapar hinder för den inre marknadens funktion för finansiella tjänster och hindrar ett smidigt utövande av etableringsfriheten och tillhanda hållandet av tjänster för finansiella entiteter som bedriver gränsöverskridande verksamhet. Konkurrensen mellan samma typ av finansiella entiteter med verksamhet i olika medlemsstater skulle också kunna snedvridas. Detta gäller särskilt de områden där unionens harmonisering har varit mycket begränsad, såsom testning av digital operativ motståndskraft, eller saknas, såsom övervakning av IKT-tredjepartsrisk. Skillnader som härrör från den planerade utvecklingen på nationell nivå skulle kunna skapa ytterligare hinder för den inre marknadens funktion, till skada för marknadsaktörer och finansiell stabilitet.

(10)På grund av att bestämmelser i fråga om IKT-risk endast delvis behandlas på unionsnivå finns för närvarande luckor eller överlappningar på viktiga områden, t.ex. när det gäller IKT-relaterad incidentrapportering och testning av digital operativ motståndskraft, samt bristande konsekvens när skiljaktiga nationella regler utformas eller överlappande regler tillämpas på ett icke kostnadseffektivt sätt. Detta är särskilt skadligt för IKT-intensiva användare som finanssektorn, eftersom teknikrisker inte stannar vid nationsgränser och finanssektorn använder sina tjänster på bred gränsöverskridande basis inom och utanför unionen. Enskilda finansiella entiteter som bedriver gränsöver skridande verksamhet eller som innehar flera tillstånd (en finansiell entitet kan t.ex. ha tillstånd som bank, värdepappersföretag och betalningsinstitut, där varje tillstånd har utfärdats av olika behöriga myndigheter i en eller flera medlemsstater) ställs inför operativa utmaningar när det gäller att på egen hand hantera IKT-risk och mildra IKT-incidenters negativa effekter på ett samstämmigt och kostnadseffektivt sätt.

(11)Eftersom det enhetliga regelverket inte har åtföljts av en heltäckande IKT-ram eller ram för operativa risker krävs ytterligare harmonisering av viktiga krav på digital operativ motståndskraft för alla finansiella entiteter. Utvecklingen av IKT-kapacitet och övergripande motståndskraft hos finansiella entiteter baserat på dessa viktiga krav för att stå emot driftstörningar skulle bidra till att bevara stabiliteten och integriteten på unionens finansmarknader och därmed bidra till att säkerställa en hög skyddsnivå för investerare och konsumenter i unionen. Eftersom syftet med denna förordning är att bidra till att den inre marknaden fungerar friktionsfritt bör den baseras på artikel 114 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget), så som artikeln tolkats i Europeiska unionens domstols (domstolen) fasta rättspraxis.

(12)Denna förordning syftar till att konsolidera och uppgradera IKT-riskkraven som en del av de operativa riskkraven, vilka hittills har behandlats separat i olika unionsrättsakter. Även om dessa akter omfattade de huvudsakliga kategorierna av finansiell risk (t.ex. kreditrisk, marknadsrisk, motpartsrisk, likviditetsrisk och marknadsbeteen derisker), behandlades inte alla komponenter i den operativa motståndskraften på ett heltäckande sätt när dessa akter antogs. När reglerna rörande operativa risker närmare utformades i dessa unionsrättsakter föredrogs ofta en traditionell kvantitativ strategi för riskhantering (nämligen fastställande av ett kapitalkrav för att täcka IKT-risk) i stället för riktade kvalitativa regler avseende skydd, upptäckt, begränsning, återställning och avhjälpande av IKT- relaterade incidenter eller avseende rapporteringskapacitet och digital testkapacitet. Dessa akter var i första hand

(6) Europaparlamentets och rådets förordning (EU) nr 1095/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska värdepappers- och marknadsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/77/EG (EUT L 331, 15.12.2010, s. 84).

235

Prop. 2024/25:44

Bilaga 1

L 333/4	SV	Europeiska unionens officiella tidning	27.12.2022

avsedda att omfatta och uppdatera grundläggande regler om tillsyn, marknadsintegritet eller marknadsbeteende. Genom att olika regler för IKT-risk konsolideras och uppgraderas bör alla bestämmelser om digitala risker inom finanssektorn för första gången samlas på ett enhetligt sätt i en enda rättsakt. Denna förordning täpper till luckorna eller avhjälper bristen på konsekvens i vissa av de tidigare rättsakterna, inbegripet i fråga om den terminologi som används i dem och som uttryckligen hänvisar till IKT-risk genom riktade regler om IKT-riskhanteringsförmåga, incidentrapportering, testning av operativ motståndskraft och övervakning av IKT-tredjepartsrisk. Denna förordning bör därför också öka medvetenheten om IKT-risk och understryka att IKT-incidenter och bristande operativ motståndskraft kan äventyra finansiella entiteters sundhet.

(13)Finansiella entiteter bör följa samma tillvägagångssätt och samma principbaserade regler i sin hantering av IKT-risk med beaktande av sin storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, verksamhet och insatser. Enhetlighet bidrar till att öka förtroendet för det finansiella systemet och bevara dess stabilitet, särskilt i tider av starkt beroende av IKT-system, IKT-plattformar och IKT-infrastrukturer, vilket medför ökad digital risk. Iakttagande av grundläggande cyberhygien bör också leda till att det går att undvika höga kostnader för ekonomin, genom att effekterna av och kostnaderna för IKT-avbrott minimeras.

(14)En förordning bidrar till att minska lagstiftningens komplexitet, främjar konvergens i tillsynen och ökar rättssäkerheten, och bidrar också till att begränsa efterlevnadskostnaderna, särskilt för finansiella entiteter som bedriver gränsöverskridande verksamhet, och till att minska snedvridningen av konkurrensen. Därför är valet av en förordning för inrättandet av en gemensam ram för finansiella entiteters digitala operativa motståndskraft det lämpligaste sättet att garantera en enhetlig och samstämmig tillämpning av alla delar av IKT-riskhanteringen inom unionens finanssektor.

(15)Europaparlamentets och rådets direktiv (EU) 2016/1148 (7) var den första övergripande ramen för cybersäkerhet som antogs på unionsnivå och som också tillämpas på tre typer av finansiella entiteter, nämligen kreditinstitut, handelsplatser och centrala motparter. Eftersom det i direktiv (EU) 2016/1148 fastställdes en mekanism för identifiering på nationell nivå av leverantörer av samhällsviktiga tjänster, var det endast vissa kreditinstitut, handelsplatser och centrala motparter som identifierades av medlemsstaterna som inkluderades i direktivets tillämpningsområde i praktiken och därmed är skyldiga att uppfylla de rapporteringskrav i fråga om IKT-säkerhet och IKT-incidenter som fastställs i direktivet. I Europaparlamentets och rådets direktiv (EU) 2022/2555 (8) fastställs enhetliga kriterier för att avgöra vilka entiteter som omfattas av dess tillämpningsområde (storleksbaserad regel) samtidigt som de tre typerna av finansiella entiteter behålls inom dess tillämpningsområde.

(16)Eftersom denna förordning leder till en ökad harmonisering av de olika komponenterna av digital motståndskraft genom att det införs strängare krav på IKT-riskhantering och IKT-relaterad incidentrapportering än de som fastställs i den nuvarande unionsrätten avseende finansiella tjänster, innebär denna högre nivå en ökad harmonisering även jämfört med kraven i direktiv (EU) 2022/2555. Denna förordning utgör följaktligen lex specialis i förhållande till direktiv (EU) 2022/2555. Det är samtidigt mycket viktigt att upprätthålla en stark koppling mellan finanssektorn och unionens övergripande ram för cybersäkerhet, som för närvarande fastställs i direktiv (EU) 2022/2555 för att säkerställa överensstämmelse med de strategier för cybersäkerhet som antagits av medlemsstaterna och göra det möjligt för finansiella tillsynsmyndigheter att få kännedom om cyberincidenter som påverkar andra sektorer som omfattas av det direktivet.

(7) Europaparlamentets och rådets direktiv (EU) 2016/1148 av den 6 juli 2016 om åtgärder för en hög gemensam nivå på säkerhet i nätverks- och informationssystem i hela unionen (EUT L 194, 19.7.2016, s. 1).

(8) Europaparlamentets och rådets direktiv (EU) 2022/2555 av den 14 december 2022 om åtgärder för en hög gemensam cybersäker hetsnivå i hela unionen, om ändring av förordning (EU) nr 910/2014 och direktiv (EU) 2018/1972, och om upphävande av direktiv (EU) 2016/1148 (NIS 2-direktivet) (se sidan 80 i detta nummer av EUT).

236

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/5

(17)I enlighet med artikel 4.2 i fördraget om Europeiska unionen och utan att det påverkar domstolens rättsliga prövning bör denna förordning inte påverka medlemsstaternas ansvar vad gäller väsentliga statliga funktioner rörande allmän säkerhet, försvar och skyddet av den nationella säkerheten, till exempel när det gäller tillhandahållande av information som står i strid med skyddet av den nationella säkerheten.

(18)För att möjliggöra sektorsövergripande lärande och effektivt ta vara på erfarenheter från andra sektorer när det gäller att hantera cyberhot bör de finansiella entiteter som avses i direktiv (EU) 2022/2555 fortsätta att ingå i ”ekosystemet”

idet direktivet (t.ex. samarbetsgrupp samt nätverket av entiteter för hantering av it-säkerhetsincidenter (CSIRT- enheter)). De europeiska tillsynsmyndigheterna och de nationella behöriga myndigheterna bör kunna delta i de strategiska politiska diskussionerna och det tekniska arbetet i samarbetsgruppen enligt det direktivet och kunna utbyta information och samarbeta ytterligare med de gemensamma kontaktpunkter som har utsetts eller inrättats i enlighet med det direktivet. De behöriga myndigheterna enligt denna förordning bör också samråda och samarbeta med CSIRT-enheter. De behöriga myndigheterna bör också kunna begära teknisk rådgivning från de behöriga myndigheter som utsetts eller inrättats i enlighet med direktiv (EU) 2022/2555 samt inrätta samarbetsarrangemang

isyfte att säkerställa effektiva och snabba samordningsmekanismer.

(19)Med tanke på de starka sambanden mellan finansiella entiteters digitala motståndskraft och fysiska motståndskraft krävs ett enhetligt tillvägagångssätt för kritiska entiteters motståndskraft i denna förordning och i Europapar lamentets och rådets direktiv (EU) 2022/2557 (9). Eftersom finansiella entiteters fysiska motståndskraft behandlas övergripande i de skyldigheter rörande IKT-riskhantering och rapportering som omfattas av denna förordning, bör de skyldigheter som fastställs i kapitlen III och IV i direktiv (EU) 2022/2557 inte tillämpas på finansiella entiteter som omfattas av tillämpningsområdet för det direktivet.

(20)Leverantörer av molntjänster är en kategori av leverantörer av digitala infrastrukturer som omfattas av direktiv (EU) 2022/2555. Den unionstillsynsram (tillsynsramen) som inrättas genom denna förordning är tillämplig på alla kritiska tredjepartsleverantörer av IKT-tjänster, inbegripet leverantörer av molntjänster som tillhandahåller IKT- tjänster till finansiella entiteter, och bör betraktas som ett komplement till den tillsyn som utförs enligt direktiv (EU) 2022/2555. Den tillsynsram som inrättas genom denna förordning bör dessutom omfatta leverantörer av molntjänster, i avsaknad av en unionsomfattande sektorsövergripande ram för inrättande av en digital tillsynsmyndighet.

(21)För att finansiella entiteter ska kunna upprätthålla full kontroll över IKT-risk måste de ha övergripande kapacitet som möjliggör en kraftfull och effektiv IKT-riskhantering, liksom särskilda mekanismer och riktlinjer för att hantera alla IKT-relaterade incidenter och rapportera allvarliga IKT-relaterade incidenter. På samma sätt bör finansiella entiteter ha inrättat strategier för testning av IKT-system, IKT-kontroller och IKT-processer samt för hantering av IKT- tredjepartsrisk. Referensnivån för digital operativ motståndskraft hos finansiella entiteter bör höjas och samtidigt möjliggöra en proportionell tillämpning av kraven för vissa finansiella entiteter, särskilt mikroföretag, liksom finansiella entiteter som är föremål för en förenklad IKT-riskhanteringsram. För att underlätta en effektiv tillsyn av tjänstepensionsinstitut som är proportionell och tillgodoser behovet att minska de behöriga myndigheternas administrativa bördor bör relevanta nationella tillsynsramar för sådana finansiella entiteter beakta deras storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, verksamhet och insatser, även när de relevanta trösklar som fastställs i artikel 5 i Europaparlamentets och rådets direktiv (EU) 2016/2341 (10) överskrids. Framför allt bör tillsynsverksamhet i första hand inriktas på behovet av att hantera allvarliga risker i samband med IKT-riskhantering i en särskild entitet.

(9) Europaparlamentets och rådets direktiv (EU) 2022/2557 av den 14 december 2022 om kritiska entiteters motståndskraft och upphävande av rådets direktiv 2008/114/EG (se sidan 164 i detta nummer av EUT).

(10) Europaparlamentets och rådets direktiv (EU) 2016/2341 av den 14 december 2016 om verksamhet i och tillsyn över tjänstepensions institut (EUT L 354, 23.12.2016, s. 37).

237

Prop. 2024/25:44

Bilaga 1

L 333/6	SV	Europeiska unionens officiella tidning	27.12.2022

De behöriga myndigheterna bör också upprätthålla ett vaksamt men proportionellt tillvägagångssätt vad gäller tillsyn över tjänstepensionsinstitut som, i enlighet med artikel 31 i direktiv (EU) 2016/2341, utkontrakterar en betydande del av sin kärnverksamhet, till exempel kapitalförvaltning, försäkringstekniska beräkningar, redovisning och databehandling till tjänsteleverantörer.

(22)Tröskelvärden och taxonomier för rapportering av IKT-relaterade incidenter varierar avsevärt på nationell nivå. Även om en samsyn kan uppnås genom det relevanta arbete som utförs av Europeiska unionens cybersäkerhetsbyrå (Enisa), som inrättats genom Europaparlamentets och rådets förordning (EU) 2019/881 (11), och samarbetsgruppen enligt direktiv (EU) 2022/2555, kan det fortfarande förekomma eller växa fram olika strategier för tröskelvärden och taxonomier för andra finansiella entiteter. Dessa skillnader medför flera krav som finansiella entiteter måste uppfylla, särskilt när de är verksamma i flera medlemsstater och när de ingår i en finansiell koncern. Sådana skillnader kan dessutom hindra inrättandet av ytterligare enhetliga eller centraliserade mekanismer på unionsnivå som påskyndar rapporteringsprocessen och underlättar ett snabbt och smidigt informationsutbyte mellan behöriga myndigheter, vilket är avgörande för att hantera IKT-risk vid storskaliga attacker med eventuella konsekvenser för det finansiella systemet.

(23)För att minska den administrativa bördan och eventuellt dubbla rapporteringsskyldigheter för vissa finansiella entiteter bör kravet på incidentrapportering enligt Europaparlamentets och rådets direktiv (EU) 2015/2366 (12) upphöra att tillämpas för betaltjänstleverantörer som omfattas av tillämpningsområdet för denna förordning. Därför bör de kreditinstitut, institut för elektroniska pengar, betalningsinstitut och leverantörer av kontoinformations tjänster som avses i artikel 33.1 i det direktivet, från och med tillämpningsdagen för denna förordning rapportera enligt denna förordning, alla betalningsrelaterade operativa incidenter eller säkerhetsincidenter som tidigare rapporterades enligt det direktivet, oavsett om sådana incidenter är IKT-relaterade.

(24)För att de behöriga myndigheterna ska kunna fullgöra tillsynsuppgifter genom att skaffa sig en fullständig överblick över IKT-relaterade incidenters art, frekvens, betydelse och inverkan och för att förbättra informationsutbytet mellan berörda offentliga myndigheter, inbegripet brottsbekämpande myndigheter och resolutionsmyndigheter, bör denna förordning fastställa regler för att uppnå ett stabilt rapporteringssystem för IKT-relaterade incidenter, där relevanta krav åtgärdar befintliga luckor i rätten avseende finansiella tjänster och undanröjer överlappningar och dubbleringar för att minska kostnaderna. Det är därför viktigt att harmonisera rapporteringssystemet för IKT-relaterade incidenter genom att kräva att alla finansiella entiteter rapporterar till sina behöriga myndigheter genom en harmoniserad ram i enlighet med denna förordning. Dessutom bör de europeiska tillsynsmyndigheterna ges befogenhet att närmare specificera relevanta delar i ramen för rapportering av IKT-relaterade incidenter, såsom taxonomi, tidsramar, datamängder, mallar och tillämpliga tröskelvärden. För att säkerställa fullständig överensstämmelse med direktiv (EU) 2022/2555 bör finansiella entiteter på frivillig basis tillåtas rapportera betydande cyberhot till den relevanta behöriga myndigheten, när de anser att cyberhotet är relevant för det finansiella systemet, tjänsteanvändare eller kunder.

(25)Krav på testning av digital operativ motståndskraft har utarbetats i vissa finansiella delsektorer med ramar som inte alltid är harmoniserade fullt ut. Detta leder till potentiellt dubbla kostnader för gränsöverskridande finansiella entiteter och gör ett ömsesidigt erkännande av testresultaten för digital operativ motståndskraft komplicerat, vilket i sin tur kan fragmentera den inre marknaden.

(11) Europaparlamentets och rådets förordning (EU) 2019/881 av den 17 april 2019 om Enisa (Europeiska unionens cybersäkerhetsbyrå) och om cybersäkerhetscertifiering av informations- och kommunikationsteknik och om upphävande av förordning (EU) nr 526/2013 (cybersäkerhetsakten) (EUT L 151, 7.6.2019, s. 15).

(12) Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG (EUT L 337, 23.12.2015, s. 35).

238

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/7

(26)I de fall där det inte krävs någon IKT-testning förblir dessutom sårbarheter oupptäckta och leder till att en finansiell entitet utsätts för IKT-risk, och skapar i förlängningen en högre risk för den finansiella sektorns stabilitet och integritet. Utan unionsåtgärder skulle testningen av digital operativ motståndskraft fortsätta att vara inkonsekvent och det skulle inte finnas något system för ömsesidigt erkännande av IKT-testresultat i olika jurisdiktioner. Eftersom det dessutom är osannolikt att andra finansiella delsektorer skulle anta testsystem i en meningsfull omfattning skulle de också gå miste om de potentiella fördelarna med en testram, t.ex. att avslöja IKT-sårbarheter och IKT-risker, och att testa försvarskapacitet och driftskontinuitet, vilket bidrar till att öka kundernas, leverantörernas och affärspartnernas förtroende. För att åtgärda dessa överlappningar, skillnader och luckor är det nödvändigt att fastställa regler som syftar till ett samordnat testsystem för finansiella entiteter, för att på så sätt underlätta ömsesidigt erkännande av avancerade tester för de finansiella entiteter som uppfyller de krav som fastställs i denna förordning.

(27)Finansinstitutens beroende av användningen av IKT-tjänster beror delvis på deras behov av att anpassa sig till en framväxande konkurrenskraftig digital global ekonomi, effektivisera sin verksamhet och tillgodose konsumenternas efterfrågan. Karaktären på och omfattningen av ett sådant beroende har utvecklats kontinuerligt under de senaste åren, vilket har drivit fram kostnadsminskningar inom finansiell förmedling, möjliggjort företagsexpansion och skalbarhet vid införandet av finansiell verksamhet och samtidigt gett tillgång till ett brett spektrum av IKT-verktyg för att hantera komplexa interna processer.

(28)Den omfattande användningen av IKT-tjänster framgår av komplexa kontraktsmässiga arrangemang, där finansiella entiteter ofta stöter på svårigheter med att förhandla om avtalsvillkor som är anpassade till de tillsynsstandarder eller andra lagstadgade krav som de omfattas av, eller på annat sätt hävda särskilda rättigheter, såsom åtkomsträtt eller revisionsrätt, även när dessa är inskrivna i deras kontraktsmässiga arrangemang. Många av de kontraktsmässiga arrangemangen innehåller dessutom inte tillräckliga skyddsåtgärder som möjliggör en fullständig övervakning av utkontrakteringsprocesser, vilket gör att den finansiella entiteten inte har möjlighet att bedöma dessa risker. Eftersom tredjepartsleverantörer av IKT-tjänster ofta tillhandahåller standardiserade tjänster till olika typer av kunder kan det dessutom hända att sådana kontraktsmässiga arrangemang inte alltid tillgodoser finansbranschak törernas individuella eller särskilda behov.

(29)Även om unionsrätten avseende finansiella tjänster omfattar vissa allmänna regler om utkontraktering är övervakningen av avtalsdimensionen inte helt förankrad i unionsrätten. Tydliga och skräddarsydda unionsstandarder som är tillämpliga på de kontraktsmässiga arrangemang som har ingåtts med tredjepartsleve rantörer av IKT-tjänster saknas, och därmed hanteras inte den externa IKT-riskkällan på ett heltäckande sätt. Det är därför nödvändigt att fastställa vissa nyckelprinciper för att vägleda finansiella entiteters hantering av IKT- tredjepartsrisker, vilka är särskilt viktiga när finansiella entiteter använder tredjepartsleverantörer av IKT-tjänster för att stödja kritiska eller viktiga funktioner. Dessa principer bör åtföljas av en uppsättning grundläggande avtalsenliga rättigheter i samband med flera aspekter av fullgörandet och avslutandet av kontraktsmässiga arrangemang i syfte att tillhandahålla vissa minimiskyddsåtgärder för att stärka finansiella entiteters förmåga att effektivt övervaka alla IKT- risker som uppstår på tredjepartstjänsteleverantörsnivå. De principerna kompletterar den sektorsrätt som är tillämplig på utkontraktering.

(30)Det är i dagsläget uppenbart att det råder en viss brist på homogenitet och konvergens vad gäller övervakningen av IKT-tredjepartsrisker och beroende av IKT-tredjeparter. Trots ansträngningarna för att hantera utkontraktering, t.ex. EBA:s riktlinjer för utkontraktering från 2019 och Esmas riktlinjer för utkontraktering till molntjänstleverantörer från 2021, behandlas den större frågan om att motverka systemrisker som kan utlösas av finanssektorns exponering mot ett begränsat antal kritiska tredjepartsleverantörer av IKT-tjänster inte i tillräcklig utsträckning i unionsrätten. Denna avsaknad av regler på unionsnivå förvärras av att det inte finns några nationella regler för mandat och verktyg som gör det möjligt för finansiella tillsynsmyndigheter att skaffa sig en god bild av beroendet av IKT-tredjeparter och att på lämpligt sätt övervaka risker som uppstår till följd av koncentration av beroenden av IKT- tredjeparter.

239

Prop. 2024/25:44

Bilaga 1

L 333/8	SV	Europeiska unionens officiella tidning	27.12.2022

(31)Med hänsyn till de potentiella systemrisker som den ökade utkontrakteringen och koncentrationen av IKT- tredjeparter medför, och till de otillräckliga nationella mekanismer som ger finansiella tillsynsmyndigheter lämpliga verktyg för att kvantitativt och kvalitativt fastställa och åtgärda konsekvenserna av IKT-risk som uppstår hos kritiska tredjepartsleverantörer av IKT-tjänster, är det nödvändigt att inrätta en lämplig tillsynsram som möjliggör en kontinuerlig övervakning av verksamheten hos tredjepartsleverantörer av IKT-tjänster som är kritiska tredjepartsle verantörer av IKT-tjänster till finansiella entiteter, och samtidigt säkerställa konfidentialitet och säkerhet för kunder som inte är finansiella entiteter. Tillhandahållandet av IKT-tjänster inom en koncern medför specifika risker och fördelar, men det bör inte automatiskt anses mindre riskfyllt än tillhandahållande av IKT-tjänster från leverantörer utanför en finansiell koncern, och bör därför omfattas av samma regelverk. När IKT-tjänster tillhandahålls inom samma finansiella koncern kan dock finansiella entiteter ha större kontroll över koncerninterna leverantörer, vilket bör beaktas vid den övergripande riskbedömningen.

(32)I och med att IKT-risker blir alltmer komplexa och sofistikerade kommer effektiva åtgärder för att upptäcka och förebygga IKT-risk att i hög grad vara beroende av regelbundet utbyte mellan finansiella entiteter av underrättelser om hot och sårbarhet. Informationsutbyte bidrar till att skapa ökad medvetenhet om cyberhot. Detta ökar i sin tur finansiella entiteters förmåga att förhindra att cyberhot blir verkliga IKT-relaterade incidenter, och gör det möjligt för finansiella entiteter att på ett mer effektivt sätt begränsa IKT-relaterade incidenters inverkan och att återhämta sig snabbare. I avsaknad av vägledning på unionsnivå verkar flera faktorer ha hindrat sådant utbyte av underrättelser, särskilt osäkerhet om förenligheten med dataskyddsregler, antitrustregler och ansvarsregler.

(33)Dessutom leder tveksamheter om vilken typ av information som kan delas med andra marknadsaktörer, eller med myndigheter som inte är tillsynsmyndigheter (t.ex. Enisa, för analytiskt underlag, eller Europol, för brottsbekämpande ändamål) till att användbar information inte lämnas ut. Omfattningen av och kvaliteten på informationsutbytet är därför i nuläget fortfarande begränsad och fragmenterad, med relevanta utbyten som oftast görs lokalt (via nationella initiativ) och inga enhetliga unionsomfattande arrangemang för informationsutbyte som är anpassade till behoven i ett integrerat finansiellt system. Det är därför viktigt att stärka dessa kommunika tionskanaler.

(34)Finansiella entiteter bör därför uppmuntras att sinsemellan utbyta information och underrättelser om cyberhot, och kollektivt utnyttja sina individuella kunskaper och praktiska erfarenheter på strategisk, taktisk och operativ nivå i syfte att förbättra sin förmåga att på lämpligt sätt bedöma, övervaka, försvara och reagera på cyberhot genom att delta i arrangemang för informationsutbyte. Det är därför nödvändigt att på unionsnivå möjliggöra framväxten av mekanismer för frivilligt informationsutbyte som, när de genomförs i betrodda miljöer, skulle hjälpa finanssektorn att förebygga och kollektivt reagera på cyberhot genom att snabbt begränsa spridningen av IKT-risk och hindra potentiella spridningseffekter genom de finansiella kanalerna. Dessa mekanismer bör överensstämma med unionens tillämpliga konkurrensrättsliga regler som anges i kommissionens meddelande av den 14 januari 2011 med titeln Riktlinjer för tillämpningen av artikel 101 i fördraget om Europeiska unionens funktionssätt på horisontella samarbetsavtal samt med unionens dataskyddsregler, särskilt Europaparlamentets och rådets förordning (EU) 2016/679 (13). De bör fungera på grundval av en eller flera av de rättsliga grunder som fastställs i artikel 6 i den förordningen, till exempel i samband med sådan behandling av personuppgifter som är nödvändig för ändamål som rör den personuppgiftsan svariges eller en tredje parts berättigade intressen, enligt artikel 6.1 f i den förordningen, liksom i samband med den behandling av personuppgifter som är nödvändig för att fullgöra en rättslig förpliktelse som åvilar den registeransvarige, som är nödvändig för att utföra en uppgift i allmänt intresse eller som ett led i den personuppgift sansvariges myndighetsutövning, enligt artikel 6.1 c respektive e i den förordningen.

(13) Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1).

240

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/9

(35)För att upprätthålla en hög nivå av digital operativ motståndskraft i hela den finansiella sektorn, och samtidigt hålla jämna steg med den tekniska utvecklingen, bör denna förordning hantera de risker som härrör från alla typer av IKT- tjänster. I det syftet bör definitionen av IKT-tjänster inom ramen för denna förordning ges en vid tolkning för att omfatta digitala tjänster och datatjänster som tillhandahålls fortlöpande genom IKT-system till en eller flera interna eller externa användare. Den definitionen bör till exempel omfatta s.k. over-the-top-tjänster, som omfattas av kategorin elektroniska kommunikationstjänster. Den bör endast utesluta den begränsade kategori av traditionella analoga telefonitjänster som räknas som tjänster inom det allmänna telefonnätet (PSTN), tjänster inom fasta nät, konventionella telefontjänster (POTS) eller telefonitjänster inom fasta nät.

(36)Trots den breda täckning som föreskrivs i denna förordning bör vid tillämpningen av reglerna om digital operativ motståndskraft beaktas betydande skillnader mellan finansiella entiteter i fråga om deras storlek och allmänna riskprofil. Som en allmän princip bör finansiella entiteter, när de fördelar resurser och kapacitet till genomförandet av IKT-riskhanteringsramen, på lämpligt sätt väga sina IKT-relaterade behov mot sin storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, verksamhet och insatser medan de behöriga myndigheterna bör fortsätta att bedöma och se över tillvägagångssättet för en sådan fördelning.

(37)Leverantörer av kontoinformationstjänster, som avses i artikel 33.1 i direktiv (EU) 2015/2366, omfattas uttryckligen av denna förordnings tillämpningsområde, med hänsyn till den specifika arten av deras verksamhet och de risker som den ger upphov till. Dessutom omfattas institut för elektroniska pengar och betalningsinstitut och som är undantagna enligt artikel 9.1 i Europaparlamentets och rådets direktiv 2009/110/EG (14) och artikel 32.1 i direktiv (EU) 2015/2366 av tillämpningsområdet för denna förordning även om de inte har beviljats auktorisation i enlighet med direktiv 2009/110/EG att ge ut elektroniska pengar, eller om de inte har auktoriserats i enlighet med direktiv (EU) 2015/2366 att tillhandahålla och genomföra betaltjänster. De postgiroinstitut som avses i artikel 2.5.3 i Europaparlamentets och rådets direktiv 2013/36/EU (15) är dock undantagna från denna förordnings tillämpningsområde. Den behöriga myndigheten för betalningsinstitut som är undantagna enligt direktiv (EU) 2015/2366, institut för elektroniska pengar som är undantagna enligt direktiv 2009/110/EG och leverantörer av kontoinformationstjänster som avses i artikel 33.1 i direktiv (EU) 2015/2366, bör vara den behöriga myndighet som utsetts i enlighet med artikel 22 i direktiv (EU) 2015/2366.

(38)Eftersom större finansiella entiteter skulle kunna ha mer omfattande resurser och snabbt kan använda medel för att utveckla styrningsstrukturer och inrätta olika företagsstrategier, bör endast finansiella entiteter som inte är mikroföretag i den mening som avses i denna förordning vara skyldiga att inrätta mer komplexa styrformer. Framför allt är sådana entiteter bättre rustade att inrätta särskilda ledningsfunktioner för att övervaka arrangemang med tredjepartsleverantörer av IKT-tjänster eller för att sköta krishantering, organisera sin IKT-riskhantering enligt modellen med tre försvarslinjer, eller inrätta en intern riskhanterings- och kontrollmodell och låta sin IKT- riskhanteringsram undergå interna revisioner.

(39)Vissa finansiella entiteter är undantagna från eller omfattas av ett mycket begränsat regelverk enligt relevant sektorsspecifik unionsrätt. Sådana finansiella entiteter omfattar förvaltare av alternativa investeringsfonder som avses i artikel 3.2 i Europaparlamentets och rådets direktiv 2011/61/EU (16), försäkrings- och återförsäkringsföretag som avses i artikel 4 i Europaparlamentets och rådets direktiv 2009/138/EG (17) samt tjänstepensionsinstitut som förvaltar pensionsplaner som tillsammans inte har fler än totalt 15 medlemmar. Mot bakgrund av dessa undantag

(14) Europaparlamentets och rådets direktiv 2009/110/EG av den 16 september 2009 om rätten att starta och driva affärsverksamhet i institut för elektroniska pengar samt om tillsyn av sådan verksamhet, om ändring av direktiven 2005/60/EG och 2006/48/EG och om upphävande av direktiv 2000/46/EG (EUT L 267, 10.10.2009, s. 7).

(15) Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 om behörighet att utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut, om ändring av direktiv 2002/87/EG och om upphävande av direktiv 2006/48/EG och 2006/49/EG (EUT L 176, 27.6.2013, s. 338).

(16) Europaparlamentets och rådets direktiv 2011/61/EU av den 8 juni 2011 om förvaltare av alternativa investeringsfonder samt om ändring av direktiv 2003/41/EG och 2009/65/EG och förordningarna (EG) nr 1060/2009 och (EU) nr 1095/2010 (EUT L 174, 1.7.2011, s. 1).

(17) Europaparlamentets och rådets direktiv 2009/138/EG av den 25 november 2009 om upptagande och utövande av försäkrings- och återförsäkringsverksamhet (Solvens II) (EUT L 335, 17.12.2009, s. 1).

241

Prop. 2024/25:44

Bilaga 1

L 333/10	SV	Europeiska unionens officiella tidning	27.12.2022

skulle det inte vara proportionellt att inkludera sådana finansiella entiteter i denna förordnings tillämpningsområde. Denna förordning erkänner dessutom försäkringsförmedlingsmarknadens särdrag, vilket innebär att försäkrings förmedlare, återförsäkringsförmedlare och försäkringsförmedlare som bedriver förmedling som sidoverksamhet och som räknas som mikroföretag eller som små eller medelstora företag inte bör omfattas av denna förordning.

(40)Eftersom de entiteter som avses i artikel 2.5.4–2.5.23 i direktiv 2013/36/EU är undantagna från det direktivets tillämpningsområde bör medlemsstaterna därför kunna välja att från denna förordning undanta sådana institut som är belägna inom deras respektive territorier.

(41)För att anpassa denna förordning till tillämpningsområdet för Europaparlamentets och rådets direktiv 2014/65/EU (18) är det också lämpligt att från denna förordnings tillämpningsområde utesluta de fysiska och juridiska personer som avses i artiklarna 2 och 3 i det direktivet och som får tillhandahålla investeringstjänster utan att behöva erhålla auktorisation enligt direktiv 2014/65/EU. Dock utesluts även enligt artikel 2 i direktiv 2014/65/EU från tillämpningsområdet för det direktivet entiteter som räknas som finansiella entiteter enligt denna förordning, till exempel värdepapperscentraler, företag för kollektiva investeringar eller försäkrings- och återförsäk ringsföretag. Uteslutningen från denna förordnings tillämpningsområde för personer och entiteter som avses i artiklarna 2 och 3 i det direktivet bör inte omfatta dessa värdepapperscentraler, företag för kollektiva investeringar eller försäkrings- och återförsäkringsföretag.

(42)Enligt sektorsspecifik unionsrätt omfattas vissa finansiella entiteter av förenklade krav eller undantag av skäl som rör deras storlek eller de tjänster de tillhandahåller. Den kategorin av finansiella entiteter omfattar små och icke sammanlänkade värdepappersföretag, små tjänstepensionsinstitut som får uteslutas från tillämpningsområdet för direktiv (EU) 2016/2341 enligt de villkor som fastställs i artikel 5 i det direktivet av den berörda medlemsstaten och som har pensionsplaner som tillsammans inte omfattar fler än 100 personer totalt, liksom institut som är undantagna enligt direktiv 2013/36/EU. Det är därför lämpligt att, i enlighet med proportionalitetsprincipen och för att bevara andan av sektorsspecifik unionsrätt, låta de finansiella entiteterna omfattas av en förenklad IKT- riskhanteringsram enligt denna förordning. Den proportionella karaktären i den förenklade IKT-riskhanteringsram som omfattar dessa finansiella entiteter bör inte ändras av de lagstadgade tekniska standarder som ska utarbetas av de europeiska tillsynsmyndigheterna. I enlighet med proportionalitetsprincipen är det dessutom lämpligt att även låta de betalningsinstitut som avses i artikel 32.1 i direktiv (EU) 2015/2366 och de institut för elektroniska pengar som avses i artikel 9 i direktiv 2009/110/EG som är undantagna i enlighet med nationellt rätt som införlivar dessa unionsrättsakter omfattas av en förenklad IKT-riskhanteringsram enligt denna förordning, medan betalningsinstitut och institut för elektroniska pengar som inte har undantagits i enlighet med respektive nationell rätt som införlivar sektorsspecifik unionsrätt bör följa den allmänna ram som fastställs i denna förordning.

(43)På samma sätt bör finansiella entiteter som räknas som mikroföretag eller som omfattas av den förenklade IKT- riskhanteringsramen enligt denna förordning inte vara skyldiga att inrätta en funktion för att övervaka de arrangemang som de ingått med IKT-tredjepartsleverantörer för användning av IKT-tjänster; eller att utse en medlem av den högre ledningen till ansvarig för att övervaka den åtföljande riskexponeringen och relevant dokumentation; att överföra ansvaret för att hantera och övervaka IKT-risk till en kontrollfunktion och säkerställa en lämplig nivå av oberoende för den kontrollfunktionen för att undvika intressekonflikter; att minst en gång om året dokumentera och se över IKT-riskhanteringsramen; att regelbundet låta IKT-riskhanteringsramen undergå en internrevision; att göra djupgående bedömningar efter större förändringar i deras infrastruktur och processer för nätverks- och informationssystem; att regelbundet genomföra riskanalyser av befintliga IKT-system; att låta genomförandet av åtgärds- och återställningsplaner avseende IKT undergå oberoende interna granskningar; att inrätta en krishanteringsfunktion, att utöka testningen av driftskontinuitet och åtgärds- och återställningsplaner för att fånga upp överflyttningsscenarier mellan primär IKT-infrastruktur och reservanläggningar, att på begäran av de behöriga myndigheterna lämna en uppskattning av de totala årliga kostnader och förluster som orsakas av allvarliga IKT-relaterade incidenter, att upprätthålla IKT-reservkapacitet; att till de nationella behöriga myndigheterna meddela

(18) Europaparlamentets och rådets direktiv 2014/65/EU av den 15 maj 2014 om marknader för finansiella instrument och om ändring av direktiv 2002/92/EG och av direktiv 2011/61/EU (EUT L 173, 12.6.2014, s. 349).

242

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/11

vilka förändringar som genomfördes efter efterhandsöversyner av IKT-relaterade incidenter; att kontinuerligt övervaka relevant teknisk utveckling, att inrätta ett heltäckande program för testning av digital operativ motståndskraft som en integrerad del av den IKT-riskhanteringsram som föreskrivs i den här förordningen, eller att anta och regelbundet se över en strategi för IKT-tredjepartsrisk. Mikroföretag ska dessutom endast bedöma behovet av att upprätthålla sådan IKT-reservkapacitet med utgångspunkt i vilken riskprofil de har. Mikroföretag bör omfattas av ett mer flexibelt system vad gäller program för testning av digital operativ motståndskraft. När de överväger vilken typ och frekvens av testning som ska utföras bör de vederbörligen väga målet att upprätthålla en hög digital operativ motståndskraft, de tillgängliga resurserna och sin allmänna riskprofil. Mikroföretag och finansiella entiteter som omfattas av den förenklade IKT-riskhanteringsramen enligt denna förordning bör undantas från kravet på avancerad testning av IKT-verktyg, IKT-system och IKT-processer baserad på hotbildsstyrd penetrationstestning, eftersom endast finansiella entiteter som uppfyller de krav som fastställs i denna förordning bör vara skyldiga att utföra sådan testning. Mot bakgrund av sin begränsade kapacitet bör mikroföretag kunna komma överens med tredjepartsleverantören av IKT-tjänster att delegera den finansiella entiteten rätt till tillgång, inspektion och revision till en oberoende tredje part som utsetts av tredjepartsleverantören av IKT-tjänster, under förutsättning att den finansiella entiteten, när som helst, kan begära all relevant information och försäkran om tredjepartsleverantörens prestanda från respektive oberoende tredje part.

(44)Eftersom endast de finansiella entiteter som har identifierats vid tillämpning av avancerad testning av digital motståndskraft bör vara skyldiga att utföra hotbildsstyrda penetrationstester, bör dessutom de administrativa processer och finansiella kostnader som genomförandet av sådana tester medför överföras till en liten andel av finansiella entiteter.

(45)För att säkerställa fullständig anpassning och övergripande konsekvens mellan finansiella entiteters affärsstrategier, å ena sidan, och genomförandet av IKT-riskhantering, å andra sidan, bör finansiella entiteters ledningsorgan vara skyldiga att ha en central och aktiv roll i styrningen och anpassningen av IKT-riskhanteringsramen och den övergripande strategin för digital operativ motståndskraft. Ledningsorganens strategi bör inte enbart vara inriktad på hur IKT-systemens motståndskraft säkerställs, utan även omfatta människor och processer genom en uppsättning strategier som, på varje företagsnivå och för all personal, främjar en stark känsla av medvetenhet om cyberrisker och ett åtagande att tillämpa en strikt cyberhygien på alla nivåer. Ledningsorganets yttersta ansvar för att hantera en finansiell entitets IKT-risk bör utgöra en övergripande princip för den heltäckande strategin och omsättas i ett fortlöpande engagemang hos ledningen för att kontrollera övervakningen av IKT-riskhanteringen.

(46)Principen om ledningsorganets fullständiga och slutgiltiga ansvar för hanteringen av IKT-risken för en finansiell entitet går hand i hand med behovet av att säkerställa en nivå för IKT-relaterade investeringar och en övergripande budget för den finansiella entiteten som skulle möjliggöra för den finansiella entiteten att uppnå en hög nivå av digital operativ motståndskraft.

(47)Med inspiration från relevanta internationella, nationella och branschspecifika bästa praxis, riktlinjer, rekommendationer och strategier för hantering av cyberrisker, förordas i denna förordning en uppsättning principer som underlättar den övergripande struktureringen av IKT-riskhanteringen. Så länge finansiella entiteters huvudsakliga kapacitet uppfyller de olika funktionerna för IKT-riskhantering (identifiering, skydd och förebyggande, upptäckt, åtgärd och återställning, lärande och utveckling samt kommunikation) som anges i denna förordning, bör det följaktligen stå finansiella entiteter fritt att använda IKT-riskhanteringsmodeller som utformas eller kategoriseras på olika sätt.

(48)För att hålla jämna steg med den föränderliga cyberhotbilden bör finansiella entiteter upprätthålla uppdaterade IKT- system som är tillförlitliga och har kapacitet, inte bara för att garantera den behandling av data som krävs för deras tjänster, utan också för att säkerställa tillräcklig teknisk motståndskraft som gör det möjligt för dem att på ett adekvat sätt hantera ytterligare databehandlingsbehov på grund av stressade marknadsförhållanden eller andra ogynnsamma situationer.

243

Prop. 2024/25:44

Bilaga 1

L 333/12	SV	Europeiska unionens officiella tidning	27.12.2022

(49)Effektiva kontinuitets- och återställningsplaner krävs för att finansiella entiteter snabbt ska kunna åtgärda IKT- relaterade incidenter, särskilt cyberangrepp, genom att begränsa skador och prioritera återupptagande av verksamhet och återställningsåtgärder i enlighet med sina beredskapsplaner. Ett sådant återupptagande bör dock inte på något sätt äventyra integriteten och säkerheten i nätverks- eller informationssystemen eller uppgifternas tillgänglighet, äkthet, integritet eller konfidentialitet.

(50)Denna förordning innebär att finansiella entiteter kan fastställa sina mål för återställningstid och återskapandepunkt på ett flexibelt sätt och därvid fullt ut ta hänsyn till den berörda funktionens egenskaper och kritikalitet och till eventuella särskilda verksamhetsbehov, men det bör också krävas att de gör en bedömning av den eventuella övergripande inverkan på marknadseffektiviteten när sådana mål fastställs.

(51)Spridare av cyberangrepp tenderar att eftersträva ekonomisk vinning direkt vid källan, vilket utsätter finansiella entiteter för betydande konsekvenser. I syfte att förhindra att IKT-system förlorar integritet eller blir otillgängliga, och därmed undvika dataintrång och skador för den fysiska IKT-infrastrukturen, bör finansiella entiteters rapportering av allvarliga IKT-relaterade incidenter avsevärt förbättras och förenklas. IKT-relaterad incidentrap portering bör harmoniseras genom införande av ett krav för alla finansiella entiteter att rapportera direkt till sina berörda behöriga myndigheter. Om en finansiell entitet är föremål för tillsyn av mer än en nationell behörig myndighet bör medlemsstaterna utse en enda behörig myndighet som mottagare av sådan rapportering. Kreditinstitut som klassificerats som betydande i enlighet med artikel 6.4 i rådets förordning (EU) nr 1024/2013 (19) bör förelägga de nationella behöriga myndigheterna sådan rapportering, och dessa bör därefter översända rapporten till Europeiska centralbanken (ECB).

(52)Direkt rapportering bör göra det möjligt för finansiella tillsynsmyndigheter att få omedelbar tillgång till information om allvarliga IKT-relaterade incidenter. Finansiella tillsynsmyndigheter bör i sin tur vidarebefordra närmare detaljer om allvarliga IKT-relaterade incidenter till offentliga icke-finansiella myndigheter (t.ex. behöriga myndigheter och gemensamma kontaktpunkter enligt direktiv (EU) 2022/2555, nationella dataskyddsmyndigheter och brottsbekämpande myndigheter för allvarliga IKT-relaterade incidenter av brottslig karaktär) för att öka dessa myndigheters medvetenhet om sådana incidenter, och vad gäller CSIRT-enheter, för att underlätta snabbt stöd som kan ges till finansiella entiteter när så är lämpligt. Dessutom bör medlemsstaterna kunna avgöra huruvida finansiella entiteter själva bör tillhandahålla sådan information till offentliga myndigheter utanför området för finansiella tjänster. Dessa informationsflöden bör göra det möjligt för finansiella entiteter att snabbt dra fördel av relevanta tekniska uppgifter, råd om åtgärder och uppföljning från sådana myndigheter. Informationen om allvarliga IKT- relaterade incidenter bör förmedlas ömsesidigt: de finansiella tillsynsmyndigheterna bör ge all nödvändig återkoppling eller vägledning till den finansiella entiteten, medan de europeiska tillsynsmyndigheterna bör dela anonymiserade uppgifter om cyberhot och sårbarheter i samband med en incident, till stöd för ett bredare kollektivt försvar.

(53)Även om det bör krävas att alla finansiella entiteter rapporterar incidenter förväntas inte det kravet påverka dem alla på samma sätt. Relevanta väsentlighetströsklar och rapporteringsfrister bör vederbörligen anpassas, inom ramen för delegerade akter grundade på tekniska standarder för tillsyn som utarbetas av de europeiska tillsynsmyndigheterna, med syftet att endast omfatta allvarliga IKT-relaterade incidenter. Dessutom bör finansiella entiteters särdrag beaktas när fristerna för rapporteringsskyldigheter fastställs.

(54)Denna förordning bör innehålla krav på att kreditinstitut, betalningsinstitut, leverantörer av kontoinformations tjänster och institut för elektroniska pengar rapporterar alla betalningsrelaterade operativa incidenter eller säkerhets incidenter – som tidigare rapporterades enligt direktiv (EU) 2015/2366 – oavsett om incidenten är IKT-relaterad eller inte.

(19) Rådets förordning (EU) nr 1024/2013 av den 15 oktober 2013 om tilldelning av särskilda uppgifter till Europeiska centralbanken i fråga om politiken för tillsyn över kreditinstitut (EUT L 287, 29.10.2013, s. 63).

244

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/13

(55)De europeiska tillsynsmyndigheterna bör få i uppdrag att bedöma genomförbarheten av och villkoren för en eventuell centralisering av IKT-relaterade incidentrapporter på unionsnivå. Sådan centralisering kan bestå av en gemensam EU-knutpunkt för rapportering av allvarliga IKT-relaterade incidenter, som antingen direkt tar emot relevanta rapporter och automatiskt underrättar nationella behöriga myndigheter, eller som enbart centraliserar relevanta rapporter från de nationella behöriga myndigheterna och därmed fyller en samordnande funktion. De europeiska tillsynsmyndigheterna bör få i uppdrag att i samråd med ECB och Enisa utarbeta en gemensam rapport om möjligheten att inrätta en gemensam EU-knutpunkt.

(56)För att uppnå en hög nivå av digital operativ motståndskraft, och i linje med både relevanta internationella standarder (t.ex. G7-gruppens Fundamental Elements for Threat-Led Penetration Testing), och med de ramar som tillämpas inom unionen, till exempel TIBER-EU bör finansiella entiteter regelbundet testa sina IKT-system och sin personal med IKT-ansvar med avseende på hur effektiv deras kapacitet är för förebyggande, upptäckt, åtgärd och återställning, för att upptäcka och åtgärda potentiella IKT-sårbarheter. För att återspegla de skillnader som finns mellan och inom de olika finansiella undersektorerna vad gäller nivån på finansiella entiteters cybersäkerhets beredskap bör testerna omfatta ett brett spektrum av verktyg och åtgärder, alltifrån en bedömning av grundläggande krav (t.ex. sårbarhetsbedömningar och skanningar, analyser av öppen källkod, nätverkssäkerhetsbe dömningar, bristanalyser, fysiska säkerhetsgranskningar, frågeformulär och programvarulösningar för skanning, källkodsgranskningar när så är möjligt, scenariobaserade tester, kompatibilitetstester, prestandatester eller tester ändpunkt till ändpunkt (end-to-end)) till mer avancerade tester genom hotbildsstyrd penetrationstestning. Sådana avancerade tester bör krävas endast av finansiella entiteter som är tillräckligt mogna ur ett IKT-perspektiv för att utföra dem på ett rimligt sätt. Den testning av den digitala operativa motståndskraften som krävs enligt denna förordning bör därför vara mer krävande för de finansiella entiteterna som uppfyller de krav som fastställs i denna förordning (t.ex. stora, systematiska och IKT-mogna kreditinstitut, fondbörser, värdepapperscentraler och centrala motparter) än för andra finansiella entiteter. Samtidigt bör testning av digital operativ motståndskraft genom hotbildsstyrd penetrationstestning vara mer relevant för finansiella entiteter som är verksamma inom delsektorer för centrala finansiella tjänster och som har en central betydelse för systemet (t.ex. betalningar, bankverksamhet, och clearing och avveckling) och mindre relevant för andra delsektorer (t.ex. kapitalförvaltare och kreditvärdering sinstitut).

(57)Finansiella entiteter som bedriver gränsöverskridande verksamhet och som utövar friheten att etablera sig eller tillhandahålla tjänster inom unionen bör uppfylla en enda uppsättning avancerade testkrav (t.ex. hotbildsstyrd penetrationstestning) i sin hemmedlemsstat, vilka bör omfatta IKT-infrastrukturerna i alla jurisdiktioner i unionen där den gränsöverskridande finansiella koncernen bedriver verksamhet, vilket innebär att relaterade IKT-testnings kostnader uppstår i endast en jurisdiktion för sådana gränsöverskridande finansiella koncerner.

(58)För att dra nytta av den expertis som redan förvärvats av vissa behöriga myndigheter, särskilt med avseende på genomförandet av TIBER-EU-ramen, bör denna förordning ge medlemsstaterna möjligheten att utse en enda offentlig myndighet med ansvar för den finansiella sektorn, på nationell nivå, för alla frågor som rör hotbildsstyrd penetrationstestning eller, om ingen sådan myndighet utsetts, för behöriga myndigheter att delegera uppgifter som rör hotbildsstyrd penetrationstestning till en annan nationell finansiell behörig myndighet.

(59)Eftersom denna förordning inte kräver att finansiella entiteter täcker alla kritiska eller viktiga funktioner i en enda hotbildsstyrd penetrationstestning, bör finansiella entiteter vara fria att avgöra vilka och hur många kritiska eller viktiga funktioner som bör omfattas av ett sådant test.

(60)Gemensam testning i den mening som avses i denna förordning – som inbegriper deltagande av flera finansiella entiteter i en hotbildsstyrd penetrationstestning och för vilken en tredjepartsleverantör av IKT-tjänster direkt kan ingå kontraktsmässiga arrangemang med en extern testare – bör endast tillåtas om kvaliteten eller säkerheten för de tjänster som utförs av tredjepartsleverantören av IKT-tjänster åt kunder som är entiteter utanför denna förordnings tillämpningsområde, eller för konfidentialiteten för data som är relaterade till sådana tjänster, rimligen kan förväntas påverkas negativt, gemensam testning bör också omfattas av skyddsåtgärder (under ledning av en utsedd finansiell entitet, med kalibrering av antalet deltagande finansiella entiteter) för att för de berörda finansiella entiteterna säkerställa ett strikt testutförande som uppfyller målen för den hotbildsstyrda penetrationstestningen enligt denna förordning.

245

Prop. 2024/25:44

Bilaga 1

L 333/14	SV	Europeiska unionens officiella tidning	27.12.2022

(61)För att dra fördel av de interna resurser som är tillgängliga på företagsnivå, bör denna förordning tillåta användningen av interna testare i syfte att utföra hotbildsstyrd penetrationstestning, under förutsättning att tillsynsmyndigheten godkänner det, att inga intressekonflikter föreligger och att användningen av interna och externa testare alternerar periodiskt (vart tredje test), och samtidigt kräver att den som tillhandahåller underrättelser om hot för den hotbildsstyrda penetrationstestningen alltid är extern i förhållande till den finansiella entiteten. Ansvaret för att genomföra hotbildsstyrd penetrationstestning bör till fullo ligga kvar hos den finansiella entiteten. Intyg från myndigheterna bör användas enbart för ömsesidigt erkännande och bör inte utesluta några uppföljnings åtgärder som krävs för att hantera den IKT-risk som den finansiella entiteten är utsatt för, och inte heller betraktas som tillsynsmyndighetens godkännande av den finansiella entitetens kapacitet att hantera och begränsa IKT-risk.

(62)För att säkerställa en sund övervakning av IKT-tredjepartsrisk i den finansiella sektorn är det nödvändigt att fastställa en uppsättning principbaserade regler för att vägleda finansiella entiteter vid övervakning av risker som uppstår i samband med funktioner som utkontrakterats till tredjepartsleverantörer av IKT-tjänster, särskilt för IKT-tjänster som stöder kritiska eller viktiga funktioner, liksom mer allmänt inom ramen för alla IKT-tredjepartsberoenden.

(63)För att hantera komplexiteten i de olika källorna till IKT-risk, och samtidigt ta hänsyn till den mångfald av leverantörer av tekniska lösningar som möjliggör ett smidigt tillhandahållande av finansiella tjänster, bör denna förordning omfatta många olika tredjepartsleverantörer av IKT-tjänster, inbegripet leverantörer av molntjänster, programvara, dataanalystjänster och leverantörer av datacentraltjänster. Eftersom finansiella entiteter effektivt och konsekvent bör identifiera och hantera alla typer av risker, inbegripet i samband med IKT-tjänster som tillhandahålls inom en finansiell koncern, bör det på samma sätt klargöras att företag som ingår i en finansiell koncern och som tillhandahåller IKT-tjänster främst till sitt moderföretag, eller till dess dotterbolag eller filialer, liksom finansiella entiteter som tillhandahåller IKT-tjänster till andra finansiella entiteter, också bör betraktas som tredjepartsleve rantörer av IKT-tjänster enligt denna förordning. Slutligen bör, mot bakgrund av att marknaden för betaltjänster blir mer och mer beroende av komplexa tekniska lösningar, och med beaktande av framväxande typer av betaltjänster och betalningsrelaterade lösningar, deltagare i ekosystemet för betaltjänster som tillhandahåller betalningshanter ingstjänster, eller som driver betalningsinfrastrukturer, också anses som tredjepartsleverantörer av IKT-tjänster enligt denna förordning, med undantag för centralbankers hantering av betalningssystem eller system för värdepappersavveckling, samt offentliga myndigheters tillhandahållande av IKT-relaterade tjänster vid uppfyllandet av statliga funktioner.

(64)En finansiell entitet bör alltid ha det fulla ansvaret för att uppfylla sina skyldigheter enligt denna förordning. Finansiella entiteter bör tillämpa ett proportionellt tillvägagångssätt vid övervakningen av de risker som uppstår hos tredjepartsleverantörer av IKT-tjänster, genom att vederbörlig hänsyn tas till karaktären på och omfattningen av, komplexiteten hos och betydelsen av sina IKT-relaterade beroenden, kritikaliteten hos eller betydelsen av de tjänster, processer eller funktioner som omfattas av de kontraktsmässiga arrangemangen och, i förlängningen, på grundval av en noggrann bedömning av eventuella effekter på kontinuiteten och kvaliteten hos finansiella tjänster på individuell nivå och koncernnivå, beroende på vad som är lämpligt.

(65)Denna övervakning bör följa ett strategiskt tillvägagångssätt för IKT-tredjepartsrisker som inrättas formellt genom att den finansiella entitetens ledningsorgan antar en särskild strategi för IKT-tredjepartsrisker som bygger på en kontinuerlig granskning av alla beroenden av IKT-tredjeparter. För att öka tillsynsmyndigheternas medvetenhet om beroenden av IKT-tredjeparter och ytterligare stödja arbetet i samband med den tillsynsram som inrättas genom denna förordning, bör alla finansiella entiteter ha skyldighet att upprätthålla ett informationsregister med alla kontraktsmässiga arrangemang som rör användningen av IKT-tjänster som tillhandahålls av tredjepartsleverantörer av IKT-tjänster. Finansiella tillsynsmyndigheter bör kunna begära tillgång till hela registret eller be om särskilda avsnitt av registret, och därigenom få viktig information för en bredare förståelse av finansiella entiteters IKT- relaterade beroenden.

(66)En grundlig förhandsanalys bör underbygga och föregå formellt ingående av kontraktsmässiga arrangemang, särskilt genom fokusering på inslag som kritikalitet eller betydelse av de tjänster som understöds av det planerade IKT- kontraktet, nödvändiga godkännanden från tillsynsmyndigheter eller andra villkor, den eventuella koncentrationsrisk som detta medför, liksom due diligence-granskning i förfarandet för urval och bedömning av tredjepartsleverantörer av IKT-tjänster och bedömning av potentiella intressekonflikter. Vad gäller kontraktsmässiga arrangemang rörande kritiska eller viktiga funktioner bör finansiella entiteter beakta tredjepartsleverantörer av IKT-tjänsters användning av de senaste och högsta standarderna för informationssäkerhet. Uppsägning av kontraktsmässiga arrangemang kan föranledas av åtminstone ett antal omständigheter som visar på brister hos tredjepartsleverantören av IKT-tjänster,

246

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/15

särskilt betydande överträdelser av lagar eller avtalsvillkor, omständigheter som påvisar en potentiell förändring av prestandan i de funktioner som avses i de kontraktsmässiga arrangemangen, bevis på svagheter hos tredjepartsleve rantören av IKT-tjänster i den övergripande hanteringen av IKT-risk, eller omständigheter som tyder på att den berörda behöriga myndigheten inte har förmåga att effektivt övervaka den finansiella entiteten.

(67)För att hantera systemeffekterna av koncentrationsrisken för IKT-tredjeparter främjar denna förordning en balanserad lösning genom en flexibel och gradvis strategi för sådana koncentrationsrisker, eftersom införandet av strikta tak eller strikta begränsningar kan hindra företagens affärsverksamhet och begränsa avtalsfriheten. Finansiella entiteter bör göra en grundlig bedömning av sina planerade kontraktsmässiga arrangemang för att fastställa sannolikheten för att en sådan risk uppstår, bland annat genom djupgående analyser av underleverantörsavtal, särskilt när de ingås med tredjepartsleverantörer av IKT-tjänster som är etablerade i ett tredjeland. I detta skede, och i syfte att uppnå en rimlig balans mellan kravet på att bevara avtalsfriheten och kravet på att garantera finansiell stabilitet, anses det inte lämpligt att fastställa regler för strikta tak och gränser för exponeringar mot IKT- tredjeparter. I samband med översynsramen bör en ledande tillsynsmyndighet, som utsetts enligt denna förordning, med avseende på kritiska tredjepartsleverantörer av IKT-tjänster ägna särskild uppmärksamhet åt att fullt ut förstå omfattningen av ömsesidiga beroenden, upptäcka specifika fall där en hög koncentration av kritiska tredjepartsleve rantörer av IKT-tjänster i unionen sannolikt kommer att sätta press på stabiliteten och integriteten i unionens finansiella system och upprätthålla en dialog med kritiska tredjepartsleverantörer av IKT-tjänster där denna specifika risk har identifierats.

(68)För att regelbundet utvärdera och övervaka förmågan hos en tredjepartsleverantör av IKT-tjänster att säkert tillhandahålla tjänster till en finansiell entitet utan negativa effekter på den finansiella entitetens digitala operativa motståndskraft, bör flera centrala avtalsdelar med tredjepartsleverantörer av IKT-tjänster harmoniseras. En sådan harmonisering bör omfatta åtminstone de områden som är avgörande för att den finansiella entiteten ska kunna bedriva en fullständig övervakning av de risker som kan uppstå genom tredjepartsleverantören av IKT-tjänster, utifrån en finansiell entitets behov av att säkerställa sin digitala motståndskraft eftersom den är beroende av stabiliteten, funktionaliteten, tillgängligheten och säkerheten hos de IKT-tjänster som den använder.

(69)När de omförhandlar kontraktsmässiga arrangemang för att anpassa sig till kraven i denna förordning bör finansiella entiteter och tredjepartsleverantören av IKT-tjänster säkerställa att de viktiga avtalsbestämmelser som anges i denna förordning omfattas.

(70)Den definition av kritisk eller viktig funktion som anges i denna förordning omfattar de kritiska funktioner som anges i artikel 2.1.35 i Europaparlamentets och rådets direktiv 2014/59/EU (20). I enlighet med detta är de funktioner som anses vara kritiska enligt direktiv 2014/59/EU inbegripna i definitionen av kritiska funktioner i den mening som avses i denna förordning.

(71)Oavsett kritikaliteten hos eller betydelsen av den funktion som stöds av IKT-tjänsterna bör kontraktsmässiga arrangemang särskilt innehålla en specifikation med heltäckande beskrivningar av funktioner och tjänster, platser där sådana funktioner tillhandahålls och där uppgifterna kommer att behandlas, samt beskrivningar av servicenivån. Andra grundläggande delar för att möjliggöra en finansiell entitets övervakning av IKT- tredjepartsrisker är: avtalsbestämmelser som anger hur åtkomst, tillgänglighet, integritet, säkerhet och skydd av personuppgifter säkerställs av tredjepartsleverantören av IKT-tjänster, bestämmelser som fastställer relevanta garantier för att säkerställa åtkomst, återvinning och återlämnande av uppgifter vid insolvens, resolution eller nedläggning av affärsverksamheten hos tredjepartsleverantören av IKT-tjänster samt bestämmelser som kräver att tredjepartsleverantören av IKT-tjänster ger stöd vid IKT-incidenter i samband med de tjänster som tillhandahålls,

(20) Europaparlamentets och rådets direktiv 2014/59/EU av den 15 maj 2014 om inrättande av en ram för återhämtning och resolution av kreditinstitut och värdepappersföretag och om ändring av rådets direktiv 82/891/EEG och Europaparlamentets och rådets direktiv 2001/24/EG, 2002/47/EG, 2004/25/EG, 2005/56/EG, 2007/36/EG, 2011/35/EU, 2012/30/EU och 2013/36/EU samt Europapar lamentets och rådets förordningar (EU) nr 1093/2010 och (EU) nr 648/2012 (EUT L 173, 12.6.2014, s. 190).

247

Prop. 2024/25:44

Bilaga 1

L 333/16	SV	Europeiska unionens officiella tidning	27.12.2022

utan ytterligare kostnad eller till en kostnad som fastställts på förhand, bestämmelser om skyldigheten för tredjepartsleverantören av IKT-tjänster att samarbeta fullt ut med de behöriga myndigheterna och resolutionsmyn digheterna för den finansiella entiteten, samt bestämmelser om uppsägningsrätt och tillhörande minsta uppsägningstid för kontraktsmässiga arrangemang, i enlighet med de behöriga myndigheternas och resolutionsmyn digheternas förväntningar.

(72)Utöver sådana avtalsbestämmelser, och i syfte att säkerställa att finansiella entiteter behåller full kontroll över all utveckling som sker på tredjepartsnivå och som kan försämra deras IKT-säkerhet, bör avtalen om tillhandahållande av IKT-tjänster som stöder kritiska eller viktiga funktioner också innehålla bestämmelser om fullständiga beskrivningar av servicenivån, med exakta kvantitativa och kvalitativa prestationsmål, för att utan onödigt dröjsmål möjliggöra lämpliga korrigerande åtgärder om de överenskomna servicenivåerna inte uppnås, relevanta tidsfrister för anmälan och rapporteringsskyldigheter för tredjepartsleverantören av IKT-tjänster för händelser som kan ha en väsentlig inverkan på tredjepartsleverantörens förmåga att effektivt tillhandahålla respektive IKT-tjänster, ett krav på att tredjepartsleverantören av IKT-tjänster ska genomföra och testa beredskapsplaner för verksamheten och införa IKT-säkerhetsåtgärder, IKT-verktyg och IKT-strategier som möjliggör ett säkert tillhandahållande av tjänster, samt delta och samarbeta fullt ut i den hotbildsstyrda penetrationstestningen som utförs av den finansiella entiteten.

(73)Avtalen om tillhandahållande av IKT-tjänster som stöder kritiska eller viktiga funktioner bör också innehålla bestämmelser om den finansiella entitetens eller en utsedd tredjeparts rätt till åtkomst, inspektion och revision samt rätten att ta kopior som avgörande verktyg i finansiella entiteters fortlöpande övervakning av IKT-tredjepartsleve rantörens prestanda, i kombination med att den sistnämnda samarbetar fullt ut under inspektionerna. På samma sätt bör den finansiella entitetens behöriga myndighet ha rätt att, på grundval av anmälningar, kontrollera och granska tredjepartsleverantören av IKT-tjänster, med förbehåll för sekretesskrav.

(74)Sådana kontraktsmässiga arrangemang bör också innehålla särskilda exitstrategier som i synnerhet möjliggör obligatoriska övergångsperioder under vilka tredjepartsleverantörer av IKT-tjänster bör fortsätta att tillhandahålla relevanta tjänster för att minska risken för avbrott på finansiell enhetsnivå eller göra det möjligt för den finansiella entiteten att på ett effektivt sätt byta till andra tredjepartsleverantörer av IKT-tjänster, eller byta till interna lösningar som är förenliga med den tillhandahållna IKT- tjänstens komplexitet. Dessutom bör finansiella entiteter som omfattas av direktiv 2014/59/EU säkerställa att relevanta avtal för IKT-tjänster är solida och kan hävdas i händelse av resolution av finansiella entiteter. I linje med resolutionsmyndigheternas förväntningar bör dessa finansiella entiteter därför säkerställa att relevanta avtal för IKT-tjänster är motståndskraftiga mot resolution. Så länge de fortsätter att uppfylla sina betalningsskyldigheter bör dessa finansiella entiteter bland annat säkerställa att relevanta avtal för IKT-tjänster innehåller klausuler om att de inte får sägas upp, inte får upphävas tillfälligt och inte ändras på grund av omstrukturering eller resolution.

(75)Dessutom kan frivillig användning av standardavtalsklausuler som offentliga myndigheter eller unionens institutioner har utarbetat, särskilt användningen av avtalsklausuler som kommissionen har utarbetat för molntjänster, underlätta ytterligare för finansiella entiteter och tredjepartsleverantörer av IKT-tjänster genom att öka rättssäkerheten avseende den finansiella sektorns användning av molntjänster, i fullständig överensstämmelse med de krav och förväntningar som fastställs i unionsrätten avseende finansiella tjänster. Utarbetandet av standardavtals klausuler bygger på åtgärder som planerades redan i 2018 års handlingsplan för fintech, där kommissionen tillkännagav sin avsikt att uppmuntra och underlätta utarbetandet av standardavtalsklausuler för finansiella entiteters utkontraktering till molntjänster, genom att bygga på de branschöverskridande ansträngningar från molntjänstintressenternas sida som kommissionen redan har bidragit till med den finansiella sektorns medverkan.

(76)I syfte att främja konvergens och effektivitet när det gäller tillsynsstrategier för IKT-tredjepartsrisker i den finansiella sektorn, och för att stärka den digitala operativa motståndskraften hos finansiella entiteter som är beroende av kritiska tredjepartsleverantörer av IKT-tjänster för att tillhandahålla IKT-tjänster som stöder tillhandahållandet av finansiella tjänster, och därmed bidra till att bevara stabiliteten i unionens finansiella system och integriteten på den inre marknaden för finansiella tjänster, bör kritiska tredjepartsleverantörer av IKT-tjänster omfattas av en tillsynsram på unionsnivå. Inrättandet av tillsynsramen motiveras av mervärdet av att vidta åtgärder på unionsnivå

248

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/17

och av särdragen hos användningen av IKT-tjänster och den roll de spelar vid tillhandahållandet av finansiella tjänster, men det bör samtidigt erinras om att denna lösning endast förefaller vara lämplig inom ramen för denna förordning, som specifikt behandlar digital operativ motståndskraft inom finanssektorn. En sådan tillsynsram bör dock inte betraktas som en ny modell för unionstillsyn på andra områden av finansiella tjänster och finansiell verksamhet.

(77)Tillsynsramen bör endast tillämpas på kritiska tredjepartsleverantörer av IKT-tjänster. Det bör därför inrättas en klassificeringsmekanism för att ta hänsyn till omfattningen och arten av den finansiella sektorns beroende av sådana tredjepartsleverantörer av IKT-tjänster. Den mekanismen bör inbegripa en uppsättning kvantitativa och kvalitativa kriterier för att fastställa kritikalitetsparametrarna som en grund för inkludering i tillsynsramen. För att säkerställa att den bedömningen är korrekt, och oavsett företagsstrukturen hos tredjepartsleverantören av IKT-tjänster, bör sådana kriterier, när det gäller en tredjepartsleverantör av IKT-tjänster som ingår i en större koncern, beakta hela koncernstrukturen hos tredjepartsleverantören av IKT-tjänster. Å ena sidan bör kritiska tredjepartsleverantörer av IKT-tjänster som inte automatiskt utses genom tillämpning av dessa kriterier ha möjlighet att på frivillig basis delta i tillsynsramen, å andra sidan bör de tredjepartsleverantörer av IKT-tjänster som redan omfattas av tillsynsramar för fullgörandet av Europeiska centralbankssystemet uppgifter enligt artikel 127.2 i EUF-fördraget undantas.

(78)På samma sätt bör finansiella entiteter som tillhandahåller IKT-tjänster till andra finansiella entiteter, även om de tillhör kategorin tredjepartsleverantörer av IKT-tjänster enligt denna förordning, också undantas från tillsynsramen eftersom de redan omfattas av tillsynsmekanismer som inrättats genom relevant unionsrätt avseende finansiella tjänster. I tillämpliga fall bör de behöriga myndigheterna inom ramen för sin tillsynsverksamhet beakta den IKT-risk som finansiella entiteter som tillhandahåller IKT-tjänster utgör för finansiella entiteter. På samma sätt bör, på grund av de befintliga riskövervakningsmekanismerna på koncernnivå, samma undantag införas för tredjepartsleverantörer av IKT-tjänster som huvudsakligen tillhandahåller tjänster till entiteter i den egna koncernen. Tredjepartsleverantörer av IKT-tjänster som endast tillhandahåller IKT-tjänster i en medlemsstat till finansiella entiteter som endast är verksamma i den medlemsstaten bör också undantas från klassificeringsmekanismen på grund av sin begränsade verksamhet och avsaknad av gränsöverskridande inverkan.

(79)Digitaliseringen av finansiella tjänster har lett till en användning och ett beroende av IKT-tjänster som aldrig tidigare skådats. Eftersom det har blivit otänkbart att tillhandahålla finansiella tjänster utan användning av molntjänster, programvarulösningar och datarelaterade tjänster, har unionens finansiella ekosystem i sig blivit beroende av vissa IKT-tjänster som tillhandahålls av leverantörer av IKT-tjänster. Vissa av dessa leverantörer är innovatörer när det gäller att utveckla och tillämpa IKT-baserad teknik, och spelar en viktig roll i tillhandahållandet av finansiella tjänster eller har integrerats i värdekedjan för finansiella tjänster. De har därför blivit kritiska för stabiliteten och integriteten i unionens finansiella system. Detta utbredda beroende av tjänster som tillhandahålls av kritiska tredjepartsleverantörer av IKT-tjänster, i kombination med det ömsesidiga beroendet mellan olika marknadsope ratörers informationssystem, skapar en direkt och potentiellt allvarlig risk för unionens system för finansiella tjänster och för kontinuiteten i tillhandahållandet av finansiella tjänster, om kritiska tredjepartsleverantörer av IKT- tjänster skulle påverkas av operativa störningar eller allvarliga cyberincidenter. Cyberincidenter har en särskild förmåga att föröka sig och sprida sig i hela det finansiella systemet i en betydligt snabbare takt än andra typer av risker som övervakas inom finanssektorn och kan sträcka sig över sektorer och över geografiska gränser. De har potential att utvecklas till en systemkris där förtroendet för det finansiella systemet har urholkats på grund av störningar i funktioner som stöder realekonomin, eller betydande finansiella förluster som når en nivå som det finansiella systemet inte kan klara, eller som kräver omfattande åtgärder för att absorbera stora chocker. För att förhindra att dessa scenarier inträffar och därmed äventyrar unionens finansiella stabilitet och integritet, är det viktigt att skapa konvergens i tillsynspraxis för IKT-tredjepartsrisker inom finanssektorn, särskilt genom nya regler som möjliggör unionstillsyn av kritiska tredjepartsleverantörer av IKT-tjänster.

249

Prop. 2024/25:44

Bilaga 1

L 333/18	SV	Europeiska unionens officiella tidning	27.12.2022

(80)Tillsynsramen är till stor del beroende av graden av samarbete mellan den ledande tillsynsmyndigheten och den kritiska tredjepartsleverantör av IKT-tjänster som levererar tjänster till finansiella entiteter som påverkar tillhanda hållandet av finansiella tjänster. En framgångsrik tillsyn är beroende av bland annat den ledande tillsynsmyn dighetens förmåga att effektivt genomföra övervakningsuppdrag och inspektioner för att bedöma de regler, kontroller och processer som används av kritiska tredjepartsleverantörer av IKT-tjänster, samt bedöma den potentiella kumulativa effekten av deras verksamhet på den finansiella stabiliteten och det finansiella systemets integritet. Samtidigt är det mycket viktigt att kritiska tredjepartsleverantörer av IKT-tjänster följer den ledande tillsynsmyndighetens rekommendationer och åtgärdar dess farhågor. Eftersom bristande samarbete från en kritisk tredjepartsleverantör av IKT-tjänster som tillhandahåller tjänster som påverkar tillhandahållandet av finansiella tjänster, såsom vägran att bevilja tillträde till sina lokaler eller att lämna information, i slutändan skulle beröva den ledande tillsynsmyndigheten dess grundläggande verktyg för att bedöma IKT-tredjepartsrisker och skulle kunna inverka negativt på det finansiella systemets stabilitet och integritet, är det nödvändigt att även föreskriva ett proportionellt sanktionssystem.

(81)Mot denna bakgrund bör den ledande tillsynsmyndighetens behov av att ålägga viten för att tvinga kritiska tredjepartsleverantörer av IKT-tjänster att uppfylla de skyldigheter rörande transparens och tillträde som fastställs i denna förordning inte äventyras av svårigheter som uppstår till följd av verkställandet av dessa viten i förhållande till kritiska tredjepartsleverantörer av IKT-tjänster som är etablerade i tredjeländer. För att säkerställa sådana sanktioners verkställbarhet, och för att möjliggöra ett snabbt införande av förfaranden som upprätthåller de kritiska IKT-tredjepartsleverantörernas rätt till försvar inom ramen för klassificeringsmekanismen och utfärdandet av rekommendationer, bör de kritiska tredjepartsleverantörerna av IKT-tjänster som tillhandahåller tjänster till finansiella entiteter som påverkar tillhandahållandet av finansiella tjänster vara skyldiga att upprätthålla en tillräcklig verksamhet i unionen. På grund av tillsynens karaktär och avsaknaden av jämförbara arrangemang i andra jurisdiktioner finns det inga lämpliga alternativa mekanismer som säkerställer detta mål genom ett effektivt samarbete med finansiella tillsynsmyndigheter i tredjeländer när det gäller övervakningen av effekterna av de digitala operativa risker som systemviktiga tredjepartsleverantörer av IKT-tjänster, vilka räknas som kritiska tredjepartsleverantörer av IKT-tjänster som är etablerade i tredjeländer, utgör. I syfte att fortsätta att tillhandahålla IKT-tjänster till finansiella entiteter i unionen bör därför en tredjepartsleverantör av IKT-tjänster som är etablerad i tredjeländer som klassificerats som kritisk i enlighet med denna förordning vidta, inom tolv månader efter en sådan klassificering, alla nödvändiga arrangemang för att säkerställa dess inkorporering i unionen genom att inrätta en filial, enligt unionens regelverk, närmare bestämt i Europaparlamentets och rådets direktiv 2013/34/EU (21).

(82)Kravet på att inrätta ett dotterbolag i unionen bör inte hindra den kritiska tredjepartsleverantören av IKT-tjänster från att tillhandahålla IKT-tjänster och tillhörande teknisk support från anläggningar och infrastruktur utanför unionen. Denna förordning inför inte någon datalokaliseringsplikt eftersom den inte kräver att datalagring eller databehandling ska utföras i unionen.

(83)Kritiska tredjepartsleverantörer av IKT-tjänster bör kunna tillhandahålla IKT-tjänster från vilken plats som helst i världen, och inte nödvändigtvis eller inte bara från lokaler som är belägna i unionen. Tillsynsverksamheten bör först genomföras i lokaler som är belägna i unionen och genom interaktion med entiteter som är belägna i unionen, inbegripet dotterbolag som inrättats av kritiska tredjepartsleverantörer av IKT-tjänster enligt denna förordning. Sådana åtgärder inom unionen kan dock vara otillräckliga för att den ledande tillsynsmyndigheten fullt ut och effektivt ska kunna utföra sina uppgifter enligt denna förordning. Den ledande tillsynsmyndigheten bör därför också kunna utöva sina relevanta tillsynsbefogenheter i tredjeländer. Utövandet av dessa befogenheter i tredjeländer bör göra det möjligt för den ledande tillsynsmyndigheten att undersöka de faciliteter från vilka IKT-tjänsterna eller teknisk supporttjänsterna faktiskt tillhandahålls eller förvaltas av den kritiska tredjepartsleverantören av IKT-tjänster och bör ge den ledande tillsynsmyndigheten en heltäckande och operativ förståelse av IKT-riskhanteringen hos den kritiska tredjepartsleverantören av IKT-tjänster. Möjligheten för den ledande tillsynsmyndigheten, i egenskap av unionsbyrå, att utöva befogenheter utanför unionens territorium bör vederbörligen avgränsas av relevanta villkor, särskilt samtycke från den berörda kritiska tredjepartsleverantören av IKT-tjänster. På samma sätt bör de berörda myndigheterna i tredjelandet informeras om, och inte ha invänt mot, utövandet av den ledande tillsynsmyndighetens verksamhet på tredjelandets eget territorium. För att säkerställa ett effektivt genomförande, och utan att det påverkar

(21) Europaparlamentets och rådets direktiv 2013/34/EU av den 26 juni 2013 om årsbokslut, koncernredovisning och rapporter i vissa typer av företag, om ändring av Europaparlamentets och rådets direktiv 2006/43/EG och om upphävande av rådets direktiv 78/660/EEG och 83/349/EEG (EUT L 182, 29.6.2013, s. 19).

250

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/19

unionsinstitutionernas och medlemsstaternas respektive befogenheter, måste dock sådana befogenheter också vara fullt förankrade i ingåendet av avtal om administrativt samarbete med de relevanta myndigheterna i det berörda tredjelandet. Denna förordning bör därför göra det möjligt för de europeiska tillsynsmyndigheterna att ingå avtal om administrativt samarbete med relevanta myndigheter i tredjeländer, vilka inte på annat sätt bör skapa rättsliga skyldigheter för unionen och dess medlemsstater.

(84)För att underlätta kommunikationen med den ledande tillsynsmyndigheten och säkerställa lämplig representation bör kritiska tredjepartsleverantörer av IKT-tjänster som ingår i en koncern utse en juridisk person till sin samordningspunkt.

(85)Tillsynsramen bör inte påverka medlemsstaternas behörighet att utföra egna tillsyns- eller övervakningsuppdrag avseende tredjepartsleverantörer av IKT-tjänster som inte klassificeras som kritiska enligt denna förordning, men som anses vara viktiga på nationell nivå.

(86)För att utnyttja den flerskiktade institutionella strukturen på området finansiella tjänster bör de europeiska tillsynsmyndigheternas gemensamma kommitté fortsätta att säkerställa den övergripande sektorsövergripande samordningen i alla frågor som rör IKT-risk, i enlighet med sina uppgifter i fråga om cybersäkerhet. Detta arbete bör stödjas av en ny underkommitté (tillsynsforumet) som utför förberedande arbete både för de enskilda beslut som riktar sig till kritiska tredjepartsleverantörer av IKT-tjänster, och för utfärdande av kollektiva rekommendationer, särskilt i förhållande till riktmärkning av tillsynsprogram för kritiska tredjepartsleverantörer av IKT-tjänster, och fastställande av bästa praxis för hantering av IKT-koncentrationsrisker.

(87)För att säkerställa att kritiska tredjepartsleverantörer av IKT-tjänster lämpligt och effektivt övervakas på unionsnivå föreskriver denna förordning att var och en av de tre europeiska tillsynsmyndigheterna kan utses till ledande tillsynsmyndighet. Den enskilda tilldelningen av en kritisk tredjepartsleverantör av IKT-tjänster till en av de tre europeiska tillsynsmyndigheterna bör vara resultatet av en bedömning av den övervägande andelen finansiella entiteter som är verksamma inom de finansiella sektorer för vilka den europeiska tillsynsmyndigheten har ansvar. Detta tillvägagångssätt bör leda till en välavvägd fördelning av uppgifter och ansvar mellan de tre europeiska tillsynsmyndigheterna i samband med utövandet av tillsynsfunktionerna och bör på bästa sätt utnyttja de personalresurser och den tekniska expertis som finns i var och en av de tre europeiska tillsynsmyndigheterna.

(88)Ledande tillsynsmyndigheter bör tilldelas de befogenheter som krävs för att genomföra undersökningar, inspektioner på plats och på annan plats i kritiska tredjepartsleverantörer av IKT-tjänsters lokaler och platser och få fullständig och uppdaterad information. De befogenheterna bör göra det möjligt för den ledande tillsynsmyndigheten att få verklig inblick i typen, omfattningen och effekten av den IKT-tredjepartsrisk som finansiella entiteter och i förlängningen unionens finansiella system utsätts för. Att de europeiska tillsynsmyndigheterna anförtros den ledande tillsynsrollen är en förutsättning för att kunna få grepp om och ta itu med den systemrelaterade dimensionen av IKT-risk inom finanssektorn. Den inverkan som kritiska tredjepartsleverantörer av IKT-tjänster har på unionens sektor för finansiella tjänster och de potentiella problemen med den därmed förknippade IKT- koncentrationsrisken kräver en gemensam strategi på unionsnivå. Det samtidiga utförandet av ett stort antal revisioner och åtkomsträttigheter som utnyttjas separat av en mängd behöriga myndigheter med liten eller ingen samordning sinsemellan, skulle förhindra finansiella tillsynsmyndigheter från att erhålla en fullständig och övergripande överblick över IKT-tredjepartsriskerna inom unionen, och skulle samtidigt innebära redundans, börda och komplexitet för kritiska tredjepartsleverantörer av IKT-tjänster om dessa vore föremål för en mängd förfrågningar om övervakning och inspektion.

(89)På grund av den betydande inverkan som klassificeringen som kritisk har, bör denna förordning säkerställa att rättigheterna för kritiska tredjepartsleverantörer av IKT-tjänster respekteras inom hela genomförandet av tillsynsramen. Innan sådana leverantörer klassificeras som kritiska bör de t.ex. ha rätt att till den ledande tillsynsmyn digheten lämna in ett motiverat utlåtande med all information som är relevant för den bedömning som rör klassificeringen. Eftersom den ledande tillsynsmyndigheten bör ha befogenhet att lämna rekommendationer om IKT-riskfrågor och lämpliga åtgärder för hantering av dessa, vilket inbegriper befogenheten att motsätta sig vissa avtalsarrangemang som i slutändan påverkar stabiliteten i den finansiella entiteten eller det finansiella systemet, bör kritiska tredjepartsleverantörer av IKT-tjänster också, innan de rekommendationerna färdigställs, ges möjlighet att lämna förklaringar om vilka effekter de föreslagna lösningarna i rekommendationerna förväntas ha på kunder som är entiteter som faller utanför denna förordnings tillämpningsområde samt utarbeta lösningar för att minska riskerna. Kritiska tredjepartsleverantörer av IKT-tjänster som invänder mot rekommendationerna bör lämna en

251

Prop. 2024/25:44

Bilaga 1

L 333/20	SV	Europeiska unionens officiella tidning	27.12.2022

motiverad förklaring gällande deras avsikt att inte godta rekommendationen. Om en sådan motiverad förklaring inte lämnas eller där den bedöms vara otillräcklig bör den ledande tillsynsmyndigheten utfärda ett offentligt meddelande med en kortfattad beskrivning av den bristande efterlevnaden.

(90)De behöriga myndigheterna bör vederbörligen låta uppgiften att kontrollera den faktiska efterlevnaden av rekommendationer som utfärdats av den ledande tillsynsmyndigheten ingå i deras uppdrag i fråga om tillsyn över finansiella entiteter. De behöriga myndigheterna bör kunna begära att finansiella entiteter vidtar ytterligare åtgärder för att hantera de risker som har identifierats i den ledande tillsynsmyndighetens rekommendationer, och bör i sinom tid utfärda meddelanden om detta. Om den ledande tillsynsmyndigheten riktar rekommendationer till kritiska tredjepartsleverantörer av IKT-tjänster som står under tillsyn enligt direktiv (EU) 2022/2555 bör de behöriga myndigheterna, på frivillig basis och innan ytterligare åtgärder antas, kunna samråda med de behöriga myndigheterna enligt det direktivet i syfte att främja en samordnad strategi för hantering av de berörda kritiska tredjepartsleverantörerna av IKT-tjänster.

(91)Utövandet av tillsyn bör styras av tre operativa principer som syftar till att säkerställa a) nära samordning mellan de europeiska tillsynsmyndigheterna i deras roller som ledande tillsynsmyndigheter, genom ett gemensamt tillsynsnätverk, b) överensstämmelse med den ram som inrättas genom direktiv (EU) 2022/2555 (genom frivilligt samråd med organ enligt det direktivet i syfte att undvika överlappning av åtgärder som är riktade till kritiska tredjepartsleverantörer av IKT-tjänster), och c) omsorg för att minimera den potentiella risken för avbrott i tjänster som kritiska tredjepartsleverantörer av IKT-tjänster tillhandahåller kunder som är entiteter som faller utanför denna förordnings tillämpningsområde.

(92)Tillsynsramen bör inte ersätta eller på något sätt eller i någon del användas i stället för kravet på att finansiella entiteter själva ska hantera de risker som är förknippade med användningen av tredjepartsleverantörer av IKT- tjänster, inbegripet deras skyldighet att upprätthålla en fortlöpande övervakning av avtal med kritiska tredjepartsle verantörer av IKT-tjänster. På motsvarande sätt bör tillsynsramen inte påverka finansiella entiteters fulla ansvar för att efterleva och uppfylla alla rättsliga skyldigheter som fastställs i denna förordning och i den relevanta rätten avseende finansiella tjänster.

(93)För att undvika dubbelarbete och överlappningar bör de behöriga myndigheterna avstå från att enskilt vidta åtgärder som syftar till att övervaka riskerna i samband med den kritiska tredjepartsleverantören av IKT-tjänster och bör i detta avseende förlita sig på den relevanta ledande tillsynsmyndighetens bedömning. Alla åtgärder bör under alla förhållanden i förväg samordnas och överenskommas med den ledande tillsynsmyndigheten vid fullgörandet av uppgifter inom tillsynsramen.

(94)För att främja konvergens på internationell nivå när det gäller användning av bästa praxis vid granskningen och övervakningen av den digitala riskhanteringen hos tredjepartsleverantörer av IKT-tjänster bör de europeiska tillsynsmyndigheterna uppmuntras att ingå samarbetsavtal med relevanta tillsynsmyndigheter och reglerande myndigheter i tredjeländer.

(95)För att dra nytta av den särskilda kompetensen, de tekniska färdigheterna och expertisen hos personal som är specialiserad på operativa risker och IKT-risk inom de behöriga myndigheterna bör de tre europeiska tillsynsmyn digheterna och, på frivillig basis, de behöriga myndigheterna enligt direktiv (EU) 2022/2555, den ledande tillsynsmyndigheten ta vara på nationell tillsynsförmåga och tillsynskunskap och inrätta särskilda granskningsgrupper för varje kritisk tredjepartsleverantör av IKT-tjänster, för att samla sektorsövergripande grupper till stöd för förberedelserna och genomförandet av tillsynsverksamhet, inbegripet allmänna utredningar och inspektioner av kritiska tredjepartsleverantörer av IKT-tjänster, samt för eventuell nödvändig uppföljning av dem.

(96)Medan kostnader som uppstår till följd av tillsynsuppgifter till fullo skulle finansieras genom avgifter som tas ut av kritiska tredjepartsleverantörer av IKT-tjänster, kommer de europeiska tillsynsmyndigheterna sannolikt, innan tillsynsramen börjar tillämpas, att ådra sig kostnader för genomförandet av särskilda IKT-system till stöd för den kommande tillsynen, eftersom särskilda IKT-system skulle behöva utvecklas och införas i förväg. I denna förordning föreskrivs därför en hybridfinansieringsmodell, enligt vilken själva tillsynsramen till fullo skulle finansieras genom avgifter, medan utvecklingen av de europeiska tillsynsmyndigheternas IKT-system skulle finansieras genom bidrag från unionen och nationella behöriga myndigheter.

252

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/21

(97)De behöriga myndigheterna bör ha alla tillsyns-, utrednings- och sanktionsbefogenheter som krävs för att säkerställa ett korrekt fullgörande av sina skyldigheter enligt denna förordning. De bör i princip offentliggöra meddelanden om de administrativa sanktioner som de ålägger. Eftersom finansiella entiteter och tredjepartsleverantörer av IKT-tjänster kan vara etablerade i olika medlemsstater och övervakas av olika behöriga myndigheter bör tillämpningen av denna förordning underlättas, å ena sidan, av ett nära samarbete mellan de relevanta behöriga myndigheterna, inbegripet ECB när det gäller särskilda uppgifter som den tilldelas genom rådets förordning (EU) nr 1024/2013, och, å andra sidan, av samråd med de europeiska tillsynsmyndigheterna genom ömsesidigt informationsutbyte och bistånd inom ramen för den relevanta tillsynsverksamheten.

(98)För att ytterligare kvantitativt och kvalitativt fastställa kriterierna för klassificering av tredjepartsleverantörer av IKT- tjänster som kritiska och harmonisera tillsynsavgifterna bör befogenheten att anta akter i enlighet med artikel 290 i EUF-fördraget delegeras till kommissionen för att komplettera denna förordning med närmare specificering av den systempåverkan som ett fel eller en driftstörning hos en tredjepartsleverantör av IKT-tjänster skulle kunna ha på de finansiella entiteter som den levererar IKT-tjänster till, antalet globala systemviktiga institut, eller andra systemviktiga institut, som är beroende av respektive tredjepartsleverantör av IKT-tjänster, antalet tredjepartsleve rantörer av IKT-tjänster som är verksamma på en viss marknad, kostnaderna för att migrera data och IKT- arbetsbelastningar till en annan tredjepartsleverantör av IKT-tjänster samt tillsynsavgifternas storlek och hur de ska betalas. Det är särskilt viktigt att kommissionen genomför lämpliga samråd under sitt förberedande arbete, inklusive på expertnivå, och att dessa samråd genomförs i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning (22). För att säkerställa lika stor delaktighet i förberedelsen av delegerade akter bör Europaparlamentet och rådet erhålla alla handlingar samtidigt som medlemsstaternas experter, och deras experter bör ges systematiskt tillträde till möten i kommissionens expertgrupper som arbetar med förberedelse av delegerade akter.

(99)Tekniska standarder för tillsyn bör säkerställa en konsekvent harmonisering av kraven i denna förordning. De europeiska tillsynsmyndigheterna bör i sina roller som organ med högspecialiserad expertis utarbeta förslag till tekniska standarder för tillsyn som inte inbegriper några politiska val, och som ska läggas fram för kommissionen. Tekniska standarder för tillsyn bör utarbetas inom områdena IKT-riskhantering, rapportering av allvarliga IKT- relaterade incidenter och testning samt med avseende på nyckelkrav för en sund övervakning av IKT- tredjepartsrisker. Kommissionen och de europeiska tillsynsmyndigheterna bör säkerställa att dessa standarder och krav kan tillämpas av alla finansiella entiteter på ett sätt som står i proportion till deras storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, verksamhet och insatser. Kommissionen bör ges befogenhet att anta dessa tekniska standarder för tillsyn genom delegerade akter i enlighet med artikel 290 i EUF-fördraget och i enlighet med artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

(100)För att göra det lättare att jämföra rapporter om allvarliga IKT-relaterade incidenter och allvarliga betalningsre laterade operativa incidenter eller säkerhetsincidenter, samt säkerställa insyn avseende avtalsarrangemang för användningen av IKT-tjänster som tillhandahålls av tredjepartsleverantörer av IKT-tjänster, bör de europeiska tillsynsmyndigheterna utarbeta förslag till tekniska standarder för genomförande där det fastställs standardiserade mallar, formulär och förfaranden för finansiella entiteter för rapportering av allvarliga IKT-relaterade incidenter och allvarliga betalningsrelaterade operativa incidenter eller säkerhetsincidenter, samt standardiserade mallar för registrering av information. När de europeiska tillsynsmyndigheterna utarbetar dessa standarder bör de ta hänsyn till den finansiella entitetens storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, verksamhet och insatser. Kommissionen bör ges befogenhet att anta dessa tekniska standarder för genomförande genom genomförandeakter i enlighet med artikel 291 i EUF-fördraget och i enlighet med artikel 15 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

(22) EUT L 123, 12.5.2016, s. 1.

253

Prop. 2024/25:44

Bilaga 1

L 333/22	SV	Europeiska unionens officiella tidning	27.12.2022

(101) Eftersom ytterligare krav redan har specificerats genom delegerade akter och genomförandeakter baserade på tekniska standarder för tillsyn och genomförande i Europaparlamentets och rådets förordningar (EG) nr 1060/2009 (23), (EU) nr 648/2012 (24), (EU) nr 600/2014 (25) och (EU) nr 909/2014 (26) är det lämpligt att ge de europeiska tillsynsmyndigheterna i uppdrag att, antingen enskilt eller gemensamt genom den gemensamma kommittén, överlämna tekniska standarder för tillsyn och genomförande till kommissionen för antagande av delegerade akter och genomförandeakter för att överföra och uppdatera befintliga IKT-riskhanteringsregler.

(102)Eftersom denna förordning, tillsammans med Europaparlamentets och rådets direktiv (EU) 2022/2556 (27), innebär en konsolidering av IKT-riskhanteringsbestämmelser i flera förordningar och direktiv i unionens regelverk om finansiella tjänster, inbegripet förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014 och (EU) nr 909/2014 samt Europaparlamentets och rådets förordning (EU) 2016/1011 (28), bör dessa förordningar ändras för att säkerställa fullständig enhetlighet och klargöra att de tillämpliga bestämmelserna om IKT-risker fastställs i den här förordningen.

(103)Följaktligen bör tillämpningsområdet för de relevanta artiklar som rör operativ risk, för vilka delegerade akter och genomförandeakter ska antas enligt befogenheterna i förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011, begränsas så att alla bestämmelser som omfattar aspekter av digital operativ motståndskraft och som i dag ingår i de förordningarna överförs till den här förordningen.

(104)Den potentiella systemrisk på cyberområdet som är förknippad med användningen av IKT-infrastrukturer som möjliggör drift av betalningssystem och tillhandahållande av betalningshantering bör vederbörligen hanteras på unionsnivå genom harmoniserade regler om digital motståndskraft. I detta syfte bör kommissionen snabbt bedöma behovet av en översyn av denna förordnings tillämpningsområde och samtidigt anpassa en sådan översyn till resultatet av den omfattande översyn som avses i direktiv (EU) 2015/2366. Många storskaliga attacker som genomförts under det senaste årtiondet visar hur betalningssystemen har blivit en ingång för cyberhot. Betalningssystem och betalningshantering, som ligger i centrum av betaltjänstkedjan och uppvisar en hög grad av sammanlänkning med det övergripande finansiella systemet, har fått en avgörande betydelse för unionens finansmarknaders funktion. Cyberangrepp mot sådana system kan orsaka allvarliga driftstörningar i verksamheten med direkta konsekvenser för viktiga ekonomiska funktioner, såsom underlättande av betalningar, och indirekta effekter på därmed sammanhängande ekonomiska processer. Till dess att ett harmoniserat system för och tillsyn över operatörer av betalningssystem och hanteringsentiteter har införts på unionsnivå, får medlemsstaterna, i syfte att tillämpa liknande marknadspraxis, hämta inspiration från de krav på digital operativ motståndskraft som fastställs i denna förordning när de tillämpar regler på operatörer av betalningssystem och hanteringsentiteter som står under tillsyn inom deras egna jurisdiktioner.

(23) Europaparlamentets och rådets förordning (EG) nr 1060/2009 av den 16 september 2009 om kreditvärderingsinstitut (EUT L 302, 17.11.2009, s. 1).

(24) Europaparlamentets och rådets förordning (EU) nr 648/2012 av den 4 juli 2012 om OTC-derivat, centrala motparter och transaktionsregister (EUT L 201, 27.7.2012, s. 1).

(25) Europaparlamentets och rådets förordning (EU) nr 600/2014 av den 15 maj 2014 om marknader för finansiella instrument och om ändring av förordning (EU) nr 648/2012 (EUT L 173, 12.6.2014, s. 84).

(26) Europaparlamentets och rådets förordning (EU) nr 909/2014 av den 23 juli 2014 om förbättrad värdepappersavveckling i Europeiska unionen och om värdepapperscentraler samt ändring av direktiv 98/26/EG och 2014/65/EU och förordning (EU) nr 236/2012 (EUT L 257, 28.8.2014, s. 1).

(27) Europaparlamentets och rådets direktiv (EU) 2022/2556 av den 14 december 2022 om ändring av direktiven 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 och (EU) 2016/2341 vad gäller digital operativ motståndskraft för finanssektorn (se sidan 153 i detta nummer av EUT).

(28) Europaparlamentets och rådets förordning (EU) 2016/1011 av den 8 juni 2016 om index som används som referensvärden för finansiella instrument och finansiella avtal eller för att mäta investeringsfonders resultat, och om ändring av direktiven 2008/48/EG och 2014/17/EU och förordning (EU) nr 596/2014 (EUT L 171, 29.6.2016, s. 1).

254

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/23

(105)Eftersom målet för denna förordning, dvs. att uppnå en hög nivå av digital operativ motståndskraft för reglerade finansiella entiteter, inte i tillräcklig utsträckning kan uppnås av medlemsstaterna eftersom det kräver harmonisering av en mängd olika regler i unionsrätten och nationell rätt, utan snarare, på grund av dess omfattning och verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går denna förordning inte utöver vad som är nödvändigt för att uppnå detta mål.

(106)Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 (29) och avgav ett yttrande den 10 maj 2021 (30).

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

KAPITEL I

Allmänna bestämmelser

Artikel 1

Innehåll

1.I syfte att uppnå en hög gemensam nivå av digital operativ motståndskraft fastställs i denna förordning enhetliga krav avseende säkerhet i nätverks- och informationssystem som stöder finansiella entiteters affärsprocesser enligt följande:

a)Krav som är tillämpliga på finansiella entiteter i fråga om

i)riskhantering inom informations- och kommunikationsteknik (IKT),

ii)rapportering av allvarliga IKT-relaterade incidenter och underrättande om, på frivillig grund, betydande cyberhot till de behöriga myndigheterna,

iii)rapportering av allvarliga betalningsrelaterade operativa incidenter eller säkerhetsincidenter till de behöriga myndigheterna av de finansiella entiteter som avses i artikel 2.1 a–d,

iv)testning av digital operativ motståndskraft,

v)utbyte av information och underrättelser i samband med cyberhot och cybersårbarheter,

vi)åtgärder för en sund hantering av tredjepartsrelaterad IKT-risk.

b)Krav i samband med de kontraktsmässiga arrangemang som har ingåtts mellan tredjepartsleverantörer av IKT-tjänster och finansiella entiteter.

c)Regler för inrättandet och genomförandet av tillsynsramen för kritiska tredjepartsleverantörer av IKT-tjänster när de tillhandahåller tjänster till finansiella entiteter.

d)Regler om samarbete mellan behöriga myndigheter och regler om behöriga myndigheters tillsyn och kontroll av efterlevnaden i alla frågor som omfattas av denna förordning.

2.När det gäller finansiella entiteter som har identifierats som leverantörer av väsentliga eller viktiga entiteter enligt nationella regler som införlivar artikel 3 i direktiv (EU) 2022/2555 ska denna förordning betraktas som en sektorsspecifik unionsrättsakt vid tillämpningen av artikel 4 i det direktivet.

3.Denna förordning påverkar inte medlemsstaternas ansvar vad gäller väsentliga statliga funktioner inom områdena allmän säkerhet, försvar och nationell säkerhet i enlighet med unionsrätten.

(29) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39).

(30) EUT C 229, 15.6.2021, s. 16.

255

Prop. 2024/25:44

Bilaga 1

L 333/24	SV	Europeiska unionens officiella tidning	27.12.2022

Artikel 2

Tillämpningsområde

1.Utan att det påverkar tillämpningen av punkterna 3 och 4 är denna förordning tillämplig på följande entiteter:

a)Kreditinstitut.

b)Betalningsinstitut, inbegripet sådana betalningsinstitut som är undantagna enligt direktiv (EU) 2015/2366.

c)Leverantörer av kontoinformationstjänster.

d)Institut för elektroniska pengar, inbegripet sådana institut för elektroniska pengar som är undantagna enligt direktiv 2009/110/EG.

e)Värdepappersföretag.

f)Leverantörer av kryptotillgångstjänster, auktoriserade enligt en Europaparlamentets och rådets förordning om marknader för kryptotillgångar och om ändring av förordningarna (EU) nr 1093/2010 och (EU) nr 1095/2010 och direktiven 2013/36/EU och (EU) 2019/1937 (förordningen om kryptotillgångar) och emittenter av tillgångsanknutna token.

g)Värdepapperscentraler.

h)Centrala motparter.

i)Handelsplatser.

j)Transaktionsregister.

k)Förvaltare av alternativa investeringsfonder.

l)Förvaltningsbolag.

m)Leverantörer av datarapporteringstjänster.

n)Försäkrings- och återförsäkringsföretag.

o)Försäkringsförmedlare, återförsäkringsförmedlare och försäkringsförmedlare som bedriver förmedling som sidoverksamhet.

p)Tjänstepensionsinstitut.

q)Kreditvärderingsinstitut.

r)Administratörer av kritiska referensvärden.

s)Leverantörer av gräsrotsfinansieringstjänster.

t)Värdepapperiseringsregister.

u)Tredjepartsleverantörer av IKT-tjänster.

2.Vid tillämpningen av denna förordning ska de entiteter som avses i punkt 1 a–t tillsammans benämnas finansiella entiteter.

3.Denna förordning är inte tillämplig på

a)förvaltare av alternativa investeringsfonder som avses i artikel 3.2 i direktiv 2011/61/EU,

b)försäkrings- och återförsäkringsföretag som avses i artikel 4 i direktiv 2009/138/EG,

c)tjänstepensionsinstitut som förvaltar pensionsplaner som tillsammans inte har fler än totalt 15 medlemmar,

d)fysiska eller juridiska personer som är undantagna enligt artiklarna 2 och 3 i direktiv 2014/65/EU,

e)försäkringsförmedlare, återförsäkringsförmedlare och försäkringsförmedlare som bedriver förmedling som sidoverksamhet som är mikroföretag eller små eller medelstora företag,

f)postgiroinstitut som avses i artikel 2.5.3 i direktiv 2013/36/EU.

256

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/25

4.Medlemsstaterna får från tillämpningsområdet för denna förordning utesluta sådana enheter som avses i artikel 2.5.4–2.5.23 i direktiv 2013/36/EU om de är belägna inom deras respektive territorier. Om en medlemsstat utnyttjar en sådan möjlighet ska den informera kommissionen om detta samt om eventuella senare ändringar av detta. Kommissionen ska offentliggöra informationen på sin webbplats eller på annat lättillgängligt vis.

Artikel 3

Definitioner

I denna förordning gäller följande definitioner:

1.digital operativ motståndskraft: en finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT- tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott.

2.nätverks- och informationssystem: ett nätverks- och informationssystem enligt definitionen i artikel 6.1 i direktiv (EU) 2022/2555.

3.äldre IKT-system: ett IKT-system som har nått slutet på sin livscykel, som inte lämpar sig för uppgraderingar eller justeringar, av tekniska eller kommersiella skäl, eller som inte längre stöds av leverantören eller av en tredjepartsle verantör av IKT-tjänster, men som fortfarande används och stöder den finansiella entitetens funktioner.

4.säkerhet i nätverks- och informationssystem: ett säkerhet i nätverks- och informationssystem enligt definitionen i artikel 6.2 i direktiv (EU) 2022/2555.

5.IKT-risk: varje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön.

6.informationstillgång: en samling materiell eller immateriell skyddsvärd information.

7.IKT-tillgång: en programvaru- eller maskinvarutillgång i nätverks- och informationssystemen som används av den finansiella entiteten.

8.IKT-relaterad incident: en enskild händelse eller en serie sammankopplade händelser som inte planerats av den finansiella entiteten och som äventyrar säkerheten i nätverks- och informationssystemen och har negativ inverkan på tillgängligheten, äktheten, integriteten eller konfidentialiteten vad gäller datan eller de tjänster som tillhandahålls av den finansiella entiteten.

9.betalningsrelaterad operativ incident eller säkerhetsincident: en enskild händelse eller en serie sammankopplade händelser som inte planerats av de finansiella entiteter som avses i artikel 2.1 a–d och som kan vara IKT-relaterade men inte behöver vara det och har negativ inverkan på tillgängligheten, äktheten, integriteten eller konfidentialiteten vad gäller betalningsrelaterade data eller de betalningsrelaterade tjänster som tillhandahålls av den finansiella entiteten.

10.allvarlig IKT-relaterad incident: en IKT-relaterad incident som har stor negativ inverkan på nätverks- och informationssystem som stöder den finansiella entitetens kritiska eller viktiga funktioner.

11.allvarlig betalningsrelaterad operativ incident eller säkerhetsincident: en betalningsrelaterad operativ incident eller säkerhets incident som har stor negativ inverkan på de betalningsrelaterade tjänster som tillhandahålls.

12.cyberhot: ett cyberhot enligt definitionen i artikel 2.8 i förordning (EU) 2019/881.

13.betydande cyberhot: ett cyberhot vars tekniska egenskaper indikerar att det potentiellt kan leda till en allvarlig IKT- relaterad incident eller allvarlig betalningsrelaterad operativ incident eller säkerhetsincident.

14.cyberangrepp: en skadlig IKT-relaterad incident orsakad av ett försök av en fientlig aktör att förstöra, exponera, ändra, deaktivera, stjäla eller få obehörig åtkomst till eller obehörigt utnyttja en tillgång.

257

Prop. 2024/25:44

Bilaga 1

L 333/26	SV	Europeiska unionens officiella tidning	27.12.2022

15.underrättelser om hot: information som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv.

16.sårbarhet: en svaghet, mottaglighet eller brist hos en tillgång, ett system, en process eller en kontroll som kan utnyttjas.

17.hotbildsstyrd penetrationstestning: en ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten.

18.IKT-tredjepartsrisk: en IKT-risk som kan uppstå för en finansiell entitet i samband med dess användning av IKT-tjänster som tillhandahålls av tredjepartsleverantörer av IKT-tjänster eller av underleverantörer till sådana leverantörer, inbegripet genom utkontrakteringsarrangemang.

19.tredjepartsleverantör av IKT-tjänster: ett företag som tillhandahåller IKT-tjänster.

20.koncernintern IKT-tjänsteleverantör: ett företag som ingår i en finansiell koncern och som huvudsakligen tillhandahåller IKT-tjänster till finansiella entiteter inom samma koncern eller till finansiella entiteter som tillhör samma institutionella skyddssystem, inbegripet till deras moderföretag, dotterföretag, filialer eller andra entiteter som står under samma ägarskap eller kontroll.

21.IKT-tjänster: digitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster.

22.kritisk eller viktig funktion: en funktion vars avbrott väsentligt skulle försämra den finansiella entitetens finansiella resultat eller sundheten eller kontinuiteten i dess tjänster och verksamhet, eller om funktionens upphörande, brister eller misslyckande väsentligt skulle försämra en finansiell entitets fortsatta efterlevnad av villkoren och skyldigheterna i auktorisationen eller av dess övriga skyldigheter enligt tillämplig rätt avseende finansiella tjänster.

23.kritisk tredjepartsleverantör av IKT-tjänster: en tredjepartsleverantör av IKT-tjänster som har klassificerats som kritisk i enlighet med artikel 31.

24.tredjepartsleverantör av IKT-tjänster som är etablerad i ett tredjeland: en tredjepartsleverantör av IKT-tjänster som är en juridisk person som är etablerad i ett tredjeland och som har ingått ett kontraktsmässigt arrangemang med en finansiell entitet om tillhandahållande av IKT-tjänster.

25.dotterföretag: ett dotterföretag i den mening som avses i artiklarna 2.10 och 22 i direktiv 2013/34/EU.

26.koncern: en koncern enligt definitionen i artikel 2.11 i direktiv 2013/34/EU.

27.moderföretag: ett moderföretag i den mening som avses i artiklarna 2.9 och 22 i direktiv 2013/34/EU.

28.IKT-underleverantör etablerad i ett tredjeland: en IKT-underleverantör som är en juridisk person som är etablerad i ett tredjeland och som har ingått ett kontraktsmässigt arrangemang antingen med en tredjepartsleverantör av IKT- tjänster eller med en tredjepartsleverantör av IKT-tjänster som är etablerad i ett tredjeland.

29.IKT-koncentrationsrisk: exponering mot enskilda eller flera närstående kritiska tredjepartsleverantörer av IKT-tjänster som skapar ett visst beroende av sådana leverantörer, så att otillgänglighet, fel eller annan typ av brist hos sådana leverantörer kan komma att äventyra förmågan hos en finansiell entitet att tillhandahålla kritiska eller viktiga funktioner eller leda till andra typer av negativa effekter, inbegripet stora förluster, eller äventyra den finansiella stabiliteten i unionen som helhet.

258

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/27

30.ledningsorgan: ett ledningsorgan enligt definitionen i artikel 4.1.36 i direktiv 2014/65/EU, artikel 3.1.7 i direktiv 2013/36/EU, artikel 2.1 s i Europaparlamentets och rådets direktiv 2009/65/EG (31), artikel 2.1.45 i förordning (EU) nr 909/2014, artikel 3.1.20 i förordning (EU) 2016/1011 och i de relevanta bestämmelserna i förordningen om kryptotillgångar, eller motsvarande personer som i praktiken leder entiteten eller har nyckelfunktioner i enlighet med relevant unionsrätt eller nationell rätt.

31.kreditinstitut: ett kreditinstitut enligt definitionen i artikel 4.1.1 i Europaparlamentets och rådets förordning (EU) nr 575/2013 (32).

32.institut undantaget enligt direktiv 2013/36/EU: en sådan enhet som avses i artikel 2.5.4–2.5.23 i direktiv 2013/36/EU.

33.värdepappersföretag: ett värdepappersföretag enligt definitionen i artikel 4.1.1 i direktiv 2014/65/EU.

34.litet och icke-sammanlänkat värdepappersföretag: ett värdepappersföretag som uppfyller villkoren i artikel 12.1 i Europaparlamentets och rådets förordning (EU) 2019/2033 (33).

35.betalningsinstitut: ett betalningsinstitut enligt definitionen i artikel 4.4 i direktiv (EU) 2015/2366.

36.betalningsinstitut undantaget enligt direktiv (EU) 2015/2366: sådana betalningsinstitut som är undantagna enligt artikel 32.1 i direktiv (EU) 2015/2366.

37.leverantör av kontoinformationstjänster: sådana leverantörer av kontoinformationstjänster som avses i artikel 33.1 i direktiv (EU) 2015/2366.

38.institut för elektroniska pengar: ett institut för elektroniska pengar enligt definitionen i artikel 2.1 i Europaparlamentets och rådets direktiv 2009/110/EG.

39.institut för elektroniska pengar undantaget enligt direktiv 2009/110/EG: ett institut för elektroniska pengar som omfattas av ett undantag enligt artikel 9.1 i direktiv 2009/110/EG.

40.central motpart: en central motpart enligt definitionen i artikel 2.1 förordning (EU) nr 648/2012.

41.transaktionsregister: ett transaktionsregister enligt definitionen i artikel 2.2 i förordning (EU) nr 648/2012.

42.värdepapperscentral: en värdepapperscentral enligt definitionen i artikel 2.1.1 i förordning (EU) nr 909/2014.

43.handelsplats: en handelsplats enligt definitionen i artikel 4.1.24 i direktiv 2014/65/EU.

44.förvaltare av alternativa investeringsfonder: en förvaltare av alternativa investeringsfonder enligt definitionen i artikel 4.1 b i direktiv 2011/61/EU.

45.förvaltningsbolag: ett förvaltningsbolag enligt definitionen i artikel 2.1 b i direktiv 2009/65/EG.

46.leverantör av datarapporteringstjänster: en leverantör av datarapporteringstjänster i enlighet med vad som avses i artikel 2.1.34–36 i förordning (EU) nr 600/2014.

47.försäkringsföretag: ett försäkringsföretag enligt definitionen i artikel 13.1 i direktiv 2009/138/EG.

48.återförsäkringsföretag: ett återförsäkringsföretag enligt definitionen i artikel 13.4 i direktiv 2009/138/EG.

(31) Europaparlamentets och rådets direktiv 2009/65/EG av den 13 juli 2009 om samordning av lagar och andra författningar som avser företag för kollektiva investeringar i överlåtbara värdepapper (fondföretag) (EUT L 302, 17.11.2009, s. 32).

(32) Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och om ändring av förordning (EU) nr 648/2012 (EUT L 176, 27.6.2013, s. 1).

(33) Europaparlamentets och rådets förordning (EU) 2019/2033 av den 27 november 2019 om tillsynskrav för värdepappersföretag och om ändring av förordningarna (EU) nr 1093/2010, (EU) nr 575/2013, (EU) nr 600/2014 och (EU) nr 806/2014 (EUT L 314, 5.12.2019, s. 1).

259

Prop. 2024/25:44

Bilaga 1

L 333/28	SV	Europeiska unionens officiella tidning	27.12.2022

49.försäkringsförmedlare: en försäkringsförmedlare enligt definitionen i artikel 2.1.3 i Europaparlamentets och rådets direktiv (EU) 2016/97 (34).

50.försäkringsförmedlare som bedriver förmedling som sidoverksamhet: en försäkringsförmedlare som bedriver förmedling som sidoverksamhet enligt definitionen i artikel 2.1.4 i direktiv (EU) 2016/97.

51.återförsäkringsförmedlare: en återförsäkringsförmedlare enligt definitionen i artikel 2.1.5 i direktiv (EU) 2016/97.

52.tjänstepensionsinstitut: ett tjänstepensionsinstitut enligt definitionen i artikel 6.1 i direktiv (EU) 2016/2341.

53.litet tjänstepensionsinstitut: ett tjänstepensionsinstitut som förvaltar pensionsplaner som tillsammans inte har fler än totalt 100 medlemmar.

54.kreditvärderingsinstitut: ett kreditvärderingsinstitut enligt definitionen i artikel 3.1 b i förordning (EG) nr 1060/2009.

55.leverantör av kryptotillgångstjänster: en leverantör av kryptotillgångstjänster enligt definitionen i de relevanta bestämmelserna i förordningen om kryptotillgångar.

56.emittent av tillgångsanknutna token: en emittent av tillgångsanknutna token enligt definitionen i de relevanta bestämmelserna i förordningen om kryptotillgångar.

57.administratör av kritiska referensvärden: en administratör av kritiska referensvärden enligt definitionen i artikel 3.1.25 i förordning (EU) 2016/1011.

58.leverantör av gräsrotsfinansieringstjänster: en leverantör av gräsrotsfinansieringstjänster enligt definitionen i artikel 2.1 e i Europaparlamentets och rådets förordning (EU) 2020/1503 (35).

59.värdepapperiseringsregister: ett värdepapperiseringsregister enligt definitionen i artikel 2.23 i Europaparlamentets och rådets förordning (EU) 2017/2402 (36).

60.mikroföretag: en finansiell entitet, som inte är en handelsplats, en central motpart, ett transaktionsregister eller en värdepapperscentral, och som har färre än 10 anställda och en årsomsättning och/eller årlig balansomslutning som inte överstiger 2 miljoner EUR.

61.ledande tillsynsmyndighet: den europeiska tillsynsmyndighet som utses i enlighet med artikel 31.1 b i denna förordning.

62.den gemensamma kommittén: den kommitté som avses i artikel 54 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

63.litet företag: en finansiell entitet med tio eller fler anställda men färre än 50 anställda och en årsomsättning och/eller årlig balansomslutning som överstiger 2 miljoner EUR men som inte överstiger 10 miljoner EUR.

64.medelstort företag: en finansiell entitet som inte är ett litet företag och som har färre än 250 anställda och en årsomsättning som inte överstiger 50 miljoner EUR och/eller en årlig balansomslutning som inte överstiger 43 miljoner EUR.

65.offentlig myndighet: alla statliga entiteter eller andra entiteter inom offentlig förvaltning, inbegripet nationella centralbanker.

(34)	Europaparlamentets och rådets direktiv (EU) 2016/97 av den 20 januari 2016 om försäkringsdistribution (EUT L 26, 2.2.2016, s. 19).
(35)	Europaparlamentets och rådets förordning (EU) 2020/1503 av den 7 oktober 2020 om europeiska leverantörer av gräsrotsfinansie
	ringstjänster för företag och om ändring av förordning (EU) 2017/1129 och direktiv (EU) 2019/1937 (EUT L 347, 20.10.2020, s. 1).
(36)	Europaparlamentets och rådets förordning (EU) 2017/2402 av den 12 december 2017 om ett allmänt ramverk för värdepapperisering
	och om inrättande av ett särskilt ramverk för enkel, transparent och standardiserad värdepapperisering samt om ändring av direktiven

2009/65/EG, 2009/138/EG och 2011/61/EU och förordningarna (EG) nr 1060/2009 och (EU) nr 648/2012 (EUT L 347, 28.12.2017, s. 35).

260

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/29

Artikel 4

Proportionalitetsprincipen

1.Finansiella entiteter ska genomföra reglerna i kapitel II i enlighet med proportionalitetsprincipen, och med beaktande av sin storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, sin verksamhet och sina insatser.

2.Dessutom ska finansiella entiteters tillämpning av kapitlen III, IV och V, avsnitt I, stå i proportion till deras storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i sina tjänster, verksamhet och insatser, i enlighet med vad som specificeras i de relevanta reglerna i dessa kapitel.

3.De behöriga myndigheterna ska beakta finansiella entiteters tillämpning av proportionalitetsprincipen när de ser över enhetligheten i IKT-riskhanteringsramen baserat på de rapporter som lämnats in på begäran av de behöriga myndigheterna enligt artiklarna 6.5 och 16.2.

KAPITEL II

IKT-riskhantering

Avsnitt I

Artikel 5

Styrning och organisation

1.Finansiella entiteter ska ha en intern styrnings- och kontrollram som säkerställer en effektiv och ansvarsfull hantering av IKT-risk i enlighet med artikel 6.4, i syfte att åstadkomma en hög nivå av digital operativ motståndskraft.

2.Den finansiella entitetens ledningsorgan ska fastställa, godkänna, övervaka och ansvara för genomförandet av alla arrangemang som rör den IKT-riskhanteringsram som avses i artikel 6.1.

Vid tillämpning av det första stycket ska ledningsorganet

a)ha det slutliga ansvaret för att hantera den finansiella entitetens IKT-risk,

b)införa strategier som syftar till att säkerställa bibehållandet av höga standarder för tillgänglighet, äkthet, integritet och konfidentialitet för data,

c)fastställa tydliga roller och ansvarsområden för alla IKT-relaterade funktioner och inrätta lämpliga styrformer för att säkerställa kommunikation, samarbete och samordning på ett effektivt och skyndsamt sätt mellan dessa funktioner,

d)ha det övergripande ansvaret för att fastställa och godkänna strategin för digital operativ motståndskraft enligt artikel 6.8, inbegripet fastställandet av en lämplig risktoleransnivå för IKT-risk för den finansiella entiteten, enligt vad som avses i artikel 6.8 b,

e)godkänna, övervaka och regelbundet se över genomförandet av den IKT-kontinuitetspolicy och de åtgärds- och återställ ningsplaner avseende IKT för den finansiella entiteten som avses i artikel 11.1 respektive 11.3, vilka kan antas som särskilda specifika planer och utgöra integrerade delar av den finansiella entitetens övergripande kontinuitetsplan och åtgärds- och återställningsplan,

f)godkänna och regelbundet se över den finansiella entitetens IKT-internrevisionsplaner, IKT-revisioner och väsentliga ändringar av dessa,

g)anslå och regelbundet se över den lämpliga budgeten för att uppfylla den finansiella entitetens behov av digital operativ motståndskraft när det gäller alla typer av resurser, inbegripet relevanta program för medvetenhet om IKT-säkerhet och sådan utbildning om digital operativ motståndskraft som avses i artikel 13.6 och IKT-färdigheter för all personal,

261

Prop. 2024/25:44

Bilaga 1

L 333/30	SV	Europeiska unionens officiella tidning	27.12.2022

h)godkänna och regelbundet se över den finansiella entitetens riktlinjer för arrangemang vad gäller användningen av IKT- tjänster som tillhandahålls av tredjepartsleverantörer av IKT-tjänster,

i)på verksamhetsnivå etablera rapporteringskanaler som gör det möjligt att vederbörligen informeras om

i)arrangemang som har ingåtts med tredjepartsleverantörer av IKT-tjänster om användningen av IKT-tjänster,

ii)alla relevanta planerade väsentliga ändringar som rör tredjepartsleverantörerna av IKT-tjänster,

iii)den potentiella effekten av sådana ändringar på de kritiska eller viktiga funktioner som omfattas av dessa arrangemang, inbegripet en sammanfattning av riskanalysen för att bedöma effekterna av dessa ändringar och åtminstone allvarliga IKT-relaterade incidenter och deras inverkan liksom åtgärder, återställande och korrigerande åtgärder.

3.Andra finansiella entiteter än mikroföretag ska inrätta en funktion för att övervaka de arrangemang som har ingåtts med tredjepartsleverantörer av IKT-tjänster om användningen av IKT-tjänster, eller utse en medlem av den verkställande ledningen som ansvarig för att övervaka den åtföljande riskexponeringen och relevant dokumentation.

4.Medlemmarna i den finansiella entitetens ledningsorgan ska aktivt upprätthålla tillräckliga och aktuella kunskaper och färdigheter för att förstå och bedöma IKT-risk och deras inverkan på den finansiella entitetens verksamhet, inbegripet genom att regelbundet genomgå särskild utbildning som står i proportion till den IKT-risk som hanteras.

Avsnitt II

Artikel 6

IKT-riskhanteringsram

1.Finansiella entiteter ska ha en sund, heltäckande och väldokumenterad IKT-riskhanteringsram som en del av sitt övergripande riskhanteringssystem och den ska göra det möjligt för dem att snabbt, effektivt och heltäckande hantera IKT- risk och säkerställa en hög nivå av digital operativ motståndskraft.

2.IKT-riskhanteringsramen ska omfatta åtminstone de strategier, riktlinjer, förfaranden, IKT-protokoll och IKT-verktyg som är nödvändiga för att på ett vederbörligt och adekvat sätt skydda alla informations- och IKT-tillgångar, inbegripet datorprogramvara, datormaskinvara och servrar, och skydda alla relevanta fysiska komponenter och infrastrukturer, såsom lokaler, datacentraler och känsliga angivna områden, för att säkerställa att alla informations- och IKT-tillgångar är tillräckligt skyddade mot risker, inbegripet skada och obehörig åtkomst eller användning.

3.I enlighet med sin IKT-riskhanteringsram ska finansiella entiteter minimera effekterna av IKT-risk genom att införa lämpliga strategier, riktlinjer, förfaranden, IKT-protokoll och verktyg. De ska tillhandahålla fullständig och uppdaterad information om IKT-risk och om sin IKT-riskhanteringsram till de behöriga myndigheterna när dessa begär det.

4.Andra finansiella entiteter än mikroföretag ska överföra ansvaret för att hantera och övervaka IKT-risk till en kontrollfunktion och säkerställa en lämplig nivå av oberoende för den kontrollfunktionen för att undvika intressekonflikter. Finansiella entiteter ska säkerställa lämplig åtskillnad mellan och lämpligt oberoende för riskhanteringsfunktioner, kontrollfunktioner och interna revisionsfunktioner avseende IKT, enligt modellen med tre försvarslinjer eller en intern riskhanterings- och kontrollmodell.

5.IKT-riskhanteringsramen ska dokumenteras och ses över minst en gång per år, eller regelbundet när det gäller mikroföretag, liksom vid uppkomsten av allvarliga IKT-relaterade incidenter, och i enlighet med tillsynsinstruktioner eller slutsatser från relevanta testnings- eller revisionsprocesser för digital operativ motståndskraft. Ramen ska förbättras fortlöpande baserat på erfarenheterna från genomförande och övervakning. En rapport om översynen av IKT-riskhanter ingsramen ska överlämnas till den behöriga myndigheten på dess begäran.

262

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/31

6.IKT-riskhanteringsramen hos andra finansiella entiteter än mikroföretag ska vara föremål för en internrevision av revisorer på regelbunden basis och i enlighet med finansiella entiteters revisionsplan. Dessa revisorer ska ha tillräckliga kunskaper, färdigheter och expertis om IKT-risker, samt ha en lämplig nivå av oberoende. IKT-revisionernas frekvens och inriktning ska stå i proportion till den finansiella entitetens IKT-risk.

7.Finansiella entiteter ska baserat på slutsatserna från den interna revisionsrapporten inrätta en formell uppföljningsprocess, inbegripet regler för snabb kontroll och snabbt åtgärdande av kritiska resultat från IKT-revisionen.

8.IKT-riskhanteringsramen ska omfatta en strategi för digital operativ motståndskraft där det anges hur ramen ska genomföras. För detta ändamål ska strategin för digital operativ motståndskraft inbegripa metoder för att hantera IKT-risk och uppnå specifika IKT-mål på följande sätt:

a)Förklara hur IKT-riskhanteringsramen stöder den finansiella entitetens affärsstrategi och mål.

b)Fastställa risktoleransnivån för IKT-risk i enlighet med den finansiella entitetens riskbenägenhet och analysera toleransen mot effekterna av IKT-avbrott.

c)Fastställa tydliga informationssäkerhetsmål, inbegripet nyckelprestationsindikatorer och viktiga riskmått.

d)Förklara IKT-referensarkitekturen och eventuella förändringar som krävs för att uppnå specifika verksamhetsmål.

e)Beskriva de olika mekanismer som har införts för att upptäcka IKT-relaterade incidenter, förebygga deras effekter och ge skydd däremot.

f)Lägga fram bevis för den befintliga situationen vad gäller digital operativ motståndskraft baserat på antalet rapporterade allvarliga IKT-relaterade incidenter och de förebyggande åtgärdernas effektivitet.

g)Genomföra tester av den digitala operativa motståndskraften, i enlighet med kapitel IV i denna förordning.

h)Beskriva en kommunikationsstrategi vid IKT-relaterade incidenter; vars offentliggörande föreskrivs i artikel 14.

9.Finansiella entiteter får, när det gäller den strategi för digital operativ motståndskraft som avses i punkt 8, utforma en holistisk strategi med flera olika leverantörer av IKT-tjänster på koncern- eller entitetsnivå som visar de viktigaste beroendena av tredjepartsleverantörer av IKT-tjänster och förklarar logiken bakom upphandlingsmixen av tredjepartsleve rantörer av IKT-tjänster.

10.Finansiella entiteter får, i enlighet med unionsrätten och den nationella rätten på området utkontraktera uppgiften att kontrollera efterlevnaden av IKT-riskhanteringskraven till koncerninterna eller externa företag. Vid sådan utkontraktering bär den finansiella entiteten det fulla ansvaret för kontrollen av efterlevnaden av IKT-riskhanteringskraven.

Artikel 7

IKT-system, IKT-protokoll och IKT-verktyg

Finansiella entiteter ska för att åtgärda och hantera IKT-risk använda och upprätthålla uppdaterade IKT-system, IKT- protokoll och IKT-verktyg som

a)är lämpliga med hänsyn till omfattningen hos de transaktioner som ligger till grund för deras verksamhet, i enlighet med den proportionalitetsprincip som anges i artikel 4,

b)är tillförlitliga,

c)har tillräcklig kapacitet för att korrekt behandla de uppgifter som krävs för att bedriva verksamheten och skyndsamt tillhandahålla tjänster, och vid behov hantera toppar i order-, meddelande- eller transaktionsvolymer, även vid införande av ny teknik,

d)är tekniskt motståndskraftiga för att på lämpligt sätt hantera ytterligare informationsbehandlingsbehov när detta krävs under stressade marknadsförhållanden eller andra ogynnsamma situationer.

263

Prop. 2024/25:44

Bilaga 1

L 333/32	SV	Europeiska unionens officiella tidning	27.12.2022

Artikel 8

Identifiering

1.Som en del av den IKT-riskhanteringsram som avses i artikel 6.1 ska finansiella entiteter identifiera, klassificera och på lämpligt sätt dokumentera alla IKT-stödda affärsfunktioner, roller och ansvarsområden, de informationstillgångar och IKT- tillgångar som stöder dessa funktioner och deras roller och beroenden i förhållande till IKT-risk. Finansiella entiteter ska vid behov, och minst en gång per år, granska lämpligheten i denna klassificering och i all relevant dokumentation.

2.Finansiella entiteter ska fortlöpande identifiera alla källor till IKT-risk, särskilt riskexponeringen mot och från andra finansiella entiteter, och bedöma cyberhot och IKT-sårbarheter som är relevanta för deras IKT-stödda affärsfunktioner, informationstillgångar och IKT-tillgångar. Finansiella entiteter ska regelbundet och minst en gång per år se över de riskscenarier som påverkar dem.

3.Andra finansiella entiteter än mikroföretag ska göra en riskbedömning vid varje större förändring av nätverks- och informationssystemets infrastruktur, av de processer eller förfaranden som påverkar deras IKT-stödda affärsfunktioner, informationstillgångar eller IKT-tillgångar.

4.Finansiella entiteter ska identifiera alla informationstillgångar och IKT-tillgångar, inbegripet sådana på fjärrplatser, nätverksresurser och maskinvaruutrustning, och kartlägga de som anses vara kritiska. De ska kartlägga informationstill gångarnas och IKT-tillgångarnas konfiguration samt länkarna och det ömsesidiga beroendet mellan de olika informations tillgångarna och IKT-tillgångarna.

5.Finansiella entiteter ska identifiera och dokumentera alla processer som är beroende av tredjepartsleverantörer av IKT- tjänster och identifiera kopplingar till de tredjepartsleverantörer av IKT-tjänster som tillhandahåller tjänster som stöder kritiska eller viktiga funktioner.

6.Vid tillämpning av punkterna 1, 4 och 5 ska finansiella entiteter upprätthålla relevanta inventeringar och uppdatera dem regelbundet och varje gång en sådan större förändring som avses i punkt 3 inträffar.

7.Andra finansiella entiteter än mikroföretag ska regelbundet, och minst en gång per år, genomföra en särskild IKT- riskbedömning av alla äldre IKT-system, och i varje fall före och efter sammanlänkning av tekniker, tillämpningar eller system.

Artikel 9

Skydd och förebyggande

1.För att skydda IKT-system på lämpligt sätt och organisera motåtgärder ska finansiella entiteter kontinuerligt övervaka och kontrollera IKT-systemens och IKT-verktygens säkerhet och funktion och ska minimera effekterna av IKT-risk på IKT- system genom att införa lämpliga verktyg, riktlinjer och förfaranden för IKT-säkerhet.

2.Finansiella entiteter ska utforma, upphandla och genomföra IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg som syftar till att säkerställa IKT-systemens motståndskraft, kontinuitet och tillgänglighet, i synnerhet för de system som stöder kritiska eller viktiga funktioner, och upprätthålla höga standarder för tillgänglighet, äkthet, integritet och konfidentialitet avseende data, oberoende av om de är i vila, i bruk eller under överföring.

3.För att uppnå de mål som avses i punkt 2 ska finansiella entiteter använda IKT-lösningar och IKT-processer som är lämpliga i enlighet med artikel 4. Dessa IKT-lösningar och IKT-processer ska

a)säkerställa skyddet vid dataöverföring,

b)minimera risken för förvanskning eller förlust av uppgifter, obehörig åtkomst och tekniska brister som kan hindra affärsverksamheten,

c)förhindra bristen på tillgänglighet, försvagandet av äkthet och integritet, överträdelserna av konfidentialitet, och förlusten av data,

264

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/33

d)säkerställa att uppgifterna skyddas mot risker som uppstår från datahanteringen, inbegripet bristfällig förvaltning, processrelaterade risker och den mänskliga faktorn.

4.Som en del av den IKT-riskhanteringsram som avses i artikel 6.1 ska finansiella entiteter

a)utarbeta och dokumentera riktlinjer för informationssäkerhet där det fastställs regler för att skydda tillgängligheten, äktheten, integriteten och konfidentialiteten hos data, informationstillgångar och IKT-tillgångar, inbegripet hos deras kunder, när så är tillämpligt,

b)enligt en riskbaserad strategi upprätta en sund struktur för förvaltning av nätverk och infrastruktur med hjälp av lämpliga tekniker, metoder och protokoll, vilket kan inbegripa införande av automatiserade mekanismer för att isolera berörda informationstillgångar vid cyberangrepp,

c)genomföra strategier för att begränsa den fysiska eller logiska åtkomsten till informationstillgångar och IKT-tillgångar till enbart det som krävs för legitima och godkända funktioner och verksamheter, och för detta ändamål fastställa en uppsättning strategier, förfaranden och kontroller för åtkomsträttigheter och säkerställa en sund förvaltning av dessa,

d)genomföra strategier och protokoll för starka äkthetsmekanismer, baserade på relevanta standarder och särskilda kontrollsystem, samt skyddsåtgärder för kryptografiska nycklar där data krypteras baserat på resultat från godkända processer för klassificering och IKT-riskbedömning,

e)genomföra dokumenterade strategier, förfaranden och kontroller för hantering av IKT-förändringar, inbegripet ändringar av programvara, maskinvara, fasta programvarukomponenter, system eller säkerhetsparametrar, som bygger på en riskbedömningsmetod och är en integrerad del av den finansiella entitetens övergripande förändringshanter ingsprocess, för att säkerställa att alla ändringar av IKT-system registreras, testas, bedöms, godkänns, genomförs och verifieras på ett kontrollerat sätt,

f)ha lämpliga och heltäckande dokumenterade strategier för programfixar och uppdateringar.

Vid tillämpning av första stycket led b ska finansiella entiteter utforma infrastrukturen för nätanslutning på ett sätt som gör att den omedelbart kan avskiljas eller segmenteras i syfte att minimera och förhindra spridning, särskilt för sammanlänkade finansiella processer.

Vid tillämpning av första stycket led e ska processen för hantering av IKT-förändringar godkännas av lämpliga ledningsnivåer och ska ha särskilda protokoll på plats

Artikel 10

Upptäckt

1.Finansiella entiteter ska ha mekanismer för att snabbt upptäcka onormal verksamhet i enlighet med artikel 17, inbegripet frågor som rör IKT-nätverkens prestanda och IKT-relaterade incidenter, och för att identifiera potentiella väsentliga systemkritiska felpunkter (single points of failure).

Alla upptäcktsmekanismer som avses i första stycket ska testas regelbundet i enlighet med artikel 25.

2.De upptäcktsmekanismer som avses i punkt 1 ska möjliggöra flera kontrollnivåer, innehålla fastställda varningströs kelvärden och varningskriterier för att utlösa och inleda processer för hantering av IKT-relaterade incidenter, inbegripet automatiska varningsmekanismer för relevant personal med ansvar för hantering av IKT-relaterade incidenter.

3.Finansiella entiteter ska avsätta tillräckligt med resurser och kapacitet för att övervaka användarnas verksamhet, förekomsten av IKT-avvikelser och IKT-relaterade incidenter, särskilt cyberangrepp.

4.Leverantörer av datarapporteringstjänster ska dessutom ha system som på ett effektivt sätt gör det möjligt att kontrollera handelsrapporters fullständighet, hitta fall av utelämnad information och uppenbara fel och begära omsändning av dessa rapporter.

265

Prop. 2024/25:44

Bilaga 1

L 333/34	SV	Europeiska unionens officiella tidning	27.12.2022

Artikel 11

Åtgärder och återställande

1.Som en del av den IKT-riskhanteringsram som avses i artikel 6.1 och baserat på identifieringskraven i artikel 8 ska finansiella entiteter införa en heltäckande IKT-kontinuitetspolicy, vilken kan antas som en särskild specifik plan och utgöra en integrerad del av den finansiella entitetens övergripande kontinuitetsplan.

2.Finansiella entiteter ska genomföra IKT-kontinuitetspolicyn genom särskilda, lämpliga och dokumenterade arrangemang, planer, förfaranden och mekanismer som syftar till att

a)säkerställa kontinuiteten i den finansiella entitetens kritiska eller viktiga funktioner,

b)snabbt, lämpligt och effektivt reagera på och lösa alla IKT-relaterade incidenter på ett sätt som begränsar skador och prioriterar återupptagandet av verksamhet och återställningsåtgärder,

c)utan dröjsmål aktivera särskilda planer som möjliggör begränsningsåtgärder, processer och teknik som är anpassade till varje typ av IKT-relaterad incident och som förhindrar ytterligare skador, samt skräddarsydda åtgärds- och återställ ningsförfaranden som har fastställts i enlighet med artikel 12,

d)beräkna preliminära effekter, skador och förluster,

e)fastställa kommunikations- och krishanteringsinsatser som säkerställer att uppdaterad information överförs till all berörd intern personal och alla externa berörda parter i enlighet med artikel 14 och rapportera till behöriga myndigheter i enlighet med artikel 19.

3.Som en del av den IKT-riskhanteringsram som avses i artikel 6.1 ska finansiella entiteter genomföra åtföljande åtgärds- och återställningsplaner avseende IKT som, när det gäller andra finansiella entiteter än mikroföretag, ska bli föremål för oberoende interna granskningar.

4.Finansiella entiteter ska införa, upprätthålla och regelbundet testa lämpliga IKT-kontinuitetsplaner, särskilt när det gäller kritiska eller viktiga funktioner som har utkontrakterats eller kontrakterats genom arrangemang med tredjepartsleve rantörer av IKT-tjänster.

5.Finansiella entiteter ska som en del av sin övergripande IKT-kontinuitetspolicy genomföra en verksamhetskonse kvensanalys av hur exponerade de är mot allvarliga störningar i verksamheten. I verksamhetskonsekvensanalysen ska finansiella entiteter bedöma vilka potentiella följder som allvarliga störningar i verksamheten kan få genom kvantitativa och kvalitativa kriterier och med hjälp av interna och externa data och scenarioanalys, beroende på vad som är lämpligt. I verksamhetskonsekvensanalysen ska hänsyn tas till kritikaliteten i de identifierade och kartlagda affärsfunktionerna, stödprocesserna, tredjepartsberoendena och informationstillgångarna, samt deras ömsesidiga beroende. Finansiella entiteter ska säkerställa att IKT-tillgångarna och IKT-tjänsterna är utformade och används i full samstämmighet med verksamhetskonsekvensanalysen, särskilt vad gäller att i tillräcklig utsträckning säkerställa reservkapaciteten för alla kritiska komponenter.

6.Som en del av sin övergripande IKT-riskhantering ska finansiella entiteter

a)testa IKT-kontinuitetsplanerna och åtgärds- och återställningsplanerna avseende IKT för de IKT-system som stöder alla funktioner minst en gång per år samt i samband med omfattande ändringar av de IKT-system som stöder kritiska eller viktiga funktioner,

b)testa de kriskommunikationsplaner som har upprättats i enlighet med artikel 14.

Vid tillämpning av första stycket led a ska andra finansiella entiteter än mikroföretag i testplanerna inkludera scenarier för cyberangrepp och byten mellan den primära IKT-infrastrukturen och den reservkapacitet, de säkerhetskopior och reservanläggningar som krävs för att uppfylla de skyldigheter som anges i artikel 12.

Finansiella entiteter ska regelbundet se över sin IKT-kontinuitetspolicy och sina åtgärds- och återställningsplaner avseende IKT med hänsyn till resultatet av tester som har utförts i enlighet med första stycket och rekommendationer från revisions kontroller eller tillsynsgranskningar.

266

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/35

7.Andra finansiella entiteter än mikroföretag ska ha en krishanteringsfunktion som, om deras IKT-kontinuitetsplaner eller åtgärds- och återställningsplaner avseende IKT aktiveras, bland annat ska innehålla tydliga förfaranden för hantering av intern och extern kriskommunikation i enlighet med artikel 14.

8.Finansiella entiteter ska ha lättillgänglig dokumentation om den verksamhet som pågår före och under avbrott när deras IKT-kontinuitetsplaner och åtgärds- och återställningsplaner avseende IKT aktiveras.

9.Värdepapperscentraler ska förse de behöriga myndigheterna med kopior av resultatet av IKT-kontinuitetstesterna eller liknande övningar.

10.Andra finansiella entiteter än mikroföretag ska på begäran till de behöriga myndigheterna lämna en uppskattning av de totala årliga kostnader och förluster som orsakas av allvarliga IKT-relaterade incidenter.

11.I enlighet med artikel 16 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010 ska de europeiska tillsynsmyndigheterna genom den gemensamma kommittén senast den 17 juli 2024 utarbeta gemensamma riktlinjer om uppskattningen av de totala årliga kostnaderna och förlusterna som avses i punkt 10.

Artikel 12

Strategier och förfaranden för säkerhetskopiering och förfaranden och metoder för återskapande och

återställning

1.För att säkerställa att IKT-system och data kan återställas med minsta möjliga driftstopp, begränsade avbrott och förluster ska finansiella entiteter som en del i sin IKT-riskhanteringsram utarbeta och dokumentera

a)strategier och förfaranden för säkerhetskopiering där de anger omfattningen av de data som ska säkerhetskopieras och minimifrekvensen för säkerhetskopieringen, baserat på informationens kritikalitet eller uppgifternas konfidentiali tetsnivå,

b)förfaranden och metoder för återskapande och återställning.

2.Finansiella entiteter ska skapa säkerhetskopieringssystem som kan aktiveras i enlighet med strategierna och förfarandena för säkerhetskopiering samt med förfarande och metoder för återskapande och återställning. Aktiveringen av säkerhetskopieringssystem får inte äventyra säkerheten i nätverks- och informationssystemen eller datans tillgänglighet, äkthet, integritet eller konfidentialitet. Testning av säkerhetskopieringsförfarandena och förfarande och metoder för återskapande och återställning och metoderna ska genomföras regelbundet.

3.När finansiella entiteter återställer säkerhetskopierade data med hjälp av egna system ska de använda IKT-system som är fysiskt och logiskt segregerade från det IKT-system som är källan. IKT-systemen ska ha ett säkert skydd mot obehörig åtkomst eller IKT-förvanskning och medge ett snabbt återupptagande av tjänster, med hjälp av säkerhetskopior av data och system efter behov.

För centrala motparter ska återställningsplanerna göra det möjligt att återställa alla transaktioner så som de var vid tidpunkten för avbrottet, så att den centrala motpartens verksamhet är fortsatt säker och avvecklingen kan fullföljas vid fastställd tidpunkt.

Leverantörer av datarapporteringstjänster ska dessutom ha tillräckliga resurser och ha anläggningar för säkerhetskopiering och återskapande, så att de alltid kan erbjuda och upprätthålla sina tjänster.

4.Andra finansiella entiteter än mikroföretag ska upprätthålla IKT-reservkapacitet med resurser, förmåga och funktioner som är adekvata för att säkerställa verksamhetens behov. Mikroföretag ska bedöma behovet av att upprätthålla sådan IKT-reservkapacitet med utgångspunkt i vilken riskprofil de har.

5.Värdepapperscentraler ska ha minst ett sekundärt driftsställe med adekvata resurser, kapacitet, funktioner och personalarrangemang för att säkerställa verksamhetens behov.

267

Prop. 2024/25:44

Bilaga 1

L 333/36	SV	Europeiska unionens officiella tidning	27.12.2022

Det sekundära driftsstället ska

a)vara beläget på ett geografiskt avstånd från det primära driftsstället som gör det möjligt för det sekundära driftsstället att ha en åtskild riskprofil och hindrar det från att påverkas av den händelse som påverkar det primära driftsstället,

b)kunna säkra driftskontinuiteten i kritiska eller viktiga funktioner som är identiska med det primära driftsstället eller tillhandahålla den servicenivå som är nödvändig för att säkerställa att den finansiella entiteten kan bedriva sin kritiska verksamhet inom ramen för återställningsmålen,

c)vara omedelbart tillgängligt för den finansiella entitetens personal i syfte att säkra driftskontinuitet i dess kritiska eller viktiga funktioner om det primära driftsstället inte är tillgängligt.

6.När finansiella entiteter fastställer återställningstid och återställningspunktmål för varje funktion ska de ta hänsyn till huruvida det är en kritisk eller viktig funktion och den eventuella övergripande inverkan på marknadseffektiviteten. Tidsmålen ska säkerställa att de överenskomna servicenivåerna uppnås i extrema scenarier.

7.När finansiella entiteter återställer verksamheten efter en IKT-relaterad incident ska de göra nödvändiga kontroller, inbegripet flera kontroller och avstämningar, för att säkerställa att dataintegriteten håller högsta nivå. Dessa kontroller ska också utföras när data från externa berörda parter rekonstrueras för att säkerställa att alla data stämmer överens mellan systemen.

Artikel 13

Lärande och utveckling

1.Finansiella entiteter ska ha lämplig kapacitet och personal för att samla in information om sårbarheter och cyberhot, IKT-relaterade incidenter, särskilt cyberangrepp, och analysera vilken inverkan de kan förmodas ha på den digitala operativa motståndskraften.

2.Finansiella entiteter ska införa efterhandsöversyner av IKT-relaterade incidenter efter det att en allvarlig IKT-relaterad incident medför ett avbrott i kärnverksamheten, så att orsakerna till avbrotten kan analyseras och nödvändiga förbättringar av IKT-verksamheten eller i den IKT-kontinuitetspolicy som avses i artikel 11 identifieras.

Andra finansiella entiteter än mikroföretag ska på begäran till de behöriga myndigheterna meddela vilka ändringar som genomfördes efter de efterhandsöversyner av IKT-relaterade incidenter som avses i första stycket.

De efterhandsöversyner av IKT-relaterade incidenter som avses i första stycket ska fastställa om de fastställda förfarandena följdes och om de åtgärder som vidtogs var effektiva, bl.a. när det gäller

a)svarstiden för att reagera på säkerhetsvarningar och fastställa konsekvenserna av IKT-relaterade incidenter och deras allvarlighetsgrad,

b)kvalitet och snabbhet i utförandet av kriminaltekniska analyser, om så är lämpligt,

c)incidenteskaleringens effektivitet inom den finansiella entiteten,

d)effektiviteten i intern och extern kommunikation.

3.Lärdomar av den testning av digital operativ motståndskraft som har utförts i enlighet med artiklarna 26 och 27 och av verkliga IKT-relaterade incidenter, särskilt cyberangrepp, samt utmaningar i samband med aktivering av IKT- kontinuitetsplaner och åtgärds- och återställningsplaner avseende IKT och relevant information som har utväxlats med motparter och bedömts under tillsynsgranskningar, ska införlivas fortlöpande i IKT-riskbedömningsprocessen. Dessa resultat ska utgöra en grund för lämpliga översyner av relevanta delar i den IKT-riskhanteringsram som avses i artikel 6.1.

268

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/37

4.Finansiella entiteter ska övervaka effektiviteten i genomförandet av den strategi för digital operativ motståndskraft som anges i artikel 6.8. De ska kartlägga IKT-riskens utveckling över tid, analysera IKT-relaterade incidenters frekvens, typ, omfattning och utveckling, särskilt cyberangrepp och deras mönster, i syfte att förstå graden av IKT-riskexponering, särskilt när det gäller kritiska eller viktiga funktioner, och öka den finansiella entitetens cybermognad och cyberberedskap.

5.Senior IKT-personal ska minst en gång per år rapportera till ledningsorganet om de resultat som avses i punkt 3 och lägga fram rekommendationer.

6.Finansiella entiteter ska utarbeta program för medvetenhet om IKT-säkerhet och utbildning om digital operativ motståndskraft som obligatoriska moduler i sina personalutbildningsprogram. Dessa program och utbildningar ska gälla för alla anställda och personer i ledande ställning, och deras komplexitet ska motsvara behörigheten för personens roll. När så är lämpligt ska finansiella entiteter också inkludera tredjepartsleverantörer av IKT-tjänster i sina relevanta utbildningar, i enlighet med artikel 30.2 i.

7.Andra finansiella entiteter än mikroföretag ska kontinuerligt övervaka relevant teknisk utveckling, även i syfte att förstå vilka konsekvenser införandet av sådan ny teknik kan få för IKT-säkerhetskraven och den digitala operativa motståndskraften. De ska hålla sig uppdaterade om de senaste IKT-riskhanteringsprocesserna för att effektivt bekämpa nuvarande eller nya former av cyberangrepp.

Artikel 14

Kommunikation

1.Som en del av den IKT-riskhanteringsram som avses i artikel 6.1 ska finansiella entiteter ha kriskommunika tionsplaner som gör det möjligt att på ett ansvarsfullt sätt informera kunder och motparter samt allmänheten om åtminstone allvarliga IKT-relaterade incidenter eller sårbarheter, beroende på vad som är lämpligt.

2.Som en del av IKT-riskhanteringsramen ska finansiella entiteter genomföra kommunikationsstrategier för intern personal och externa berörda parter. I sina kommunikationsstrategier för personalen ska hänsyn tas till behovet av att skilja mellan personal som deltar i IKT-riskhantering, framför allt personalen med ansvar för åtgärder och återställande, och personal som behöver information.

3.Minst en person i den finansiella entiteten ska ha i uppgift att genomföra kommunikationsstrategin för IKT-relaterade incidenter och fungera som talesperson gentemot allmänheten och medierna i detta syfte.

Artikel 15

Ytterligare harmonisering av verktyg, metoder, processer och strategier för IKT-riskhantering

De europeiska tillsynsmyndigheterna ska, genom den gemensamma kommittén och i samråd med Europeiska unionens cybersäkerhetsbyrå (Enisa), utarbeta gemensamma förslag till tekniska standarder för tillsyn i syfte att

a)närmare specificera delar som ska ingå i de IKT-relaterade säkerhetsstrategier, förfaranden, protokoll och verktyg som avses i artikel 9.2 i syfte att säkerställa säkerheten i nätverk, möjliggöra lämpliga skyddsåtgärder mot intrång och missbruk av uppgifter, bevara uppgifternas tillgänglighet, äkthet, integritet och konfidentialitet, inbegripet krypteringsmetoder, och garantera en korrekt och snabb dataöverföring utan allvarliga avbrott och onödiga dröjsmål,

b)utveckla ytterligare komponenter i den hantering av kontroll av åtkomsträttigheter som avses i artikel 9.4 c och tillhörande personalpolitik där det specificeras åtkomsträttigheter, förfaranden för beviljande och återkallande av rättigheter, övervakning av onormalt beteende i förhållande till IKT-risk genom lämpliga indikatorer, inbegripet mönster för nätanvändning, tidpunkter, it-verksamhet och okänd utrustning,

c)vidareutveckla de mekanismer som anges i artikel 10.1 för att möjliggöra en snabb upptäckt av onormal verksamhet och de kriterier som fastställs i artikel 10.2 som utlöser processer för upptäckt och hantering av IKT-relaterade incidenter,

269

Prop. 2024/25:44

Bilaga 1

L 333/38	SV	Europeiska unionens officiella tidning	27.12.2022

d)närmare specificera komponenterna i den IKT-kontinuitetspolicy som avses i artikel 11.1,

e)närmare specificera de tester av IKT-kontinuitetsplaner som avses i artikel 11.6 för att säkerställa att det vid sådan testning tas tillräckligt stor hänsyn till scenarier där kvaliteten på tillhandahållandet av en kritisk eller viktig funktion försämras till en oacceptabel nivå eller tillhandahållandet avbryts, och till de potentiella konsekvenserna av insolvens eller andra fel hos en relevant tredjepartsleverantör av IKT-tjänster och, i förekommande fall, de politiska riskerna i respektive leverantörers jurisdiktioner,

f)närmare specificera komponenterna i de åtgärds- och återställningsplaner avseende IKT som avses i artikel 11.3,

g)närmare specificera innehållet i och formatet för den rapport om översynen av IKT-riskhanteringsramen som avses i artikel 6.5.

När de europeiska tillsynsmyndigheterna utarbetar dessa förslag till tekniska standarder för tillsyn ska de beakta den finansiella entitetens storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i dess tjänster, verksamhet och insatser, samtidigt som vederbörlig hänsyn tas till eventuella särdrag som härrör från den särskilda karaktären på verksamheten i olika sektorer för finansiella tjänster.

De europeiska tillsynsmyndigheterna ska överlämna dessa förslag till tekniska standarder för tillsyn till kommissionen senast den 17 januari 2024.

Kommissionen ges befogenhet att komplettera denna förordning genom att anta de tekniska standarder för tillsyn som avses i första stycket i enlighet med artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

Artikel 16

Förenklad IKT-riskhanteringsram

1.Artiklarna 5–15 i denna förordning ska inte tillämpas på små och icke-sammanlänkade värdepappersföretag, betalningsinstitut undantagna enligt direktiv (EU) 2015/2366, institut undantagna enligt direktiv 2013/36/EU och för vilka medlemsstaterna har beslutat att inte tillämpa den möjlighet som anges i artikel 2.4 i denna förordning; institut för elektroniska pengar undantagna enligt direktiv 2009/110/EG och små tjänstepensionsinstitut.

Utan att det påverkar tillämpningen av första stycket ska de enheter som förtecknas i första stycket

a)inrätta och upprätthålla en sund och dokumenterad IKT-riskhanteringsram som specificerar de mekanismer och åtgärder som syftar till att ge en snabb, effektiv och heltäckande hantering av IKT-risk, inbegripet vad gäller skyddet av relevanta fysiska komponenter och infrastrukturer,

b)kontinuerligt övervaka alla IKT-systems säkerhet och funktion,

c)minimera effekterna av IKT-risk genom användningen av sunda, motståndskraftiga och uppdaterade IKT-system, IKT- protokoll och IKT-verktyg som lämpar sig för att stödja utförandet av verksamheten och tillhandahållandet av tjänster och på ett tillräckligt sätt skydda konfidentialitet, tillgänglighet, integritet eller äkthet hos datan i nätverks- och informationssystemen,

d)göra det möjligt att snabbt identifiera och upptäcka IKT-risk och avvikelser i nätverks- och informationssystemen och att snabbt hantera IKT-relaterade incidenter,

e)identifiera de viktigaste beroendena av tredjepartsleverantörer av IKT-tjänster,

f)säkerställa kontinuiteten för kritiska eller viktiga funktioner genom kontinuitetsplaner och åtgärds- och återställnings åtgärder, vilket bland annat innefattar säkerhetskopiering och återskapande,

g)regelbundet testa de planer och åtgärder som avses i led f, samt effektiviteten i de kontroller som genomförts i enlighet med leden a och c,

270

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/39

h)i enlighet med vad som är lämpligt genomföra relevanta operativa slutsatser som härrör från de test som avses i led g och från efteranalyser av incidenter i IKT-riskbedömningsprocessen, och utifrån behoven och IKT-riskprofilen utarbeta program för medvetenhet om IKT-säkerhet och utbildning om digital operativ motståndskraft för personal och ledning.

2.Den IKT-riskhanteringsram som avses i punkt 1 andra stycket a, ska dokumenteras och ses över regelbundet och vid uppkomsten av allvarliga IKT-relaterade incidenter, i enlighet med tillsynsinstruktionerna. Ramen ska förbättras fortlöpande baserat på erfarenheterna från genomförande och övervakning. En rapport om översynen av IKT-riskhanter ingsramen ska överlämnas till den behöriga myndigheten på dess begäran.

3.De europeiska tillsynsmyndigheterna ska, genom den gemensamma kommittén och i samråd med Enisa, utarbeta gemensamma förslag till tekniska standarder för tillsyn i syfte att

a)närmare specificera vilka komponenter som ska ingå i den IKT-riskhanteringsram som avses i punkt 1 andra stycket a,

b)närmare specificera komponenterna i förhållande till system, protokoll och verktyg för att minimera effekterna av IKT- risk som avses i punkt 1 andra stycket c, i syfte att säkerställa säkerheten i nätverken, möjliggöra lämpliga skyddsåtgärder mot intrång och missbruk av data och bevara datans tillgänglighet, äkthet, integritet och konfidentialitet,

c)närmare specificera komponenterna i de IKT-kontinuitetsplaner som avses i punkt 1 andra stycket f,

d)närmare specificera reglerna för testningen av kontinuitetsplanerna och säkerställa att de kontroller som avses i punkt 1 andra stycket g är effektiva, och säkerställa att det vid sådan testning tas tillräckligt stor hänsyn till scenarier där kvaliteten på tillhandahållandet av en kritisk eller viktig funktion försämras till en oacceptabel nivå eller tillhanda hållandet avbryts,

e)närmare specificera innehållet i och formatet för den rapport om översynen av IKT-riskhanteringsramen som avses i punkt 2.

De europeiska tillsynsmyndigheterna ska överlämna dessa förslag till tekniska standarder för tillsyn till kommissionen senast den 17 januari 2024.

KAPITEL III

Hantering av, klassificering av och rapportering om IKT-relaterade incidenter

Artikel 17

Process för hantering av IKT-relaterade incidenter

1.Finansiella entiteter ska fastställa, inrätta och genomföra en process för hantering av IKT-relaterade incidenter för att upptäcka, hantera och rapportera IKT-relaterade incidenter.

2.Finansiella entiteter ska registrera alla IKT-relaterade incidenter och betydande cyberhot. Finansiella entiteter ska inrätta lämpliga förfaranden och processer för att säkerställa en konsekvent och integrerad övervakning, hantering och uppföljning av IKT-relaterade incidenter, för att säkerställa att grundorsakerna identifieras, dokumenteras och åtgärdas i syfte att förhindra att sådana incidenter inträffar.

271

Prop. 2024/25:44

Bilaga 1

L 333/40	SV	Europeiska unionens officiella tidning	27.12.2022

3.Den process för hantering av IKT-relaterade incidenter som avses i punkt 1 ska a) införa indikatorer för tidig varning,

b)innehålla fastställda förfaranden för att identifiera, spåra, logga, kategorisera och klassificera IKT-relaterade incidenter enligt deras prioritetsordning och allvar och enligt de berörda tjänsternas kritikalitet i enlighet med de kriterier som fastställs i artikel 18.1,

c)innehålla en fördelning av roller och ansvarsområden som behöver aktiveras för olika IKT-relaterade incidenttyper och scenarier,

d)innehålla planer för kommunikation till personal, externa berörda parter och medier i enlighet med artikel 14 och för anmälan till kunder, för interna eskaleringsförfaranden, inbegripet IKT-relaterade kundklagomål, samt för tillhanda hållande av information till finansiella entiteter som fungerar som motparter, beroende på vad som är lämpligt,

e)säkerställa att åtminstone allvarliga IKT-relaterade incidenter rapporteras till relevant senior ledning och att ledningsorganet informeras om åtminstone allvarliga IKT-relaterade incidenter, med en förklaring av effekter, åtgärder och ytterligare kontroller som ska fastställas till följd av sådana IKT-relaterade incidenter,

f)innehålla fastställda förfaranden för åtgärder vid IKT-relaterade incidenter för att mildra effekterna och säkerställa att tjänsterna snabbt kan tas i drift och är säkra.

Artikel 18

Klassificering av IKT-relaterade incidenter och cyberhot

1.Finansiella entiteter ska klassificera IKT-relaterade incidenter och fastställa deras inverkan baserat på följande kriterier:

a)Antalet och/eller betydelsen av kunder eller finansiella motparter som påverkas, och i tillämpliga fall, mängden eller antalet transaktioner som påverkas av den IKT-relaterade incidenten, och om anseendet har påverkats av den IKT- relaterade incidenten.

b)Den IKT-relaterade incidentens varaktighet, inklusive driftstopp.

c)Den geografiska spridningen med avseende på de områden som påverkas av den IKT-relaterade incidenten, särskilt om den påverkar fler än två medlemsstater.

d)De dataförluster som den IKT-relaterade incidenten medför, vad gäller tillgänglighet, äkthet, integritet eller konfidentialitet vad gäller datan

e)De berörda tjänsternas kritikalitet, inbegripet den finansiella entitetens transaktioner och verksamhet.

f)De ekonomiska effekterna, särskilt direkta och indirekta kostnader och förluster, av den IKT-relaterade incidenten i absoluta och relativa tal.

2.Finansiella entiteter ska klassificera cyberhot som betydande baserat på de hotade tjänsternas kritikalitet, inbegripet den finansiella entitetens transaktioner och verksamhet, antalet och/eller betydelsen av kunder eller finansiella motparter som hotas och den geografiska spridningen av de hotade områdena.

3.De europeiska tillsynsmyndigheterna ska, genom den gemensamma kommittén och i samråd med ECB och Enisa, utarbeta gemensamma förslag till tekniska standarder för tillsyn som ytterligare specificerar följande:

a)De kriterier som anges i punkt 1, inbegripet väsentlighetströsklar för att fastställa allvarliga IKT-relaterade incidenter eller, i tillämpliga fall, allvarliga betalningsrelaterade operativa incidenter eller säkerhetsincidenter, som omfattas av rapporteringsskyldigheten i artikel 19.1.

b)De kriterier som de behöriga myndigheterna ska tillämpa för att bedöma allvarliga IKT-relaterade incidenters eller, i tillämpliga fall, allvarliga betalningsrelaterade operativa incidenters eller säkerhetsincidenters relevans för de relevanta behöriga myndigheterna i andra medlemsstater och de detaljer i rapporter om allvarliga IKT-relaterade incidenter eller, i tillämpliga fall, allvarliga betalningsrelaterade operativa incidenter eller säkerhetsincidenter som ska delas med andra behöriga myndigheter enligt artikel 19.6 och 19.7.

c)De kriterier som anges i punkt 2 i denna artikel, inbegripet höga väsentlighetströsklar för att fastställa betydande cyberhot.

272

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/41

4.När de europeiska tillsynsmyndigheterna utarbetar de gemensamma förslag till tekniska standarder för tillsyn som avses i punkt 3 i denna artikel ska de ta hänsyn till kriterierna i artikel 4.2 samt internationella standarder, riktlinjer och specifikationer som har utarbetats och offentliggjorts av Enisa, inbegripet, när så är lämpligt, specifikationer för andra ekonomiska sektorer. Vid tillämpningen av kriterierna i artikel 4.2 ska de europeiska tillsynsmyndigheterna vederbörligen beakta behovet av att mikroföretag och små och medelstora företag mobiliserar tillräckliga resurser och tillräcklig kapacitet för att säkerställa att IKT-relaterade incidenter hanteras snabbt.

De europeiska tillsynsmyndigheterna ska överlämna dessa gemensamma förslag till tekniska standarder för tillsyn till kommissionen senast den 17 januari 2024.

Kommissionen ges befogenhet att komplettera denna förordning genom att anta de tekniska standarder för tillsyn som avses i punkt 3 i enlighet med artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

Artikel 19

Rapportering av allvarliga IKT-relaterade incidenter och frivillig anmälan av betydande cyberhot

1.Finansiella entiteter ska rapportera allvarliga IKT-relaterade incidenter till den relevanta behöriga myndighet som avses i artikel 46 i enlighet med punkt 4 i den här artikeln.

Om en finansiell entitet är föremål för tillsyn av mer än en sådan nationell behörig myndighet som avses i artikel 46 ska medlemsstaterna utse en enda behörig myndighet till relevant behörig myndighet med ansvar för att utföra de funktioner och skyldigheter som föreskrivs i denna artikel.

Kreditinstitut som klassificeras som betydande i enlighet med artikel 6.4 i förordning (EU) nr 1024/2013 ska rapportera allvarliga IKT-relaterade incidenter till den relevanta nationella behöriga myndighet som utsetts i enlighet med artikel 4 i direktiv 2013/36/EU, och myndigheten ska omedelbart översända den rapporten till ECB.

Vid tillämpning av första stycket ska finansiella entiteter, efter att ha samlat in och analyserat all relevant information, utarbeta den första anmälan och de rapporter som avses i punkt 4 i denna artikel med hjälp av de mallar som avses i artikel 20 och överlämna dem till den behöriga myndigheten. Om det visar sig vara tekniskt omöjligt att överföra den första anmälan med hjälp av mallen ska finansiella entiteter anmäla till den behöriga myndigheten på annat vis.

Den första anmälan och de rapporter som avses i punkt 4 ska innehålla all information som är nödvändig för att den behöriga myndigheten ska kunna fastställa betydelsen av den allvarliga IKT-relaterade incidenten och bedöma eventuella gränsöverskridande konsekvenser.

Utan att det påverkar den finansiella entitetens rapportering enligt första stycket till den relevanta behöriga myndigheten får medlemsstaterna även besluta att vissa eller alla finansiella entiteter dessutom till den första anmälan och de rapporter som avses i punkt 4 i denna artikel ska använda de mallar som avses i artikel 20 när de överlämnar anmälan och rapporterna till de behöriga myndigheterna eller de CSIRT-enheter som utsetts eller inrättats i enlighet med direktiv (EU) 2022/2555.

2.Finansiella entiteter får på frivillig basis rapportera betydande cyberhot till den relevanta behöriga myndigheten, när de anser att hotet är relevant för det finansiella systemet, tjänsteanvändarna eller kunderna. Den relevanta behöriga myndigheten får lämna sådan information till de andra relevanta myndigheter som avses i punkt 6.

Kreditinstitut som klassificeras som betydande i enlighet med artikel 6.4 i förordning (EU) nr 1024/2013 får på frivillig basis rapportera betydande cyberhot till den relevanta nationella behöriga myndighet som utsetts i enlighet med artikel 4 i direktiv 2013/36/EU, och myndigheten ska omedelbart översända den anmälan till ECB.

Medlemsstaterna får fastställa att de finansiella entiteter som rapporterar på frivillig basis i enlighet med första stycket också får vidarebefordra den anmälan till de CSIRT-enheter som utsetts eller inrättats i enlighet med direktiv (EU) 2022/2555.

273

Prop. 2024/25:44

Bilaga 1

L 333/42	SV	Europeiska unionens officiella tidning	27.12.2022

3.Om en allvarlig IKT-relaterad incident inträffar och påverkar kunders ekonomiska intressen ska finansiella entiteter utan onödigt dröjsmål så snart de blir medvetna om den informera sina kunder om den allvarliga IKT-relaterade incidenten och om de åtgärder som har vidtagits för att mildra de negativa effekterna av en sådan incident.

I händelse av ett betydande cyberhot ska finansiella entiteter, i tillämpliga fall, informera de kunder som kan påverkas om alla lämpliga skyddsåtgärder som de sistnämnda kan överväga att vidta.

4.Finansiella entiteter ska, inom de tidsfrister som ska fastställas i enlighet med artikel 20 första stycket a ii, lämna följande till den relevanta behöriga myndigheten:

a)En första anmälan.

b)En delrapport efter den första anmälan som avses i led a, så snart statusen för den ursprungliga incidenten har förändrats avsevärt eller hanteringen av den allvarliga IKT-relaterade incidenten har förändrats på grund av ny tillgänglig information, när så är lämpligt åtföljd av uppdaterade anmälningar varje gång en relevant statusuppdatering finns tillgänglig, samt på särskild begäran av den behöriga myndigheten.

c)En slutrapport, när analysen av grundorsakerna har slutförts, oavsett om begränsande åtgärder redan har vidtagits, och när de faktiska påverkanssiffrorna finns tillgängliga för att ersätta uppskattningar.

5.Finansiella entiteter får i enlighet med unionsrätten och nationell rätt på området utkontraktera rapporteringsskyl digheterna enligt denna artikel till en tredjepartsleverantör av tjänster. Vid sådan utkontraktering bär den finansiella entiteten det fulla ansvaret för efterlevnaden av incidentrapporteringskraven.

6.Efter mottagandet av den första anmälan och av varje rapport som avses i punkt 4 ska den behöriga myndigheten skyndsamt lämna närmare uppgifter om den allvarliga IKT-relaterade incidenten till följande mottagare, i tillämpliga fall på grundval av deras respektive behörigheter:

a)EBA, Esma eller Eiopa,

b)ECB när det gäller de finansiella entiteter som avses i artikel 2.1 a, b och d,

c)de behöriga myndigheter, de gemensamma kontaktpunkter eller de CSIRT-enheter som utsetts eller inrättats i enlighet med direktiv (EU) 2022/2555,

d)de resolutionsmyndigheter som avses i artikel 3 i direktiv 2014/59/EU och den gemensamma resolutionsnämnden när det gäller sådana enheter som avses i artikel 7.2 i Europaparlamentets och rådets förordning (EU) nr 806/2014 (37) och när det gäller sådana enheter och koncerner som avses i artikel 7.4 b och 7.5 i förordning (EU) nr 806/2014 om sådana detaljer gäller incidenter som utgör en risk för säkerställandet av kritiska funktioner i den mening som avses i artikel 2.1.35 i direktiv 2014/59/EU, och

e)andra relevanta offentliga myndigheter enligt nationell rätt.

7.Efter att ha mottagit information i enlighet med punkt 6 ska EBA, Esma eller Eiopa och ECB, i samråd med Enisa och i samarbete med den relevanta behöriga myndigheten, bedöma huruvida den allvarliga IKT-relaterade incidenten är relevant för behöriga myndigheter i andra medlemsstater. Efter denna bedömning ska EBA, Esma eller Eiopa så snart som möjligt underrätta de relevanta behöriga myndigheterna i andra medlemsstater i ärendet. ECB ska underrätta medlemmarna i Europeiska centralbankssystemet om frågor som är relevanta för betalningssystemet. Baserat på denna underrättelse ska de behöriga myndigheterna vid behov vidta alla nödvändiga åtgärder för att skydda det finansiella systemets omedelbara stabilitet.

(37) Europaparlamentets och rådets förordning (EU) nr 806/2014 av den 15 juli 2014 om fastställande av enhetliga regler och ett enhetligt förfarande för resolution av kreditinstitut och vissa värdepappersföretag inom ramen för en gemensam resolutionsmekanism och en gemensam resolutionsfond och om ändring av förordning (EU) nr 1093/2010 (EUT L 225, 30.7.2014, s. 1).

274

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/43

8. Den anmälan som Esma ska göra enligt punkt 7 i denna artikel ska inte påverka den behöriga myndighetens skyldighet att skyndsamt översända uppgifterna om den allvarliga IKT-relaterade incidenten till den relevanta myndigheten

ivärdmedlemsstaten, om en värdepapperscentral har betydande gränsöverskridande verksamhet i värdmedlemsstaten, om den allvarliga IKT-relaterade incidenten sannolikt kommer att medföra allvarliga konsekvenser för finansmarknaderna i värdmedlemsstaten och om det finns samarbetsarrangemang mellan behöriga myndigheter som gäller tillsynen av finansiella entiteter.

Artikel 20

Harmonisering av rapporteringsinnehåll och mallar

De europeiska tillsynsmyndigheterna ska, genom den gemensamma kommittén och i samråd med Enisa och ECB, utarbeta

a)gemensamma förslag till tekniska standarder för tillsyn för att

i)fastställa innehållet i rapporterna om allvarliga IKT-relaterade incidenter, för att återspegla de kriterier som fastställts i artikel 18.1 och införliva ytterligare beståndsdelar, såsom detaljerna för att fastställa huruvida rapporteringen är relevant för andra medlemsstater och huruvida det utgör en allvarliga betalningsrelaterad operativ incident eller säkerhetsincident eller inte,

ii)fastställa tidsfristerna för den första anmälan och för varje rapport som avses i artikel 19.4,

iii)fastställa innehållet i anmälan om betydande cyberhot.

Vid utarbetandet av dessa förslag till tekniska standarder för tillsyn ska de europeiska tillsynsmyndigheterna ta hänsyn till den finansiella entitetens storlek och allmänna riskprofil samt karaktären på, omfattningen av och komplexiteten i dess tjänster, verksamhet och insatser, särskilt för att säkerställa att olika tidsfrister för tillämpningen av detta stycke led a ii, beroende på vad som är lämpligt, kan återspegla de finansiella sektorernas särdrag, utan att det påverkar upprätthållandet av en enhetlig strategi för IKT-relaterad incidentrapportering enligt denna förordning och i direktiv (EU) 2022/2555. De europeiska tillsynsmyndigheterna ska, beroende på vad som är tillämpligt, lämna en motivering när de avviker från de metoder som tillämpas inom ramen för det direktivet.

b)gemensamma förslag till tekniska standarder för genomförande i syfte att fastställa standardformulär, mallar och förfaranden för finansiella entiteter för rapportering av en allvarlig IKT-relaterad incident eller anmälan av ett betydande cyberhot.

De europeiska tillsynsmyndigheterna ska överlämna de gemensamma förslag till tekniska standarder för tillsyn som avses i första stycket a och de gemensamma förslag till tekniska genomförandestandarder som avses i första stycket b till kommissionen senast den 17 juli 2024.

Kommissionen ges befogenhet att komplettera denna förordning genom att anta de gemensamma tekniska standarder för tillsyn som avses i första stycket a i enlighet med artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

Kommissionen ges befogenhet att anta de gemensamma tekniska standarder för genomförande som avses i första stycket b i enlighet med artikel 15 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

Artikel 21

Centralisering av rapportering av allvarliga IKT-relaterade incidenter

1.De europeiska tillsynsmyndigheterna ska, genom den gemensamma kommittén och i samråd med ECB och Enisa, utarbeta en gemensam rapport med en bedömning av genomförbarheten av ytterligare centralisering av incidentrappor teringen genom inrättandet av en gemensam EU-knutpunkt för finansiella entiteters rapportering av allvarliga IKT- relaterade incidenter. Den gemensamma rapporten ska innehålla en undersökning av olika sätt att underlätta flödet av IKT- relaterad incidentrapportering, minska de därmed sammanhängande kostnaderna och underbygga tematiska analyser i syfte att öka konvergensen i tillsynen.

275

Prop. 2024/25:44

Bilaga 1

L 333/44	SV	Europeiska unionens officiella tidning	27.12.2022

2.Den gemensamma rapport som avses i punkt 1 ska innehålla minst följande:

a)Förutsättningar för att inrätta en gemensam EU-knutpunkt.

b)Fördelar, begränsningar och risker, inbegripet risker förknippade med hög koncentration av känslig information.

c)Nödvändig kapacitet för att säkerställa interoperabilitet med andra relevanta rapporteringssystem.

d)Inslag i den operativa förvaltningen.

e)Villkor för medlemskap.

f)Tekniska arrangemang för att finansiella entiteter och nationella behöriga myndigheter ska få tillgång till den gemensamma EU-knutpunkten.

g)En preliminär bedömning av de finansiella kostnaderna för inrättandet av den operativa plattformen till stöd för den gemensamma EU-knutpunkten, inklusive den sakkunskap som krävs.

3.De europeiska tillsynsmyndigheterna ska överlämna den rapport som avses i punkt 1 till Europaparlamentet, rådet och kommissionen senast den 17 januari 2025.

Artikel 22

Återkoppling från tillsynsmyndigheterna

1.Utan att det påverkar de tekniska uppgifterna, råden eller åtgärderna och efterföljande uppföljning, som i tillämpliga fall kan tillhandahållas i enlighet med nationell rätt, av CSIRT-enheterna enligt direktiv (EU) 2022/2555, ska den behöriga myndigheten, efter mottagandet av den första anmälan och av varje rapport som avses i artikel 19.4, bekräfta mottagandet och får, när så är möjligt, skyndsamt tillhandahålla relevant och proportionell återkoppling eller vägledning på hög nivå till den finansiella entiteten, särskilt genom att göra tillgänglig all eventuell relevant anonymiserad information och underrättelser om liknande hot, och får diskutera åtgärder som tillämpas på finansiell entitetsnivå, och sätt att minimera och mildra de negativa effekterna i den finansiella sektorn. Utan att det påverkar den återkoppling som mottagits från tillsynsmyndigheterna ska finansiella entiteter förbli fullt ansvariga för hanteringen av och konsekvenserna av IKT- relaterade incidenter som rapporteras enligt artikel 19.1.

2.De europeiska tillsynsmyndigheterna ska genom den gemensamma kommittén årligen lämna anonymiserade och aggregerade rapporter om allvarliga IKT-relaterade incidenter, vars detaljer ska komma från behöriga myndigheter i enlighet med artikel 19.6, med angivande av åtminstone antalet allvarliga IKT-relaterade incidenter och deras art, inverkan på finansiella entiteters eller kunders verksamhet, vidtagna avhjälpande åtgärder och uppkomna kostnader.

De europeiska tillsynsmyndigheterna ska utfärda varningar och ta fram statistik på hög nivå till stöd för IKT-hot- och sårbarhetsbedömningar.

Artikel 23

Betalningsrelaterade operativa incidenter eller säkerhetsincidenter som gäller kreditinstitut, betalningsinstitut,

leverantörer av kontoinformationstjänster och institut för elektroniska pengar

De krav som fastställs i detta kapitel ska också tillämpas på betalningsrelaterade operativa incidenter eller säkerhetsin cidenter och på allvarliga betalningsrelaterade operativa incidenter eller säkerhetsincidenter, om de gäller kreditinstitut, betalningsinstitut, leverantörer av kontoinformationstjänster och institut för elektroniska pengar.

276

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/45

KAPITEL IV

Testning av digital operativ motståndskraft

Artikel 24

Allmänna krav för testning av digital operativ motståndskraft

1.För att bedöma beredskapen för hantering av IKT-relaterade incidenter, identifiera svagheter, brister och luckor i den digitala operativa motståndskraften och snabbt genomföra korrigerande åtgärder ska andra finansiella entiteter än mikroföretag, med hänsyn till de kriterier som fastställs i artikel 4.2, inrätta, upprätthålla och se över ett sunt och heltäckande program för testning av digital operativ motståndskraft som en integrerad del av den IKT-riskhanteringsram som avses i artikel 6.

2.Programmet för testning av digital operativ motståndskraft ska omfatta en rad bedömningar, tester, metoder, praxis och verktyg som ska tillämpas i enlighet med artiklarna 25 och 26.

3.När andra finansiella entiteter än mikroföretag genomför det testprogram för digital operativ motståndskraft som avses i punkt 1 i denna artikel ska de följa en riskbaserad metod med hänsyn tagen till kriterierna i artikel 4.2 med vederbörligt beaktande av IKT-riskens utveckling, eventuella specifika risker som den berörda finansiella entiteten är eller kan bli exponerad för, kritikaliteten hos informationstillgångar och tillhandahållna tjänster samt varje annan faktor som den finansiella entiteten anser lämplig.

4.Andra finansiella entiteter än mikroföretag ska se till att testerna utförs av oberoende parter, oavsett om de är interna eller externa. När tester utförs av en intern testare ska finansiella entiteter avsätta tillräckliga resurser och säkerställa att intressekonflikter kan undvikas under testets utformning och genomförande.

5.Andra finansiella entiteter än mikroföretag ska fastställa förfaranden och strategier för prioritering, klassificering och åtgärdande av alla problem som visar sig under genomförandet av testerna och ska införa interna valideringsmetoder för att säkerställa att alla identifierade svagheter, brister eller luckor åtgärdas fullt ut.

6.Andra finansiella entiteter än mikroföretag ska säkerställa, åtminstone årligen, att lämpliga tester utförs på alla IKT- system och IKT-tillämpningar som stöder kritiska eller viktiga funktioner.

Artikel 25

Testning av IKT-verktyg och IKT-system

1.Det program för testning av digital operativ motståndskraft som avses i artikel 24 ska, i enlighet med kriterierna i artikel 4.2, innehålla bestämmelser om utförande av lämpliga tester, såsom sårbarhetsanalyser och skanningar, analyser av öppen källkod, nätverkssäkerhetsbedömningar, gapanalyser, fysiska säkerhetsgranskningar, frågeformulär och programva rulösningar för skanning, källkodsgranskningar när så är möjligt, scenariobaserade tester, kompatibilitetstester, prestandatester, tester ändpunkt till ändpunkt (end-to-end) och penetrationstester.

2.Värdepapperscentraler och centrala motparter ska utföra sårbarhetsbedömningar före eventuellt införande eller återinförande av nya eller befintliga tillämpningar och infrastrukturkomponenter, och IKT-tjänster som stöder den finansiella entitetens kritiska eller viktiga funktioner,.

3.Mikroföretag ska utföra de tester som avses i punkt 1 genom att kombinera en riskbaserad metod med strategisk planering av IKT-testning, genom att vederbörligen beakta behovet av att upprätthålla en balans mellan å ena sidan omfattningen av de resurser och den tid som ska avsättas för IKT-testning som föreskrivs i denna artikel och å andra sidan skyndsamheten, typen av risk, kritikaliteten hos informationstillgångarna och de tillhandahållna tjänsterna samt alla andra relevanta faktorer, inbegripet den finansiella entitetens förmåga att ta beräknade risker.

277

Prop. 2024/25:44

Bilaga 1

L 333/46	SV	Europeiska unionens officiella tidning	27.12.2022

Artikel 26

Avancerad testning av IKT-verktyg, IKT-system och IKT-processer baserad på hotbildsstyrd penetrationstestning

1.Andra finansiella entiteter än de entiteter som avses i artikel 16.1 första stycket och mikroföretag, vilka har identifierats i enlighet med punkt 8 tredje stycket i den här artikeln ska minst vart tredje år genomföra avancerade tester med hjälp av hotbildsstyrd penetrationstestning. Baserat på den finansiella entitetens riskprofil och med beaktande av de operativa omständigheterna får den behöriga myndigheten vid behov begära att den finansiella entiteten minskar eller ökar denna frekvens.

2.Varje hotbildsstyrt penetrationstest ska omfatta flera eller alla av en finansiell entitets kritiska eller viktiga funktioner och ska utföras på produktionssystem i drift som stöder sådana funktioner.

Finansiella entiteter ska identifiera alla relevanta underliggande IKT-system, IKT-processer och IKT-tekniker som stöder kritiska eller viktiga funktioner och IKT-tjänster, inbegripet de som stöder de kritiska eller viktiga funktioner som har utkontrakterats eller kontrakterats till tredjepartsleverantörer av IKT-tjänster.

Finansiella entiteter ska bedöma vilka kritiska eller viktiga funktioner som behöver omfattas av den hotbildsstyrda penetrationstestningen. Resultatet av denna bedömning ska fastställa den exakta omfattningen av den hotbildsstyrda penetrationstestningen och ska valideras av de behöriga myndigheterna.

3.Om tredjepartsleverantörer av IKT-tjänster omfattas av den hotbildsstyrda penetrationstestningen ska den finansiella entiteten vidta nödvändiga åtgärder och skyddsåtgärder för att säkerställa att sådana tredjepartsleverantörer av IKT-tjänster deltar i den hotbildsstyrda penetrationstestningen och ska alltid ha fullt ansvar för att säkerställa att denna förordning efterlevs.

4.Utan att det påverkar tillämpningen av punkt 2 första och andra styckena får den finansiella entiteten och en tredjepartsleverantör av IKT-tjänster, om tredjepartsleverantörens deltagande i den hotbildsstyrda penetrationstestningen som avses i punkt 3 kan förväntas få negativ inverkan på kvaliteten eller säkerheten för de tjänster som tredjepartsleve rantören av IKT-tjänster tillhandahåller till kunder som är entiteter som inte omfattas av denna förordning, eller för konfidentialiteten för data som är relaterade till sådana tjänster, skriftligen enas om att tredjepartsleverantören av IKT- tjänster ingår avtal med en extern testare i syfte att, under ledning av en utsedd finansiell entitet, genomföra en gemensam hotbildsstyrd penetrationstestning med flera finansiella entiteter (gemensam testning) till vilka tredjepartsleverantören av IKT-tjänster tillhandahåller IKT-tjänster.

Den gemensamma testningen ska omfatta det relevanta spektrum av IKT-tjänster som stöder kritiska eller viktiga funktioner som de finansiella entiteterna har ingått avtal om med respektive tredjepartsleverantör av IKT-tjänster. Den gemensamma testningen ska betraktas som hotbildsstyrd penetrationstestning utförd av de finansiella entiteter som deltar i den gemensamma testningen.

Antalet finansiella entiteter som deltar i den gemensamma testningen ska vederbörligen kalibreras med beaktande av de berörda tjänsternas komplexitet och typ.

5.De finansiella entiteterna ska, i samarbete med tredjepartsleverantörer av IKT-tjänster och andra berörda parter, inbegripet testarna men exklusive de behöriga myndigheterna, tillämpa effektiva riskhanteringskontroller för att minska riskerna för möjliga effekter på data, skador på tillgångar och avbrott i kritiska eller viktiga funktioner, tjänster eller transaktioner hos den finansiella entiteten själv, dess motpart eller den finansiella sektorn.

6.När testet har avslutats och efter det att rapporter och åtgärdsplaner har godkänts ska den finansiella entiteten och, i tillämpliga fall, de externa testarna förse den myndighet som utsetts i enlighet med punkt 9 eller 10 med en sammanfattning av de relevanta resultaten, åtgärdsplanerna och dokumentation som visar att den hotbildsstyrda penetrationstestningen har utförts i enlighet med kraven.

7.Myndigheter ska förse finansiella entiteter med ett intyg som bekräftar att testet genomfördes i enlighet med kraven, vilket ska framgå av dokumentationen, i syfte att möjliggöra ömsesidigt erkännande av hotbildsstyrd penetrationstestning mellan behöriga myndigheter. Den finansiella entiteten ska underrätta den relevanta behöriga myndigheten om intyget, sammanfattningen av de relevanta resultaten och åtgärdsplanerna.

278

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/47

Utan att det påverkar tillämpligheten av ett sådant intyg ska de finansiella entiteterna alltid ha det fulla ansvaret för effekterna av de tester som avses i punkt 4.

8.Finansiella entiteter ska anlita testare i syfte att genomföra hotbildsstyrd penetrationstestning i enlighet med artikel 27. Om finansiella entiteter använder interna testare för att genomföra hotbildsstyrd penetrationstestning ska de anlita externa testare vid vart tredje test.

De kreditinstitut som klassificeras som betydande i enlighet med artikel 6.4 i förordning (EU) nr 1024/2013 ska endast använda externa testare i enlighet med artikel 27.1 a–e.

De behöriga myndigheterna ska identifiera de finansiella entiteter som är skyldiga att genomföra hotbildsstyrd penetrations testning med beaktande av kriterierna i artikel 4.2, baserat på en bedömning av följande:

a)Påverkansfaktorer, särskilt i vilken utsträckning de tjänster som tillhandahålls och den verksamhet som bedrivs av den finansiella entiteten påverkar den finansiella sektorn.

b)Eventuella farhågor om den finansiella stabiliteten, inbegripet den finansiella entitetens betydelse för systemet som helhet på unionsnivå eller nationell nivå, beroende på vad som är tillämpligt.

c)Den berörda finansiella entitetens specifika IKT-riskprofil, IKT-mognadsgrad och tekniska funktioner.

9.Medlemsstaterna får utse en enda offentlig myndighet inom finanssektorn som ska ansvara för frågor som rör hotbildsstyrd penetrationstestning inom den finansiella sektorn på nationell nivå och ska ge myndigheten alla befogenheter och uppgifter i detta syfte.

10.Om det inte har utsetts någon myndighet i enlighet med punkt 9 i denna artikel, och utan att det påverkar befogenheten att välja ut vilka finansiella entiteter som är skyldiga att utföra hotbildsstyrd penetrationstestning, får en behörig myndighet delegera vissa eller alla av de uppgifter som avses i denna artikel och artikel 27 till en annan nationell myndighet inom den finansiella sektorn.

11.De europeiska tillsynsmyndigheterna ska, i samförstånd med ECB, utarbeta gemensamma förslag till tekniska standarder för tillsyn i enlighet med TIBER-EU-ramen i syfte att närmare specificera

a)de kriterier som används för tillämpningen av punkt 8 andra stycket,

b)kraven och standarderna för användning av interna testare

c)kraven i fråga om

i)omfattningen av den hotbildsstyrda penetrationstestning som avses i punkt 2,

ii)den testmetod och det tillvägagångssätt som ska följas för varje specifik fas i testprocessen,

iii)testningens resultat och avslutnings- och åtgärdsfaser,

d)den typ av tillsynssamarbete och annat relevant samarbete som krävs för genomförandet av hotbildsstyrd penetrations testning och för underlättande av det ömsesidiga erkännandet av sådan testning när det gäller finansiella entiteter som är verksamma i mer än en medlemsstat, för att det ska gå att införa lämplig nivå av tillsynsengagemang och ett flexibelt genomförande i syfte att ta hänsyn till särdragen hos finansiella delsektorer eller lokala finansmarknader.

När de europeiska tillsynsmyndigheterna utvecklar dessa förslag till tekniska standarder för tillsyn ska de ta vederbörlig hänsyn till eventuella särdrag som härrör från den särskilda karaktären på verksamheten i olika sektorer för finansiella tjänster.

De europeiska tillsynsmyndigheterna ska överlämna dessa förslag till tekniska standarder för tillsyn till kommissionen senast den 17 juli 2024.

279

Prop. 2024/25:44

Bilaga 1

L 333/48	SV	Europeiska unionens officiella tidning	27.12.2022

Artikel 27

Krav för testare vid utförandet av hotbildsstyrd penetrationstestning

1.Finansiella entiteter ska endast utföra sådana testare för att utföra hotbildsstyrd penetrationstestning som

a)är allra bäst lämpade och har högst anseende,

b)har teknisk och organisatorisk kapacitet och uppvisar särskild sakkunskap om underrättelser om hot, penetrations testning och red-team-testning,

c)har certifierats av ett ackrediteringsorgan i en medlemsstat eller ansluter sig till formella uppförandekoder eller etiska ramar,

d)lämnar en oberoende försäkran eller en revisionsberättelse om sund riskhantering i samband med utförandet av hotbildsstyrd penetrationstestning, inbegripet relevant skydd av den finansiella entitetens konfidentiella information och ersättning för den finansiella entitetens affärsrisker,

e)har en relevant och heltäckande ansvarsförsäkring som omfattar risker för fel och försummelser i yrkesutövningen.

2.Vid användandet av interna testare ska finansiella entiteter säkerställa att, utöver villkoren i punkt 1, följande villkor är uppfyllda:

a)Sådan användning av dem har godkänts av den relevanta behöriga myndigheten eller av den enda offentliga myndighet som utsetts i enlighet med artikel 26.9 och 26.10.

b)Den relevanta behöriga myndigheten har verifierat att den finansiella entiteten har avsatt tillräckliga resurser och säkerställt att intressekonflikter kan undvikas under testets utformning och genomförande.

c)Leverantören av underrättelser om hot är extern i förhållande till den finansiella entiteten.

3.Finansiella entiteter ska se till att avtal som ingås med externa testare innehåller krav på en sund förvaltning av resultaten av den hotbildsstyrda penetrationstestningen och att all databehandling av dem, inbegripet generering, lagring, aggregering, utkast, rapportering, kommunikation eller förstörelse, inte skapar risker för den finansiella entiteten.

KAPITEL V

Hantering av IKT-tredjepartsrisker

Avsnitt I

Huvudpr inciper för en sund hantering av IKT-tredjepar tsrisker

Artikel 28

Allmänna principer

1.Finansiella entiteter ska hantera IKT-tredjepartsrisker som en integrerad del av IKT-risken inom sin IKT- riskhanteringsram som avses i artikel 6.1, och i enlighet med följande principer:

a)De finansiella entiteter som har ingått ett kontraktsmässigt arrangemang om användningen av IKT-tjänster för att bedriva sin affärsverksamhet ska alltid ha det fulla ansvaret för uppfyllandet och fullgörandet av alla skyldigheter enligt denna förordning och tillämplig rätt avseende finansiella tjänster.

280

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/49

b)Finansiella entiteters hantering av IKT-tredjepartsrisker ska genomföras med hänsyn till proportionalitetsprincipen, med beaktande av

i)IKT-relaterade beroendens karaktär, omfattning, komplexitet och betydelse,

ii)de risker som uppstår till följd av kontraktsmässiga arrangemang om användningen av IKT-tjänster som har ingåtts med tredjepartsleverantörer av IKT-tjänster, med hänsyn till den kritikaliteten eller betydelsen av respektive tjänst, process eller funktion, och den potentiella inverkan på kontinuiteten och tillgängligheten hos finansiella tjänster och verksamheter, på individuell nivå och på koncernnivå.

2.Som en del av sin IKT-riskhanteringsram ska andra finansiella entiteter än de enheter som avses i artikel 16.1 första stycket och mikroföretag anta och regelbundet se över en strategi för IKT-tredjepartsrisk, med beaktande av den strategi för flera olika leverantörer som avses i artikel 6.9 i tillämpliga fall. Strategin för IKT-tredjepartsrisk ska omfatta riktlinjer för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner och som tillhandahålls av tredjepartsleverantörer av IKT-tjänster och ska tillämpas individuellt och, i förekommande fall, på undergrupps- och gruppnivå. Ledningsorganet ska, baserat på en bedömning av den finansiella entitetens allmänna riskprofil samt omfattningen av och komplexiteten i entitetens affärstjänster, regelbundet se över de risker som har identifierats vad gäller kontraktsmässiga arrangemang för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner.

3.Som en del av sin IKT-riskhanteringsram ska finansiella entiteter upprätthålla och uppdatera ett register med information på entitetsnivå, undergrupps- och gruppnivå om alla kontraktsmässiga arrangemang som rör användningen av IKT-tjänster som tillhandahålls av tredjepartsleverantörer av IKT-tjänster.

De kontraktsmässiga arrangemang som avses i första stycket ska dokumenteras på lämpligt sätt, varvid åtskillnad ska göras mellan de kontraktsmässiga arrangemang som omfattar kritiska eller viktiga funktioner och de som inte gör det.

Finansiella entiteter ska minst en gång per år rapportera till de behöriga myndigheterna om antalet nya arrangemang för användningen av IKT-tjänster, kategorierna av tredjepartsleverantörer av IKT-tjänster, typen av kontraktsmässigt arrangemang och de IKT-tjänster och funktioner som tillhandahålls.

Finansiella entiteter ska på begäran ge den behöriga myndigheten tillgång till det fullständiga registret eller angivna avsnitt av registret, tillsammans med all information som anses nödvändig för att möjliggöra en effektiv tillsyn av den finansiella entiteten.

Finansiella entiteter ska i god tid informera den behöriga myndigheten om eventuella planerade kontraktsmässiga arrangemang för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner samt när en funktion har blivit kritisk eller viktig.

4.Innan finansiella entiteter ingår ett kontraktsmässigt arrangemang om användning av IKT-tjänster ska de

a)bedöma om det kontraktsmässiga arrangemanget omfattar användningen av IKT-tjänster som stöder en kritisk eller viktig funktion,

b)bedöma om tillsynsvillkoren för utkontraktering är uppfyllda,

c)identifiera och bedöma alla relevanta risker i samband med det kontraktsmässiga arrangemanget, inbegripet möjligheten att sådana kontraktsmässiga arrangemang kan bidra till att förstärka IKT-koncentrationsrisken enligt artikel 29,

d)genomföra all due diligence-granskning av potentiella tredjepartsleverantörer av IKT-tjänster och under urvals- och bedömningsprocesserna se till att tredjepartsleverantören av IKT-tjänster är lämplig,

e)identifiera och bedöma intressekonflikter som det kontraktsmässiga arrangemanget kan orsaka.

5.Finansiella entiteter får endast ingå kontraktsmässiga arrangemang med tredjepartsleverantörer av IKT-tjänster som uppfyller lämpliga standarder för informationssäkerhet. När dessa kontraktsmässiga arrangemang gäller kritiska eller viktiga funktioner ska finansiella entiteter, innan de ingår arrangemangen, vederbörligen beakta huruvida tredjepartsleve rantörerna av IKT-tjänster använder de senaste och mest högkvalitativa standarderna för informationssäkerhet.

281

Prop. 2024/25:44

Bilaga 1

L 333/50	SV	Europeiska unionens officiella tidning	27.12.2022

6.När finansiella entiteter utövar åtkomst-, inspektions- och revisionsrättigheter gentemot tredjepartsleverantören av IKT-tjänster ska de baserat på en riskbaserad metod på förhand fastställa frekvensen för revisioner och inspektioner samt de områden som ska granskas genom att följa allmänt accepterade revisionsstandarder i enlighet med eventuella tillsynsin struktioner om användning och införlivande av sådana revisionsstandarder.

Om kontraktsmässiga arrangemang som ingås med tredjepartsleverantörer av IKT-tjänster om användningen av IKT- tjänster medför hög teknisk komplexitet ska den finansiella entiteten kontrollera att revisorer, oavsett om de är interna eller externa eller ingår i en pool av revisorer, har lämpliga färdigheter och kunskaper för att effektivt kunna utföra de relevanta revisionerna och bedömningarna.

7.Finansiella entiteter ska se till att kontraktsmässiga arrangemang om användning av IKT-tjänster kan avslutas under någon av följande omständigheter:

a)Tredjepartsleverantören av IKT-tjänster bryter på ett betydande sätt mot tillämpliga lagar, förordningar eller avtalsvillkor.

b)Omständigheter har identifierats under övervakningen av IKT-tredjepartsrisker som bedöms kunna ändra prestandan hos de funktioner som tillhandahålls genom det kontraktsmässiga arrangemanget, inbegripet väsentliga förändringar som påverkar arrangemanget eller situationen för tredjepartsleverantören av IKT-tjänster.

c)IKT-tredjepartsleverantören har påvisade svagheter vad gäller sin övergripande IKT-riskhantering och i synnerhet det sätt på vilket den säkerställer tillgänglighet, äkthet, integritet och konfidentialitet för data, oavsett om det är personuppgifter eller på annat sätt känsliga uppgifter eller icke-personuppgifter.

d)Om den behöriga myndigheten inte längre effektivt kan utöva tillsyn över den finansiella entiteten till följd av villkoren i eller omständigheter relaterade till respektive kontraktsmässiga arrangemang.

8.När det gäller IKT-tjänster som stöder kritiska eller viktiga funktioner ska finansiella entiteter införa exitstrategier. Exitstrategierna ska ta hänsyn till risker som kan uppstå hos tredjepartsleverantörerna av IKT-tjänster, i synnerhet eventuella fel hos dessa, försämring av kvaliteten på de IKT-tjänster som tillhandahålls, eventuella avbrott i verksamheten på grund av olämpligt eller misslyckat tillhandahållande av IKT-tjänster eller eventuella väsentliga risker som uppstår i samband med en lämplig och kontinuerlig användning av respektive IKT-tjänst, eller uppsägning av kontraktsmässiga arrangemang med tredjepartsleverantörer av IKT-tjänster under någon av de omständigheter som anges i punkt 7.

Finansiella entiteter ska säkerställa att de kan säga upp kontraktsmässiga arrangemang utan

a)avbrott i sin affärsverksamhet,

b)begränsning av efterlevnaden av lagstadgade krav,

c)skada på kontinuiteten och kvaliteten hos de tjänster som tillhandahålls kunder.

Exitplanerna ska vara heltäckande och dokumenterade och de ska, i enlighet med kriterierna i artikel 4.2, vara tillräckligt testade och ska regelbundet ses över.

Finansiella entiteter ska identifiera alternativa lösningar och utarbeta övergångsplaner som gör det möjligt för dem att avlägsna de kontrakterade IKT-tjänsterna och relevanta data från tredjepartsleverantören av IKT-tjänster och på ett säkert och fullständigt sätt överföra dem till alternativa leverantörer eller återintegrera dem internt.

Finansiella entiteter ska ha lämpliga beredskapsåtgärder på plats för att upprätthålla kontinuiteten i verksamheten vid uppkomst av de omständigheter som avses i första stycket.

9.De europeiska tillsynsmyndigheterna ska genom den gemensamma kommittén utarbeta förslag till tekniska standarder för genomförande för att fastställa standardmallar för det register över uppgifter som avses i punkt 3, inbegripet uppgifter som är gemensamma för alla kontraktsmässiga arrangemang om användning av IKT-tjänster. De europeiska tillsynsmyndigheterna ska överlämna dessa förslag till tekniska standarder för genomförande till kommissionen senast den

17januari 2024.

Kommissionen ges befogenhet att anta de tekniska standarder för genomförande som avses i första stycket i enlighet med artikel 15 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

282

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/51

10.De europeiska tillsynsmyndigheterna ska genom den gemensamma kommittén utarbeta förslag till tekniska standarder för tillsyn för att närmare specificera det detaljerade innehållet i de riktlinjer som avses i punkt 2 i fråga om de kontraktsmässiga arrangemangen för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner och som tillhandahålls av tredjepartsleverantörer av IKT-tjänster.

När de europeiska tillsynsmyndigheterna utarbetar dessa förslag till tekniska standarder för tillsyn ska de ta hänsyn till den finansiella entitetens storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i dess tjänster, verksamhet och insatser. De europeiska tillsynsmyndigheterna ska överlämna dessa förslag till tekniska standarder för tillsyn till kommissionen senast den 17 januari 2024.

Artikel 29

Preliminär bedömning av IKT-koncentrationsrisker på entitetsnivå

1.När finansiella entiteter utför den identifiering och bedömning av risk som avses i artikel 28.4 c ska de även ta hänsyn till om det planerade ingåendet av ett kontraktsmässigt arrangemang avseende IKT-tjänster som stöder kritiska eller viktiga funktioner skulle leda till något av följande:

a)Avtal med en tredjepartsleverantör av IKT-tjänster som inte är lätt utbytbar.

b)Flera kontraktsmässiga arrangemang gällande tillhandahållande av IKT-tjänster som stöder kritiska eller viktiga funktioner med samma tredjepartsleverantör av IKT-tjänster eller med nära anknutna tredjepartsleverantörer av IKT- tjänster.

Finansiella entiteter ska väga fördelarna och kostnaderna med alternativa lösningar, t.ex. användning av olika tredjepartsle verantörer av IKT-tjänster, med hänsyn till om och hur planerade lösningar motsvarar de affärsbehov och mål som anges i deras strategi för digital motståndskraft.

2.Om de kontraktsmässiga arrangemangen om användning av IKT-tjänster som stöder kritiska eller viktiga funktioner inbegriper möjligheten att en tredjepartsleverantör av IKT-tjänster lägger ut IKT-tjänster som stöder kritisk eller viktig funktion på underentreprenad till andra tredjepartsleverantörer av IKT-tjänster, ska finansiella entiteter väga de fördelar och risker som kan uppstå i samband med en sådan underentreprenad, särskilt när det gäller en IKT-underleverantör som är etablerad i ett tredjeland.

Om de kontraktsmässiga arrangemangen gäller IKT-tjänster som stöder kritiska eller viktiga funktioner ska finansiella entiteter vederbörligen ta hänsyn till de insolvensrättsliga bestämmelser som skulle vara tillämpliga om IKT-tjänsteleve rantören går i konkurs samt eventuella begränsningar som kan uppstå när det gäller skyndsam återställning av den finansiella entitetens data.

Om kontraktsmässiga arrangemang om användning av IKT-tjänster som stöder kritiska eller viktiga funktioner ingås med en tredjepartsleverantör av IKT-tjänster som är etablerad i ett tredjeland ska finansiella entiteter utöver de hänsynstaganden som avses i andra stycket även beakta överensstämmelsen med unionens dataskyddsregler och den faktiska efterlevnaden av rätten i det tredjelandet.

Om de kontraktsmässiga arrangemangen om användning av IKT-tjänster som stöder kritiska eller viktiga funktioner medger underentreprenad, ska finansiella entiteter bedöma om och hur potentiellt långa eller komplexa underentrepre nadskedjor kan påverka deras förmåga att till fullo övervaka de avtalade funktionerna och den behöriga myndighetens förmåga att effektivt övervaka den finansiella entiteten i detta avseende.

283

Prop. 2024/25:44

Bilaga 1

L 333/52	SV	Europeiska unionens officiella tidning	27.12.2022

Artikel 30

Viktiga avtalsbestämmelser

1.Rättigheterna och skyldigheterna för den finansiella entiteten och tredjepartsleverantören av IKT-tjänster ska vara tydligt fördelade och skriftligen angivna. Det fullständiga avtalet ska omfatta servicenivåavtalen och dokumenteras i ett skriftligt dokument som parterna ska ha tillgång till på papper eller i ett dokument med ett annat nedladdningsbart, varaktigt och tillgängligt format.

2.De kontraktsmässiga arrangemangen för användning av IKT-tjänster ska innehålla åtminstone följande delar:

a)En tydlig och fullständig beskrivning av alla funktioner och IKT-tjänster som ska tillhandahållas av tredjepartsleve rantören av IKT-tjänster, med uppgift om huruvida underentreprenad av en IKT-tjänst som stöder en kritisk eller viktig funktion eller väsentliga delar därav, är tillåten och, när så är fallet, de villkor som gäller för sådan underentreprenad.

b)De platser, nämligen regioner eller länder, där de funktioner och IKT-tjänster som har utkontrakterats eller lagts ut på underentreprenad ska tillhandahållas och var uppgifterna ska behandlas, inklusive lagringsplatsen, och ett krav på att tredjepartsleverantören av IKT-tjänster på förhand ska underrätta den finansiella entiteten om den planerar att ändra sådana platser.

c)Bestämmelser om tillgänglighet, äkthet, integritet och konfidentialitet vad gäller skydd av data, inbegripet personuppgifter.

d)Bestämmelser om säkerställande av åtkomst, återställande och återlämnande i ett lättillgängligt format av personuppgifter och andra uppgifter än personuppgifter som behandlas av den finansiella entiteten i händelse av insolvens, resolution eller nedläggning av verksamheten vad avser tredjepartsleverantören av IKT-tjänster, eller i händelse av uppsägning av de kontraktsmässiga arrangemangen.

e)Beskrivningar av servicenivå, inbegripet uppdateringar och revideringar av dessa.

f)Skyldigheten för tredjepartsleverantören av IKT-tjänster att tillhandahålla assistans till den finansiella entiteten utan extra kostnad, eller till en kostnad som fastställs på förhand, när en IKT-incident med anknytning till den IKT-tjänst som tillhandahålls den finansiella entiteten inträffar.

g)Skyldigheten för tredjepartsleverantören av IKT-tjänster att samarbeta fullt ut med de behöriga myndigheterna och resolutionsmyndigheterna för den finansiella entiteten, inbegripet personer som har utsetts av dem.

h)Uppsägningsrätt och tillhörande minsta uppsägningstid för uppsägning av det kontraktsmässiga arrangemanget, i enlighet med de behöriga myndigheternas och resolutionsmyndigheternas förväntningar.

i)Villkoren för deltagande av tredjepartsleverantörer av IKT-tjänster i finansiella entiteters program för medvetenhet om IKT-säkerhet och utbildning om digital operativ motståndskraft i enlighet med artikel 13.6.

3.De kontraktsmässiga arrangemangen om användning av IKT-tjänster som stöder kritiska eller viktiga funktioner ska, utöver de delar som avses i punkt 2, innehålla åtminstone följande:

a)Beskrivningar av fullständig servicenivå, inklusive uppdateringar och revideringar av dessa, med exakta kvantitativa och kvalitativa prestationsmål inom de överenskomna servicenivåerna för att göra det möjligt för den finansiella entiteten att effektivt övervaka IKT-tjänster och göra det möjligt att utan onödigt dröjsmål vidta lämpliga korrigerande åtgärder när överenskomna servicenivåer inte uppnås.

b)Anmälningsperioder och rapporteringsskyldigheter för tredjepartsleverantören av IKT-tjänster till den finansiella entiteten, inbegripet underrättelse om varje händelse som kan ha en väsentlig inverkan på IKT-tredjepartsleverantörens förmåga att effektivt tillhandahålla IKT-tjänster som stöder kritiska eller viktiga funktioner i linje med överenskomna servicenivåer.

c)Krav på att tredjepartsleverantören av IKT-tjänster ska genomföra och testa beredskapsplaner för verksamheten och ha infört IKT-säkerhetsåtgärder, IKT-verktyg och IKT-strategier som ger en lämplig säkerhetsnivå vid tillhandahållande av tjänster från den finansiella entitetens sida i enlighet med dess regelverk.

d)Skyldigheten för tredjepartsleverantören av IKT-tjänster att delta och fullt ut samarbeta i den finansiella entitetens hotbildsstyrda penetrationstestning enligt artiklarna 26 och 27.

e)Rätten att fortlöpande övervaka prestandan hos tredjepartsleverantören av IKT-tjänster, vilket omfattar följande:

284

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/53

i)Obegränsad rätt till tillgång till, inspektion och revision för den finansiella entiteten eller en utsedd tredjepart, och för den behöriga myndigheten, och rätt att ta kopior av relevant dokumentation på plats om de är kritiska för verksamheten hos tredjepartsleverantören av IKT-tjänster, vars faktiska utövande inte hindras eller begränsas av andra kontraktsmässiga arrangemang eller strategier för genomförande.

ii)Rätten att komma överens om alternativa garantinivåer om andra kunders rättigheter påverkas.

iii)Skyldigheten för tredjepartsleverantören av IKT-tjänster att samarbeta fullt ut under de inspektioner och revisioner på plats som utförs av de behöriga myndigheterna, den ledande tillsynsmyndigheten, den finansiella entiteten eller en utsedd tredjepart.

iv)Skyldigheten att tillhandahålla närmare uppgifter om omfattningen, de förfaranden som ska följas och frekvensen för sådana inspektioner och revisioner.

f)Exitstrategier, särskilt inrättande av en obligatorisk lämplig övergångsperiod

i)under vilken tredjepartsleverantören av IKT-tjänster kommer att fortsätta att tillhandahålla respektive funktioner eller IKT-tjänster i syfte att minska risken för avbrott hos den finansiella entiteten, eller säkerställa en effektiv resolution och omstrukturering av denna,

ii)som gör det möjligt för den finansiella entiteten att migrera till en annan tredjepartsleverantör av IKT-tjänster eller byta till interna lösningar som är förenliga med komplexiteten hos den tillhandahållna tjänsten.

Genom undantag från led e får tredjepartsleverantören av IKT-tjänster och en finansiell entitet som är ett mikroföretag komma överens om att den finansiella entitetens rätt till tillgång, inspektion och revision kan delegeras till en oberoende tredjepart som utsetts av tredjepartsleverantören av IKT-tjänster, och att den finansiella entiteten när som helst kan begära information och försäkran om IKT-tredjepartsleverantörens prestanda från den tredje parten.

4.När finansiella entiteter och tredjepartsleverantörer av IKT-tjänster förhandlar om kontraktsmässiga arrangemang ska de överväga att använda standardavtalsklausuler som har utarbetats av offentliga myndigheter för specifika tjänster.

5.De europeiska tillsynsmyndigheterna ska genom den gemensamma kommittén utarbeta förslag till tekniska standarder för tillsyn för att närmare specificera de delar som avses i punkt 2 a och som en finansiell entitet måste fastställa och bedöma när den lägger ut IKT-tjänster som stöder kritiska eller viktiga funktioner på underentreprenad.

De europeiska tillsynsmyndigheterna ska överlämna dessa förslag till tekniska standarder för tillsyn till kommissionen senast den 17 juli 2024.

Avsnitt II

Tillsynsram för kr itiska tredjepar tsleverantörer av IKT-tjänster

Artikel 31

Klassificering av tredjepartsleverantörer av IKT-tjänster som kritiska

1.De europeiska tillsynsmyndigheterna ska, genom den gemensamma kommittén och på rekommendation av det tillsynsforum som har inrättats enligt artikel 32.1,

a)klassificera tredjepartsleverantörer av IKT-tjänster som kritiska för finansiella entiteter, efter en bedömning som tar hänsyn till de kriterier som anges i punkt 2,

285

Prop. 2024/25:44

Bilaga 1

L 333/54	SV	Europeiska unionens officiella tidning	27.12.2022

b) utse till ledande tillsynsmyndighet för varje kritisk tredjepartsleverantör av IKT-tjänster den europeiska tillsynsmyndighet som är ansvarig enligt förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 eller (EU) nr 1095/2010 för de finansiella entiteter som tillsammans har den största andelen av de totala tillgångarna av värdet av de totala tillgångarna hos alla finansiella entiteter som utnyttjar tjänster från den relevanta kritiska tredjepartsleve rantören av IKT-tjänster, i enlighet med vad som framgår av summan av dessa finansiella entiteters enskilda balansräkningar.

2.Den klassificering som avses i punkt 1 a ska baseras på samtliga följande kriterier när det gäller IKT-tjänster som tillhandahålls av tredjepartsleverantören av IKT-tjänster:

a)Systempåverkan på stabiliteten, kontinuiteten eller kvaliteten på tillhandahållandet av finansiella tjänster om den berörda tredjepartsleverantören av IKT-tjänster skulle drabbas av ett omfattande driftsavbrott i tillhandahållandet av tjänster, med tanke på antalet finansiella entiteter och det totala värdet av tillgångarna hos de finansiella entiteter som den berörda tredjepartsleverantören av IKT-tjänster tillhandahåller tjänster till.

b)Påverkan på eller betydelsen för systemet av de finansiella entiteter som är beroende av den berörda tredjepartsleve rantören av IKT-tjänster, bedömt enligt följande parametrar:

i)Antalet globala systemviktiga institut eller andra systemviktiga institut som är beroende av respektive tredjepartsle verantör av IKT-tjänster.

ii)Det ömsesidiga beroendet mellan de globala systemviktiga institut eller andra systemviktiga institut som avses i led i och andra finansiella entiteter, inbegripet situationer där de globala systemviktiga instituten eller andra systemviktiga instituten tillhandahåller finansiella infrastrukturtjänster till andra finansiella entiteter.

c)Finansiella entiteters beroende av de tjänster som tillhandahålls av den berörda tredjepartsleverantören av IKT-tjänster i förhållande till kritiska eller viktiga funktioner hos de finansiella entiteter som i sista hand involverar samma tredjeparts leverantör av IKT-tjänster, oavsett om finansiella entiteter direkt eller indirekt är beroende av dessa tjänster, med hjälp av eller genom underleverantörsavtal.

d)Graden av utbytbarhet hos tredjepartsleverantören av IKT-tjänster, med beaktande av följande parametrar:

i)Avsaknad av verkliga alternativ, även delvis, på grund av det begränsade antalet tredjepartsleverantörer av IKT- tjänster som är verksamma på en viss marknad, eller marknadsandelen för den berörda tredjepartsleverantören av IKT-tjänster, eller den tekniska komplexiteten eller avancerade karaktären, inbegripet i förhållande till eventuell proprietär teknik, eller särdragen hos IKT-tredjepartsleverantörens organisation eller verksamhet.

ii)Svårigheter när det gäller att helt eller delvis migrera relevanta data och arbetsbelastningar från den berörda tredjepartsleverantören av IKT-tjänster till en annan tredjepartsleverantör av IKT-tjänster, på grund av betydande finansiella kostnader, tidsåtgång eller andra resurser som migrationsprocessen kan medföra, eller på grund av ökad IKT-risk eller andra operativa risker som den finansiella entiteten kan utsättas för genom sådan migration.

3.Om tredjepartsleverantören av IKT-tjänster ingår i en koncern ska de kriterier som avses i punkt 2 beaktas vad avser de IKT-tjänster som koncernen som helhet tillhandahåller.

4.Kritiska tredjepartsleverantörer av IKT-tjänster som ingår i en koncern ska utse en juridisk person till samordningspunkt för att säkerställa lämplig representation och kommunikation med den ledande tillsynsmyndigheten.

5.Den ledande tillsynsmyndigheten ska underrätta tredjepartsleverantören av IKT-tjänster om resultatet av den bedömning som leder till den klassificering som avses i punkt 1 a. Inom sex veckor från dagen för anmälan får tredjeparts leverantören av IKT-tjänster lämna in ett motiverat uttalande till den ledande tillsynsmyndigheten med all relevant information för bedömningen. Den ledande tillsynsmyndigheten ska beakta det motiverade uttalandet och får begära att ytterligare information lämnas inom 30 kalenderdagar efter mottagandet av ett sådant uttalande.

286

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/55

Efter att ha klassificerat en tredjepartsleverantör av IKT-tjänster som kritisk ska de europeiska tillsynsmyndigheterna, genom den gemensamma kommittén, underrätta tredjepartsleverantören av IKT-tjänster om klassificeringen och från och med vilket datum tredjepartsleverantören faktiskt kommer att omfattas av tillsynsverksamhet. Detta startdatum ska inträffa senast en månad efter anmälan. Tredjepartsleverantören av IKT-tjänster ska underrätta de finansiella entiteter som den tillhandahåller tjänster om att den klassificeras som kritisk.

6.Kommissionen ges befogenhet att anta en delegerad akt i enlighet med artikel 57 för att komplettera denna förordning genom att närmare specificera kriterierna i punkt 2 i den här artikeln senast den 17 juli 2024.

7.Den klassificering som avses i punkt 1 a får inte användas förrän kommissionen har antagit en delegerad akt i enlighet med punkt 6.

8.Den klassificering som avses i punkt 1 a får inte tillämpas på följande:

i)Finansiella entiteter som tillhandahåller IKT-tjänster till andra finansiella entiteter.

ii)Tredjepartsleverantörer av IKT-tjänster som omfattas av tillsynsramar som har inrättats till stöd för de uppgifter som avses i artikel 127.2 i fördraget om Europeiska unionens funktionssätt.

iii)Koncerninterna IKT-tjänsteleverantörer.

iv)Tredjepartsleverantörer av IKT-tjänster som endast tillhandahåller IKT-tjänster i en medlemsstat till finansiella entiteter som endast är verksamma i den medlemsstaten.

9.De europeiska tillsynsmyndigheterna ska genom den gemensamma kommittén upprätta, offentliggöra och årligen uppdatera förteckningen över kritiska tredjepartsleverantörer av IKT-tjänster på unionsnivå.

10.Vid tillämpning av punkt 1 a ska de behöriga myndigheterna årligen och i aggregerad form översända de rapporter som avses i artikel 28.3 tredje stycket till det tillsynsforum som har inrättats enligt artikel 32. Tillsynsforumet ska bedöma finansiella entiteters IKT-beroende gentemot tredjepart baserat på den information som har mottagits från de behöriga myndigheterna.

11.De tredjepartsleverantörer av IKT-tjänster som inte ingår i den förteckning som avses i punkt 9 får begära att bli klassificerade som kritiska i enlighet med punkt 1 a.

Vid tillämpning av första stycket ska tredjepartsleverantören av IKT-tjänster lämna in en motiverad ansökan till EBA, Esma eller Eiopa, som genom den gemensamma kommittén ska besluta huruvida den tredjepartsleverantören av IKT-tjänster ska klassificeras som kritisk i enlighet med punkt 1 a.

Det beslut som avses i andra stycket ska antas och meddelas tredjepartsleverantören av IKT-tjänster inom sex månader från mottagandet av ansökan.

12.Finansiella entiteter ska endast använda sig av de tjänster som en tredjepartsleverantör av IKT-tjänster som är etablerad i ett tredjeland och som har klassificerats som kritisk i enlighet med punkt 1 a erbjuder om den har etablerat ett dotterföretag i unionen inom tolv månader efter klassificeringen.

13.Den kritiska tredjepartsleverantör av IKT-tjänster som avses i punkt 12 ska underrätta den ledande tillsynsmyn digheten om eventuella ändringar av ledningsstrukturen för det dotterföretag som är etablerat i unionen.

Artikel 32

Tillsynsramens struktur

1. Den gemensamma kommittén ska i enlighet med artikel 57.1 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010, inrätta tillsynsforumet som en underkommitté för att stödja arbetet i den gemensamma kommittén och i den ledande tillsynsmyndighet som avses i artikel 31.1 b inom området för IKT- tredjepartsrisker i alla finansiella sektorer. Tillsynsforumet ska utarbeta utkast till gemensamma ståndpunkter och utkast till gemensamma akter från den gemensamma kommittén på detta område.

287

Prop. 2024/25:44

Bilaga 1

L 333/56	SV	Europeiska unionens officiella tidning	27.12.2022

Tillsynsforumet ska regelbundet diskutera relevant utveckling när det gäller IKT-risk och IKT-sårbarheter och främja en konsekvent strategi för övervakning av IKT-tredjepartsrisk på unionsnivå.

2.Tillsynsforumet ska årligen göra en gemensam bedömning av resultaten och slutsatserna av den tillsynsverksamhet som genomförts för alla kritiska tredjepartsleverantörer av IKT-tjänster och främja samordningsåtgärder för att öka finansiella entiteters digitala operativa motståndskraft, främja bästa praxis för hantering av IKT-koncentrationsrisker och undersöka riskreducerande åtgärder för sektorsövergripande risköverföring.

3.Tillsynsforumet ska lägga fram heltäckande referensvärden för kritiska tredjepartsleverantörer av IKT-tjänster som ska antas av den gemensamma kommittén i form av gemensamma ståndpunkter från de europeiska tillsynsmyndigheterna i enlighet med artikel 56.1 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

4.Tillsynsforumet ska bestå av följande:

a)Ordförandena för de europeiska tillsynsmyndigheterna.

b)En företrädare på hög nivå för den tjänstgörande personalen på den relevanta behöriga myndighet som avses i artikel 46 i varje medlemsstat.

c)De verkställande direktörerna för varje europeisk tillsynsmyndighet och en företrädare för kommissionen, ESRB, ECB och Enisa som observatörer.

d)När så är lämpligt, ytterligare en företrädare från en behörig myndighet som avses i artikel 46 i varje medlemsstat som observatör.

e)I tillämpliga fall, en företrädare från de behöriga myndigheter som i enlighet med direktiv (EU) 2022/2555 har utsetts eller inrättats till ansvariga för tillsynen av en väsentlig eller viktig entitet om inte annat följer av det direktivet som har klassificerats som kritisk tredjepartsleverantör av IKT-tjänster som observatör.

Tillsynsforumet får, när så är lämpligt, rådfråga oberoende experter som utsetts i enlighet med punkt 6.

5.Varje medlemsstat ska utse den relevanta behöriga myndighet vars anställde ska vara den företrädare på hög nivå som avses i punkt 4 första stycket b, och ska informera den ledande tillsynsmyndigheten om detta.

De europeiska tillsynsmyndigheterna ska på sin webbplats offentliggöra förteckningen över de företrädare på hög nivå från den befintliga personalen vid den relevanta behöriga myndigheten som utsetts av medlemsstaterna.

6.De oberoende experter som avses i punkt 4 andra stycket ska utses av tillsynsforumet bland en pool av experter som väljs ut efter ett offentligt och transparent ansökningsförfarande.

De oberoende experterna ska utses baserat på sin sakkunskap om finansiell stabilitet, digital operativ motståndskraft och IKT-säkerhet. De ska handla oberoende och objektivt och uteslutande i hela unionens intresse och varken begära eller ta emot instruktioner från unionens institutioner eller organ, regeringen i någon medlemsstat eller något annat offentligt eller privat organ.

7.I enlighet med artikel 16 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010 ska de europeiska tillsynsmyndigheterna senast den 17 juli 2024 vid tillämpningen av detta avsnitt utfärda riktlinjer för samarbetet mellan de europeiska tillsynsmyndigheterna och de behöriga myndigheterna som omfattar detaljerade förfaranden och villkor för fördelningen och utförandet av uppgifter mellan behöriga myndigheter och de europeiska tillsynsmyndigheterna och närmare uppgifter om det informationsutbyte som är nödvändiga för att de behöriga myndigheterna ska kunna säkerställa uppföljningen av de rekommendationer som riktas till kritiska tredjepartsleverantörer av IKT-tjänster enligt artikel 35.1 d.

8.De krav som fastställs i detta avsnitt ska inte påverka tillämpningen av direktiv (EU) 2022/2555 och andra unionsregler om tillsyn som är tillämpliga på leverantörer av molntjänster.

9.De europeiska tillsynsmyndigheterna ska, genom den gemensamma kommittén och på grundval av det förberedande arbete som utförs av tillsynsforumet, varje år lägga fram en rapport om tillämpningen av detta avsnitt för Europapar lamentet, rådet och kommissionen.

288

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/57

Artikel 33

Den ledande tillsynsmyndighetens uppgifter

1.Den ledande tillsynsmyndigheten, som utsetts i enlighet med artikel 31.1 b, ska utöva tillsyn över de kritiska tredjepartsleverantörer av IKT-tjänster som den tilldelats och ska, när det gäller alla frågor som rör tillsynen, vara den huvudsakliga kontaktpunkten för dessa kritiska tredjepartsleverantörer av IKT-tjänster.

2.Vid tillämpning av punkt 1 ska den ledande tillsynsmyndigheten bedöma huruvida varje kritisk tredjepartsleverantör av IKT-tjänster har infört heltäckande, sunda och effektiva regler, förfaranden, mekanismer och arrangemang för att hantera den IKT-risk som den kan medföra för finansiella entiteter.

Den bedömning som avses i första stycket ska huvudsakligen inriktas på IKT-tjänster som tillhandahålls av den kritiska tredjepartsleverantör av IKT-tjänster som stöder finansiella entiteters kritiska eller viktiga funktioner. Om det är nödvändigt för att hantera alla relevanta risker ska den bedömningen även omfatta IKT-tjänster som stöder andra funktioner än de som är kritiska eller viktiga.

3.Den bedömning som avses i punkt 2 ska omfatta:

a)IKT-krav för att i synnerhet säkerställa säkerhet, tillgänglighet, kontinuitet, skalbarhet och kvalitet hos de tjänster som den kritiska tredjepartsleverantören av IKT-tjänster tillhandahåller finansiella entiteter, samt förmåga att alltid upprätthålla höga standarder för tillgänglighet, äkthet, integritet eller konfidentialitet.

b)Den fysiska säkerhet som bidrar till att säkerställa IKT-säkerheten, inbegripet säkerheten i lokaler, anläggningar och datacenter.

c)Riskhanteringsprocesser, inbegripet IKT-riskhanteringsstrategier, IKT-kontinuitetspolicy och åtgärds- och återställ ningsplaner avseende IKT.

d)Styrformer, inbegripet en organisationsstruktur med tydliga, transparenta och konsekventa regler för ansvar och ansvarsskyldighet som möjliggör en effektiv IKT-riskhantering.

e)Identifiering, övervakning och snabb rapportering av väsentliga IKT-relaterade incidenter till finansiella entiteter, hantering och avhjälpande av dessa incidenter, särskilt cyberangrepp.

f)Mekanismer för dataportabilitet, tillämpningsportabilitet och interoperabilitet, som säkerställer att finansiella entiteter effektivt kan utöva sin uppsägningsrätt.

g)Testning av IKT-system, IKT-infrastruktur och IKT-kontroller.

h)IKT-revisioner.

i)Användning av relevanta nationella och internationella standarder som är tillämpliga på tillhandahållandet av leverantörens IKT-tjänster till finansiella entiteter.

4.Baserat på den bedömning som avses i punkt 2, och i samordning med det gemensamma tillsynsnätverk som avses i artikel 34.1, ska den ledande tillsynsmyndigheten anta en tydlig, detaljerad och motiverad individuell tillsynsplan med en beskrivning av de årliga tillsynsmålen och de huvudsakliga tillsynsinsatser som planeras för varje kritisk tredjepartsle verantör av IKT-tjänster. Planen ska varje år meddelas den kritiska tredjepartsleverantören av IKT-tjänster.

Innan tillsynsplanen antas ska den ledande tillsynsmyndigheten överlämna utkastet till tillsynsplan till den kritiska tredjepartsleverantören av IKT-tjänster.

Vid mottagandet av utkastet till tillsynsplan får den kritiska tredjepartsleverantören av IKT-tjänster lämna in ett motiverat uttalande inom 15 kalenderdagar som dels styrker den förväntade inverkan på de kunder som är entiteter som faller utanför denna förordnings tillämpningsområde och dels, i förekommande fall, formulerar lösningar för att minska riskerna.

5.När de årliga tillsynsplaner som avses i punkt 4 har antagits och anmälts till de kritiska tredjepartsleverantörerna av IKT-tjänster får de behöriga myndigheterna vidta åtgärder avseende sådana kritiska tredjepartsleverantörer av IKT-tjänster endast i samförstånd med den ledande tillsynsmyndigheten.

289

Prop. 2024/25:44

Bilaga 1

L 333/58	SV	Europeiska unionens officiella tidning	27.12.2022

Artikel 34

Operativ samordning mellan ledande tillsynsmyndigheter

1.För att säkerställa ett konsekvent tillvägagångssätt för tillsynsverksamheten och i syfte att möjliggöra samordnade allmänna tillsynsstrategier och sammanhängande operativa tillvägagångssätt och arbetsmetoder, ska de tre ledande tillsynsmyndigheter som utsetts i enlighet med artikel 31.1 b inrätta ett gemensamt tillsynsnätverk för att sinsemellan samordna de förberedande faserna och samordna genomförandet av tillsynsverksamheten för de respektive kritiska tredjepartsleverantörer av IKT-tjänster som de granskar, samt inom ramen för eventuella åtgärder som kan behövas enligt artikel 42.

2.Vid tillämpning av punkt 1 ska de ledande tillsynsmyndigheterna utarbeta ett gemensamt tillsynsprotokoll som anger de detaljerade förfaranden som ska följas för den dagliga samordningen och för att säkerställa snabba utbyten och reaktioner. Protokollet ska regelbundet ses över för att återspegla de operativa behoven, särskilt utvecklingen av arrangemangen för den praktiska tillsynen.

3.De ledande tillsynsmyndigheterna får från fall till fall uppmana ECB och Enisa att tillhandahålla teknisk rådgivning, dela med sig av praktiska erfarenheter eller delta i specifika samordningsmöten för det gemensamma tillsynsnätverket.

Artikel 35

Den ledande tillsynsmyndighetens befogenheter

1.För att fullgöra de uppgifter som anges i detta avsnitt ska den ledande tillsynsmyndigheten vad gäller de kritiska tredjepartsleverantörerna av IKT-tjänster ha befogenhet att

a)begära all relevant information och dokumentation i enlighet med artikel 37,

b)genomföra allmänna utredningar och inspektioner i enlighet med artiklarna 38 respektive 39,

c)efter det att tillsynsverksamheten har slutförts begära rapporter med angivande av de åtgärder som har vidtagits eller de avhjälpande åtgärder som har vidtagits av de kritiska tredjepartsleverantörerna av IKT-tjänster i samband med de rekommendationer som avses i led d i denna punkt,

d)utfärda rekommendationer på de områden som avses i artikel 33.3, särskilt

i)om tillämpning av specifika IKT-säkerhets- och kvalitetskrav eller IKT-processer, särskilt i samband med införandet av programfixar, uppdateringar, kryptering och andra säkerhetsåtgärder som den ledande tillsynsmyndigheten anser vara relevanta för att säkerställa IKT-säkerheten för tjänster som tillhandahålls till finansiella entiteter,

ii)om användning av villkor, inbegripet deras tekniska genomförande, enligt vilka kritiska tredjepartsleverantörer av IKT-tjänster tillhandahåller IKT-tjänster till finansiella entiteter, som den ledande tillsynsmyndighetens bedömer är relevanta för att förhindra uppkomsten av felkritiska systemdelar (single points of failure) eller en förstärkning av dessa eller för att minimera de eventuella systemeffekterna inom unionens finansiella sektor i händelse av IKT- koncentrationsrisk,

iii)om eventuell planerad underentreprenad, när den ledande tillsynsmyndigheten bedömer att ytterligare underentreprenad, inbegripet underentreprenadsavtal som de kritiska tredjepartsleverantörerna av IKT-tjänster planerar att ingå med tredjepartsleverantörer av IKT-tjänster eller med IKT-underleverantörer som är etablerade i ett tredjeland, kan utlösa risker för den finansiella entitetens tillhandahållande av tjänster eller risker för den finansiella stabiliteten, på grundval av granskningen av den information som samlas in i enlighet med artiklarna 37 och 38,

iv)om att avstå från att ingå ytterligare underleverantörsavtal, om följande kumulativa villkor är uppfyllda, nämligen

—den planerade underleverantören är en tredjepartsleverantör av IKT-tjänster eller en IKT-underleverantör som är etablerad i ett tredjeland,

—underentreprenaden avser kritiska eller viktiga funktioner hos den finansiella entiteten, och

290

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/59

—den ledande tillsynsmyndigheten anser att användningen av sådan underentreprenad utgör en klar och allvarlig risk för unionens finansiella stabilitet eller för finansiella entiteter, inbegripet finansiella entiteters förmåga att uppfylla tillsynskraven.

Vid tillämpning av led iv i detta led ska tredjepartsleverantörer av IKT-tjänster, med hjälp av den mall som avses i artikel 41.1 b, överföra informationen om underentreprenad till den ledande tillsynsmyndigheten.

2.Vid utövandet av de befogenheter som avses i denna artikel ska den ledande tillsynsmyndigheten

a)säkerställa regelbunden samordning inom det gemensamma tillsynsnätverket, och i synnerhet eftersträva konsekventa tillvägagångssätt, när så är lämpligt, vad gäller tillsynen av kritiska tredjepartsleverantörer av IKT-tjänster,

b)ta vederbörlig hänsyn till den ram som fastställs i direktiv (EU) 2022/2555 och vid behov samråda med de relevanta behöriga myndigheter som utsetts eller inrättats i enlighet med det direktivet, för att undvika överlappning av tekniska och organisatoriska åtgärder som skulle kunna tillämpas på kritiska tredjepartsleverantörer av IKT-tjänster enligt det direktivet,

c)sträva efter att i möjligaste mån minimera risken för avbrott i tjänster som kritiska tredjepartsleverantörer av IKT- tjänster tillhandahåller kunder som är entiteter som faller utanför denna förordnings tillämpningsområde.

3.Den ledande tillsynsmyndigheten ska samråda med tillsynsforumet innan den utövar de befogenheter som avses i punkt 1.

Innan den ledande tillsynsmyndigheten utfärdar rekommendationer i enlighet med punkt 1 d ska den ge tredjepartsleve rantören av IKT-tjänster möjlighet att inom 30 kalenderdagar tillhandahålla relevant information som dels styrker den förväntade inverkan på de kunder som är entiteter som faller utanför denna förordnings tillämpningsområde och dels, i förekommande fall, formulerar lösningar för att minska riskerna.

4.Den ledande tillsynsmyndigheten ska informera det gemensamma tillsynsnätverket om resultatet av utövandet av de befogenheter som avses i punkt 1 a och b. Den ledande tillsynsmyndigheten ska utan onödigt dröjsmål översända de rapporter som avses i punkt 1 c till det gemensamma tillsynsnätverket och till de behöriga myndigheterna för de finansiella entiteter som använder de IKT-tjänster som tillhandahålls av den kritiska tredjepartsleverantören av IKT-tjänster.

5.Kritiska tredjepartsleverantörer av IKT-tjänster ska samarbeta lojalt med den ledande tillsynsmyndigheten och bistå den vid fullgörandet av dess uppgifter.

6.Den ledande tillsynsmyndigheten ska, vid helt eller delvis bristande efterlevnad av de åtgärder som ska vidtas enligt utövandet av befogenheterna i punkt 1 a, b och c och efter utgången av en period på minst 30 kalenderdagar från den dag då den kritiska tredjepartsleverantören av IKT-tjänster mottog anmälan om åtgärderna, anta ett beslut om föreläggande av vite för att tvinga den kritiska tredjepartsleverantören av IKT-tjänster att efterleva dessa åtgärder.

7.Det vite som avses i punkt 6 ska åläggas dagligen till dess att efterlevnad har uppnåtts och i högst sex månader efter det att beslutet om vite har anmälts till den kritiska tredjepartsleverantören av IKT-tjänster.

8.Vitesbeloppet, beräknat från det datum som anges i beslutet om föreläggande av vitet, ska vara upp till 1 % av den genomsnittliga globala omsättningen per dag för den kritiska tredjepartsleverantören av IKT-tjänster under det föregående räkenskapsåret. Den ledande tillsynsmyndigheten ska när den fastställer vitesbeloppet beakta följande kriterier för bristande efterlevnad av de åtgärder som avses i punkt 6:

a)Den bristande efterlevnadens allvarlighetsgrad och varaktighet.

b)Huruvida den bristande efterlevnaden är uppsåtlig eller beror på oaktsamhet.

c)Viljan hos tredjepartsleverantören av IKT-tjänster att samarbeta med den ledande tillsynsmyndigheten.

291

Prop. 2024/25:44

Bilaga 1

L 333/60	SV	Europeiska unionens officiella tidning	27.12.2022

Vid tillämpning av första stycket ska den ledande tillsynsmyndigheten samråda inom det gemensamma tillsynsnätverket för att säkerställa en konsekvent strategi.

9.Vitet ska vara av administrativ karaktär och ska vara verkställbart. Verkställigheten ska följa de civilprocessrättsliga regler som gäller i den medlemsstat inom vars territorium inspektionerna och åtkomsten ska genomföras. Domstolarna i den berörda medlemsstaten ska vara behöriga att pröva klagomål som rör oegentligheter i verkställigheten. De belopp som åläggs i form av viten ska tillfalla Europeiska unionens allmänna budget.

10.Den ledande tillsynsmyndigheten ska offentliggöra alla viten som har förelagts utom i de fall då offentliggörandet skulle skapa allvarlig oro på de finansiella marknaderna eller orsaka de berörda parterna oproportionellt stor skada.

11.Innan ett vite åläggs enligt punkt 6 ska den ledande tillsynsmyndigheten ge företrädarna för den kritiska tredjeparts leverantör av IKT-tjänster som är föremål för förfarandet möjlighet att höras om de omständigheter som tillsynsmyn digheterna har påtalat, och den ska grunda sina beslut endast på omständigheter som den kritiska tredjepartsleverantören av IKT-tjänster som är föremål för förfarandet har haft möjlighet att yttra sig över.

Rätten till försvar för personer som är föremål för förfarandet ska iakttas fullt ut under förfarandet. Den kritiska tredjeparts leverantör av IKT-tjänster som är föremål för förfarandet ska ha rätt att få tillgång till ärendehandlingarna, med förbehåll för andra personers berättigade intresse av att deras affärshemligheter skyddas. Tillgången till ärendehandlingarna ska inte omfatta konfidentiella uppgifter eller ledande tillsynsmyndighetens interna förberedande handlingar.

Artikel 36

Den ledande tillsynsmyndighetens utövande av befogenheter utanför unionen

1.Om tillsynsmålen inte kan uppnås genom samverkan med det dotterföretag som har etablerats i enlighet med artikel 31.12 eller genom utövande av tillsynsverksamhet i lokaler som är belägna i unionen, får den ledande tillsynsmyn digheten utöva de befogenheter som anges i följande bestämmelser i alla lokaler som är belägna i ett tredjeland och som ägs eller på något sätt används av en kritisk tredjepartsleverantör av IKT-tjänster i syfte att tillhandahålla tjänster till finansiella entiteter i unionen i samband med dess affärsverksamhet, funktioner eller tjänster, inbegripet alla administrativa kontor, företagslokaler eller driftställen, anläggningar, mark, byggnader eller annan egendom:

a)I artikel 35.1 a.

b)I artikel 35.1 b, i enlighet med artikel 38.2 a, b och d, artikel 39.1 och 39.2 a.

De befogenheter som avses i första stycket får utövas om samtliga följande villkor är uppfyllda:

i)Den ledande tillsynsmyndigheten anser att en inspektion i ett tredjeland är nödvändig för att den fullt ut och på ett ändamålsenligt sätt ska kunna utföra sina uppgifter enligt denna förordning.

ii)Inspektionen i ett tredjeland har ett direkt samband med tillhandahållandet av IKT-tjänster till finansiella entiteter i unionen.

iii)Den berörda kritiska tredjepartsleverantören av IKT-tjänster samtycker till att en inspektion genomförs i ett tredjeland.

iv)Den relevanta myndigheten i det berörda tredjelandet har underrättats officiellt av den ledande tillsynsmyndigheten och har inte gjort några invändningar mot detta.

292

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/61

2.Utan att det påverkar unionsinstitutionernas och medlemsstaternas befogenheter ska EBA, Esma eller Eiopa vid tillämpningen av punkt 1 ingå arrangemang för administrativt samarbete med den relevanta myndigheten i det tredjelandet för att göra det möjligt för den ledande tillsynsmyndigheten och den grupp som den har utsett för uppdraget i det berörda tredjelandet att på ett smidigt sätt genomföra inspektioner i det tredjelandet. Dessa samarbetsarrangemang får inte medföra några rättsliga skyldigheter för unionen och dess medlemsstater eller hindra medlemsstaterna och deras behöriga myndigheter från att ingå bilaterala eller multilaterala arrangemang med dessa tredjeländer och deras relevanta myndigheter.

I dessa samarbetsarrangemang ska åtminstone följande anges:

a)Förfarandena för samordning av den tillsynsverksamhet som genomförs enligt denna förordning och all motsvarande övervakning av IKT-tredjepartsrisker i den finansiella sektorn som utövas av den relevanta myndigheten i det berörda tredjelandet, inbegripet uppgifter för översändande av den sistnämndas samtycke så att den ledande tillsynsmyndigheten och dess utsedda grupp kan genomföra allmänna utredningar och inspektioner på plats enligt punkt 1 första stycket på det territorium som omfattas av dess jurisdiktion.

b)Mekanismen för översändande av relevant information mellan EBA, Esma eller Eiopa och den relevanta myndigheten i det berörda tredjelandet, särskilt i samband med information som den ledande tillsynsmyndigheten kan begära enligt artikel 37.

c)Mekanismerna för omedelbar anmälan till EBA, Esma eller Eiopa från den relevanta myndigheten i det berörda tredjelandet av fall där en tredjepartsleverantör av IKT-tjänster som är etablerad i ett tredjeland och har klassificerats som kritisk i enlighet med artikel 31.1 a anses ha åsidosatt de krav som den enligt det berörda tredjelandets tillämpliga rätt är skyldig att följa när den tillhandahåller tjänster till finansiella institut i det tredjelandet samt de avhjälpande åtgärder och sanktioner som tillämpas.

d)Regelbundet översändande av uppdateringar om utvecklingen på reglerings- eller tillsynsområdet när det gäller övervakningen av IKT-tredjepartsrisker för finansiella institut i det berörda tredjelandet.

e)Uppgifter som vid behov gör det möjligt för en företrädare för den relevanta myndigheten i det berörda tredjelandet att delta i de inspektioner som den ledande tillsynsmyndigheten och den utsedda gruppen genomför.

3.När den ledande tillsynsmyndigheten inte kan genomföra sådan tillsynsverksamhet utanför unionen som avses i punkterna 1 och 2, ska den ledande tillsynsmyndigheten

a)utöva sina befogenheter enligt artikel 35 på grundval av alla sakförhållanden som den känner till och dokument som den har tillgång till,

b)dokumentera och förklara eventuella konsekvenser av att den inte är i stånd att genomföra den planerade tillsynsverksamhet som avses i denna artikel.

De potentiella konsekvenser som avses i led b i denna punkt ska beaktas i den ledande tillsynsmyndighetens rekommendationer, som utfärdas enligt artikel 35.1 d.

Artikel 37

Begäran om information

1.Den ledande tillsynsmyndigheten får genom en enkel begäran eller genom ett beslut kräva att de kritiska tredjepartsle verantörerna av IKT-tjänster tillhandahåller all information som är nödvändig för att den ledande tillsynsmyndigheten ska kunna utföra sina uppgifter enligt denna förordning, inbegripet alla relevanta affärshandlingar och operativa dokument, avtal, strategier, dokumentation, rapporter från IKT-säkerhetsgranskningar, IKT-relaterade incidentrapporter samt all information som rör parter till vilka den kritiska tredjepartsleverantören av IKT-tjänster har utkontrakterat operativa funktioner eller verksamheter.

2.När den ledande tillsynsmyndigheten skickar en enkel begäran om information enligt punkt 1 ska den

a)hänvisa till denna artikel som rättslig grund för begäran,

b)ange syftet med begäran,

c)specificera vilka uppgifter som begärs,

d)ange en tidsfrist inom vilken uppgifterna ska lämnas,

293

Prop. 2024/25:44

Bilaga 1

L 333/62	SV	Europeiska unionens officiella tidning	27.12.2022

e)underrätta företrädaren för den kritiska tredjepartsleverantör av IKT-tjänster av vilken uppgifterna begärs om att den inte är skyldig att lämna informationen, men att den information som lämnas vid ett frivilligt svar på begäran inte får vara oriktig eller vilseledande.

3.När den ledande tillsynsmyndigheten begär uppgifter genom ett beslut enligt punkt 1 ska den a) hänvisa till denna artikel som rättslig grund för begäran,

b) ange syftet med begäran,

c)specificera vilka uppgifter som begärs,

d)ange en tidsfrist inom vilken uppgifterna ska lämnas,

e)ange de viten som föreskrivs i artikel 35.6 om den begärda informationen är ofullständig eller om informationen inte tillhandahålls inom den tidsfrist som anges i led d i den här punkten,

f)informera om rätten att överklaga beslutet till de europeiska tillsynsmyndigheternas överklagandenämnd och att få beslutet prövat av Europeiska unionens domstol (domstolen) i enlighet med artiklarna 60 och 61 i förordning (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

4.Företrädarna för de kritiska tredjepartsleverantörerna av IKT-tjänster ska tillhandahålla den begärda informationen. I behörig ordning befullmäktigade advokater får lämna de begärda uppgifterna på sina huvudmäns vägnar. Den kritiska tredjepartsleverantören av IKT-tjänster förblir ansvarig fullt ut om de lämnade uppgifterna är ofullständiga, oriktiga eller vilseledande.

5.Den ledande tillsynsmyndigheten ska utan dröjsmål översända en kopia av beslutet om tillhandahållande av information till de behöriga myndigheterna för de finansiella entiteter som använder berörd kritisk tredjepartsleverantörs IKT-tjänster och till det gemensamma tillsynsnätverket.

Artikel 38

Allmänna utredningar

1.För att fullgöra sina uppgifter enligt denna förordning får den ledande tillsynsmyndigheten, med bistånd av den gemensamma undersökningsgrupp som avses i artikel 40.1, vid behov genomföra utredningar av kritiska tredjepartsleve rantörer av IKT-tjänster.

2.Den ledande tillsynsmyndigheten ska ha befogenhet att

a)granska handlingar, uppgifter, rutiner och allt annat material av relevans för utförandet av dess uppgifter oberoende av i vilken form de föreligger,

b)ta eller erhålla bestyrkta kopior av, eller utdrag ur, sådana handlingar, uppgifter, dokumenterade förfaranden och allt annat material,

c)kalla till sig företrädare för den kritiska tredjepartsleverantören av IKT-tjänster och be dem om muntliga eller skriftliga förklaringar angående sakförhållanden eller dokument som rör föremålet för och syftet med utredningen samt nedteckna svaren,

d)höra varje annan fysisk eller juridisk person som går med på att höras i syfte att samla in information om föremålet för utredningen,

e)begära in uppgifter om tele- och datatrafik.

3.De tjänstemän och andra personer som av den ledande tillsynsmyndigheten har bemyndigats att genomföra sådana utredningar som avses i punkt 1 ska utöva sina befogenheter mot uppvisande av ett skriftligt tillstånd där utredningens föremål och syfte anges.

I tillståndet ska även anges de viten som föreskrivs i artikel 35.6 om den dokumentation, de uppgifter, de dokumenterade förfaranden eller annat material som krävs eller svaren på frågor till företrädare för tredjepartsleverantören av IKT-tjänster inte tillhandahålls eller är ofullständiga.

294

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/63

4.Företrädarna för kritiska tredjepartsleverantörer av IKT-tjänster är skyldiga att underkasta sig utredningarna på grundval av ett beslut av den ledande tillsynsmyndigheten. Beslutet ska ange föremålet för och syftet med utredningen, de viten som föreskrivs i artikel 35.6, de rättsmedel som finns tillgängliga enligt förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010 samt rätten att få beslutet prövat av domstolen.

5.Den ledande tillsynsmyndigheten ska i god tid innan utredningen inleds underrätta de behöriga myndigheterna för de finansiella entiteter som använder de IKT-tjänster som tillhandahålls av den kritiska tredjepartsleverantören av IKT-tjänster om den planerade utredningen och namnge de bemyndigade personerna.

Den ledande tillsynsmyndigheten ska underrätta det gemensamma tillsynsnätverket om all information som översänds enligt första stycket.

Artikel 39

Inspektioner

1. För att utföra sina uppgifter enligt denna förordning får den ledande tillsynsmyndigheten, med bistånd av de gemensamma undersökningsgrupper som avses i artikel 40.1, inleda och genomföra alla nödvändiga inspektioner på plats

iföretagslokaler, på mark eller egendom som tillhör tredjepartsleverantörerna av IKT-tjänster, såsom huvudkontor, driftscentrum och sekundära lokaler, samt genomföra skrivbordsinspektioner.

Vid utövandet av de befogenheter som avses i första stycket ska den ledande tillsynsmyndigheten samråda med det gemensamma tillsynsnätverket.

2.Tjänstemän och andra personer som av den ledande tillsynsmyndigheten har bemyndigats att genomföra en inspektion på plats ska ha befogenhet att

a)bereda sig tillträde till företagslokaler, mark eller egendom och att

b)försegla sådana företagslokaler, räkenskaper eller affärshandlingar under den tid och i den utsträckning som krävs för inspektionen.

Tjänstemän och andra personer som har bemyndigats av den ledande tillsynsmyndigheten ska utöva sina befogenheter mot uppvisande av ett skriftligt tillstånd som anger inspektionens föremål och syften liksom de viten som föreskrivs i artikel 35.6 om företrädarna för de berörda kritiska tredjepartsleverantörerna av IKT-tjänster inte underkastar sig inspektionen.

3.Den ledande tillsynsmyndigheten ska i god tid innan inspektionen inleds informera de behöriga myndigheterna för de finansiella entiteter som använder denna tredjepartsleverantör av IKT-tjänster.

4.Inspektionerna ska omfatta alla relevanta IKT-system, nätverk, anordningar, information och data som används för eller bidrar till tillhandahållandet av IKT-tjänster till finansiella entiteter.

5.Före en planerad inspektion på plats ska den ledande tillsynsmyndigheten i rimlig tid underrätta de kritiska tredjepartsleverantörerna av IKT-tjänster, såvida detta inte är omöjligt på grund av en nöd- eller krissituation, eller om det skulle leda till en situation där inspektionen eller revisionen inte längre skulle vara effektiv.

6.Den kritiska tredjepartsleverantören av IKT-tjänster ska underkasta sig inspektioner på plats som har beordrats genom beslut av den ledande tillsynsmyndigheten. Beslutet ska ange föremålet för och syftet med inspektionen, fastställa den dag då inspektionen ska inledas och ange de viten som föreskrivs i artikel 35.6, de rättsmedel som finns tillgängliga enligt förordning (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010 samt rätten att få beslutet prövat av domstolen.

7.Om de tjänstemän och andra personer som har bemyndigats av den ledande tillsynsmyndigheten finner att en kritisk tredjepartsleverantör av IKT-tjänster motsätter sig en inspektion som har beordrats enligt denna artikel, ska den ledande tillsynsmyndigheten informera den kritiska tredjepartsleverantören av IKT-tjänster om konsekvenserna av att den motsätter sig kontrollen, inbegripet möjligheten för de berörda finansiella entiteternas behöriga myndigheter att kräva att de finansiella entiteterna säger upp de kontraktsmässiga arrangemang som har ingåtts med den kritiska tredjepartsleve rantören av IKT-tjänster.

295

Prop. 2024/25:44

Bilaga 1

L 333/64	SV	Europeiska unionens officiella tidning	27.12.2022

Artikel 40

Fortlöpande tillsyn

1.Vid tillsynsverksamhet, särskilt allmänna utredningar eller inspektioner ska den ledande tillsynsmyndigheten bistås av en gemensam undersökningsgrupp som har inrättats för varje kritisk tredjepartsleverantör av IKT-tjänster.

2.Den gemensamma undersökningsgrupp som avses i punkt 1 ska bestå av personal från

a)de europeiska tillsynsmyndigheterna,

b)de relevanta behöriga myndigheter som utövar tillsyn över de finansiella entiteter till vilka den kritiska tredjepartsleve rantören av IKT-tjänster tillhandahåller IKT-tjänster,

c)den nationella behöriga myndighet som avses i artikel 32.4 e, på frivillig basis,

d)en nationell behörig myndighet från den medlemsstat där den kritiska tredjepartsleverantören av IKT-tjänster är etablerad, på frivillig basis.

Medlemmar i den gemensamma undersökningsgruppen ska ha sakkunskap om IKT-frågor och om operativa risker. Den gemensamma undersökningsgruppen ska samordnas av en utsedd anställd vid den ledande tillsynsmyndigheten (den ledande tillsynsmyndighetens samordnare).

3.Inom tre månader efter slutförandet av en utredning eller inspektion ska den ledande tillsynsmyndigheten, efter samråd med tillsynsforumet, anta rekommendationer som ska riktas till den kritiska tredjepartsleverantören av IKT- tjänster enligt de befogenheter som avses i artikel 35.

4.De rekommendationer som avses i punkt 3 ska omedelbart meddelas den kritiska tredjepartsleverantören av IKT- tjänster och de behöriga myndigheterna för de finansiella entiteter till vilka den tillhandahåller IKT-tjänster.

För att genomföra tillsynsverksamheten får den ledande tillsynsmyndigheten ta hänsyn till relevanta tredjepartscerti fieringar och interna eller externa IKT-revisionsrapporter som den kritiska tredjepartsleverantören av IKT-tjänster har gjort tillgängliga.

Artikel 41

Harmonisering av villkor som möjliggör genomförandet för tillsynsverksamheten

1.De europeiska tillsynsmyndigheterna ska genom den gemensamma kommittén utarbeta förslag till tekniska standarder för tillsyn för att specificera

a)den information som ska tillhandahållas av en tredjepartsleverantör av IKT-tjänster i ansökan om frivillig begäran om att bli klassificerad som kritisk enligt artikel 31.11,

b)innehållet, strukturen och formatet avseende den information som tredjepartsleverantörerna av IKT-tjänster ska lämna in, offentliggöra eller rapportera enligt artikel 35.1, inbegripet mallen för tillhandahållande av information om underleverantörsavtal,

c)kriterierna för fastställande av den gemensamma undersökningsgruppens sammansättning, vilka säkerställer ett balanserat deltagande av personal från de europeiska tillsynsmyndigheterna och från de relevanta behöriga myndigheterna samt deras utseende, uppgifter och arbetsmetoder,

d)närmare uppgifter om de behöriga myndigheternas bedömning av de åtgärder som har vidtagits av kritiska tredjeparts leverantörer av IKT-tjänster på grundval av rekommendationerna från den ledande tillsynsmyndigheten enligt artikel 42.3.

2.De europeiska tillsynsmyndigheterna ska överlämna dessa förslag till tekniska standarder för tillsyn till kommissionen senast den 17 juli 2024.

Kommissionen ges befogenhet att komplettera denna förordning genom att anta de tekniska standarder för tillsyn som avses i punkt 1 i enlighet med det förfarande som fastställs i artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

296

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/65

Artikel 42

Behöriga myndigheters uppföljning

1.Inom 60 kalenderdagar från mottagandet av de rekommendationer som har utfärdats av den ledande tillsynsmyn digheten enligt artikel 35.1 d ska kritiska tredjepartsleverantörer av IKT-tjänster antingen underrätta den ledande tillsynsmyndigheten om sin avsikt att följa rekommendationerna eller lämna en motiverad förklaring till varför de inte följer sådana rekommendationer. Den ledande tillsynsmyndigheten ska omedelbart vidarebefordra denna information till de berörda finansiella entiteternas behöriga myndigheter.

2.Den ledande tillsynsmyndigheten ska offentliggöra fall där en kritisk tredjepartsleverantör av IKT-tjänster underlåter att underrätta den ledande tillsynsmyndigheten i enlighet med punkt 1 eller där den förklaring som lämnats av den kritiska tredjepartsleverantören av IKT-tjänster inte bedöms vara tillräcklig. Den offentliggjorda informationen ska avslöja identiteten på den kritiska tredjepartsleverantören av IKT-tjänster samt information om typen och arten av den bristande efterlevnaden. Sådan information ska begränsas till vad som är relevant och proportionellt för att säkerställa allmänhetens medvetenhet, såvida inte ett sådant offentliggörande skulle kunna orsaka de berörda parterna oproportionellt stor skada eller allvarligt skulle kunna äventyra finansmarknadernas korrekta funktion och integritet eller stabiliteten i hela eller delar av unionens finansiella system.

Den ledande tillsynsmyndigheten ska underrätta tredjepartsleverantören av IKT-tjänster om detta offentliggörande.

3.De behöriga myndigheterna ska informera de berörda finansiella entiteterna om de risker som har identifierats i rekommendationerna till kritiska tredjepartsleverantörer av IKT-tjänster i enlighet med artikel 35.1 d.

Finansiella entiteter ska när de hanterar IKT-tredjepartsrisker ta hänsyn till de risker som avses i första stycket.

4.Om en behörig myndighet bedömer att en finansiell entitet i sin hantering av IKT-tredjepartsrisker inte tar hänsyn till eller i tillräcklig utsträckning hanterar de specifika risker som identifierats i rekommendationerna, ska den underrätta den finansiella entiteten om att det inom 60 kalenderdagar efter mottagandet av en sådan underrättelse kan fattas ett beslut enligt punkt 6 i avsaknad av lämpliga kontraktsmässiga arrangemang för hantering av sådana risker.

5.De behöriga myndigheterna får efter att ha mottagit de rapporter som avses i artikel 35.1 c, och innan de fattar ett beslut som avses i punkt 6 i den här artikeln, på frivillig basis samråda med de behöriga myndigheter som i enlighet med direktiv (EU) 2022/2555 har utsetts eller inrättats till ansvariga för tillsynen av en väsentlig eller viktig entitet om inte annat följer av det direktivet, som har klassificerats som kritisk tredjepartsleverantör av IKT-tjänster.

6.De behöriga myndigheterna får, som en sista utväg efter underrättelsen och i förekommande fall samrådet enligt punkterna 4 och 5 i denna artikel, i enlighet med artikel 50 fatta ett beslut om att finansiella entiteter tillfälligt, helt eller delvis, ska avbryta användningen eller införandet av en tjänst som tillhandahålls av den kritiska tredjepartsleverantörer av IKT-tjänster till dess att de risker som identifieras i rekommendationerna till kritiska tredjepartsleverantörer av IKT-tjänster har åtgärdats. Vid behov får de kräva att finansiella entiteter helt eller delvis ska avsluta de relevanta kontraktsmässiga arrangemang som har ingåtts med de kritiska tredjepartsleverantörerna av IKT-tjänster.

7.Om en kritisk tredjepartsleverantör av IKT-tjänster vägrar att godta rekommendationer baserat på en annan strategi än den som den ledande tillsynsmyndigheten rekommenderar och en sådan annan strategi kan inverka negativt på ett stort antal finansiella entiteter eller en betydande del av den finansiella sektorn, och enskilda varningar från de behöriga myndigheterna inte har lett till konsekventa strategier som minskar den potentiella risken för den finansiella stabiliteten, får den ledande tillsynsmyndigheten efter samråd med tillsynsforumet när så är lämpligt utfärda icke-bindande och icke- offentliga yttranden till behöriga myndigheter för att främja konsekventa och samstämmiga uppföljningsåtgärder avseende tillsyn.

8.Efter att ha mottagit de rapporter som avses i artikel 35.1 c ska de behöriga myndigheterna när de fattar ett beslut som avses i punkt 6 i den här artikeln ta hänsyn till typen och omfattningen av den risk som inte hanteras av den kritiska tredjepartsleverantören av IKT-tjänster, samt hur allvarlig den bristande efterlevnaden är, med beaktande av följande kriterier:

297

Prop. 2024/25:44

Bilaga 1

L 333/66	SV	Europeiska unionens officiella tidning	27.12.2022

a)Den bristande efterlevnadens allvarlighetsgrad och varaktighet.

b)Huruvida den bristande efterlevnaden har påvisat allvarliga brister i den kritiska tredjepartsleverantörens förfaranden, ledningssystem, riskhantering eller interna kontroller.

c)Huruvida ekonomisk brottslighet har underlättats eller orsakats av eller på annat sätt tillskrivs den bristande efterlevnaden.

d)Huruvida den bristande efterlevnaden är uppsåtlig eller beror på oaktsamhet.

e)Huruvida det tillfälliga upphävandet eller uppsägningen av de kontraktsmässiga arrangemangen hotar kontinuiteten i den finansiella entitetens affärsverksamhet trots den finansiella entitetens ansträngningar att undvika avbrott i tillhanda hållandet av tjänster.

f)I tillämpliga fall, det yttrande som på frivillig basis har inhämtats i enlighet med punkt 5 i denna artikel från de behöriga myndigheter som i enlighet med direktiv (EU) 2022/2555 har utsetts eller inrättats till ansvariga för tillsynen av en väsentlig eller viktig entitet om inte annat följer av det direktivet, som har klassificerats som kritisk tredjepartsleverantör av IKT-tjänster.

De behöriga myndigheterna ska ge finansiella entiteter den tid som krävs för att de ska kunna anpassa sina kontraktsmässiga arrangemang med kritiska tredjepartsleverantörer av IKT-tjänster i syfte att undvika negativa effekter på den digitala operativa motståndskraften och för att de ska kunna införa sådana exitstrategier och övergångsplaner som avses i artikel 28.

9.Det beslut som avses i punkt 6 i denna artikel ska meddelas medlemmarna i det tillsynsforum som avses i artikel 32.4 a, b och c och det gemensamma tillsynsnätverket.

De kritiska tredjepartsleverantörer av IKT-tjänster som påverkas av de beslut som avses i punkt 6 ska samarbeta fullt ut med de berörda finansiella entiteterna, särskilt i samband med tillfälligt upphävande eller uppsägning av deras kontraktsmässiga arrangemang.

10.De behöriga myndigheterna ska regelbundet informera den ledande tillsynsmyndigheten om de metoder och åtgärder som de har vidtagit i sina tillsynsuppgifter när det gäller finansiella entiteter samt om de kontraktsmässiga arrangemang som finansiella entiteter har ingått om kritiska tredjepartsleverantörer av IKT-tjänster helt eller delvis inte har godtagit rekommendationerna till dem från den ledande tillsynsmyndigheten.

11.Den ledande tillsynsmyndigheten får på begäran lämna ytterligare klargöranden om de utfärdade rekommenda tionerna för att ge de behöriga myndigheterna vägledning i uppföljningsåtgärderna.

Artikel 43

Tillsynsavgifter

1.Den ledande tillsynsmyndigheten ska i enlighet med den delegerade akt som avses i punkt 2 i denna artikel från de kritiska tredjepartsleverantörerna av IKT-tjänster ta ut avgifter som till fullo täcker den ledande tillsynsmyndighetens nödvändiga utgifter i samband med fullgörandet av tillsynsuppgifter enligt denna förordning, inbegripet ersättning för eventuella kostnader som kan uppstå till följd av arbete som utförs av den gemensamma undersökningsgrupp som avses i artikel 40 samt kostnaderna för den rådgivning som tillhandahålls av de oberoende experter som avses i artikel 32.4 andra stycket i frågor som omfattas av direkt tillsynsverksamhet.

Det avgiftsbelopp som tas ut av en kritisk tredjepartsleverantör av IKT-tjänster ska täcka alla kostnader för fullgörandet av de uppgifter som anges i detta avsnitt och stå i proportion till leverantörens omsättning.

2.Kommissionen ges befogenhet att anta en delegerad akt i enlighet med artikel 57 för att komplettera denna förordning genom att senast den 17 juli 2024 fastställa avgiftsbeloppen och hur de ska betalas.

298

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/67

Artikel 44

Internationellt samarbete

1.Utan att det påverkar tillämpningen av artikel 36 får EBA, Esma och Eiopa, i enlighet med artikel 33 i förordningarna (EU) nr 1093/2010, (EU) nr 1095/2010 och (EU) nr 1094/2010, ingå administrativa arrangemang med tredjeländers reglerings- och tillsynsmyndigheter för att främja internationellt samarbete om IKT-tredjepartsrisker inom olika finansiella sektorer, särskilt genom att utveckla bästa praxis för översyn av IKT-riskhanteringsmetoder och IKT-kontroller, begränsningsåtgärder och incidenthantering.

2.De europeiska tillsynsmyndigheterna ska genom den gemensamma kommittén vart femte år lämna en gemensam konfidentiell rapport till Europaparlamentet, rådet och kommissionen med en sammanfattning av resultaten av de relevanta diskussioner som har förts med de myndigheter i tredjeländer som avses i punkt 1, med fokus på utvecklingen av IKT-tredjepartsrisker och konsekvenserna för den finansiella stabiliteten, marknadsintegriteten, investerarskyddet och den inre marknadens funktion.

KAPITEL VI

Arrangemang för informationsutbyte

Artikel 45

Arrangemang för utbyte av information och underrättelser om cyberhot

1.Finansiella entiteter får sinsemellan utbyta information och underrättelser om cyberhot, inbegripet indikatorer på äventyrad säkerhet, taktiker, tekniker och förfaranden, cybersäkerhetsvarningar och konfigurationsverktyg, i den mån sådant utbyte av information och underrättelser

a)syftar till att förbättra finansiella entiteters digitala operativa motståndskraft, särskilt genom att öka medvetenheten om cyberhot, begränsa eller hindra cyberhotens spridningsförmåga, varvid försvarsförmåga, metoder för att upptäcka hot, begränsningsstrategier eller åtgärds- och återställningsfaser stöds,

b)äger rum inom betrodda grupper av finansiella entiteter,

c)genomförs genom arrangemang för informationsutbyte som skyddar den potentiellt känsliga karaktären hos den information som utbyts och som styrs av uppföranderegler med full respekt för affärshemligheter, skydd av personuppgifter i enlighet med förordning (EU) 2016/679 och riktlinjer för konkurrenspolitiken.

2.Vid tillämpning av punkt 1 c ska arrangemangen för informationsutbyte innehålla fastställda villkor för deltagande och, när så är lämpligt, närmare uppgifter om offentliga myndigheters deltagande och på vilket sätt dessa kan knytas till arrangemangen för informationsutbyte, om deltagandet av tredjepartsleverantörer av IKT-tjänster och om operativa delar, inbegripet användningen av särskilda it-plattformar.

3.Finansiella entiteter ska underrätta de behöriga myndigheterna om sitt deltagande i de arrangemang för informationsutbyte som avses i punkt 1, när deras medlemskap har godkänts eller, i tillämpliga fall, när medlemskapet upphör, så snart så har skett.

299

Prop. 2024/25:44

Bilaga 1

L 333/68	SV	Europeiska unionens officiella tidning	27.12.2022

KAPITEL VII

Behöriga myndigheter

Artikel 46

Behöriga myndigheter

Utan att det påverkar tillämpningen av de bestämmelser om tillsynsramen för kritiska tredjepartsleverantörer av IKT- tjänster som avses i kapitel V avsnitt II i denna förordning ska efterlevnaden av denna förordning säkerställas av följande behöriga myndigheter i enlighet med de befogenheter som tilldelats genom respektive rättsakt:

a)För kreditinstitut och för institut undantagna enligt direktiv 2013/36/EU: den behöriga myndighet som har utsetts i enlighet med artikel 4 i det direktivet. För kreditinstitut som har klassificerats som betydande i enlighet med artikel 6.4 i förordning (EU) nr 1024/2013: ECB i enlighet med de befogenheter och uppgifter som har tilldelats genom den förordningen.

b)För betalningsinstitut, inbegripet betalningsinstitut undantagna enligt direktiv (EU) 2015/2366, institut för elektroniska pengar, inbegripet de som är undantagna enligt direktiv 2009/110/EG, och leverantörer av kontoinformationstjänster som avses i artikel 33.1 i direktiv (EU) 2015/2366: den behöriga myndighet som har utsetts i enlighet med artikel 22 i direktiv (EU) 2015/2366.

c)För värdepappersföretag: den behöriga myndighet som har utsetts i enlighet med artikel 4 i Europaparlamentets och rådets direktiv (EU) 2019/2034 (38).

d)För leverantörer av kryptotillgångstjänster som har auktoriserats enligt förordningen om kryptotillgångar och emittenter av tillgångsanknutna token: den behöriga myndighet som har utsetts i enlighet med de relevanta bestämmelserna i den förordningen.

e)För värdepapperscentraler: den behöriga myndighet som har utsetts i enlighet med artikel 11 i förordning (EU) nr 909/2014.

f)För centrala motparter: den behöriga myndighet som har utsetts i enlighet med artikel 22 i förordning (EU) nr 648/2012.

g)För handelsplatser och leverantörer av datarapporteringstjänster: den behöriga myndighet som har utsetts i enlighet med artikel 67 i direktiv 2014/65/EU och den behöriga myndigheten enligt definitionen i artikel 2.1.18 i förordning (EU) nr 600/2014.

h)För transaktionsregister: den behöriga myndighet som har utsetts i enlighet med artikel 22 i förordning (EU) nr 648/2012.

i)För förvaltare av alternativa investeringsfonder: den behöriga myndighet som har utsetts i enlighet med artikel 44 i direktiv 2011/61/EU.

j)För förvaltningsbolag: den behöriga myndighet som har utsetts i enlighet med artikel 97 i direktiv 2009/65/EG.

k)För försäkrings- och återförsäkringsföretag: den behöriga myndighet som har utsetts i enlighet med artikel 30 i direktiv 2009/138/EG.

l)För försäkringsförmedlare, återförsäkringsförmedlare och försäkringsförmedlare som bedriver förmedling som sidoverksamhet: den behöriga myndighet som har utsetts i enlighet med artikel 12 i direktiv (EU) 2016/97.

m)För tjänstepensionsinstitut: den behöriga myndighet som har utsetts i enlighet med artikel 47 i direktiv (EU) 2016/2341.

n)För kreditvärderingsinstitut: den behöriga myndighet som har utsetts i enlighet med artikel 21 i förordning (EG) nr 1060/2009.

o)För administratörer av kritiska referensvärden: den behöriga myndighet som har utsetts i enlighet med artiklarna 40 och 41 i förordning (EU) 2016/1011.

(38) Europaparlamentets och rådets direktiv (EU) 2019/2034 av den 27 november 2019 om tillsyn av värdepappersföretag och om ändring av direktiven 2002/87/EG, 2009/65/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU och 2014/65/EU (EUT L 314, 5.12.2019, s. 64).

300

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/69

p)För leverantörer av gräsrotsfinansieringstjänster: den behöriga myndighet som har utsetts i enlighet med artikel 29 i förordning (EU) 2020/1503.

q)För värdepapperiseringsregister: den behöriga myndighet som har utsetts i enlighet med artiklarna 10 och artikel 14.1 i förordning (EU) 2017/2402.

Artikel 47

Samarbete med strukturer och myndigheter som har inrättats genom direktiv (EU) 2022/2555

1.För att främja samarbete och möjliggöra tillsynsutbyten mellan de behöriga myndigheter som har utsetts enligt denna förordning och den samarbetsgrupp som har inrättats genom artikel 14 i direktiv (EU) 2022/2555 får de europeiska tillsynsmyndigheterna och de behöriga myndigheterna delta i samarbetsgruppens verksamhet i frågor som rör deras tillsynsverksamhet i samband med finansiella entiteter. De europeiska tillsynsmyndigheterna och de behöriga myndigheterna får begära att bli inbjudna att delta i samarbetsgruppens verksamhet i väsentliga eller viktiga frågor som rör entiteter om inte annat följer av direktiv (EU) 2022/2555 och som har klassificerats som kritiska tredjepartsleverantörer av IKT-tjänster enligt artikel 31 i denna förordning.

2.De behöriga myndigheterna får när så är lämpligt samråda och utbyta information med den gemensamma kontaktpunkten och de CSIRT-enheter som utsetts eller inrättats i enlighet med direktiv (EU) 2022/2555.

3.De behöriga myndigheterna får när så är lämpligt begära relevant teknisk rådgivning och tekniskt stöd från de behöriga myndigheter som har utsetts eller inrättats i enlighet med direktiv (EU) 2022/2555 och ingå samarbetsar rangemang som gör det möjligt att inrätta effektiva och snabba samordningsmekanismer.

4.De arrangemang som avses i punkt 3 i denna artikel kan bland annat ange förfarandena för samordning av tillsynsverksamheten i samband med väsentliga eller viktiga entiteter om inte annat följer av] direktiv (EU) 2022/2555 och som har klassificerats som kritiska tredjepartsleverantörer av IKT-tjänster enligt artikel 31 i denna förordning, bl.a. för genomförande av utredningar och inspektioner på plats i enlighet med nationell rätt och för mekanismer för informationsutbyte mellan de behöriga myndigheterna enligt denna förordning och de behöriga myndigheter som har utsetts eller inrättats i enlighet med det direktivet, inbegripet tillgång till information som de senare myndigheterna har begärt.

Artikel 48

Samarbete mellan myndigheter

1.De behöriga myndigheterna ska ha ett nära samarbete sinsemellan och, i tillämpliga fall, med den ledande tillsynsmyndigheten.

2.De behöriga myndigheterna och den ledande tillsynsmyndigheten ska i god tid ömsesidigt utbyta all relevant information om kritiska tredjepartsleverantörer av IKT-tjänster som är nödvändig för att de ska kunna utföra sina respektive uppgifter enligt denna förordning, särskilt om identifierade risker, strategier och åtgärder som vidtas som en del av den ledande tillsynsmyndighetens tillsynsuppgifter.

Artikel 49

Övningar, kommunikation och samarbete mellan finansiella sektorer

1.De europeiska tillsynsmyndigheterna får, genom den gemensamma kommittén och i samarbete med behöriga myndigheter, resolutionsmyndigheter som avses i artikel 3 i direktiv 2014/59/EU, ECB, Gemensamma resolutionsnämnden, när det gäller information som rör entiteter som omfattas av tillämpningsområdet för förordning (EU) nr 806/2014, ESRB och Enisa, när så är lämpligt, inrätta mekanismer för att möjliggöra utbyte av effektiv praxis mellan olika finansiella sektorer för att öka situationsmedvetenheten och identifiera gemensamma sårbarheter och risker på it-området.

301

Prop. 2024/25:44

Bilaga 1

L 333/70	SV	Europeiska unionens officiella tidning	27.12.2022

De får utveckla krishanterings- och beredskapsövningar som inbegriper cyberangrepp i syfte att utveckla kommunika tionskanaler och gradvis möjliggöra en effektiv samordnad reaktion på unionsnivå i händelse av en allvarlig gränsöver skridande IKT-relaterad incident eller därmed sammanhängande hot som har en systempåverkan på unionens finansiella sektor som helhet.

Dessa övningar kan när så är lämpligt även innefatta test av den finansiella sektorns beroendeförhållanden till andra ekonomiska sektorer.

2.De behöriga myndigheterna, de europeiska tillsynsmyndigheterna och ECB ska ha ett nära samarbete och utbyta information för att fullgöra sina uppgifter enligt artiklarna 47–54. De ska nära samordna sin tillsyn för att identifiera och åtgärda överträdelser av denna förordning, utarbeta och främja bästa praxis, underlätta samarbete, främja en konsekvent tolkning och tillhandahålla bedömningar över jurisdiktionsgränserna om det uppstår meningsskiljaktigheter.

Artikel 50

Administrativa sanktioner och avhjälpande åtgärder

1.De behöriga myndigheterna ska ha alla tillsyns-, utrednings- och sanktionsbefogenheter som krävs för att de ska kunna fullgöra sina skyldigheter enligt denna förordning.

2.De befogenheter som avses i punkt 1 ska omfatta åtminstone följande befogenheter:

a)Få tillgång till alla dokument eller uppgifter i vilken form som helst som enligt den behöriga myndigheten är relevanta för fullgörandet av dess uppgifter och få eller ta en kopia av dem.

b)Utföra kontroller eller inspektioner på plats, som ska omfatta men inte vara begränsade till att

i)kalla till sig företrädare för finansiella entiteter och be dem om muntliga eller skriftliga förklaringar angående sakförhållanden eller dokument som rör föremålet för och syftet med utredningen samt nedteckna svaren,

ii)höra vilken annan fysisk eller juridisk person som helst som går med på att höras i syfte att samla in information om föremålet för utredningen.

c)Kräva korrigerande och avhjälpande åtgärder vid överträdelser av kraven i denna förordning.

3.Utan att det påverkar medlemsstaternas rätt att ålägga straffrättsliga påföljder i enlighet med artikel 52 ska medlemsstaterna fastställa regler om lämpliga administrativa sanktioner och avhjälpande åtgärder vid överträdelser av denna förordning och säkerställa att de genomförs effektivt.

Sådana sanktioner och åtgärder ska vara effektiva, proportionella och avskräckande.

4.Medlemsstaterna ska ge behöriga myndigheter befogenhet att tillämpa åtminstone följande administrativa sanktioner eller avhjälpande åtgärder vid överträdelser av denna förordning:

a)Utfärda ett föreläggande enligt vilket det krävs att den fysiska eller juridiska personen upphör med det agerande som strider mot denna förordning och inte upprepar detta agerande.

b)Kräva att varje praxis eller beteende som den behöriga myndigheten anser strider mot bestämmelserna i denna förordning tillfälligt eller permanent upphör och förhindra en upprepning av denna praxis eller detta beteende.

c)Vidta vilken typ av åtgärd som helst, även av ekonomisk art, för att säkerställa att finansiella entiteter fortsätter att uppfylla rättsliga krav.

d)Kräva tillgång till, i den mån det är tillåtet enligt nationell rätt, befintliga uppgifter om datatrafik som innehas av en teleoperatör om det föreligger en rimlig misstanke om överträdelse av denna förordning och om dessa uppgifter kan vara relevanta för en utredning av överträdelser av denna förordning.

e)Utfärda offentliga meddelanden, inbegripet offentliga uttalanden, med uppgift om den fysiska eller juridiska personens identitet och överträdelsens art.

302

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/71

5.Om punkt 2 c och punkt 4 är tillämpliga på juridiska personer ska medlemsstaterna ge de behöriga myndigheterna befogenhet att tillämpa administrativa sanktioner och avhjälpande åtgärder, med förbehåll för de villkor som föreskrivs i nationell rätt, på medlemmar i ledningsorganet och på andra personer som enligt nationell rätt är ansvariga för överträdelsen.

6.Medlemsstaterna ska säkerställa att alla beslut om att ålägga administrativa sanktioner eller avhjälpande åtgärder enligt punkt 2 c är vederbörligen motiverade och kan överklagas.

Artikel 51

Utövande av befogenheten att ålägga administrativa sanktioner och avhjälpande åtgärder

1.De behöriga myndigheterna ska utöva sina befogenheter att ålägga de administrativa sanktioner och avhjälpande åtgärder som avses i artikel 50 i enlighet med sina nationella rättsliga ramar, när så är lämpligt, på något av följande sätt:

a)Direkt.

b)I samarbete med andra myndigheter.

c)På eget ansvar genom delegering till andra myndigheter.

d)Genom hänvändelse till de behöriga rättsliga myndigheterna.

2.De behöriga myndigheterna ska, när de fastställer typen av och nivån på en administrativ sanktion eller avhjälpande åtgärd som ska åläggas enligt artikel 50, ta hänsyn till i vilken utsträckning överträdelsen är avsiktlig eller beror på försummelse och till alla andra relevanta omständigheter, bland annat följande, när så är lämpligt:

a)Överträdelsens väsentlighet, svårighetsgrad och varaktighet.

b)Graden av ansvar hos den fysiska eller juridiska person som gjort sig skyldig till överträdelsen.

c)Den finansiella styrkan hos den fysiska eller juridiska person som gjort sig skyldig till överträdelsen.

d)Omfattningen av de vinster som erhållits eller av förluster som undvikits av den fysiska eller juridiska person som har gjort sig skyldig till överträdelsen, i den mån de kan bestämmas.

e)Förluster för tredje parter orsakade av överträdelsen, i den mån de kan fastställas.

f)Viljan hos den ansvariga fysiska eller juridiska person att samarbeta med den behöriga myndigheten, utan att det påverkar behovet av att säkerställa återföring av den vinst som den fysiska eller juridiska personen gjort eller de förluster som denne undvikit.

g)Tidigare överträdelser av den fysiska eller juridiska person som har gjort sig skyldig till överträdelsen.

Artikel 52

Straffrättsliga påföljder

1.Medlemsstaterna får besluta att inte fastställa regler för administrativa sanktioner eller avhjälpande åtgärder för överträdelser som omfattas av straffrättsliga påföljder i deras nationella rätt.

2.Om medlemsstaterna har valt att fastställa straffrättsliga påföljder för överträdelser av denna förordning, ska de säkerställa att lämpliga åtgärder har vidtagits så att de behöriga myndigheterna har alla nödvändiga befogenheter att samarbeta med rättsliga myndigheter, åklagarmyndigheter eller straffrättsliga myndigheter inom sin jurisdiktion för att få specifik information om brottsutredningar eller straffrättsliga förfaranden som har inletts på grund av överträdelser av denna förordning, och att lämna samma information till andra behöriga myndigheter samt EBA, Esma eller Eiopa för att uppfylla sina skyldigheter att samarbeta enligt denna förordning.

303

Prop. 2024/25:44

Bilaga 1

L 333/72	SV	Europeiska unionens officiella tidning	27.12.2022

Artikel 53

Underrättelseskyldigheter

Medlemsstaterna ska underrätta kommissionen, Esma, EBA och Eiopa om de lagar och andra författningar som genomför detta kapitel, inbegripet alla relevanta straffrättsliga bestämmelser senast den 17 januari 2025. Medlemsstaterna ska utan onödigt dröjsmål underrätta kommissionen, Esma, EBA och Eiopa om eventuella ändringar av dessa.

Artikel 54

Offentliggörande av administrativa sanktioner

1.De behöriga myndigheterna ska utan onödigt dröjsmål på sina officiella webbplatser offentliggöra alla beslut om att ålägga en administrativ sanktion som inte kan överklagas efter det att sanktionens adressat har underrättats om beslutet.

2.Det offentliggörande som avses i punkt 1 ska innehålla information om överträdelsens typ och art, de ansvariga personernas identitet och ålagda sanktioner.

3.Om den behöriga myndigheten efter en bedömning av det enskilda fallet anser att ett offentliggörande av de juridiska personernas identitet eller av de fysiska personernas identitet och personuppgifter är oproportionellt, inbegripet riskerna när det gäller skyddet av personuppgifter, kan hota stabiliteten på de finansiella marknaderna eller äventyra en pågående brottsutredning eller, i den mån detta kan bestämmas, vålla den berörda personen oproportionell skada, ska den behöriga myndigheten vidta någon av följande åtgärder i fråga om beslutet om att ålägga en administrativ sanktion:

a)Skjuta upp offentliggörandet av beslutet tills det inte längre finns någon anledning att inte offentliggöra det.

b)Offentliggöra beslutet på anonym grund på ett sätt som överensstämmer med nationell rätt.

c)Avstå från att offentliggöra beslutet om de alternativ som anges i leden a och b inte anses vara tillräckliga för att säkerställa att det inte innebär något hot mot finansmarknadernas stabilitet eller om offentliggörandet inte är proportionellt när det gäller mindre stränga sanktioner.

4.Vid ett beslut om att offentliggöra en administrativ sanktion på anonym grund i enlighet med punkt 3 b får offentlig görandet av de relevanta uppgifterna skjutas upp.

5.Om en behörig myndighet offentliggör ett beslut om åläggande av en administrativ sanktion som överklagas till de relevanta rättsliga myndigheterna, ska de behöriga myndigheterna omedelbart på sin officiella webbplats lägga till denna information och i senare skeden all efterföljande tillhörande information om resultatet av ett sådant överklagande. Varje rättsligt beslut om ogiltigförklaring av ett beslut om åläggande av en administrativ sanktion ska också offentliggöras.

6.De behöriga myndigheterna ska säkerställa att alla offentliggöranden som avses i punkterna 1–4 finns kvar på deras officiella webbplats endast under den tidsperiod som är nödvändig vid tillämpning av denna artikel. Denna period får inte överstiga fem år efter offentliggörandet.

Artikel 55

Tystnadsplikt

1.All konfidentiell information som är föremål för mottagande, utbyte eller förmedling enligt denna förordning ska omfattas av de villkor för tystnadsplikt som föreskrivs i punkt 2.

2.Tystnadsplikten ska tillämpas för alla personer som arbetar eller har arbetat för de behöriga myndigheterna enligt denna förordning, eller för en myndighet eller ett marknadsföretag eller en fysisk eller juridisk person som dessa behöriga myndigheter har delegerat sina befogenheter till, inbegripet revisorer och experter som arbetar på den behöriga myndighetens uppdrag.

304

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/73

3.Information som omfattas av tystnadsplikt, inbegripet informationsutbyte mellan behöriga myndigheter enligt denna förordning och behöriga myndigheter som har utsetts eller inrättats i enlighet med direktiv (EU) 2022/2555, får inte lämnas ut till någon annan person eller myndighet utom när detta föreskrivs i unionsrätt eller nationell rätt.

4.All information som utbyts mellan de behöriga myndigheterna enligt denna förordning och som avser affärs- eller driftsförhållanden och andra ekonomiska eller personliga förhållanden ska anses vara konfidentiell och omfattas av tystnadsplikt, utom när den behöriga myndigheten vid den tidpunkt då informationen lämnas anger att informationen får lämnas ut eller om det är nödvändigt att lämna ut informationen i samband med rättsliga förfaranden.

Artikel 56

Dataskydd

1.De europeiska tillsynsmyndigheterna och de behöriga myndigheterna får endast behandla personuppgifter om det är nödvändigt för att de ska kunna fullgöra sina respektive skyldigheter och uppgifter enligt denna förordning, särskilt när det gäller utredning, inspektion, begäran om information, kommunikation, offentliggörande, utvärdering, verifiering, bedömning och utarbetande av tillsynsplaner. Personuppgifterna ska behandlas i enlighet med förordning (EU) 2016/679 eller förordning (EU) 2018/1725, beroende på vilken som är tillämplig.

2.Utom där annat föreskrivs i andra sektorsspecifika rättsakter ska de personuppgifter som avses i punkt 1 lagras till dess att de tillämpliga tillsynsuppgifterna fullgjorts och under alla omständigheter i högst 15 år, utom i fall av pågående domstolsförfaranden som kräver ytterligare lagring av sådana uppgifter.

KAPITEL VIII

Delegerade akter

Artikel 57

Utövande av delegeringen

1.Befogenheten att anta delegerade akter ges till kommissionen med förbehåll för de villkor som anges i denna artikel.

2.Den befogenhet att anta delegerade akter som avses i artiklarna 31.6 och 43.2 ska ges till kommissionen för en period på fem år från och med den 17 januari 2024. Kommissionen ska utarbeta en rapport om delegeringen av befogenhet senast nio månader före utgången av perioden på fem år. Delegeringen av befogenhet ska genom tyst medgivande förlängas med perioder av samma längd, såvida inte Europaparlamentet eller rådet motsätter sig en sådan förlängning senast tre månader före utgången av perioden i fråga.

3.Den delegering av befogenhet som avses i artiklarna 31.6 och 43.2 får när som helst återkallas av Europaparlamentet eller rådet. Ett beslut om återkallelse innebär att delegeringen av den befogenhet som anges i beslutet upphör att gälla. Beslutet får verkan dagen efter det att det offentliggörs i Europeiska unionens officiella tidning eller vid ett senare, i beslutet angivet datum. Det påverkar inte giltigheten av delegerade akter som redan har trätt i kraft.

4.Innan kommissionen antar en delegerad akt ska den samråda med experter som utsetts av varje medlemsstat i enlighet med principerna i det interinstitutionella avtalet av den 13 april 2016 om bättre lagstiftning.

5.Så snart kommissionen antar en delegerad akt ska den samtidigt delge Europaparlamentet och rådet denna.

305

Prop. 2024/25:44

Bilaga 1

L 333/74	SV	Europeiska unionens officiella tidning	27.12.2022

6.En delegerad akt som antas enligt artiklarna 31.6 och 43.2 ska träda i kraft endast om varken Europaparlamentet eller rådet har gjort invändningar mot den delegerade akten inom en period på tre månader från den dag då akten delgavs Europaparlamentet och rådet, eller om både Europaparlamentet och rådet, före utgången av den perioden, har underrättat kommissionen om att de inte kommer att invända. Denna period ska förlängas med tre månader på Europaparlamentets eller rådets initiativ.

KAPITEL IX

Övergångs- och slutbestämmelser

Avsnitt I

Artikel 58

Översynsklausul

1.Senast den 17 januari 2028 ska kommissionen, efter samråd med de europeiska tillsynsmyndigheterna och ESRB, när så är lämpligt, genomföra en översyn och överlämna en rapport till Europaparlamentet och rådet, när så är lämpligt åtföljd av ett lagstiftningsförslag. Översynen ska minst omfatta följande:

a)Kriterierna för att klassificera tredjepartsleverantörer av IKT-tjänster som kritiska i enlighet med artikel 31.2.

b)Den frivilliga karaktären hos den anmälan av betydande cyberhot som avses i artikel 19.

c)Den ordning som avses i artikel 31.12 och de befogenheter för den ledande tillsynsmyndigheten som föreskrivs i artikel 35.1 d iv första strecksatsen, i syfte att utvärdera om dessa bestämmelser är ändamålsenliga för att säkerställa en effektiv tillsyn av kritiska tredjepartsleverantörer av IKT-tjänster som är etablerade i ett tredjeland och om det är nödvändigt att etablera ett dotterföretag i unionen.

Vid tillämpning av första stycket i detta led ska översynen omfatta en analys av den ordning som avses i artikel 31.12, inbegripet vad gäller åtkomst för finansiella entiteter i unionen till tjänster från tredjeländer och tillgång till sådana tjänster på marknaden i unionen, och den ska ta hänsyn till den fortsatta utvecklingen på marknaderna för de tjänster som omfattas av denna förordning, finansiella entiteters och de finansiella tillsynsmyndigheternas praktiska erfarenheter av tillämpningen respektive tillsynen av den ordningen samt all relevant utveckling inom reglering och tillsyn som äger rum på internationell nivå.

d)Lämpligheten i att i tillämpningsområdet för denna förordning inkludera sådana finansiella entiteter som avses i artikel 2.3 e som använder automatiska försäljningssystem, mot bakgrund av den framtida marknadsutvecklingen när det gäller användningen av sådana system.

e)Det gemensamma tillsynsnätverkets funktion och ändamålsenlighet när det gäller att stödja konsekvens i tillsynen och effektivitet i informationsutbytet inom tillsynsramen.

2.I samband med översynen av direktiv (EU) 2015/2366 ska kommissionen bedöma behovet av ökad cyberresiliens i betalningssystem och betalningshantering och lämpligheten i att utvidga tillämpningsområdet för denna förordning till att även omfatta betalningssystemsoperatörer och enheter som deltar i betalningshantering. Mot bakgrund av denna bedömning ska kommissionen, som en del av översynen av direktiv (EU) 2015/2366, lägga fram en rapport för Europapar lamentet och rådet senast den 17 juli 2023.

Baserat på den översynsrapporten och efter samråd med de europeiska tillsynsmyndigheterna, ECB och ESRB får kommissionen, när så är lämpligt och som en del av det lagstiftningsförslag som den får anta i enlighet med artikel 108 andra stycket i direktiv (EU) 2015/2366, lägga fram ett förslag för att säkerställa att alla betalningssystemsoperatörer och entiteter som deltar i betalningshantering är föremål för lämplig tillsyn, samtidigt som hänsyn tas till den befintliga tillsynen av centralbanken.

306

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/75

3.Senast den 17 januari 2026 ska kommissionen, efter samråd med de europeiska tillsynsmyndigheterna och kommittén för europeiska tillsynsorgan för revisorer, genomföra en översyn och överlämna en rapport till Europapar lamentet och rådet, vid behov åtföljd av ett lagstiftningsförslag, om huruvida det är lämpligt att stärka kraven för lagstadgade revisorer och revisionsföretag när det gäller digital operativ motståndskraft genom att inkludera lagstadgade revisorer och revisionsföretag i tillämpningsområdet för denna förordning eller genom att ändra Europaparlamentets och rådets direktiv 2006/43/EG (39).

Avsnitt II

Ändringar

Artikel 59

Ändringar av förordning (EG) nr 1060/2009

Förordning (EG) nr 1060/2009 ska ändras på följande sätt:

1.I bilaga I avsnitt A punkt 4 ska första stycket ersättas med följande:

”Ett kreditvärderingsinstitut ska tillämpa sunda förfaranden för förvaltning och redovisning samt ha mekanismer för internkontroll och effektiva riskbedömningsmetoder samt effektiva kontroll- och skyddssystem för förvaltningen av sina IKT-system i enlighet med Europaparlamentets och rådets förordning (EU) 2022/2554 (*).

_____________

(*)Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 (EUT L 333, 27.12.2022, s. 1).”

2.I bilaga III ska punkt 12 ersättas med följande:

”12. Ett kreditvärderingsinstitut bryter mot artikel 6.2, jämförd med bilaga I avsnitt A punkt 4, om det inte tillämpar sunda förfaranden för förvaltning eller redovisning eller inte har mekanismer för internkontroll eller effektiva riskbedömningsmetoder samt effektiva kontroll- eller skyddssystem för förvaltningen av sina IKT-system i enlighet med förordning (EU) 2022/2554, eller om det inte tillämpar eller upprätthåller beslutsförfaranden och organisationsstrukturer enligt vad som krävs i den punkten.”

Artikel 60

Ändringar av förordning (EU) nr 648/2012

Förordning (EU) nr 648/2012 ska ändras på följande sätt:

1.Artikel 26 ska ändras på följande sätt:

a)Punkt 3 ska ersättas med följande:

”3. En central motpart ska upprätthålla en organisationsstruktur som säkerställer en kontinuerlig och väl fungerande verksamhet och tillhandahållande av tjänster. Den ska använda lämpliga och proportionella system, resurser och förfaranden, inbegripet IKT-system som förvaltas i enlighet med Europaparlamentets och rådets förordning (EU) 2022/2554 (*).

_____________

(39) Europaparlamentets och rådets direktiv 2006/43/EG av den 17 maj 2006 om lagstadgad revision av årsbokslut och sammanställd redovisning och om ändring av rådets direktiv 78/660/EEG och 83/349/EEG samt om upphävande av rådets direktiv 84/253/EEG (EUT L 157, 9.6.2006, s. 87).

307

Prop. 2024/25:44

Bilaga 1

L 333/76	SV	Europeiska unionens officiella tidning	27.12.2022

b)Punkt 6 ska utgå.

2.Artikel 34 ska ändras på följande sätt:

a)Punkt 1 ska ersättas med följande:

”1. En central motpart ska etablera, genomföra och upprätthålla lämpliga riktlinjer för kontinuerlig verksamhet och en lämplig katastrofplan, vilket ska innefatta IKT-kontinuitetspolicy och åtgärds- och återställningsplaner avseende IKT som har upprättats och genomförts i enlighet med förordning (EU) 2022/2554, för att säkerställa verksamheten, snabbt återuppta den och fullgöra den centrala motpartens skyldigheter.”

b)I punkt 3 ska första stycket ersättas med följande:

”3. För att säkerställa en konsekvent tillämpning av denna artikel ska Esma, efter samråd med ECBS- medlemmarna, utarbeta förslag till tekniska standarder för tillsyn med närmare uppgifter om minimiinnehåll och krav avseende riktlinjerna för kontinuerlig verksamhet och katastrofplanen, exklusive IKT-kontinuitetspolicy och IKT-katastrofplanerna.”

3.I artikel 56.3 ska första stycket ersättas med följande:

”3. För att säkerställa en konsekvent tillämpning av denna artikel ska Esma utarbeta förslag till tekniska standarder för tillsyn med närmare uppgifter om den ansökan om registrering som avses i punkt 1, utom för krav som rör IKT- riskhantering.”

4.I artikel 79 ska punkterna 1 och 2 ersättas med följande:

”1. Ett transaktionsregister ska kartlägga operativa riskkällor och minimera dem genom att utveckla lämpliga system, kontroller och förfaranden, inbegripet IKT-system som förvaltas i enlighet med förordning (EU) 2022/2554.

2.Ett transaktionsregister ska utforma, tillämpa och upprätthålla tillräckliga riktlinjer för kontinuerlig verksamhet och en katastrofplan, inbegripet IKT-kontinuitetspolicy och åtgärds- och återställningsplaner avseende IKT som har upprättats i enlighet med förordning (EU) 2022/2554, för att säkerställa verksamheten, snabbt kunna återuppta den och fullgöra transaktionsregistrets skyldigheter.”

5.I artikel 80 ska punkt 1 utgå.

6.I bilaga I ska avsnitt II ändras på följande sätt:

a)Leden a och b ska ersättas med följande:

”a) Ett transaktionsregister bryter mot artikel 79.1 om det inte identifierar operativa riskkällor eller inte minimerar dessa risker genom att utveckla lämpliga system, kontroller och förfaranden, inbegripet IKT-system som förvaltas i enlighet med förordning (EU) 2022/2554.

b)Ett transaktionsregister bryter mot artikel 79.2 om det inte utformar, tillämpar eller upprätthåller en lämplig strategiplan för kontinuerlig verksamhet och en katastrofplan som har upprättats i enlighet med förordning (EU) 2022/2554, för att säkerställa verksamheten, snabbt kunna återuppta den och fullgöra transaktionsre gistrets skyldigheter.”

b)Led c ska utgå.

7.Bilaga III ska ändras på följande sätt:

a)Avsnitt II ska ändras på följande sätt:

i)Led c ska ersättas med följande:

”c) En central motpart i kategori 2 överträder artikel 26.3 om den inte upprätthåller en organisationsstruktur som säkerställer en kontinuerlig och väl fungerande verksamhet och tillhandahållande av tjänster, eller om den inte använder lämpliga och proportionella system, resurser eller förfaranden, inbegripet IKT-system som förvaltas i enlighet med förordning (EU) 2022/2554.”

ii)Led f ska utgå.

308

Prop. 2024/25:44

Bilaga 1

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/77

b)I avsnitt III ska led a ersättas med följande:

”a) En central motpart i kategori 2 överträder artikel 34.1 om den inte utformar, genomför eller upprätthåller lämpliga riktlinjer för kontinuerlig verksamhet och en åtgärds- och återställningsplan som har upprättats i enlighet med förordning (EU) 2022/2554, för att säkerställa verksamheten, snabbt kunna återuppta den och fullgöra den centrala motpartens skyldigheter, vilket åtminstone ger möjlighet att återställa alla transaktioner till vad de var vid tidpunkten för störningen, så att den centrala motpartens verksamhet är fortsatt säker och den kan fullfölja avvecklingen vid fastställt datum.”

Artikel 61

Ändringar av förordning (EU) nr 909/2014

Artikel 45 i förordning (EU) nr 909/2014 ska ändras på följande sätt:

1.Punkt 1 ska ersättas med följande:

”1. En värdepapperscentral ska identifiera källor till operativ risk, såväl interna som externa, och minimera deras effekt genom att använda lämpliga IKT-verktyg, IKT-processer och IKT-strategier som har inrättats och förvaltas i enlighet med Europaparlamentets och rådets förordning (EU) 2022/2554 (*), samt andra relevanta lämpliga verktyg, kontroller och förfaranden för andra typer av operativa risker, inbegripet för samtliga avvecklingssystem för värdepapper som den driver.

_____________

2.Punkt 2 ska utgå.

3.Punkterna 3 och 4 ska ersättas med följande:

”3. En värdepapperscentral ska för tjänster som den tillhandahåller samt för varje avvecklingssystem för värdepapper som den driver upprätta, genomföra och upprätthålla ändamålsenliga riktlinjer för driftskontinuitet och en plan för katastrofberedskap, inbegripet IKT-kontinuitetspolicy och åtgärds- och återställningsplaner avseende IKT som har inrättats i enlighet med förordning (EU) 2022/2554, för att se till att dess tjänster kan upprätthållas, driften snabbt kan återupptas och värdepapperscentralens skyldigheter kan fullgöras vid händelser som medför en betydande risk för avbrott i verksamheten.

4.Den plan som avses i punkt 3 ska göra det möjligt att återupprätta alla transaktioner och deltagares positioner vid tidpunkten för avbrottet, så att värdepapperscentralens deltagare kan fortsätta sin verksamhet på ett säkert sätt och avvecklingen kan fullföljas på fastställd dag, inbegripet genom att säkerställa att driften av avgörande it-system kan återupptas från och med tidpunkten för avbrottet i enlighet med vad som föreskrivs i artikel 12.5 och 12.7 i förordning (EU) 2022/2554.”

4.Punkt 6 ska ersättas med följande:

”6. En värdepapperscentral ska identifiera, övervaka och hantera de risker för verksamheten som de viktigaste deltagarna i det avvecklingssystem för värdepapper som den driver samt tjänsteleverantörer, andra värdepappers centraler eller andra marknadsinfrastrukturer kan utgöra för dess verksamhet. Den ska på begäran tillhandahålla behöriga och relevanta myndigheter information om varje sådan risk som har identifierats. Den ska även utan dröjsmål informera den behöriga myndigheten och de relevanta myndigheterna om alla operativa incidenter till följd av sådana risker, med undantag för IKT-risk.”

5.I punkt 7 ska första stycket ersättas med följande:

”7. Esma ska i nära samarbete med medlemmarna i ECBS utarbeta förslag till tekniska standarder för tillsyn i syfte att fastställa de operativa risker som avses i punkterna 1 och 6, med undantag för IKT-risker, och de metoder för att testa, hantera och minimera de riskerna, inbegripet de riktlinjer för driftskontinuitet och planer för katastrofberedskap som avses i punkterna 3 och 4 samt metoderna för att bedöma dessa.”

309

Prop. 2024/25:44

Bilaga 1

L 333/78	SV	Europeiska unionens officiella tidning	27.12.2022

Artikel 62

Ändringar av förordning (EU) nr 600/2014

Förordning (EU) nr 600/2014 ska ändras på följande sätt:

1.Artikel 27g ska ändras på följande sätt:

a)Punkt 4 ska ersättas med följande:

”4. APA ska uppfylla de krav avseende säkerhet i nätverks- och informationssystem som fastställs i Europapar lamentets och rådets förordning (EU) 2022/2554 (*).

_____________

b)Punkt 8 c ska ersättas med följande:

”c) De konkreta organisatoriska krav som avses i punkterna 3 och 5.”

2.Artikel 27h ska ändras på följande sätt:

a)Punkt 5 ska ersättas med följande:

”5. CTP ska uppfylla de krav avseende säkerhet i nätverks- och informationssystem som fastställs i förordning (EU) 2022/2554.”

b)Punkt 8 e ska ersättas med följande:

”e) De konkreta organisatoriska krav som avses i punkt 4.”

3.Artikel 27i ska ändras på följande sätt:

a)Punkt 3 ska ersättas med följande:

”3. ARM ska uppfylla de krav avseende säkerhet i nätverks- och informationssystem som fastställs i förordning (EU) 2022/2554.”

b)Punkt 5 b ska ersättas med följande:

”b) De konkreta organisatoriska krav som avses i punkterna 2 och 4.”

Artikel 63

Ändringar av förordning (EU) 2016/1011

I artikel 6 i förordning (EU) 2016/1011 ska följande punkt läggas till:

”6. För kritiska referensvärden ska administratören tillämpa sunda förfaranden för förvaltning och redovisning samt ha mekanismer för internkontroll och effektiva riskbedömningsmetoder samt effektiva kontroll- och skyddssystem för förvaltningen av IKT-system i enlighet med Europaparlamentets och rådets förordning (EU) 2022/2554 (*).

_____________

310

Prop. 2024/25:44

Bilaga 2

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/153

EUROPAPARLAMENTETS OCH RÅDETS DIREKTIV (EU) 2022/2556

av den 14 december 2022

om ändring av direktiven 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 och (EU) 2016/2341 vad gäller digital operativ motståndskraft för finanssektorn

(Text av betydelse för EES)

EUROPAPARLAMENTET OCH EUROPEISKA UNIONENS RÅD HAR ANTAGIT DETTA DIREKTIV

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artiklarna 53.1 och 114,

med beaktande av Europeiska kommissionens förslag,

efter översändande av utkastet till lagstiftningsakt till de nationella parlamenten,

med beaktande av Europeiska centralbankens yttrande (1),

med beaktande av Europeiska ekonomiska och sociala kommitténs yttrande (2),

i enlighet med det ordinarie lagstiftningsförfarandet (3), och

av följande skäl:

(1)Unionen måste på ett lämpligt och heltäckande sätt ta itu med de digitala risker som uppstår för alla finansiella entiteter till följd av en ökad användning av informations- och kommunikationsteknik (IKT) vid tillhandahållande och konsumtion av finansiella tjänster, och därmed bidra till att förverkliga den digitala finanssektorns potential när det gäller att stimulera innovation och främja konkurrens i en säker digital miljö.

(2)Finansiella entiteter är mycket beroende av digital teknik i sin dagliga verksamhet. Det är därför ytterst viktigt att säkerställa att deras digitala transaktioner har en operativ motståndskraft mot IKT-risk. Detta behov har blivit allt större på grund av den ökade marknaden för banbrytande teknik, särskilt teknik som möjliggör att digitala representationer av värde eller rättigheter kan överföras och lagras elektroniskt, med hjälp av teknik för distribuerade liggare eller liknande teknik (kryptotillgångar) och för tjänster relaterade till sådana tillgångar.

(1) EUT C 343, 26.8.2021, s. 1.

(2) EUT C 155, 30.4.2021, s. 38.

(3) Europaparlamentets ståndpunkt av den 10 november 2022 (ännu inte offentliggjord i EUT) och rådets beslut av den 28 november 2022.

312

Prop. 2024/25:44

Bilaga 2

L 333/154	SV	Europeiska unionens officiella tidning	27.12.2022

(3)De krav som rör hantering av IKT-risk för finanssektorn på unionsnivå fastställs för närvarande i Europapar lamentets och rådets direktiv 2009/65/EG (4), 2009/138/EG (5), 2011/61/EU (6), 2013/36/EU (7), 2014/59/EU (8), 2014/65/EU (9), (EU) 2015/2366 (10) och (EU) 2016/2341 (11).

Dessa krav skiljer sig åt och är ibland ofullständiga. IKT-risk har i vissa fall endast behandlats indirekt som en del av den operativa risken, medan den i andra fall inte har behandlats över huvud taget. Dessa problem åtgärdas genom antagandet av Europaparlamentets och rådets förordning (EU) 2022/2554 (12). Dessa direktiv bör därför ändras för att säkerställa konsekvens med den förordningen. I detta direktiv antas en rad ändringar som är nödvändiga för att bringa rättslig klarhet och enhetlighet i fråga om hur de finansiella entiteter som auktoriseras och övervakas i enlighet med dessa direktiv ska tillämpa olika krav på digital operativ motståndskraft som är nödvändiga för att de ska kunna bedriva sin verksamhet och tillhandahålla tjänster och därigenom garantera en smidigt fungerande inre marknad. Det är nödvändigt att se till att dessa krav är förenliga med marknadsutvecklingen, samtidigt som proportionalitet uppmuntras, särskilt med avseende på de finansiella entiteternas storlek och de särskilda ordningar som är tillämpliga på dem, i syfte att minska efterlevnadskostnaderna.

(4)Inom området för banktjänster innehåller direktiv 2013/36/EU i dagsläget endast allmänna regler om intern styrning och operativ risk med krav på beredskaps- och kontinuitetsplaner vilka underförstått används som en grund för att hantera IKT-risk. För att uttryckligen och tydligt hantera IKT-risk bör dock kraven på beredskaps- och kontinuitetsplaner ändras så att de även innefattar kontinuitets- och åtgärds- och återställningsplaner även för IKT- risk, i enlighet med kraven i förordning (EU) 2022/2554. Dessutom ingår IKT-risk endast indirekt, som en del av den operativa risken, i den översyns- och utvärderingsprocess (ÖUP) som utförs av behöriga myndigheter, och kriterierna för deras bedömning fastställs för närvarande i riktlinjerna om IKT-riskbedömning inom ramen för översyns- och utvärderingsprocessen (ÖUP), utfärdade av den europeiska tillsynsmyndigheten (Europeiska bankmyndigheten, EBA), inrättad genom Europaparlamentets och rådets förordning (EU) nr 1093/2010 (13). För att skapa rättslig klarhet och säkerställa att banktillsynsmyndigheterna effektivt identifierar IKT-risk och övervakar finansiella entiteters hantering därav, i linje med den nya ramen för digital operativ motståndskraft, bör ÖUP:s

(4)	Europaparlamentets och rådets direktiv 2009/65/EG av den 13 juli 2009 om samordning av lagar och andra författningar som avser
	företag för kollektiva investeringar i överlåtbara värdepapper (fondföretag) (EUT L 302, 17.11.2009, s. 32).
(5)	Europaparlamentets och rådets direktiv 2009/138/EG av den 25 november 2009 om upptagande och utövande av försäkrings- och
	återförsäkringsverksamhet (Solvens II) (EUT L 335, 17.12.2009, s. 1).
(6)	Europaparlamentets och rådets direktiv 2011/61/EU av den 8 juni 2011 om förvaltare av alternativa investeringsfonder samt om
	ändring av direktiv 2003/41/EG och 2009/65/EG och förordningarna (EG) nr 1060/2009 och (EU) nr 1095/2010 (EUT L 174,
	1.7.2011, s. 1).
(7)	Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 om behörighet att utöva verksamhet i kreditinstitut och om
	tillsyn av kreditinstitut, om ändring av direktiv 2002/87/EG och om upphävande av direktiven 2006/48/EG och 2006/49/EG
(8)	(EUT L 176, 27.6.2013, s. 338).
(8)	Europaparlamentets och rådets direktiv 2014/59/EU av den 15 maj 2014 om inrättande av en ram för återhämtning och resolution av
	kreditinstitut och värdepappersföretag och om ändring av rådets direktiv 82/891/EEG och Europaparlamentets och rådets direktiv
	2001/24/EG, 2002/47/EG, 2004/25/EG, 2005/56/EG, 2007/36/EG, 2011/35/EU, 2012/30/EU och 2013/36/EU samt Europapar
(9)	lamentets och rådets förordningar (EU) nr 1093/2010 och (EU) nr 648/2012 (EUT L 173, 12.6.2014, s. 190).
(9)	Europaparlamentets och rådets direktiv 2014/65/EU av den 15 maj 2014 om marknader för finansiella instrument och om ändring av
	direktiv 2002/92/EG och av direktiv 2011/61/EU (EUT L 173, 12.6.2014, s. 349).
(10)	Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om
	ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av
	direktiv 2007/64/EG (EUT L 337, 23.12.2015, s. 35).
(11)	Europaparlamentets och rådets direktiv (EU) 2016/2341 av den 14 december 2016 om verksamhet i och tillsyn över tjänstepensions
(12)	institut (EUT L 354, 23.12.2016, s. 37).
(12)	Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för
	finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och
	(EU) 2016/1011 (se sidan 1 i detta nummer av EUT).

(13) Europaparlamentets och rådets förordning (EU) nr 1093/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska bankmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/78/EG (EUT L 331, 15.12.2010, s. 12).

313

Prop. 2024/25:44

Bilaga 2

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/155

tillämpningsområde även ändras så att det uttryckligen hänvisar till de krav som fastställs i förordning (EU) 2022/ 2554 och i synnerhet omfattar de risker som påvisats i rapporter om allvarliga IKT-relaterade incidenter och resultaten av den testning av digital operativ motståndskraft som finansiella entiteter utfört i enlighet med den förordningen.

(5)Digital operativ motståndskraft är nödvändigt för att upprätthålla en finansiell entitets kritiska funktioner och kärnaffärsområden i händelse av dess resolution och för att undvika störningar i realekonomin och det finansiella systemet. Allvarliga operativa incidenter kan hämma en finansiell entitets förmåga att fortsätta att driva sin verksamhet och kan äventyra resolutionsmålen. Vissa kontraktsmässiga arrangemang som rör användningen av IKT-tjänster är väsentliga för att säkerställa driftskontinuitet och tillhandahålla nödvändiga uppgifter i händelse av resolution. För att vara anpassat till målen för unionens ram för operativ motståndskraft bör direktiv 2014/59/EU ändras i enlighet med detta så att det säkerställs att information relaterad till operativ motståndskraft beaktas i samband med resolutionsplanering och bedömning av finansiella entiteters möjligheter till resolution.

(6)I direktiv 2014/65/EU fastställs hårdare IKT-riskregler för värdepappersföretag och handelsplatser när dessa bedriver algoritmisk handel. Mindre utförliga krav tillämpas på datarapporteringstjänster och transaktionsregister. Dessutom hänvisas det i direktiv 2014/65/EU endast i begränsad mån till kontroll- och skyddssystem för informationsbehand lingssystem och användning av lämpliga system, resurser och förfaranden för att sörja för kontinuitet och regelbundenhet i affärstjänster. Det direktivet bör dessutom harmoniseras med förordning (EU) 2022/2554 i fråga om kontinuitet och regelbundenhet i tillhandahållandet av investeringstjänster och utförandet av investerings verksamhet, operativ motståndskraft, handelssystemens kapacitet och effektiva arrangemang för kontinuitet och riskhantering.

(7)I direktiv (EU) 2015/2366 fastställs särskilda regler om IKT-relaterade säkerhetskontroll- och begränsningsaspekter för erhållande av en auktorisation att utföra betaltjänster. Dessa auktorisationsregler bör ändras för att anpassas till förordning (EU) 2022/2554. För att minska den administrativa bördan och undvika komplexitet och överlappande rapporteringskrav bör dessutom reglerna om incidentrapportering i det direktivet upphöra att tillämpas för betaltjänstleverantörer som regleras enligt det direktivet och som omfattas av förordning (EU) 2022/2554, vilket gör det möjligt för dessa betaltjänstleverantörer att dra nytta av en gemensam, fullständigt harmoniserad incidentrapporteringsmekanism med avseende på alla operativa incidenter eller säkerhetsincidenter, oavsett om sådana incidenter är IKT-relaterade.

(8)Direktiven 2009/138/EG och (EU) 2016/2341 fångar delvis upp IKT-risk i sina allmänna bestämmelser om styrning och riskhantering, vilket innebär att vissa krav ska specificeras genom delegerade akter med eller utan särskilda hänvisningar till IKT-risk. På samma sätt tillämpas endast mycket allmänna regler på förvaltare av alternativa investeringsfonder som omfattas av direktiv 2011/61/EU och förvaltningsbolag som omfattas av direktiv 2009/65/EG. Dessa direktiv bör därför anpassas till kraven i förordning (EU) 2022/2554 när det gäller förvaltningen av IKT-system och IKT-verktyg.

(9)Ytterligare IKT-krav har i många fall redan fastställts i delegerade akter och genomförandeakter, antagna utifrån förslag till tekniska tillsynsstandarder och tekniska standarder för genomförande vilka utarbetats av den behöriga europeiska tillsynsmyndigheten. Eftersom bestämmelserna i förordning (EU) 2022/2554 hädanefter utgör den rättsliga ramen för IKT-risk för finanssektorn bör vissa befogenheter att anta delegerade akter och genomförandeakter i direktiven 2009/65/EG, 2009/138/EG, 2011/61/EU och 2014/65/EU ändras för att stryka IKT-riskbestämmelserna från tillämpningsområdet för dessa befogenheter.

(10)För att säkerställa ett enhetligt genomförande av den nya ramen för digital operativ motståndskraft för finanssektorn bör medlemsstaterna tillämpa de bestämmelser i nationell rätt som införlivar detta direktiv från och med tillämpningsdagen för förordning (EU) 2022/2554.

314

Prop. 2024/25:44

Bilaga 2

L 333/156	SV	Europeiska unionens officiella tidning	27.12.2022

(11)Direktiven 2009/65/EG, 2009/138/EG, 2011/61/EU, 2013/36/EU, 2014/59/EU, 2014/65/EU, (EU) 2015/2366 och (EU) 2016/2341 har antagits på grundval av artikel 53.1 eller artikel 114 i fördraget om Europeiska unionens funktionssätt (EUF-fördraget) eller båda. Ändringarna genom detta direktiv har tagits med i en och samma lagstiftningsakt på grund av det inbördes förhållandet mellan sakfrågan och ändringarnas syften. Följaktligen bör detta direktiv antas på grundval av såväl artikel 53.1 som artikel 114 i EUF-fördraget.

(12)Eftersom målen för detta direktiv inte i tillräcklig utsträckning kan uppnås av medlemsstaterna, eftersom de innebär en harmonisering av redan befintliga krav i direktiven, utan snarare, på grund av åtgärdens omfattning och verkningar, kan uppnås bättre på unionsnivå, kan unionen vidta åtgärder i enlighet med subsidiaritetsprincipen i artikel 5 i fördraget om Europeiska unionen. I enlighet med proportionalitetsprincipen i samma artikel går detta direktiv inte utöver vad som är nödvändigt för att uppnå dessa mål.

(13)I enlighet med den gemensamma politiska förklaringen av den 28 september 2011 från medlemsstaterna och kommissionen om förklarande dokument (14), har medlemsstaterna åtagit sig att, när det är motiverat, låta anmälan av införlivandeåtgärder åtföljas av ett eller flera dokument som förklarar förhållandet mellan de olika delarna i direktivet och motsvarande delar i de nationella instrumenten för införlivande. Lagstiftaren anser att det är motiverat att sådana dokument översänds avseende detta direktiv.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

Artikel 1

Ändringar av direktiv 2009/65/EG

Artikel 12 i direktiv 2009/65/EG ska ändras på följande sätt:

1.I punkt 1 andra stycket ska led a ersättas med följande:

”a) har sunda administrativa förfaranden och redovisningsrutiner, kontroll- och säkerhetsarrangemang för elektronisk databehandling, inbegripet när det gäller nätverks- och informationssystem som inrättas och förvaltas i enlighet med Europaparlamentets och rådets förordning (EU) 2022/2554 (*), samt lämpliga interna kontrollmekanismer, särskilt regler för de anställdas personliga transaktioner eller för innehav eller förvaltning av investeringar i finansiella instrument i syfte att placera på egna konton, och att det minst säkerställs att varje transaktion i vilken fondföretaget medverkar är möjlig att rekonstruera med avseende på dess ursprung, de deltagande parterna, dess art samt tiden och platsen då den ägde rum och att fondföretagets tillgångar som förvaltas av förvaltningsbolaget placeras i enlighet med fondbestämmelserna eller bolagsordningen samt gällande lagstiftning, och

_____________

2.Punkt 3 ska ersättas med följande:

”3. Utan att det påverkar tillämpningen av artikel 116 ska kommissionen, genom delegerade akter i enlighet med artikel 112a, anta åtgärder som specificerar

a) de förfaranden och arrangemang som avses i punkt 1 andra stycket a, andra än de förfaranden och arrangemang som gäller nätverks- och informationssystem,

b) de strukturer och organisatoriska krav för att minimera intressekonflikter som avses i punkt 1 andra stycket b.”

(14) EUT C 369, 17.12.2011, s. 14.

315

Prop. 2024/25:44

Bilaga 2

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/157

Artikel 2

Ändringar av direktiv 2009/138/EG

Direktiv 2009/138/EG ska ändras på följande sätt:

1.Artikel 41.4 ska ersättas med följande:

”4. Försäkrings- och återförsäkringsföretag ska vidta rimliga åtgärder för att säkerställa att deras verksamhet bedrivs med kontinuitet och på ett korrekt sätt, inklusive utvecklingen av beredskapsplaner. Företaget ska i detta syfte använda lämpliga och proportionella system, resurser och förfaranden och ska i synnerhet inrätta och förvalta nätverks- och informationssystem i enlighet med Europaparlamentets och rådets förordning (EU) 2022/2554 (*).

_____________

2.I artikel 50.1 ska leden a och b ersättas med följande:

”a) Delarna i de system som avses i artiklarna 41, 44, särskilt de områden som förtecknas i artikel 44.2, och artiklarna 46 och 47, andra än de delar som avser hantering av informations- och kommunikationsteknisk risk.

b)De funktioner som avses i artiklarna 44, 46, 47 och 48, andra än de funktioner som avser hantering av informations- och kommunikationsteknisk risk.”

Artikel 3

Ändring av direktiv 2011/61/EU

Artikel 18 i direktiv 2011/61/EU ska ersättas med följande:

”Artikel 18

Allmänna principer

1.Medlemsstaterna ska kräva att AIF-förvaltare alltid ska använda tillfredsställande och lämpliga personella och tekniska resurser som krävs för att de ska kunna förvalta AIF-fonderna på ett korrekt sätt.

De behöriga myndigheterna i AIF-förvaltarens hemmedlemsstat ska, även med beaktande av arten av de AIF-fonder som AIF-förvaltaren förvaltar, särskilt kräva att AIF-förvaltaren har sunda administrativa förfaranden och redovisningsrutiner, kontroll- och säkerhetsarrangemang för elektronisk databehandling, inbegripet när det gäller nätverks- och informationssystem som upprättas och förvaltas i enlighet med Europaparlamentets och rådets förordning (EU) 2022/ 2554 (*) och tillfredsställande interna kontrollmekanismer, särskilt regler för de anställdas personliga transaktioner eller för innehav eller förvaltning av investeringar i syfte att investera för egen räkning, och att det åtminstone säkerställs att varje transaktion i vilken AIF-förvaltaren medverkar avseende AIF-fonderna är möjlig att rekonstruera med avseende på dess ursprung, de deltagande parterna, dess art samt tiden och platsen då den ägde rum, och att tillgångarna i de AIF-fonder som förvaltas av AIF-förvaltaren investeras i enlighet med fondbestämmelserna eller bolagsordningen samt gällande lagstiftning.

2.Kommissionen ska, genom delegerade akter i enlighet med artikel 56, och med förbehåll för villkoren i artiklarna 57 och 58, anta åtgärder för att närmare ange de förfaranden och arrangemang som avses i punkt 1 i den här artikeln, andra än de förfaranden och arrangemang som gäller nätverks- och informationssystem.

_____________

316

Prop. 2024/25:44

Bilaga 2

L 333/158	SV	Europeiska unionens officiella tidning	27.12.2022

Artikel 4

Ändringar av direktiv 2013/36/EU

Direktiv 2013/36/EU ska ändras på följande sätt:

1.I artikel 65.3 ska led a vi ersättas med följande:

”vi) Tredje parter till vilka enheterna i leden i–iv har gett i uppdrag att utföra uppgifter eller verksamhet, inbegripet de tredjepartsleverantörer av IKT-tjänster som avses i kapitel V i Europaparlamentets och rådets förordning (EU) 2022/2554 (*).

_____________

2.I artikel 74.1 ska första stycket ersättas med följande:

”Instituten ska ha en robust företagsstyrning, i vilket ingår en tydlig organisationsstruktur med väldefinierade, genomlysta och konsekventa ansvarskedjor, effektiva processer för att identifiera, hantera, övervaka och rapportera risker som instituten är eller kan bli exponerade för, tillfredsställande metoder för intern kontroll, inklusive sunda administrations- och redovisningsrutiner och nätverks- och informationssystem som inrättas och förvaltas i enlighet med förordning (EU) 2022/2554, samt ersättningspolicy och ersättningspraxis som är förenliga med och främjar sund och effektiv riskhantering.”

3.Artikel 85.2 ska ersättas med följande:

”2. De behöriga myndigheterna ska se till att instituten har lämpliga beredskaps- och kontinuitetspolicyer och -planer, inbegripet IKT-kontinuitetspolicyer och -planer samt IKT-relaterade åtgärds- och återställningsplaner för den teknik som de använder för meddelande av information, och att de planerna inrättas, förvaltas och testas i enlighet med artikel 11 i förordning (EU) 2022/2554, så att instituten kan fortsätta att bedriva sin verksamhet vid en allvarlig störning i verksamheten och begränsa de förluster som orsakas till följd av sådan störning.”

4.I artikel 97.1 ska följande led läggas till:

”d) risker som påvisats vid testning av digital operativ motståndskraft i enlighet med kapitel IV i förordning (EU) 2022/ 2554.”

Artikel 5

Ändringar av direktiv 2014/59/EU

Direktiv 2014/59/EU ska ändras på följande sätt:

1.Artikel 10 ska ändras på följande sätt:

a)I punkt 7 ska led c ersättas med följande:

”c) En beskrivning av hur kritiska funktioner och kärnaffärsområden, i den utsträckning som krävs, skulle kunna avskiljas juridiskt och ekonomiskt från övriga funktioner för att säkerställa fortsatt verksamhet och digital operativ motståndskraft efter institutets fallissemang.”

b)I punkt 7 ska led q ersättas med följande:

”q) En beskrivning av grundläggande operationer och system för kontinuerlig drift av institutets operativa processer, inbegripet nätverks- och informationssystem som avses i Europaparlamentets och rådets förordning (EU) 2022/ 2554 (*).

_____________

317

Prop. 2024/25:44

Bilaga 2

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/159

c)I punkt 9 ska följande stycke läggas till:

”I enlighet med artikel 10 i förordning (EU) nr 1093/2010 ska EBA se över och vid behov uppdatera de tekniska standarderna för tillsyn i syfte att bland annat ta hänsyn till bestämmelserna i kapitel II i förordning (EU) 2022/ 2554.”

2.Bilagan ska ändras på följande sätt:

a)I avsnitt A ska punkt 16 ersättas med följande:

”16. Arrangemang och åtgärder som är nödvändiga för att fortlöpande upprätthålla institutets operativa verksamhet, inbegripet nätverks- och informationssystem som inrättas och förvaltas i enlighet med förordning (EU) 2022/2554.”

b)Avsnitt B ska ändras på följande sätt:

i)Punkt 14 ska ersättas med följande:

”14. Uppgifter om ägarna till de system som avses i led 13, tillhörande servicenivåavtal och alla datorprogram, system eller verksamhetstillstånd, inklusive per juridiska enheter, kritisk verksamhet och centrala affärsområden samt uppgifter om kritiska tredjepartsleverantörer av IKT-tjänster enligt definitionen i artikel 3.23 i förordning (EU) 2022/2554.”

ii)Följande punkt ska införas:

”14a. Resultaten av institutionernas testning av digital operativ motståndskraft enligt förordning (EU) 2022/ 2554.”

c)Avsnitt C ska ändras på följande sätt:

i)Punkt 4 ska ersättas med följande:

”4. I vilken mån serviceavtal, inbegripet kontraktsmässiga arrangemang som rör användningen av IKT-tjänster, som institutet ingått är solida och kan hävdas om institutet avvecklas.”

ii)Följande punkt ska införas:

”4a. Den digitala operativa motståndskraften hos de nätverks- och informationssystem som stöder institutets kritiska funktioner och kärnaffärsområden, med beaktande av rapporter om allvarliga IKT-relaterade incidenter och resultaten av testning av digital operativ motståndskraft enligt förordning (EU) 2022/2554.”

Artikel 6

Ändringar av direktiv 2014/65/EU

Direktiv 2014/65/EU ska ändras på följande sätt:

1.Artikel 16 ska ändras på följande sätt:

a)Punkt 4 ska ersättas med följande:

”4. Varje värdepappersföretag ska vidta rimliga åtgärder för att sörja för kontinuitet och regelbundenhet i tillhandahållandet av investeringstjänster och utförandet av investeringsverksamhet. Värdepappersföretaget ska i det syftet använda lämpliga och proportionella system, inbegripet informations- och kommunikationstekniska system (IKT-system) som inrättas och förvaltas i enlighet med artikel 7 i Europaparlamentets och rådets förordning (EU) 2022/2554 (*) samt lämpliga och proportionella resurser och förfaranden.

_____________

318

Prop. 2024/25:44

Bilaga 2

L 333/160	SV	Europeiska unionens officiella tidning	27.12.2022

b)I punkt 5 ska andra och tredje styckena ersättas med följande:

”Varje värdepappersföretag ska tillämpa sunda förfaranden för förvaltning och redovisning samt ha mekanismer för internkontroll och effektiva riskbedömningsmetoder.

Utan att det påverkar behöriga myndigheters möjlighet att kräva tillgång till kommunikation i enlighet med detta direktiv och förordning (EU) nr 600/2014, ska ett värdepappersföretag ha inrättat sunda skyddsmekanismer för att, i enlighet med kraven i förordning (EU) 2022/2554, säkerställa skyddet och autentiseringen vid informations överföring, för att minimera risken för dataförvanskning och för obehörig åtkomst och för att förhindra informationsläckor så att uppgifterna därmed alltid behandlas konfidentiellt.”

2.Artikel 17 ska ändras på följande sätt:

a)Punkt 1 ska ersättas med följande:

”1. Ett värdepappersföretag som bedriver algoritmisk handel ska ha inrättat effektiva system och riskkontroller som är anpassade för den verksamhet som bedrivs, så att det säkerställs att dess handelssystem är motståndskraftiga och har tillräcklig kapacitet i enlighet med kraven i kapitel II i förordning (EU) 2022/2554, att de omfattas av lämpliga handelströsklar och handelslimiter och att de förhindrar att felaktiga order skickas eller att systemet på annat sätt fungerar så att det kan skapa eller bidra till en oordnad marknad.

Ett sådant företag ska också ha inrättat effektiva system och riskkontrollåtgärder för att säkerställa att handelssystemen inte kan användas för något ändamål som strider mot förordning (EU) nr 596/2014 eller mot reglerna för en handelsplats till vilken det är anslutet.

Värdepappersföretaget ska ha inrättat effektiva arrangemang för kontinuitet för att hantera alla avbrott i driften i sina handelssystem, inbegripet en IKT-kontinuitetspolicy och -planer samt IKT-relaterade åtgärds- och återställ ningsplaner för informations- och kommunikationsteknik som inrättas i enlighet med artikel 11 i förordning (EU) 2022/2554, och ska säkerställa att systemen är fullständigt testade och vederbörligen övervakade för att säkerställa att de uppfyller de allmänna krav som föreskrivs i denna punkt och eventuella särskilda krav i kapitlen II och IV i förordning (EU) 2022/2554.”

b)I punkt 7 ska led a ersättas med följande:

”a) Detaljerna i de organisatoriska krav som fastställs i punkterna 1–6, andra än de krav som rör IKT-riskhantering, och som ska föreskrivas för värdepappersföretag som tillhandahåller olika slags investeringstjänster, investeringsverksamheter, sidotjänster eller kombinationer därav, varigenom specifikationerna av de organisatoriska krav som fastställs i punkt 5 ska innehålla specifika krav för direkt marknadstillträde och för sponsrat tillträde så att det säkerställs att de kontroller som tillämpas på sponsrat tillträde åtminstone motsvarar dem som tillämpas på direkt marknadstillträde.”

3.Artikel 47.1 ska ändras på följande sätt:

a)Led b ska ersättas med följande:

”b) har tillräckliga förutsättningar för att kunna hantera de risker den är exponerad för, inbegripet att hantera IKT- risk i enlighet med kapitel II i förordning (EU) 2022/2554, vidtar lämpliga åtgärder och inför system för att identifiera betydande risker för dess verksamhet och vidtar effektiva åtgärder för att reducera sådana risker,”

b)Led c ska utgå.

4.Artikel 48 ska ändras på följande sätt:

a)Punkt 1 ska ersättas med följande:

”1. Medlemsstaterna ska kräva att en reglerad marknad inrättar och upprätthåller en operativ motståndskraft i enlighet med kraven i kapitel II i förordning (EU) 2022/2554 för att säkerställa att dess handelssystem är motståndskraftiga, har tillräcklig kapacitet för att kunna hantera toppbelastning i fråga om order- och meddelandevolymer, kan säkerställa ordnad handel under svåra förhållanden på marknaden, är till fullo testade för att säkerställa att sådana villkor är uppfyllda och omfattas av effektiva arrangemang för kontinuitet, inbegripet en IKT-kontinuitetspolicy och -planer samt IKT-relaterade åtgärds- och återställningsplaner som inrättas i enlighet med artikel 11 i förordning (EU) 2022/2554, för att säkerställa kontinuitet i sin verksamhet vid eventuella driftsavbrott i sina handelssystem.”

319

Prop. 2024/25:44

Bilaga 2

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/161

b)Punkt 6 ska ersättas med följande:

”6. Medlemsstaterna ska kräva att en reglerad marknad har inrättat effektiva system, förfaranden och arrangemang, bland annat krav på medlemmar eller deltagare att utföra lämpliga tester av algoritmer och att tillhandahålla miljöer för att underlätta sådana tester, i enlighet med kraven i kapitlen II och IV i förordning (EU) 2022/2554, för att säkerställa att algoritmiska handelssystem inte kan skapa eller bidra till otillbörliga marknadsförhållanden på marknaden och att hantera eventuella otillbörliga marknadsförhållanden som kan uppstå till följd av sådana algoritmiska handelssystem, inbegripet system för att begränsa andelen ej utförda order i förhållande till transaktionerna som kan läggas in i systemet av en medlem eller en deltagare, för att det ska vara möjligt att bromsa orderflödet om det finns en risk för att systemkapaciteten ska uppnås och för att begränsa och genomdriva den minsta tick-size som får tillämpas på marknaden.”

c)Punkt 12 ska ändras på följande sätt:

i)Led a ska ersättas med följande:

”a) kraven för att säkerställa att handelssystem på reglerade marknader är motståndskraftiga och har tillräcklig kapacitet, förutom kraven rörande digital operativ motståndskraft,”.

ii)Led g ska ersättas med följande:

”g) kraven för att säkerställa lämplig testning av algoritmer, annat än testning av digital operativ motståndskraft, så att det kan säkerställas att algoritmiska handelssystem inbegripet system för algoritmisk högfrekvenshandel inte kan skapa eller bidra till otillbörliga marknadsförhållanden på marknaden.”

Artikel 7

Ändring av direktiv (EU) 2015/2366

Direktiv (EU) 2015/2366 ska ändras på följande sätt:

1.I artikel 3 ska led j ersättas med följande:

”j) Tjänster som tillhandahålls av leverantörer av tekniska tjänster som stöder tillhandahållandet av betaltjänster, utan att de vid någon tidpunkt kommer i besittning av de medel som ska överföras, inklusive behandling och lagring av uppgifter, förtroendeskapande tjänster och integritetsskydd, autentisering av uppgifter och enheter, tillhanda hållande av nät för informations- och kommunikationsteknik (IKT) och kommunikationsnät samt tillhandahållande och underhåll av terminaler och utrustning för betaltjänster, med undantag för tjänster för betalningsinitiering och kontoinformationstjänster.”

2.Artikel 5.1 ska ändras på följande sätt:

a)Första stycket ska ändras på följande sätt:

i)Led e ska ersättas med följande:

”e) En beskrivning av den sökandes styrsystem och interna kontrollmekanismer, inklusive förvaltnings-, riskhanterings- och redovisningsförfaranden samt arrangemang för användning av IKT-tjänster i enlighet med Europaparlamentets och rådets förordning (EU) 2022/2554 (*), vilken ska visa att dessa styrsystem och interna kontrollmekanismer är proportionella, lämpliga, sunda och tillräckliga.

_____________

(*) Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 ((EUT L333, 27.12.2022, s. 1).”

ii)Led f ska ersättas med följande:

”f) En beskrivning av de förfaranden som finns för att övervaka, hantera och följa upp säkerhetsincidenter och säkerhetsrelaterade kundklagomål, inklusive en rapporteringsmekanism för incidenter som beaktar betalningsinstitutets informationsskyldigheter enligt kapitel III i förordning (EU) 2022/2554.”

320

Prop. 2024/25:44

Bilaga 2

L 333/162	SV	Europeiska unionens officiella tidning	27.12.2022

iii)Led h ska ersättas med följande:

”h) En beskrivning av arrangemang för verksamhetens kontinuitet, inklusive en tydlig angivelse av kritiska verksamheter, en effektiv IKT-kontinuitetspolicy och -planer samt effektiva IKT-relaterade åtgärds- och återställningsplaner och ett förfarande för att regelbundet kontrollera och se över dessa planers lämplighet och effektivitet i enlighet med förordning (EU) 2022/2554.”

b)Tredje stycket ska ersättas med följande:

”I samband med de säkerhetskontroll- och begränsningsåtgärder som avses i första stycket j ska det anges på vilket sätt de säkrar en hög nivå av digital operativ motståndskraft i enlighet med kapitel II i förordning (EU) 2022/2554, särskilt när det gäller teknisk säkerhet och dataskydd, däribland för de programvaru- och IKT-system som används av sökanden eller de företag till vilka denne utkontrakterar hela eller delar av sin verksamhet. Dessa åtgärder ska också omfatta de säkerhetsåtgärder som fastställs i artikel 95.1 i detta direktiv. I samband med dessa åtgärder ska hänsyn tas till EBA:s riktlinjer för säkerhetsåtgärder som avses i artikel 95.3 i detta direktiv när dessa har införts.”

3.I artikel 19.6 ska andra stycket ersättas med följande:

”Utkontraktering av viktiga operativa funktioner, inbegripet IKT-system, får inte ske på så sätt att det väsentligt försämrar kvaliteten på betalningsinstitutets interna kontroll och de behöriga myndigheternas möjligheter att övervaka och följa upp att betalningsinstitutet fullgör alla skyldigheter enligt detta direktiv.”

4.I artikel 95.1 ska följande stycke läggas till:

”Första stycket påverkar inte tillämpningen av kapitel II i förordning (EU) 2022/2554 på

a)betaltjänstleverantörer som avses i artikel 1.1 a, b och d i detta direktiv,

b)leverantörer av kontoinformationstjänster som avses i artikel 33.1 i detta direktiv,

c)betalningsinstitut som är undantagna enligt artikel 32.1 i detta direktiv, och

d)institut för elektroniska pengar som omfattas av ett undantag enligt artikel 9.1 i direktiv 2009/110/EG.”

5.I artikel 96 ska följande punkt läggas till:

”7. Medlemsstaterna ska säkerställa att punkterna 1–5 i denna artikel inte tillämpas på

a)betaltjänstleverantörer som avses i artikel 1.1 a, b och d i detta direktiv,

b)leverantörer av kontoinformationstjänster som avses i artikel 33.1 i detta direktiv,

c)betalningsinstitut som är undantagna enligt artikel 32.1 i detta direktiv, och

d)institut för elektroniska pengar som omfattas av ett undantag enligt artikel 9.1 i direktiv 2009/110/EG.”

6.Artikel 98.5 ska ersättas med följande:

”5. I enlighet med artikel 10 i förordning (EU) nr 1093/2010 ska EBA se över och vid behov regelbundet uppdatera de tekniska standarderna för tillsyn i syfte att bland annat ta hänsyn till innovation och teknisk utveckling, samt till bestämmelserna i kapitel II i förordning (EU) 2022/2554.”

Artikel 8

Ändring av direktiv (EU) 2016/2341

Artikel 21.5 i direktiv (EU) 2016/2341 ska ersättas med följande:

”5. Medlemsstaterna ska säkerställa att tjänstepensionsinstituten vidtar rimliga åtgärder för att säkerställa att deras verksamhet bedrivs med kontinuitet och på ett korrekt sätt, inklusive utarbetandet av beredskapsplaner. Tjänstepen

321

Prop. 2024/25:44

Bilaga 2

27.12.2022	SV	Europeiska unionens officiella tidning	L 333/163

sionsinstitutet ska i detta syfte använda lämpliga och proportionella system, resurser och förfaranden, och ska i synnerhet inrätta och förvalta nätverks- och informationssystem i enlighet med Europaparlamentets och rådets förordning (EU) 2022/2554 (*), i tillämpliga fall.

_____________

Artikel 9

Införlivande

1.Medlemsstaterna ska senast den 17 januari 2025 anta och offentliggöra de bestämmelser som är nödvändiga för att följa detta direktiv. De ska genast underrätta kommissionen om detta.

De ska tillämpa dessa bestämmelser från och med den 17 januari 2025.

När en medlemsstat antar dessa bestämmelser ska de innehålla en hänvisning till detta direktiv eller åtföljas av en sådan hänvisning när de offentliggörs. Närmare föreskrifter om hur hänvisningen ska göras ska varje medlemsstat själv utfärda.

2.Medlemsstaterna ska underrätta kommissionen om texten till de centrala bestämmelser i nationell rätt som de antar inom det område som omfattas av detta direktiv.

Artikel 10

Ikraftträdande

Detta direktiv träder i kraft den tjugonde dagen efter det att det har offentliggjorts i Europeiska unionens officiella tidning.

	Artikel 11
	Adressater
Detta direktiv riktar sig till medlemsstaterna.
Utfärdat i Strasbourg den 14 december 2022.
På Europaparlamentets vägnar		På rådets vägnar
R. METSOLA		M. BEK
Ordförande		Ordförande

322

Prop. 2024/25:44 Verkställighet av beslut om viten

Bilaga 44 § Beslut om viten enligt EU-förordningen får verkställas enligt utsök- ningsbalken på samma sätt som en svensk dom som har fått laga kraft.

4 kap. Ingripanden

Ingripanden mot finansiella entiteter

1 § Finansinspektionen ska ingripa mot följande finansiella entiteter om de åsidosätter sina skyldigheter enligt EU-förordningen eller denna lag:

1.Svenska skeppshypotekskassan,

2.en leverantör av kryptotillgångstjänster,

3.en emittent av tillgångsanknutna token,

4.en pensionsstiftelse,

5.ett kreditvärderingsinstitut,

6.en administratör av kritiska referensvärden,

7.en leverantör av gräsrotsfinansieringstjänster,

8.ett värdepapperiseringsregister, och

9.ett transaktionsregister.

2 § Bestämmelser om ingripanden mot andra finansiella entiteter än de som anges i 1 § och som åsidosätter sina skyldigheter enligt EU-förord- ningen eller denna lag finns i de lagar som reglerar den berörda verksam- heten.

3 § Ett ingripande mot Svenska skeppshypotekskassan ska ske genom ett beslut om föreläggande att inom en viss tid vidta en åtgärd eller upphöra med ett visst agerande.

4 § Ett ingripande mot en emittent av tillgångsanknutna token, en pensionsstiftelse, ett kreditvärderingsinstitut, ett värdepapperiserings- register eller ett transaktionsregister ska ske genom ett beslut om

1.föreläggande att inom en viss tid vidta en viss åtgärd eller upphöra med ett visst agerande, eller

2.anmärkning.

5 § Ett ingripande mot en leverantör av kryptotillgångstjänster, en administratör av kritiska referensvärden eller en leverantör av gräsrots- finansieringstjänster ska ske genom ett beslut om

1.föreläggande att inom en viss tid vidta en viss åtgärd eller upphöra med ett visst agerande, eller

2.anmärkning.

Om överträdelsen är allvarlig får den finansiella entitetens auktorisation återkallas eller, om det är tillräckligt, en varning meddelas.

6 § Ett ingripande enligt 3–5 §§ får inte ske om en överträdelse omfattas av ett föreläggande som har förenats med vite och en ansökan om utdö- mande av vitet har gjorts.

326

7 § Om ett beslut om anmärkning eller varning enligt 4 eller 5 § har med- delats, får Finansinspektionen besluta att den som har gjort sig skyldig till överträdelsen ska betala en sanktionsavgift.

8 § Om en auktorisation återkallas enligt 5 § får Finansinspektionen be- stämma hur verksamheten ska avvecklas.

Ett beslut om återkallelse får förenas med förbud att fortsätta med hela eller delar av verksamheten.

Ingripanden mot vissa företrädare för finansiella entiteter

9 § Finansinspektionen ska ingripa mot någon som ingår i styrelsen för en finansiell entitet som anges i 1 § eller är dess verkställande direktör, eller ersättare för någon av dem, om den finansiella entiteten har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1– 28.8, 29, 30.1–30.4, 31.12 och 45 i EU-förordningen.

Ett ingripande enligt första stycket får ske bara om den finansiella enti- tetens överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande ska ske genom en eller båda av följande sanktioner:

1.beslut att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i en sådan finansiell entitet, eller ersättare för någon av dem, eller

2.beslut om sanktionsavgift.

Sanktionsföreläggande

10 § Frågor om ingripande mot fysiska personer enligt 9 § tas upp av Finansinspektionen genom ett sanktionsföreläggande.

Ett sanktionsföreläggande innebär att den fysiska personen föreläggs att inom en viss tid godkänna en sanktion som är bestämd till tid eller belopp.

När ett sanktionsföreläggande har godkänts, gäller det som ett domstols- avgörande som fått laga kraft. Ett godkännande som görs efter den tid som angetts i föreläggandet är utan verkan.

11 § Ett sanktionsföreläggande ska innehålla uppgift om

1.den fysiska person som föreläggandet avser,

2.överträdelsen och de omständigheter som behövs för att känneteckna

den,

3.de bestämmelser som är tillämpliga på överträdelsen, och

4.den sanktion som föreläggs personen.

Sanktionsföreläggandet ska också innehålla en upplysning om att an- sökan om sanktion kan komma att ges in till domstol, om sanktionsföre- läggandet inte godkänns inom den tid som Finansinspektionen anger.

Prop. 2024/25:44 Bilaga 4

327

Prop. 2024/25:44 Bilaga 4

Prövningstillstånd krävs vid överklagande till kammarrätten.

13 § Ett sanktionsföreläggande enligt 10 § är utan verkan, om föreläg- gandet inte har delgetts den som det riktas mot inom två år från den tid- punkt då överträdelsen ägde rum. I ett sådant fall får inte heller någon sanktion enligt 12 § första stycket beslutas.

Sanktionsavgifter

14 § Sanktionsavgiften för en finansiell entitet som anges i 2 § och som är en juridisk person ska som högst fastställas till det högsta av

1.ett belopp som per den 16 januari 2023 i svenska kronor motsvarade en miljon euro,

2.tio procent av den finansiella entitetens omsättning närmast före- gående räkenskapsår eller, i förekommande fall, motsvarande omsättning på koncernnivå, eller

3.tre gånger den vinst som den finansiella entiteten har gjort till följd av regelöverträdelsen, om beloppet går att fastställa.

Sanktionsavgiften får inte bestämmas till ett lägre belopp än

5 000 kronor.

15 § Sanktionsavgiften för en leverantör av gräsrotsfinansieringstjänster får inte vara så stor att leverantören därefter inte uppfyller kraven enligt artikel 11 i Europaparlamentets och rådets förordning (EU) 2020/1503 av den 7 oktober 2020 om europeiska leverantörer av gräsrotsfinansierings- tjänster för företag och om ändring av förordning (EU) 2017/1129 och direktiv (EU) 2019/1937 eller andra bestämmelser om soliditet och lik- viditet som gäller för leverantören.

16 § Sanktionsavgiften för en fysisk person ska som högst fastställas till det högsta av

1.ett belopp som per den 16 januari 2023 i svenska kronor motsvarade

500 000 euro, eller

2.tre gånger den vinst som den fysiska personen har gjort till följd av regelöverträdelsen, om beloppet går att fastställa.

17 § Sanktionsavgifter tillfaller staten.

Val av ingripande

18 § Vid valet av ingripande ska Finansinspektionen ta hänsyn till hur allvarlig överträdelsen är och hur länge den har pågått. Särskild hänsyn ska tas till överträdelsens art, överträdelsens konkreta och potentiella effekter på det finansiella systemet, skador som uppstått samt graden av ansvar hos den fysiska eller juridiska person som har gjort sig skyldig till över- trädelsen.

328

19 § Utöver det som anges i 18 § ska det i försvårande riktning beaktas	Prop. 2024/25:44
om den som har begått överträdelsen tidigare har begått en överträdelse.	Bilaga 4
Vid denna bedömning ska särskild vikt fästas vid om överträdelserna är
likartade och den tid som har gått mellan de olika överträdelserna.
I förmildrande riktning ska det beaktas om den som har begått över-
trädelsen

1.i väsentlig utsträckning genom ett aktivt samarbete har underlättat Finansinspektionens utredning, och

2.snabbt upphört med överträdelsen eller snabbt verkat för att över- trädelsen ska upphöra, sedan den anmälts till eller påtalats av Finans- inspektionen.

20 § När sanktionsavgiftens storlek ska fastställas ska särskild hänsyn tas till sådana omständigheter som anges i 18 och 19 §§ samt till den berörda fysiska eller juridiska personens finansiella ställning och, om det går att bestämma, den vinst som personen gjort till följd av överträdelsen.

21 § Finansinspektionen får avstå från ingripande, om

1.överträdelsen är ringa eller ursäktlig,

2.den fysiska eller juridiska personen i fråga gör rättelse,

3.den fysiska personen har verkat för att den juridiska personen gör rättelse, eller

4.någon annan myndighet eller något annat organ har vidtagit åtgärder mot den fysiska eller juridiska personen och dessa åtgärder bedöms till- räckliga.

Verkställighet av beslut om sanktionsavgift

22 § En sanktionsavgift ska betalas till Finansinspektionen inom 30 dagar efter det att ett beslut eller en dom om att ta ut avgiften har fått laga kraft eller ett sanktionsföreläggande har godkänts, eller efter den längre tid som anges i beslutet eller föreläggandet.

23 § Om sanktionsavgiften inte har betalats inom den tid som anges i 22 §, ska Finansinspektionen lämna avgiften för indrivning.

Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m.

Vite

25 § Ett beslut om föreläggande eller förbud får förenas med vite.

5 kap. Överklagande och beslut som ska gälla omedelbart

Överklagande av Finansinspektionens beslut
1 § Finansinspektionens beslut om sanktionsföreläggande enligt denna
lag får inte överklagas.	329

Förslag till lag om ändring i lagen (1967:531) om tryggande av pensionsutfästelse m.m.

Härigenom föreskrivs1 att 16 g § lagen (1967:531) om tryggande av pensionsutfästelse m.m. ska ha följande lydelse.

Prop. 2024/25:44 Bilaga 4

Nuvarande lydelse

Föreslagen lydelse

16 g §2

En pensionsstiftelse som avses i 9 a § andra eller tredje stycket ska upprätta och följa riktlinjer för

1.riskhantering,

2.internrevision, och

3.verksamhet som omfattas av uppdragsavtal.

Pensionsstiftelsen ska upprätta	Pensionsstiftelsen	ska	upprätta
och vid behov följa en beredskaps-	och vid behov följa en beredskaps-
plan som säkerställer att verksam-	plan som säkerställer att verksam-
heten kan bedrivas kontinuerligt.	heten kan bedrivas	kontinuerligt.
	Stiftelsen ska ha sådana nätverks-
	och informationssystem som avses i
	Europaparlamentets	och	rådets
	förordning (EU) 2022/2554 av den
	14 december 2022	om	digital
	operativ motståndskraft för finans-

sektorn och om ändring av förord- ningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Denna lag träder i kraft den 17 januari 2025.

2 Senaste lydelse 2020:394.

331

Prop. 2024/25:44 Bilaga 4

332

Förslag till lag om ändring i trafikskadelagen (1975:1410)

Härigenom föreskrivs att 5 § trafikskadelagen (1975:1410)1 ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

5§2

Trafikförsäkring får meddelas av

1.en försäkringsgivare som har fått tillstånd till det enligt 2 kap. 4 § försäkringsrörelselagen (2010:2043),

2.en försäkringsgivare som har fått tillstånd till det enligt 4 kap. 1 § lagen (1998:293) om utländska försäkringsgivares och tjänstepensions- instituts verksamhet i Sverige, och

3.en EES-försäkringsgivare som är verksam i Sverige enligt 2 kap. 1 § lagen om utländska försäkringsgivares och tjänstepensionsinstituts verksamhet i Sverige.

försäkringsgivare

som

får

försäkringsgivare

som

får

meddela trafikförsäkring är skyldig

att på begäran meddela trafikför-

säkring. I ett tillstånd enligt 2 kap.

4 § försäkringsrörelselagen eller

4 § försäkringsrörelselagen

eller

4 kap.

1 §

lagen

utländska

4 kap.

1 §

lagen

utländska

försäkringsgivares

och

tjänste-

försäkringsgivares

och

tjänste-

pensionsinstituts

verksamhet

pensionsinstituts

verksamhet

Sverige kan dock skyldigheten be-

Sverige får dock skyldigheten be-

gränsas till att gälla försäkring åt

personer som tillhör en viss yrkes-

grupp eller intressegrupp eller som

är bosatta inom ett visst område.

Finansinspektionen kan efter an-

Finansinspektionen får efter an-

sökan besluta om motsvarande be-

gränsning

för försäkringsgivare

gränsning

för försäkringsgivare

som driver verksamhet här enligt

2 kap.

1 §

lagen

utländska

2 kap.

1 §

lagen

utländska

försäkringsgivares och tjänstepen-

sionsinstituts verksamhet i Sverige.

Finansinspektionens beslut

får

Finansinspektionens beslut

får

överklagas hos regeringen.

överklagas till allmän förvaltnings-

domstol. Prövningstillstånd

krävs

vid överklagande till kammar-

rätten.

1Lagen omtryckt 1994:43.

2Senaste lydelse 2023:666.

Förslag till lag om ändring i lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument

Härigenom föreskrivs att 9 kap. 12 § lagen (1998:1479) om värdepappers- centraler och kontoföring av finansiella instrument1 ska ha följande lydelse.

Prop. 2024/25:44 Bilaga 4

Nuvarande lydelse

Föreslagen lydelse

9kap. 12 §2

Finansinspektionen ska ingripa mot någon som ingår i en svensk värdepapperscentrals styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om värdepapperscentralen

1.tillhandahåller tjänster enligt avsnitten A, B och C i bilagan till förordningen om värdepapperscentraler, i den ursprungliga lydelsen, i strid med artiklarna 16, 25 eller 54 i förordningen,

2.har fått auktorisationer som krävs enligt artikel 16 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen, genom osanna uppgifter eller andra olagliga metoder enligt artikel 20.1 b i förordningen,

3.låtit bli att uppfylla kapitalkravet i strid med artikel 47.1 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

4.låtit bli att uppfylla de organisatoriska kraven i strid med artiklarna 26–30 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

5.låtit bli att följa uppförandereglerna i strid med artiklarna 32–35 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

6.låtit bli att uppfylla kraven för värdepapperscentraltjänster i strid med artiklarna 37–41 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

7.låtit bli att uppfylla stabilitetskraven i strid med artiklarna 43–47 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

8. låtit bli att uppfylla kraven på			8. låtit bli att uppfylla kraven på
länkar	mellan	värdepappers-	länkar	mellan	värdepappers-
centraler i strid med artikel 48 i			centraler i strid med artikel 48 i
förordningen om		värdepappers-	förordningen om		värdepappers-
centraler, i den ursprungliga lydel-			centraler, i den ursprungliga lydel-
sen, eller			sen,
9. utan	giltig grund vägrat att		9. utan	giltig grund vägrat att
bevilja olika typer av tillträde i strid			bevilja olika typer av tillträde i strid
med artiklarna 49–53 i förord-			med artiklarna 49–53 i förord-
ningen om värdepapperscentraler, i			ningen om värdepapperscentraler, i
den ursprungliga lydelsen.			den ursprungliga lydelsen, eller

10.har åsidosatt sina skyldig- heter enligt någon av artiklarna 5– 10, 11.1–11.10, 12–14, 16.1, 16.2,

1Senaste lydelse av lagens rubrik 2016:51.

2 Senaste lydelse 2016:51.

335

Förslag till lag om ändring i lagen (2004:46) om värdepappersfonder

Härigenom föreskrivs1 att 2 kap. 17 § och 12 kap. 1 a § lagen (2004:46) om värdepappersfonder2 ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2kap. 17 §3

Ett fondbolag ska ha sunda rutiner för

1.förvaltning av verksamheten och redovisning,

2.intern kontroll, och

3.drift och förvaltning av sina informationssystem.

Prop. 2024/25:44 Bilaga 4

Fondbolaget ska särskilt

–upprätta och tillämpa regler för styrelseledamöters och anställdas egna affärer med finansiella instrument,

–ha en organisation som minskar risken för intressekonflikter som kan påverka fondandelsägares eller andra kunders intressen negativt.

Rutinerna enligt första stycket 3 ska uppfylla kraven i Europa- parlamentets och rådets förordning (EU) 2022/2554 av den 14 decem- ber 2022 om digital operativ mot- ståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

1.upprätta och tillämpa regler för styrelseledamöters och anställdas egna affärer med finansiella instrument,

3.ha en organisation som minskar risken för intresse- konflikter som kan påverka fond- andelsägares eller andra kunders intressen negativt.

2Senaste lydelse av lagens rubrik 2013:563.

3 Senaste lydelse 2013:563.

337

Prop. 2024/25:44 Bilaga 4

338

12kap.

1 a §4

Finansinspektionen ska ingripa mot någon som ingår i ett fondbolags styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om fondbolaget

1.har fått tillstånd att driva fondverksamhet genom att lämna falska uppgifter eller på annat otillbörligt sätt,

2.tillhandahåller diskretionär portföljförvaltning i strid med 1 kap. 4 §,

3.påbörjar marknadsföring av en av bolaget förvaltad värdepappersfond

iett annat land inom EES innan en underrättelse om detta gjorts hos Finansinspektionen i enlighet med 2 kap. 15 c §,

4.inte uppfyller grundläggande krav på organisation och drift av verk- samheten enligt 2 kap. 17 eller 17 f § eller föreskrifter som har meddelats med stöd av 13 kap. 1 § 11 avseende dessa bestämmelser,

5.åsidosätter sina skyldigheter eller på annat sätt överträder det som anges om uppdragsavtal i någon av 4 kap. 4–6 §§ eller 7 § första stycket,

6.påbörjar förvaltning och marknadsföring av en värdepappersfond utan att fondbestämmelserna godkänts enligt 4 kap. 9 §,

7.vid upprepade tillfällen låter bli att upprätta eller tillhandahålla informationsbroschyr, faktablad, årsberättelse och halvårsberättelse i enlighet med 4 kap. 15–21 §§,

9.inte uppfyller kraven på hantering av risker i 5 kap. 2 § första eller andra stycket eller i föreskrifter som har meddelats med stöd av 13 kap. 1 § 23 avseende dessa bestämmelser,

10.i strid med 11 kap. 5 § första stycket låter bli att till Finans- inspektionen anmäla sådana förvärv och avyttringar som avses där,

11. i strid med 11 kap. 5 § tredje				11. i strid med 11 kap. 5 § tredje
stycket låter bli att till Finans-				stycket låter bli att till Finans-
inspektionen anmäla namnen på de				inspektionen anmäla namnen på de
ägare som har ett kvalificerat inne-				ägare som har ett kvalificerat inne-
hav av aktier i bolaget samt stor-				hav av aktier i bolaget samt stor-
leken på innehavet, eller				leken på innehavet,
12. har befunnits ansvarigt för en				12. har befunnits ansvarigt för en
allvarlig, upprepad eller systema-				allvarlig, upprepad eller systema-
tisk	överträdelse	av	lagen	tisk	överträdelse	av	lagen
(2017:630) om åtgärder mot pen-				(2017:630) om åtgärder mot pen-
ningtvätt och finansiering av ter-				ningtvätt och finansiering av ter-
rorism eller föreskrifter som har				rorism eller föreskrifter som har
meddelats med stöd av den lagen.				meddelats med stöd av den lagen,
				eller
				13. har åsidosatt		sina	skyldig-
				heter enligt någon av artiklarna 5–
				10, 11.1–11.10, 12–14, 16.1, 16.2,
				17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–
				25,	26.1–26.8, 27,	28.1–28.8, 29,

4Senaste lydelse 2023:234.

Prop. 2024/25:44 Bilaga 4

340

Förslag till lag om ändring i lagen (2004:297) om bank- och finansieringsrörelse

Härigenom föreskrivs1 att 6 kap. 2 §, 10 kap. 1 §, 15 kap. 1 a § och 17 kap. 1 § lagen (2004:297) om bank- och finansieringsrörelse ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

6kap. 2 §2


Ett kreditinstitut ska identifiera,	Ett	kreditinstitut					ska identifiera,
mäta, styra, internt rapportera och	mäta, styra, internt rapportera och
ha kontroll över de risker som dess	ha kontroll över de risker som dess
rörelse är förknippad med. Insti-	rörelse		är		förknippad				med.
tutet ska se till att det har en till-	Nätverks-		och		informationssystem
fredsställande intern kontroll. Det	ska uppfylla kraven i Europaparla-
ska också upprätta en återhämt-	mentets och rådets förordning (EU)
ningsplan eller koncernåterhämt-	2022/2554			av		den		14 december
ningsplan enligt 6 a kap.	2022 om digital operativ mot-
	ståndskraft			för		finanssektorn			och
	om	ändring			av		förordningarna
	(EG) nr 1060/2009, (EU) nr
	648/2012, (EU) nr 600/2014, (EU)
	nr 909/2014 och (EU) 2016/1011.
	Institutet ska se till att det har en
	tillfredsställande					intern kontroll.
	Det ska också upprätta en åter-
	hämtningsplan				eller			koncernåter-
	hämtningsplan enligt 6 a kap.

Ett kreditinstitut ska särskilt se till att dess kreditrisker, marknadsrisker, operativa risker och andra risker sammantagna inte medför att institutets förmåga att fullgöra sina förpliktelser äventyras. För att uppfylla detta krav ska det åtminstone ha metoder som gör det möjligt att fortlöpande värdera och upprätthålla ett kapital som till belopp, slag och fördelning är tillräck- ligt för att täcka arten och nivån på de risker som det är eller kan komma att bli exponerat för. Institutet ska utvärdera dessa metoder för att säker- ställa att de är heltäckande.

Ett kreditinstitut ska på grundval av de metoder som avses i andra stycket fastställa tillräckliga kapitalbasnivåer.

2Senaste lydelse 2020:1209.

10 kap.	Prop. 2024/25:44
1 §3	Bilaga 4
För bankaktiebolag gäller föreskrifterna för aktiebolag i allmänhet, om
inte något annat följer av denna lag eller är särskilt föreskrivet. Hänvis-
ningar i aktiebolagslagen (2005:551) till bestämmelser i samma lag ska i
de fall de förekommer avse de bestämmelser i denna lag som gäller i stället
för eller utöver bestämmelserna i aktiebolagslagen.

Ifråga om bankaktiebolag ska det som anges om Bolagsverket i följande bestämmelser avse Finansinspektionen:

– 8 kap. 9 och 30 §§ samt 37 §			1.	8 kap. 9 och 30 §§ samt 37 §
andra stycket aktiebolagslagen,			andra stycket aktiebolagslagen,
–23 kap.	45 b §	aktiebolags-	2.	23 kap.	45 b §	aktiebolags-
lagen,			lagen,
– 24 kap. 47 § aktiebolagslagen,			3.	24 kap. 47 § aktiebolagslagen,
och			och
– 24 a kap.	24 §	aktiebolags-	4.	24 a kap.	24 §	aktiebolags-
lagen.			lagen.

15kap.

1 a §4

Finansinspektionen ska ingripa mot någon som ingår i ett kreditinstituts styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om kreditinstitutet

1.har fått tillstånd att driva bank- eller finansieringsrörelse genom att lämna falska uppgifter eller på annat otillbörligt sätt,

2.i strid med 14 kap. 4 § första stycket låter bli att till Finans- inspektionen anmäla sådana förvärv och avyttringar som avses där,

4inte uppfyller kraven i 6 kap. 1–3 c, 4, 4 a, 4 c eller 5 § eller i föreskrifter som har meddelats med stöd av 16 kap. 1 § 5,

6.låter bli att rapportera eller lämnar ofullständig eller felaktig information till Finansinspektionen när det gäller data som avses i artikel 430a i tillsynsförordningen,

7.låter bli att lämna information till Finansinspektionen eller lämnar ofullständig eller felaktig information om en stor exponering i strid med artikel 394.1 i tillsynsförordningen,

8.låter bli att lämna information till Finansinspektionen eller lämnar ofullständig eller felaktig information om likviditet i strid med artikel 415.1 och 415.2 i tillsynsförordningen,

9.låter bli att lämna uppgifter till Finansinspektionen eller lämnar ofullständig eller felaktig information om sin bruttosoliditet i strid med artikel 430.1 och 430.2 i tillsynsförordningen,

3Senaste lydelse 2022:1649.

4 Senaste lydelse 2022:804.

341

Prop. 2024/25:44 Bilaga 4

342

10.vid upprepade tillfällen eller systematiskt låter bli att hålla likvida tillgångar i strid med artikel 412 i tillsynsförordningen,

11.utsätter sig för en exponering som överskrider gränserna enligt artikel 395 i tillsynsförordningen,

12.är exponerat för kreditrisken i en värdepapperiseringsposition utan att uppfylla villkoren i artikel 405 i tillsynsförordningen,

13.låter bli att lämna information eller lämnar ofullständig eller felaktig information i strid med någon av artiklarna 431.1–431.3 och 451.1 i tillsynsförordningen,

16.har befunnits ansvarigt för en allvarlig, upprepad eller systematisk överträdelse av Europaparlamentets och rådets förordning (EU) 2015/847 av den 20 maj 2015 om uppgifter som ska åtfölja överföringar av medel och om upphävande av förordning (EG) nr 1781/2006,

17.har tillåtit en styrelseledamot, verkställande direktören eller ersättare för någon av dem att åta sig ett sådant uppdrag i institutet eller kvarstå i institutet trots att kraven i 3 kap. 2 § första stycket 4 eller 5, 10 kap. 8 a– 8 c §§ eller 12 kap. 6 a–6 c §§ eller i föreskrifter som har meddelats med stöd av 16 kap. 1 § 3 inte är uppfyllda,

18.i strid med 6 a kap. 1 eller 2 § låter bli att upprätta eller lämna in en återhämtningsplan eller en koncernåterhämtningsplan,

19.i strid med 6 b kap. 11 § låter bli att anmäla att koncerninternt finansiellt stöd ska lämnas,

20.i strid med 13 kap. 4 a och 5 a §§ låter bli att underrätta Finans- inspektionen om institutet fallerar eller sannolikt kommer att fallera,

23.omfattas av tillståndsplikt enligt lagen (2003:1223) om utgivning av säkerställda obligationer och

a) har fått tillstånd att ge ut säkerställda obligationer genom att lämna falska uppgifter eller på något annat otillbörligt sätt,

b) driver verksamhet med säkerställda obligationer utan tillstånd,

c) ger ut säkerställda obligationer som inte uppfyller 3 kap. 1, 2, 3, 4, 5, 6, 7, 10, 11 eller 15 § eller 16 § andra stycket lagen om utgivning av säkerställda obligationer,

d) låter bli att lämna information eller lämnar ofullständig eller felaktig information i strid med 3 kap. 16 § första stycket lagen om utgivning av säkerställda obligationer, eller

e) vid upprepade tillfällen eller	e) vid upprepade tillfällen eller
systematiskt låter bli att hålla lik-	systematiskt låter bli att hålla lik-
vida tillgångar i en sådan likvidi-	vida tillgångar i en sådan likvidi-
tetsbuffert som avses i 3 kap. 9 a §	tetsbuffert som avses i 3 kap. 9 a §
lagen om utgivning av säkerställda	lagen om utgivning av säkerställda
obligationer, eller	obligationer,
24. låter bli att lämna uppgifter	24. låter bli att lämna uppgifter
om sin verksamhet med säker-	om sin verksamhet med säker-
ställda obligationer till Finans-	ställda obligationer till Finans-
inspektionen eller lämnar ofull-	inspektionen eller lämnar ofull-
ständiga eller felaktiga uppgifter i	ständiga eller felaktiga uppgifter i
strid med 13 kap. 3 §.	strid med 13 kap. 3 §, eller
	25. har åsidosatt sina skyldig-
	heter enligt någon av artiklarna 5–
	10, 11.1–11.10, 12–14, 16.1, 16.2,
	17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–
	25, 26.1–26.8, 27, 28.1–28.8, 29,
	30.1–30.4, 31.12 och 45 i Europa-
	parlamentets och rådets förordning
	(EU) 2022/2554.

Ett	ingripande		enligt	första	Ett ingripande enligt första
stycket får ske endast om institutets					stycket får ske endast om institutets
överträdelse		är	allvarlig och		överträdelse är allvarlig och den
personen i fråga uppsåtligen eller					fysiska personen i fråga uppsåtligen
av	grov	oaktsamhet		orsakat	eller av grov oaktsamhet orsakat
överträdelsen.					överträdelsen.
Ingripande sker genom

1.beslut att personen i fråga under en viss tid, lägst tre år och högst tio år, inte får vara styrelseledamot eller verkställande direktör i ett kredit- institut, eller ersättare för någon av dem, eller

2.beslut om sanktionsavgift.

17kap. 1 §5

Prop. 2024/25:44 Bilaga 4

Finansinspektionens beslut enligt 13 kap. 12 § och 15 kap. 9 a § och 18 § tredje stycket får inte över- klagas.

Finansinspektionens beslut som avses i 10 kap. 1 § andra stycket 1 får överklagas till regeringen.

Finansinspektionens beslut enligt 13 kap. 12 § och 15 kap. 9 a § och 18 § tredje stycket får inte över- klagas. Detsamma gäller för sådana beslut om förordnande av sakkunnig som avses i 10 kap. 1 § andra stycket 2–4.

5Senaste lydelse 2018:817. Ändringen innebär bl.a. att andra stycket tas bort.

343

Prop. 2024/25:44 Bilaga 4

346

	11 §
Ett värdepappersinstitut skall	Ett värdepappersinstitut ska
1. tillämpa sunda rutiner för

a)förvaltning av verksamheten, och

b)redovisning,

2. ha rutiner för intern kontroll,				2. ha rutiner för intern kontroll,
				och
3. ha effektiva metoder för risk-				3. ha effektiva metoder för risk-
bedömning, och				bedömning.
4. ha effektiv drift och förvaltning
av sina informationssystem.
			23 §3
Ett värdepappersinstitut som be-				Ett värdepappersinstitut som be-
driver algoritmisk handel ska ha				driver algoritmisk handel ska ha
effektiva system och riskkontroller				effektiva system och riskkontroller
som är anpassade för den verksam-				som är anpassade för den verksam-
heten. Systemen		och	kontrollerna	heten. Systemen	och	kontrollerna
ska säkerställa		att	institutets	ska säkerställa	att	institutets
handelssystem		är	motstånds-	handelssystem	är	motstånds-
kraftiga	och	har	tillräcklig	kraftiga och har tillräcklig kapacitet
kapacitet, att de omfattas av lämp-				i enlighet med kraven i kapitel II i
liga handelströsklar och handels-				Europaparlamentets		och rådets
limiter och att de förhindrar att				förordning (EU) 2022/2554, att de
felaktiga order skickas eller att				omfattas av lämpliga handels-
systemet på annat sätt fungerar så				trösklar och handelslimiter och att
att det kan skapa eller bidra till en				de förhindrar att felaktiga order
oordnad marknad.				skickas eller att systemet på annat
				sätt fungerar så att det kan skapa
				eller bidra till en oordnad marknad.

reglerna på en handelsplats till vilken institutet är anslutet.
Värdepappersinstitutet ska ha	Värdepappersinstitutet		ska ha
inrättat effektiva arrangemang för	inrättat effektiva arrangemang för
kontinuerlig drift av verksamheten	kontinuerlig drift av verksamheten
för att hantera driftavbrott i sina	för att hantera driftavbrott i sina
handelssystem och ska se till att	handelssystem, inbegripet en IKT-
systemen är fullt testade och	kontinuitetspolicy	och	IKT-
lämpligt övervakade för att säker-	kontinuitetsplaner	samt	IKT-
ställa att de uppfyller kraven i	relaterade åtgärds- och återstäl-
första och andra styckena.	lningsplaner för informations- och
	kommunikationsteknik som inrättas

i enlighet med artikel 11 i Europa- parlamentets och rådets förordning (EU) 2022/2554. Institutet ska se till att systemen är fullt testade och lämpligt övervakade för att säker-

3Senaste lydelse 2017:679.

Prop. 2024/25:44 Bilaga 4

348

1 a §4

En börs ska inrätta effektiva	En börs ska inrätta och upprätt-
system, förfaranden och arrange-	hålla en operativ motståndskraft i
mang för att säkerställa att handels-	enlighet med kraven i kapitel II i
systemen	Europaparlamentets och rådets
	förordning (EU) 2022/2554 för att
	säkerställa att handelssystemen

1.är motståndskraftiga,

2.har tillräcklig kapacitet för att kunna hantera svåra påfrestningar på marknaden i fråga om order- och meddelandevolymer,

3.kan upprätthålla ordnad handel vid förhållanden med påfrestningar på marknaden,

4.är fullständigt testade, och

5. garanterar kontinuitet i verk-	5. garanterar		kontinuitet i	verk-
samheten vid eventuella drift-	samheten	vid	eventuella	drift-
avbrott i handelssystemet.	avbrott i	handelssystemet,		inbe-
	gripet en IKT-kontinuitetspolicy
	och IKT-planer samt IKT-rela-
	terade åtgärds- och återställnings-
	planer i enlighet med artikel 11 i
	Europaparlamentets och			rådets
	förordning (EU) 2022/2554.

1 d §5

I de förfaranden som avses i första stycket ska det ingå

1. krav på deltagarna att utföra	1. krav på deltagarna att utföra
lämpliga tester av algoritmer och	lämpliga tester av algoritmer och
att tillhandahålla miljöer för att	att tillhandahålla miljöer för att
underlätta sådana tester,	underlätta sådana tester, i enlighet
	med kraven i kapitlen II och IV i
	Europaparlamentets och rådets
	förordning (EU) 2022/2554,

2.system för att begränsa andelen inte utförda order i förhållande till transaktionerna som kan läggas in i systemet av en deltagare,

3.system för att det ska vara möjligt att bromsa orderflödet om det finns en risk för att taket för systemkapaciteten uppnås, och

4.system för att begränsa och upprätthålla den minsta prisändring som får tillämpas på den reglerade marknaden.

4Senaste lydelse 2017:679.

5Senaste lydelse 2017:679.

25 kap.	Prop. 2024/25:44
1 a §6	Bilaga 4
Finansinspektionen ska ingripa mot någon som ingår i ett svenskt
värdepappersinstituts styrelse eller är dess verkställande direktör, eller
ersättare för någon av dem, om värdepappersinstitutet har åsidosatt sina
skyldigheter enligt

1.5 kap. 1, 3, 6 eller 7 §,

2.6 kap. 1, 4 eller 6 §,

3.någon av 8 kap. 8 e eller 9–34 §§ eller föreskrifter som meddelats med stöd av någon av bestämmelserna i 8 kap. 35 § 3–12,

4.någon av 9 kap. 1 §, 8 § tredje stycket, 9–12, 14–17 a, 19 a–41 eller 43 §§ eller föreskrifter som meddelats med stöd av någon av bestämmelserna i 9 kap. 50 § 1, 3–9 eller 11,

5.någon av 11 kap. 1 §, 1 a § andra stycket, 1 b–4 a eller 12 §§ eller driver en tillväxtmarknad för små och medelstora företag trots att kraven i 13 § inte är uppfyllda,

6.någon av 13 kap. 1 a–1 j, 6 a eller 9 §§,

7.någon av 15 a kap. 7, 8 eller 10–14 §§,

8. 22 kap.	2 § andra	stycket, 5		8. 22 kap.	2 § andra	stycket, 5
eller 6 § eller inte har följt ett beslut				eller 6 § eller inte har följt ett beslut
som meddelats av Finansinspek-				som meddelats av Finansinspek-
tionen enligt 22 kap. 1 §, 2 § första				tionen enligt 22 kap. 1 §, 2 § första
stycket eller 3 §, eller				stycket eller 3 §,
9. 23 kap. 2 § första stycket eller				9. 23 kap. 2 § första stycket eller
föreskrifter	som meddelats		med	föreskrifter	som meddelats med
stöd av 23 kap. 15 § 1, eller inte har				stöd av 23 kap. 15 § 1, eller inte har
följt en begäran, ett föreläggande				följt en begäran, ett föreläggande
eller ett beslut som meddelats av				eller ett beslut som meddelats av
Finansinspektionen enligt 23 kap.				Finansinspektionen enligt			23 kap.
2 § tredje	stycket,	3 §	första	2 § tredje	stycket,	3 §	första
stycket, 3 a	eller 3 b § eller har			stycket, 3 a	eller 3 b § eller har
motsatt sig en undersökning enligt				motsatt sig en undersökning enligt
23 kap. 4 §.				23 kap. 4 §, eller
				10. någon	av artiklarna 5–10,
				11.1–11.10, 12–14, 16.1, 16.2, 17,

18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1– 30.4, 31.12 och 45 i Europaparla- mentets och rådets förordning (EU) 2022/2554.

1 e §7

Finansinspektionen ska ingripa mot någon som ingår i en börs styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om börsen

1.har fått sitt tillstånd genom att lämna falska uppgifter eller på annat otillbörligt sätt,

6	Senaste lydelse 2021:968.	349
7	Senaste lydelse 2021:968.	349

Prop. 2024/25:44 Bilaga 4

350

3.har åsidosatt sina skyldigheter enligt

a)8 kap. 21 § eller föreskrifter som meddelats med stöd av 8 kap. 35 §

12,

b)någon av 11 kap. 1 §, 1 a § andra stycket, 1 b–4 a eller 12 §§ eller driver en tillväxtmarknad för små och medelstora företag trots att kraven i 13 § inte är uppfyllda,

c)12 kap. 6 e, 7 eller 10 § eller föreskrifter som meddelats med stöd av någon av bestämmelserna i 12 kap. 11 § 2–4,

d)någon av 13 kap. 1–2, 6–7 a eller 9 §§ eller 12 § femte stycket eller föreskrifter som meddelats med stöd av 13 kap. 17 § 1,

e)14 kap. 1, 2 eller 3 §,

f)15 kap. 1, 2, 5, 9 eller 10 §,

g)någon av 15 a kap. 7, 8 eller 10–12 §§,

h)22 kap. 2 § andra stycket, 5 eller 6 § eller inte har följt ett beslut som meddelats av Finansinspektionen enligt 22 kap. 1 eller 3 §, eller

stycket, 3 § första stycket eller 3 b § eller har motsatt sig en undersökning enligt 23 kap. 4 §,

4. i strid med 24 kap. 5 § första	4. i strid med 24 kap. 5 § första
stycket låter bli att till Finans-	stycket låter bli att till Finans-
inspektionen anmäla sådana för-	inspektionen anmäla sådana för-
värv och avyttringar som avses där,	värv och avyttringar som avses där,
eller
5. i strid med 24 kap. 5 § tredje	5. i strid med 24 kap. 5 § tredje
stycket låter bli att till Finans-	stycket låter bli att till Finans-
inspektionen anmäla namnen på de	inspektionen anmäla namnen på de
ägare som har ett kvalificerat inne-	ägare som har ett kvalificerat inne-
hav av aktier eller andelar i före-	hav av aktier eller andelar i före-
taget samt storleken på innehaven.	taget samt storleken på innehaven,
	eller
	6. har åsidosatt sina skyldigheter
	enligt någon av artiklarna 5–10,
	11.1–11.10, 12–14, 16.1, 16.2, 17,
	18.1, 18.2, 19.1, 19.3, 19.4, 23–25,
	26.1–26.8, 27, 28.1–28.8, 29, 30.1–
	30.4, 31.12 och 45 i Europaparla-
	mentets och rådets förordning (EU)
	2022/2554.

1 i §8	Prop. 2024/25:44
Finansinspektionen ska ingripa mot någon som ingår i en central	Bilaga 4
motparts styrelse eller är dess verkställande direktör, eller ersättare för
någon av dem, om den centrala motparten har åsidosatt sina skyldigheter
enligt förordningen om återhämtning och resolution av centrala motparter
genom att inte

1.utarbeta, upprätthålla och uppdatera en återhämtningsplan (artikel 9),

2.tillhandahålla nödvändiga uppgifter för att utarbeta resolutionsplan (artikel 13), eller

3.underrätta Finansinspektionen om att den centrala motparten fallerar eller sannolikt kommer att fallera (artikel 70.1).

Ingripande får ske genom en eller båda av följande sanktioner:

1.att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i en central motpart, eller ersättare för någon av dem, eller

2.sanktionsavgift.

Ett ingripande enligt första	Ett ingripande enligt första eller
stycket får ske bara om den centrala	andra stycket får ske bara om den
motpartens överträdelse är allvarlig	centrala motpartens överträdelse är
och den fysiska personen i fråga	allvarlig och den fysiska personen i
uppsåtligen eller av grov oakt-	fråga uppsåtligen eller av grov
samhet orsakat överträdelsen.	oaktsamhet orsakat överträdelsen.
	1 j §
	Finansinspektionen ska ingripa
	mot någon som ingår i en leveran-
	tör av datarapporteringstjänsters
	styrelse eller är dess verkställande
	direktör, eller ersättare för någon
	av dem, om leverantören har åsido-
	satt sina skyldigheter enligt någon
	av artiklarna 5–10, 11.1–11.10,
	12–14, 16.1, 16.2, 17, 18.1, 18.2,
	19.1, 19.3, 19.4, 23–25, 26.1–26.8,
	27, 28.1–28.8, 29, 30.1–30.4, 31.12
	och 45 i Europaparlamentets och
	rådets förordning (EU) 2022/2554.
8 Senaste lydelse 2022:743.	351

Förslag till lag om ändring i offentlighets- och sekretesslagen (2009:400)

Härigenom föreskrivs i fråga om offentlighets- och sekretesslagen (2009:400)

dels att 30 kap. 30 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 30 kap. 4 e §, och närmast före 30 kap. 4 e § en ny rubrik av följande lydelse.

Prop. 2024/25:44 Bilaga 4

Nuvarande lydelse

Föreslagen lydelse

30 kap.

Verksamhet som rör digital operativ motståndskraft för finans- sektorn

4 e §

Sekretess gäller i en statlig myn- dighets verksamhet enligt Europa- parlamentets och rådets förordning (EU) 2022/2554 av den 14 decem- ber 2022 om digital operativ mot- ståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011

1.för uppgift om affärs- eller driftförhållanden hos den som myn- dighetens verksamhet avser, om det kan antas att denne lider skada om uppgiften röjs, och

2.för uppgift om ekonomiska eller personliga förhållanden för annan som har trätt i affärsför- bindelse eller liknande förbindelse med den som myndighetens verk- samhet avser.

För uppgift i en allmän handling gäller sekretessen i högst tjugo år.

	30 §1
	Den tystnadsplikt som följer av		Den tystnadsplikt som följer av
2	§ första stycket första meningen,	2	§ första stycket första meningen,
4	§ första stycket 2, 4 a § första	4	§ första stycket 2, 4 a §			första
stycket 2, 4 b § första stycket, 6 b §		stycket 2, 4 b § första stycket, 4 e §
första stycket, 12 § första stycket		första		stycket 2,	6 b §	första
och andra stycket 2, 12 a § första		stycket,		12 § första	stycket och
1 Senaste lydelse 2022:744.						353

Prop. 2024/25:44 Bilaga 4

354

stycket och andra stycket 2, 12 b §

andra

stycket 2,

12 a §

första

stycket 2,

12 c §

första

stycket och andra stycket 2, 12 b §

stycket och andra stycket 2, 13 §,

första

stycket 2,

12 c §

första

15 §

första

stycket 2,

23 §

första

stycket och andra stycket 2, 13 §,

stycket 2, 23 a §, 23 b § och 27 §

15 §

första

stycket 2,

23 §

första

första stycket 2 och den tystnads-

stycket 2, 23 a §, 23 b § och 27 §

plikt som följer av ett förbehåll som

första stycket 2 och den tystnads-

gjorts

med

stöd

9 §

andra

plikt som följer av ett förbehåll som

meningen, 14 § andra meningen,

gjorts

med

stöd

9 §

andra

26 §

andra

meningen

eller

29 §

meningen, 14 §

andra meningen,

andra meningen inskränker rätten

26 §

andra

meningen

eller

29 §

enligt

1 kap. 1 och

7 §§

tryck-

andra

meningen

inskränker

rätten

frihetsförordningen

och 1 kap. 1

enligt

1 kap. 1

och

7 §§

tryck-

och

10 §§

yttrandefrihetsgrund-

frihetsförordningen

och 1 kap. 1

lagen att meddela och offentliggöra

och

10 §§

yttrandefrihetsgrund-

uppgifter.

lagen att meddela och offentliggöra

uppgifter.

Den tystnadsplikt som följer av 24 § inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om andra ekonomiska eller personliga förhållanden än affärs- och driftförhållanden för den som trätt i affärsförbindelse eller liknande förbindelse med den som är föremål för myndighetens verksamhet.

Den tystnadsplikt som följer av 18 § inskränker rätten att meddela och offentliggöra uppgifter, när det är fråga om uppgift om en enskilds personliga förhållanden vars röjande kan vålla allvarligt men.

Denna lag träder i kraft den 17 januari 2025.

Frågor om ingripanden mot	Frågor		om	ingripanden	mot
fysiska personer enligt 8 a § tas upp	fysiska	personer enligt 8 a			och
av Finansinspektionen genom	8 b §§	tas	upp	av Finansinspek-
sanktionsföreläggande.	tionen	genom		sanktionsföreläg-
	gande.

Finansinspektionen ska då tillämpa bestämmelserna i 15 kap. 9 a–9 d §§ lagen (2004:297) om bank- och finansieringsrörelse.

23 b §6

Finansinspektionen ska ingripa mot en person som ingår i en registrerad betaltjänstleverantörs styrelse eller är dess verkställande direktör eller på motsvarande sätt företräder betaltjänstleverantören, eller är ersättare för någon av dem, om den registrerade betaltjänstleverantören har befunnits ansvarig för en överträdelse av lagen (2017:630) om åtgärder mot penningtvätt och finansiering av terrorism eller föreskrifter som har meddelats med stöd av den lagen eller en överträdelse av förordning (EU) 2015/847.

Ett ingripande enligt första stycket får ske endast om överträdelsen är allvarlig, upprepad eller systematisk och personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Finansinspektionen ska även in- gripa mot någon som ingår i en registrerad betaltjänstleverantörs styrelse eller är dess verkställande direktör eller på motsvarande sätt företräder betaltjänstleverantören, eller är ersättare för någon av dem, om den registrerade betaltjänst- leverantören har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 och 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt tredje stycket får ske endast om den regi- strerade betaltjänstleverantörens överträdelse är allvarlig och den fysiska personen i fråga uppsåt- ligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande sker genom

1.beslut att personen i fråga under en viss tid, lägst tre och högst tio år, inte får upprätthålla en funktion som avses i första stycket hos en registrerad betaltjänstleverantör, eller

2.beslut om sanktionsavgift.

6Senaste lydelse 2017:652.

Prop. 2024/25:44 Bilaga 4

357

Förslag till lag om ändring i försäkringsrörelselagen (2010:2043)

Härigenom föreskrivs1 i fråga om försäkringsrörelselagen (2010:2043)2 dels att 21 kap. 2 § ska upphöra att gälla,

dels att 10 kap. 3 §, 11 kap. 1 §, 18 kap. 2 a och 18 a §§ och 21 kap. 1 § ska ha följande lydelse,

dels att det ska införas en ny paragraf, 18 kap. 1 b §, av följande lydelse.

Prop. 2024/25:44 Bilaga 4

Nuvarande lydelse

Föreslagen lydelse

10kap. 3 §3


Ett försäkringsföretag ska ha	Ett	försäkringsföretag ska			ha
system, resurser och rutiner som är	system, resurser och rutiner som är
lämpliga för att verksamheten ska	lämpliga för att verksamheten ska
kunna bedrivas med kontinuitet och	kunna bedrivas med kontinuitet och
i enlighet med gällande regler.	i enlighet med gällande regler.
	Nätverks- och			informationssystem
	ska uppfylla kraven i Europaparla-
	mentets och rådets förordning (EU)
	2022/2554		av	den 14 december
	2022 om digital operativ mot-
	ståndskraft		för finanssektorn		och
	om	ändring		av förordningarna
	(EG) nr 1060/2009, (EU) nr
	648/2012, (EU) nr 600/2014, (EU)

nr 909/2014 och (EU) 2016/1011.

Ett försäkringsföretag ska ha en beredskapsplan.

11kap. 1 §4

I fråga om försäkringsaktiebolag ska det som anges om Bolagsverket i följande bestämmelser avse Finansinspektionen:

– 8 kap. 9 och 30 §§ samt 37 §	1.	8 kap. 9 och 30 §§ samt 37 §
andra stycket aktiebolagslagen,	andra stycket aktiebolagslagen,
– 23 kap. 45 b § aktiebolags-	2.	23 kap. 45 b § aktiebolags-
lagen,	lagen,
– 24 kap. 47 § aktiebolagslagen,	3.	24 kap. 47 § aktiebolagslagen,
och	och

2Senaste lydelse av 21 kap. 2 § 2019:766.

3Senaste lydelse 2015:700.

4 Senaste lydelse 2022:1650.

359

2 a §5 sker

Prop. 2024/25:44 Bilaga 4

– 24 a kap. 24 § aktiebolags-	4. 24 a kap. 24 § aktiebolags-
lagen.	lagen.

Bestämmelserna i 32 kap. aktiebolagslagen om aktiebolag med särskild vinstutdelningsbegränsning gäller inte för försäkringsaktiebolag.

18 kap.

1 b §

Finansinspektionen ska ingripa mot någon som ingår i försäkrings- företagets styrelse eller är dess verkställande direktör, eller ersät- tare för någon av dem, om företaget har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 och 45 i Europa- parlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt första stycket får ske endast om företagets överträdelse är allvarlig och den fysiska personen i fråga uppsåt- ligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande enligt 1 a § genom

1.beslut att personen i fråga under en viss tid, lägst tre och högst tio år, inte får upprätthålla en funk- tion som avses i 1 a § första stycket

iett försäkringsföretag, eller

2.beslut om sanktionsavgift.

Ingripande enligt 1 a och 1 b §§ sker genom

1.beslut att personen i fråga under en viss tid, lägst tre och högst tio år, inte får upprätthålla en funk- tion som avses i 1 a § första stycket och 1 b § första stycket i ett för- säkringsföretag, eller

				18 a §6
Frågor om			ingripanden mot		Frågor	om	ingripanden		mot
fysiska	personer		för överträdelser		fysiska personer		för	överträdelser
enligt	1 a §	tas	upp	av Finans-	enligt 1 a	eller	1 b § tas upp av
inspektionen		genom		sanktions-	Finansinspektionen			genom	sank-
föreläggande.					tionsföreläggande.

Finansinspektionen ska då tillämpa bestämmelserna om sanktions- föreläggande i 15 kap. 9 a–9 d §§ lagen (2004:297) om bank- och finansieringsrörelse.

360	5	Senaste lydelse 2017:653.
360	6	Senaste lydelse 2017:653.

9 §1

Finansinspektionen får avstå från	Finansinspektionen får avstå från
ingripande enligt 8 och 8 a §§ om	ingripande enligt 8, 8 a och 8 b §§
	om

1.en överträdelse är ringa eller ursäktlig,

2.institutet för elektroniska pengar gör rättelse eller om den fysiska personen verkat för att institutet gör rättelse, eller

3.någon annan myndighet har vidtagit åtgärder mot institutet eller den fysiska personen som bedöms vara tillräckliga.

16 a§2
Frågor om ingripanden mot	Frågor om ingripanden	mot
fysiska personer enligt 8 a § tas upp	fysiska personer enligt 8 a	eller
av Finansinspektionen genom	8 b § tas upp av Finansinspektionen
sanktionsföreläggande.	genom sanktionsföreläggande.

Finansinspektionen ska då tillämpa bestämmelserna i 15 kap. 9 a–9 d §§ lagen (2004:297) om bank- och finansieringsrörelse.

23 b §3

Finansinspektionen ska ingripa mot en person som ingår i den registrerade utgivarens styrelse eller är dess verkställande direktör, eller är ersättare för någon av dem, om den registrerade utgivaren har befunnits ansvarig för överträdelse av lagen (2017:630) om åtgärder mot penning- tvätt och finansiering av terrorism eller föreskrifter som har meddelats med stöd av den lagen eller en överträdelse av förordning (EU) 2015/847.

Ett ingripande enligt första stycket får ske endast om överträdelsen är allvarlig, systematisk eller upprepad och personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Finansinspektionen ska även ingripa mot någon som ingår i den registrerade utgivarens styrelse eller är dess verkstäl- lande direktör, eller är ersättare för någon av dem, om den regist- rerade utgivaren, har åsidosatt sina skyldigheter enligt någon av artiklarna 5–10, 11.1–11.10, 12– 14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1– 26.8, 27, 28.1–28.8, 29, 30.1– 30.4, 31.12 och 45 i Europaparla- mentets och rådets förordning (EU) 2022/2554.

1Senaste lydelse 2017:655.

2Senaste lydelse 2017:655.

3Senaste lydelse 2017:655.

Prop. 2024/25:44 Bilaga 4

363

Prop. 2024/25:44 Bilaga 4

366

14 kap.

1 b §

Finansinspektionen ska ingripa mot någon som ingår i en AIF- förvaltares ledning eller styrelse eller är förvaltarens verkställande direktör eller motsvarande, eller ersättare för någon av dem, om för- valtaren har åsidosatt sina skyldig- heter enligt någon av artiklarna 5– 10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23– 25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 och 45 i Europa- parlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt första stycket får ske endast om AIF- förvaltarens överträdelse är all- varlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Ingripande får ske genom en eller båda av följande sanktioner:

1. att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i en AIF-för- valtare, eller ersättare för någon av dem, eller

2. sanktionsavgift.

		13 a §2
Frågor om ingripanden		mot	Frågor	om	ingripanden		mot
fysiska personer enligt	1 a	eller	fysiska personer enligt			1 a,	1 b
9 a § tas upp av Finansinspektionen			eller 9 a §	tas upp av Finans-
genom sanktionsföreläggande.			inspektionen		genom	sanktions-
			föreläggande.
Finansinspektionen	ska	då	tillämpa	bestämmelserna			om

sanktionsföreläggande i 12 kap. 9 a–9 d §§ lagen (2004:46) om värde- pappersfonder.

Denna lag träder i kraft den 17 januari 2025.

2Senaste lydelse 2017:658.

Förslag till lag om ändring i lagen (2019:742) om tjänstepensionsföretag

Härigenom föreskrivs1 i fråga om lagen (2019:742) om tjänstepensions- företag

dels att 9 kap. 2 §, 10 kap. 1 §, 15 kap. 3, 4, 18, 20 och 23 §§ och 17 kap.

1 § ska ha följande lydelse,

dels att rubriken närmast efter rubriken till 15 kap. ska lyda ”Ingripande mot tjänstepensionsföretag och vissa fysiska personer”,

dels att det ska införas fyra nya paragrafer, 15 kap. 1 a §, 2 a §, 17 a § och 18 a §, av följande lydelse, och närmast före 15 kap. 18 a § en ny rubrik av följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

9kap. 2 §


Ett tjänstepensionsföretag ska ha	Ett tjänstepensionsföretag ska ha
system, resurser och rutiner som är	system, resurser och rutiner som är
lämpliga för att verksamheten ska	lämpliga för att verksamheten ska
kunna drivas med kontinuitet och i	kunna drivas med kontinuitet och i
enlighet med gällande regler.	enlighet		med	gällande regler.
	Nätverks-		och	informationssystem
	ska uppfylla kraven i Europaparla-
	mentets och rådets förordning (EU)
	2022/2554		av	den 14 december
	2022 om digital operativ mot-
	ståndskraft för finanssektorn				och
	om	ändring		av förordningarna
	(EG)	nr	1060/2009, (EU)		nr

648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

Ett tjänstepensionsföretag ska ha en beredskapsplan.

10kap. 1 §2

I fråga om tjänstepensionsaktiebolag ska det som sägs om Bolagsverket i följande bestämmelser avse Finansinspektionen:

2Senaste lydelse 2022:1651.

Prop. 2024/25:44 Bilaga 4

367

Prop. 2024/25:44 Bilaga 4

368

– 8 kap. 9	och 30 §§ och 37 §		1.	8 kap. 9 och 30 §§ och 37 §
andra stycket aktiebolagslagen,			andra stycket aktiebolagslagen,
– 23 kap.	45 b §	aktiebolags-	2.	23 kap.	45 b §	aktiebolags-
lagen,			lagen,
– 24 kap. 47 § aktiebolagslagen,			3.	24 kap. 47 § aktiebolagslagen,
och			och
– 24 a kap.	24 §	aktiebolags-	4.	24 a kap.	24 §	aktiebolags-
lagen.			lagen.

Bestämmelserna i 32 kap. aktiebolagslagen om aktiebolag med särskild vinstutdelningsbegränsning gäller inte för tjänstepensionsaktiebolag.

15 kap.

1 a §

Finansinspektionen ska ingripa mot någon som ingår i tjänste- pensionsföretagets styrelse eller är dess verkställande direktör, eller är ersättare för någon av dem, om företaget har åsidosatt sina skyl- digheter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1– 28.8, 29, 30.1–30.4, 31.12 och 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

Ett ingripande enligt första stycket får ske endast om företagets överträdelse är allvarlig och den fysiska personen i fråga uppsåt- ligen eller av grov oaktsamhet orsakat överträdelsen.

2 a §

Ingripande enligt 1 a § sker genom

1. beslut att personen i fråga under en viss tid, lägst tre och högst tio år, inte får upprätthålla en funk- tion som avses i 1 a § första stycket i ett tjänstepensionsföretag, eller

2. beslut om sanktionsavgift.

3 §

Vid valet av ingripande ska Finansinspektionen ta hänsyn till hur allvarlig överträdelsen är och hur länge den har pågått. Särskild hänsyn ska

tas till skador som har uppstått och graden av ansvar.
I försvårande riktning ska det	I försvårande riktning ska det
beaktas om tjänstepensionsföre-	beaktas	om	tjänstepensionsföre-
taget tidigare har begått en över-	taget tidigare har begått en över-
trädelse.	trädelse	eller	om den fysiska

	personen tidigare orsakat en sådan
	överträdelse.
I förmildrande riktning ska det beaktas om
1. företaget i väsentlig utsträck-	1. företaget	eller	den	fysiska
ning genom ett aktivt samarbete har	personen i väsentlig		utsträckning
underlättat Finansinspektionens ut-	genom ett aktivt samarbete har
redning, och	underlättat Finansinspektionens ut-
	redning, och
2. företaget snabbt har upphört	2. företaget	snabbt	har	upphört
med överträdelsen sedan den an-	med överträdelsen, eller den fysiska
mälts till eller påtalats av Finans-	personen snabbt verkat för att över-
inspektionen.	trädelsen ska upphöra, sedan den
	anmälts till eller påtalats av Finans-
	inspektionen.

4§

Finansinspektionen får avstå från ingripande om

1.en överträdelse är ringa eller ursäktlig,

2. tjänstepensionsföretaget	gör	2. tjänstepensionsföretaget	gör
rättelse, eller		rättelse eller om den fysiska per-
		sonen verkat för att företaget gör
		rättelse, eller
3. någon annan myndighet	har	3. någon annan myndighet	har
vidtagit åtgärder mot företaget och		vidtagit åtgärder mot företaget eller
dessa åtgärder bedöms tillräckliga.		den fysiska personen och dessa
		åtgärder bedöms tillräckliga.

17 a §

En sanktionsavgift för en fysisk person ska som högst fastställas till det högsta av

1. två gånger den vinst som den fysiska personen gjort till följd av regelöverträdelsen, om beloppet går att fastställa, eller

2. ett belopp som per den

16 januari 2023 i kronor mot- svarade fem miljoner euro.

Avgiften tillfaller staten.

		18 §
När	sanktionsavgiftens	storlek	När	sanktionsavgiftens	storlek
fastställs, ska särskild hänsyn tas			fastställs, ska särskild hänsyn tas
till sådana omständigheter som			till sådana omständigheter som
anges	i 3 § samt till	tjänste-	anges	i 3 § samt till	tjänste-
pensionsföretagets finansiella stäl-			pensionsföretagets eller den fysiska
lning och, om det går att fastställa,			personens finansiella ställning och,
den vinst som gjorts till följd av			om det går att fastställa, den vinst
regelöverträdelsen.			som gjorts till följd av regelöver-
			trädelsen.

Prop. 2024/25:44 Bilaga 4

369

Riksbanken

2 § Riksbanken ska övervaka och samordna de hotbildsstyrda penetra- tionstester som ska genomföras enligt artiklarna 26 och 27 i EU-förord- ningen.

Riksbanken ska utfärda sådana intyg som avses i artikel 26.7 i EU- förordningen.

Samverkan

3 § Finansinspektionen ska ge Riksbanken tillfälle att yttra sig innan Finansinspektionen fattar beslut enligt 1 §.

Finansinspektionen och Riksbanken ska lämna varandra de uppgifter som respektive myndighet behöver för samverkan.

Uppgiftsskyldighet

4 § På begäran av Riksbanken ska finansiella entiteter lämna de upp- gifter som är nödvändiga för Riksbankens verksamhet enligt 2 §.

Förelägganden

5 § Riksbanken får besluta om de förelägganden som behövs för att en finansiell entitet ska följa uppgiftsskyldigheten i 4 §.

Avgifter till Riksbanken

6 § Riksbanken får ta ut avgifter från de finansiella entiteter som genom- för hotbildsstyrda penetrationstester.

Riksbanken får meddela föreskrifter om avgifterna.

Prop. 2024/25:44 Bilaga 6

3 kap. Tillsyn

Tillsynens omfattning

1 § Finansinspektionen har tillsyn över att finansiella entiteter följer bestämmelserna i EU-förordningen, denna lag och andra författningar som har meddelats i anslutning till dessa.

Föreläggande om att lämna uppgifter

2 § För tillsynen enligt 1 § får Finansinspektionen besluta att förelägga

1.en fysisk eller juridisk person att tillhandahålla uppgifter, handlingar eller annat, och

2.den som förväntas kunna lämna upplysningar i saken att inställa sig till förhör på tid och plats som inspektionen bestämmer.

Första stycket gäller inte i den utsträckning uppgiftslämnandet skulle strida mot den i lag reglerade tystnadsplikten för advokater.

373

Prop. 2024/25:44 Bilaga 6

Platsundersökning

3 § Finansinspektionen får när det är nödvändigt för tillsynen enligt 1 § genomföra en undersökning i verksamhetslokalerna hos en finansiell entitet.

4 kap. Ingripanden

Ingripanden mot finansiella entiteter

1.Svenska skeppshypotekskassan,

2.en leverantör av kryptotillgångstjänster,

3.en emittent av tillgångsanknutna token,

4.en pensionsstiftelse,

5.en administratör av kritiska referensvärden,

6.en leverantör av gräsrotsfinansieringstjänster, och

7.ett transaktionsregister.

3 § Ett ingripande enligt 1 § mot Svenska skeppshypotekskassan sker genom beslut om föreläggande att inom en viss tid vidta en viss åtgärd eller upphöra med ett visst agerande.

4 § Ett ingripande enligt 1 § mot en emittent av tillgångsanknutna token, en pensionsstiftelse eller ett transaktionsregister sker genom beslut om

1.föreläggande att inom en viss tid vidta en viss åtgärd eller upphöra med ett visst agerande, eller

2.anmärkning.

5 § Ett ingripande enligt 1 § mot en leverantör av kryptotillgångstjänster en administratör av kritiska referensvärden eller en leverantör av gräsrots- finansieringstjänster sker genom beslut om

1.föreläggande att inom en viss tid vidta en viss åtgärd eller upphöra med ett visst agerande, eller

2.anmärkning.

Om överträdelsen är allvarlig får den finansiella entitetens auktorisation återkallas eller, om det är tillräckligt, en varning meddelas.

	6 § Ett ingripande får inte ske om en överträdelse omfattas av ett före-
	läggande som har förenats med vite och en ansökan om utdömande av vitet
	har gjorts.
	7 § Om ett beslut om anmärkning eller varning enligt 4 eller 5 § har med-
	delats, får Finansinspektionen besluta att den som har gjort sig skyldig till
374	överträdelsen ska betala en sanktionsavgift.

8 § Om en auktorisation återkallas enligt 5 § får Finansinspektionen bestämma hur verksamheten ska avvecklas.

Ett beslut om återkallelse får förenas med förbud att fortsätta med hela eller delar av verksamheten.

Ingripanden mot vissa företrädare för finansiella entiteter

Ett ingripande får ske genom en eller båda av följande sanktioner:

1.beslut att den fysiska personen under en viss tid, lägst tre och högst tio år, inte får vara styrelseledamot eller verkställande direktör i en sådan finansiell entitet som avses i första stycket, eller ersättare för någon av dem, eller

2.beslut om sanktionsavgift.

Ett ingripande får ske bara om den finansiella entitetens överträdelse är allvarlig och den fysiska personen i fråga uppsåtligen eller av grov oaktsamhet orsakat överträdelsen.

Sanktionsföreläggande

10 § Frågor om ingripande mot fysiska personer enligt 9 § tas upp av Finansinspektionen genom ett sanktionsföreläggande.

Ett sanktionsföreläggande innebär att den fysiska personen föreläggs att inom en viss tid godkänna en sanktion som är bestämd till tid eller belopp.

När ett sanktionsföreläggande har godkänts, gäller det som ett domstols- avgörande som fått laga kraft. Ett godkännande som görs efter den tid som angetts i föreläggandet är utan verkan.

11 § Ett sanktionsföreläggande ska innehålla uppgift om

1.den fysiska person som föreläggandet avser,

2.överträdelsen och de omständigheter som behövs för att känneteckna

den,

3.de bestämmelser som är tillämpliga på överträdelsen, och

4.den sanktion som föreläggs personen.

Prövningstillstånd krävs vid överklagande till kammarrätten.

Prop. 2024/25:44 Bilaga 6

375

Prop. 2024/25:44 Bilaga 6

Sanktionsavgifter

14 § Sanktionsavgiften för en finansiell entitet som anges i 1 § och som är en juridisk person ska som högst fastställas till det högsta av

1.ett belopp som per den 16 januari 2023 i svenska kronor motsvarade en miljon euro,

2.tio procent av den finansiella entitetens omsättning närmast före- gående räkenskapsår eller, i förekommande fall, motsvarande omsättning på koncernnivå, eller

3.tre gånger den vinst som den finansiella entiteten har gjort till följd av regelöverträdelsen, om beloppet går att fastställa.

Sanktionsavgiften får inte bestämmas till ett lägre belopp än

5 000 kronor.

16 § Sanktionsavgiften för en fysisk person ska som högst fastställas till det högsta av

1.ett belopp som per den 16 januari 2023 i svenska kronor motsvarade

500 000 euro, eller

2.tre gånger den vinst som den fysiska personen har gjort till följd av regelöverträdelsen, om beloppet går att fastställa.

17 § Sanktionsavgifter tillfaller staten.

376

Val av ingripande

18 § Vid valet av ingripande ska Finansinspektionen ta hänsyn till hur allvarlig överträdelsen är och hur länge den har pågått. Särskild hänsyn ska

tas till överträdelsens art, överträdelsens konkreta och potentiella effekter	Prop. 2024/25:44
på det finansiella systemet, skador som uppstått samt graden av ansvar hos	Bilaga 6
den fysiska eller juridiska person som har gjort sig skyldig till över-
trädelsen.

I förmildrande riktning ska det beaktas om den som har begått över- trädelsen

1.i väsentlig utsträckning genom ett aktivt samarbete har underlättat Finansinspektionens utredning, och

2.snabbt upphört med överträdelsen eller snabbt verkat för att över- trädelsen ska upphöra, sedan den anmälts till eller påtalats av Finans- inspektionen.

20 § När sanktionsavgiftens storlek ska fastställas ska särskild hänsyn tas till sådana omständigheter som anges i 18 och 19 §§ samt till den berörda fysiska eller juridiska personens finansiella ställning och, om det går att fastställa, den vinst som personen gjort till följd av överträdelsen.

Möjlighet att avstå från ett ingripande

21 § Finansinspektionen får avstå från ingripande, om

1.överträdelsen är ringa eller ursäktlig,

2.den fysiska eller juridiska personen i fråga gör rättelse,

3.den fysiska personen har verkat för att den juridiska personen ska göra rättelse, eller

4.någon annan myndighet eller något annat organ har vidtagit åtgärder mot den fysiska eller juridiska personen och dessa åtgärder bedöms till- räckliga.

Verkställighet av beslut om sanktionsavgift

23 § Om sanktionsavgiften inte har betalats inom den tid som anges i 22 §, ska Finansinspektionen lämna avgiften för indrivning.

Bestämmelser om indrivning finns i lagen (1993:891) om indrivning av statliga fordringar m.m.

377

Förslag till lag om ändring i lagen (1967:531) om tryggande av pensionsutfästelse m.m.

Härigenom föreskrivs1 att 16 g och 16 i §§ lagen (1967:531) om tryggande av pensionsutfästelse m.m. ska ha följande lydelse.

Prop. 2024/25:44 Bilaga 6

Nuvarande lydelse

Föreslagen lydelse

16 g §2

En pensionsstiftelse som avses i 9 a § andra eller tredje stycket ska upprätta och följa riktlinjer för

1.riskhantering,

2.internrevision, och

3.verksamhet som omfattas av uppdragsavtal.

Pensionsstiftelsen ska upprätta	Pensionsstiftelsen	ska	upprätta
och vid behov följa en beredskaps-	och vid behov följa en beredskaps-
plan som säkerställer att verksam-	plan som säkerställer att verksam-
heten kan bedrivas kontinuerligt.	heten kan bedrivas	kontinuerligt.
	Stiftelsen ska ha sådana nätverks-
	och informationssystem som avses i
	Europaparlamentets	och	rådets
	förordning (EU) 2022/2554 av den
	14 december 2022	om	digital
	operativ motståndskraft för finans-

sektorn och om ändring av förord- ningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

16 i §3

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1.vad placeringsriktlinjerna och redogörelsen enligt 16 f § ska inne- hålla, och

2. vad de styrdokument som	2. vad	de styrdokument	som
anges i 16 g § ska innehålla.	anges i	16 g § första och	tredje
	styckena ska innehålla.

2Senaste lydelse 2020:394.

3 Senaste lydelse 2020:394.

379

Förslag till lag om ändring i trafikskadelagen (1975:1410)

Härigenom föreskrivs att 5 § trafikskadelagen (1975:1410)1 ska ha följande lydelse.

Prop. 2024/25:44 Bilaga 6

Nuvarande lydelse

Föreslagen lydelse

5§2

Trafikförsäkring får meddelas av

1.en försäkringsgivare som har fått tillstånd till det enligt 2 kap. 4 § försäkringsrörelselagen (2010:2043),

2.en försäkringsgivare som har fått tillstånd till det enligt 4 kap. 1 § lagen (1998:293) om utländska försäkringsgivares och tjänstepensions- instituts verksamhet i Sverige, och

3.en EES-försäkringsgivare som är verksam i Sverige enligt 2 kap. 1 § lagen om utländska försäkringsgivares och tjänstepensionsinstituts verk- samhet i Sverige.

försäkringsgivare

som

får

försäkringsgivare

som

får

meddela trafikförsäkring är skyldig

att på begäran meddela trafikför-

säkring. I ett tillstånd enligt 2 kap.

4 § försäkringsrörelselagen eller

4 § försäkringsrörelselagen

eller

4 kap.

1 §

lagen

utländska

4 kap.

1 §

lagen

utländska

försäkringsgivares

och

tjänste-

försäkringsgivares

och

tjänste-

pensionsinstituts

verksamhet

pensionsinstituts

verksamhet

Sverige kan dock skyldigheten be-

Sverige får dock skyldigheten be-

gränsas till att gälla försäkring åt

personer som tillhör en viss yrkes-

grupp eller intressegrupp eller som

är bosatta inom ett visst område.

Finansinspektionen kan efter an-

Finansinspektionen får efter an-

sökan besluta om motsvarande be-

gränsning

för försäkringsgivare

gränsning

för försäkringsgivare

som driver verksamhet här enligt

2 kap.

1 §

lagen

utländska

2 kap.

1 §

lagen

utländska

försäkringsgivares och tjänstepen-

sionsinstituts verksamhet i Sverige.

Finansinspektionens beslut

får

Finansinspektionens beslut

får

överklagas hos regeringen.

överklagas till allmän förvaltnings-

domstol. Prövningstillstånd

krävs

vid överklagande till kammar-

rätten.

1	Lagen omtryckt 1994:43.	381
2	Senaste lydelse 2023:666.	381

Prop. 2024/25:44 Bilaga 6

384

Förslag till lag om ändring i lagen (1998:1479) om värdepapperscentraler och kontoföring av finansiella instrument

Härigenom föreskrivs att 9 kap. 12 § lagen (1998:1479) om värdepappers- centraler och kontoföring av finansiella instrument1 ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

9kap. 12 §2

Finansinspektionen ska ingripa mot någon som ingår i en svensk värdepapperscentrals styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om värdepapperscentralen

1.tillhandahåller tjänster enligt avsnitten A, B och C i bilagan till förordningen om värdepapperscentraler, i den ursprungliga lydelsen, i strid med artiklarna 16, 25 eller 54 i förordningen,

3.låtit bli att uppfylla kapitalkravet i strid med artikel 47.1 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

4.låtit bli att uppfylla de organisatoriska kraven i strid med artiklarna 26–30 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

5.låtit bli att följa uppförandereglerna i strid med artiklarna 32–35 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

6.låtit bli att uppfylla kraven för värdepapperscentraltjänster i strid med artiklarna 37–41 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

7.låtit bli att uppfylla stabilitetskraven i strid med artiklarna 43–47 i förordningen om värdepapperscentraler, i den ursprungliga lydelsen,

8. låtit bli att uppfylla kraven på			8. låtit bli att uppfylla kraven på
länkar	mellan	värdepappers-	länkar		mellan		värdepappers-
centraler i strid med artikel 48 i			centraler i strid med artikel 48 i
förordningen om		värdepappers-	förordningen			om	värdepappers-
centraler, i den ursprungliga lydel-			centraler, i den ursprungliga lydel-
sen, eller			sen,
9. utan	giltig grund vägrat att		9. utan		giltig grund vägrat att
bevilja olika typer av tillträde i strid			bevilja olika typer av tillträde i strid
med artiklarna 49–53 i förord-			med artiklarna 49–53 i förord-
ningen om värdepapperscentraler, i			ningen om värdepapperscentraler, i
den ursprungliga lydelsen.			den ursprungliga lydelsen, eller
			10. har		åsidosatt		sina skyldig-
			heter	enligt		någon	av artiklarna
			5–10,	11.1–11.10,			12–14, 16.1,

1Senaste lydelse av lagens rubrik 2016:51.

2Senaste lydelse 2016:51.

				16.2,	17,	18.1,	18.2,		19.1,	19.3,
				19.4, 23–25, 26.1–26.8,							27,
				28.1–28.8, 29, 30.1–30.4, 31.12
				eller 45 i Europaparlamentets och
				rådets förordning (EU) 2022/2554
				av den		14 december			2022		om
				digital operativ motståndskraft för
				finanssektorn och om ändring av
				förordningarna				(EG)			nr
				1060/2009, (EU)				nr	648/2012,
				(EU) nr 600/2014, (EU) nr
				909/2014 och (EU) 2016/1011.
Ett ingripande		enligt	första	Ett	ingripande			enligt		första
stycket får ske endast om värde-				stycket får ske endast om värde-
papperscentralens överträdelse är				papperscentralens				överträdelse			är
allvarlig och personen i fråga				allvarlig och den fysiska personen i
uppsåtligen	eller	av	grov	fråga uppsåtligen eller av grov
oaktsamhet orsakat överträdelsen.				oaktsamhet orsakat överträdelsen.
Ingripande sker genom				Ingripande får ske genom en eller
				båda av följande sanktioner:

2.beslut om sanktionsavgift.

Denna lag träder i kraft den 17 januari 2025.

Prop. 2024/25:44 Bilaga 6

385

Prop. 2024/25:44 Bilaga 6

Förslag till lag om ändring i lagen (2004:46) om värdepappersfonder

Härigenom föreskrivs1 att 2 kap. 17 §, 12 kap. 1 a § och 13 kap. 1 § lagen (2004:46) om värdepappersfonder2 ska ha följande lydelse.

Nuvarande lydelse

Föreslagen lydelse

2kap. 17 §3

Ett fondbolag ska ha sunda rutiner för

1.förvaltning av verksamheten och redovisning,

2.intern kontroll, och

3.drift och förvaltning av sina informationssystem.

Fondbolaget ska särskilt

–upprätta och tillämpa regler för styrelseledamöters och anställdas egna affärer med finansiella instrument,

–ha en organisation som minskar risken för intressekonflikter som kan påverka fondandelsägares eller andra kunders intressen negativt.

3.drift och förvaltning av sina nätverks- och informationssystem.

Rutinerna enligt första stycket 3 ska uppfylla kraven i Europa- parlamentets och rådets förordning

(EU)	2022/2554	av	den
14 december 2022		om	digital

operativ motståndskraft för finans- sektorn och om ändring av förord- ningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011.

1.upprätta och tillämpa regler för styrelseledamöters och anställdas egna affärer med finansiella instrument,

3.ha en organisation som minskar risken för intresse- konflikter som kan påverka fond- andelsägares eller andra kunders intressen negativt.

386

2Senaste lydelse av lagens rubrik 2013:563.

3Senaste lydelse 2013:563.

12 kap.	Prop. 2024/25:44
1 a §4	Bilaga 6
Finansinspektionen ska ingripa mot någon som ingår i ett fondbolags
styrelse eller är dess verkställande direktör, eller ersättare för någon av
dem, om fondbolaget

1.har fått tillstånd att driva fondverksamhet genom att lämna falska uppgifter eller på annat otillbörligt sätt,

2.tillhandahåller diskretionär portföljförvaltning i strid med 1 kap. 4 §,

3.påbörjar marknadsföring av en av bolaget förvaltad värdepappersfond

iett annat land inom EES innan en underrättelse om detta gjorts hos Finansinspektionen i enlighet med 2 kap. 15 c §,

4. inte uppfyller grundläggande			4. inte	uppfyller grundläggande
krav på organisation och drift av			krav på organisation och drift av
verksamheten enligt 2 kap. 17 eller			verksamheten enligt 2 kap.		17 §
17 f § eller	föreskrifter	som har	första stycket 1 eller 2 eller tredje
meddelats	med stöd av	13 kap.	stycket eller 17 f § eller föreskrifter
1 § 11	avseende	dessa	som har meddelats med stöd av
bestämmelser,			13 kap.	1 § 11 avseende	dessa
			bestämmelser,

5.åsidosätter sina skyldigheter eller på annat sätt överträder det som anges om uppdragsavtal i någon av 4 kap. 4–6 §§ eller 7 § första stycket,

6.påbörjar förvaltning och marknadsföring av en värdepappersfond utan att fondbestämmelserna godkänts enligt 4 kap. 9 §,

7.vid upprepade tillfällen låter bli att upprätta eller tillhandahålla informationsbroschyr, faktablad, årsberättelse och halvårsberättelse i enlighet med 4 kap. 15–21 §§,

9.inte uppfyller kraven på hantering av risker i 5 kap. 2 § första eller andra stycket eller i föreskrifter som har meddelats med stöd av 13 kap.

1§ 23 avseende dessa bestämmelser,

10.i strid med 11 kap. 5 § första stycket låter bli att till Finans- inspektionen anmäla sådana förvärv och avyttringar som avses där,


11. i strid med 11 kap. 5 § tredje					11. i strid med 11 kap. 5 § tredje
stycket låter bli att till Finans-					stycket låter bli att till Finans-
inspektionen anmäla namnen på de					inspektionen anmäla namnen på de
ägare som har ett kvalificerat inne-					ägare som har ett kvalificerat inne-
hav av aktier i bolaget samt stor-					hav av aktier i bolaget samt stor-
leken på innehavet, eller					leken på innehavet,
12. har befunnits ansvarigt för en					12. har befunnits ansvarigt för en
allvarlig, upprepad eller systema-					allvarlig, upprepad eller systema-
tisk	överträdelse		av	lagen	tisk	överträdelse		av	lagen
(2017:630)		om	åtgärder	mot	(2017:630)		om	åtgärder	mot
penningtvätt		och finansiering av			penningtvätt		och finansiering av
terrorism eller föreskrifter som har
meddelats med stöd av den lagen.					terrorism eller föreskrifter som har
4 Senaste lydelse 2023:234.									387

Prop. 2024/25:44 Bilaga 6

388

meddelats med stöd av den lagen, eller

13. har åsidosatt sina skyldig- heter enligt någon av artiklarna 5–10, 11.1–11.10, 12–14, 16.1, 16.2, 17, 18.1, 18.2, 19.1, 19.3, 19.4, 23–25, 26.1–26.8, 27, 28.1–28.8, 29, 30.1–30.4, 31.12 eller 45 i Europaparlamentets och rådets förordning (EU) 2022/2554.

personen i fråga om dessa aktier.
Ett ingripande	enligt	första	Ett ingripande enligt första
stycket får ske endast om bolagets			stycket får ske endast om bolagets
överträdelse är	allvarlig	och	överträdelse är allvarlig och den
personen i fråga uppsåtligen eller			fysiska personen i fråga uppsåtligen
av grov oaktsamhet har orsakat			eller av grov oaktsamhet har
överträdelsen.			orsakat överträdelsen.
Ingripande sker genom			Ingripande får ske genom en eller
			båda av följande sanktioner:

2.beslut om sanktionsavgift.

13kap. 1 §5

Regeringen eller den myndighet som regeringen bestämmer får meddela föreskrifter om

1.vilka åtgärder ett fondbolag ska vidta om det tar emot medel med redovisningsskyldighet enligt 1 kap. 4 § eller 7 kap. 1 §,

2.hur ett förvaltningsbolag eller fondföretag ska tillhandahålla information om de uppgifter som avses i 1 kap. 6 c § första stycket och 8 § första stycket,

3.på vilket språk ett förvaltningsbolag eller fondföretag ska tillhanda- hålla funktionerna i 1 kap. 6 c § första stycket och 8 § första stycket,

4.på vilket språk ett fondföretag ska tillhandahålla information enligt

1kap. 9 § första stycket 1 och 2 och 9 a § första stycket,

5.hur ett fondföretag ska offentliggöra avsikten att upphöra med marknadsföringen av andelar i företaget enligt 1 kap. 9 § första stycket 2,

1kap. 9 a § första stycket,

7.vilka poster som får räknas in i startkapitalet enligt 2 kap. 4 §,

8.vilka poster som får räknas in i egna medel enligt 2 kap. 8–10 §§,

5Senaste lydelse 2023:234.

9.på vilket språk underrättelsen enligt 2 kap. 15 c § första stycket ska skrivas,

10.hur fondbolaget ska offentliggöra handlingarna enligt 2 kap. 15 c § fjärde stycket,

11. vad ett fondbolag ska iaktta	11. vad ett fondbolag ska iaktta
för att uppfylla skyldigheterna i	för att uppfylla skyldigheterna	i
2 kap. 17, 17 c och 17 f§§,	2 kap. 17 § första stycket 1 och	2
	och tredje stycket, 17 c och 17 f §§,

12.vilka åtgärder ett fondbolag ska vidta för att uppfylla de krav som följer av 2 kap. 17 g §,

13.hur uppgifter enligt 2 kap. 20 § första stycket ska lämnas,

14.vilken information som ska lämnas i underrättelsen till andelsägare enligt 4 kap. 9 a § och på vilket sätt underrättelsen ska lämnas,

15.villkor som en andelsklass får vara förenad med enligt 4 kap. 10 § andra stycket 2 och under vilka förutsättningar en andelsklass får vara förenad med ett visst villkor,

16.utformningen och tillämpningen av metoder för justerat fondandels- värde enligt 4 kap. 10 b § och vilka krav som ska uppfyllas när ett justerat fondandelsvärde beräknas och används,

17. tillhandahållande av informationsbroschyr och faktablad enligt

4 kap. 20 §,

18.på vilket språk informationen enligt 4 kap. 20 § ska tillhandahållas,

19.hur volatiliteten i skillnaden mellan fondens avkastning och jämförelseindexets avkastning enligt 4 kap. 26 § ska beräknas,

20.hur informationen enligt 4 kap. 28 § ska presenteras,

21.kriterier för de finansiella tillgångar som medel i en värdepappers- fond får placeras i enligt 5 kap. 1 § andra stycket första meningen,

22.vilka tekniker och instrument ett fondbolag får använda enligt 5 kap.

1§ tredje stycket samt villkor och gränser för sådan användning,

23.det system för riskhantering ett fondbolag ska ha enligt 5 kap. 2 § första och andra styckena,

24.kriterier för indexfonder enligt 5 kap. 7 §,

25.beräkning av exponeringar enligt 5 kap. 13 och 14 §§,

26.på vilket sätt underrättelsen till andelsägarna enligt 5 a kap. 7 § ska lämnas,

27.vilka fel och försummelser som ska rapporteras enligt 5 a kap. 18 §,

28.förutsättningar för överföring av finansiella instrument och förvaltning enligt 5 a kap. 37 och 46 §§,

29.vilka åtgärder ett fondbolag ska vidta för att uppfylla de krav som följer av bestämmelserna i 7 kap. 3 §,

30.vad informationen enligt 8 kap. 8 § ska innehålla, hur den ska utformas, på vilket sätt den ska tillhandahållas och vad som ska bifogas informationen,

31.på vilket språk de handlingar som ska lämnas tillsammans med ansökan enligt 8 kap. 19 § ska upprättas,

33.sådana avgifter som avses i 10 kap. 11 §.

Prop. 2024/25:44 Bilaga 6

389

Förslag till lag om ändring i lagen (2004:297) om bank- och finansieringsrörelse

Härigenom föreskrivs1 i fråga om lagen (2004:297) om bank- och finansieringsrörelse2

dels att nuvarande 6 kap. 2 a och 2 b §§ ska betecknas 6 kap. 2 b och

2 c §§,

dels att den nya 6 kap. 2 c §, 10 kap. 1 §, 15 kap. 1 a §, 16 kap. 1 § och 17 kap. 1 § ska ha följande lydelse,

dels att rubriken närmast före 6 kap. 2 a § ska sättas närmast före 6 kap.

2 b §,

dels att det ska införas en ny paragraf, 6 kap. 2 a §, och närmast före

6 kap. 2 a § en ny rubrik av följande lydelse.

Prop. 2024/25:44 Bilaga 6

Nuvarande lydelse

Föreslagen lydelse

6 kap.

Nätverks- och informationssystem

	2 a §
	Ett kreditinstituts nätverks- och
	informationssystem	ska	uppfylla
	kraven i Europaparlamentets och
	rådets förordning (EU) 2022/2554
	av den 14 december		2022	om
	digital operativ motståndskraft för
	finanssektorn och om ändring av
	förordningarna	(EG)		nr
	1060/2009, (EU)	nr	648/2012,
	(EU) nr 600/2014, (EU) nr
	909/2014 och (EU) 2016/1011.
2 b §	2 c §3

Detsamma gäller om en anställd	Detsamma gäller om en anställd
har gjort en anmälan via det	har gjort en anmälan via det
rapporteringssystem som avses i	rapporteringssystem som avses i
2 a §.	2 b §.

2Senaste lydelse av

6 kap. 2 a § 2018:327
rubriken närmast före 6 kap. 2 a § 2016:893.	391
3 Senaste lydelse av tidigare 2 b § 2016:893.	391

1. 8 kap. 9 och 30 §§ samt 37 § andra stycket aktiebolagslagen,

2. 23 kap. 45 b § aktiebolagslag- en,

3. 24 kap. 47 § aktiebolagslagen, och

4. 24 a kap. 24 § aktiebolagslag- en.

Prop. 2024/25:44 Bilaga 6

392

10kap. 1 §4

Ifråga om bankaktiebolag ska det som anges om Bolagsverket i följande bestämmelser avse Finansinspektionen:

– 8 kap. 9 och 30 §§ samt 37 § andra stycket aktiebolagslagen,

–23 kap. 45 b § aktiebolagslag- en,

– 24 kap. 47 § aktiebolagslagen, och

– 24 a kap. 24 § aktiebolagslag- en.

15kap.

1 a §5

Finansinspektionen ska ingripa mot någon som ingår i ett kreditinstituts styrelse eller är dess verkställande direktör, eller ersättare för någon av dem, om kreditinstitutet

1.har fått tillstånd att driva bank- eller finansieringsrörelse genom att lämna falska uppgifter eller på annat otillbörligt sätt,

2.i strid med 14 kap. 4 § första stycket låter bli att till Finans- inspektionen anmäla sådana förvärv och avyttringar som avses där,

4 inte uppfyller	kraven i	6 kap.	4 inte uppfyller kraven i 6 kap. 1,
1–3 c, 4, 4 a, 4 c	eller 5 §	eller i	2, 2 b–3 c, 4, 4 a, 4 c eller 5 § eller
föreskrifter som har meddelats med			i föreskrifter som har meddelats
stöd av 16 kap. 1 § 5,			med stöd av 16 kap. 1 § 5,

6.låter bli att rapportera eller lämnar ofullständig eller felaktig information till Finansinspektionen när det gäller data som avses i artikel 430a i tillsynsförordningen,

7.låter bli att lämna information till Finansinspektionen eller lämnar ofullständig eller felaktig information om en stor exponering i strid med artikel 394.1 i tillsynsförordningen,

8.låter bli att lämna information till Finansinspektionen eller lämnar ofullständig eller felaktig information om likviditet i strid med artikel 415.1 och 415.2 i tillsynsförordningen,

4Senaste lydelse 2022:1649.

5Senaste lydelse 2022:804.