1. Europarådets vedtagelse

1.1 EU er på veje med flere nye regelsæt til den finansielle sektor.

1.2 Europarådet har den 24. november 2021 vedtaget sin holdning til Digital Operational Resilience Act (DORA) og Markets in Crypto-Assets (MiCA). Både DORA og MiCA udspringer af EU-Kommissionens digitale strategi.

1.3 Med vedtagelsen er Europarådet nu er parat til at indlede trepartsforhandlingerne med Europa-Parlamentet.

1.4 Når forhandlerne for EU-institutionerne så har nået politisk enighed, vil begge institutioner formelt vedtage DORA og MiCA. Dette forventes at ske i løbet af efteråret 2022.

2. DORA

2.1 DORA er EU’s forsøg på at harmonisere reglerne for håndtering af sikkerheden i net- og informationssystemer i finansielle virksomheder på tværs af Europa. DORA vil finde anvendelse på en bred vifte af finansielle virksomheder, herunder blandt andet pengeinstitutter, kreditinstitutter, betalingstjenesteudbydere, forsikringsselskaber og udbydere af kryptoaktivtjenester. På nogle punkter udstrækkes reglerne dog også til direkte at omfatte visse leverandører til de finansielle virksomheder.

2.2 DORA vil pålægge de finansielle virksomheder en række krav i relation til:

  • risikostyring indenfor informations- og kommunikationsteknologi (IKT),
  • indberetning af større IKT-relaterede hændelser,
  • test af digital operationel modstandsdygtighed,
  • udveksling af oplysninger om cybertrusler og sårbarheder, og
  • foranstaltninger til solid styring af IKT-tredjepartsrisici.

2.3 Derudover vil der blive indført visse krav til kontrakter mellem de finansielle virksomheder og IKT-leverandører, som det også er kendt fra outsourcing-reglerne i den finansielle sektor. Samtidig vil relevante myndigheder få mulighed for at føre tilsyn med de finansielle virksomheders overholdelse af reglerne, herunder ved inspektioner.

2.4 De fælles europæiske tilsynsmyndigheder vil for hver IKT-leverandør, der anses for at opfylde en vigtig rolle for at sikre en velfungerende finansiel sektor, skulle udpege en ledende tilsynsførende blandt EBA, ESMA eller EIOPA til at sikre, at leverandøren overvåges i tilstrækkelig grad på paneuropæisk plan.

2.5 DORA kan læses i seneste udkast her.

3. MICA

3.1 MiCA er EU’s forsøg på at harmonisere reglerne for kryptoaktiver på tværs af EU. MiCA vil finde anvendelse på personer og andre, der (i) udsteder kryptoaktiver, f.eks. nye crypto coins eller tokens, og (ii) udbydere af kryptoaktivtjenester, f.eks. handelsplatforme.

3.2 MiCA indeholder autorisationsprocedurer for både udstedere af kryptoaktiver og udbydere af kryptoaktivtjenester, foruden en angivelse af de kompetente myndigheder og deres kompetencer i relation til MiCA-regelsættet.

3.3 MiCA vil blandt andet kræve, at udstedere af kryptoaktiver, offentliggør en såkaldt hvidbog (”whitepaper”), der skal indeholde en række minimumsinformationer i stil med et prospekt ved udbud af aktier. Er der givet misvisende oplysninger i hvidbogen, kan der rejses krav mod både udstederen og ledelsen.

3.4 Derudover vil MiCA også stille en række krav til driften, organiseringen og ledelsen af både udstedere af kryptoaktiver og udbydere af kryptoaktivtjenester.

3.5 MiCA kan læses i seneste udkast her.