Artikel 1 - Innehåll

1. I syfte att uppnå en hög gemensam nivå av digital operativ motståndskraft fastställs i denna förordning enhetliga krav avseende säkerhet i nätverks- och informationssystem som stöder finansiella entiteters affärsprocesser enligt följande:

   a. Krav som är tillämpliga på finansiella entiteter i fråga om

   1. riskhantering inom informations- och kommunikationsteknik (IKT),
   2. rapportering av allvarliga IKT-relaterade incidenter och underrättande om, på frivillig grund, betydande cyberhot till de behöriga myndigheterna,
   3. rapportering av allvarliga betalningsrelaterade operativa incidenter eller säkerhetsincidenter till de behöriga myndigheterna av de finansiella entiteter som avses i artikel 2.1 a–d,
   4. testning av digital operativ motståndskraft,
   5. utbyte av information och underrättelser i samband med cyberhot och cybersårbarheter,
   6. åtgärder för en sund hantering av tredjepartsrelaterad IKT-risk.

   b. Krav i samband med de kontraktsmässiga arrangemang som har ingåtts mellan tredjepartsleverantörer av IKT-tjänster och finansiella entiteter.

   c. Regler för inrättandet och genomförandet av tillsynsramen för kritiska tredjepartsleverantörer av IKT-tjänster när de tillhandahåller tjänster till finansiella entiteter.

   d. Regler om samarbete mellan behöriga myndigheter och regler om behöriga myndigheters tillsyn och kontroll av efterlevnaden i alla frågor som omfattas av denna förordning.

2. När det gäller finansiella entiteter som har identifierats som leverantörer av väsentliga eller viktiga entiteter enligt nationella regler som införlivar artikel 3 i direktiv (EU) 2022/2555 ska denna förordning betraktas som en sektorsspecifik unionsrättsakt vid tillämpningen av artikel 4 i det direktivet.

3. Denna förordning påverkar inte medlemsstaternas ansvar vad gäller väsentliga statliga funktioner inom områdena allmän säkerhet, försvar och nationell säkerhet i enlighet med unionsrätten.