Artikel 3 - Definitioner

I denna förordning gäller följande definitioner:

1. Digital operativ motståndskraft

En finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott.

2. Nätverks- och informationssystem

Ett nätverks- och informationssystem enligt definitionen i artikel 6.1 i direktiv (EU) 2022/2555.

Kommentar

Hänvisningen avser NIS2-direktivet:

1. Ett elektroniskt kommunikationsnät enligt definitionen i artikel 2.1 i direktiv (EU) 2018/1972.
2. En enhet eller en grupp enheter som är sammankopplade eller hör samman med varandra, av vilka en eller flera genom ett program utför automatisk behandling av digitala uppgifter.
3. Digitala uppgifter som lagras, behandlas, hämtas eller överförs med sådana hjälpmedel som omfattas av leden a och b för att de ska kunna drivas, användas, skyddas och underhållas.

3. Äldre IKT-system

Ett IKT-system som har nått slutet på sin livscykel, som inte lämpar sig för uppgraderingar eller justeringar, av tekniska eller kommersiella skäl, eller som inte längre stöds av leverantören eller av en tredjepartsleverantör av IKT-tjänster, men som fortfarande används och stöder den finansiella entitetens funktioner.

4. Säkerhet i nätverks- och informationssystem

[sic!] Ett säkerhet i nätverks- och informationssystem enligt definitionen i artikel 6.2 i direktiv (EU) 2022/2555.

Kommentar

Hänvisningen avser NIS2-direktivet:

“Nätverks- och informationssystems förmåga att med en viss tillförlitlighetsnivå motstå händelser som kan undergräva tillgängligheten, autenticiteten, riktigheten eller konfidentialiteten hos lagrade, överförda eller behandlade uppgifter eller hos de tjänster som erbjuds genom eller är tillgängliga via dessa nätverks- och informationssystem.”

5. IKT-risk

Varje rimligen identifierbar omständighet i samband med användningen av nätverks- och informationssystem som, om de inträffar, kan äventyra säkerheten i nätverks- och informationssystem, verktyg eller processer som är teknikberoende, funktioner och processer eller tillhandahållandet av tjänster genom att orsaka negativa effekter i den digitala eller fysiska miljön.

6. Informationstillgång

En samling materiell eller immateriell skyddsvärd information.

7. IKT-tillgång

En programvaru- eller maskinvarutillgång i nätverks- och informationssystemen som används av den finansiella entiteten.

8. IKT-relaterad incident

En enskild händelse eller en serie sammankopplade händelser som inte planerats av den finansiella entiteten och som äventyrar säkerheten i nätverks- och informationssystemen och har negativ inverkan på tillgängligheten, äktheten, integriteten eller konfidentialiteten vad gäller datan eller de tjänster som tillhandahålls av den finansiella entiteten.

9. Betalningsrelaterad operativ incident eller säkerhetsincident

En enskild händelse eller en serie sammankopplade händelser som inte planerats av de finansiella entiteter som avses i artikel 2.1 a–d och som kan vara IKT-relaterade men inte behöver vara det och har negativ inverkan på tillgängligheten, äktheten, integriteten eller konfidentialiteten vad gäller betalningsrelaterade data eller de betalningsrelaterade tjänster som tillhandahålls av den finansiella entiteten.

Kommentar

De finansiella entiteter som avses är:

• Kreditinstitut.
• Betalningsinstitut, inbegripet sådana betalningsinstitut som är undantagna enligt direktiv (EU) 2015/2366.
• Leverantörer av kontoinformationstjänster.
• Institut för elektroniska pengar, inbegripet sådana institut för elektroniska pengar som är undantagna enligt direktiv 2009/110/EG.

10. Allvarlig IKT-relaterad incident

En IKT-relaterad incident som har stor negativ inverkan på nätverks- och informationssystem som stöder den finansiella entitetens kritiska eller viktiga funktioner.

11. Allvarlig betalningsrelaterad operativ incident eller säkerhetsincident

En betalningsrelaterad operativ incident eller säkerhetsincident som har stor negativ inverkan på de betalningsrelaterade tjänster som tillhandahålls.

12. Cyberhot

Ett cyberhot enligt definitionen i artikel 2.8 i förordning (EU) 2019/881.

Kommentar

“En potentiell omständighet, händelse eller handling som kan skada, störa eller på annat negativt sätt påverka nätverks- och informationssystem, användare dessa system och andra personer.”

13. Betydande cyberhot

Ett cyberhot vars tekniska egenskaper indikerar att det potentiellt kan leda till en allvarlig IKT-relaterad incident eller allvarlig betalningsrelaterad operativ incident eller säkerhetsincident.

14. Cyberangrepp

En skadlig IKT-relaterad incident orsakad av ett försök av en fientlig aktör att förstöra, exponera, ändra, deaktivera, stjäla eller få obehörig åtkomst till eller obehörigt utnyttja en tillgång.

15. Underrättelser om hot

Information som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande och som möjliggör relevant och tillräcklig förståelse för att mildra effekterna av en IKT-relaterad incident eller ett cyberhot, inbegripet de tekniska detaljerna om ett cyberangrepp, de ansvariga för attacken och deras tillvägagångssätt och motiv.

16. Sårbarhet

En svaghet, mottaglighet eller brist hos en tillgång, ett system, en process eller en kontroll som kan utnyttjas.

17. Hotbildsstyrd penetrationstestning

En ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten.

18. IKT-tredjepartsrisk

En IKT-risk som kan uppstå för en finansiell entitet i samband med dess användning av IKT-tjänster som tillhandahålls av tredjepartsleverantörer av IKT-tjänster eller av underleverantörer till sådana leverantörer, inbegripet genom utkontrakteringsarrangemang.

19. Tredjepartsleverantör av IKT-tjänster

Ett företag som tillhandahåller IKT-tjänster.

20. Koncernintern IKT-tjänsteleverantör

Ett företag som ingår i en finansiell koncern och som huvudsakligen tillhandahåller IKT-tjänster till finansiella entiteter inom samma koncern eller till finansiella entiteter som tillhör samma institutionella skyddssystem, inbegripet till deras moderföretag, dotterföretag, filialer eller andra entiteter som står under samma ägarskap eller kontroll.

21. IKT-tjänster

Digitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster.

22. Kritisk eller viktig funktion

En funktion vars avbrott väsentligt skulle försämra den finansiella entitetens finansiella resultat eller sundheten eller kontinuiteten i dess tjänster och verksamhet, eller om funktionens upphörande, brister eller misslyckande väsentligt skulle försämra en finansiell entitets fortsatta efterlevnad av villkoren och skyldigheterna i auktorisationen eller av dess övriga skyldigheter enligt tillämplig rätt avseende finansiella tjänster.

23. Kritisk tredjepartsleverantör av IKT-tjänster

En tredjepartsleverantör av IKT-tjänster som har klassificerats som kritisk i enlighet med artikel 31.

24. Tredjepartsleverantör av IKT-tjänster som är etablerad i ett tredjeland

En tredjepartsleverantör av IKT-tjänster som är en juridisk person som är etablerad i ett tredjeland och som har ingått ett kontraktsmässigt arrangemang med en finansiell entitet om tillhandahållande av IKT-tjänster.

25. Dotterföretag

Ett dotterföretag i den mening som avses i artiklarna 2.10 och 22 i direktiv 2013/34/EU.

Kommentar

Ett företag som står under bestämmande inflytande av ett moderföretag, inbegripet varje dotterföretag till ett överordnat moderföretag.

Se även artikel 22 i direktivet.

26. Koncern

En koncern enligt definitionen i artikel 2.11 i direktiv 2013/34/EU.

Kommentar

Ett moderföretag och alla dess dotterföretag.

27. Moderföretag

Ett moderföretag i den mening som avses i artiklarna 2.9 och 22 i direktiv 2013/34/EU.

28. IKT-underleverantör etablerad i ett tredjeland

En IKT-underleverantör som är en juridisk person som är etablerad i ett tredjeland och som har ingått ett kontraktsmässigt arrangemang antingen med en tredjepartsleverantör av IKT-tjänster eller med en tredjepartsleverantör av IKT-tjänster som är etablerad i ett tredjeland.

29. IKT-koncentrationsrisk

Exponering mot enskilda eller flera närstående kritiska tredjepartsleverantörer av IKT-tjänster som skapar ett visst beroende av sådana leverantörer, så att otillgänglighet, fel eller annan typ av brist hos sådana leverantörer kan komma att äventyra förmågan hos en finansiell entitet att tillhandahålla kritiska eller viktiga funktioner eller leda till andra typer av negativa effekter, inbegripet stora förluster, eller äventyra den finansiella stabiliteten i unionen som helhet.

30. Ledningsorgan

Ett ledningsorgan enligt definitionen i artikel 4.1.36 i direktiv 2014/65/EU, artikel 3.1.7 i direktiv 2013/36/EU, artikel 2.1 s i Europaparlamentets och rådets direktiv 2009/65/EG (31), artikel 2.1.45 i förordning (EU) nr 909/2014, artikel 3.1.20 i förordning (EU) 2016/1011 och i de relevanta bestämmelserna i förordningen om kryptotillgångar, eller motsvarande personer som i praktiken leder entiteten eller har nyckelfunktioner i enlighet med relevant unionsrätt eller nationell rätt.

31. Kreditinstitut

Ett kreditinstitut enligt definitionen i artikel 4.1.1 i Europaparlamentets och rådets förordning (EU) nr 575/2013.

32. Institut undantaget enligt direktiv 2013/36/EU

En sådan enhet som avses i artikel 2.5.4–2.5.23 i direktiv 2013/36/EU.

33. Värdepappersföretag

Ett värdepappersföretag enligt definitionen i artikel 4.1.1 i direktiv 2014/65/EU.

34. Litet och icke-sammanlänkat värdepappersföretag

Ett värdepappersföretag som uppfyller villkoren i artikel 12.1 i Europaparlamentets och rådets förordning (EU) 2019/2033.

35. Betalningsinstitut

Ett betalningsinstitut enligt definitionen i artikel 4.4 i direktiv (EU) 2015/2366.

36. Betalningsinstitut undantaget enligt direktiv (EU) 2015/2366

Sådana betalningsinstitut som är undantagna enligt artikel 32.1 i direktiv (EU) 2015/2366.

37. Leverantör av kontoinformationstjänster

Sådana leverantörer av kontoinformationstjänster som avses i artikel 33.1 i direktiv (EU) 2015/2366.

38. Institut för elektroniska pengar

Ett institut för elektroniska pengar enligt definitionen i artikel 2.1 i Europaparlamentets och rådets direktiv 2009/110/EG.

39. Institut för elektroniska pengar undantaget enligt direktiv 2009/110/EG:

Ett institut för elektroniska pengar som omfattas av ett undantag enligt artikel 9.1 i direktiv 2009/110/EG.

40. Central motpart

En central motpart enligt definitionen i artikel 2.1 förordning (EU) nr 648/2012.

41. Transaktionsregister

Ett transaktionsregister enligt definitionen i artikel 2.2 i förordning (EU) nr 648/2012.

42. Värdepapperscentral

En värdepapperscentral enligt definitionen i artikel 2.1.1 i förordning (EU) nr 909/2014.

43. Handelsplats

En handelsplats enligt definitionen i artikel 4.1.24 i direktiv 2014/65/EU.

44. Förvaltare av alternativa investeringsfonder

En förvaltare av alternativa investeringsfonder enligt definitionen i artikel 4.1 b i direktiv 2011/61/EU.

45. Förvaltningsbolag

Ett förvaltningsbolag enligt definitionen i artikel 2.1 b i direktiv 2009/65/EG.

46. Leverantör av datarapporteringstjänster

En leverantör av datarapporteringstjänster i enlighet med vad som avses i artikel 2.1.34–36 i förordning (EU) nr 600/2014.

47. Försäkringsföretag

Ett försäkringsföretag enligt definitionen i artikel 13.1 i direktiv 2009/138/EG.

48. Återförsäkringsföretag

Ett återförsäkringsföretag enligt definitionen i artikel 13.4 i direktiv 2009/138/EG.

49. Försäkringsförmedlare

En försäkringsförmedlare enligt definitionen i artikel 2.1.3 i Europaparlamentets och rådets direktiv (EU) 2016/97 (34).

50. Försäkringsförmedlare som bedriver förmedling som sidoverksamhet

En försäkringsförmedlare som bedriver förmedling som sidoverksamhet enligt definitionen i artikel 2.1.4 i direktiv (EU) 2016/97.

51. Återförsäkringsförmedlare

En återförsäkringsförmedlare enligt definitionen i artikel 2.1.5 i direktiv (EU) 2016/97.

52. Tjänstepensionsinstitut

Ett tjänstepensionsinstitut enligt definitionen i artikel 6.1 i direktiv (EU) 2016/2341.

53. Litet tjänstepensionsinstitut

Ett tjänstepensionsinstitut som förvaltar pensionsplaner som tillsammans inte har fler än totalt 100 medlemmar.

54. Kreditvärderingsinstitut

Ett kreditvärderingsinstitut enligt definitionen i artikel 3.1 b i förordning (EG) nr 1060/2009.

55. Leverantör av kryptotillgångstjänster

En leverantör av kryptotillgångstjänster enligt definitionen i de relevanta bestämmelserna i förordningen om kryptotillgångar.

56. Emittent av tillgångsanknutna token

En emittent av tillgångsanknutna token enligt definitionen i de relevanta bestämmelserna i förordningen om kryptotillgångar.

57. Administratör av kritiska referensvärden

En administratör av kritiska referensvärden enligt definitionen i artikel 3.1.25 i förordning (EU) 2016/1011.

58. Leverantör av gräsrotsfinansieringstjänster

En leverantör av gräsrotsfinansieringstjänster enligt definitionen i artikel 2.1 e i Europaparlamentets och rådets förordning (EU) 2020/1503 (35).

59. Värdepapperiseringsregister

Ett värdepapperiseringsregister enligt definitionen i artikel 2.23 i Europaparlamentets och rådets förordning (EU) 2017/2402 (36).

60. Mikroföretag

En finansiell entitet, som inte är en handelsplats, en central motpart, ett transaktionsregister eller en värdepapperscentral, och som har färre än 10 anställda och en årsomsättning och/eller årlig balansomslutning som inte överstiger 2 miljoner EUR.

61. Ledande tillsynsmyndighet

Een europeiska tillsynsmyndighet som utses i enlighet med artikel 31.1 b i denna förordning.

62. Den gemensamma kommittén

Den kommitté som avses i artikel 54 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

63. Litet företag

En finansiell entitet med tio eller fler anställda men färre än 50 anställda och en årsomsättning och/eller årlig balansomslutning som överstiger 2 miljoner EUR men som inte överstiger 10 miljoner EUR.

64. Medelstort företag

En finansiell entitet som inte är ett litet företag och som har färre än 250 anställda och en årsomsättning som inte överstiger 50 miljoner EUR och/eller en årlig balansomslutning som inte överstiger 43 miljoner EUR.

65. Offentlig myndighet

Alla statliga entiteter eller andra entiteter inom offentlig förvaltning, inbegripet nationella centralbanker.