Europeiska centralbankens förordning (EU) 2025/1355 av den 2 juli 2025 om krav på övervakning av systemviktiga betalningssystem (ECB/2025/22) (omarbetning)

Europeiska unionens
officiella tidning

L-serien

2025/1355

14.7.2025

EUROPEISKA CENTRALBANKENS FÖRORDNING (EU) 2025/1355

av den 2 juli 2025

om krav på övervakning av systemviktiga betalningssystem (ECB/2025/22)

(omarbetning)

ECB-RÅDET HAR ANTAGIT DENNA FÖRORDNING

med beaktande av fördraget om Europeiska unionens funktionssätt, särskilt artikel 127.2,

med beaktande av stadgan för Europeiska centralbankssystemet och Europeiska centralbanken, särskilt artikel 3.1, artikel 22 och artikel 34.1 första strecksatsen och

av följande skäl:

(1)

Europeiska centralbankens förordning (EU) nr 795/2014 (ECB/2014/28) (1) har flera gånger ändrats på viktiga punkter (2). Efter ECB-rådets granskning av tillämpningen av förordningen enligt dess artikel 24 ska ytterligare ändringar göras. Förordningen bör därför omarbetas så att den blir mer översiktlig.

(2)	Genom artikel 127.2 fjärde strecksatsen i fördraget och artikel 3.1 fjärde strecksatsen i stadgan för Europeiska centralbankssystemet och Europeiska centralbanken (nedan kallad ECBS-stadgan) får Eurosystemet uppgiften att främja väl fungerande betalningssystem.

(3)	Eurosystemet främjar väl fungerande betalningssystem bl.a. genom övervakning.

(4)

Kommittén för betalningar och marknadsinfrastruktur (CPMI), tidigare känd som CPSS, och den tekniska kommittén inom Internationella organisationen för värdepapperstillsyn (Iosco) har utfärdat principer för finansmarknadsinfrastrukturer. CPMI-Iosco rekommenderar att dessa principer genomförs fullt ut förutsatt att detta är möjligt enligt nationella rättsliga ramar och regelverk. För att säkerställa en effektiv övervakning av betalningssystem genomförde Europeiska centralbanken (ECB) dessa principer genom förordning (EU) nr 795/2014 (ECB/2014/28), som är tillämplig på systemviktiga betalningssystem, både sådana för större betalningar och sådana för massbetalningar.

(5)

Denna förordning omfattar både sådana betalningssystem som drivs av centralbanker och sådana som drivs av privata aktörer. Enligt CPMI-Iosco-principerna finns det dock exceptionella fall där principerna tillämpas annorlunda på betalningssystem som drivs av centralbanker på grund av krav som framgår av lag, förordning eller annan reglering. Eftersom Eurosystemets verksamhet omfattas av generella policymål, ansvarsområden och en institutionell ram som framgår av fördraget och ECBS-stadgan, kan Eurosystemets systemviktiga betalningssystem undantas från vissa krav i denna förordning. Eurosystemets systemviktiga betalningssystem bör framför allt undantas från specifika krav avseende styrning, avveckling, eget kapital och likvida tillgångar, säkerheter och investeringsrisker, som omfattar samma områden som de krav som formellt antagits av ECB-rådet. Dessa undantag framgår av olika bestämmelser i förordningen.

(6)

I enlighet med proportionalitetsprincipen ska ECB-rådet identifiera ett betalningssystem som systemviktigt om det uppfyller specifika kriterier som anges i denna förordning. Ett betalningssystem kan även identifieras som systemviktigt baserat på en flexibel metod där kvalitativa aspekter som betalningssystemets storlek, komplexitet och utbytbarhet beaktas.

(7)

För varje systemviktigt betalningssystem ska ECB-rådet identifiera en operatör av ett systemviktigt betalningssystem. Den identifierade operatören ansvarar gentemot den behöriga myndigheten för att det systemviktiga betalningssystemet uppfyller övervakningskraven enligt denna förordning. En operatör av ett systemviktigt betalningssystem bör vara en juridisk person i euroområdet som ansvarar för driften av ett systemviktigt betalningssystem. Undantagsvis kan ECB-rådet också i enstaka fall identifiera en filial som är etablerad i euroområdet och som utgör en rättsligt beroende del av en juridisk person etablerad utanför euroområdet som operatör av ett systemviktigt betalningssystem. Definitionen av ”operatör av ett systemviktigt betalningssystem” bör därför utökas i enlighet med detta.

(8)

Om en filial undantagsvis betecknas som operatör av ett systemviktigt betalningssystem bör de tillämpliga kraven i denna förordning i fråga om ledningens sammansättning, befattningar, kompetens och ansvar hos en juridisk person som har identifierats som operatör av ett systemviktigt betalningssystem även gälla för ledningen av en filial som har identifierats som operatör av ett systemviktigt betalningssystem och de ledande befattningshavare som utgör filialens ledning bör även vara medlemmar i ledningen enligt definitionen i artikel 9.11 b. Om en filial har identifierats som operatör av ett systemviktigt betalningssystem, kan den relevanta behöriga myndigheten vid behov beakta eventuella åtgärder och ramverk som har upprättats för den juridiska personen och med hänsyn till det systemviktiga betalningssystemet och/eller operatören av det systemviktiga betalningssystemet när den bedömer huruvida det systemviktiga betalningssystemet uppfyller kraven i denna förordning.

(9)

För att uppnå en effektiv övervakning bör den behöriga myndigheten vid behov samarbeta med andra myndigheter, bland annat för att minimera dubbelarbete och minska bördan för systemviktiga betalningssystem och relevanta myndigheter. Om en filial har identifierats som operatör av ett systemviktigt betalningssystem, bör den relevanta behöriga myndigheten även samarbeta med den myndighet som ansvarar för övervakning eller tillsyn över den juridiska person som filialen utgör en rättsligt beroende del av.

(10)

Affärsverksamheten för systemviktiga betalningssystem kan skifta över tiden. För att säkerställa integriteten på ramverket för identifiering av systemviktiga betalningssystem, samtidigt som man i möjligaste mån garanterar kontinuitet och undviker alltför frekventa omklassificeringar av betalningssystem, identifieras ett betalningssystem inte längre som ett systemviktigt betalningssystem om det inte uppfyller kriterierna härför vid två på varandra följande verifieringar. Det kan dock vara olämpligt att upprätthålla beteckningen som ett systemviktigt betalningssystem under en sådan period om det är otroligt att systemet kommer att uppfylla kraven för att betecknas som ett systemviktigt betalningssystem vid nästa verifiering. Följaktligen är det också vara möjligt att genomföra omklassificeringar tidigare i enskilda fall.

(11)	I denna förordning fastställs tydligt definierade förfaranden för att säkerställa att rättssäkerhetsaspekter beaktas både före och efter ECB-rådets beslut om att beteckna ett betalningssystem som systemviktigt.

(12)

I den utsträckning som det anses möjligt och ändamålsenligt får ECB anlita de nationella centralbankerna för att genomföra ECBS-uppgifter. För varje systemviktigt betalningssystem betecknas den relevanta centralbanken i Eurosystemet som behörig myndighet för att bedöma om det systemviktiga betalningssystemet uppfyller övervakningskraven enligt denna förordning. Om det rör sig om ett systemviktigt betalningssystem av alleuropeisk betydelse utförs övervakningen av ECB som utsedd behörig myndighet. För ett systemviktigt betalningssystem som under de fem föregående åren stått under en beprövad, långvarig övervakning av en nationell centralbank, betecknas däremot två centralbanker i Eurosystemet – den nationella centralbank som betalningssystemet har stått under en långvarig övervakning av, och ECB – till behöriga myndigheter.

(13)

Kraven som framgår av denna förordning står i proportion till de specifika risker och exponeringar som systemviktiga betalningssystem är utsatta för. I bestämmelserna i denna förordning beaktas även erfarenheter och resultat från de övervakningsbedömningar som har genomförts på grundval av förordning (EU) nr 795/2014 (ECB/2014/28) under de gångna åren samt teknikens och regelverkets senaste utveckling i Europeiska unionen, inklusive antagandet av Europaparlamentets och rådets förordning (EU) 2022/2554 (3).

(14)

Effektiva och sunda systemviktiga betalningssystem kräver att nationell lagstiftning efterlevs samt att de drivs enligt klara regler, förfaranden och avtal. Överensstämmelse med lagstiftningen avser alla de länder i vilka operatören av ett systemviktigt betalningssystem är etablerat och/eller bedriver verksamhet och där dess deltagare är etablerade och/eller bedriver verksamhet.

(15)

Effektiva och sunda systemviktiga betalningssystem kräver också en tydlig och lämplig organisationsstyrning som måste vara tydligt dokumenterad. En operatör av ett systemviktigt betalningssystem bör ha en organisationsstyrning som säkerställer att styrelsen får rådgivning från en objektiv och oberoende riskkommitté vad gäller sitt riskrelaterade ansvar. För att säkerställa styrelseledamöternas, ledningens och om tillämpligt filialledningens integritet bör vidare en operatör av ett systemviktigt betalningssystem beakta om de ledande befattningshavarna förekommer i belastningsregister när det gäller domar eller påföljder för överträdelser av tillämplig handelsrätt, insolvensrätt, lagstiftning om finansiella tjänster, lagstiftning inom området bekämpning av penningtvätt och finansiering av terrorism, och överträdelser av tjänsterelaterade skyldigheter samt för bedrägeri.

(16)

För att man på ett heltäckande sätt ska kunna hantera rättsliga, kredit-, likviditets-, operativa, företags-, förvarings-, investerings- och andra risker är det och nödvändigt att ha ett sunt ramverk under utveckling för att identifiera, mäta, övervaka och hantera alla de typer av risker som uppstår inom det systemviktiga betalningssystemets verksamhet eller som operatörer av ett systemviktigt betalningssystem berörs av. Detsamma gäller för sundheten och uthålligheten i en operatörs ramverk för ställande av säkerheter, regler och förfaranden för deltagares obestånd samt planer för att säkerställa en kontinuerlig affärsverksamhet.

(17)

Med tanke på den omfattande hanteringen av operativa risker, den ökande användningen av tekniska resurser för driften av ett systemviktigt betalningssystem samt det ökade hotet från cyberattacker och den funktionsstörning som en framgångsrik cyberattack skulle kunna orsaka hos en operatör av ett systemviktigt betalningssystem, bör en sådan operatör ha en strategi och ram för cyberresiliens med lämpliga förfaranden, processer och kontroller för att hantera cyberrisk på ett effektivt sätt och säkerställa en hög nivå av cyberresiliens. Kraven gällande en sådan strategi och ram för cyberresiliens bör baseras på övervakningsförväntningarna på finansiell infrastruktur i fråga om cyberresiliens (4) i syfte att göra vissa viktiga förväntningar rättsligt bindande för operatörer av systemviktiga betalningssystem. Det är även av yttersta vikt att en operatör av ett systemviktigt betalningssystem regelbundet testar att dess kontroller och system är effektiva genom att utföra hotbildsstyrd penetrationstestning i enlighet med det europeiska ramverket för hotunderrättelsebaserade, etiska red teaming-insatser (TIBER-EU) (5) (nedan kallat TIBER-EU-ramverket). Om en operatör av ett systemviktigt betalningssystem är en filial, får den behöriga myndigheten godta att testningen utförs av den juridiska person som filialen utgör en rättsligt beroende del av, om det kan anses vara jämförbart med ett TIBER-EU-test, och om det även ger en bild av hur effektiva filalens relevanta kontroller och system är.

(18)

Med tanke på att utlokalisering blir allt vanligare och kan medföra effektivitets- och säkerhetsrisker för ett systemviktigt betalningssystem, bör en operatör av ett sådant system alltid vara fortsatt ansvarig för de utlokaliserade funktionerna, verksamheterna och/eller tjänsterna. Operatören bör även ha avtal och ramverk som säkerställer att eventuella risker som uppstår till följd av utlokalisering på lämpligt sätt bedöms och reduceras av operatören innan avtal ingås och så länge utlokaliseringen pågår. När det gäller utlokalisering av kritiska funktioner, verksamheter och/eller tjänster bör det vidare finnas exitplaner som säkerställer fortsatt väl fungerande systemviktiga betalningssystem om ett utlokaliseringsarrangemang skulle upphöra. Koncerninterna arrangemang är inte i sig mindre riskfyllda än utlokalisering till tredje part. Även om det kan finnas fördelar med koncerninterna arrangemang, bör därför kraven avseende utlokalisering tillämpas också på koncerninterna arrangemang som utgör utlokalisering.

(19)

En minskning av systemrisken kräver bl.a. att avvecklingen är slutgiltig, och en operatör av ett systemviktigt betalningssystem bör därför göra sitt yttersta för att uppnå att det betecknas som systemviktigt betalningssystem i enlighet med Europaparlamentets och rådets direktiv 98/26/EG (6). Avveckling under dagen eller i realtid rekommenderas också om detta är förenligt med det systemviktiga betalningssystemets allmänna affärsmodell och nödvändigt för att operatören av det systemviktiga betalningssystemet och deltagarna ska kunna hantera sina respektive kredit- och likviditetsrisker.

(20)

Objektiva, riskbaserade och allmänt kända kriterier för att delta i ett systemviktigt betalningssystem, som möjliggör en rättvis och (med beaktande av acceptabla riskkontrollstandarder) öppen tillgång till ett sådant system, främjar säkra och effektiva systemviktiga betalningssystem och marknader som de betjänar utan att på ett oproportionerligt sätt begränsa det fria tillhandahållandet av tjänster.

(21)	De bestämmelser i denna förordning som kräver att operatörer av systemviktiga betalningssystem samlar in, behandlar och överför uppgifter påverkar inte tillämpningen av regler om uppgiftsskydd som gäller för deltagare eller kunder.

(22)	Effektiva systemviktiga betalningssystem med klart definierade mål som är mätbara och nåbara kan på bästa sätt uppfylla de behov som deltagarna i systemviktiga betalningssystem samt på marknaden har.

(23)

Möjligheten för behöriga myndigheter att kräva att vissa åtgärder vidtas för att rätta till eller förhindra upprepad bristande efterlevnad av reglerna enligt denna förordning, och möjligheten för ECB att vidta effektiva, proportionella och avskräckande sanktioner vid brott mot förordningen är viktiga förutsättningar för att genomföra CPMI-Iosco-principerna i största möjliga utsträckning inom ramen för fördraget och ECBS-stadgan. Korrigerande åtgärder kan endast vidtas för konstaterade överträdelser av denna förordning, men det kan även förekomma situationer där man behöver initiera ett förfarande om att förelägga sådana åtgärder utifrån förmodade överträdelser, där operatören av det systemviktiga betalningssystemet ges möjlighet att inkomma med förklaringar innan en överträdelse konstateras. Om operatören av ett systemviktigt betalningssystem är en filial, bör de korrigerande åtgärderna eller sanktionerna åläggas filialen.

(24)

En operatör av ett systemviktigt betalningssystem, som nyligen identifierats som sådan genom ett beslut enligt denna förordning, ska inte behöva uppfylla övervakningskraven enligt denna förordning under en period av ett år räknat från det datum då operatören i fråga underrättades om beslutet. På så sätt kan den nyligen identifierade operatören av ett systemviktigt betalningssystem få tid på sig att sätta sig in i övervakningskraven och genomföra dem.

HÄRIGENOM FÖRESKRIVS FÖLJANDE.

DEL I

SYFTE, TILLÄMPNINGSOMRÅDE OCH DEFINITIONER

Artikel 1

Ämne och omfattning

I denna förordning fastställs process och kriterier för att identifiera ett betalningssystem som ett systemviktigt betalningssystem och övervakningskrav för operatörer av systemviktiga betalningssystem införs.

Artikel 2

Definitioner

I denna förordning gäller följande definitioner:

1.	betalningssystem: ett formellt arrangemang mellan tre eller fler deltagare, ej medräknat eventuella likvidbanker, centrala motparters clearingorganisationer eller indirekta deltagare, som har gemensamma regler och standardiserade arrangemang för att utföra överföringsuppdrag mellan deltagarna.

2.	finansmarknadsinfrastruktur (FMI): ett multilateralt system mellan deltagande institutioner, inklusive systemoperatören, som används för clearing, avveckling eller dokumentering av betalningar, värdepapper, derivat eller andra finansiella transaktioner.

3.	Eurosystemets systemviktiga betalningssystem: ett systemviktigt betalningssystem som ägs och drivs av en centralbank inom Eurosystemet.

4.	säkerhet: en tillgång eller en tredje parts åtagande som används av säkerhetsställaren för att säkerställa ett åtagande gentemot säkerhetshavaren. Säkerhet kan finnas både i in- och i utlandet.

5.	investeringsrisk: risken för förluster hos en operatör av ett systemviktigt betalningssystem eller en deltagare när operatören investerar sina egna eller sina deltagares tillgångar, t.ex. säkerheter.

operatör av ett systemviktigt betalningssystem:

a)	juridisk person som är etablerad i euroområdet och som ansvarar för driften av ett systemviktigt betalningssystem eller

b)	undantagsvis den filial som är etablerad i euroområdet, som ansvarar för driften av ett systemviktigt betalningssystem och som utgör en rättsligt beroende del av en juridisk person etablerad utanför euroområdet.

behörig myndighet:

a)	den nationella centralbank inom Eurosystemet som har det primära övervakningsansvaret enligt artikel 3.3, eller

i förhållande till ett betalningssystem som är ett systemviktigt betalningssystem som uppfyller kriterierna enligt artikel 3.1 iii betyder behörig myndighet antingen:

i)	ECB, eller

ii)	i fall där en nationell centralbank inom Eurosystemet har haft det primära övervakningsansvaret under minst fem år innan det beslut som avses i artikel 3.3 fattades, både ECB och den nationella centralbanken.

8.	filial: ett företag som inte är en juridisk person och som utgör en rättsligt beroende del av en befintlig enhet.

styrelsen: a) i ett system med en enda styrelse styrelsen för en operatör av ett systemviktigt betalningssystem, b) i ett system med dubbla styrelser tillsynsstyrelsen eller motsvarande för en operatör av ett systemviktigt betalningssystem, som utses i enlighet med nationell lagstiftning och c) om en filial har identifierats som operatör av ett systemviktigt betalningssystem, styrelsen för den juridiska person som filialen utgör en rättsligt beroende del av.

10.

ledningen: ledande befattningshavare, t.ex. i ett system med en enda styrelse, de styrelseledamöter för operatören av ett systemviktigt betalningssystem som ansvarar för den dagliga ledningen av det systemviktiga betalningssystemet och varje annan befattningshavare som har utnämnts av styrelsen som ansvarar för den dagliga ledningen av det systemviktiga betalningssystemet eller i ett system med dubbla styrelser ledamöterna i den operativa styrelsen för operatören av ett systemviktigt betalningssystem och varje annan befattningshavare som har utsetts av styrelsen eller av den operativa styrelse som ansvarar för den dagliga ledningen av det systemviktiga betalningssystemet.

11.	filialledningen: om en filial har identifierats som operatör av ett systemviktigt betalningssystem, de ledande befattningshavare som formellt har utnämnts för att ansvara för filialen och som den dagliga ledningen av det systemviktiga betalningssystemet på vederbörligt sätt har delegerats till.

12.	relevanta myndigheter: myndigheter som har ett legitimt intresse av att få information från ett systemviktigt betalningssystem för att fullgöra sina lagstadgade skyldigheter, t.ex. resolutionsmyndigheter och tillsynsmyndigheter för större deltagare.

13.	rättslig risk: den risk som härrör från tillämpningen av lag eller förordning och som normalt medför en skada.

14.	kreditrisk: risken att en motpart, som kan vara en deltagare eller annan enhet, inte fullt ut kan fullgöra sina ekonomiska förpliktelser i rätt tid eller i framtiden.

15.	likviditetsrisk: risken att en motpart, som kan vara en deltagare eller annan enhet, saknar tillräckliga medel för att fullgöra sina ekonomiska förpliktelser i rätt tid, trots att denne måhända i framtiden kan ha tillräckliga medel för att göra detta.

16.

operativ risk: risken att brister i informationssystem eller interna processer, mänskliga fel, bristande ledning eller driftsavbrott förorsakade av externa händelser, tredje part eller utlokaliserade funktioner, verksamheter och/eller tjänster medför nedsättning, försämring eller avbrott i de tjänster som ett systemviktigt betalningssystem tillhandahåller.

17.	allmän affärsrisk: varje potentiell försämring av den ekonomiska ställningen för ett systemviktigt betalningssystem på grund av minskade intäkter eller ökade kostnader, så att kostnaderna överstiger intäkterna och förlusten måste täckas av det egna kapitalet.

18.	förvaringsrisk: risken att skada uppstår på förvarade tillgångar på grund av ett förvaringsinstituts eller en underförvarares insolvens, oaktsamhet, bedrägeri, dåliga arbetsrutiner eller otillräckliga dokumentationsrutiner.

19.	cyberrisk: kombinationen av sannolikheten för att cyberincidenter inträffar och deras konsekvenser.

20.

utlokalisering: arrangemang i någon form mellan operatören av ett systemviktigt betalningssystem och en tredje part eller en koncernintern enhet enligt vilket denna tredje part eller koncerninterna enhet utför funktioner, verksamheter och/eller tjänster som annars skulle ha utförts av operatören av ett systemviktigt betalningssystem.

21.

systemrisk: risken att en deltagare eller operatören av ett systemviktigt betalningssystem inte uppfyller sina respektive skyldigheter och detta medför att andra deltagare och/eller operatören av det systemviktiga betalningssystemet inte kan uppfylla sina respektive skyldigheter i rätt tid, vilket kan få sekundäreffekter som hotar det finansiella systemets stabilitet eller tilltron till det.

22.	korrigerande åtgärd: en specifik åtgärd, oavsett form, längd eller svårighetsgrad, som en behörig myndighet vidtar mot en operatör av ett systemviktigt betalningssystem för att rätta till, eller undvika en upprepning av, att krav som framgår av artiklarna 8–27 och artikel 29 inte uppfylls.

23.	likvidbank: en bank som för konton där betalningar regleras som är resultatet av skyldigheter som uppstått i ett betalningssystem.

24.

indirekt deltagare: en juridisk person som inte har direkt tillgång till det systemviktiga betalningssystemets tjänster, som normalt inte är direkt avtalsmässigt bunden av det relevanta systemviktiga betalningssystemets regler och vars överföringsuppdrag clearas, avvecklas och registreras av det systemviktiga betalningssystemet via en direkt deltagare. En indirekt deltagare har ett avtal med en direkt deltagare. De relevanta juridiska personerna är begränsade till

a)	kreditinstitut enligt definitionen i artikel 4.1.1 i Europaparlamentets och rådets förordning (EU) nr 575/2013 (7),

b)	värdepappersföretag enligt definitionen i artikel 4.1.1 i Europaparlamentets och rådets direktiv 2014/65/EU (8),

c)	företag vars huvudkontor ligger utanför unionen och vars funktioner motsvarar unionens kreditinstitut eller värdepappersföretag, enligt definitionen i punkterna i och ii,

d)	offentliga myndigheter och offentligt garanterade företag, centrala motparter, avvecklingsagenter, clearingorganisationer och systemoperatörer enligt definitionen i artikel 2 c, d, e och p i direktiv 98/26/EG,

e)	betalningsinstitut och institut för elektroniska pengar enligt definitionerna i artikel 4.4 i Europaparlamentets och rådets direktiv (EU) 2015/2366 (9) och artikel 2.1 i Europaparlamentets och rådets direktiv 2009/110/EG (10).

25.	överföringsuppdrag: överföringsuppdrag enligt definitionen i artikel 2 i första strecksatsen i direktiv 98/26/EG (11).

26.	gränsöverskridande säkerhet: säkerhet för vilken, ur det landets perspektiv där tillgångarna godtas som säkerhet, minst en av följande är utländsk: a) valutadenomineringen, b) det land där tillgångarna befinner sig eller c) det land där emittenten är etablerad.

27.	ekonomiska förpliktelser: rättsliga skyldigheter som uppstår inom det systemviktiga betalningssystemet mellan deltagare eller mellan deltagare och operatören av det systemviktiga betalningssystemet till följd av överföringsuppdrag som gjorts i det systemviktiga betalningssystemet.

28.

cyberincident: varje observerbar förekomst i ett informationssystem, inklusive nätverk som möjliggör överföring av information och kommunikation, som a) äventyrar eller negativt inverkar på cybersäkerheten, eller b) strider mot säkerhetsriktlinjer, säkerhetsrutiner eller riktlinjer för godtagbar användning, oavsett om detta sker till följd av skadlig eller icke-skadlig verksamhet.

29.

direkt deltagare: en juridisk person som enligt avtal har direkt tillgång till det systemviktiga betalningssystemets tjänster, vilket innebär att den direkta deltagaren är bunden av det relevanta systemviktiga betalningssystemets regler, tillåts skicka överföringsuppdrag till systemet och kan ta emot överföringsuppdrag därifrån.

30.	cybersäkerhet: upprätthållande av informationens och/eller informationssystemens sekretess, integritet och tillgänglighet, inbegripet nätverk som möjliggör överföring av information och kommunikation.

31.	affärsdag: affärsdag enligt definitionen i artikel 2 n i direktiv 98/26/EG.

32.	cyberhot: omständighet som kan utnyttja en eller flera sårbarheter och som kan inverka negativt på cybersäkerheten.

33.	tjänsteleverantör för utlokalisering: tredje part eller koncernintern enhet som genomför funktioner, verksamheter och/eller tjänster i samband med utlokaliseringsarrangemang.

34.	gränsöverskridande betalning: en betalning mellan deltagare som är etablerade i olika länder.

35.

oberoende styrelseledamot: i ett system med en enda styrelse en styrelseledamot som inte arbetar på heltid i företaget eller i ett system med dubbla styrelser en ledamot av tillsynsstyrelsen eller motsvarande som inte har någon affärs-, familje- eller annan relation som kan föranleda en intressekonflikt i förhållande till ett systemviktigt betalningssystem eller en operatör av ett systemviktigt betalningssystem, deras majoritetsägare, ledning eller medlemmar, och som inte haft någon sådan relation under de närmast föregående två åren innan styrelseuppdraget inleddes.

36.	rekonstruktionsplan: en plan som operatören av ett systemviktigt betalningssystem tar fram för att återställa ett välfungerande systemviktigt betalningssystem.

37.	plan för ordnad avveckling: en plan som operatören av ett systemviktigt betalningssystem tar fram för en ordnad avveckling av ett systemviktigt betalningssystem.

38.	relevanta aktörer: deltagare, finansmarknadsinfrastrukturer som har inverkan på risken hos ett systemviktigt betalningssystem samt, beroende på situationen, andra berörda marknadsaktörer.

39.	nödsituation: en händelse, tilldragelse eller omständighet som kan medföra störningar eller driftstopp i ett systemviktigt betalningssystems funktioner, verksamheter och/eller tjänster, inbegripet sådana som stör eller förhindrar slutgiltig avveckling.

40.	väsentlig: beskriver en risk, avhängighet och/eller förändring som kan påverka en enhets förmåga att utföra eller tillhandahålla tjänster som planerat.

41.	tillhandahållare av likviditet: en tillhandahållare av likviditet enligt artiklarna 10.3, 11.5, 13.1, 13.9 och 13.11 eller tillgångar enligt artikel 13.4, inklusive en deltagare i ett systemviktigt betalningssystem eller en utomstående part.

42.	kreditexponering: ett belopp eller värde för risken att en deltagare inte avvecklar hela värdet, antingen när det förfaller eller vid något senare tillfälle.

43.	nettoavvecklingssystem (DNS-system): ett system i relation till vilket avveckling i centralbankspengar sker i form av nettoavveckling i slutet av en förutbestämd avvecklingscykel, t.ex. under, eller i slutet av, en affärsdag.

44.

närstående företag: ett företag som kontrollerar, kontrolleras av eller kontrolleras tillsammans med, deltagaren. Kontroll av ett företag definieras som a) ägande, kontroll eller innehav av 20 procent eller mer av en klass av värdepapper i företaget som medför rösträtt eller b) konsolidering av företaget för finansiella rapporteringsändamål.

45.	marknadsrisk: risken för förluster, både inom och utanför balansräkningen, som härrör från förändringar av marknadspriserna.

46.	korrelationsrisk: den risk som uppstår till följd av exponering mot en deltagare eller emittent när den säkerhet som deltagaren ställer eller emittenten emitterar är starkt korrelerad till dess kreditrisk.

47.	nostro-ombud: en bank som deltagarna i ett systemviktigt betalningssystem använder för avveckling.

48.	förvaringsinstitut: en bank som förvarar och säkrar tredje parts finansiella tillgångar.

49.	extrema men möjliga marknadsförhållanden: en omfattande uppsättning historiska och hypotetiska förhållanden, däribland de mest volatila perioderna som förekommit på de marknader där det systemviktiga betalningssystemet är verksamt.

50.	ensidig betalning: en betalning som endast omfattar en betalningsöverföring i en valuta.

51.	tvåsidig betalning: en betalning som omfattar två betalningsöverföringar i olika valutor i ett avvecklingssystem enligt principen ”exchange-for-value”.

52.	planerad avvecklingsdag: den dag som avsändaren av ett överföringsuppdrag anger som avvecklingsdag i ett systemviktigt betalningssystem.

53.	kapitalbeloppsrisk: risken att en motpart förlorar transaktionens hela värde, t.ex. risken att en säljare oåterkalleligt levererar en finansiell tillgång men inte får betalt, eller risken att en köpare av en finansiell tillgång oåterkalleligt betalar för, men ej erhåller, tillgången.

54.	tjänsteleverantör: en tredje part eller koncernintern enhet som tillhandahåller en process, tjänst, eller verksamhet, eller delar därav, till en operatör av ett systemviktigt betalningssystem.

55.	hotunderrättelse: information som har sammanställts, omvandlats, analyserats, tolkats eller berikats för att skapa det sammanhang som krävs för beslutsfattande för att mildra effekterna av en cyberincident eller ett cyberhot.

56.	underentreprenad: överföring av åtagandet att tillhandahålla funktioner, verksamheter och/eller tjänster från en tjänsteleverantör för utlokalisering till en annan tredje part eller koncernintern enhet.

57.

koncentrationsrisk: den risk som uppstår till följd av en exponering mot enskilda eller flera leverantörer av utlokaliserade tjänster och som skapar ett visst beroende av sådana leverantörer, så att otillgänglighet, fel eller annan brist i fråga om tjänsten från en sådan leverantör kan komma att påverka det systemviktiga betalningssystemet och/eller operatören av det systemviktiga betalningssystemet, även genom att äventyra dess förmåga att bedriva verksamhet och tillhandahålla sina tjänster, och/eller äventyra den finansiella stabiliteten i unionen som helhet.

DEL II

IDENTIFIERINGSKRITERIER OCH PROCESS

Artikel 3

Identifieringskriterier och beslut

1. Ett betalningssystem ska identifieras som ett systemviktigt betalningssystem om

a)	det kan anmälas som ett system enligt direktiv 98/26/EG av en medlemsstat som har euron som valuta eller dess operatör är etablerad inom euroområdet, inkl. etablering genom en filial genom vilken systemet drivs, och

minst två av följande kriterier uppfylls under ett kalenderår:

i)	Det sammanlagda dagliga genomsnittliga värdet av eurodenominerade betalningar som hanteras överstiger 10 miljarder euro.

ii)

De sammanlagda eurodenominerade betalningar som hanteras utgör minst en av följande:

—	15 procent av den sammanlagda volymen av eurodenominerade betalningar i unionen.

—	5 procent av den sammanlagda volymen av gränsöverskridande eurodenominerade betalningar i unionen.

—	En marknadsandel på 75 procent av den sammanlagda volymen av eurodenominerade betalningar på nivån av en medlemsstat som har euron som valuta.

iii)

Dess gränsöverskridande verksamhet (dvs. med deltagare etablerade i ett annat land än där operatören av det systemviktiga betalningssystemet är etablerad och/eller från gränsöverskridande länkar med andra betalningssystem) involverar minst fem länder och genererar minst 33 procent av den sammanlagda volymen av eurodenominerade betalningar som det systemviktiga betalningssystemet hanterar.

iv)	Det används för andra finansmarknadsinfrastrukturers avveckling.

En gång per år ska en identifieringsgenomgång göras.

2. Utan hinder av vad som anges i punkt 1 får ECB-rådet på goda grunder, inom ramen för punkt 3, även besluta att ett betalningssystem ska identifieras som ett systemviktigt betalningssystem i alla nedanstående fall:

Om ett sådant beslut är lämpligt mot bakgrund av betalningssystemets typ, storlek och komplexitetsgrad; typ av deltagare och deras betydelse; betalningssystemets utbytbarhet och huruvida det finns alternativ till systemet samt de relationer, kopplingar och andra interaktioner som systemet har till det samlade finansiella systemet.

b)	Om ett betalningssystem inte uppfyller kraven i punkt 1 uteslutande på grund av att de kriterier som framgår av punkt 1 b uppfylls under en period som är kortare än ett kalenderår och det är troligt att betalningssystemet kommer att fortsätta att uppfylla kriterierna vid nästa verifiering.

3. ECB-rådet ska anta ett motiverat beslut som namnger de betalningssystem som omfattas av denna förordning, deras respektive operatörer samt behöriga myndigheter. Denna förteckning ska finnas på ECB:s webbplats och uppdateras efter varje förändring.

4. Ett beslut som antas enligt punkt 3 är i kraft fram till dess att det upphävs. Verifieringar av betalningssystem som har identifierats som systemviktiga betalningssystem ska göras årligen för att verifiera att betalningssystemet fortfarande uppfyller kriterierna för att identifieras som ett systemviktigt betalningssystem. Ett beslut som antas enligt punkt 3 ska upphävas om

a)	man vid två på varandra följande verifieringar konstaterar att ett systemviktigt betalningssystem inte uppfyllt de kriterier som framgår av punkt 1 och/eller punkt 2, eller

man vid en verifiering konstaterar att ett systemviktigt betalningssystem inte uppfyllt de kriterier som framgår av punkt 1 och/eller punkt 2 och operatören av det systemviktiga betalningssystemet på ett nöjaktigt sätt visar ECB-rådet att det systemviktiga betalningssystemet sannolikt inte kommer att uppfylla dessa kriterier före nästa verifiering.

5. En operatör av ett betalningssystem får inom 30 dagar från mottagandet av ett beslut begära att ECB-rådet omprövar beslutet att identifera det berörda betalningssystemet som ett systemviktigt betalningssystem. En sådan begäran ska innehålla all nödvändig information och ska skriftligen ställas till ECB-rådet. Som svar på en sådan begäran ska operatören av betalningssystemet skriftligen informeras om ECB-rådets motiverade beslut. Det skriftliga svaret ska informera operatören om dennes rätt till rättslig prövning i enlighet med fördraget. Om ECB-rådet inte fattat något beslut inom två månader efter det att en omprövningsbegäran inkom, ska omprövningen anses ha avslagits.

Artikel 4

Skriftligt meddelande om att ett förfarande för att identifiera ett betalningssystem som ett systemviktigt betalningssystem inletts

ECB ska informera operatören av ett betalningssystem om sin avsikt att inleda ett förfarande enligt artikel 3 för att identifiera betalningssystemet som ett systemviktigt betalningssystem. Det skriftliga meddelandet ska ange alla viktiga sakförhållanden och rättsliga grunder för att eventuellt identifiera betalningssystemet som ett systemviktigt betalningssystem.

Artikel 5

Rätt att ta del av uppgifter under förfarandet för att identifiera ett betalningssystem som ett systemviktigt betalningssystem

När det skriftliga meddelande som avses i artikel 4 tas emot, får operatören av betalningssystemet ta del av de filer, dokument eller annat material som ligger till grund för att identifiera betalningssystemet som ett systemviktigt betalningssystem. Denna rätt omfattar inte tillgång till uppgifter som är sekretessbelagda i förhållande till ECB, en nationell centralbank, eller andra tredje parter, inklusive unionens andra institutioner eller organ.

Artikel 6

Rätt att höras under förfarandet för att identifiera ett betalningssystem som ett systemviktigt betalningssystem

1. I det skriftliga meddelande som skickas av ECB i enlighet med artikel 4 ska operatören av betalningssystemet ges en tidsfrist inom vilken operatören skriftligen kan inkomma med invändningar, synpunkter och kommentarer avseende de sakförhållanden och de rättsliga grunder som anges i det skriftliga meddelandet. Tidsfristen ska vara minst 30 arbetsdagar från den tidpunkt då operatören av betalningssystemet tar emot det skriftliga meddelandet.

2. ECB får ge operatören av betalningssystemet möjlighet att förklara sin ståndpunkt vid ett muntligt möte om operatören begär detta. Vid ett sådant möte ska ett protokoll föras och skrivas under av alla parter. En kopia av protokollet ska tillställas alla parter.

3. Utan hinder av vad som anges i punkt 2 får ECB fatta ett beslut om att identifiera ett betalningssystem som ett systemviktigt betalningssystem utan att ge operatören av betalningssystemet möjlighet att inkomma med synpunkter, invändningar eller kommentarer avseende de sakförhållanden och de rättsliga grunder som anges i det skriftliga meddelandet från ECB, om detta anses vara nödvändigt för att förhindra att det finansiella systemet lider väsentlig skada.

Artikel 7

Motivering av beslutet om att identifiera ett betalningssystem som ett systemviktigt betalningssystem

1. Ett ECB-beslut som identifierar ett betalningssystem som ett systemviktigt betalningssystem ska motiveras och grunderna för beslutet ska anges. Motiveringen ska omfatta viktiga sakförhållanden och de rättsliga grunder som ECB baserat sitt beslut på.

2. Om inte annat följer av artikel 6.3 ska ECB uteslutande grunda det beslut som avses i punkt 1 i denna artikel på sådana sakförhållanden och rättsliga grunder som operatören av betalningssystemet haft möjlighet att kommentera.

DEL III

KRAV PÅ OPERATÖRER AV SYSTEMVIKTIGA BETALNINGSSYSTEM

Artikel 8

En sund rättslig grund

1. En operatör av ett systemviktigt betalningssystem ska bedöma huruvida gällande lagstiftning i alla relevanta rättsordningar garanterar hög säkerhet för, och stöder alla viktiga aspekter av, det systemviktiga betalningssystemets verksamhet.

2. En operatör av ett systemviktigt betalningssystem ska ta fram regler och förfaranden samt sluta avtal som är tydliga och uppfyller de lagstadgade kraven i alla relevanta rättsordningar.

3. En operatör av ett systemviktigt betalningssystem ska kunna ange tillämpliga lagar, regler, förfaranden och avtal för driften av betalningssystemet för den behöriga myndigheten, deltagarna samt, i förekommande fall, deltagarnas kunder, på ett tydligt och begripligt sätt.

4. En operatör av ett systemviktigt betalningssystem ska vidta åtgärder för att säkerställa att dess regler, förfaranden och avtal är rättsligt giltiga i alla relevanta rättsordningar och att de åtgärder som vidtas med stöd av sådana regler, förfaranden och avtal kan genomdrivas.

5. En operatör av ett systemviktigt betalningssystem som bedriver verksamhet i mer än en jurisdiktion ska identifiera och reducera de risker som uppstår till följd av lagvalsfrågor.

6. En operatör av ett systemviktigt betalningssystem ska göra sitt yttersta för att säkerställa att betalningssystemet betecknas i enlighet med direktiv 98/26/EG.

Artikel 9

Styrning

1. En operatör av ett systemviktigt betalningssystem ska ha dokumenterade mål där han prioriterar ett säkert och effektivt betalningssystem. Målen ska uttryckligen stödja finansiell stabilitet och andra relevanta allmänna intressen, särskilt öppna och effektiva finansmarknader.

2. En operatör av ett systemviktigt betalningssystem ska ha effektiva och dokumenterade regler som klart och tydligt fördelar ansvar och skyldigheter. Den behöriga myndigheten, ägarna samt deltagarna ska ha tillgång till dessa regler. En operatör av ett systemviktigt betalningssystem ska göra en nedkortad version av dessa tillgängliga för allmänheten.

3. Styrelsens roll och ansvar ska vara tydligt definierade. Styrelsens roll och ansvar ska omfatta allt nedanstående:

a)	Ta fram tydliga strategiska mål och syften för det systemviktiga betalningssystemet.

b)	Skapa dokumenterade rutiner för hur det systemviktiga betalningssystemet ska fungera, inkl. rutiner för att identifiera och hantera intressekonflikter mellan medlemmarna.

c)	Med undantag för Eurosystemets systemviktiga betalningssystem, säkerställa ett effektivt urval och en effektiv kontroll, samt vid behov, uppsägning av medlemmar i företagsledningen.

d)	Med undantag för Eurosystemets systemviktiga betalningssystem, skapa lämpliga kompensationsmodeller i linje med bästa praxis och baserade på långsiktiga resultat.

4. Med undantag för Eurosystemets systemviktiga betalningssystem ska styrelsen minst en gång per år granska både dess övergripande resultat och det arbete som de enskilda medlemmarna i företagsledningen utför.

5. Styrelsens sammansättning ska säkerställa integritet och, med undantag för Eurosystemets systemviktiga betalningssystem, bestå av en lämplig blandning av tekniska färdigheter, kunskap och erfarenhet både av systemviktiga betalningssystem och hela finansmarknaden, så att styrelsen har möjlighet att utföra sina uppgifter och ta sitt ansvar. Sammanställningen ska också beakta fördelningen av behörigheter i enlighet med den nationella lagstiftningen. Om den nationella lagstiftningen så tillåter ska styrelsen, med undantag för Eurosystemets systemviktiga betalningssystem, inkludera styrelseledamöter som inte arbetar på heltid i företaget, varav minst en ska vara en oberoende styrelseledamot.

6. Styrelsen ska skapa och kontrollera dokumenterade rutiner för riskhantering som

a)	inkluderar riktlinjer för risktolerans och riskaptit hos operatören av ett systemviktigt betalningssystem,

b)	fördelar ansvaret och skyldigheterna i samband med riskbeslut,

c)	klargör beslutsgången vid kriser och i nödsituationer,

d)	klargör interna kontrollfunktioner.

Styrelsen ska inrätta en riskkommitté som ska bistå den vid fullgörandet av dess riskrelaterade ansvar. Riskkommittén ska ge råd till styrelsen om det systemviktiga betalningssystemets riskhantering.

Styrelsen ska säkerställa att det finns tre tydliga och effektiva funktioner för att bemöta risker (drift, riskhantering och internrevision) som är fristående från varandra och som alla har tillfredsställande auktoritet, oberoende, resurser och tillgång till styrelsen.

7. Styrelsens godkännande krävs för beslut som har avsevärda konsekvenser för ett systemviktigt betalningssystems riskprofil och för faktabladen som styr det systemviktiga betalningssystemets verksamhet. Som ett minimum ska styrelsen godkänna och minst en gång per år utvärdera de regler för en omfattande riskhantering som avses i artikel 10.1, rekonstruktionsplanen och planen för en ordnad avveckling samt planen för att ta upp nytt kapital som avses i artiklarna 10.4 och 18.6, ramverken för att hantera kredit- och likviditetsrisker som avses i artiklarna 11.1 och 13.1, ramverket för säkerheter som styr hanteringen av risker som avses i artikel 12, det systemviktiga betalningssystemets investeringsstrategi som avses i artikel 19.4, reglerna för operativ risk och planerna för att säkerställa en kontinuerlig affärsverksamhet som avses i artikel 20.1 och 20.6, ramverket och strategin för cyberresiliens som avses i artikel 21.1 och ramverket för utlokalisering som avses i artikel 22.4.

8. Styrelsen ska säkerställa att viktiga beslut som berör tekniska och funktionella frågor, regler och övergripande strategi hos det systemviktiga betalningssystemet, i synnerhet vad gäller valet av clearing- och avvecklingsförfarande, driftsstruktur, för vilka produkter clearing eller avveckling sker samt användning av teknik och förfaranden, på ett lämpligt sätt speglar de berättigade intressena hos det systemviktiga betalningssystemets relevanta aktörer. De relevanta aktörerna och, om detta är lämpligt, allmänheten ska konsulteras i rimlig tid före sådana beslut.

9. Ledningens, och om tillämpligt filialledningens, roll och ansvar samt rapporteringsvägarna inom ledningen, och om tillämpligt filialledningen, och rapporteringsvägarna mellan ledningen och styrelsen, och om tillämpligt den filialledningen och styrelsen för den juridiska person som filialen utgör en rättsligt beroende del av, ska vara tydligt definierade. Ledningens, och om tillämpligt filialledningens, sammansättning ska säkerställa personlig integritet och en lämplig blandning av tekniska färdigheter, kunskap och erfarenhet både av systemviktiga betalningssystem och hela finansmarknaden, så att de kan utföra sina uppgifter vad gäller driften och riskhanteringen av operatören av det systemviktiga betalningssystemet.

10. Ledningens ansvar, enligt styrelsens anvisningar, och om tillämpligt, enligt anvisningar från styrelsen och ledningen för den juridiska person som filialen utgör en rättsligt beroende del av, omfattar att säkerställa att

a)	den verksamhet som operatören av det systemviktiga betalningssystemet bedriver stämmer överens med dess mål, strategi och risktolerans,

b)	interna kontroller och tillhörande förfaranden är ändamålsenligt utformade, utförda och kontrollerade för att främja de målsättningar som operatören av det systemviktiga betalningssystemet har,

c)	interna kontroller och tillhörande förfaranden regelbundet ses över och testas av en riskhanteringsavdelning och internrevision som är välutbildad och har tillräckligt med personal,

d)	de är aktivt involverade i riskkontrollprocessen,

e)	tillräckliga resurser allokeras till riskhanteringen inom det systemviktiga betalningssystemet.

11. Om en filial har identifierats som operatör av systemviktiga betalningssystem ska

a)	utövandet av de uppgifter som krävs för att säkerställa efterlevnad av denna förordning på vederbörligt sätt delegeras till filialledningen och

b)	alla ledande befattningshavare som utgör filialledningen även vara medlemmar i ledningen för den juridiska person som filialen utgör en rättsligt beroende del av.

Vid tillämpning av led b avser ”medlemmar i ledningen” i ett system med en enda styrelse de styrelseledamöter som ansvarar för den dagliga ledningen av den juridiska personen och varje annan befattningshavare som har utsetts av styrelsen och som ansvarar för den dagliga ledningen av den juridiska personen eller i ett system med dubbla styrelser ledamöterna i den operativa styrelsen och varje annan befattningshavare som har utsetts av styrelsen eller av den operativa styrelse som ansvarar för den dagliga ledningen av den juridiska personen.

12. När en operatör av ett systemviktigt betalningssystem säkerställer efterlevnad av integritetskraven enligt punkterna 5 och 9 ska det beaktas om personerna i styrelsen och ledningen och, om tillämpligt filialledningen, förekommer i belastningsregister när det gäller domar eller påföljder för överträdelser av tillämplig handelsrätt, insolvensrätt, lagstiftning om finansiella tjänster, lagstiftning inom området bekämpning av penningtvätt och finansiering av terrorism och överträdelser av tjänsterelaterade skyldigheter samt för bedrägeri.

Artikel 10

Regler för en omfattande riskhantering

1. En operatör av ett systemviktigt betalningssystem ska ta fram och underhålla sunda regler för riskhantering så att man på ett heltäckande sätt kan identifiera, mäta, övervaka och hantera de risker som uppstår inom, eller bärs av, systemet. Operatören ska minst årligen utvärdera riskhanteringsreglerna. Riskhanteringen ska

a)	inkludera riktlinjer för risktolerans och lämpliga instrument för riskhantering hos operatören av det systemviktiga betalningssystemet,

b)	fördela ansvaret och skyldigheterna i samband med riskbeslut,

ange riktlinjer för beslutsfattande i nödsituationer avseende det systemviktiga betalningssystemet, inklusive utveckling på finansmarknaderna som kan inverka negativt på marknadens likviditet och det finansiella systemets stabilitet i någon av de medlemsstater som har euron som valuta där operatören av det systemviktiga betalningssystemet eller någon av dess deltagare är etablerad.

2. En operatör av ett systemviktigt betalningssystem ska ge deltagarna, och i förekommande fall deras kunder, incitament att hantera och begränsa de risker som berör det systemviktiga betalningssystemet. Vad gäller deltagarna ska sådana incitament inkludera effektiva, proportionella och avskräckande ekonomiska sanktioner eller andel i förlust, eller både och.

3. En operatör av ett systemviktigt betalningssystem ska minst en gång per år granska de väsentliga risker som det systemviktiga betalningssystemet är utsatt för, eller utgör för andra enheter, bl.a. finansmarknadsinfrastruktur, likvidbanker, tillhandahållare av likviditet och tjänsteleverantörer, till följd av ömsesidiga beroendeförhållanden. En operatör av ett systemviktigt betalningssystem ska ta fram fungerande riskhanteringsverktyg som motsvarar den aktuella risknivån.

4. En operatör av ett systemviktigt betalningssystem ska definiera vilka funktioner, verksamheter och tjänster inom de systemviktiga betalningssystemen som är kritiska. En operatör av ett systemviktigt betalningssystem ska identifiera specifika scenarier under vilka operatören inte kan tillhandahålla denna kritiska verksamhet och dessa tjänster som en ”going concern” och ska bedöma vilka möjligheter som finns för rekonstruktion och, med undantag för Eurosystemets systemviktiga betalningssystem, en ordnad avveckling. Operatören ska minst årligen utvärdera den kritiska verksamheten och de kritiska tjänsterna. Baserat på denna utvärdering ska operatören av det systemviktiga betalningssystemet ta fram en fungerande rekonstruktionsplan för systemet och, med undantag för Eurosystemets systemviktiga betalningssystem, en ordnad avveckling. Rekonstruktionsplanen och planen för en ordnad avveckling ska bl.a. omfatta en fristående sammanfattning av de viktigaste strategierna för rekonstruktion och ordnad avveckling, en omformulering av systemets kritiska verksamhet och kritiska tjänster samt en beskrivning av de åtgärder som krävs för att genomföra de viktigaste strategierna. En operatör av ett systemviktigt betalningssystem ska i förekommande fall ge de relevanta myndigheterna den information som dessa behöver för rekonstruktionsplanering.

Artikel 11

Kreditrisk

1. En operatör av ett systemviktigt betalningssystem ska ta fram en stabil ram för att mäta, övervaka och hantera sin kreditexponering mot deltagarna samt systemdeltagarnas kreditexponering sinsemellan till följd av betalningar, clearing och avveckling inom det systemviktiga betalningssystemet.

2. En operatör av ett systemviktigt betalningssystem ska identifiera alla kreditrisker. Mätning och övervakning av kreditexponeringar ska ske under hela dagen och baseras på aktuell information och lämpliga riskhanteringsverktyg.

3. Om det rör sig om ett nettoavvecklingssystem ska operatören av ett systemviktigt betalningssystem säkerställa att

a)	ekonomiska förpliktelser uppstår senast vid den tidpunkt då ett överföringsuppdrag inkluderas i beräkningen av de nettopositioner som är tillgängliga för varje deltagare, och

b)	tillräckliga resurser innehas för att täcka dessa kreditexponeringar i enlighet med punkterna 4 och 5 senast vid den tidpunkt som avses i led a.

4. En operatör av ett systemviktigt betalningssystem, inklusive ett nettoavvecklingssystem med avvecklingsgaranti, som inom ramen för det systemviktiga betalningssystemets verksamhet medför kreditexponering gentemot sina deltagare, ska skydda sin kreditexponering mot varje deltagare med hjälp av säkerheter, garantifonder, eget kapital (efter ett avdrag motsvarande den allmänna affärsrisken) eller andra jämförbara ekonomiska tillgångar.

5. En operatör av ett systemviktigt betalningssystem, inklusive ett nettoavvecklingssystem utan avvecklingsgaranti, men där deltagarna utsätts för kreditexponeringar till följd av betalningar, clearing och avveckling inom det systemviktiga betalningssystemet, måste ha regler eller avtal med dessa deltagare. Dessa regler eller avtal ska säkerställa att deltagarna tillhandahåller tillräckliga resurser, som avses i punkt 4, för att täcka den kreditexponering som härrör från betalningar, clearing och avveckling inom det systemviktiga betalningssystemet i förhållande till de två deltagare som, tillsammans med sina dotterbolag, har den största sammanlagda kreditexponeringen.

6. En operatör av ett systemviktigt betalningssystem ska ta fram regler och förfaranden för att hantera förluster som är en direkt följd av att en eller flera deltagare inte kan reglera sina åtaganden gentemot systemet. Dessa regler och förfaranden ska reglera hur eventuella förluster ska fördelas, inkl. återbetalningen av medel som en operatör av ett systemviktigt betalningssystem har lånat av tillhandahållare av likviditet. De ska inkludera de regler och förfaranden som operatören av ett systemviktigt betalningssystem har vad gäller återställandet av de ekonomiska resurser som det systemviktiga betalningssystemet använt i en stressituation, i den utsträckning som framgår av punkterna 4 och 5.

Artikel 12

Säkerheter

1. En operatör av ett systemviktigt betalningssystem ska endast godta följande säkerheter:

a)	Kontanta medel.

Tillgångar med låg kredit-, likviditets- och marknadsrisk, dvs. tillgångar för vilka operatören kan visa för den behöriga myndigheten, baserat på en adekvat intern bedömning, att alla följande villkor uppfylls:

i)	Tillgångarna har emitterats av en emittent med låg kreditrisk.

ii)	Tillgångarna är fritt överlåtbara och det finns inga lagstadgade begränsningar eller anspråk från tredje parter.

iii)	Tillgångarna är denominerade i en valuta vars risk hanteras av operatören av det systemviktiga betalningssystemet.

iv)	Tillförlitliga prisuppgifter för tillgångarna offentliggörs regelbundet.

v)	Tillgångarna är inte i övrigt föremål för någon betydande korrelationsrisk.

vi)

Tillgångarna har inte emitterats av den deltagare som ställer säkerheten, eller en enhet som ingår i samma koncern som denne, utom när det gäller säkerställda obligationer och endast om de tillgångar som utgör säkerhet för obligationen är lämpligt åtskilda inom ramen för stabila rättsregler och uppfyller kraven i punkterna i–v.

När operatören av det systemviktiga betalningssystemet gör den interna bedömningen enligt punkterna i–vi ska denne definiera, dokumentera och tillämpa en objektiv metod.

2. En operatör av ett systemviktigt betalningssystem ska ta fram och tillämpa riktlinjer och rutiner för att övervaka kreditkvaliteten, marknadslikviditeten och prisernas volatilitet på varje tillgång som godtas som säkerhet. Operatörer av systemviktiga betalningssystem ska regelbundet, och åtminstone årligen, kontrollera att deras riktlinjer och rutiner för värderingen är adekvata. En sådan översyn ska även ske efter väsentliga förändringar som påverkar det systemviktiga betalningssystemets riskexponering. Operatörer av systemviktiga betalningssystem ska uppdatera värdet på sina säkerheter minst en gång per dag.

3. En operatör av ett systemviktigt betalningssystem ska använda stabila och konservativa värderingsavdrag och testa dessa minst en gång per år även med beaktande av ansträngda marknadslägen. Förfarandet för värderingsavdragen ska minst en gång per år verifieras av annan personal än den som först tog fram och tillämpade det.

4. En operatör av ett systemviktigt betalningssystem ska vidta åtgärder för att förhindra koncentrerade innehav av vissa tillgångar om dessa kan få väsentliga negativa konsekvenser på möjligheten att snabbt likvidera sådana tillgångar utan större negativa priseffekter.

5. En operatör av ett systemviktigt betalningssystem som godtar gränsöverskridande säkerheter ska identifiera och minska de risker som hör samman med användningen samt säkerställa att de gränsöverskridande säkerheterna kan användas vid rätt tidpunkt.

6. En operatör av ett systemviktigt betalningssystem ska använda ett effektivt och driftsmässigt flexibelt säkerhetshanteringssystem.

7. Punkt 1 gäller inte för Eurosystemets systemviktiga betalningssystem.

Artikel 13

Likviditetsrisk

1. En operatör av ett systemviktigt betalningssystem ska inrätta ett omfattande ramverk för att hantera de likviditetsrisker som utgår från det systemviktiga betalningssystemets deltagare, likvidbanker, nostro-ombud, förvaringsinstitut, tillhandahållare av likviditet samt andra relevanta enheter. En operatör av ett systemviktigt betalningssystem ska förse deltagarna med lämpliga redskap för att hantera sin likviditet och ska övervaka och underlätta ett fungerande likviditetsflöde i systemet.

2. En operatör av ett systemviktigt betalningssystem ska inrätta verktyg för analys och drift som gör det möjligt att kontinuerligt och tidsnära identifiera, mäta och övervaka avvecklings- och finansieringsflöden, inklusive användningen av intradagslikviditet.

3. En operatör av ett systemviktigt betalningssystem som driver ett nettoavvecklingssystem ska säkerställa att

a)	ekonomiska förpliktelser uppstår senast vid den tidpunkt då ett överföringsuppdrag inkluderas i beräkningen av de nettopositioner som är tillgängliga för varje deltagare, och

b)	tillräckliga likvida medel innehas i enlighet med punkterna 4–7 senast vid den tidpunkt som avses i led a.

4. En operatör av ett systemviktigt betalningssystem ska vid varje tidpunkt från det att ekonomiska förpliktelser uppstår inneha, eller se till att deltagarna innehar, tillräckliga likvida medel, i alla valutor där man bedriver verksamhet, för att effektuera avveckling under dagen av ekonomiska förpliktelser under ett stort antal tänkbara stresscenarier. I förekommande fall ska detta inkludera avveckling under dagen eller under flera dagar. Stresscenarierna ska inkludera

a)	ett obestånd, under extrema men möjliga marknadsförhållanden, av den deltagare som, tillsammans med sina dotterbolag, har den största sammanlagda betalningsförpliktelsen,

b)	andra scenarier i enlighet med punkt 12.

5. En operatör av ett systemviktigt betalningssystem som avvecklar ensidiga betalningar i euro ska inneha, eller se till att deltagarna innehar, tillräckliga likvida medel i enlighet med punkt 4, för att effektuera tidsnära avveckling av ekonomiska förpliktelser i fall av obestånd hos den deltagare som, tillsammans med sina dotterbolag, har den största sammanlagda betalningsförpliktelsen enligt punkt 4 a på något av följande sätt:

a)	Kontant med Eurosystemet.

I godtagbara säkerheter enligt definitionen i Eurosystemets ramverk för säkerheter som framgår av Europeiska centralbankens riktlinje (EU) 2015/510 (ECB/2014/60) (12) och Europeiska centralbankens riktlinje ECB/2014/31 (13), förutsatt att operatören av det systemviktiga betalningssystemet kan visa att sådan säkerhet står till förfogande och kan konverteras till kontanta medel på en och samma dag, enligt förhandsfastställda överenskommelser som är mycket säkra även i ansträngda marknadslägen.

6. En operatör av ett systemviktigt betalningssystem som avvecklar ensidiga betalningar i euro ska inneha, eller se till att deltagarna innehar, ytterligare likvida medel i enlighet med punkt 4 b på det sätt som anges i punkt 5 eller hos en kreditvärdig kommersiell bank i ett eller flera av följande instrument:

a)	Bindande kreditlöften.

b)	Bindande valutaswappar.

c)	Bindande repoavtal.

d)	Tillgångar som uppfyller kraven i artikel 12.1 och som innehas av ett förvaringsinstitut.

e)	Investeringar.

7. Alla dessa instrument måste göra det möjligt att kontanta medel finns tillgängliga så snabbt att avveckling samma dag är möjlig. Operatören av det systemviktiga betalningssystemet ska kunna visa att icke-kontanta instrument är snabbt tillgängliga och kan omvandlas till kontanta medel på en och samma dag, enligt förhandsfastställda överenskommelser som är mycket säkra även i ansträngda marknadslägen.

Operatören av ett systemviktigt betalningssystem ska kunna visa för den behöriga myndigheten, baserat på en adekvat intern bedömning, att den kommersiella banken är kreditvärdig.

En operatör av ett systemviktigt betalningssystem som avvecklar tvåsidiga betalningar eller ensidiga betalningar i andra valutor än euro ska inneha, eller se till att deltagarna innehar, tillräckliga likvida medel i enlighet med punkt 4 på det sätt som anges i punkt 6.

8. Om en operatör av ett systemviktigt betalningssystem kompletterar de resurser som avses i punkt 4 med andra tillgångar ska dessa tillgångar sannolikt vara omsättbara eller godtagbara som säkerhet (t.ex. kreditlöften, swappar eller repor) på ad-hoc-basis efter ett inträffat obestånd, även om detta inte fullt ut kan arrangeras i förväg eller garanteras under extrema men möjliga marknadsförhållanden. Om en deltagare supplementerar de resurser som nämns i punkt 4 med andra tillgångar, ska operatören av det systemviktiga betalningssystemet säkerställa att dessa andra tillgångar uppfyller de krav som framgår av första meningen i detta stycke. Tillgångar ska presumeras vara sannolikt omsättbara eller godtagbara som säkerhet om operatören av ett systemviktigt betalningssystem har beaktat de regler och den praxis som tillämpas av den relevanta centralbanken vad gäller säkerheter som godtas.

9. En operatör av ett systemviktigt betalningssystem får inte utgå från att centralbankerna kommer att ge likviditetsstöd.

10. En operatör av ett systemviktigt betalningssystem ska visa tillbörlig aktsamhet och kontrollera att tillhandahållare av likvida medel inom det systemviktiga betalningssystemet enligt punkt 4

a)	har tillräcklig och uppdaterad information för att förstå och hantera sina likviditetsrisker i samband med tillhandahållandet av kontanter eller tillgångar och

b)	har kapacitet att tillhandahålla kontanter eller tillgångar i tillräcklig utsträckning.

Operatören av ett systemviktigt betalningssystem ska minst en gång per år kontrollera att han uppfyller kravet på tillbörlig aktsamhet. Endast enheter som har tillgång till kredit från utgivande centralbanker får godtas som tillhandahållare av likviditet. Operatören av det systemviktiga betalningssystemet ska regelbundet se över rutinerna för att bedöma systemets likviditetsresurser.

11. En operatör av ett systemviktigt betalningssystem med tillgång till centralbankskonton, betaltjänster eller värdepapperstjänster ska, om detta är praktiskt möjligt, använda dessa tjänster.

12. En operatör av ett systemviktigt betalningssystem ska med hjälp av noggranna tester fastställa ett belopp och regelbundet prova huruvida likviditetsresurserna är tillräckliga för att uppfylla kraven enligt punkterna 4 och 5. När operatörer av systemviktiga betalningssystem genomför sådana tester ska de beakta en rad olika relevanta scenarier som inbegriper att en eller flera av deltagarna hamnar på obestånd samma dag och under två eller fler påföljande dagar.

När sådana scenarier används ska det systemviktiga betalningssystemets utformning och verksamhet beaktas samt alla enheter som kan utgöra en väsentlig likviditetsrisk för systemet, inklusive likvidbanker, nostro-ombud, förvaringsinstitut, tillhandahållare av likviditet och sammanlänkad finansmarknadsinfrastruktur. Där så är lämpligt ska scenarierna omfatta perioder om flera dagar.

13. En operatör av ett systemviktigt betalningssystem ska dokumentera sina motiv för att inneha, och ha tillräcklig organisationsstyrning avseende, de kontanter och andra tillgångar som operatören eller deltagarna har. Operatören ska ha tydliga riktlinjer för hur resultaten av dessa stresstester rapporteras till styrelsen och använda dem för att utvärdera huruvida hanteringen av likviditetsrisker är adekvat eller om man behöver företa ändringar.

14. En operatör av ett systemviktigt betalningssystem ska ta fram tydliga regler och förfaranden som gör det möjligt för systemet att effektuera avveckling av ekonomiska förpliktelser under dagen och, om detta är lämpligt, tidsnära intradagsavveckling och avveckling under flera dagar om en eller flera av deltagarna hamnar på obestånd. Dessa regler och förfaranden ska

a)	beakta oförutsedda likviditetsbrister som det eventuellt saknas täckning för,

b)	ha som mål att betalningsförpliktelser som avvecklas under dagen inte återgår, återkallas eller försenas,

c)	ange hur de kontanter och andra tillgångar som det systemviktiga betalningssystemet använt i en stressituation ska återställas, i den utsträckning som krävs enligt punkterna 4–6.

Artikel 14

Slutlig avveckling

En operatör av ett systemviktigt betalningssystem ska ta fram regler och förfaranden så att slutlig avveckling kan ske senast i slutet av den planerade avvecklingsdagen.

Artikel 15

Kontantavveckling

1. En operatör av ett systemviktigt betalningssystem som avvecklar ensidiga betalningar i euro ska säkerställa att slutlig avveckling sker i centralbankspengar. En operatör av ett systemviktigt betalningssystem som avvecklar betalningar åt andra operatörer av systemviktiga betalningssystem ska sträva efter att ge dessa andra operatörer möjlighet att avveckla i nödsituationer.

2. En operatör av ett systemviktigt betalningssystem som avvecklar ensidiga eller tvåsidiga betalningar i andra valutor än i euro ska säkerställa att slutlig avveckling sker i centralbankspengar om detta är praktiskt möjligt.

3. Om man inte använder centralbankspengar ska operatören av det systemviktiga betalningssystemet säkerställa att kontantavveckling sker med hjälp av tillgångar som inte har någon, eller låg, kredit- och likviditetsrisk.

4. Om avvecklingen sker genom kommersiella banker ska operatören av det systemviktiga betalningssystemet övervaka, hantera och begränsa kredit- och likviditetsriskerna som härrör från de kommersiella likvidbankerna. Operatören av det systemviktiga betalningssystemet ska särskilt inrätta och kontrollera efterlevnaden av strikta kriterier för sina likvidbanker som bl.a. beaktar deras reglering och tillsyn, kreditvärdighet, kapitalisering, tillgång till likviditet och driftsäkerhet. Operatören av det systemviktiga betalningssystemet ska också övervaka och hantera koncentrationen av kredit- och likviditetsexponeringar mot det systemviktiga betalningssystemets kommersiella likvidbanker.

5. Om en operatör av ett systemviktigt betalningssystem själv genomför kontantavveckling ska denne minimera och noggrant kontrollera sina kredit- och likviditetsrisker.

6. Om avvecklingen sker genom kommersiella banker ska de avtal som operatören av ett systemviktigt betalningssystem har med kommersiella likvidbanker tydligt ange

a)	när överföringar i individuella likvidbankers bokföring förväntas ske,

b)	att överföringar är slutliga när de effektueras,

c)	att erhållna medel ska vara överförbara så snart som möjligt, senast vid dagens slut.

Artikel 16

Betalning mot betalning

En operatör av ett systemviktigt betalningssystem som använder principen betalning mot betalning ska eliminera kapitalbeloppsrisken genom att säkerställa att den slutliga avvecklingen av en förpliktelse endast sker om den slutliga avvecklingen av den tillhörande förpliktelsen också sker. Denna regel ska följas oavsett huruvida avvecklingen sker netto eller brutto och när avvecklingen blir slutgiltig.

Artikel 17

Regler och förfarande vid deltagares obestånd

1. En operatör av ett systemviktigt betalningssystem ska skapa en definition av deltagares obestånd i det systemviktiga betalningssystemets regler och förfaranden som åtminstone inkluderar en deltagares oförmåga att fullgöra sina ekonomiska förpliktelser i rätt tid, t.ex. till följd av driftsproblem, avtalsbrott eller att ett insolvensförfarande inletts mot deltagaren. En operatör av ett systemviktigt betalningssystem ska skilja mellan automatiskt och diskretionärt obestånd. Vad gäller diskretionärt obestånd ska operatören av ett systemviktigt betalningssystem ange vilken enhet som har den diskretionära befogenheten. Operatören ska se över definitionen minst en gång per år.

2. En operatör av ett systemviktigt betalningssystem ska ha regler och förfaranden om obestånd som gör det möjligt för operatören att fullgöra sina förpliktelser även om en deltagare hamnar på obestånd och även beskriver hur man ska tillföra nya resurser efter ett inträffat obestånd. Dessa regler och förfaranden ska som ett minimum definiera

a)	vilka åtgärder en operatör av ett systemviktigt betalningssystem kan vidta när ett obestånd inträffar,

b)	huruvida sådana åtgärder vidtas automatiskt eller är diskretionära samt hur denna bestämmanderätt utövas,

c)	eventuella förändringar som en operatör av ett systemviktigt betalningssystem vidtar avseende sina normala avvecklingsrutiner för att säkerställa tidsnära avveckling,

d)	hur betalningar hanteras i olika steg,

e)	i vilken ordningsföljd åtgärder sannolikt vidtas,

f)	de relevanta parternas olika roller, skyldigheter och ansvar, inkl. de deltagare som inte är på obestånd,

g)	andra mekanismer som kommer att aktiveras för att minimera följderna av obeståndet.

3. En operatör av ett systemviktigt betalningssystem ska vara beredd att genomföra sina regler och förfaranden om obestånd, inkl. lämpliga diskretionära förfaranden som reglerna stadgar om. En operatör av ett systemviktigt betalningssystem ska bl.a. säkerställa att a) det har sådan operativ kapacitet, inkl. tillräckligt välutbildad personal, att genomföra de förfaranden som avses i punkt 2 i rätt tid, och b) det systemviktiga betalningssystemets regler och förfaranden förklarar dokumentations-, informations- och kommunikationsbehov samt, om mer än en finansmarknadsinfrastruktur eller myndighet är inblandad, samordningen.

4. En operatör av ett systemviktigt betalningssystem ska offentliggöra de viktigaste aspekterna i de regler och förfaranden som avses i punkt 2, vilka som ett minimum ska omfatta

a)	under vilka omständigheter åtgärder ska vidtas,

b)	vem som ska vidta åtgärderna,

c)	omfattningen på de åtgärder som ska vidtas,

d)	mekanismerna för att hantera de skyldigheter som operatören av ett systemviktiga betalningssystem har gentemot sådana deltagare som inte hamnat på obestånd.

5. En operatör av ett systemviktigt betalningssystem ska testa och se över betalningssystemets regler och förfaranden som framgår av punkt 2 minst en gång per år eller efter varje väsentlig förändring av betalningssystemet som påverkar dessa regler och förfaranden. En operatör av ett systemviktigt betalningssystem ska involvera sina deltagare och relevanta aktörer i testerna och översynen.

Artikel 18

Allmän affärsrisk

1. En operatör av ett systemviktigt betalningssystem ska inrätta robusta lednings- och kontrollverktyg för att identifiera, övervaka och hantera allmänna affärsrisker, inkl. förluster som härrör från bristfälliga affärsstrategier, negativa kassaflöden eller oväntade och extremt höga rörelsekostnader.

2. En operatör av ett systemviktigt betalningssystem ska ta fram en fungerande rekonstruktionsplan och, utom vad gäller Eurosystemets systemviktiga betalningssystem, en plan för ordnad avveckling i enlighet med artikel 10.4.

3. En operatör av ett systemviktigt betalningssystem ska, utifrån sin allmänna affärsriskprofil och hur lång tid en rekonstruktion och/eller ordnad avveckling av den kritiska verksamheten och de kritiska tjänsterna kräver, fastställa vilket värde de tillgångar måste ha som behövs för att genomföra den plan som avses i punkt 2. Värdet på tillgångarna får inte understiga sex månaders aktuella driftskostnader.

4. För att täcka beloppet enligt punkt 3 ska en operatör av ett systemviktigt betalningssystem inneha likvida nettotillgångar som finansieras av eget kapital, t.ex. aktier, reserver eller andra balanserade vinstmedel så att operatören kan fortsätta sin verksamhet som en ”going concern”. Dessa tillgångar ska gå utöver de resurser som innehas för att täcka deltagares obestånd eller andra risker som omfattas av artiklarna 11 och 13. Eget kapital som innehas enligt internationella riskbaserade kapitalstandarder får inkluderas för att undvika dubbla kapitalkrav.

5. Tillgångar som avses i punkt 4 och innehas för att täcka allmänna affärsrisker ska vara tillräckligt likvida och av tillräckligt hög kvalitet för att vara tillgängliga i rätt tid, och ska avskiljas från de tillgångar som operatören av ett systemviktigt betalningssystem använder i sin dagliga verksamhet. Operatören av ett systemviktigt betalningssystem ska kunna realisera tillgångar som innehas för att täcka allmänna affärsrisker med minimala negativa priseffekter så att den kan fortsätta sin verksamhet och sina tjänster som ”going concern” om affärsverksamheten drabbas av förluster.

6. En operatör av ett systemviktigt betalningssystem ska ha en fungerande plan för att ta upp nytt kapital om det egna kapitalet skulle närma sig, eller falla under, det belopp som framgår av punkt 3.

7. Punkterna 3–6 gäller inte för Eurosystemets systemviktiga betalningssystem.

Artikel 19

Förvarings- och investeringsrisker

1. En operatör av ett systemviktigt betalningssystem ska förvara sina egna och sina deltagares tillgångar hos enheter som är reglerade och står under tillsyn (nedan kallade förvaringsinstitut) som har redovisningsrutiner, förvaringsrutiner och interna kontroller som fullt ut skyddar dessa tillgångar mot risken för förlust i fall då ett förvaringsinstitut eller en underförvarare blir insolvent samt vid oaktsamhet, bedrägeri, dåliga arbetsrutiner eller otillräckliga dokumentationsrutiner.

2. En operatör av ett systemviktigt betalningssystem ska ha tidsnära tillgång till sina egna och deltagarnas tillgångar.

3. En operatör av ett systemviktigt betalningssystem ska bedöma och förstå sin exponering gentemot sina förvaringsinstitut och beakta hela affärsrelationen med var och en.

4. En operatör av ett systemviktigt betalningssystem ska ta fram en investeringsstrategi som står i överensstämmelse med den övergripande riskhanteringsstrategin och denna ska fullt ut kommuniceras till deltagarna. Operatören ska se över investeringsstrategin minst en gång per år.

5. De investeringar som en operatör av ett systemviktigt betalningssystem gör enligt sin investeringsstrategi ska säkras av, eller utgöras av krav på, högkvalitativa gäldenärer. En operatör av ett systemviktigt betalningssystem ska definiera kriterierna för högkvalitativa gäldenärer. Investeringarna ska ske i instrument med minimal kredit-, marknads- och likviditetsrisk.

6. Punkterna 3–5 gäller inte för Eurosystemets systemviktiga betalningssystem.

Artikel 20

Operativ risk

1. En operatör av ett systemviktigt betalningssystem ska upprätta en stabil ram med lämpliga system, riktlinjer och förfaranden för att kartlägga, övervaka och hantera operativa risker.

2. En operatör av ett systemviktigt betalningssystem ska övervaka, granska och testa system, riktlinjer för den operativa verksamheten, förfaranden och kontroller regelbundet samt efter omfattande ändringar.

3. En operatör av ett systemviktigt betalningssystem ska uppställa mål för servicenivån och driftsäkerheten samt utforma riktlinjer för att nå dessa mål. Operatören ska se över målen och riktlinjerna minst en gång per år.

4. En operatör av ett systemviktigt betalningssystem ska vid varje tidpunkt säkerställa att det systemviktiga betalningssystemet har skalbar kapacitet att hantera ökande betalningsvolymer som kan uppstå till följd av stressituationer, samt att operatören kan uppnå sina mål för servicenivån.

5. En operatör av ett systemviktigt betalningssystem ska ta fram heltäckande riktlinjer för fysisk säkerhet samt säkerhet för informations- och kommunikationsteknik (IKT) samt processer och systemriktlinjer samt motståndskraftiga informationssystem som på ett lämpligt sätt identifierar, bedömer och hanterar varje potentiell sårbarhet, hot, incident och risk i en IKT-miljö. Operatören ska se över strategin minst en gång per år.

6. En operatör av ett systemviktigt betalningssystem ska ta fram en plan för att säkerställa en kontinuerlig affärsverksamhet som hanterar händelser som utgör en betydande risk för avbrott i betalningssystemets verksamhet. Denna plan ska inkludera ett alternativt driftsställe och göra det möjligt att återuppta driften av kritiska IT-system inom två timmar efter en sådan händelse. Planen ska vara så utformad att det systemviktiga betalningssystemet alltid kan avveckla alla betalningar som ska betalas vid slutet av den affärsdag då störningen inträffar. Operatören av det systemviktiga betalningssystemet ska testa strategin och granska denna minst en gång per år.

7. En operatör av ett systemviktigt betalningssystem ska identifiera viktiga deltagare baserat på främst betalningsvolym och -värde samt hur dessa kan påverka andra deltagare och det systemviktiga betalningssystemet i dess helhet, om allvarliga operativa problem uppstår hos en sådan deltagare.

8. En operatör av ett systemviktigt betalningssystem ska identifiera, övervaka och hantera de risker som de viktigaste deltagarna, andra marknadsinfrastrukturer samt tjänsteleverantörer kan utgöra för betalningssystemets operationer.

9. Vid tillämpningen av denna artikel ska hänvisningar till ”risk” omfatta de risker som specificeras i artiklarna 21 och 22.

Artikel 21

Cyberrisk

1. En operatör av ett systemviktigt betalningssystem ska upprätta ett omfattande ramverk för cyberresiliens med lämpliga styrningsåtgärder, som gör att operatören kan hantera cyberrisker på ett effektivt och ändamålsenligt sätt, samt en strategi för cyberresiliens, med beaktande av risktolerans och riskaptit för operatören av det systemviktiga betalningssystemet.

2. Det ramverk för cyberresiliens som avses i punkt 1 ska säkerställa åtminstone

identifiering och klassificering av viktiga roller, inklusive beslutsansvar inom organisationen, processer, verksamheter, tjänster och informationstillgångar som stöder det systemviktiga betalningssystemets kritiska verksamheter och tjänster i syfte att säkerställa att det finns lämpliga åtgärder för att de ska skyddas och snabbt återupptas i händelse av en cyberattack,

b)	lämpligt skydd av det systemviktiga betalningssystemet mot cyberrisker, bland annat genom att införa effektiva säkerhetskontroller och bedriva kontrollverksamhet vad gäller de viktigaste IKT-systemens funktion och säkerhet samt behandling eller lagring av känslig information,

c)	snabb och lämplig identifiering av eventuella cyberincidenter eller tecken på sådana incidenter, bland annat genom övervakning av avvikande verksamhet,

d)	snabb och lämplig respons och återhämtning vid en cyberincident eller annan negativ händelse, så att det systemviktiga betalningssystemet snabbt kan återuppta kritisk verksamhet på ett sådant sätt att det begränsar skadan för det systemviktiga betalningssystemet.

3. En operatör av ett systemviktigt betalningssystem ska upprätta ett testprogram för att regelbundet testa att samtliga processer, förfaranden och kontroller i ramverket för cyberresiliens enligt punkterna 1 och 2 fungerar effektivt. Som en del av detta testprogram ska operatören av ett systemviktigt betalningssystem genomföra hotbildsstyrda penetrationstester inom TIBER-EU, vilket inbegriper att använda metoder för att simulera ett angrepp på det systemviktiga betalningssystemets kritiska funktioner och underliggande system i enlighet med TIBER-EU-ramverket.

Om en filial har identifierats som operatör av ett systemviktigt betalningssystem, får den behöriga myndigheten beakta resultaten av ett penetrationstest som har utförts av den juridiska person som filialen utgör en rättsligt beroende del av, om detta penetrationstest kan anses vara jämförbart med ett TIBER-EU-test och om det även ger en bild av hur effektiva filalens relevanta kontroller och system är.

4. En operatör av ett systemviktigt betalningssystem ska säkerställa att dess styrelse och ledning och, om tillämpligt filialledningen, samt operatörens personal har en god förståelse av vad cyberresiliens innebär och en god nivå av situationsmedvetenhet om cyberhotmiljön där den bedriver sin verksamhet genom en effektiv hotunderrättelseprocess samt informationsutbyte inom organisationen samt med andra sammanflätade enheter inom det finansiella systemet.

5. En operatör av ett systemviktigt betalningssystem ska ha lämpliga system, riktlinjer, förfaranden och kontroller för att kunna bedöma och få en uppfattning av hur effektivt dess strategi och ramverk för cyberresiliens genomförs.

6. En operatör av ett systemviktigt betalningssystem ska ha förfaranden för att säkerställa att åtminstone större cyberincidenter som inverkar negativt på det systemviktiga betalningssystemet, inklusive incidenter från betalningssystemets deltagare och tredjepartsleverantörer av tjänster inrapporteras till a) styrelsen, ledningen och om tillämpligt filialledningen och b) den behöriga myndigheten. En operatör av ett systemviktigt betalningssystem ska ha processer för kontinuerligt lärande och kontinuerlig förbättring vad gäller cybersäkerhet. Inom ramen för dessa processer ska det t.ex. säkerställas att hotutveckling och genomgångar av cyberincidenter med de erfarenheter som dragits beaktas inom ramverket för cyberresiliens.

Artikel 22

Utlokalisering

1. En operatör av ett systemviktigt betalningssystem är alltid ansvarig för att denna förordning efterlevs vad gäller utlokaliserade funktioner, verksamheter och/eller tjänster som rör betalningssystemets verksamhet.

2. En operatör av ett systemviktigt betalningssystem ska säkerställa att utlokaliseringen inte undergräver operatörens förmåga att uppfylla kraven i denna förordning och varken direkt eller indirekt leder till att operatörens ansvar för att efterleva kraven i denna förordning delegeras till tjänsteleverantören för utlokalisering.

3. Vid utlokalisering till en tredje part eller en koncernintern enhet ska en operatör av ett systemviktigt betalningssystem ha skriftliga avtal mellan sig själv och tjänsteleverantören för utlokalisering. Avtalsbestämmelserna ska åtminstone

a)	säkerställa att operatören av ett systemviktigt betalningssystem kan uppfylla de skyldigheter som följer av denna förordning, annan tillämplig lagstiftning, regleringskrav och avtal,

b)	omfatta en klar och tydlig beskrivning av de utlokaliserade funktionerna, verksamheterna och/eller tjänsterna, av funktionerna hos tjänsteleverantören för utlokalisering samt fördelningen av rättigheter och skyldigheter mellan avtalsparterna,

säkerställa den relevanta behöriga myndighetens rättigheter att utöva sina befogenheter enligt artikel 29.1 a i denna förordning samt vid utlokalisering av betalningssystemets kritiska funktioner, verksamheter och/eller tjänster som har identifierats i artikel 10.4 även säkerställa den relevanta behöriga myndighetens rättigheter att utöva sina befogenheter enligt artikel 29.1 b och c i denna förordning,

specificera huruvida det är tillåtet med underentreprenad av det systemviktiga betalningssystemets kritiska funktioner, verksamheter och/eller tjänster och vilka villkor som gäller i sådana fall för att säkerställa att operatören av ett systemviktigt betalningssystem uppfyller kraven enligt denna förordning,

e)	säkerställa att operatören av ett systemviktigt betalningssystem har rätt att säga upp avtalet om det har skett betydande överträdelser av lagar, föreskrifter eller avtalsvillkor och det inte kan säkerställas att kraven i denna artikel uppfylls.

4. En operatör av ett systemviktigt betalningssystem ska ha ett omfattande ramverk för utlokalisering för att på ett effektivt sätt identifiera, övervaka och hantera de risker som uppstår till följd av en eventuell utlokalisering och under hela dess livscykel. Operatören av ett systemviktigt betalningssystem ska även ha en utlokaliseringsstrategi som beaktar risktoleransen hos operatören av ett systemviktigt betalningssystem.

5. Det ramverk för utlokalisering som avses i punkt 4 ska göra det möjligt för operatören av ett systemviktigt betalningssystem att åtminstone

a)	bedöma eventuella risker som kan uppstå till följd av utlokalisering, inklusive eventuella koncentrationsrisker och risker i samband med underentreprenad innan eventuella avtal ingås,

b)	identifiera och på ett effektivt sätt hantera de risker som är kopplade till en eventuell utlokalisering av det systemviktiga betalningssystemets kritiska funktioner, verksamheter och/eller tjänster,

c)	säkerställa att eventuella intressekonflikter vad gäller de utlokaliserade funktionerna, verksamheterna och/eller tjänsterna bedöms,

utöva de revisionsrättigheter som krävs för att bedöma relaterade utlokaliseringsrisker samt uppfylla sina lagstadgade skyldigheter. Detta ska omfatta en revisions- och inspektionsplan för tjänsteleverantören för utlokalisering vad gäller det systemviktiga betalningssystemets kritiska funktioner, verksamheter och/eller tjänster.

6. En operatör av ett systemviktigt betalningssystem ska säkerställa att utlokaliseringen inte gör det systemviktiga betalningssystemet mindre effektivt och sunt eller inverkar på sundheten i system, riktlinjer, interna kontroller och relaterade förfaranden.

7. Vid utlokalisering av systemets kritiska funktioner, verksamheter och/eller tjänster som har identifierats i artikel 10.4 ska en operatör av ett systemviktigt betalningssystem utveckla och underhålla en exitstrategi som inte leder till störningar i det systemviktiga betalningssystemets verksamhet.

8. Eurosystemet ska utarbeta icke-bindande riktlinjer till operatörer av systemviktiga betalningssystem om kraven i samband med utlokalisering. ECB ska göra dessa riktlinjer tillgängliga på sin webbplats.

Artikel 23

Kriterier för tillgång och deltagande

1. En operatör av ett systemviktigt betalningssystem ska ta fram och offentliggöra icke-diskriminerande kriterier för tillgång till, och deltagande i, det systemviktiga betalningssystemets tjänster för direkta, och i förekommande fall, indirekta deltagare samt andra finansmarknadsinfrastrukturer. Operatören ska se över dessa kriterier minst en gång per år.

2. Kriterierna enligt punkt 1 för tillgång och deltagande ska vara motiverade i förhållande till säkerheten och effektiviteten i det systemviktiga betalningssystemet och de marknader där detta är verksamt, samt vara anpassat till det systemviktiga betalningssystemets specifika risker. I enlighet med proportionalitetsprincipen ska en operatör av ett systemviktigt betalningssystem fastställa krav som i minsta möjliga utsträckning begränsar tillgången. Om en operatör av ett systemviktigt betalningssystem nekar en sökande enhet tillgång ska denne skriftligen motivera detta utifrån en omfattande riskanalys.

3. En operatör av ett systemviktigt betalningssystem ska fortlöpande övervaka att deltagarna uppfyller det systemviktiga betalningssystemets kriterier för tillgång och deltagande. En operatör av ett systemviktigt betalningssystem ska upprätta icke-diskriminerande förfaranden för att kunna stänga av en deltagare och upphäva dennes rätt att delta om denne inte uppfyller kriterierna och ska offentliggöra de viktigaste aspekterna av dessa förfaranden. Operatören ska se över dessa förfaranden minst en gång per år.

Artikel 24

Deltagande på olika nivåer

1. För riskhanteringen ska en operatör av ett systemviktigt betalningssystem säkerställa att det systemviktiga betalningssystemets regler, förfaranden och avtal tillåter operatören att samla in information om indirekt deltagande med målet att identifiera, övervaka och hantera varje väsentlig risk för betalningssystemet som härrör från deltagandet. Denna information ska som ett minimum omfatta

a)	den verksamhet som direkta deltagare utför för egen räkning och för indirekta deltagare i förhållande till aktiviteten på systemnivå,

b)	antalet indirekta deltagare som avvecklar via individuella direkta deltagare,

c)	volymen och värdet på de betalningar i det systemviktiga betalningssystemet som härrör från varje indirekt deltagare, och

d)	volymen och värdet på betalningarna enligt punkt c i relation till dem från direkta deltagare genom vilka de indirekta deltagarna har tillgång till det systemviktiga betalningssystemet.

2. En operatör av ett systemviktigt betalningssystem ska identifiera väsentliga sammanhang mellan direkta och indirekta deltagare som kan påverka det systemviktiga betalningssystemet, med beaktande av den information som avses i punkt 1.

3. En operatör av ett systemviktigt betalningssystem ska i riskhanteringssyfte identifiera indirekta deltagare som utgör en väsentlig risk för det systemviktiga betalningssystemet och sådana direkta deltagare genom vilka de har tillgång till betalningssystemet.

4. En operatör av ett systemviktigt betalningssystem ska minst en gång per år kontrollera de risker som härrör från deltagande på olika nivåer. Operatören ska vid behov vidta riskbegränsande åtgärder för att säkerställa att riskerna hanteras på lämpligt sätt.

Artikel 25

Ändamålsenlighet och effektivitet

1. En operatör av ett systemviktigt betalningssystem ska ha rutiner för att identifiera och bemöta behoven hos de marknader som det systemviktiga betalningssystemet betjänar, särskilt vad gäller

a)	valet av clearing- och avvecklingssystem,

b)	driftsstrukturen,

c)	de produkter för vilka clearing eller avveckling sker,

d)	användningen av teknik och förfaranden.

2. En operatör av ett systemviktigt betalningssystem ska ha klart definierade mål som är mätbara och nåbara, t.ex. för minsta tjänstenivå, förväntningar på riskhantering och affärsprioriteringar.

3. En operatör av ett systemviktigt betalningssystem ska ha etablerade mekanismer för att regelbundet, minst en gång per år, se över de krav som framgår av punkterna 1 och 2.

Artikel 26

Kommunikationsförfaranden och standarder

En operatör av ett systemviktigt betalningssystem ska använda eller stödja internationellt accepterade kommunikationsförfaranden och standarder i syfte att underlätta effektiv betalning, clearing, avveckling och registrering.

Artikel 27

Information om regler, viktiga förfaranden och marknadsdata

1. En operatör av ett systemviktigt betalningssystem ska anta tydliga och omfattande regler och förfaranden som deltagarna informeras om fullt ut Relevanta regler och viktiga förfaranden ska också vara offentligt tillgängliga.

2. En operatör av ett systemviktigt betalningssystem ska lämna tydlig information om hur systemet är utformat och drivs, samt även vilka rättigheter och skyldigheter som operatören av ett systemviktigt betalningssystem och dess deltagare har, så att deltagarna kan bedöma vilka risker ett deltagande i systemet för med sig.

3. En operatör av ett systemviktigt betalningssystem ska tillhandahålla all nödvändig och lämplig dokumentation samt utbildning för att främja deltagarnas förståelse av det systemviktiga betalningssystemets regler och förfaranden och de risker som ett deltagande i systemet för med sig.

4. En operatör av ett systemviktigt betalningssystem ska offentliggöra betalningssystemets avgifter för de olika tjänsterna samt vilka rabatter operatören tillämpar. Operatören av ett systemviktigt betalningssystem ska tydligt informera om prissättningen på tjänsterna så att dessa kan jämföras.

5. En operatör av ett systemviktigt betalningssystem ska utarbeta och offentliggöra svar avseende CPMI-Ioscos informationsramverk för finansmarknadsinfrastruktur. Operatören ska uppdatera sina svar när det inträffar väsentliga system- eller miljöändringar, men minst vartannat år. En operatör av ett systemviktigt betalningssystem ska också, som ett minimum, offentliggöra grundläggande information om transaktionsvolymer och -värden.

Artikel 28

Allmänna skyldigheter

1. Operatörer av systemviktiga betalningssystem ska följa kraven enligt denna förordning inom ett år från dagen då de underrättades om ECB-rådets beslut i enlighet med artikel 3.3.

2. Operatörer av systemviktiga betalningssystem ska kontinuerligt samarbeta med den behöriga myndigheten och säkerställa att deras systemviktiga betalningssystem uppfyller de krav som framgår av artiklarna 8–27 och artikel 29, inklusive vad gäller den övergripande effektiviteten i deras regler, förfaranden, processer och ramverk. Operatörer av systemviktiga betalningssystem ska dessutom samarbeta med den behöriga myndigheten för att underlätta det övergripande målet att främja väl fungerande betalningssystem på systemnivå.

3. Om en filial har identifierats som operatör av ett systemviktigt betalningssystem och efterlevnaden av en skyldighet i denna förordning kräver eller är avhängig av att den juridiska person som filialen utgör en rättsligt beroende del av involveras, ska denna skyldighet tolkas som att filialen gentemot den behöriga myndigheten måste visa att nödvändiga åtgärder och processer utförs av den berörda juridiska personen.

DEL IV

BEHÖRIGA MYNDIGHETER

Artikel 29

En behörig myndighets befogenheter

1. En behörig myndighet ska ha befogenhet till följande:

Från en operatör av ett systemviktigt betalningssystem när som helst erhålla all information och dokumentation som är nödvändig för att bedöma huruvida kraven i denna förordning uppfylls eller för att främja väl fungerande betalningssystem på systemnivå. Operatören av ett systemviktigt betalningssystem ska utan onödigt dröjsmål rapportera den relevanta informationen till den behöriga myndigheten.

Begära att en operatör av ett systemviktigt betalningssystem utser en oberoende expert som undersöker eller gör en oberoende granskning av driften av det systemviktiga betalningssystemet. Den behöriga myndigheten får uppställa krav avseende vilken typ av expert som utses, innehållet i och omfattningen på den rapport som ska tas fram, hur rapporten hanteras, inklusive offentliggörande och publicering av vissa delar samt tidpunkten för framtagandet av rapporten. En operatör av ett systemviktigt betalningssystem ska informera den behöriga myndigheten om hur de uppställda kraven har uppfyllts.

c)	Genomföra kontroller på plats eller delegera genomförandet av kontroller på plats. Om det krävs för kontrollernas korrekta genomförande och effektivitet får den behöriga myndigheten genomföra kontrollen utan förhandsanmälan.

2. I Europeiska centralbankens beslut (EU) 2019/1349 (ECB/2019/25) (14) anges förfarande och villkor för en behörig myndighets utövande av de befogenheter som anges i denna artikel.

Artikel 30

Organisation av övervakning

1. En behörig myndighet får genomföra kontinuerlig och/eller tillfällig övervakning för att bedöma huruvida en operatör av ett systemviktigt betalningssystem uppfyller kraven som framgår av artiklarna 8–27 och artikel 29 eller för att främja väl fungerande betalningssystem på systemnivå.

2. En behörig myndighet ska vid behov sträva efter att få till stånd samarbetsarrangemang med andra relevanta myndigheter. I det undantagsfall då en filial har identifierats som operatör av ett systemviktigt betalningssystem ska den behöriga myndigheten även eftersträva ett samarbetsarrangemang med den myndighet som ansvarar för övervakning eller tillsyn över den juridiska person som filialen utgör en rättsligt beroende del av.

Artikel 31

Sekretess

Sekretessbelagd information som en operatör av ett systemviktigt betalningssystem överlämnar till en behörig myndighet får spridas inom Europeiska centralbankssystemet (ECBS). ECBS-medlemmarna ska upprätthålla sekretessen för denna information i enlighet med reglerna om tystnadsplikt som framgår av artikel 37.1 i ECBS-stadgan.

DEL V

KORRIGERANDE ÅTGÄRDER OCH SANKTIONER

Artikel 32

Korrigerande åtgärder

1. Om en operatör av ett systemviktigt betalningssystem inte har uppfyllt kraven i denna förordning, eller det finns rimliga skäl att misstänka att operatören inte har uppfyllt kraven i denna förordning, får den behöriga myndigheten inleda ett förfarande för att införa en korrigerande åtgärd och den behöriga myndigheten ska då

a)	skriftligen informera operatören av det systemviktiga betalningssystemet om den bristande, eller förmodat bristande, efterlevnaden, och

b)	ge operatören av det systemviktiga betalningssystemet möjlighet att inkomma med förklaringar.

2. Med beaktande av den information som operatören av det systemviktiga betalningssystemet lämnar kan den behöriga myndigheten förelägga operatören korrigerande åtgärder för att rätta till den bristande efterlevnaden och/eller undvika en upprepning i framtiden. Om operatören av det systemviktiga betalningssystemet är en filial, ska de korrigerande åtgärderna föreläggas filialen.

3. Den behöriga myndigheten kan vidta korrigerande åtgärder omedelbart om den anser att den bristande efterlevnaden är så allvarlig att det krävs omedelbara åtgärder. Den ska motivera sitt beslut.

4. Andra behöriga myndigheter än ECB ska utan onödigt dröjsmål informera ECB när de har för avsikt att vidta korrigerande åtgärder mot en operatör av ett systemviktigt betalningssystem.

5. Korrigerande åtgärder får vidtas oberoende av, eller samtidigt med, sanktioner i enlighet med rådets förordning (EG) nr 2532/98 (15).

6. De regler och det förfarande som föreskrivs i Europeiska centralbankens beslut (EU) 2017/2098(ECB/2017/33) (16) ska tillämpas på förelägganden om korrigerande åtgärder enligt denna artikel.

Artikel 33

Sanktioner

1. Om det sker överträdelser av denna förordning får ECB vidta sanktioner mot operatören av ett systemviktigt betalningssystem. Om operatören av det systemviktiga betalningssystemet är en filial, ska sanktionerna föreläggas filialen.

2. Sanktioner som vidtas enligt punkt 1 ska vara i enlighet med förordning (EG) nr 2532/98 och Europeiska centralbankens förordning (EG) nr 2157/99 (ECB/1999/4) (17). Sanktionsbeloppet ska beräknas i enlighet med Europeiska centralbankens beslut (EU) 2017/2097 (ECB/2017/35) (18).

DEL VI

GRANSKNING AV TILLÄMPNINGEN AV DENNA FÖRORDNING

Artikel 34

Granskning

ECB-rådet ska granska den allmänna tillämpningen av denna förordning senast två år efter den dag då den träder i kraft, och sedan vart tredje år, för att bedöma huruvida den behöver ändras.

DEL VII

UPPHÄVANDE OCH SLUTBESTÄMMELSER

Artikel 35

Upphävande

1. Förordning (EU) nr 795/2014 (ECB/2014/28) upphävs härmed.

2. Hänvisningar till den upphävda förordningen ska anses som hänvisningar till denna förordning och ska läsas enligt jämförelsetabellen i bilaga II.

Artikel 36

Slutbestämmelser

1. Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.

2. Denna förordning är till alla delar bindande och direkt tillämplig i medlemsstaterna i enlighet med fördragen.

Utfärdad i Frankfurt am Main den 2 juli 2025.

På ECB-rådets vägnar

Christine LAGARDE

ECB:s ordförande

(1) Europeiska centralbankens förordning (EU) nr 795/2014 av den 3 juli 2014 om krav på övervakning av systemviktiga betalningssystem (ECB/2014/28) (EUT L 217, 23.7.2014, s. 16, ELI: http://data.europa.eu/eli/reg/2014/795/oj).

(2) Se bilaga I.

(3) Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 (EUT L 333, 27.12.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).

(4) Finns på ECB:s webbplats www.ecb.europa.eu.

(5) Finns på ECB:s webbplats www.ecb.europa.eu.

(6) Europaparlamentets och rådets direktiv 98/26/EG av den 19 maj 1998 om slutgiltig avveckling i system för överföring av betalningar och värdepapper (EGT L 166, 11.6.1998, s. 45, ELI: http://data.europa.eu/eli/dir/1998/26/oj).

(7) Europaparlamentets och rådets förordning (EU) nr 575/2013 av den 26 juni 2013 om tillsynskrav för kreditinstitut och om ändring av förordning (EU) nr 648/2012 (EUT L 176, 27.6.2013, s. 1, ELI: http://data.europa.eu/eli/reg/2013/575/oj).

(8) Europaparlamentets och rådets direktiv 2014/65/EU av den 15 maj 2014 om marknader för finansiella instrument och om ändring av direktiv 2002/92/EG och av direktiv 2011/61/EU (EUT L 173, 12.6.2014, s. 349, ELI: http://data.europa.eu/eli/dir/2014/65/oj).

(9) Europaparlamentets och rådets direktiv (EU) 2015/2366 av den 25 november 2015 om betaltjänster på den inre marknaden, om ändring av direktiven 2002/65/EG, 2009/110/EG och 2013/36/EU samt förordning (EU) nr 1093/2010 och om upphävande av direktiv 2007/64/EG (EUT L 337, 23.12.2015, s. 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj).

(10) Europaparlamentets och rådets direktiv 2009/110/EG av den 16 september 2009 om rätten att starta och driva affärsverksamhet i institut för elektroniska pengar samt om tillsyn av sådan verksamhet, om ändring av direktiven 2005/60/EG och 2006/48/EG och om upphävande av direktiv 2000/46/EG (EUT L 267, 10.10.2009, s. 7, ELI: http://data.europa.eu/eli/dir/2009/110/oj).

(11) Europaparlamentets och rådets direktiv 98/26/EG av den 19 maj 1998 om slutgiltig avveckling i system för överföring av betalningar och värdepapper (EGT L 166, 11.6.1998, s. 45, ELI: http://data.europa.eu/eli/dir/1998/26/oj).

(12) Europeiska centralbankens riktlinje (EU) 2015/510 av den 19 december 2014 om genomförandet av Eurosystemets penningpolitiska ramverk (ECB/2014/60) (EUT L 91, 2.4.2015, s. 3, ELI: http://data.europa.eu/eli/guideline/2015/510/oj).

(13) Europeiska centralbankens riktlinje ECB/2014/31 av den 9 juli 2014 om ytterligare tillfälliga åtgärder som berör Eurosystemets refinansieringstransaktioner och de säkerheter som godtas samt om ändring av riktlinje ECB/2007/9 (EUT L 240, 13.8.2014, s. 28, ELI: http://data.europa.eu/eli/guideline/2014/528/oj).

(14) Europeiska centralbankens beslut (EU) 2019/1349 av den 26 juli 2019 om förfarandet och förutsättningarna för att en behörig myndighet utövar vissa befogenheter i samband med övervakningen av systemviktiga betalningssystem (ECB/2019/25) (EUT L 214, 16.8.2019, s. 16, ELI: http://data.europa.eu/eli/dec/2019/1349/oj).

(15) Rådets förordning (EG) nr 2532/98 av den 23 november 1998 om Europeiska centralbankens befogenhet att förelägga sanktioner (EGT L 318, 27.11.1998, s. 4, ELI: http://data.europa.eu/eli/reg/1998/2532/oj).

(16) Europeiska centralbankens beslut (EU) 2017/2098 av den 3 november 2017 om förfarandetekniska aspekter för förelägganden om korrigerande åtgärder vid bristande efterlevnad av förordning (EU) nr 795/2014 (ECB/2017/33) (EUT L 299, 16.11.2017, s. 34, ELI: http://data.europa.eu/eli/dec/2017/2098/oj).

(17) Europeiska centralbankens förordning (EG) nr 2157/1999 av den 23 september 1999 om Europeiska centralbankens befogenhet att förelägga sanktioner (ECB/1999/4) (EGT L 264, 12.10.1999, s. 21, ELI: http://data.europa.eu/eli/reg/1999/2157/oj).

(18) Europeiska centralbankens beslut (EU) 2017/2097 av den 3 november 2017 om förfarandet och förutsättningarna för att en behörig myndighet utövar vissa befogenheter i samband med övervakningen av systemviktiga betalningssystem (ECB/2017/35) (EUT L 299, 16.11.2017, s. 31, ELI: http://data.europa.eu/eli/dec/2017/2097/oj).

BILAGA I

Upphävd förordning och förteckning över ändringar av denna

(som avses i skäl 1)

Europeiska centralbankens förordning (EU) nr 795/2014 av den 3 juli 2014 om krav på övervakning av systemviktiga betalningssystem (ECB/2014/28)

(EUT L 217, 23.7.2014, s. 16)

Europeiska centralbankens förordning (EU) 2017/2094 av den 3 november 2017 om ändring av förordning (EU) nr 795/2014 om krav på övervakning av systemviktiga betalningssystem (ECB/2017/32)

(EUT L 299, 16.11.2017, s. 11)

Europeiska centralbankens förordning (EU) 2021/728 av den 29 april 2021 om ändring av förordning (EU) nr 795/2014 om krav på övervakning av systemviktiga betalningssystem (ECB/2021/17)

(EUT L 157, 5.5.2021, s. 1)

BILAGA II

Jämförelsetabell

Förordning (EU) nr 795/2014 (ECB/2014/28)

Denna förordning

Artikel 1.1

Artikel 1.2

Artikel 1.3

Artikel 1.3-a

Artikel 1.3a

Artikel 1.3b

Artikel 1.4

Artikel 2

Artikel 2a

Artikel 2b

Artikel 2c

Artikel 2d

Artikel 1

Artikel 3.3

Artikel 3.1

Artikel 3.2

Artikel 3.4

Artikel 3.5

Artikel 28.2

Artikel 2

Artikel 4

Artikel 5

Artikel 6

Artikel 7

Artikel 3

Artikel 4.1–4.5

Artikel 4.6

Artikel 4.7

—

Artikel 4.7a

Artikel 4.8

—

Artikel 5

Artikel 8

Artikel 9.1–9.5

Artikel 9.11 och 9.12

Artikel 9.6 och 9.8

Artikel 9.7

Artikel 9.9

Artikel 9.10

Artikel 9.13

Artikel 9.14

Artikel 10

Artikel 6

Artikel 7

Artikel 8

Artikel 9

Artikel 10

Artikel 11

Artikel 12

Artikel 13

Artikel 14

Artikel 15

—

Artikel 16

Artikel 17

Artikel 18

Artikel 19

Artikel 20

Artikel 11

Artikel 12

Artikel 13

Artikel 14

Artikel 15

Artikel 16

Artikel 17

Artikel 18

Artikel 19

Artikel 20

Artikel 21

Artikel 22

Artikel 23

Artikel 24

Artikel 25

Artikel 26

Artikel 27

—

Artikel 21

Artikel 21a

—

Artikel 21b

Artikel 22

Artikel 23

Artikel 24

—

Artikel 25.1 och 25.3

Artikel 25.2

—

Artikel 28.3

Artikel 29

Artikel 30.1

Artikel 30.2

Artikel 31

Artikel 32

Artikel 33

Artikel 34

Artikel 35

Artikel 36

Artikel 28.1

Bilaga I

—

Bilaga II

ELI: http://data.europa.eu/eli/reg/2025/1355/oj

ISSN 1977-0820 (electronic edition)