1. gr. Gildissvið.

Reglur þessar gilda um aðila á fjármálamarkaði samkvæmt 2. gr. reglugerð (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar, nr. 78/2025, og lífeyrissjóði samkvæmt lögum um skyldutryggingu lífeyrisréttinda og starfsemi lífeyrissjóða, nr. 129/1997, sbr. 36. gr. g laganna.

2. gr. Stjórnun upplýsinga- og fjarskiptatækniáhættu, stjórnun áhættu
vegna þriðju aðila, meðhöndlun og tilkynningar atvika og prófanir á stafrænu viðnámsþoli.

Um meðhöndlun og tilkynningu atvika sem tengjast upplýsinga- og fjarskiptatækni og netógnir fer samkvæmt reglugerðum (ESB) 2024/1772, 2025/301 og 2025/302, sbr. 3. gr.

Um stjórnun upplýsinga- og fjarskiptatækniáhættu fer samkvæmt reglugerð (ESB) 2024/1774, sbr. 3. gr.

Um notkun upplýsinga- og fjarskiptatækniþjónustu þriðju aðila fer eftir reglugerðum (ESB) 2024/1773 og 2025/532 við notkun, sbr. 3. gr.

Um samræmingu skilyrða sem gera eftirlitsstarfsemi evrópsku eftirlitsstofnananna mögulega fer samkvæmt reglugerðum (ESB) 2025/295 og 2025/420, sbr. 3. gr.

Um ógnamiðaðar innbrotsprófanir fer samkvæmt reglugerð (ESB) 2025/1190, sbr. 3. gr.

3. gr. Innleiðing reglugerða.

Með reglum þessum öðlast gildi hér á landi eftirtaldar reglugerðir:

1. Framseld reglugerð framkvæmdastjórnarinnar (ESB) 2024/1772 frá 13. mars 2024 um viðbætur við reglugerð Evrópuþingsins og ráðsins (ESB) 2022/2554 að því er varðar tæknilega eftirlitsstaðla sem tilgreina viðmið fyrir flokkun á atvikum sem tengjast upplýsinga- og fjarskiptatækni og netógnum, setja fram mikilvægismörk og tilgreina nánari upplýsingar um tilkynningar um alvarleg atvik, sem tekin var upp í EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar nr. 77/2025 frá 14. mars 2025 sem birt er í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 38 frá 12. júní 2025, bls. 58. Reglugerðin er birt í fylgiskjali 1 með reglum þessum.
2. Framseld reglugerð framkvæmdastjórnarinnar (ESB) 2024/1773 frá 13. mars 2024 um viðbætur við reglugerð Evrópuþingsins og ráðsins (ESB) 2022/2554 að því er varðar tæknilega eftirlitsstaðla sem tilgreina ítarlegt innihald stefnunnar varðandi samningsbundið fyrirkomulag um notkun upplýsinga- og fjarskiptatækniþjónustu sem styður við nauðsynlega eða mikilvæga starfsemi þriðju aðila sem veita upplýsinga- og fjarskiptatækniþjónustu, sem tekin var upp í EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar nr. 77/2025 frá 14. mars 2025 sem birt er í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 38 frá 12. júní 2025, bls. 58. Reglugerðin er birt í fylgiskjali 2 með reglum þessum.
3. Framseld reglugerð framkvæmdastjórnarinnar (ESB) 2024/1774 frá 13. mars 2024 um viðbætur við reglugerð Evrópuþingsins og ráðsins (ESB) 2022/2554 að því er varðar tæknilega eftirlitsstaðla þar sem tilgreind eru nánar búnaður, aðferðir, ferlar og stefnur til stýringar á upplýsinga- og fjarskiptatækniáhættu og einfaldaður áhættustýringarrammi fyrir upplýsinga- og fjarskiptatækni, sem tekin var upp í EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar nr. 77/2025 frá 14. mars 2025 sem birt er í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 38 frá 12. júní 2025, bls. 58. Reglugerðin er birt í fylgiskjali 3 með reglum þessum.
4. Framseld reglugerð framkvæmdastjórnarinnar (ESB) 2025/295 frá 24. október 2024 um viðbætur við reglugerð Evrópuþingsins og ráðsins (ESB) 2022/2554 að því er varðar tæknilega eftirlitsstaðla um samræmingu skilyrða sem gera eftirlitsstarfsemi mögulega, sem tekin var upp í EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar nr. 137/2025 frá 13. júní 2025 sem birt er í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 61 frá 2. október 2025, bls. 40. Reglugerðin er birt í fylgiskjali 4 með reglum þessum.
5. Framseld reglugerð framkvæmdastjórnarinnar (ESB) 2025/301 frá 23. október 2024 um viðbætur við reglugerð Evrópuþingsins og ráðsins (ESB) 2022/2554 að því er varðar tæknilega eftirlitsstaðla þar sem tilgreint er innihald og tímamörk frumtilkynningar, og áfanga- og lokaskýrslu, um alvarleg atvik sem tengjast upplýsinga- og fjarskiptatækni og inntak valfrjálsrar tilkynningar um verulegar netógnir, sem tekin var upp í EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar nr. 137/2025 frá 13. júní 2025 sem birt er í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 61 frá 2. október 2025, bls. 40. Reglugerðin er birt í fylgiskjali 5 með reglum þessum.
6. Framkvæmdarreglugerð framkvæmdastjórnarinnar (ESB) 2025/302 frá 23. október 2024 um tæknilega framkvæmdarstaðla fyrir beitingu reglugerðar Evrópuþingsins og ráðsins (ESB) 2022/2554 að því er varðar stöðluð eyðublöð, sniðmát og verklagsreglur fyrir aðila á fjármálamarkaði til að tilkynna um alvarleg atvik sem tengjast upplýsinga- og fjarskiptatækni og til að tilkynna um verulega netógn, sem tekin var upp í EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar nr. 36/2026 frá 6. febrúar 2026. Reglugerðin er birt í fylgiskjali 6 með reglum þessum.
7. Framseld reglugerð framkvæmdastjórnarinnar (ESB) 2025/420 frá 16. desember 2024 um viðbætur við reglugerð Evrópuþingsins og ráðsins (ESB) 2022/2554 að því er varðar tæknilega eftirlitsstaðla til að tilgreina nánar viðmið til að ákvarða samsetningu sameiginlega skoðunarhópsins til að tryggja jafnvægi í þátttöku starfsmanna evrópsku eftirlitsstofnananna og viðkomandi lögbærra yfirvalda, tilnefningu þeirra, verkefni og vinnutilhögun, sem tekin var upp í EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar nr. 299/2025 frá 5. desember 2025 sem birt er í fylgiskjali 7 með reglum þessum, með þeim aðlögunum sem leiða af ákvörðun sameiginlegu EES-nefndarinnar. Reglugerðin er birt í fylgiskjali 8 með reglum þessum.
8. Framseld reglugerð framkvæmdastjórnarinnar (ESB) 2025/532 frá 24. mars 2025 um viðbætur við reglugerð Evrópuþingsins og ráðsins (ESB) 2022/2554 að því er varðar tæknilega eftirlitsstaðla sem tilgreina nánar þá þætti sem aðili á fjármálamarkaði þarf að ákvarða og meta þegar hann semur við undirverktaka um upplýsinga- og fjarskiptatækniþjónustu sem styður nauðsynlega eða mikilvæga starfsemi, sem tekin var upp í EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar nr. 299/2025 frá 5. desember 2025. Reglugerðin er birt í fylgiskjali 9 með reglum þessum.
9. Framseld reglugerð framkvæmdastjórnarinnar (ESB) 2025/1190 frá 13. febrúar 2025 um viðbætur við reglugerð Evrópuþingsins og ráðsins (ESB) 2022/2554 að því er varðar tæknilega eftirlitsstaðla þar sem tilgreind eru viðmið sem notuð eru til að auðkenna aðila á fjármálamarkaði sem skylt er að framkvæma ógnamiðaðar innbrotsprófanir, kröfur og staðlar sem gilda um notkun á innri prófunaraðilum, kröfur í tengslum við umfang, prófunaraðferðir og nálgun fyrir hvern fasa í prófunum, niðurstöður, lokunar- og úrbótastig prófunar og tegund eftirlitssamvinnu og annarrar viðeigandi samvinnu sem þörf er á við innleiðingu ógnamiðaðra innbrotsprófana og til að greiða fyrir gagnkvæmri viðurkenningu, sem tekin var upp í EES-samninginn með ákvörðun sameiginlegu EES-nefndarinnar nr. 299/2025 frá 5. desember 2025. Reglugerðin er birt í fylgiskjali 10 með reglum þessum.

4. gr. Gildistaka.

Reglur þessar, sem settar eru með heimild í 1.-8. tölul. 2. mgr. 11. gr. laga um stafrænan viðnámsþrótt fjármálamarkaðar nr. 78/2025 og 6. mgr. 36. gr. g laga um skyldutryggingu lífeyrisréttinda og starfsemi lífeyrissjóða, nr. 129/1997, taka gildi þegar í stað.

B deild — Útgáfudagur: 31. mars 2026