Forseti Íslands
gjörir kunnugt: Alþingi hefur fallist á lög þessi og ég staðfest þau með samþykki mínu:

1. gr.Lögfesting.

Reglugerð Evrópuþingsins og ráðsins (ESB) 2022/2554 frá 14. desember 2022 um stafrænan rekstrarlegan viðnámsþrótt fyrir fjármálageirann og um breytingu á reglugerðum (EB) nr. 1060/2009, (ESB) nr. 648/2012, (ESB) nr. 600/2014, (ESB) nr. 909/2014 og (ESB) 2016/1011, sem er birt á bls. 1–79 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 15 frá 13. mars 2025, hefur lagagildi hér á landi með þeim aðlögunum sem leiðir af bókun 1 um altæka aðlögun við samninginn um Evrópska efnahagssvæðið og ákvörðun sameiginlegu EES-nefndarinnar nr. 40/2025 frá 20. febrúar 2025, sem er birt á bls. 65–68 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 30 frá 8. maí 2025.

2. gr.Vísanir til tilskipana.

Eftirfarandi vísanir til tilskipana í reglugerð (ESB) 2022/2554 skulu skiljast svo:

1. Aðilar á fjármálamarkaði sem eru tilgreindir sem nauðsynlegar eða mikilvægar rekstrareiningar samkvæmt landslögum sem lögleiða 3. gr. tilskipunar (ESB) 2022/2555: Rekstraraðilar nauðsynlegrar þjónustu á sviði bankastarfsemi og innviða fjármálamarkaða samkvæmt lögum um öryggi net- og upplýsingakerfa mikilvægra innviða sem jafnframt teljast til aðila á fjármálamarkaði samkvæmt lögum þessum.
2. Aðilar sem um getur í 4.–23. lið 5. mgr. 2. gr. tilskipunar 2013/36/ESB: Aðilar sem um getur í 1. og 3. málsl. 2. mgr. 1. gr. a laga um fjármálafyrirtæki, nr. 161/2002.
3. Dótturfélag í skilningi 10. liðar 2. gr. og 22. gr. tilskipunar 2013/34/ESB: Dótturfélag samkvæmt lögum um ársreikninga.
4. Einstaklingar eða lögaðilar sem njóta undanþágu skv. 2. og 3. gr. tilskipunar 2014/65/ ESB: Einstaklingar eða lögaðilar sem njóta undanþágu skv. 1. mgr. 2. gr. laga um markaði fyrir fjármálagerninga, nr. 115/2021.
5. Endurtryggingafélag skv. 4. lið 13. gr. tilskipunar 2009/138/EB: Endurtryggingafélag samkvæmt lögum um vátryggingastarfsemi.
6. Endurtryggingamiðlari skv. 5. lið 1. mgr. 2. gr. tilskipunar (ESB) 2016/97: Vátryggingamiðlari í skilningi laga um dreifingu vátrygginga.
7. Greiðslustofnun skv. 4. lið 4. gr. tilskipunar (ESB) 2015/2366: Greiðslustofnun samkvæmt lögum um greiðsluþjónustu.
8. Greiðslustofnun sem er undanþegin samkvæmt tilskipun (ESB) 2015/2366: Greiðslustofnun með takmarkað starfsleyfi skv. 34. gr. laga um greiðsluþjónustu, nr. 114/2021.
9. Móðurfyrirtæki í skilningi 9. liðar 2. gr. og 22. gr. tilskipunar 2013/34/ESB: Móðurfélag samkvæmt lögum um ársreikninga.
10. Nauðsynleg eða mikilvæg rekstrareining sem fellur undir tilskipun (ESB) 2022/2555: Mikilvægir innviðir í skilningi laga um öryggi net- og upplýsingakerfa mikilvægra innviða sem jafnframt teljast til aðila á fjármálamarkaði samkvæmt lögum þessum.
11. Nauðsynlegir starfsþættir í skilningi 35. liðar 1. mgr. 2. gr. tilskipunar 2014/59/ESB: Nauðsynleg starfsemi samkvæmt lögum um skilameðferð lánastofnana og verðbréfafyrirtækja.
12. Net- og upplýsingakerfi skv. 1. lið 6. gr. tilskipunar (ESB) 2022/2555: Net- og upplýsingakerfi samkvæmt lögum um öryggi net- og upplýsingakerfa mikilvægra innviða.
13. Rafeyrisfyrirtæki skv. 1. lið 2. gr. tilskipunar Evrópuþingsins og ráðsins 2009/110/EB: Rafeyrisfyrirtæki samkvæmt lögum um útgáfu og meðferð rafeyris.
14. Rafeyrisfyrirtæki sem njóta undanþágu samkvæmt tilskipun 2009/110/EB: Aðilar með takmarkað starfsleyfi skv. 16. gr. laga um útgáfu og meðferð rafeyris, nr. 17/2013.
15. Reikningsupplýsingaþjónustuveitandi skv. 1. mgr. 33. gr. tilskipunar (ESB) 2015/2366: Reikningsupplýsingaþjónustuveitandi samkvæmt lögum um greiðsluþjónustu.
16. Rekstraraðili sérhæfðra sjóða eins og um getur í 2. mgr. 3. gr. tilskipunar 2011/61/ESB: Rekstraraðilar sérhæfðra sjóða sem falla ekki undir 1. mgr. 6. gr. laga um rekstraraðila sérhæfðra sjóða, nr. 45/2020.
17. Rekstraraðili skv. b-lið 1. mgr. 4. gr. tilskipunar 2011/61/ ESB: Rekstraraðili samkvæmt lögum um rekstraraðila sérhæfðra sjóða.
18. Rekstrarfélag skv. b-lið 1. mgr. 2. gr. tilskipunar 2009/65/EB: Rekstrarfélag verðbréfasjóða samkvæmt lögum um verðbréfasjóði.
19. Sameiginlegur tengiliður sem er tilnefndur eða komið á fót í samræmi við tilskipun (ESB) 2022/2555: Fjarskiptastofa samkvæmt lögum um öryggi net- og upplýsingakerfa mikilvægra innviða.
20. Samstæða í skilningi 11. liðar 2. gr. tilskipunar 2013/34/ESB: Samstæða samkvæmt lögum um ársreikninga.
21. Skilastjórnvald skv. 3. gr. tilskipunar 2014/59/ESB: Skilastjórnvald samkvæmt lögum um skilameðferð lánastofnana og verðbréfafyrirtækja.
22. Stjórn og/eða framkvæmdastjórn í skilningi 36. liðar 1. mgr. 4. gr. tilskipunar 2014/65/ ESB, 7. liðar 1. mgr. 3. gr. tilskipunar 2013/36/ESB og s-liðar 1. mgr. 2. gr. tilskipunar Evrópuþingsins og ráðsins 2009/65/EB: Stjórn og/eða framkvæmdastjórn.
23. Stofnun um starfstengdan lífeyri skv. 1. lið 6. gr. tilskipunar (ESB) 2016/2341: Starfstengdur eftirlaunasjóður samkvæmt lögum um starfstengda eftirlaunasjóði.
24. Vátrygginga- og endurtryggingafélög eins og um getur í 4. gr. tilskipunar 2009/138/EB: Vátryggingafélag sem eru undanþegin gildissviði vegna stærðar skv. 3. mgr. 3. gr. laga um vátryggingastarfsemi, nr. 100/2016.
25. Vátryggingafélag skv. 1. lið 13. gr. tilskipunar 2009/138/EB: Vátryggingafélag samkvæmt lögum um vátryggingastarfsemi.
26. Vátryggingamiðlari í hliðarstarfsemi skv. 4. lið 1. mgr. 2. gr. tilskipunar (ESB) 2016/97: Aðili sem dreifir vátryggingu sem aukaafurð samkvæmt lögum um dreifingu vátrygginga.
27. Verðbréfafyrirtæki skv. 1. lið 1. mgr. 4. gr. tilskipunar 2014/65/ESB: Verðbréfafyrirtæki samkvæmt lögum um markaði fyrir fjármálagerninga.
28. Viðbragðsteymi vegna váatvika er varða tölvuöryggi sem er tilnefnt eða komið á fót í samræmi við tilskipun (ESB) 2022/2555: Netöryggissveit samkvæmt varnarmálalögum.
29. Viðskiptavettvangur skv. 24. lið 1. mgr. 4. gr. tilskipunar 2014/65/ESB: Viðskiptavettvangur samkvæmt lögum um markaði fyrir fjármálagerninga.
30. Öryggi net- og upplýsingakerfa skv. 2. lið 6. gr. tilskipunar (ESB) 2022/2555: Öryggi net- og upplýsingakerfa samkvæmt lögum um öryggi net- og upplýsingakerfa mikilvægra innviða.

3. gr.Lögbært yfirvald og eftirlit.

Seðlabanki Íslands er lögbært yfirvald hér á landi í skilningi laga þessara og ber ábyrgð á málum sem tengjast ógnamiðaðri innbrotsprófun samkvæmt reglugerð (ESB) 2022/2554.

Fjármálaeftirlitið hefur eftirlit með því að farið sé að lögum þessum og fer með önnur þau verkefni sem reglugerð (ESB) 2022/2554 felur lögbæru yfirvaldi. Um eftirlitið fer samkvæmt ákvæðum laga þessara, laga um opinbert eftirlit með fjármálastarfsemi og laga um evrópskt eftirlitskerfi á fjármálamarkaði.

4. gr.Úrbætur.

Komi í ljós að ákvæðum laga þessara, eða stjórnvaldsfyrirmæla settra með stoð í þeim, sé ekki fylgt skal Fjármálaeftirlitið krefjast þess að úr sé bætt innan hæfilegs frests.

5. gr.Stjórnvaldssektir.

Fjármálaeftirlitið getur lagt stjórnvaldssektir á hvern þann sem brýtur gegn eftirtöldum ákvæðum reglugerðar (ESB) 2022/2554 og stjórnvaldsfyrirmælum settum á grundvelli laga þessara:

1. 5.–14. gr. um kröfur um stýringu upplýsinga- og fjarskiptatækniáhættu,
2. 16. gr. um kröfur um einfaldaðan áhættustýringarramma fyrir upplýsinga- og fjarskiptatækni,
3. 17. gr. um kröfur um atvikastjórnunarferli sem tengist upplýsinga- og fjarskiptatækni, eftir atvikum, sbr. 23. gr.,
4. 1. og 2. mgr. 18. gr. um skyldu til að flokka atvik sem tengjast upplýsinga- og fjarskiptatækni og netógnum, eftir atvikum, sbr. 23. gr.,
5. 1., 3. og 4. mgr. 19. gr. um skyldu til að tilkynna alvarleg atvik sem tengjast upplýsinga- og fjarskiptatækni, eftir atvikum, sbr. 23. gr.,
6. 24. gr. um almennar kröfur um framkvæmd prófunar á stafrænum viðnámsþrótti,
7. 25. gr. um prófun á upplýsinga- og fjarskiptatæknibúnaði og -kerfum,
8. 26. gr. um kröfur um auknar prófanir á upplýsinga- og fjarskiptatæknibúnaði, tilheyrandi kerfum og ferlum sem byggjast á ógnamiðaðri innbrotsprófun,
9. 27. gr. um kröfur fyrir prófunaraðila til að framkvæma ógnamiðaða innbrotsprófun,
10. 28. og 29. gr. um kröfur um stýringu upplýsinga- og fjarskiptatækniáhættu vegna þriðju aðila sem veita upplýsinga- og fjarskiptatækniþjónustu,
11. 1.–3. mgr. 30. gr. um kröfur varðandi samninga við þriðju aðila sem veita upplýsinga- og fjarskiptatækniþjónustu,
12. 12. mgr. 31. gr. um kröfur sem gerðar eru varðandi nýtingu þjónustu mikilvægs þriðja aðila með staðfestu í þriðja ríki,
13. 3. og 6. mgr. 42. gr. um skyldu aðila á fjármálamarkaði til að taka tillit til áhættu sem tilgreind er í tilmælum aðaleftirlitsaðila til mikilvægra þriðju aðila sem veita upplýsinga- og fjarskiptaþjónustu og, ef við á, um skyldu til að hlíta ákvörðun Fjármálaeftirlitsins um notkun eða nýtingu þjónustu slíkra aðila.

Sektir sem lagðar eru á einstaklinga geta numið frá 100 þús. kr. til 65 millj. kr. Sektir sem lagðar eru á lögaðila geta numið frá 500 þús. kr. til 800 millj. kr., en geta þó verið hærri eða allt að 10% af heildarveltu samkvæmt síðasta samþykkta ársreikningi lögaðilans eða 10% af síðasta samþykkta samstæðureikningi ef lögaðili er hluti af samstæðu.

Þrátt fyrir 2. mgr. er heimilt að ákvarða einstaklingi eða lögaðila sem brýtur af sér með þeim hætti sem í 1. mgr. greinir stjórnvaldssekt sem nemur allt að tvöfaldri þeirri fjárhæð sem fjárhagslegur ávinningur af brotinu nemur.

Ákvarðanir Fjármálaeftirlitsins um stjórnvaldssektir eru aðfararhæfar. Sektir renna í ríkissjóð að frádregnum kostnaði við innheimtuna. Séu stjórnvaldssektir ekki greiddar innan mánaðar frá ákvörðun Fjármálaeftirlitsins skal greiða dráttarvexti af fjárhæð sektarinnar. Um ákvörðun og útreikning dráttarvaxta fer eftir lögum um vexti og verðtryggingu.

6. gr.Saknæmi.

Stjórnsýsluviðurlögum verður beitt óháð því hvort lögbrot eru framin af ásetningi eða gáleysi.

7. gr.Ákvörðun stjórnsýsluviðurlaga.

Við ákvörðun stjórnsýsluviðurlaga, þar á meðal um fjárhæð stjórnvaldssekta, skal tekið tillit til saknæmisstigs og allra annarra atvika sem máli skipta, þ.m.t. eftirfarandi eftir því sem við á:

1. alvarleika brots og hvað það hefur staðið lengi,
2. ábyrgðar hins brotlega einstaklings eða lögaðila,
3. fjárhagsstöðu hins brotlega, sér í lagi með hliðsjón af ársveltu lögaðila eða árstekjum og eignum einstaklings,
4. þýðingar ávinnings eða taps sem forðað var með broti fyrir hinn brotlega,
5. hvort brot hafi leitt til tjóns þriðja aðila,
6. samstarfsvilja hins brotlega,
7. fyrri brota hins brotlega og hvort um ítrekað brot er að ræða.

8. gr.Sátt.

Hafi aðili gerst brotlegur við ákvæði laga þessara eða ákvarðanir Fjármálaeftirlitsins á grundvelli þeirra er Fjármálaeftirlitinu heimilt að ljúka málinu með sátt með samþykki málsaðila, enda sé ekki um að ræða meiri háttar brot sem refsiviðurlög liggja við. Sátt er bindandi fyrir málsaðila þegar hann hefur samþykkt og staðfest efni hennar með undirskrift sinni.

Seðlabanki Íslands setur nánari reglur um framkvæmd 1. mgr.

9. gr.Réttur grunaðs manns.

Í máli sem beinist að einstaklingi og lokið getur með ákvörðun um stjórnsýsluviðurlög samkvæmt lögum þessum hefur sá sem rökstuddur grunur leikur á að hafi gerst sekur um lögbrot rétt til að neita að svara spurningum eða afhenda gögn eða muni nema hægt sé að útiloka að það geti haft þýðingu fyrir ákvörðun um brot hans. Fjármálaeftirlitið skal leiðbeina hinum grunaða um þennan rétt.

10. gr.Frestur til að beita stjórnsýsluviðurlögum.

Heimild Fjármálaeftirlitsins til að leggja á stjórnsýsluviðurlög samkvæmt lögum þessum fellur niður þegar fimm ár eru liðin frá því að háttsemi lauk.

Frestur skv. 1. mgr. rofnar þegar Fjármálaeftirlitið tilkynnir aðila um rannsókn á meintu broti. Rof frests hefur réttaráhrif gagnvart öllum sem staðið hafa að broti.

11. gr.Stjórnvaldsfyrirmæli.

Ráðherra setur reglugerð um nánari framkvæmd reglugerðar (ESB) 2022/2554 um þau atriði sem koma fram í:

1. 6. mgr. 31. gr. um viðmiðanir til grundvallar útnefningu mikilvægra þriðju aðila sem veita upplýsinga- og fjarskiptatækniþjónustu.
2. 2. mgr. 43. gr. um gjöld sem Eftirlitsstofnun EFTA leggur á mikilvæga þriðju aðila sem veita upplýsinga- og fjarskiptatækniþjónustu.

Seðlabanki Íslands setur reglur um nánari framkvæmd reglugerðar (ESB) 2022/2554 um þau atriði sem koma fram í:

1. 15. gr. um frekari samhæfingu búnaðar, aðferða, ferla og stefna til stýringar á upplýsinga- og fjarskiptatækniáhættu.
2. 3. mgr. 16. gr. um einfaldaðan áhættustýringarramma fyrir upplýsinga- og fjarskiptatækni.
3. 3. og 4. mgr. 18. gr. um flokkun á atvikum sem tengjast upplýsinga- og fjarskiptatækni og netógnum.
4. 20. gr. um samræmingu á efni og sniðmátum tilkynninga.
5. 11. mgr. 26. gr. um auknar prófanir á upplýsinga- og fjarskiptatæknibúnaði og samsvarandi kerfum og ferlum sem byggjast á ógnamiðaðri innbrotsprófun.
6. 9. og 10. mgr. 28. gr. um almennar meginreglur um trausta stýringu upplýsinga- og fjarskiptatækniáhættu vegna þriðju aðila.
7. 5. mgr. 30. gr. um helstu samningsákvæði.
8. 2. mgr. 41. gr. um samræmingu skilyrða vegna eftirlitsramma mikilvægra þriðju aðila sem veita upplýsinga- og fjarskiptatækniþjónustu.

12. gr.Undanþegnir aðilar.

Lög þessi gilda ekki um Byggðastofnun, Lánasjóð sveitarfélaga ohf. og Náttúruhamfaratryggingu Íslands.

13. gr.Gildistaka.

Lög þessi öðlast gildi 1. janúar 2026.

14. gr.Breyting á öðrum lögum.

Við gildistöku laga þessara verða eftirfarandi breytingar á öðrum lögum:

1. Lög um verðbréfasjóði, nr. 116/2021: Við 2. tölul. 3. mgr. 15. gr. laganna bætist: þ.m.t. að því er varðar net- og upplýsingakerfi sem sett eru upp og stjórnað í samræmi við reglugerð (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar.
2. Lög um vátryggingastarfsemi, nr. 100/2016:
   1. Við 5. mgr. 39. gr. laganna bætist: og skal setja upp og stjórna net- og upplýsingakerfum í samræmi við reglugerð (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar.
   2. Eftirfarandi breytingar verða á 44. gr. laganna:
      1. Við 4. mgr. bætist: aðra en þá sem varða stýringu upplýsinga- og fjarskiptatækniáhættu.
      2. Við e-lið 5. mgr. bætist: annarrar en þeirrar sem varðar stýringu upplýsinga- og fjarskiptatækniáhættu.
3. Lög um rekstraraðila sérhæfðra sjóða, nr. 45/2020: Við 2. tölul. 4. mgr. 19. gr. laganna bætist: þ.m.t. er varðar net- og upplýsingakerfi sem sett eru upp og stjórnað í samræmi við reglugerð (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar.
4. Lög um fjármálafyrirtæki, nr. 161/2002:
   1. Á eftir orðunum „þ.m.t. traust stjórnunar- og bókhaldsfyrirkomulag“ í 1. mgr. 50. gr. laganna kemur: net- og upplýsingakerfi, sem sett eru upp og stjórnað í samræmi við reglugerð (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar.
   2. 2. mgr. 78. gr. g laganna orðast svo:
      Fjármálafyrirtæki skal hafa viðbragðsáætlun og áætlun um samfelldan rekstur til að tryggja áframhaldandi starfsemi sína og takmörkun á tjóni ef alvarleg röskun verður á starfsemi fyrirtækisins. Undir 1. málsl. falla m.a., ef við á, stefnur og áætlanir um rekstrarsamfellu upplýsinga- og fjarskiptatækni og viðbragðs- og endurheimtaráætlanir fyrir þá tækni í samræmi við 11. gr. reglugerðar (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar.
   3. Við 3. mgr. 80. gr. laganna bætist nýr stafliður, svohljóðandi: áhættu sem prófanir á stafrænum viðnámsþrótti leiða í ljós í samræmi við IV. kafla reglugerðar (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar.
5. Lög um markaði fyrir fjármálagerninga, nr. 115/2021:
   1. Við 1. tölul. 1. mgr. 3. gr. laganna bætist nýr stafliður, svohljóðandi: 62. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2022/2554 frá 14. desember 2022 um stafrænan viðnámsþrótt fyrir fjármálageirann og um breytingu á reglugerðum (EB) nr. 1060/2009, (ESB) nr. 648/2012, (ESB) nr. 600/2014, (ESB) nr. 909/2014 og (ESB) 2016/1011, sem er birt á bls. 1–79 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 15 frá 13. mars 2025.
   2. Eftirfarandi breytingar verða á 21. gr. laganna:
      1. 3. mgr. orðast svo:
         Verðbréfafyrirtæki skal gera eðlilegar ráðstafanir til að tryggja að fjárfestingarþjónusta og fjárfestingarstarfsemi sé samfelld og reglubundin. Með þetta að markmiði skal verðbréfafyrirtækið nota viðeigandi og hæfileg kerfi, þ.m.t. upplýsinga- og fjarskiptatæknikerfi sem sett eru upp og stjórnað í samræmi við 7. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar, sem og viðeigandi og hæfileg tilföng og verklag.
      2. 5. mgr. orðast svo:
         Verðbréfafyrirtæki skal hafa traustar aðferðir fyrir stjórnun og bókhald, innra eftirlitskerfi og skilvirkar verklagsreglur fyrir áhættumat.
      3. 6. mgr. orðast svo:
         Verðbréfafyrirtæki skal hafa trausta öryggisferla, í samræmi við kröfurnar sem mælt er fyrir um í reglugerð (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar, til að:
         1. tryggja öryggi og sannvottun aðferða til að senda upplýsingar,
         2. draga eins og kostur er úr hættu á spillingu gagna og óheimiluðum aðgangi og
         3. koma í veg fyrir leka upplýsinga og þar með gæta að leynd gagna á öllum tímum, án þess að slíkt hafi áhrif á heimild Fjármálaeftirlitsins til að krefjast aðgangs að upplýsingum.
   3. 1. mgr. 25. gr. laganna orðast svo:
      Verðbréfafyrirtæki sem hefur með höndum algrímsviðskipti skal ráða yfir skilvirkum kerfum og stjórntækjum vegna eftirlits með áhættu sem henta vel til þeirrar starfsemi sem það stundar til að tryggja að viðskiptakerfi þess séu álagsþolin og búi yfir nægilegri getu, í samræmi við kröfurnar sem mælt er fyrir um í II. kafla reglugerðar (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar, falli undir viðeigandi viðskiptamörk og viðskiptatakmarkanir og komi í veg fyrir sendingu rangra fyrirmæla eða að kerfin séu að öðru leyti þannig að þau geti skapað eða stuðlað að óróleika á markaði. Slíkt fyrirtæki skal einnig ráða yfir skilvirkum kerfum og sinna áhættuvörnum til að tryggja að ekki sé unnt að nota viðskiptakerfin í tilgangi sem gengur gegn reglugerð (ESB) nr. 596/2014, sbr. lög um aðgerðir gegn markaðssvikum, eða reglum þess viðskiptavettvangs sem það tengist. Verðbréfafyrirtækið skal hafa til staðar skilvirkt fyrirkomulag til að halda samfellu í rekstri við bilun í viðskiptakerfum þess, þ.m.t. stefnu og áætlanir um rekstrarsamfellu upplýsinga- og fjarskiptatækni og viðbragðs- og endurreisnaráætlanir fyrir upplýsinga- og fjarskiptatæknikerfi sem komið er á í samræmi við 11. gr. reglugerðar (ESB) 2022/2554, og skal sjá til þess að kerfin séu að fullu prófuð og undir viðeigandi eftirliti til að tryggja að þau uppfylli almennu kröfurnar sem mælt er fyrir um í þessari málsgrein og allar sértækar kröfur sem mælt er fyrir um í II. og IV. kafla reglugerðar (ESB) 2022/2554.
   4. Eftirfarandi breytingar verða á 1. mgr. 78. gr. laganna:
      1. 2. tölul. orðast svo: Vera nægilega vel í stakk búinn til að stýra áhættu sem að honum snýr, þ.m.t. að stýra upplýsinga- og fjarskiptatækniáhættu í samræmi við II. kafla reglugerðar (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar, koma á viðeigandi ráðstöfunum og kerfum til að greina alla verulega áhættuþætti fyrir rekstur hans og koma á skilvirkum ráðstöfunum til að draga úr þeim.
      2. 3. tölul. fellur brott.
   5. 1. mgr. 83. gr. laganna orðast svo:
      Skipulegur markaður skal koma á og viðhalda stafrænum viðnámsþrótti sínum í samræmi við kröfurnar sem mælt er fyrir um í II. kafla reglugerðar (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar, til að tryggja að viðskiptakerfi hans séu álagsþolin, búi yfir nægilegri getu til að ráða við álagstoppa í magni tilboða og skilaboða, geti tryggt hnökralaus viðskipti þegar mikið álag er á markaði, hafi verið rækilega prófuð til að tryggja að þessi skilyrði séu uppfyllt og falli undir skilvirkt fyrirkomulag til að tryggja rekstrarsamfellu, þ.m.t. stefnu og áætlanir um rekstrarsamfellu upplýsinga- og fjarskiptatækni og viðbragðs- og endurreisnaráætlanir fyrir upplýsinga- og fjarskiptatækni sem komið er á í samræmi við 11. gr. reglugerðar (ESB) 2022/2554, til að tryggja samfellu í þjónustu hans ef bilun verður í viðskiptakerfum hans.
   6. Í stað orðsins „prófunarumhverfi“ í 1. málsl. 1. mgr. 85. gr. laganna kemur: umhverfi til að greiða fyrir slíkri prófun í samræmi við kröfurnar sem mælt er fyrir um í II. og IV. kafla reglugerðar (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar.
6. Lög um greiðsluþjónustu, nr. 114/2021:
   1. Í stað orðanna „þjónustu við verndun trúnaðarupplýsinga og friðhelgi einkalífs, sannvottun gagna og eininga, þjónustuveitu upplýsingatækni- og samskiptanets“ í 10. tölul. 2. gr. laganna kemur: traustþjónustu og þjónustu við verndun friðhelgi einkalífs, sannvottun gagna og eininga, veitingu upplýsinga- og fjarskiptatækniþjónustu.
   2. Eftirfarandi breytingar verða á 1. mgr. 4. gr. laganna:
      1. 10. tölul. orðast svo: Lýsing á verkferli sem fylgja skal til að hafa eftirlit með, meðhöndla og fylgja eftir rekstrar- eða öryggisfrávikum og kvörtunum viðskiptavina að því er varðar öryggisatriði, þ.m.t. fyrirkomulag skýrslugjafar um atvik sem tekur tillit til tilkynningarskyldu greiðslustofnunarinnar sem mælt er fyrir um í III. kafla reglugerðar (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar.
      2. 11. tölul. orðast svo: Lýsing á fyrirkomulagi stjórnarhátta umsækjanda og innri eftirlitskerfum hans, þ.m.t. aðferðum við stjórnun, áhættustýringu og reikningsskil, auk fyrirkomulags fyrir notkun upplýsinga- og fjarskiptatækniþjónustu í samræmi við reglugerð (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar, sem sýnir að stjórnarhættir og innra eftirlitskerfi séu í réttu hlutfalli við starfsemina, viðeigandi, traust og fullnægjandi.
      3. 14. tölul. orðast svo: Lýsing á fyrirkomulagi rekstrarsamfellu þar sem mikilvæg starfsemi er skýrt tilgreind, skilvirkri stefnu og áætlunum um rekstrarsamfellu upplýsinga- og fjarskiptatækni og viðbragðs- og endurreisnaráætlunum fyrir upplýsinga- og fjarskiptatækni og ferlinu til að kanna reglulega og endurskoða hversu fullnægjandi og skilvirkar slíkar áætlanir eru í samræmi við reglugerð (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar.
      4. 16. tölul. orðast svo: Öryggisstefna og lýsing á öryggiskerfi umsækjanda, sem skal innihalda ítarlegt áhættumat í tengslum við greiðsluþjónustu, lýsingu á ráðstöfunum vegna öryggiseftirlits og mildunarráðstafana sem gripið er til í því skyni að vernda notendur greiðsluþjónustu með fullnægjandi hætti fyrir tilgreindri áhættu, svo sem svikum og ólöglegri notkun viðkvæmra gagna og persónuupplýsinga. Lýsing skal fylgja á ráðstöfunum til að tryggja öflugan stafrænan viðnámsþrótt í samræmi við II. kafla reglugerðar (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar, einkum í tengslum við tæknilegt öryggi og persónuvernd, þ.m.t. fyrir hugbúnað og upplýsinga- og fjarskiptatæknikerfi sem umsækjandi, eða fyrirtæki sem hann útvistar þáttum í starfsemi sinni til, notar. Ráðstafanir skv. 1. málsl. skulu einnig taka til ráðstafana skv. 99. gr. um eftirlitskerfi rekstrar- og öryggisáhættu.
   3. 1. málsl. 2. mgr. 18. gr. laganna orðast svo: Útvistun mikilvægra rekstrarþátta, þar á meðal upplýsinga- og fjarskiptatæknikerfa, skal ekki fara þannig fram að hún rýri verulega gæði innra eftirlits greiðslustofnunar og getu Fjármálaeftirlitsins til að hafa eftirlit með og ganga úr skugga um að greiðslustofnunin uppfylli allar þær skyldur sem mælt er fyrir um í lögum þessum.
   4. Á eftir 1. mgr. 99. gr. laganna kemur ný málsgrein, svohljóðandi:
      Ákvæði 1. mgr. hefur ekki áhrif á framkvæmd II. kafla reglugerðar (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar, gagnvart lánastofnunum, rafeyrisfyrirtækjum, greiðslustofnunum, reikningsupplýsingaþjónustuveitendum, greiðslustofnunum með takmarkað starfsleyfi og rafeyrisfyrirtækjum með takmarkað starfsleyfi skv. 16. gr. laga um meðferð og útgáfu rafeyris, nr. 17/2013.
   5. Eftirfarandi breytingar verða á 1. mgr. 100. gr. laganna:
      1. Við bætist: í samræmi við grein þessa.
      2. Við bætist nýr málsliður, svohljóðandi: Þrátt fyrir 1. málsl. gildir grein þessi ekki um lánastofnanir, rafeyrisfyrirtæki, greiðslustofnanir, reikningsupplýsingaþjónustuveitendur, greiðslustofnanir með takmarkað starfsleyfi og aðila með takmarkað starfsleyfi skv. 16. gr. laga um meðferð og útgáfu rafeyris, nr. 17/2013, sem falla undir gildissvið reglugerðar (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar.
   6. Í stað tilvísunarinnar „2. mgr. 99. gr.“ í 3. mgr. 101. gr. og 58. tölul. 1. mgr. 106. gr. laganna kemur: 3. mgr. 99. gr.
7. Lög um öryggi net- og upplýsingakerfa mikilvægra aðila, nr. 78/2019: Við 1. mgr. 8. gr. laganna bætist nýr málsliður, svohljóðandi: Um tilkynningar skv. 1. málsl. fer þó samkvæmt reglugerð (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar, í tilviki rekstraraðila nauðsynlegrar þjónustu á sviði bankastarfsemi og innviða fjármálamarkaða.
8. Lög um lánshæfismatsfyrirtæki, nr. 50/2017: Við 1. tölul. 2. gr. laganna bætist nýr stafliður, svohljóðandi: 59. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2022/2554 frá 14. desember 2022 um stafrænan rekstrarlegan viðnámsþrótt fyrir fjármálageirann og um breytingu á reglugerðum (EB) nr. 1060/2009, (ESB) nr. 648/2012, (ESB) nr. 600/2014, (ESB) nr. 909/2014 og (ESB) 2016/1011, sem er birt á bls. 1–79 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 15 frá 13. mars 2025.
9. Lög um afleiðuviðskipti, miðlæga mótaðila og afleiðuviðskiptaskrár, nr. 15/2018: Við 2. gr. laganna bætist nýr töluliður, svohljóðandi: 60. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2022/2554 frá 14. desember 2022 um stafrænan rekstrarlegan viðnámsþrótt fyrir fjármálageirann og um breytingu á reglugerðum (EB) nr. 1060/2009, (ESB) nr. 648/2012, (ESB) nr. 600/2014, (ESB) nr. 909/2014 og (ESB) 2016/1011, sem er birt á bls. 1–79 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 15 frá 13. mars 2025.
10. Lög um verðbréfamiðstöðvar, uppgjör og rafræna eignarskráningu fjármálagerninga, nr. 7/2020: Eftirfarandi breytingar verða á 3. gr. laganna:
    1. 1. mgr. orðast svo:
       Reglugerð Evrópuþingsins og ráðsins (ESB) nr. 909/2014 frá 23. júlí 2014 um bætt verðbréfauppgjör í Evrópusambandinu og um verðbréfamiðstöðvar og um breytingu á tilskipunum 98/26/EB og 2014/65/ESB og reglugerð (ESB) nr. 236/2012, sem er birt á bls. 255–326 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 25 frá 28. mars 2019, hefur lagagildi með þeim aðlögunum sem leiðir af bókun 1 um altæka aðlögun við samninginn um Evrópska efnahagssvæðið og ákvörðun sameiginlegu EES-nefndarinnar nr. 18 frá 8. febrúar 2019, sem er birt á bls. 8–10 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 17 frá 28. febrúar 2019, og með breytingum samkvæmt:
       1. 17. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2022/858 frá 30. maí 2022 um tilraunaregluverk fyrir innviði markaða sem byggjast á dreifðri færsluskrártækni og um breytingu á reglugerðum (ESB) nr. 600/2014 og (ESB) nr. 909/2014 og tilskipun 2014/65/ESB, sem er birt á bls. 160–192 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 92 frá 20. desember 2023.
       2. 61. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2022/2554 frá 14. desember 2022 um stafrænan rekstrarlegan viðnámsþrótt fyrir fjármálageirann og um breytingu á reglugerðum (EB) nr. 1060/2009, (ESB) nr. 648/2012, (ESB) nr. 600/2014, (ESB) nr. 909/2014 og (ESB) 2016/1011, sem er birt á bls. 1–79 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 15 frá 13. mars 2025.
    2. 2. mgr. orðast svo:
       Í lögum þessum er vísað til reglugerðar (ESB) nr. 909/2014 með aðlögunum og breytingum skv. 1. mgr. sem reglugerðar (ESB) nr. 909/2014.
11. Lög um fjárhagslegar viðmiðanir, nr. 7/2021: Eftirfarandi breytingar verða á 1. gr. laganna:
    1. 1. mgr. orðast svo:
       Reglugerð Evrópuþingsins og ráðsins (ESB) 2016/1011 frá 8. júní 2016 um vísitölur sem notaðar eru sem viðmiðanir í fjármálagerningum og fjárhagslegum samningum eða til að mæla árangur fjárfestingarsjóða og um breytingu á tilskipunum 2008/48/EB og 2014/17/ESB og reglugerð (ESB) nr. 596/2014, sem er birt á bls. 72–136 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 16 frá 12. mars 2020, hefur lagagildi með þeim aðlögunum sem leiðir af bókun 1 um altæka aðlögun við samninginn um Evrópska efnahagssvæðið og ákvörðun sameiginlegu EES-nefndarinnar nr. 190/2019 frá 10. júlí 2019, sem er birt á bls. 5–6 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 73 frá 12. september 2019, og með breytingum samkvæmt:
       1. 1. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2019/2089 frá 27. nóvember 2019 um breytingu á reglugerð (ESB) 2016/1011 að því er varðar viðmiðanir ESB vegna loftslagstengdra umbreytinga, viðmiðanir ESB sem eru lagaðar að Parísarsamningnum og upplýsingagjöf um sjálfbærni fyrir viðmiðanir, sem er birt á bls. 658–668 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 26 frá 23. apríl 2020.
       2. 1. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2021/168 frá 10. febrúar 2021 um breytingu á reglugerð (ESB) 2016/1011 að því er varðar undanþágu fyrir tilteknar viðmiðanir fyrir stundargengi gjaldmiðla þriðju landa og tilnefningu viðmiðana í stað viðmiðana sem verður hætt með og um breytingu á reglugerð (ESB) nr. 648/2012, sem er birt á bls. 47–58 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 4 frá 17. janúar 2022.
       3. 63. gr. reglugerðar Evrópuþingsins og ráðsins (ESB) 2022/2554 frá 14. desember 2022 um stafrænan rekstrarlegan viðnámsþrótt fyrir fjármálageirann og um breytingu á reglugerðum (EB) nr. 1060/2009, (ESB) nr. 648/2012, (ESB) nr. 600/2014, (ESB) nr. 909/2014 og (ESB) 2016/1011, sem er birt á bls. 1–79 í EES-viðbæti við Stjórnartíðindi Evrópusambandsins nr. 15 frá 13. mars 2025.
    2. 2. mgr. orðast svo:
       Í lögum þessum er vísað til reglugerðar (ESB) 2016/1011 með aðlögunum og breytingum skv. 1. mgr. sem reglugerðar (ESB) 2016/1011.
12. Lög um skyldutryggingu lífeyrisréttinda og starfsemi lífeyrissjóða, nr. 129/1997: Á eftir 36. gr. f laganna kemur ný grein, 36. gr. g, ásamt fyrirsögn, svohljóðandi:

Rekstraráhætta.

Lífeyrissjóður skal hafa stefnu og ferla til að meta og stýra rekstraráhættu, þ.m.t. vegna útvistunar og fátíðra atburða sem geta haft alvarlegar afleiðingar.

Lífeyrissjóður skal stýra upplýsinga- og fjarskiptatækniáhættu í samræmi við ákvæði 5.–14. gr., 17. gr., 1. og 2. mgr. 18. gr., 1. mgr. 22. gr. og 24.–30. gr. reglugerðar (ESB) 2022/2554, sbr. lög um stafrænan viðnámsþrótt fjármálamarkaðar. Ráðstafanir til að stuðla að stafrænum viðnámsþrótti lífeyrissjóðs skulu vera í réttu hlutfalli við stærð og heildaráhættusnið lífeyrissjóðs og eðli, umfang og flækjustig rekstrarumgjarðar hans.

Um lífeyrissjóði með færri sjóðfélaga en 100 fer skv. 16. gr. í stað 5.–14. gr. reglugerðar (ESB) 2022/2554 um einfaldaðan áhættustýringarramma fyrir upplýsinga- og fjarskiptatækni.

Lífeyrissjóður skal tilkynna Fjármálaeftirlitinu um alvarleg atvik sem tengjast upplýsinga- og fjarskiptatækni og verulegar netógnir skv. 1. og 2. mgr. 19. gr. reglugerðar (ESB) 2022/2554. Um slíkar tilkynningar fer skv. 3.–5. mgr. 19. gr. reglugerðarinnar. Fjármálaeftirlitið skal leggja mat á mikilvægi atviks eða ógnar og tilkynna öðrum innlendum stjórnvöldum tímanlega um það eftir því sem við á.

Lífeyrissjóður getur átt aðild að fyrirkomulagi upplýsingaskipta hér á landi vegna upplýsinga og greiningargagna um netógnir skv. 45. gr. reglugerðar (ESB) 2022/2554.

Seðlabanka Íslands er heimilt að setja nánari reglur um rekstraráhættu lífeyrissjóða og útfæra nánar skyldur lífeyrissjóða samkvæmt þessari grein.

A deild — Útgáfudagur: 1. desember 2025