С Регламент за изпълнение (ЕС) 2024/2956[1] са приети технически стандарти за определяне на стандартните образци за информационния регистър по чл. 28, параграф 3 от Регламент (ЕС) 2022/2554, като съгласно посоченото в чл. 3 от Регламента за изпълнение финансовите субекти използват образците в приложения I – IV, за да поддържат и актуализират информационния регистър на индивидуална, подконсолидирана и консолидирана основа. Обхватът на информационния регистър на договорни споразумения с трети страни, доставчици на услуги в областта на ИКТ, е определен в чл. 6 от Регламент за изпълнение (ЕС) 2024/2956, като по отношение на докладването намира приложение и „Decision of the EBA, ESMA EIOPA of 08 November 2024 concerning the reporting by competent authorities to the ESAs of information necessary for the designation of critical ICT third-party service providers in accordance with Article 31(1)(a) of Regulation (EU) 2022/2554“ (ESA 2024 22 consolidated version), достъпнo на следния интернет адрес: https://www.esma.europa.eu/sites/default/files/2024-11/ESA_2024_22_Decision_on_reporting_of_information_for_CTPP_designation.pdf.
Във връзка с подаването на информацията за договорните споразумения с трети страни доставчици на услуги в областта на информационните и комуникационните технологии (ИКТ) е изготвено от КФН и „Ръководство относно информационния регистър на договорни споразумения с трети страни, доставчици на услуги в областта на ИКТ“, публикувано на интернет страницата на Комисията на адрес: https://www.fsc.bg/normativna-uredba/dora-i-micar/.
[1] Регламент за изпълнение (ЕС) 2024/2956 на Комисията от 29 ноември 2024 година за установяване на технически стандарти за изпълнение за прилагането на Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета по отношение на стандартните образци за информационния регистър
Към настоящия момент не е определен един-единствен компетентен орган, който да отговаря за изпълнението на функциите и задълженията по чл. 19 от Регламента DORA, като докладването по посочената разпоредба не е обвързано с представяне на информация на подконсолидирана и консолидирана основа. Същевременно в Народното събрание на Република България е внесен Законопроект за пазарите на криптоактиви (ЗПКА, законопроекта), реф. № 51-402-01-31 от 31.12.2024 г. – https://www.parliament.bg/bg/bills/ID/165936, като в Преходните и заключителни разпоредби на същия са предвидени изменения в редица специални закони във връзка с разпределението на функциите на компетентните органи по Регламента DORA. С оглед последното е необходимо да се има предвид, че е възможно законопроектът да бъде изменен в някои или всички описани по-горе аспекти до приемането му от законодателния орган. В контекста на изложеното, докладването за съществени инциденти от страна на управляващите дружества следва да се осъществява пред КФН.
С Регламент (ЕС) 2022/2554 на Комисията не са възложени правомощия свързани с акредитирането на лицата, провеждащи тестване за проникване.
С Делегиран Регламент (ЕС) 2025/301[1] са определени съдържанието и сроковете за първоначалното уведомление и неокончателния и окончателния доклад за съществени инциденти с ИКТ, както и съдържанието на уведомлението на доброволен принцип за значителни киберзаплахи. Указания във връзка с докладването се съдържат и в публикуваните на интернет страницата на КФН „Ръководство за докладване на съществени инциденти с ИКТ и значителни киберзаплахи до Комисията за финансов надзор“ и „Инструкция за криптиране на документите и съобщенията с публичния ключ на Комисията за финансов надзор“.
[1]Делегиран Регламент (ЕС) 2025/301 на Комисията от 23 октомври 2024 година за допълнение на Регламент (ЕС) 2022/2554 на Европейския парламент и на Съвета по отношение на регулаторните технически стандарти, с които се определят съдържанието и сроковете за първоначалното уведомление и неокончателния и окончателния доклад за съществени инциденти с ИКТ, както и съдържанието на уведомлението на доброволен принцип за значителни киберзаплахи