L 122 Forslag til lov om ændring af lov om finansiel virksomhed, lov om betalinger, lov om kapitalmarkeder og forskellige andre love.

(Tilsyn efter forordning om digital operationel modstandsdygtighed i den finansielle sektor og forordning om markeder for kryptoaktiver, regler for udpegelse af administrationsselskab for Garantifonden og aflønningsregler for firmapensionskasser).

Af: Erhvervsminister Morten Bødskov (S)

Udvalg: Erhvervsudvalget

Samling: 2023-24

Status: Stadfæstet

Lovforslag som optrykt efter 2. behandling

Optrykt: 30-04-2024

Efter afstemningen i Folketinget ved 2. behandling den 30. april 2024

20231_l122_efter_2behandling.pdf
Html-version

Læg i dokumentkurv

Efter afstemningen i Folketinget ved 2. behandling den 30. april 2024

Forslag

til

Lov om ændring af lov om finansiel virksomhed, lov om betalinger, lov om kapitalmarkeder og forskellige andre love1)

(Tilsyn efter forordning om digital operationel modstandsdygtighed i den finansielle sektor og forordning om markeder for kryptoaktiver, regler for udpegelse af administrationsselskab for Garantifonden og aflønningsregler for firmapensionskasser)

§ 1

I lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 1731 af 5. december 2023, som ændret ved § 335 i lov nr. 718 af 13. juni 2023, § 44 i lov nr. 1534 af 12. december 2023 og § 1 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer:

1. I fodnoten til lovens titel, 1. pkt., udgår »dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016 (NIS-direktivet), EU-Tidende 2016, nr. L 194, side 1,«, og »og dele af Kommissionens delegerede direktiv (EU) 2021/1270 af 21. april 2021 om ændring af direktiv 2010/43/EU for så vidt angår de bæredygtighedsrisici og bæredygtighedsfaktorer, der skal tages hensyn til i forbindelse med institutter for kollektiv investering i værdipapirer (investeringsinstitutter), EU-Tidende 2021, nr. L 277, side 141« ændres til: », dele af Kommissionens delegerede direktiv (EU) 2021/1270 af 21. april 2021 om ændring af direktiv 2010/43/EU for så vidt angår de bæredygtighedsrisici og bæredygtighedsfaktorer, der skal tages hensyn til i forbindelse med institutter for kollektiv investering i værdipapirer (investeringsinstitutter), EU-Tidende 2021, nr. L 277, side 141, dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, EU-Tidende 2022, nr. L 333, side 80-152, og dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2556 af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«, i 2. pkt. ændres »84, og« til: »84,«, og efter »L 352, side 1« indsættes: », Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«.

2. § 1 affattes således:

»§ 1. Denne lov finder anvendelse på finansielle virksomheder, jf. § 5, stk. 1, nr. 1, samt virksomhed omfattet af stk. 2-11 og 15.

Stk. 2. For finansielle holdingvirksomheder finder §§ 6, 6 a og 6 b, § 43, stk. 1, kapitel 7, § 64, stk. 7, § 64 e, stk. 1, §§ 70, 71, 75, 79 a, 117, 175 a og 179-181, kapitel 13, §§ 344, 345, 346 og 347-348 a, § 350, stk. 3, § 351, stk. 1, 2 og 6-9, §§ 355 og 357, § 361, stk. 1, nr. 3 og 9, og stk. 2, § 368, stk. 2 og 3, stk. 4, nr. 1, og stk. 5, og §§ 369, 370, 372, 373, 373 a og 374 anvendelse. For finansielle holdingvirksomheder finder § 46, stk. 2 og 3, § 64 c, stk. 5, jf. stk. 1 og 4, §§ 71 b, 77 a-77 d, 170-175, 176-178 og 182 b-182 f, § 245 a, stk. 3, §§ 245 b og 260, § 266, stk. 1, og 271, 274-276, 310, 312, 313, 313 b og 344 d desuden anvendelse. For blandede holdingvirksomheder finder § 64, stk. 7, § 260, § 264, stk. 5, nr. 13, § 266, stk. 1, §§ 271, 274-276, 344 og 345, § 347, stk. 1, § 351, stk. 1, 2 og 6-9, og §§ 355, 372 og 373 desuden anvendelse.

Stk. 3. Loven finder anvendelse på filialer her i landet af kreditinstitutter og administrationsselskaber, der er meddelt tilladelse i et land uden for Den Europæiske Union, som Unionen ikke har indgået aftale med på det finansielle område, med de afvigelser, som filialforholdet nødvendiggør, eller som er fastsat i eller i henhold til international aftale. Finanstilsynet kan fastsætte nærmere regler om virksomhedens indretning for filialer omfattet af 1. pkt., herunder regler om kapitalforhold m.v. Finanstilsynet kan fastsætte nærmere regler om, at filialer omfattet af 1. pkt. skal udøve deres aktiviteter i et datterselskab. Selskabslovens bestemmelser om filialer af udenlandske aktieselskaber finder anvendelse på de i 1. pkt. nævnte filialer.

Stk. 4. For filialer her i landet af udenlandske virksomheder, der er meddelt tilladelse til at udøve den i §§ 7-10 a nævnte virksomhed i et land inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, finder §§ 6, 6 a, 6 b, 30, 32, 43, 43 b, 47-48 a, 50-54, 344 og 345, § 347, stk. 1-3, 5 og 7, §§ 347 b, 347 c og 348, § 352, stk. 2, og §§ 354 a, 354 b, 360, 363 a, 368-370 og 373-374 anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. For filialer her i landet af kreditinstitutter finder § 152 a, stk. 4, 2. pkt., og § 307 a, stk. 1, 1. pkt., anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. For filialer her i landet af en udenlandsk virksomhed, der er meddelt tilladelse til at udøve den i §§ 7-10 a nævnte virksomhed i et andet land inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, finder § 347 a endvidere anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. For filialer og tilknyttede agenter her i landet af kreditinstitutter, der er meddelt tilladelse til at yde investeringsservice eller udføre investeringsaktiviteter i et andet land inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, og som udfører sådan aktivitet her i landet, finder §§ 30, 32, 344 og 345, § 347, stk. 1-3, 5 og 7, §§ 348, 354 a og 354 b og § 363 b, stk. 1 og 2, anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. § 43 og regler udstedt i medfør heraf gælder tilsvarende for situationer som nævnt i 4. pkt.

Stk. 5. For tjenesteydelser her i landet ydet af kreditinstitutter og administrationsselskaber, der er meddelt tilladelse i et andet land inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, finder §§ 6, 6 a, 6 b, 31, 43 og 46-54, § 347, stk. 1, og § 348, stk. 1, anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. For tjenesteydelser her i landet ydet af kreditinstitutter, der er meddelt tilladelse til at yde investeringsservice eller udføre investeringsaktiviteter i et andet land inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, finder § 31, § 347, stk. 1, og § 348, stk. 1, anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler.

Stk. 6. For tjenesteydelser med værdipapirhandel ydet her i landet af kreditinstitutter, der er meddelt tilladelse i et land uden for Den Europæiske Union, som Unionen ikke har indgået aftale med på det finansielle område, og for hvilket land Kommissionen ikke har vedtaget en afgørelse som omhandlet i artikel 47, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter, eller hvor en sådan afgørelse ikke længere er gyldig, finder §§ 6, 6 a, 6 b, 33 og 43, § 347, stk. 1, § 348, § 363 b, stk. 4, og § 373, stk. 3 og 5, anvendelse.

Stk. 7. For tjenesteydelser ydet her i landet af forsikringsselskaber, der er meddelt tilladelse i et land uden for Den Europæiske Union, som Unionen ikke har indgået aftale med på det finansielle område, finder §§ 6, 6 a, 6 b og 37 anvendelse.

Stk. 8. Kapitel 20 finder anvendelse på sparevirksomheder.

Stk. 9. Kapitel 20 b finder anvendelse på kreditvurderingsbureauer.

Stk. 10. Kapitel 20 c finder anvendelse på fælles datacentraler.

Stk. 11. Kapitel 20 f finder anvendelse på CO2-kvotebydere.

Stk. 12. Kapitel 20 h finder anvendelse på STS-certificeringsbureauer.

Stk. 13. Bestemmelser om bestyrelsen eller medlemmer heraf i § 5, stk. 1, nr. 6, § 77, stk. 1 og 3, § 78, stk. 1, nr. 1, § 98, § 144, stk. 1, § 199, stk. 10 og 11, og §§ 203, 209 og 247 skal i SE-selskaber med et tostrenget ledelsessystem alene finde anvendelse på tilsynsorganet eller medlemmer heraf med de fornødne tilpasninger.

Stk. 14. Kapitel 20 a finder anvendelse på crowdfundingtjenesteudbydere.

Stk. 15. Kapitel 19 b finder anvendelse på fysiske og juridiske personer og andre virksomheder, der er involveret i udstedelse, udbud til offentligheden og optagelse af kryptoaktiver til handel, eller som leverer tjenesteydelser i forbindelse med kryptoaktiver.

Stk. 16. Bestemmelser om bestyrelsen eller medlemmer heraf og bestemmelser om ledelsen i § 14, stk. 1, nr. 2, §§ 64, 65, 73-75, 80 og 117, § 124, stk. 1 og 4, § 179, nr. 2, § 180, nr. 2, §§ 184, 185 og 233, § 346, stk. 2 og 3, § 349, stk. 2, nr. 2, § 351, § 355, stk. 2, nr. 8, og stk. 3, og §§ 356 og 373-374 finder i SE-selskaber med et tostrenget ledelsessystem ud over ledelsesorganet og medlemmerne heraf også anvendelse på tilsynsorganet eller medlemmer heraf med de fornødne tilpasninger.

Stk. 17. For leverandører og underleverandører til outsourcingvirksomheder, jf. § 5, stk. 1, nr. 22 og 23, finder §§ 6, 6 a og 6 b og § 347, stk. 1 og 6, anvendelse.

Stk. 18. For fondsmæglerselskaber omfattet af artikel 1, stk. 2 og 5, i Europa-Parlamentets og Rådets forordning (EU) 2019/2033 af 27. november 2019 om tilsynsmæssige krav til investeringsselskaber og for fondsmæglerselskaber omfattet af § 236 i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter finder de bestemmelser, som gennemfører afsnit VII og VIII i Europa-Parlamentets og Rådets direktiv 2013/36/EU af 26. juni 2013 om adgang til at udøve virksomhed som kreditinstitut og om tilsyn med kreditinstitutter anvendelse.

Stk. 19. For pengeinstitutter, der samtidig er meddelt tilladelse som centrale modparter (CCP'er) i henhold til artikel 14 i forordning (EU) nr. 648/2012 af 4. juli 2012 om OTC-derivater, centrale modparter og transaktionsregistre, finder denne lovs §§ 71 a-71 c, 177 a, 177 b, 182 b-182 f og 224 a og kapitel 15 a, 17 og 17 a ikke anvendelse.«

3. § 1 affattes således:

»§ 1. Denne lov finder anvendelse på finansielle virksomheder, jf. § 5, stk. 1, nr. 1, samt virksomhed omfattet af stk. 2-11 og 15.

Stk. 2. For finansielle holdingvirksomheder finder §§ 6, 6 a og 6 b, § 43, stk. 1, kapitel 7, § 64, stk. 7, § 64 e, stk. 1, §§ 70, 71, 75, 79 a, 117, 175 a og 179-181, kapitel 13, §§ 344, 345, 346 og 347-348 a, § 350, stk. 3, § 351, stk. 1, 2 og 6-9, §§ 355 og 357, § 361, stk. 1, nr. 3 og 9, og stk. 2, § 368, stk. 2 og 3, stk. 4, nr. 1, og stk. 5, og §§ 369, 370, 372, 373, 373 a og 374 anvendelse. For finansielle holdingvirksomheder finder § 46, stk. 2 og 3, § 64 c, stk. 5, jf. stk. 1 og 4, §§ 71 b, 77 a-77 d, 170-175, 176-178 og 182 b-182 f, § 245 a, stk. 3, §§ 245 b og 260, § 266, stk. 1, og §§ 271, 274-276, 310, 312, 313, 313 b og 344 d desuden anvendelse. For blandede holdingvirksomheder finder § 64, stk. 7, § 260, § 264, stk. 5, nr. 13, § 266, stk. 1, §§ 271, 274-276, 344 og 345, § 347, stk. 1, § 351, stk. 1, 2 og 6-9, og §§ 355, 372 og 373 desuden anvendelse.

Stk. 4. For filialer her i landet af udenlandske virksomheder, der er meddelt tilladelse til at udøve den i §§ 7-10 a nævnte virksomhed i et land inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, finder §§ 6, 6 a, 6 b, 30, 32, 43, 43 b, 47-48 a, 50-54, 344 og 345, § 347, stk. 1-3, 5 og 7, §§ 347 b, 347 c og 348, § 352, stk. 2, og §§ 354 a, 354 b, 360, 363 a, 368-370 og 373-374 anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. For filialer her i landet af kreditinstitutter finder § 152 a, stk. 4, 2. pkt., anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. For filialer her i landet af en udenlandsk virksomhed, der er meddelt tilladelse til at udøve den i §§ 7-10 a nævnte virksomhed i et andet land inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, finder § 347 a endvidere anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. For filialer og tilknyttede agenter her i landet af kreditinstitutter, der er meddelt tilladelse til at yde investeringsservice eller udføre investeringsaktiviteter i et andet land inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, og som udfører sådan aktivitet her i landet, finder §§ 30, 32, 344 og 345, § 347, stk. 1-3, 5 og 7, §§ 348, 354 a og 354 b og § 363 b, stk. 1 og 2, anvendelse med de afvigelser, som er fastsat i eller i henhold til internationale aftaler. § 43 og regler udstedt i medfør heraf gælder tilsvarende for situationer som nævnt i 4. pkt.

Stk. 8. Kapitel 20 finder anvendelse på sparevirksomheder.

Stk. 9. Kapitel 20 b finder anvendelse på kreditvurderingsbureauer.

Stk. 10. Kapitel 20 f finder anvendelse på CO2-kvotebydere.

Stk. 11. Kapitel 20 h finder anvendelse på STS-certificeringsbureauer.

Stk. 12. Bestemmelser om bestyrelsen eller medlemmer heraf i § 5, stk. 1, nr. 6, § 77, stk. 1 og 3, § 78, stk. 1, nr. 1, § 98, § 144, stk. 1, § 199, stk. 10 og 11, og §§ 203, 209 og 247 skal i SE-selskaber med et tostrenget ledelsessystem alene finde anvendelse på tilsynsorganet eller medlemmer heraf med de fornødne tilpasninger.

Stk. 13. Kapitel 20 a finder anvendelse på crowdfundingtjenesteudbydere.

Stk. 14. Kapitel 19 b finder anvendelse på fysiske og juridiske personer og andre virksomheder, der er involveret i udstedelse, udbud til offentligheden og optagelse af kryptoaktiver til handel, eller som leverer tjenesteydelser i forbindelse med kryptoaktiver.

Stk. 15. Kapitel 19 c finder anvendelse på operatører af finansiel digital infrastruktur.

Stk. 17. For leverandører og underleverandører til outsourcingvirksomheder, jf. § 5, stk. 1, nr. 22 og 23, finder §§ 6, 6 a og 6 b og § 347, stk. 1 og 6, anvendelse.

4. I § 10, stk. 1, 2. pkt., ændres », § 10 a og § 28« til: »og §§ 10 a, 10 b og 28«.

5. Efter § 10 a indsættes:

»§ 10 b. Et investeringsforvaltningsselskab kan levere tjenester med kryptoaktiver som angivet i artikel 60, stk. 5, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver svarende til de tjenester, som det er meddelt tilladelse til i henhold til § 10, hvis selskabet giver Finanstilsynet meddelelse, mindst 40 arbejdsdage inden disse tjenester leveres første gang. Meddelelsen skal ledsages af de oplysninger, der er anført i artikel 60, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.«

6. I § 71, stk. 1, nr. 8, indsættes efter »it-området«: »og for net- og informationssystemer, som oprettes og styres i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.

7. § 71, stk. 3, 2. pkt., ophæves.

8. I § 72 a, stk. 1, indsættes som 2. pkt.:

»1. pkt. finder ikke anvendelse for outsourcing på det digitale operationelle område.«

9. § 72 c ophæves.

10. I § 80, stk. 5, udgår »Landbrugets FinansieringsBank A/S,«.

11. I § 124, stk. 2, indsættes efter 2. pkt. som nyt punktum:

»Den del af solvensbehovet, der vedrører risiko for overdreven gearing, opgøres i procent af den samlede ikkerisikovægtede eksponering.«

12. I § 124, stk. 2, 3. pkt., der bliver 4. pkt., indsættes efter »i artikel 93«: »eller gearingsgradskravet efter artikel 92, stk. 1, litra d,«.

13. I § 124, stk. 3, 1. pkt., indsættes efter »92, stk. 1, litra c,«: »eller til gearingsgradskravet, der fremgår af artikel 92, stk. 1, litra d,«, og i 2. pkt. indsættes efter »samlede risikoeksponering«: »og i procent af den ikkerisikovægtede eksponering, hvis solvenskravet vedrører risiko for overdreven gearing«.

14. I § 124 a, stk. 1, 1. pkt., ændres »meddeler dette til kreditinstitutterne« til: »informerer kreditinstitutterne om dette«.

15. I § 124 a, stk. 1, 2. pkt., indsættes efter »risikoeksponering«: »og i procent af den samlede ikkerisikovægtede eksponering«.

16. I § 124 a, stk. 3, udgår »egentlig« og »egentlige«.

17. I § 125 d, stk. 1, indsættes efter »§ 125 a, stk. 1,«: »eller gearingsgradbufferkravet, jf. artikel 92, stk. 1, litra a, jf. Europa-Parlamentets og Rådets forordning (EU) nr. 575/2013 om tilsynsmæssige krav til kreditinstitutter, hvis gearingsgradsbufferkravet finder anvendelse,«, og »§ 125 b, stk. 3,« ændres til: »§ 125 b, stk. 5,«.

18. § 199, stk. 12, 2. pkt., ophæves.

19. I § 224, stk. 1, nr. 1, indsættes efter »om markeder for finansielle instrumenter«: »eller Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«.

20. § 224, stk. 7, ophæves.

21. I § 269 a, stk. 3, nr. 2, ændres »opfylder betingelserne for afvikling« til: »bliver nødlidende eller forventeligt nødlidende, jf. § 224 a«.

22. I § 272 indsættes som stk. 8 og 9:

»Stk. 8. Kapitalejere og kreditorer, hvis krav er blevet nedskrevet eller konverteret i henhold til stk. 1, må ikke lide større tab end ved konkursbehandling af pengeinstituttet eller realkreditinstituttet under afvikling.

Stk. 9. Finanstilsynets vurdering efter stk. 8 foretages på baggrund af værdiansættelsen i § 8 i lov om restrukturering og afvikling af visse finansielle virksomheder. Værdiansættelsen foretages af Finansiel Stabilitet efter anmodning fra Finanstilsynet. Konstateres det, at en kapitalejer eller kreditor, herunder Garantiformuen, har lidt større tab, end den ville have gjort ved konkursbehandling af pengeinstituttet eller realkreditinstituttet, betales forskellen af Afviklingsformuen, jf. kapitel 11 i lov om restrukturering og afvikling af visse finansielle virksomheder.«

23. § 274, stk. 3, affattes således:

»Stk. 3. Stk. 1 finder ikke anvendelse, hvis

1) forpligtelsen er undtaget fra bail-in, jf. § 25, stk. 3, i lov om restrukturering og afvikling af visse finansielle virksomheder,

2) forpligtelsen er en del af et berettiget indskud fra fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, jf. § 2, nr. 19, i lov om restrukturering og afvikling af visse finansielle virksomheder, og overstiger beløbsgrænsen for dækkede indskud, jf. § 9 i lov om en indskyder- og investorgarantiordning, eller

3) forpligtelsen ville være et berettiget indskud fra fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, hvis ikke indskuddet var foretaget gennem filialer af institutter, der er etableret inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, når filialen er beliggende uden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område.«

24. I § 275, stk. 1, indsættes efter 1. pkt. som nyt punktum:

»Dette omfatter dog ikke usikrede obligationer og andre former for omsættelig gæld og instrumenter, der skaber eller anerkender en gæld.«

25. Afsnit VIII a ophæves.

26. Afsnit IX a ophæves, og i stedet indsættes:

»Afsnit IX a

Offentlig forbrugerinformation

Kapitel 19 a

§ 331. Finanstilsynet fremmer den offentlige forbrugerinformation på det finansielle område.

Afsnit IX b

Markeder for kryptoaktiver

Kapitel 19 b

Definitioner

§ 332. I denne lov forstås ved:

1) Kryptoaktiv: En digital gengivelse af en værdi eller af en rettighed, som kan overføres og lagres elektronisk ved hjælp af distributed ledger-teknologi eller lignende teknologi.

2) Aktivbaseret token: En form for kryptoaktiv, der ikke er en elektronisk pengetoken, og som hævdes at bevare en stabil værdi ved at henvise til en anden værdi eller rettighed eller en kombination heraf, herunder en eller flere officielle valutaer.

3) Elektronisk pengetoken eller e-pengetoken: En form for kryptoaktiv, som hævdes at bevare en stabil værdi ved at henvise til værdien af en officiel valuta.

4) Udsteder af kryptoaktiver: En fysisk eller juridisk person eller en anden virksomhed, der udsteder kryptoaktiver.

5) Udbyder af kryptoaktiver: En fysisk eller juridisk person eller en anden virksomhed eller en udsteder, som udbyder kryptoaktiver til offentligheden.

6) Udbyder af kryptoaktivtjenester: En juridisk person eller en anden virksomhed, hvis erhverv eller forretning består i at levere en eller flere kryptoaktivtjenester til kunder på et erhvervsmæssigt grundlag, og som har tilladelse til at levere kryptoaktivtjenester i overensstemmelse med artikel 59 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.

7) Kryptoaktivtjeneste: En af nedenstående tjenester og aktiviteter vedrørende ethvert kryptoaktiv:

a) Levering af deponering og administration af kryptoaktiver på kunders vegne.

b) Drift af en handelsplatform for kryptoaktiver.

c) Veksling mellem kryptoaktiver og midler.

d) Veksling mellem kryptoaktiver og andre kryptoaktiver.

e) Udførelse af ordrer vedrørende kryptoaktiver på vegne af kunder.

f) Placering af kryptoaktiver.

g) Modtagelse og formidling af ordrer vedrørende kryptoaktiver på vegne af kunder.

h) Rådgivning om kryptoaktiver.

i) Porteføljepleje i forbindelse med kryptoaktiver.

j) Levering af tjenester vedrørende overførsel af kryptoaktiver på vegne af kunder.

Tilladelse og underretning

§ 332 a. En juridisk person eller anden virksomhed, der udbyder aktivbaserede tokens til offentligheden eller anmoder om optagelse af aktivbaserede tokens til handel i EU, skal være udsteder af disse aktivbaserede tokens og have tilladelse af Finanstilsynet i overensstemmelse med artikel 21, jf. artikel 16, stk. 1, litra a, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, jf. dog stk. 2 og 3.

Stk. 2. Stk. 1 finder ikke anvendelse på et pengeinstitut, der opfylder kravene i artikel 17 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.

Stk. 3. Stk. 1 finder ikke anvendelse på en udsteder af aktivbaserede tokens, som er undtaget efter artikel 16, stk. 2, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, såfremt udstederen giver meddelelse om en hvidbog om kryptoaktiver i overensstemmelse med artikel 19 i samme forordning og efter anmodning fra Finanstilsynet giver meddelelse om enhver markedsføringskommunikation til Finanstilsynet.

§ 332 b. En person, der udbyder e-pengetokens til offentligheden eller anmoder om optagelse af e-pengetokens til handel i EU, skal være udsteder af disse, være meddelt tilladelse fra Finanstilsynet som pengeinstitut eller e-pengeinstitut og offentliggøre en hvidbog om kryptoaktiver, som Finanstilsynet er blevet underrettet om i overensstemmelse med artikel 51, jf. artikel 48, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.

§ 332 c. En juridisk person eller anden virksomhed, der leverer kryptoaktivtjenester i EU, skal have tilladelse af Finanstilsynet efter artikel 63, jf. artikel 59, stk. 1, litra a, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, jf. dog stk. 2.

Stk. 2. Stk. 1 finder ikke anvendelse på et pengeinstitut, en værdipapircentral, et fondsmæglerselskab, en markedsoperatør, et e-pengeinstitut, et investeringsforvaltningsselskab eller en forvalter af alternative investeringsfonde, der har tilladelse til at udbyde tjenester som angivet i artikel 60, stk. 1-6, og som har underrettet Finanstilsynet i henhold til artikel 60, stk. 1-6, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, jf. artikel 59, stk. 1, litra b, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.

Inddragelse af tilladelse

§ 332 d. Finanstilsynet kan inddrage en tilladelse til en udsteder af aktivbaserede tokens efter artikel 24 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.

§ 332 e. Finanstilsynet kan inddrage en tilladelse til en udbyder af kryptoaktivtjenester efter artikel 64 i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.

Indberetning af oplysninger

§ 332 f. En udsteder af aktivbaserede tokens omfattet af § 361, stk. 1, nr. 11, skal senest den 1. juli hvert år indberette summen af udstederens gennemsnitlige udestående til Finanstilsynet, jf. stk. 2.

Stk. 2. Gennemsnittet af de udestående aktivbaserede tokens beregnes som den samlede markedsværdi af de udestående aktivbaserede tokens opgjort på baggrund af det daglige udestående ved udgangen af hver dag i de foregående 6 måneder. Opgørelsen foretages den første dag i hver måned. Har virksomheden ikke gennemført 6 måneders drift på datoen for beregningen, anvendes de eventuelt gennemførte måneder med drift og virksomhedens estimater for de gennemsnitlige udestående aktivbaserede tokens for det kommende år som grundlag for beregningen.

§ 332 g. En udbyder af kryptoaktivtjenester omfattet af § 361, stk. 1, nr. 12, skal senest den 1. juli hvert år indberette virksomhedens omkostninger til løn, provision og tantieme til Finanstilsynet.

Tilsyn

§ 332 h. Finanstilsynet, eller hvor kompetencen til at udøve enkelte beføjelser ved lov er tillagt andre danske myndigheder, kan til brug for tilsyn med overholdelsen af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver udøve de beføjelser, der følger af forordningens artikel 94. Dette inkluderer til enhver tid mod behørig legitimation uden retskendelse at kunne få adgang til lokaler og lokaliteter tilhørende udbydere af kryptoaktiver undtagen aktivbaserede tokens eller e-pengetokens og personer, der anmoder om optagelse til handel af kryptoaktiver undtagen aktivbaserede tokens eller e-pengetokens, udstedere af aktivbaserede tokens, udstedere af e-pengetokens og udbydere af kryptoaktivtjenester, med henblik på indhentelse af oplysninger, herunder ved inspektioner.

Afsnit IX c

Kapitel 19 c

Operatører af finansielle digitale infrastrukturer

Udpegning af operatører af finansielle digitale infrastrukturer

§ 333. Finanstilsynet kan udpege en virksomhed som operatør af finansiel digital infrastruktur, hvis virksomheden opfylder følgende:

1) Virksomheden udbyder digital infrastruktur eller forvalter it-tjenester som nævnt i bilag I, punkt 8 og 9, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen.

2) Virksomhedens væsentligste aktiviteter består i at drive, administrere eller udvikle tjenester, der er nødvendige for kritiske og vigtige forretningsfunktioner i virksomheder, der er omfattet af Europa-Parlamentets og Rådets forordning (EU) 2022/2254 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, som operatører af finansielle digitale infrastrukturer.

Stk. 2. Finanstilsynet skal ved udpegningen af en operatør af finansielle digitale infrastrukturer lægge vægt på følgende:

1) Omfanget og antallet af virksomheder i den finansielle sektor, som virksomheden varetager kritiske og vigtige opgaver for.

2) Karakteren af de kritiske og vigtige funktioner, som er afhængige af virksomhedens leverancer.

3) Betydningen af operatørens leverancer for den finansielle stabilitet.

4) Virksomhedens tilknytning til de virksomheder i den finansielle sektor, som modtager operatørens ydelser, herunder koncernforbindelser og ejerskab.

Stk. 3. It-operatører af detailbetalingssystemer og virksomheder, der udfører væsentlig drift eller udvikling for den fælles betalingsinfrastruktur, kan udpeges som operatører af finansielle digitale infrastrukturer.

Stk. 4. Finanstilsynet skal på sin hjemmeside offentliggøre, hvilke virksomheder der er udpeget som operatører af finansielle digitale infrastrukturer.

Stk. 5. Finanstilsynet kan fastsætte nærmere regler om udpegning af operatører af finansielle digitale infrastrukturer, herunder de kriterier, som Finanstilsynet skal lægge vægt på efter stk. 1 og 2.

Foranstaltninger til styring af it- og cyberrisici

§ 333 a. En operatør af finansiel digital infrastruktur skal have en forvaltnings- og kontrolramme, der sikrer en effektiv og forsigtig styring af it- og cyberrisici.

Stk. 2. En operatør skal som led i rammen for styring af it- og cyberrisici træffe passende og forholdsmæssige tekniske, operationelle og organisatoriske foranstaltninger for at styre risici for sikkerheden i net- og informationssystemer.

Stk. 3. Foranstaltningerne nævnt i stk. 2 skal omfatte følgende:

1) Politikker for risikoanalyse og informationssystemsikkerhed, jf. § 333 d,

2) håndtering af hændelser, jf. § 333 f,

3) driftskontinuitet, herunder backupstyring og reetablering efter større hændelser og krisestyring, jf. § 333 e, stk. 7,

4) forsyningskædesikkerhed, herunder sikkerhedsrelaterede aspekter vedrørende forholdene mellem operatøren og dens direkte leverandører eller tjenesteudbydere, jf. §§ 333 h-333 j,

5) sikkerhed i forbindelse med erhvervelse, udvikling og vedligeholdelse af net- og informationssystemer, herunder håndtering og offentliggørelse af sårbarheder, jf. § 333 e, stk. 2,

6) politikker og procedurer til vurdering af effektiviteten af foranstaltninger til styring af cybersikkerhedsrisici, jf. § 333 e, stk. 10, og § 333 g,

7) grundlæggende cyberhygiejnepraksisser og cybersikkerhedsuddannelse, jf. § 333 b, stk. 7, og § 333 e, stk. 4 og 11,

8) politikker og procedurer vedrørende brug af kryptografi og, hvor det er relevant, kryptering,

9) personalesikkerhed, adgangskontrolpolitikker og forvaltning af aktiver og

10) brug af løsninger med multifaktorautentificering eller kontinuerlig autentificering, sikret tale-, video- og tekstkommunikation og sikrede nødkommunikationssystemer internt i infrastrukturen, hvor det er relevant.

Stk. 4. En operatør skal, når den overvejer foranstaltninger nævnt i stk. 3, nr. 4, tage hensyn til de sårbarheder, der er specifikke for hver direkte leverandør og tjenesteudbyder, og den generelle kvalitet af deres leverandørers og tjenesteudbyderes produkter og cybersikkerhedspraksis, herunder sikkerheden i deres udviklingsprocedurer. Ved vurderingen skal operatøren desuden tage hensyn til resultaterne af de koordinerede sikkerhedsrisikovurderinger af kritiske forsyningskæder, der foretages i overensstemmelse med artikel 22, stk. 1, i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, hvor det er relevant, og hvor resultaterne af sådanne vurderinger foreligger.

Ledelse og organisation

§ 333 b. Det øverste ledelsesorgan i en operatør af finansiel digital infrastruktur skal fastlægge, godkende, føre tilsyn med og har ansvaret for gennemførelsen af operatørens ramme, jf. § 333 a, og foranstaltninger efter § 333 b og ordninger for it- og cyberrisikostyring. Det øverste ledelsesorgan skal godkende en strategi for digital operationel modstandsdygtighed, der gennemfører rammen, jf. § 333 a.

Stk. 2. Tilsynet med operatørens styring af sine it- og cyberrisici skal placeres i uafhængige kontrolfunktioner. Operatøren skal sikre adskillelse og uafhængighed mellem it- og cyberrisikostyringsfunktioner, kontrolfunktioner og interne revisionsfunktioner efter modellen med tre forsvarslinjer eller en intern model for risikostyring og kontrol.

Stk. 3. En operatør skal dokumentere og gennemgå rammen efter § 333 a mindst en gang om året, og når der forekommer større it- eller cyberhændelser, eller som følge af observationer efter test eller revisioner. Gennemgang efter 1. pkt. skal ligeledes foretages efter anmodning fra Finanstilsynet. Gennemgangen af rammen skal operatøren kunne dokumentere i en samlet rapport.

Stk. 4. En operatørs interne revision skal regelmæssigt revidere rammen for styring af it- og cyberrisici. Den interne revision skal have tilstrækkelig viden, faglig kompetence og ekspertise til udførelsen af denne opgave.

Stk. 5. En operatør skal oprette en funktion med henblik på overvågning af ordninger, der er indgået med tredjepart‍sudbydere om it-ydelser, eller udpege et direktionsmedlem som ansvarlig for tilsyn og dokumentation i forbindelse med eksponering for it- og cyberrisici fra tredjepartsudbydere.

Stk. 6. En operatør skal oprette en funktion til krisestyring, som skal håndtere større it- og cyberhændelser, der medfører aktivering af beredskabsplaner, forretningskontinuitetsplaner eller genopretningsplaner. Krisestyringsfunkti‍onen har ansvaret for kommunikation efter 1. pkt.

Stk. 7. Medlemmer af det øverste ledelsesorgan af operatøren skal aktivt vedligeholde den viden og de færdigheder, der er nødvendige for at forstå og vurdere it- og cyberrisici og disses indvirkning på driften af operatøren, herunder ved regelmæssigt at følge undervisning, som er passende i forhold til de it- og cyberrisici, som operatøren og dens kunder er eksponeret for.

§ 333 c. En operatør af finansiel digital infrastruktur skal dokumentere anvendelsen af sin ramme for styring af it- og cyberrisici på leverancer, der er nødvendige for kritiske og vigtige funktioner hos kunder, såfremt operatøren er datacentral for virksomheder, som er omfattet af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.

Styring af it- og cyberrisici

§ 333 d. Den ramme for it- og cyberrisikostyring, som en operatør af finansiel digital infrastruktur skal have, jf. § 333 a, skal omfatte en overordnet strategi for digital operationel modstandsdygtighed, der fastsætter, hvordan rammen skal gennemføres.

Stk. 2. Operatøren skal med passende mellemrum identificere og vurdere alle væsentlige it- og cyberrisici, som operatøren og dennes ydelser er eksponeret for.

Stk. 3. Rammen for it- og cyberrisikostyring skal som minimum omfatte strategier, politikker, procedurer og foranstaltninger, som er nødvendige for at beskytte al fysisk og digital infrastruktur og data i overensstemmelse med de identificerede risici, herunder software, hardware, servere, netværk og relaterede fysiske komponenter og infrastrukturer såsom lokaler, datacentre og sensitive udpegede områder mod risici.

Foranstaltninger til it- og cybersikkerhed

§ 333 e. En operatør af finansiel digital infrastrukturs it-systemer, it-protokoller og it-værktøjer skal være pålidelige og med tilstrækkelig kapacitet til rettidigt at håndtere de nødvendige transaktioner m.v. i situationer med spidsbelastning, herunder uventet høje spidsbelastninger.

Stk. 2. En operatør skal løbende identificere alle kritiske forretningsfunktioner og it-aktiver, herunder it-aktiver, der understøtter kritiske eller vigtige forretningsfunktioner for operatørens kunder.

Stk. 3. En operatør skal identificere alle kritiske eller vigtige forretningsprocesser og tjenester, der er afhængige af eksterne leverandører, og dokumentere egne og kunders afhængigheder af ydelser fra underleverandører.

Stk. 4. En operatør skal overvåge og kontrollere it-systemernes og it-værktøjernes funktion og sikkerhed og minimere virkningerne af it- og cyberrisici ved at indføre passende sikkerhedsværktøjer, -politikker og -procedurer. Operatøren skal løbende identificere potentielle sårbarheder og single points of failure.

Stk. 5. En operatør skal opretholde et højt niveau af tilgængelighed, autenticitet, integritet og fortrolighed af data og udforme og gennemføre it-sikkerhedspolitikker, -procedurer og -protokoller og udforme it-værktøjer, der er egnet til at sikre modstandsdygtighed, stabilitet og tilgængelighed for it-systemer, der understøtter kritiske eller vigtige funkti‍oner.

Stk. 6. En operatør skal indføre mekanismer til overvågning og sporing af anormale aktiviteter, trusler og hændelser i relevant infrastruktur og fastsætte tærskler for igangsættelse af indsats- og beredskabsforanstaltninger.

Stk. 7. En operatør skal have en politik for it-driftsstabilitet, som gennemføres ved dokumenterede beredskabsplaner, ordninger, procedurer m.v., med henblik på

1) at sikre, at operatørens og dennes kunders kritiske eller vigtige funktioner er stabile,

2) hurtigt, passende og effektivt at sætte ind over for og løse alle it-relaterede hændelser på en måde, der begrænser skaden og prioriterer genoptagelsen af aktiviteter og genopretningstiltag,

3) at planer, der omfatter inddæmningsforanstaltninger, der er passende i forhold til hændelserne, og som forhindrer yderligere skade, omgående aktiveres,

4) at anslå foreløbige virkninger, skader og tab og

5) at indføre kommunikations- og krisestyringstiltag, der sikrer, at ajourførte oplysninger videresendes til alt relevant internt personale og eksterne interessenter og indberettes til Finanstilsynet.

Stk. 8. En operatør skal have politikker og procedurer for sikkerhedskopiering, der præciserer omfanget af de data, der er genstand for sikkerhedskopiering, og minimumshyppigheden af sikkerhedskopiering baseret på oplysningernes kritiske betydning eller fortrolighedsniveauet for dataene. Operatøren skal endvidere have procedurer og metoder for gendannelse og genopretning efter materiel eller immateriel skade efter væsentlige hændelser.

Stk. 9. En operatør skal regelmæssigt teste sine foranstaltninger til beredskab, indsats, genopretning, sikkerhedskopiering og gendannelse.

Stk. 10. En operatør skal udvikle politikker for en systematisk læring på baggrund af den viden, som operatøren opnår ved opfølgning på sin ramme for risikostyring, trusselsovervågning, testresultater og it- og cyberhændelser. Den opnåede viden skal danne grundlag for en årlig rapportering til ledelsesorganet med anbefalinger til forbedringer i relevant omfang.

Stk. 11. En operatør skal have beredskab for krisekommunikation og ansvarlig offentliggørelse af oplysninger om større cyberhændelser eller væsentlige sårbarheder til berørte parter, herunder kunder, modparter og offentligheden.

Styring og indberetning af it- og cyberhændelser

§ 333 f. En operatør af finansiel digital infrastruktur skal fastlægge en proces for overvågning, styring og indberetning af it- og cyberhændelser.

Stk. 2. En operatør skal registrere alle it- og cyberhændelser og væsentlige cybertrusler. Operatøren skal fastlægge passende procedurer, der sikrer en konsekvent og integreret overvågning og håndtering af og opfølgning på it- og cyberhændelser, og at de grundlæggende årsager identificeres, dokumenteres og håndteres.

Stk. 3. En operatør skal indberette væsentlige it- og cyberhændelser, jf. stk. 4, til Finanstilsynet og CSIRT'en oprettet i medfør af artikel 10 i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen.

Stk. 4. En hændelse anses for væsentlig, jf. stk. 3, hvis

1) den har forårsaget eller er i stand til at forårsage alvorlige driftsforstyrrelser af tjenesterne eller økonomiske tab for operatøren eller

2) den har påvirket eller er i stand til at påvirke andre fysiske eller juridiske personer ved at forårsage betydelig materiel eller immateriel skade.

Stk. 5. En operatør skal ved en indberetning, jf. stk. 3, foretage følgende:

1) Indsende alle oplysninger, der er nødvendige for Finanstilsynet til at fastslå eventuelle grænseoverskridende virkninger af hændelsen.

2) Uden unødigt ophold og under alle omstændigheder inden for 24 timer efter at have fået kendskab til den væsentlige hændelse fremsende en tidlig varsling, som skal angive, om den væsentlige hændelse mistænkes for at være forårsaget af ulovlige eller ondsindede handlinger eller kunne have en grænseoverskridende virkning.

3) Uden unødigt ophold og under alle omstændigheder inden for 72 timer efter at have fået kendskab til den væsentlige hændelse fremsende en hændelsesunderretning, som skal ajourføre de oplysninger, der er nævnt under nr. 1, og en indledende vurdering af den væsentlige hændelse, herunder dens alvor og indvirkning, og kompromitteringsindikatorerne, hvor sådanne foreligger.

4) Efter anmodning fra Finanstilsynet eller fra CSIRT'en fremsende en foreløbig rapport om relevante statusopdateringer.

5) Fremsende en endelig rapport senest 1 måned efter forelæggelsen af den hændelsesunderretning, der er nævnt i nr. 2, der skal omfatte følgende:

a) En detaljeret beskrivelse af hændelsen, herunder dens alvor og indvirkning.

b) Den type trussel eller grundlæggende årsag, der sandsynligvis har udløst hændelsen.

c) Anvendte og igangværende afbødende foranstaltninger.

d) Oplysninger om eventuelle grænseoverskridende virkninger af hændelsen.

6) Forelægge en statusrapport for Finanstilsynet og CSIRT'en senest 1 måned efter forelæggelsen af den hændelsesunderretning, der er nævnt i nr. 2, hvis hændelsen fortsat pågår på dette tidspunkt, og en endelig rapport senest 1 måned efter operatørens håndtering af hændelsen.

Stk. 6. En operatør skal, hvor det er relevant, uden unødigt ophold underrette modtagere af operatørens tjenester om væsentlige hændelser, der sandsynligvis vil påvirke leveringen af disse tjenester negativt.

Stk. 7. En operatør skal uden unødigt ophold underrette modtagere af opetatørens tjenester, som potentielt er berørt af en væsentlig cybertrussel, om eventuelle foranstaltninger eller modforholdsregler, som disse modtagere kan træffe som reaktion på den pågældende trussel. Operatøren skal også informere de pågældende modtagere om den konkrete væsentlige cybertrussel, hvor dette er relevant.

Stk. 8. En operatør kan underrette Finanstilsynet om en væsentlig cybertrussel, når operatøren anser truslen for at være relevant for det finansielle system, tjenestebrugere eller kunder.

Trusselsbaseret penetrationstest

§ 333 g. En operatør af finansiel digital infrastruktur skal løbende teste effektiviteten af sine foranstaltninger til sikring mod it- og cyberhændelser, der har eller kan have skadelige virkninger på virksomhedens drift.

Stk. 2. En operatør skal have et program for test af digital operationel modstandsdygtighed, som er passende i forhold til de identificerede risici og er integreret i operatørens ramme for it- og cyberrisikostyring, jf. § 333 a.

Stk. 3. En operatør kan pålægges at gennemgå trusselsbaserede penetrationstest i overensstemmelse med de regler, der gælder for virksomheder omfattet af kapitel IV i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og retsakter udstedt i medfør heraf.

Stk. 4. Vurderingen af, i hvilket omfang en operatør skal gennemføre penetrationstest, jf. stk. 3, skal foretages ud fra

1) virkningsrelaterede faktorer, navnlig i hvilket omfang de tjenester, der leveres, og de aktiviteter, der udføres af operatøren, indvirker på den finansielle sektor,

2) eventuelle betænkeligheder vedrørende finansiel stabilitet, herunder operatørens systemiske karakter, og

3) operatørens specifikke it-risikoprofil, grad af it-modenhed og de teknologiske kendetegn, der er involveret.

Tredjepartsrisici

§ 333 h. En operatør af finansiel digital infrastruktur skal styre sine it- og cyberrisici, der er relateret til brug af it-tjenester fra tredjeparter som en integreret del af sin ramme for it- og cyberrisikostyring, jf. § 333 a.

Stk. 2. En operatør, der har overladt driften af en forretningsfunktion til en leverandør, har til enhver tid det fulde ansvar for at overholde og opfylde alle forpligtelser i henhold til denne lov.

Stk. 3. En operatør skal regelmæssigt gennemgå de risici, der er forbundet med brugen af it-tredjepartsudbydere.

Stk. 4. En operatør skal vedtage og regelmæssigt gennemgå en strategi for sine it-tredjepartsrisici. Strategien for it-tredjepartsrisici skal omfatte en politik for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og som leveres af tredjepartsudbydere.

Stk. 5. En operatør skal opretholde og ajourføre et register over oplysninger om alle ordninger for brugen af it-tjenester, der leveres af tredjepartsudbydere. Operatøren skal underrette Finanstilsynet om enhver planlagt kontraktlig ordning for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og når en funktion er blevet kritisk eller vigtig.

Stk. 6. Inden en operatør indgår en kontraktlig ordning for brugen af it-tjenester, skal operatøren

1) vurdere, om den kontraktlige ordning omfatter brugen af it-tjenester, der understøtter en kritisk eller vigtig funktion,

2) vurdere, om de tilsynsmæssige betingelser for udlicitering er opfyldt,

3) identificere og vurdere alle relevante risici i forbindelse med den kontraktlige ordning, herunder muligheden for, at sådanne kontraktlige ordninger kan bidrage til at øge it-koncentrationsrisikoen,

4) foretage fornøden due diligence over for potentielle tredjepartsudbydere af it-tjenester og under udvælgelses- og vurderingsprocessen sikre, at den pågældende tredjepartsudbyder af it-tjenester er egnet, og

5) identificere og vurdere interessekonflikter, som den kontraktlige ordning kan give anledning til.

Stk. 7. Når en operatør indgår it-kontrakter, der relaterer sig til kritiske og vigtige funktioner, skal operatøren sikre, at den har passende adgangs-, inspektions- og revisionsrettigheder over for tredjepartsudbyderen af it-tjenester. Operatøren skal på grundlag af en risikobaseret tilgang fastsætte hyppigheden af revisioner og inspektioner og de områder, der skal underkastes revision.

Stk. 8. En operatør skal sikre, at de kontraktlige ordninger for brugen af it-tjenester som minimum kan opsiges i enhver af følgende situationer:

1) Tredjepartsudbyderen begår en væsentlig overtrædelse af gældende lovgivning eller kontraktvilkår.

2) Operatøren identificerer forhold under overvågningen af it-tredjepartsrisici, som kan ændre udførelsen af de funktioner, der er leveret gennem den kontraktlige ordning, herunder væsentlige ændringer, der påvirker ordningen eller situationen for tredjepartsudbyderen af it-tjenester.

3) Operatøren dokumenterer svagheder hos tredjepartsudbyderen af it-tjenester, som vedrører dennes samlede it-risikostyring.

4) Finanstilsynet kan ikke længere føre effektivt tilsyn med operatøren som følge af betingelserne eller omstændighederne vedrørende de respektive kontraktlige ordninger.

Stk. 9. En operatør skal indføre exitstrategier for it-tjenester, der understøtter kritiske eller vigtige funktioner. Exits‍trategierne skal tage højde for de risici, der kan opstå hos tredjepartsudbydere af it-tjenester, herunder

1) mulige svigt fra tredjepartsudbyderens side,

2) en forringelse af kvaliteten af de leverede it-tjenester,

3) eventuelle driftsforstyrrelser som følge af uhensigtsmæssig eller manglende levering af it-tjenester,

4) eventuelle væsentlige risici i forbindelse med en passende og løbende anvendelse af de pågældende it-tjenester og

5) opsigelse af kontraktlige ordninger med tredjepartsudbydere af it-tjenester i en af de i stk. 8 anførte situationer.

Stk. 10. En operatør skal indføre passende beredskabsforanstaltninger for at opretholde driftsstabiliteten, i tilfælde af at de omstændigheder, der er nævnt i stk. 9, indtræder.

Stk. 11. En operatør af finansiel digital infrastruktur skal sikre, at den kan opsige kontraktlige ordninger, uden at

1) dens forretningsaktiviteter afbrydes,

2) efterlevelsen af de lovgivningsmæssige krav begrænses og

3) kontinuiteten og kvaliteten af de leverede tjenester til kunder lider skade.

Stk. 12. Exitstrategierne skal være dokumenterede, proportionale, testet i tilstrækkeligt omfang og gennemgået regelmæssigt.

Stk. 13. En operatør skal identificere alternative løsninger og udarbejde overgangsplaner, så den kan fratage tredjepart‍sudbyderen af it-tjenester de relevante it-tjenester og de relevante data og sikkert og fuldstændigt kan overføre disse til alternative udbydere eller indarbejde dem internt.

Koncentrationsrisici

§ 333 i. Når en operatør af finansiel digital infrastruktur foretager identifikation og vurdering af de risici, der er nævnt i § 333 h, stk. 6, nr. 3, skal operatøren tage hensyn til, hvorvidt den påtænkte indgåelse af en kontraktlig ordning, der understøtter kritiske eller vigtige funktioner for de tilsluttede virksomheder, vil føre til

1) henlæggelse af funktioner til en tredjepartsudbyder af it-tjenester, som ikke er lette at erstatte, eller

2) indgåelse af flere kontraktlige ordninger om levering af it-tjenester, der understøtter kritiske eller vigtige funkti‍oner, med den samme tredjepartsudbyder af it-tjenester eller med tredjepartsudbydere af it-tjenester, som har tætte forbindelser til denne.

Centrale kontraktsbestemmelser

§ 333 j. Rettigheder og forpligtelser for en operatør af finansiel digital infrastruktur og for tredjepartsudbyderen af it-tjenester skal fordeles klart og fastlægges skriftligt. Den samlede kontrakt skal omfatte serviceniveauaftaler og dokumenteres i et samlet dokument, som parterne skal have adgang til i et varigt og tilgængeligt format.

Stk. 2. De kontraktlige ordninger for brugen af it-tjenester skal mindst omfatte følgende elementer:

1) En klar og fuldstændig beskrivelse af alle funktioner og it-tjenester, som tredjepartsudbyderen skal levere, med angivelse af, om underentreprise af en it-tjeneste, der understøtter en kritisk eller vigtig funktion eller væsentlige dele heraf, er tilladt, og hvis det er tilfældet, de betingelser, der gælder for en sådan underentreprise.

2) En angivelse af de steder, navnlig de regioner eller lande, hvor de udliciterede funktioner og it-tjenester eller funktionerne og it-tjenesterne i underentreprise skal leveres, hvor data skal behandles, herunder lagringsstedet, og krav om, at tredjepartsudbyderen på forhånd skal underrette operatøren, hvis den har planer om at ændre disse steder.

3) Bestemmelser om tilgængelighed, autenticitet, integritet og fortrolighed med hensyn til databeskyttelse, herunder personoplysninger.

4) Bestemmelser om sikring af adgang, genopretning og tilbagelevering af data i et tilgængeligt format i tilfælde af insolvens, afvikling eller afbrydelse af de forretningsaktiviteter, som tredjepartsudbyderen varetager, eller i tilfælde af opsigelse af kontrakten.

5) Beskrivelser af serviceniveauet, herunder ajourføringer og revisioner heraf.

6) En forpligtelse for tredjepartsudbyderen til at yde bistand til operatøren uden yderligere omkostninger eller til en omkostning, der fastsættes på forhånd, hvis der opstår en it-hændelse, der vedrører den it-tjeneste, som leveres til operatøren.

7) En forpligtelse for tredjepartsudbyderen til at samarbejde fuldt ud med Finanstilsynet og afviklingsmyndigheder, herunder personer, som myndighederne har udpeget.

8) Opsigelsesrettigheder og dertil knyttede minimumsfrister for opsigelse af de kontraktlige ordninger.

Stk. 3. De kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, skal ud over de elementer, der er nævnt i stk. 2, mindst omfatte følgende:

1) En fuldstændig beskrivelse af serviceniveauer, herunder ajourføringer og revisioner heraf, med præcise kvantitative og kvalitative præstationsmål inden for de aftalte serviceniveauer, så operatøren kan foretage en effektiv overvågning af it-tjenester og uden unødigt ophold træffe passende afhjælpende foranstaltninger, når de aftalte serviceniveauer ikke overholdes.

2) Opsigelsesfrister og indberetningsforpligtelser for tredjepartsudbyderen af it-tjenester over for operatøren, herunder underretning om enhver udvikling, som kan have væsentlig indvirkning på, hvorvidt tredjepartsudbyderen har evnen til effektivt at levere it-tjenester, der understøtter kritiske eller vigtige funktioner i overensstemmelse med de aftalte serviceniveauer.

3) Krav til tredjepartsudbyderen om at gennemføre og teste beredskabsplaner og indføre it-sikkerhedsforanstaltninger, -værktøjer og -politikker, som giver et passende niveau af sikkerhed, for at operatøren kan levere sine tjenester.

4) En forpligtelse for tredjepartsudbyderen til at deltage i og fuldt ud samarbejde om operatørens trusselsbaserede penetrationstest, jf. § 333 g, stk. 3.

5) En ret til løbende at overvåge tredjepartsudbyderens opgavevaretagelse og risikostyring, herunder adgangs-, inspektions- og revisionsrettigheder for operatøren, Finanstilsynet eller udpegede tredjeparter og adgang til nødvendig information og dokumentation.

6) Exitstrategier, herunder indførelse af en obligatorisk passende overgangsperiode,

a) i løbet af hvilken tredjepartsudbyderen fortsat leverer de respektive funktioner eller it-tjenester med henblik på at mindske risikoen for forstyrrelser i operatøren eller sikre en effektiv afvikling eller omstrukturering heraf, og

b) som giver operatøren mulighed for at migrere til en anden tredjepartsudbyder eller skifte til interne løsninger, der stemmer overens med den leverede tjenestes kompleksitet.

Informationsudveksling

§ 333 k. En operatør af finansiel digital infrastruktur kan udveksle oplysninger og efterretninger om cybertrusler i overensstemmelse med reglerne i kapitel VI i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og indgå i ordninger oprettet i henhold forordningens artikel 45, stk. 2. En operatør af finansiel digital infrastruktur kan ligeledes udveksle relevante cybersikkerhedsoplysninger i overensstemmelse med reglerne i kapitel VI i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen og indgå i ordninger oprettet i overensstemmelse hermed.

Stk. 2. En operatør skal underrette Finanstilsynet om sin deltagelse i de ordninger, der er nævnt i stk. 1, og i tilfælde af udtrædelse af sådanne ordninger.

Oplysning til Finanstilsynet

§ 333 l. En operatør af finansiel digital infrastruktur skal oplyse Finanstilsynet om følgende:

1) Operatørens navn.

2) Adressen på operatørens hovedforretningssted og dens andre retlige forretningssteder i Den Europæiske Union.

3) Den relevante sektor og delsektor samt typen af enhed som nævnt i bilag I i Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen.

4) Operatørens kontaktoplysninger, herunder e-mailadresser, ip-intervaller og telefonnumre på operatøren.

5) De medlemsstater, hvor operatøren leverer tjenester.

Stk. 2. Ved ændring af oplysningerne i stk. 1 skal operatøren straks og senest 3 måneder efter ændringen underrette Finanstilsynet herom.

Tilsyn m.v.

§ 333 m. Kapitel 21 og 23 og regler udstedt i medfør af disse kapitler finder anvendelse for operatører af finansielle digitale infrastrukturer med de nødvendige tilpasninger.

§ 333 n. Finanstilsynet har beføjelse til at

1) pålægge en operatør af finansiel digital infrastruktur regelmæssige og målrettede sikkerhedsaudits udført af et kvalificeret uafhængigt organ eller en kompetent myndighed og at afholde udgifterne hertil,

2) pålægge en operatør af finansiel digital infrastruktur ad hoc-audits, herunder hvor det er berettiget på grund af en væsentlig hændelse eller en overtrædelse af reglerne i denne lov fra operatørens side,

3) pålægge en operatør af finansiel digital infrastruktur sikkerhedsscanninger baseret på objektive, ikkediskriminerende, fair og gennemsigtige risikovurderingskriterier, hvor det er nødvendigt i samarbejde med den berørte operatør,

4) udstede advarsler om en operatørs overtrædelse af denne lov og

5) udpege en overvågningsansvarlig med veldefinerede opgaver til i en nærmere fastsat periode at føre tilsyn med en operatørs overholdelse af §§ 333 a og 333 f.

§ 333 o. Efterkommer en operatør af finansiel digital infrastruktur ikke Finanstilsynets påbud i medfør af denne lov, og efterkommer operatøren ikke påbuddet inden en fornyet frist, som Finanstilsynet efterfølgende sætter, kan Finanstilsynet træffe afgørelse om følgende:

1) Midlertidigt at suspendere en myndighedsudstedt certificering eller godkendelse vedrørende dele af eller alle de relevante tjenester, operatøren leverer, eller aktiviteter, der udføres af operatøren.

2) Midlertidigt at forbyde enhver fysisk person med ledelsesansvar på direktionsniveau eller juridisk repræsentant i operatøren at udøve ledelsesfunktioner i denne.

Stk. 2. Midlertidige suspensioner eller forbud, som er pålagt i medfør af stk. 1, kan kun anvendes, indtil operatøren træffer de nødvendige foranstaltninger til at afhjælpe de mangler eller opfylde de krav, som gav anledning til, at foranstaltningerne i medfør af stk. 1 blev anvendt.

Stk. 3. En afgørelse efter stk. 1 kan af operatøren eller den fysiske person, afgørelsen vedrører, forlanges indbragt for domstolene. Sagen anlægges i den borgerlige retsplejes former.

Bemyndigelse

§ 333 p. Finanstilsynet kan fastsætte nærmere regler om it- og cyberrisikostyring og kontrol- og sikringsforanstaltninger i en operatør af finansiel digital infrastruktur, herunder om følgende:

1) Indholdet af rammerne for styring af it- og cyberrisici, jf. § 333 a, og om indholdet af strategier og politikker på området for digital operationel modstandsdygtighed.

2) Det øverste ledelsesorgans opgaver i forbindelse med styringen af it- og cyberrisici.

3) Operatører af finansielle digitale infrastrukturers rapportering af væsentlige hændelser og cybertrusler.

4) Test, herunder eksterne test, af en operatør af finansielle digitale infrastrukturers cybersikkerhed.

5) Krav til testere af en operatør af finansielle digitale infrastrukturers cybersikkerhed.

6) Styring og rapportering af tredjepartsrisici.

7) Obligatorisk brug af særlige sikkerhedscertificerede produkter eller tjenesteydelser.

8) Den interne og eksterne systemrevision i operatører af finansielle digitale infrastrukturer.«

27. Afsnit X c ophæves.

28. I § 344, stk. 1, 1. pkt., indsættes efter »bæredygtige investeringer«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«.

29. Efter § 344 e indsættes:

»§ 344 f. Erhvervsministeren kan fastsætte regler om udpegelse af en myndighed til at varetage TLPT-relaterede anliggender i henhold til artikel 26, stk. 9, i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og for operatører af finansielle digitale infrastrukturer, jf. § 333.«

30. I § 347, stk. 3, ændres »en fælles datacentral« til: »en operatør af finansiel digital infrastruktur«.

31. I § 347 b, stk. 1-4 og 6, ændres », den finansielle holdingvirksomhed eller den fælles datacentral« til: »eller den finansielle holdingvirksomhed«.

32. I § 348, stk. 2, 1. pkt., ændres »§§ 43 og 57« til: »§ 43«.

33. I § 351, stk. 8, 1. pkt., ændres »stk. 5, 3. pkt.« til: »stk. 5, 5. pkt.«

34. I § 354, stk. 6, indsættes som nr. 50:

»50) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.«

35. To steder i § 354 e, stk. 2, 1. pkt., og to steder i § 373, stk. 1 og 10, ændres »§ 125 b, stk. 1-4 og 6« til: »§ 125 b, stk. 3-5 og 8«.

36. I § 354 e, stk. 2, 2. pkt., indsættes efter »finansielle instrumenter«: »og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.

37. § 354 h ophæves.

38. I § 355, stk. 1, ændres »og Europa-Parlamentets og Rådets forordning 2020/852/EU« til: », Europa-Parlamentets og Rådets forordning 2020/852/EU«, og efter »investeringer og regler udstedt i medfør heraf« indsættes: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf«.

39. § 361, stk. 1, nr. 4, affattes således:

»4) En operatør af finansiel digital infrastruktur betaler 119.000 kr. Har operatøren i et regnskabsår gennemsnitligt færre end 25 fuldtidsansatte, betaler operatøren dog 2.200 kr. 1. og 2. pkt. finder ikke anvendelse på en it-operatør af et detailbetalingssystem, der er udpeget som operatør af finansiel digital infrastruktur.«

40. I § 361, stk. 1, indsættes som nr. 11 og 12:

»11) En udsteder af aktivbaserede tokens, der er meddelt tilladelse af Finanstilsynet i henhold til § 332 a, stk. 1, betaler årligt til Finanstilsynet følgende:

a) 35.000 kr., når summen af udstederens gennemsnitlige udestående aktivbaserede tokens i 2. halvår af det foregående kalenderår og 1. halvår af det indeværende kalenderår er mindre end 100 mio. kr.

b) 100.000 kr., når summen af udstederens gennemsnitlige udestående aktivbaserede tokens i 2. halvår af det foregående kalenderår og 1. halvår af det indeværende kalenderår er mellem 100 mio. kr. og 1 mia. kr.

c) 600.000 kr., når summen af udstederens gennemsnitlige udestående aktivbaserede tokens i 2. halvår af det foregående kalenderår og 1. halvår af det indeværende kalenderår er større end 1 mia. kr.

12) En udbyder af kryptoaktivtjenester, der er meddelt tilladelse af Finanstilsynet i henhold til § 332 c, stk. 1, betaler årligt et grundbeløb til Finanstilsynet på 12,5 promille af deres omkostninger til løn, provision og tantieme, dog minimum 20.000 kr.«

41. I § 361, stk. 6, nr. 1, udgår »og 22-26«.

42. I § 361, stk. 7, indsættes efter nr. 3 som nyt nummer:

»4) Forvaltere af alternative investeringsfonde med registreret hjemsted i et tredjeland, som i henhold til § 130 i lov om forvaltere af alternative investeringsfonde m.v. har tilladelse til markedsføring i Danmark af andele i en alternativ investeringsfond fra et andet land inden for Den Europæiske Union eller et land, som Unionen har indgået aftale med på det finansielle område, betaler et årligt grundbeløb til Finanstilsynet på 8.000 kr.«

Nr. 4 og 5 bliver herefter nr. 5 og 6.

43. I § 361, stk. 13, ændres »Grundbeløb, jf. stk. 1-12,« til: »Faste beløb i dette kapitel«.

44. I § 368, stk. 1, indsættes som 4. og 5. pkt.:

»For så vidt angår udstedere af aktivbaserede tokens, foregår beregningen på grundlag af den senest indsendte indberetning efter § 332 f. For så vidt angår udbydere af kryptoaktivtjenester, foregår beregningen på grundlag af den senest indsendte indberetning efter § 332 g.«

45. I § 372, stk. 1, ændres »securitisering og regler udstedt i medfør heraf og« til: »securitisering og regler udstedt i medfør heraf,«, og efter »investeringer og regler udstedt i medfør heraf,« indsættes: »Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf,«.

46. I § 372 a, stk. 1, ændres »standardiseret securitisering og« til: »standardiseret securitisering,«, og efter »(PEPP-produkt)« indsættes: », Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.

47. I § 373, stk. 1, indsættes efter »for erhvervslivet«: »samt artikel 14, stk. 3, artikel 16, stk. 1, artikel 23, stk. 1 og 4, artikel 36, stk. 1-3 og 5-7, artikel 38, stk. 1 og 3, artikel 39, stk. 2, artikel 40, stk. 1 og 2, artikel 48, stk. 1, artikel 49, stk. 4, artikel 50, stk. 1 og 2, artikel 54, artikel 59, stk. 1, artikel 60, stk. 1-6, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, og artikel 76, stk. 1, 2 og 5-8, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«.

48. I § 373, stk. 2, 1. pkt., udgår »§ 71 c, stk. 1, 2. pkt.,«, efter »312 b« indsættes: », § 333 a, stk. 1-3, § 333 b, stk. 1-6, §§ 333 d, 333 e og 333 f, § 333 g, stk. 1-3, og §§ 333 h, 333 i og 333 j«, »samt artikel 4« ændres til: », artikel 4«, og efter »om europæiske crowdfundingtjenesteudbydere for erhvervslivet« indsættes: », artikel 4, stk. 1, stk. 3, 3. afsnit, og stk. 6, artikel 5, stk. 2 og 3, artikel 6, stk. 1-10, artikel 7, stk. 1 og 2, artikel 8, stk. 1, 2 og 4-6, artikel 9 og 10, artikel 12, stk. 1-4 og 6-9, artikel 13, stk. 2 og 3, artikel 14, artikel 16, stk. 1, 2. afsnit, artikel 17, stk. 1 og 2, artikel 19, stk. 1-9, artikel 22, stk. 1 og 3, artikel 25, stk. 1, 2 og 4, artikel 27 og 28, artikel 29, stk. 1-3 og 6, artikel 30, artikel 31, stk. 1-4, artikel 32, stk. 1-4, artikel 33, artikel 34, stk. 1-12, artikel 35, stk. 1, artikel 36, stk. 8-12, artikel 37, stk. 1 og 2, artikel 39, stk. 1, 2. pkt., artikel 41, stk. 1 og 2, artikel 46, stk. 1 og 2, artikel 47, stk. 1-3, artikel 48, stk. 6 og 7, artikel 49, stk. 5, artikel 51, stk. 1-9 og 11-13 og stk. 14, 1. pkt., artikel 53, stk. 1-3, 5 og 6, artikel 55, artikel 59, stk. 2, 5 og 8, artikel 64, stk. 8, artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 67, stk. 1, 5 og 6, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9, artikel 76, stk. 3, 4 og 9-15, artikel 77, 78 og 79, artikel 80, stk. 1-3, artikel 81, stk. 1-14, artikel 82, stk. 1, og artikel 83, stk. 1 og 2, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.

49. I § 373, stk. 10, ændres »(PRIIP'er) samt« til: »(PRIIP'er),«, og efter »for erhvervslivet« indsættes: »og artikel 16, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«.

50. Bilag 1, nr. 13, affattes således:

»13) Udstedelse af elektroniske penge, herunder elektroniske pengetokens som defineret i § 332, nr. 3.«

51. I bilag 1 indsættes som nr. 14 og 15:

»14) Udstedelse af aktivbaserede tokens som defineret i § 332, nr. 2.

15) Udbud af kryptoaktivtjenester som defineret i § 332, nr. 7.«

52. Bilag 2, nr. 15, ophæves, og i stedet indsættes:

»15) Udstedelse af elektroniske penge, herunder elektroniske pengetokens som defineret i § 332, nr. 3.

16) Udstedelse af aktivbaserede tokens som defineret i § 332, nr. 2.

17) Udbud af kryptoaktivtjenester som defineret i § 332, nr. 7.«

§ 2

I lov om betalinger, jf. lovbekendtgørelse nr. 53 af 18. januar 2023, som ændret ved § 9 i lov nr. 409 af 25. april 2023, foretages følgende ændringer:

1. I fodnoten til lovens titel ændres »(2. e-pengedirektiv) og« til: »(2. e-pengedirektiv),«, og efter »side 253 (CRD V)« indsættes: »og dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«.

2. I § 1, stk. 2, udgår »og § 127, stk. 1«.

3. I § 1, stk. 3 og 4, ændres »§ 127, stk. 1 og 3« til: »§ 127, stk. 1«.

4. § 5, nr. 10, affattes således:

»10) Tjenester leveret af en udbyder af tekniske tjenester, der understøtter udbuddet af betalingstjenester, når udbyderen ikke på noget tidspunkt er i besiddelse af de midler, som skal overføres, og der ikke er tale om tjenester omfattet af bilag 1, nr. 7 og 8, jf. dog § 122.«

5. I § 11, stk. 1, nr. 11, indsættes efter »procedurer, jf. § 25«: », samt ordninger for brug af it-tjenester i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.

6. I § 11, stk. 1, nr. 12, ændres »§ 127« til: »kapitel III i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.

7. § 11, stk. 1, nr. 15, affattes således:

»15) Virksomhedens beredskabsplan, herunder en klar beskrivelse af de kritiske funktioner, effektive politikker og planer for it-driftsstabilitet og it-indsats- og genopretning samt procedurer til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige og effektive i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.«

8. I § 11, stk. 1, nr. 16, ændres »§ 127, stk. 3« til: »§ 127, stk. 1«.

9. § 11, stk. 1, nr. 17, 2. pkt., affattes således:

»Beskrivelsen af foranstaltningerne skal indeholde oplysninger om, hvordan virksomheden sikrer et højt niveau af digital operationel modstandsdygtighed i overensstemmelse med kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, navnlig med hensyn til teknisk sikkerhed og databeskyttelse, herunder vedrørende de software- og it-systemer, der anvendes af ansøgeren eller de virksomheder, som ansøgeren outsourcer alle eller dele af sine aktiviteter til.«

10. I § 54, nr. 8, litra c, ændres »§§ 126 og 127« til: »§ 126 og kapitel III i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.

11. I § 60, stk. 3, nr. 5, indsættes efter »procedurer«: »samt ordninger for brug af it-tjenester i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.

12. I § 60, stk. 3, nr. 6, ændres »§ 126« til: »kapitel III i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.

13. § 60, stk. 3, nr. 8, affattes således:

»8) En beskrivelse af virksomhedens beredskabsplan, herunder en klar beskrivelse af de kritiske funktioner, effektive politikker og planer for it-driftsstabilitet og it-indsats og genopretning samt procedurer til regelmæssigt at teste og evaluere, om sådanne planer er tilstrækkelige og effektive i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.«

14. I § 126 indsættes efter stk. 1 som nyt stykke:

»Stk. 2. Stk. 1, nr. 1 og 2, berører ikke anvendelsen af kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.«

Stk. 2-5 bliver herefter stk. 3-6.

15. I § 126, stk. 5, der bliver stk. 6, ændres »stk. 2« til: »stk. 3«.

16. § 127, stk. 1 og 2, ophæves.

Stk. 3 og 4 bliver herefter stk. 1 og 2.

17. I § 127, stk. 3, der bliver stk. 1, ændres »Udbyderen« til: »En udbyder af betalingstjenester«.

18. I § 127, stk. 4, der bliver stk. 2, ændres »stk. 1-3« til: »stk. 1«.

19. I § 130, stk. 1, 2. pkt., ændres »og forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked« til: », forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 af 25. november 2015 om betalingstjenester i det indre marked og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf«.

20. I § 130, stk. 1, indsættes som 3. pkt.:

»Finanstilsynet påser endvidere udstedere af e-pengetokens overholdelse af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf.«

21. I § 135, stk. 1, nr. 7, indsættes efter »af hvidvas‍kloven«: »eller Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«.

22. I § 136, stk. 6, indsættes som nr. 27:

»27) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.«

23. I § 138, stk. 1, 8. pkt., ændres »og Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro« til: », Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf«.

24. I § 138, stk. 1, indsættes efter 8. pkt. som nyt punktum:

25. I § 138, stk. 1, 9. pkt., der bliver 10. pkt., ændres »1. pkt.« til: »1. eller 9. pkt.«

26. I § 142, stk. 1, indsættes efter »regler udstedt i medfør af denne lov«: », forordninger udstedt i medfør af Europa-Parlamentets og Rådets direktiv 2015/2366/EU af 25. november 2015 om betalingstjenester i det indre marked, artikel 3 og 4 i Europa-Parlamentets og Rådets forordning 924/2009/EF af 16. september 2009 om grænseoverskridende betalinger i Fællesskabet og om ophævelse af forordning (EF) nr. 2560/2001, Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro, Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf«.

27. I § 143 indsættes efter »udstedt i medfør heraf,«: »Europa-Parlamentets og Rådets forordning (EU) nr. 260/2012 af 14. marts 2012 om tekniske og forretningsmæssige krav til kreditoverførsler og direkte debiteringer i euro, Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf,«.

28. I § 152, stk. 1, indsættes efter »og § 60, stk. 1,«: »i denne lov og artikel 48, stk. 1, artikel 49, stk. 4, artikel 50, stk. 1 og 2, artikel 54, artikel 59, stk. 1, artikel 60, stk. 4, artikel 67, stk. 4, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«.

29. I § 152, stk. 2, ændres »§ 127, stk. 1-3« til: »§ 127, stk. 1«, og efter »(SEPA-forordningen)« indsættes: », artikel 46, stk. 1 og 2, artikel 47, stk. 1-3, artikel 48, stk. 6 og 7, artikel 49, stk. 5, artikel 51, stk. 1-9 og 11-13 og stk. 14, 1. pkt., artikel 53, stk. 1-3, 5 og 6, artikel 55, artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9, og artikel 82, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.

§ 3

I lov om kapitalmarkeder, jf. lovbekendtgørelse nr. 198 af 26. februar 2024, foretages følgende ændringer:

1. I fodnoten til lovens titel udgår »dele af Europa-Parlamentets og Rådets direktiv 2016/1148/EU af 6. juli 2016, EU-Tidende 2016, nr. L 194, side 1,«, og »og dele af Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296« ændres til: », dele af Europa-Parlamentets og Rådets direktiv 2019/879/EU af 20. maj 2019 (BRRD II), EU-Tidende 2019, nr. L 150, side 296, og dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«.

2. Overskriften før § 58 a ophæves.

3. § 58 a ophæves.

4. I § 60, stk. 1, nr. 7, ændres »eller pligter efter Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter og regler fastsat i medfør heraf« til: », pligter efter Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter og regler fastsat i medfør heraf eller pligter efter Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler fastsat i medfør heraf«.

5. § 71, stk. 2, nr. 3, affattes således:

»3) kunne styre it-risici i overensstemmelse med kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.

6. I § 114 ændres »have systemer, procedurer og ordninger, der sikrer« til: »etablere og opretholde operationel modstandsdygtighed i overensstemmelse med kravene i kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor for at sikre«.

7. I § 114, nr. 1, ændres »fleksible« til: »modstandsdygtige«.

8. I § 114, nr. 5, indsættes efter »driftsstabilitetsordninger,«: »herunder politikker og planer for it-driftsstabilitet og planer for it-indsats og genopretning udarbejdet i overensstemmelse med artikel 11 i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.

9. I § 118, stk. 2, nr. 1, indsættes efter »afprøvning af algoritmer«: »i overensstemmelse med kravene til it-risikostyring af informations- og kommunikationsteknologi og til test af digital operationel modstandsdygtighed i kapitel II og IV i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.

10. I § 129, stk. 2, nr. 1 og 2, ændres »reducerer« til: »objektivt kan måles til at reducere«, og i nr. 3 ændres », og som hidrører« til: »med hensyn til positioner, som objektivt kan måles til at hidrøre«.

11. I § 130, stk. 1, nr. 5, indsættes efter »aftalt mængde«: »med det udtrykkelige formål at afbøde virkningen af en stor og dominerende position«.

12. I § 135, nr. 1, litra a, ændres »til at håndtere perioder med spidsbelastning« til: »i overensstemmelse med kravene til it-risikostyring i kapitel II i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.

13. I § 135, nr. 3, indsættes efter »handelssystemer,«: »herunder planer for it-driftsstabilitet og planer for it-indsats og genopretning i overensstemmelse med artikel 11 i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.

14. I § 135, nr. 4, indsættes efter »kravene i nr. 1-3«: »og kravene til it-risikostyring og test af digital operationel modstandsdygtighed i kapitel II og IV i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.

15. I § 180 g, stk. 3, indsættes efter »detailbetalingssystem«: », der ikke er udpeget som operatør af finansiel digital infrastruktur, jf. § 333, stk. 3, i lov om finansiel virksomhed,«.

16. I § 180 h indsættes efter »detailbetalingssystem«: », der ikke er udpeget som operatør af finansiel digital infrastruktur, jf. § 333, stk. 3, i lov om finansiel virksomhed«.

17. I § 180 i ændres »-58 a« til: »-58«.

18. I § 211, stk. 2, indsættes som nr. 15 og 16:

»15) Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf.

16) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.«

19. I § 226 indsættes som nr. 17:

»17) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, på betingelse af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.«

20. § 236 a ophæves.

21. I § 247, stk. 1, udgår »§ 58 a,«.

22. I § 248 udgår »artikel 27 f, stk. 1-3, artikel 27 g, stk. 1-5, og artikel 27 i, stk. 1-4, når en godkendt offentliggørelsesordning (APA) eller en godkendt indberetningsmekanisme (ARM) har en undtagelse i overensstemmelse med artikel 2, stk. 3,«.

23. I § 248 indsættes som 2. pkt.:

»Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde overtrædelse af artikel 27 b, stk. 1 og 2, artikel 27 f, stk. 1-3, artikel 27 g, stk. 1-5, og artikel 27 i, stk. 1-4, når en godkendt offentliggørelsesordning (APA) eller en godkendt indberetningsmekanisme (ARM) har en undtagelse i overensstemmelse med artikel 2, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) nr. 600/2014 af 15. maj 2014 om markeder for finansielle instrumenter.«

24. Efter § 251 a indsættes:

»§ 251 b. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde overtrædelse af artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9, artikel 76, stk. 3, 4 og 9-15, artikel 88, stk. 1-3, og artikel 92, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.

Stk. 2. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller fængsel indtil 4 måneder overtrædelse af artikel 59, stk. 1, artikel 60, stk. 2 og 6, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, og artikel 76, stk. 1, 2 og 5-8, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.

Stk. 3. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde eller fængsel indtil 1 år og 6 måneder overtrædelser af artikel 89, stk. 1 og 3, artikel 90, stk. 1, og artikel 91, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.

§ 251 c. Medmindre højere straf er forskyldt efter den øvrige lovgivning, straffes med bøde overtrædelse af artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-10, artikel 12, stk. 1-7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1-3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.«

§ 4

I lov om fondsmæglerselskaber og investeringsservice og -aktiviteter, jf. lovbekendtgørelse nr. 232 af 1. marts 2024, foretages følgende ændringer:

1. I fodnoten til lovens titel ændres »og dele af Europa-Parlamentets og Rådets direktiv 2019/878/EU af 20. maj 2019, EU-Tidende 2019, nr. L 150, side 253-293« til: », dele af Europa-Parlamentets og Rådets direktiv 2019/878/EU af 20. maj 2019, EU-Tidende 2019, nr. L 150, side 253-293, og dele af Europa-Parlamentets og Rådets direktiv 2022/2556/EU af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«.

2. I § 13, stk. 2, 2. pkt., indsættes efter », jf. dog«: »stk. 6 og«.

3. I § 13 indsættes som stk. 6:

»Stk. 6. Et fondsmæglerselskab kan levere tjenester med kryptoaktiver som angivet i artikel 60, stk. 3, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver svarende til de tjenester, som det specifikt er meddelt tilladelse til i henhold til denne lov, hvis selskabet giver Finanstilsynet meddelelse herom, mindst 40 arbejdsdage inden disse tjenester leveres første gang. Meddelelsen skal ledsages af de oplysninger, der er anført i artikel 60, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.«

4. § 95, stk. 1, affattes således:

»Et fondsmæglerselskab skal træffe de foranstaltninger, som er nødvendige for at sikre kontinuitet og regelmæssighed i ydelsen af investeringsservice og udførelsen af investeringsaktiviteter. Fondsmæglerselskabet skal med henblik herpå anvende hensigtsmæssige og forholdsmæssigt afpassede systemer, herunder it-systemer, som oprettes og styres i overensstemmelse med artikel 7 i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, og hensigtsmæssige og forholdsmæssigt afpassede ressourcer og procedurer.«

5. I § 164, stk. 1, nr. 1, litra d, ændres »instrumenter eller« til: »instrumenter,«, og i litra e ændres »terrorisme.« til: »terrorisme eller«.

6. I § 164, stk. 1, nr. 1, indsættes som litra f:

»f) Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.«

7. I § 214, stk. 1, 1. pkt., indsættes efter »egentlige kernekapitalinstrumenter«: », hvis Finanstilsynet vurderer, at fondsmæglerselskabet ikke vil være levedygtigt, medmindre beføjelsen anvendes«.

8. I § 214 indsættes som stk. 8 og 9:

»Stk. 8. Kapitalejere og kreditorer, hvis krav er blevet nedskrevet eller konverteret i henhold til stk. 1, må ikke lide større tab end ved konkursbehandling af fondsmæglerselskabet.

Stk. 9. Finanstilsynets vurdering efter stk. 8 foretages på baggrund af værdiansættelsen i § 8 i lov om restrukturering og afvikling af visse finansielle virksomheder. Værdiansættelsen foretages af Finansiel Stabilitet efter anmodning fra Finanstilsynet. Konstateres det, at en kapitalejer eller kreditor, herunder Garantiformuen, har lidt større tab, end den ville have gjort ved konkursbehandling af fondsmæglerselskabet, betales forskellen af Afviklingsformuen, jf. kapitel 11 i lov om restrukturering og afvikling af visse finansielle virksomheder.«

9. § 216, stk. 3, affattes således:

»Stk. 3. Stk. 1 finder ikke anvendelse, hvis

1) forpligtelsen er undtaget fra bail-in, jf. § 25, stk. 3, i lov om restrukturering og afvikling af visse finansielle virksomheder,

2) forpligtelsen er en del af berettigede kontante midler tilhørende fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, jf. § 2, nr. 19, i lov om restrukturering og afvikling af visse finansielle virksomheder, og overstiger beløbsgrænsen for dækkede kontante midler, jf. § 10 i lov om en indskyder- og investorgarantiordning, eller

3) forpligtelsen ville være berettigede kontante midler tilhørende fysiske personer, mikrovirksomheder, små virksomheder eller mellemstore virksomheder, hvis ikke midlerne var indsat gennem filialer af institutter, der er etableret inden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område, når filialen er beliggende uden for Den Europæiske Union eller i et land, som Unionen har indgået aftale med på det finansielle område.«

10. I § 217, stk. 1, indsættes efter 1. pkt. som nyt punktum:

»Dette omfatter dog ikke usikrede obligationer og andre former for omsættelig gæld og instrumenter, der skaber eller anerkender en gæld.«

11. I § 219, stk. 2, indsættes som nr. 12 og 13:

»12) Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf.

13) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.«

12. I § 257, stk. 1, indsættes som nr. 15:

»15) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.«

13. I § 259, stk. 1, ændres »tjenesteydelser og« til: »tjenesteydelser,«, og efter »bæredygtige investeringer« indsættes: », Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.

14. I § 266, stk. 1, indsættes som nr. 5:

»5) Artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9, artikel 76, stk. 3, 4 og 9-15, artikel 77, 78 og 79, artikel 80, stk. 1-3, og artikel 81, stk. 1-14, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.«

15. I § 266, stk. 2, indsættes som nr. 4 og 5:

»4) Artikel 59, stk. 1, artikel 60, stk. 3, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, og artikel 76, stk. 1, 2 og 5-8, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.

5) Artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.«

16. I § 275, stk. 1, indsættes som nr. 9 og 10:

»9) Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.

10) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.«

17. I § 276 indsættes som nr. 9 og 10:

»9) Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.

10) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.«

§ 5

I lov om forvaltere af alternative investeringsfonde m.v., jf. lovbekendtgørelse nr. 231 af 1. marts 2024, foretages følgende ændringer:

1. I fodnoten til lovens titel ændres »og dele af Europa-Parlamentets og Rådets direktiv 2019/1160/EU af 20. juni 2019 om ændring af direktiv 2009/65/EF og 2011/61/EU for så vidt angår grænseoverskridende distribution af kollektive investeringsinstitutter, EU-Tidende 2019, nr. L 188, side 106« til: »dele af Europa-Parlamentets og Rådets direktiv 2019/1160/EU af 20. juni 2019 om ændring af direktiv 2009/65/EF og 2011/61/EU for så vidt angår grænseoverskridende distribution af kollektive investeringsinstitutter, EU-Tidende 2019, nr. L 188, side 106, og dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2556 af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163«.

2. I § 8 indsættes som stk. 6:

»Stk. 6. En forvalter af alternative investeringsfonde kan levere tjenester med kryptoaktiver som angivet i artikel 60, stk. 5, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, som der specifikt er meddelt tilladelse til i henhold til denne lov, hvis forvalteren giver Finanstilsynet meddelelse, mindst 40 arbejdsdage inden disse tjenester leveres første gang. Meddelelsen skal ledsages af de oplysninger, der er anført i artikel 60, stk. 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver.«

3. I § 27, stk. 2, nr. 6, indsættes efter »it-området«: », inklusive for net- og informationssystemer, der oprettes og styres i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor,«.

4. I § 155, stk. 1, indsættes som 7. pkt.:

»Finanstilsynet påser endvidere overholdelsen af Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.«

5. I § 170, stk. 7, indsættes som nr. 29:

»29) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.«

6. I § 171, stk. 1, indsættes som 9.-11. pkt.:

»Reaktioner givet i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor skal offentliggøres på Finanstilsynets hjemmeside med angivelse af forvalterens navn, jf. dog stk. 4. Indbringes reaktionen, der offentliggøres i henhold til 1. eller 8. pkt., for Erhvervsankenævnet eller domstolene, skal dette fremgå af Finanstilsynets offentliggørelse. Sagens status og resultatet af Erhvervsankenævnets eller domstolenes afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt.«

7. I § 189 ændres »tjenesteydelser eller« til: »tjenesteydelser,«, og efter »bæredygtige investeringer« indsættes: », Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver eller Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.

8. I § 190, stk. 1, indsættes efter »om europæiske sociale iværksætterfonde«: »samt artikel 59, stk. 1, artikel 60, stk. 5, artikel 70, stk. 1-4, og artikel 72, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver«.

9. I § 190, stk. 2, indsættes efter »om pengemarkedsforeninger«: », artikel 64, stk. 8, artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, og artikel 81, stk. 1-14, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-4, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.

§ 6

I lov om firmapensionskasser, jf. lovbekendtgørelse nr. 183 af 26. februar 2024, foretages følgende ændringer:

1. I § 3 indsættes som nr. 28 og 29:

»28) Variable løndele: Aflønningsordninger, hvor den endelige aflønning ikke er kendt på forhånd, herunder bonusordninger, resultatkontrakter, engangsvederlag og andre lignende ordninger, der ikke er en del af den faste løndel.

29) Kønsneutral lønpolitik: En lønpolitik baseret på lige løn for samme arbejde eller arbejde af samme værdi uanset den ansattes køn.«

2. Efter § 43 d indsættes:

»§ 43 e. En firmapensionskasse skal vedtage en skriftlig lønpolitik, der fremmer en sund og effektiv risikostyring.

Stk. 2. Firmapensionskassens lønpolitik skal være kønsneutral.

§ 43 f. Firmapensionskassens øverste organ skal godkende firmapensionskassens lønpolitik, jf. § 43 e, herunder retningslinjer for tildeling af variabel løn og retningslinjer for fratrædelsesgodtgørelser, ved enhver væsentlig ændring og mindst hvert fjerde år. Firmapensionskassens lønpolitik skal hurtigst muligt efter godkendelsen offentliggøres på firmapensionskassens hjemmeside. Lønpolitikken skal forblive offentligt tilgængelig på hjemmesiden, så længe den er gældende.

Stk. 2. Formanden for firmapensionskassens bestyrelse skal i sin beretning for firmapensionskassens øverste organ redegøre for aflønningen af firmapensionskassens bestyrelse og direktion. Redegørelsen skal indeholde oplysninger om aflønning i det foregående regnskabsår og om den forventede aflønning i indeværende og det kommende regnskabsår. Formanden for bestyrelsen skal forklare og begrunde lønpolitikkens indhold og dens efterlevelse i sin beretning for virksomhedens øverste organ.

Stk. 3. Firmapensionskassens øverste organ skal godkende aflønningen af firmapensionskassens bestyrelse for det igangværende regnskabsår.

Stk. 4. Bestyrelsen for firmapensionskassen skal årligt udarbejde og offentliggøre en vederlagsrapport.

Stk. 5. Vederlagsrapporten skal indeholde følgende:

1) Oplysninger om det samlede vederlag, som hvert medlem af bestyrelsen og direktionen som led i dette hverv har optjent fra firmapensionskassen og andre virksomheder inden for samme koncern i de seneste 3 år, herunder oplysninger om fastholdelses- og fratrædelsesordningers væsentligste indhold.

2) En redegørelse for sammenhængen mellem ledelsens aflønning og firmapensionskassens strategi og relevante mål herfor.

Stk. 6. Hurtigst muligt efter generalforsamlingens afholdelse skal vederlagsrapporten offentliggøres på firmapensi‍onskassens hjemmeside. Vederlagsrapporten skal forblive offentligt tilgængelig på hjemmesiden i en periode på 10 år. Vederlagsrapporten kan være tilgængelig i en længere periode end 10 år, forudsat at den ikke længere indeholder personoplysninger.

Outsourcing

§ 43 g. Ved en firmapensionskasses outsourcing af aktiviteter til en leverandør skal firmapensionskassen sikre, at aflønning af ledelsen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, hos leverandøren sker inden for rammerne af firmapensionskassens lønpolitik. Det skal fremgå af aftalen mellem firmapensionskassen og leverandøren, at firmapensionskassens lønpolitik skal overholdes.

Stk. 2. Stk. 1 finder ikke anvendelse, i det omfang leverandøren allerede er underlagt regler om aflønning i den finansielle regulering.

Aflønning af ledelsen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil

§ 43 h. Ved firmapensionskassers aflønning af bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, skal firmapensionskassen sikre sig, at følgende er opfyldt:

1) De variable løndele til et medlem af bestyrelsen eller direktionen må på tidspunktet for beregningen af den variable løndel højst udgøre 50 pct. af henholdsvis honoraret og den faste grundløn inklusive pension.

2) De variable løndele til andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, må højst udgøre 100 pct. af den faste grundløn inklusive pension på tidspunktet for beregningen af den variable løn.

3) Firmapensionskassens øverste organ kan dog beslutte, at de variable løndele til andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, jf. nr. 2, kan udgøre op til 200 pct. af den faste grundløn inklusive pension på tidspunktet for beregningen af den variable løndel, forudsat at følgende krav opfyldes:

a) Firmapensionskassen skal senest ved indkaldelse til det øverste organs forsamling orientere det øverste organ om, at der ønskes stillingtagen til benyttelse af et højere maksimalt loft for de variable løndele.

b) Det øverste organ skal tage beslutningen om benyttelse af et højere maksimalt loft for de variable løndele på baggrund af en detaljeret anbefaling fra firmapensionskassen, der begrunder indstillingen herom, herunder antallet af berørte ansatte, disses arbejdsområder, det nye foreslåede maksimale loft og den forventede indvirkning på firmapensi‍onskassens mulighed for at bevare et sundt kapitalgrundlag. Medlemmerne af det øverste organ skal modtage anbefalingen senest samtidig med indkaldelsen til det øverste organs forsamling.

c) Firmapensionskassen skal senest samtidig med formidlingen af anbefalingen til medlemmerne af det øverste organ, jf. litra b, informere Finanstilsynet om anbefalingen til det øverste organ, herunder det foreslåede højere maksimale loft og begrundelsen for indstillingen. Firmapensionskassen skal på anmodning fra Finanstilsynet godtgøre, at det foreslåede højere maksimale loft ikke er i strid med firmapensionskassens forpligtelser efter loven og regler udstedt i medfør af § 43, stk. 2, herunder kapitalgrundlagskravene.

d) Beslutningen om benyttelse af et højere maksimalt loft skal tiltrædes af firmapensionskassens øverste organ med mindst 66 pct. af de afgivne stemmer, forudsat at mindst 50 pct. af de stemmeberettigede medlemmer er repræsenteret på forsamlingen. Er mindre end 50 pct. af de stemmeberettigede medlemmer repræsenteret på forsamlingen, skal beslutningen tiltrædes af mindst 75 pct. af de afgivne stemmer. En ansat, som er medlem af det øverste organ i firmapensionskassen, må ikke deltage i afstemningen herom på det øverste organs forsamling, hvis den ansatte har en væsentlig interesse i beslutningen, der kan være stridende mod firmapensionskassens interesser.

e) Firmapensionskassen skal senest 8 dage efter det øverste organs forsamling informere Finanstilsynet om det øverste organs beslutning, herunder om størrelsen af et eventuelt besluttet højere maksimalt loft.

4) Mindst 50 pct. af en variabel løndel til bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, skal på tidspunktet for beregningen af den variable løn bestå af en balance af efterstillet gæld i firmapensionskassen eller andre instrumenter, som i en passende grad afspejler firmapensionskassens kreditværdighed som en firmapensionskasse, hvis aktivitet formodes at fortsætte. Instrumenterne kan udstedes i firmapensionskassen eller dennes modervirksomhed, der ejer firmapensionskassen fuldt ud.

5) Udbetaling af mindst 40 pct. af en variabel løndel, ved større beløb mindst 60 pct., sker over en periode på mindst 4 år med påbegyndelse 1 år efter beregningstidspunktet, dog for bestyrelsen og direktionen mindst 5 år. Udbetalingen skal ske med en ligelig fordeling over årene eller med en voksende andel i slutningen af perioden.

6) Firmapensionskassen kan undlade at udbetale en variabel løndel helt eller delvis, såfremt firmapensionskassen på tidspunktet for udbetaling af den variable løndel ikke overholder solvenskapitalkravet i § 54, eller hvis Finanstilsynet vurderer, at der er nærliggende risiko herfor.

7) Firmapensionskassen må ikke udbetale variabel løn til bestyrelsen eller direktionen, såfremt Finanstilsynet i medfør af § 83 kræver, at firmapensionskassen udarbejder en plan for genoprettelse af firmapensionskassens økonomiske stilling.

Stk. 2. For bestyrelsen og direktionen må aktieoptioner i modervirksomheden eller lignende instrumenter højst udgøre 12,5 pct. af henholdsvis honoraret og den faste grundløn inklusive pension på tidspunktet for beregningen heraf.

Stk. 3. En firmapensionskasse skal sikre, at efterstillet gæld, instrumenter m.v., der overdrages til bestyrelsen, direktionen eller andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, som en del af den variable løn, som er nævnt i stk. 1, nr. 4, ikke må afhændes af disse personer i en passende periode.

Stk. 4. En firmapensionskasse skal sikre, at udbetaling af den udskudte variable løndel, jf. stk. 1, nr. 5, til bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, er betinget af, at de kriterier, der har dannet grundlag for beregningen af den variable løndel, fortsat er opfyldt på udbetalingstidspunktet, betinget af at den pågældende ikke har deltaget i eller været ansvarlig for en adfærd, der har resulteret i betydelige tab for virksomheden, eller ikke har efterlevet passende krav til hæderlighed, og betinget af at virksomhedens økonomiske situation ikke er væsentlig forringet i forhold til tidspunktet for beregningen af den variable løndel.

Stk. 5. En firmapensionskasse skal sikre, at bestyrelsen, direktionen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, og som modtager variabel løn, skal tilbagebetale den variable løn helt eller delvis, hvis den variable løn er udbetalt på grundlag af oplysninger om resultater, som kan dokumenteres at være fejlagtige, og hvis modtageren af den variable løn er i ond tro.

Stk. 6. Tildeler en firmapensionskasse bestyrelsen, direkti‍onen og andre ansatte, hvis aktiviteter har væsentlig indflydelse på firmapensionskassens risikoprofil, en pensionsydelse, som udgør variabel løn, jf. § 3, nr. 28, skal firmapensionskassen, hvis modtageren forlader firmapensionskassen inden pensionstidspunktet, beholde denne pensionsydelse i form af instrumenter som nævnt i stk. 1, nr. 4, i 5 år. Stk. 4 og 5 finder tilsvarende anvendelse på de i 1. pkt. nævnte tilfælde. Er modtageren et medlem af bestyrelsen eller ansat i firmapensionskassen ved pensionsalderen, skal firmapensi‍onskassen udbetale den variable del af pensionsydelsen til modtageren i form af de i stk. 1, nr. 4, nævnte instrumenter uden mulighed for afhændelse eller udnyttelse i en periode på 5 år. Stk. 5 finder tilsvarende anvendelse på de i 3. pkt. nævnte tilfælde.

Stk. 7. For personer i ansættelsesforhold, der er omfattet af en kollektiv overenskomst, finder stk. 1-6 kun anvendelse på aftaler om variable løndele, hvis aftalerne om variabel løn ikke er fastsat i overenskomsten.«

3. I § 97, stk. 1, 2. pkt., ændres »tjenesteydelser og« til: »tjenesteydelser,«, og efter »bæredygtige investeringer« indsættes: »og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.

4. I § 103, stk. 6, indsættes som nr. 30:

»30) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.«

5. I § 104, stk. 1, og § 112, stk. 1, indsættes efter »bæredygtige investeringer«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.

6. I § 105, stk. 1, indsættes efter 3. pkt. som nyt punktum:

»Reaktioner givet i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og forordninger udstedt i medfør heraf skal offentliggøres på Finanstilsynets hjemmeside med angivelse af firmapensionskassens navn, jf. dog stk. 4.«

7. I § 105, stk. 1, 4. pkt., der bliver 5. pkt., ændres »1. pkt.« til: »1. eller 4. pkt.«

8. I § 105, stk. 1, indsættes som 6. pkt.:

»Indbringes reaktionen, der offentliggøres i henhold til 4. pkt., for Erhvervsankenævnet, skal dette fremgå af Finanstilsynets offentliggørelse, og det efterfølgende resultat af Erhvervsankenævnets afgørelse skal ligeledes offentliggøres på Finanstilsynets hjemmeside hurtigst muligt.«

9. I § 117, stk. 2, ændres »§ 43 a« til: »§§ 43 a, 43 e og 43 f, § 43 g, stk. 1, § 43 h, stk. 1-6,«, og efter »§ 111, stk. 3, 5 og 6,« indsættes: »og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.

§ 7

I hvidvaskloven, jf. lovbekendtgørelse nr. 316 af 11. marts 2022, som ændret bl.a. ved § 4 i lov nr. 570 af 10. maj 2022 og § 2 i lov nr. 480 af 12. maj 2023 og senest ved lov nr. 175 af 27. februar 2024, foretages følgende ændringer:

1. § 1, stk. 1, nr. 22-26, ophæves, og i stedet indsættes:

»22) Udbydere af kryptoaktivtjenester som defineret i lov om finansiel virksomhed.«

2. § 2, nr. 4, affattes således:

»4) Korrespondentforbindelse:

a) Levering af pengeinstitutydelser fra et pengeinstitut (korrespondenten) til et andet pengeinstitut (respondenten), herunder oprettelse af løbende konto eller en anden passivkonto, samt tilknyttede ydelser som likviditetsstyring, internationale overførsler af midler, checkclearing, gennemstrømningskonti og valutatransaktioner.

b) En forbindelse mellem en virksomhed omfattet af § 1, stk. 1, nr. 1-12, 18 eller 22, (korrespondenten) og en virksomhed omfattet af § 1, stk. 1, nr. 1-12, 18 eller 22, (respondenten), herunder hvor der leveres lignende ydelser fra et korrespondentinstitut til et respondentinstitut, herunder forbindelser indgået med henblik på værdipapirtransaktioner eller overførsler af midler eller forbindelser indgået med henblik på transaktioner med kryptoaktiver eller overførsler af kryptoaktiver.«

3. § 2, nr. 15 og 16, ophæves.

Nr. 17-20 bliver herefter nr. 15-18.

4. I § 2 indsættes som nr. 19:

»19) Selvhostet adresse: En distributed ledger-adresse som defineret i Europa-Parlamentets og Rådets forordning (EU) 2023/1113 af 31. maj 2023 om oplysninger, der skal medsendes ved pengeoverførsler og ved overførsler af visse kryptoaktiver og om ændring af direktiv (EU) 2015/849.«

5. I § 7, stk. 1, 1. pkt., indsættes efter »personer«: », der er«, og »lov« ændres til »lov,«.

6. I § 7, stk. 2, 1. pkt., § 38, stk. 3 og 6, § 47, stk. 1, 1. pkt., og stk. 3, § 49, stk. 1, 1. pkt., § 50, stk. 2, § 51, § 51 a, stk. 1, § 51 b, stk. 1, 1. pkt., §§ 52 og 53 og § 54, stk. 1 og 2, udgår »-26«.

7. I § 8, stk. 1, 1. pkt., indsættes efter »personer«: », der er«, og »lov« ændres til »lov,«.

8. I § 10, nr. 2, litra c, og tre steder i nr. 2, litra d, ændres »virtuel valuta« til: »kryptoaktiver«.

9. Efter § 17 indsættes:

»§ 17 a. Erhvervsministeren kan fastsætte regler om gennemførelse af risikobegrænsende foranstaltninger ved overførsel af kryptoaktiver, der er rettet mod eller stammer fra en selvhostet adresse.«

10. I § 19 indsættes efter stk. 1 som nyt stykke:

»Stk. 2. Inden gennemførelse af kryptoaktivtjenester skal korrespondenten fastslå, om respondenten er godkendt eller registreret i det pågældende land.«

Stk. 2 bliver herefter stk. 3.

11. I § 33, 1. pkt., ændres »udbydere af betalingstjenester og udstedere af elektroniske penge« til: »udbydere af betalingstjenester, udstedere af elektroniske penge og udbydere af kryptoaktivtjenester«.

12. I § 35, stk. 1, 1. pkt., og § 36, stk. 1, 1. pkt., ændres »og 21-26« til: », 21 og 22«.

13. § 48, stk. 2, ophæves.

Stk. 3-7 bliver herefter stk. 2-6.

14. I § 48, stk. 3, der bliver stk. 2, stk. 6, der bliver stk. 5, og stk. 7, der bliver stk. 6, udgår »og 2«.

15. I § 48, stk. 5, der bliver stk. 4, ændres »stk. 3 og 4« til: »stk. 2 og 3«.

16. I § 48, stk. 6, der bliver stk. 5, ændres »stk. 3« til: »stk. 2«, og »stk. 4« ændres til: »stk. 3«.

17. I § 78, stk. 1, 2. pkt., ændres »§ 48, stk. 1 og 2,« til: »§ 48, stk. 1,«.

18. I § 85 indsættes som stk. 4:

»Stk. 4. De dele af §§ 59 og 60, som i medfør af stk. 1 er sat i kraft for Grønland, kan ved kongelig anordning sættes helt eller delvis i kraft på ny for Grønland med de ændringer, som de grønlandske forhold tilsiger.«

§ 8

I lov nr. 718 af 13. juni 2023 om forsikringsvirksomhed, som ændret ved § 9 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer:

1. I § 1 ændres »2-8« til: »2-7«.

2. I § 2, stk. 1, ændres »139« til: »138«.

3. Overskriften før § 8 ophæves.

4. § 8 ophæves.

5. § 9, stk. 1, nr. 13, ophæves.

Nr. 14-43 bliver herefter nr. 13-42.

6. I § 9, stk. 1, nr. 41, ændres »nr. 39« til: »nr. 38«.

7. I § 15, stk. 1, og § 18, stk. 1, ændres »nr. 18« til: »nr. 17«.

8. I § 19, stk. 1, nr. 4, ændres »nr. 15« til: »nr. 14«.«

9. I § 107, stk. 2, ændres »balancesum på over 4 mia. kr.« til: »bruttopræmieindtægt på over 4 mia. kr.«

10. I § 123, stk. 2, udgår »Landbrugets FinansieringsBank A/S,«.

11. I § 134, stk. 1, indsættes som 2. pkt.:

»1. pkt. finder ikke anvendelse for outsourcing på det digitale operationelle område.«

12. § 134, stk. 7, ophæves.

13. I § 145, stk. 1, og § 146, stk. 6, ændres »nr. 41« til: »nr. 40«.

14. I § 193, stk. 13, udgår »og om systemrevisionens gennemførelse i fælles datacentraler«.

15. I § 195, stk. 6, udgår »§ 274, stk. 3,« og »§ 294, stk. 3,«.

16. I § 253 ændres »§ 158, stk. 2« til: »§ 156, stk. 2«.

17. I § 259, stk. 2, indsættes som nr. 10:

»10) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.«

18. I § 280, stk. 7, 1. pkt., ændres »stk. 2, 3 eller 5« til: »stk. 2 eller 3 eller stk. 4, 3. pkt.«

19. I § 289, stk. 1, indsættes som nr. 14:

»14) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.«

20. I § 302, stk. 1, ændres »jf. dog stk. 2 og 3, og Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning 2020/852/EU af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf« til: »Europa-Parlamentets og Rådets forordning (EU) 2019/2088 af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser og regler udstedt i medfør heraf, Europa-Parlamentets og Rådets forordning (EU) 2020/852 af 18. juni 2020 om fastlæggelse af en ramme til fremme af bæredygtige investeringer og regler udstedt i medfør heraf og Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf, jf. dog stk. 2 og 3«.

21. I § 309, stk. 1, indsættes som nr. 9:

»9) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.«

22. I § 310 indsættes som nr. 9:

»9) Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.«

23. I § 312, stk. 1, indsættes som nr. 3:

»3) Artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.«

24. I § 312, stk. 2, nr. 1, indsættes efter »§§ 118-120«: »og 125,«.

25. I § 313, stk. 1, ændres »§ 275, stk. 2,« til: »§ 275«.

§ 9

I lov om forsikringsformidling, jf. lovbekendtgørelse nr. 337 af 11. marts 2022, som ændret ved § 10 i lov nr. 570 af 10. maj 2022, § 4 i lov nr. 480 af 12. maj 2023, § 338 i lov nr. 718 af 13. juni 2023 og § 2 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer:

1. I § 22, stk. 1, 2. pkt., indsættes efter »finansielle tjenesteydelser«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.

2. I § 31, stk. 6, indsættes som nr. 18:

»18) Myndigheder, der varetager opgaver i henhold til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, under forudsætning af at oplysningerne er nødvendige for disse myndigheders varetagelse af opgaver i henhold til forordningen.«

3. I § 33, stk. 1, indsættes efter 7. pkt. som nyt punktum:

4. I § 33, stk. 1, 8. pkt., der bliver 9. pkt., indsættes efter »af loven«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf«.

5. I § 33, stk. 1, 9. pkt., der bliver 10. pkt., ændres »1. pkt.« til: »1. eller 8. pkt.«

6. I § 33, stk. 6, ændres »8. pkt.,« til: »9. pkt.,«.

7. I § 36, stk. 1, indsættes efter »Europa-Parlamentets og Rådets forordning 2019/2088/EU af 27. november 2019 om bæredygtighedsrelaterede oplysninger i sektoren for finansielle tjenesteydelser«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.

8. I § 37 indsættes efter »tjenesteydelser«: », Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.

9. I § 42, stk. 2, ændres »(PRIIP'er) og« til: »(PRIIP'er),«, og efter »(PEPP-Produkt)« indsættes: »og artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-8 og 10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.

§ 10

I lov om en garantifond for skadesforsikringsselskaber, jf. lovbekendtgørelse nr. 2067 af 12. november 2021, som ændret ved § 1 i lov nr. 480 af 12. maj 2023, § 339 i lov nr. 718 af 13. juni 2023 og § 3 i lov nr. 1546 af 12. december 2023, foretages følgende ændringer:

1. Efter § 12 indsættes:

»§ 12 a. Bestyrelsen skal indgå aftale med et forsikringsselskab som administrationsselskab som en del af at antage fornøden medhjælp efter § 12, stk. 1.

Stk. 2. Fonden skal skriftligt orientere Finanstilsynet, når en aftale efter stk. 1 er indgået. Fonden skal ligeledes skriftligt orientere Finanstilsynet, hvis Fonden ikke kan indgå en aftale efter stk. 1.

Stk. 3. Kan bestyrelsen ikke indgå aftale med et forsikringsselskab som administrationsselskab efter stk. 1, skal Finanstilsynet udnævne et forsikringsselskab som administrationsselskab for Fonden, der opfylder følgende kriterier:

1) Forsikringsselskabet har fået Finanstilsynets tilladelse til at drive forsikringsvirksomhed til forsikringsklasse 1, 3, 6, 8-10, 12, 13 og 16-18 i bilag 1 i lov om forsikringsvirksomhed.

2) Forsikringsselskabet har i henhold til seneste godkendte årsrapport haft en årlig bruttopræmieindtægt på minimum 2 mia. kr.

3) Forsikringsselskabet har i de 2 seneste regnskabsår på balancetidspunktet i gennemsnit haft 125 eller flere fuldtidsansatte.

4) Forsikringsselskabet overholder solvenskapitalkravet, der er fastsat for forsikringsselskabet.

5) Forsikringsselskabet har en markedsandel i Danmark på minimum 3 pct. målt på bruttopræmie.

Stk. 4. Opfylder flere forsikringsselskaber kriterierne i stk. 3, skal Finanstilsynet udnævne et administrationsselskab for Fonden på baggrund af en rotationsordning. Finanstilsynet skal i sin afgørelse inddrage relevante forhold relateret til de omfattede forsikringsselskaber i sin vurdering af, hvilket forsikringsselskab der skal udnævnes som administrationsselskab, herunder om et forsikringsselskab tidligere har fungeret som administrationsselskab for Fonden.

Stk. 5. Finanstilsynet skal udnævne et forsikringsselskab efter stk. 3 for en periode på 48 måneder, jf. dog stk. 7.

Stk. 6. Finanstilsynet kan, medmindre særlige forhold taler herfor, ikke udnævne et forsikringsselskab som administrationsselskab i to på hinanden følgende perioder.

Stk. 7. Hvis der i perioden, jf. stk. 5, opstår en konkurs i et forsikringsselskab, skal Fondens bestyrelse i henhold til stk. 1 indgå aftale med et nyt forsikringsselskab som administrationsselskab. Det forsikringsselskab, der på tidspunktet for konkursens indtræden er udnævnt som administrationsselskab, skal bistå Fonden, indtil sagsbehandlingen af konkursen er afsluttet, uanset om perioden på 48 måneder i mellemtiden måtte være ophørt.

Stk. 8. Indgår Fondens bestyrelse aftale efter stk. 1 med et forsikringsselskab om at varetage opgaven som administrationsselskab for Fonden efter udløb af en periode, jf. stk. 5, og indtræder der en konkurs i et forsikringsselskab, inden den igangværende periode, jf. stk. 5, udløber, skal forsikringsselskabet, som Fondens bestyrelse har indgået aftale med, overtage opgaven som administrationsselskab på tidspunktet for konkursens indtræden.

Stk. 9. Fonden skal betale vederlag til et administrationsselskab udnævnt af Finanstilsynet. Vederlaget fastlægges efter forhandling mellem parterne. Er det ikke muligt for parterne at blive enig om størrelsen på vederlaget, skal Finanstilsynet fastsætte vederlagets størrelse på baggrund af et oplæg fra Fonden.

Stk. 10. Et administrationsselskab, der er udnævnt af Finanstilsynet, jf. stk. 3, skal varetage de opgaver, der fremgår af Fondens udbudsmateriale eller andet dokument indeholdende Fondens specificering af opgaverne.«

2. Efter § 17 indsættes i kapitel 10:

»§ 17 a. Afgørelser truffet af Finanstilsynet i medfør af § 12 a, stk. 3 og stk. 9, 3. pkt., kan indbringes for Erhvervsankenævnet, senest 4 uger efter at afgørelsen er meddelt det pågældende forsikringsselskab.«

§ 11

I lov nr. 405 af 25. april 2023 om Kreditforeningen af kommuner og regioner i Danmark foretages følgende ændringer:

1. I § 21, stk. 1, indsættes som 2. pkt.:

»Finanstilsynet påser endvidere overholdelsen af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og regler udstedt i medfør heraf.«

2. I § 22 indsættes som stk. 2 og 3:

»Stk. 2. § 354 e i lov om finansiel virksomhed finder tilsvarende anvendelse på foreningen for sager om overtrædelse af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.

Stk. 3. § 372 a i lov om finansiel virksomhed finder tilsvarende anvendelse på foreningen for regler, som er nødvendige for at anvende eller gennemføre de afgørelser eller retsakter, som vedtages af Europa-Kommissionen i medfør af Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor.«

3. I § 25, stk. 2, indsættes efter »§ 199, stk. 2 og 6, i lov om finansiel virksomhed,«: »og artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) nr. 2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.

§ 12

I lov om et skibsfinansieringsinstitut, jf. lovbekendtgørelse nr. 1873 af 5. december 2023, foretages følgende ændring:

1. I § 14, stk. 1, 1. pkt., indsættes efter »§ 3, 2. pkt.,«: »og artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor«.

§ 13

I lov nr. 871 af 21. juni 2022 om Danmarks Eksport- og Investeringsfond foretages følgende ændring:

1. I § 15 indsættes efter stk. 1 som nyt stykke:

»Stk. 2. Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor finder ikke anvendelse for Danmarks Eksport- og Investeringsfond og dennes selvstændige offentlige dattervirksomheder og øvrige datterselskaber samt enheder forvaltet af Danmarks Ek‍sport- og Investeringsfond eller Danmarks Eksport- og Investeringsfonds selvstændige offentlige dattervirksomheder.«

Stk. 2 og 3 bliver herefter stk. 3 og 4.

§ 14

I straffeloven, jf. lovbekendtgørelse nr. 1360 af 28. september 2022, som ændret senest ved § 1 i lov nr. 1786 af 28. december 2023, foretages følgende ændring:

1. I § 299 d, stk. 1, indsættes før nr. 1 som nyt nummer:

»1) overtrædelse af artikel 89, stk. 2, eller artikel 91, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver,«.

Nr. 1-3 bliver herefter nr. 2-4.

§ 15

I retsplejeloven, jf. lovbekendtgørelse nr. 250 af 4. marts 2024, foretages følgende ændring:

1. I § 806, stk. 7, 1. pkt., ændres »§ 1, stk. 1, nr. 1-12 eller 18-26« til: »§ 1, stk. 1, nr. 12 eller 18-22«.

§ 16

I lov om finansielle rådgivere, investeringsrådgivere og boligkreditformidlere, jf. lovbekendtgørelse nr. 2016 af 1. november 2021, som ændret ved § 6 i lov nr. 2382 af 14. december 2021, § 9 i lov nr. 570 af 10. maj 2022, § 341 i lov nr. 718 af 13. juni 2023 og § 11 i lov nr. 1546 af 12. december 2023, foretages følgende ændring:

1. I § 9, stk. 1, nr. 2, ændres »§ 9, stk. 1, nr. 15« til: »§ 9, stk. 1, nr. 14«.

§ 17

Stk. 1. Loven træder i kraft den 1. juli 2024, jf. dog stk. 2-5.

Stk. 2. § 1, nr. 2, §§ 332, 332 a, 332 b og 332 d i lov om finansiel virksomhed som affattet ved denne lovs § 1, nr. 26, § 1, nr. 47 og 48, og § 2, nr. 28 og 29, § 211, stk. 2, nr. 15, i lov om kapitalmarkeder som affattet ved denne lovs § 3, nr. 18, og § 5, nr. 8 og 9, træder i kraft den 30. juni 2024.

Stk. 3. § 1, nr. 3, 7, 18 og 25, afsnit IX c i lov om finansiel virksomhed som affattet ved denne lovs § 1, nr. 26, og § 1, nr. 27 og 37, § 3, nr. 2, 3, 17, 20 og 21, § 8, nr. 1, 3-8, 13 og 14, og § 16 træder i kraft den 18. oktober 2024.

Stk. 4. §§ 332 c, 332 e-332 h i lov om finansiel virksomhed som affattet ved denne lovs § 1, nr. 26, og § 1, nr. 41, § 251 b i lov om kapitalmarkeder som affattet ved denne lovs § 3, nr. 24, § 275, stk. 1, nr. 9, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter som affattet ved denne lovs § 4, nr. 16, og §§ 7, 14 og 15 træder i kraft den 30. december 2024.

Stk. 5. § 1, nr. 6, 8 og 9, § 2, nr. 1-3 og 5-18, § 3, nr. 5-9 og 12-14, § 211, stk. 2, nr. 16, som affattet ved denne lovs § 3, nr. 18, § 251 c i lov om kapitalmarkeder som affattet ved denne lovs § 3, nr. 24, § 4, nr. 1 og 4, § 275, stk. 1, nr. 10, i lov om fondsmæglerselskaber og investeringsservice og -aktiviteter som affattet ved denne lovs § 4, nr. 16, § 5, nr. 1 og 3, § 6, nr. 9, § 8, nr. 17 og 19-23, og §§ 9 og 11-13 træder i kraft den 17. januar 2025.

Stk. 6. § 332 c, stk. 1, i lov om finansiel virksomhed som affattet ved denne lovs § 1, nr. 26, finder ikke anvendelse for udbydere af kryptoaktivtjenester, der inden den 30. december 2024 udbyder kryptoaktivtjenester her i landet, og som senest den 30. december 2024 indgiver tilladelse, jf. § 332 c, stk. 1, som affattet ved denne lovs § 1, nr. 26. Sådanne udbydere kan fortsætte med at udbyde kryptoaktivtjenester i 18 måneder efter den 30. december 2024, medmindre udbyderen i denne periode får afslag eller tilladelse fra Finanstilsynet, jf. § 332 c, stk. 1, i lov om finansiel virksomhed som affattet ved denne lovs § 1, nr. 26.

Stk. 7. § 43 h, stk. 1, nr. 5, i lov om firmapensionskasser som affattet ved denne lovs § 6, nr. 2, finder ikke anvendelse for variable løndele optjent i optjeningsperioder før lovens ikrafttræden, jf. stk. 1. For sådanne variable løndele finder de hidtil gældende regler anvendelse.

Stk. 8. § 43 h i lov om firmapensionskasser som affattet ved denne lovs § 6, nr. 2, finder ikke anvendelse for aftaler, der er indgået, genforhandlet, forlænget eller fornyet inden den 4. januar 2019. For sådanne aftaler finder de hidtil gældende regler anvendelse.

Stk. 9. Regler fastsat i medfør af § 199, stk. 12, 2. pkt., i lov om finansiel virksomhed, jf. lovbekendtgørelse nr. 1731 af 5. december 2023, forbliver i kraft, indtil de ophæves eller afløses af forskrifter udstedt i medfør af § 333 p, stk. 1, i lov om finansiel virksomhed som affattet ved denne lovs § 1, nr. 26.

Stk. 10. § 333 c, § 333 g, stk. 3, og § 333 k, stk. 1, 2. pkt., i lov om finansiel virksomhed som affattet ved denne lovs § 1, nr. 26, finder anvendelse fra den 17. januar 2025.

Stk. 11. § 373, stk. 1, i lov om finansiel virksomhed som ændret ved denne lovs § 1, nr. 47, har alene virkning for overtrædelser af artikel 14, stk. 3, artikel 59, stk. 1, artikel 60, stk. 1-6, artikel 70, stk. 1-4, artikel 72, stk. 1, artikel 75, stk. 1, 2 og 7, og artikel 76, stk. 1, 2 og 5-8, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, der begås efter den 30. december 2024.

Stk. 12. § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed som ændret ved denne lovs § 1, nr. 48, har alene virkning for overtrædelser af artikel 59, stk. 2, 5 og 8, artikel 64, stk. 8, artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 67, stk. 1, 5 og 6, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9, artikel 76, stk. 3, 4 og 9-15, artikel 77, 78 og 79, artikel 80, stk. 1-3, artikel 81, stk. 1-14, artikel 82, stk. 1, og artikel 83, stk. 1 og 2, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, der begås efter den 30. december 2024.

Stk. 13. § 373, stk. 2, 1. pkt., i lov om finansiel virksomhed som ændret ved denne lovs § 1, nr. 48, har alene virkning for overtrædelser af artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed, der begås efter den 17. januar 2025.

Stk. 14. § 152, stk. 1, i lov om betalinger som ændret ved denne lovs § 2, nr. 28, har alene virkning for overtrædelser af artikel 59, stk. 1, artikel 60, stk. 4, artikel 67, stk. 4, artikel 70, stk. 1-4, artikel 72, stk. 1, og artikel 75, stk. 1, 2 og 7, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, der begås efter den 30. december 2024.

Stk. 15. § 152, stk. 2, i lov om betalinger som ændret ved denne lovs § 2, nr. 29, har alene virkning for overtrædelser af artikel 65, stk. 4, artikel 66, stk. 1-5, artikel 68, stk. 4-9, artikel 69, artikel 71, stk. 1-4, artikel 72, stk. 2-4, artikel 73, stk. 2 og 3, artikel 74, artikel 75, stk. 3-6 og 9, og artikel 82, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, der begås efter den 30. december 2024.

Stk. 16. § 190, stk. 2, i lov om forvaltere af alternative investeringsfonde m.v. som ændret ved denne lovs § 5, nr. 9, har alene virkning for overtrædelser af artikel 5, stk. 1-3, artikel 6, stk. 1-8, artikel 7, stk. 1, artikel 8, stk. 1-7, artikel 9, stk. 1-3, artikel 10, stk. 1-4, artikel 11, stk. 1-10, artikel 12, stk. 1-4, 6 og 7, artikel 13, stk. 1-7, artikel 14, stk. 1-3, artikel 16, stk. 1 og 2, artikel 17, stk. 1-3, artikel 18, stk. 1 og 2, artikel 19, stk. 1, 3 og 4, artikel 24, stk. 1-6, artikel 25, stk. 1 og 3, artikel 28, stk. 1-4, 7 og 8, artikel 29, stk. 1 og 2, og artikel 30, stk. 1-3, i Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor, der begås efter den 17. januar 2025.

§ 18

Stk. 1. Loven gælder ikke for Færøerne og Grønland, jf. dog stk. 2 og 3.

Stk. 2. §§ 1-10 og 12 kan ved kongelig anordning helt eller delvis sættes i kraft for Grønland med de ændringer, som de grønlandske forhold tilsiger.

Stk. 3. §§ 1-5, 7 og 12 kan ved kongelig anordning helt eller delvis sættes i kraft for Færøerne med de ændringer, som de færøske forhold tilsiger.

Officielle noter

1) Loven indeholder bestemmelser, der gennemfører dele af Europa-Parlamentets og Rådets direktiv 2014/65/EU af 15. maj 2014 om markeder for finansielle instrumenter, EU-Tidende 2014, nr. L 173, side 349, dele af Europa-Parlamentets og Rådets direktiv (EU) 2019/2177 af 18. december 2019 om ændring af direktiv 2009/138/EF om adgang til og udøvelse af forsikrings- og genforsikringsvirksomhed (Solvens II), direktiv 2014/65/EU om markeder for finansielle instrumenter og af direktiv (EU) 2015/849 om forebyggende foranstaltninger mod anvendelse af det finansielle system til hvidvask af penge eller finansiering af terrorisme (omnibusdirektivet), EU-Tidende 2019, L 334, side 155, dele af Europa-Parlamentets og Rådets direktiv (EU) 2015/2366 af 25. november 2015 om betalingstjenester i det indre marked, EU-Tidende 2015, nr. L 337, side 35, dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2555 af 14. december 2022 om foranstaltninger til sikring af et højt fælles cybersikkerhedsniveau i hele Unionen, EU-Tidende 2022, nr. L 333, side 80-152, og dele af Europa-Parlamentets og Rådets direktiv (EU) 2022/2556 af 14. december 2022, EU-Tidende 2022, nr. L 333, side 153-163. I loven er der medtaget visse bestemmelser fra Europa-Parlamentets og Rådets forordning (EU) 2023/1114 af 31. maj 2023 om markeder for kryptoaktiver, EU-Tidende 2023, nr. L 150, side 40. Ifølge artikel 288 i EUF-Traktaten gælder en forordning umiddelbart i hver medlemsstat. Gengivelsen af disse bestemmelser i loven er således udelukkende begrundet i praktiske hensyn og berører ikke forordningens umiddelbare gyldighed i Danmark.

EU-Oplysningen

Resumé

Om lovforslaget

Fremsættelse af forslag

1. behandling

Udvalgsbehandling

2. behandling

3. behandling

L 122 Forslag til lov om ændring af lov om finansiel virksomhed, lov om betalinger, lov om kapitalmarkeder og forskellige andre love.

(Tilsyn efter forordning om digital operationel modstandsdygtighed i den finansielle sektor og forordning om markeder for kryptoaktiver, regler for udpegelse af administrationsselskab for Garantifonden og aflønningsregler for firmapensionskasser).

Lovforslag som optrykt efter 2. behandling