Anhang Vorlage für die übermittlung von informationen über vereinbarungen über die unterauftragsvergabe

Allgemeine Angaben

• Name des kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt;.

• Rechtsträgerkennung des kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt;.

• Name der Kontaktperson und Kontaktdaten des kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt;.

• Datum der Übermittlung der Vorlage.

Überblick über die Vereinbarungen über die Unterauftragsvergabe

• Erfassung der Vereinbarungen über die Unterauftragsvergabe, einschließlich einer kurzen Beschreibung des Zwecks und des Umfangs des Vertragsverhältnisses mit Unterauftragnehmern (einschließlich Angaben zum Grad der Kritikalität oder zur Bedeutung der Vereinbarungen über die Unterauftragsvergabe für den kritischen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt;).

• Spezifikation und Beschreibung der Arten von IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste;, die an Unterauftragnehmer vergeben werden, und ihrer Bedeutung für die IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste;, die für Finanzunternehmen erbracht werden, nach Maßgabe der gemäß Artikel 28 Absatz 9 der Verordnung (EU) 2022/2554 erlassenen technischen Durchführungsstandards.

• Bitte bei der Spezifizierung der Arten von IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; die Liste in Anhang IV der gemäß Artikel 28 Absatz 9 der Verordnung (EU) 2022/2554 erlassenen technischen Durchführungsstandards verwenden.

Angaben zu Unterauftragnehmern

• Name und Angaben zur juristischen Person (einschließlich Rechtsträgerkennung) für jeden einzelnen Unterauftragnehmer.

• Kontaktdaten der Mitarbeiter, die in der Verwaltungsstruktur des kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; für die einzelnen Unteraufträge zuständig sind.

• Überblick für jeden einzelnen Unterauftragnehmer über die Fachkenntnisse, die Erfahrung und die Qualifikationen im Zusammenhang mit den in Auftrag gegebenen IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste;.

Beschreibung der von Unterauftragnehmern erbrachten Dienstleistungen

• Detaillierte Beschreibung der einzelnen IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste;, die von den einzelnen Unterauftragnehmern erbracht werden.

• Aufschlüsselung der Zuständigkeiten und Aufgaben, die Unterauftragnehmern übertragen werden, durch Angabe der verschiedenen Aufgaben in den verschiedenen Phasen der IKT-Prozesse.

• Informationen über den Umfang des Zugangs von Unterauftragnehmern zu personenbezogenen oder anderweitig sensiblen Daten oder Systemen bei der Erbringung von IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; für Finanzunternehmen.

• Informationen über die Standorte, von denen aus die Unterauftragnehmer ihre Dienstleistungen erbringen, und über die Maßnahmen, die zur Bewältigung von Risiken, die mit außerhalb der Union erbrachten Dienstleistungen einhergehen, ergriffen wurden.

Governance und Überwachung der Unterauftragsvergabe

• Beschreibung des bestehenden Vertrags- und Governance-Rahmens für die Verwaltung von Unteraufträgen, einschließlich Klauseln für die Einschränkung der Nutzung sensibler Daten.

• Erläuterung der Verfahren für die Auswahl, Beauftragung und Überwachung von Unterauftragnehmern.

• Überblick über Leistungsparameter, Dienstgüteziele und -vereinbarungen sowie zentrale Leistungsindikatoren, die zur Bewertung der Leistung und zur Überwachung der Zuverlässigkeit des Unterauftragnehmers herangezogen werden.

Risikomanagement und Einhaltung der Vorschriften

• Bewertung der Risikoprofile des Unterauftragnehmers und der potenziellen Auswirkungen auf die IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste;, die für Finanzunternehmen erbracht werden.

• Erläuterung der Risikominderungsmaßnahmen, die zur Bewältigung von Risiken im Zusammenhang mit der Unterauftragsvergabe umgesetzt wurden.

• Detaillierte Angaben zur Einhaltung der einschlägigen Vorschriften, einschließlich der Datenschutz- und Branchenstandards, durch den Unterauftragnehmer.

Geschäftsfortführung und Notfallplanung

• Überblick über die Geschäftsfortführungspläne und die Reaktions- und Wiederherstellungspläne des Unterauftragnehmers.

• Beschreibung der getroffenen Vorkehrungen, um die Aufrechterhaltung der Dienste im Falle von Störungen oder der Kündigung des Unterauftragnehmers zu gewährleisten.

• Häufigkeit der von den Unterauftragnehmern durchgeführten Tests der Geschäftsfortführungspläne und der Reaktions- und Wiederherstellungspläne, Datum der letzten Tests in den letzten drei Jahren und Angaben dazu, ob der kritische IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; an diesen Tests beteiligt war.

Berichterstattung

• Beschreibung der Meldesysteme und der Häufigkeit der Berichterstattung zwischen dem kritischen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; und seinen Unterauftragnehmern.

Abhilfemaßnahmen und Behandlung von Vorfällen

• Überblick über die Verfahren für die Behandlung von Sicherheitsvorfällen und -verletzungen oder Verstößen in Verbindung mit dem Unterauftragnehmer.

Zertifizierungen und Audits

• Informationen über Zertifizierungen, unabhängige Audits oder Bewertungen, die bei Unterauftragnehmern durchgeführt wurden, um ihre Sicherheitskontrollen, Qualitätsstandards oder Einhaltung der Rechtsvorschriften zu validieren.

• Datum und Häufigkeit der vom kritischen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; vorgenommenen Audits der Unterauftragnehmer.