Source: OJ L, 2025/532, 2.7.2025Current language: DE
- Digital operational resilience in the financial sector
ICT third-party service providers
- RTS on subcontracting ICT services
Artikel 5 Wesentliche Änderungen an Unterauftragsvereinbarungen über IKT-Dienstleistungen, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen
Die vertragliche Vereinbarung sieht vor, dass der IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; das Finanzunternehmen rechtzeitig über alle beabsichtigten wesentlichen Änderungen seiner Unterauftragsvereinbarungen informiert, damit das Finanzunternehmen Folgendes bewerten kann:
die Auswirkung auf die Risiken, denen er ausgesetzt ist oder ausgesetzt sein könnte;
ob solche wesentlichen Änderungen die Fähigkeit des IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; beeinträchtigen könnten, seinen vertraglichen Verpflichtungen gegenüber dem Finanzunternehmen nachzukommen.
Die vertragliche Vereinbarung muss eine angemessene Mitteilungsfrist enthalten, in der das Finanzunternehmen den Änderungen zustimmen oder sie ablehnen kann.
Der IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; setzt die wesentlichen Änderungen seiner Unterauftragsvereinbarungen erst dann um, wenn das Finanzunternehmen die Änderungen bis zum Ablauf der Mitteilungsfrist entweder genehmigt oder sie nicht abgelehnt hat.
Ist das Finanzunternehmen der Auffassung, dass die in Absatz 1 genannten wesentlichen Änderungen die Risikotoleranz des Finanzunternehmens überschreiten, so muss es vor Ablauf der Mitteilungsfrist
den IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; davon in Kenntnis setzen;
die Änderungen ablehnen und vor deren Umsetzung Anpassungen verlangen.
Relevant recitals
Erwägungsgrund 8 Conditions throughout the life cycle
Um Risiken im Zusammenhang mit der Vergabe von Unteraufträgen zu mindern, müssen die Bedingungen festgelegt werden, unter denen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; Unterauftragnehmer für die Erbringung von IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste;, die kritische oder wichtige Funktionen unterstützen, in Anspruch nehmen können. Zu diesem Zweck sollten in vertraglichen IKT-Vereinbarungen zwischen Finanzunternehmen und IKT-Drittdienstleistern entsprechende Bedingungen festgelegt werden, einschließlich der Planung von Unterauftragsvereinbarungen, der Risikobewertungen, der Sorgfaltspflicht und des Genehmigungsverfahrens für neue IKT-Unterauftragsvereinbarungen für IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; zur Unterstützung kritischer oder wichtiger Funktionen oder wesentlicher Teile davon. Gleiches gilt für wesentliche Änderungen an bestehenden Vereinbarungen, die vom IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; vorgenommen werden.
Erwägungsgrund 10 Monitoring of subcontractors and notifications of changes
Um Schwachstellen und Bedrohungen, die Risiken für ihre IKT-Systeme und -Vorgänge darstellen können, zu mindern, sollten Finanzunternehmen in der Lage sein, die Leistung der IKT-Dienstleistung zu überwachen und über alle relevanten Änderungen innerhalb ihrer IKT-Unterauftragskette unterrichtet zu werden, wenn diese Änderungen kritische oder wichtige Funktionen betreffen.
Erwägungsgrund 11 Notification of changes and right to terminate
Damit Finanzunternehmen die Risiken im Zusammenhang mit Unterauftragsvereinbarungen oder wesentlichen Änderungen daran bewerten können, sollten IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; die Finanzunternehmen, für die sie IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; erbringen, über alle derartigen neuen Vereinbarungen oder Änderungen rechtzeitig vor deren Inkrafttreten informieren. Aus demselben Grund sollten Finanzunternehmen das Recht haben, den Vertrag mit dem IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; zu kündigen, wenn das Ergebnis ihrer Risikobewertung zeigt, dass die neuen Vereinbarungen oder wesentlichen Änderungen ein Risiko bergen, das ihre Risikotoleranz übersteigt.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.