Source: OJ L, 2024/1502, 30.5.2024Current language: SV
Criteria for designating critical service providers
KOMMISSIONENS DELEGERADE FÖRORDNING (EU) 2024/1502
av den 22 februari 2024
om komplettering av Europaparlamentets och rådets förordning (EU) 2022/2554 vad gäller specificering av kriterierna för klassificering av tredjepartsleverantörer av IKT-tjänster som kritiska för finansiella entiteter
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt,
med beaktande av Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011(1)EUT L 333, 27.12.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj., särskilt artikel 31.6, och
av följande skäl:
Skäl 1Designation procedure
För att bedöma om en tredjepartsleverantör av IKT-tjänster är kritisk för finansiella entiteter, och med beaktande av de kriterier som anges i artikel 31.2 i förordning (EU) 2022/2554, bör de europeiska tillsynsmyndigheterna göra en bedömning i två steg med användning av delkriterier. Med tanke på det mycket stora antalet IKT-tjänster och det stora antalet olika typer av finansinstitut som använder dessa tjänster bör tvåstegsbedömningen användas för att filtrera samtliga tredjepartsleverantörer av IKT-tjänster och identifiera de som är mest kritiska. De kvantitativa delkriterier som ska beaktas i bedömningens första steg är nödvändiga för att göra ett första urval av alla tredjepartsleverantörer av IKT-tjänster, för vilka det är relevant att göra en ytterligare djupgående analys mot bakgrund av de kvalitativa delkriterier som ska beaktas i bedömningens andra steg.
Skäl 2Importance of activities supported by ICT services
I hur hög grad en IKT-tjänst som tillhandahålls av en tredjepartsleverantör av IKT-tjänster stöder den finansiella entitetens kritiska eller viktiga funktioner anses vara en central del av kritikalitetsbedömningen generellt. Därför bör vikten av de aktiviteter inom finansiella entiteter som stöds av IKT-tjänster integreras i alla delkriterier som beaktas i det första steget. Följaktligen bör det i bedömningens första steg inte göras någon separat kvantitativ bedömning av hur kritiska de finansiella entiteternas funktioner är. De europeiska tillsynsmyndigheterna bör i stället beakta kritikalitet och vikt hos de funktioner inom finansiella entiteter som stöds av IKT-tjänster som en del av bedömningens kvalitativa andra steg.
Skäl 3Individual and group ICT third-party service providers and subcontractors
Bedömningen bör utföras per enskild tredjepartsleverantör av IKT-tjänster eller, i tillämpliga fall, per grupp av tredjepartsleverantörer av IKT-tjänster, om tredjepartsleverantören av IKT-tjänster tillhör en koncern i enlighet med artikel 31.3 i förordning (EU) 2022/2554. För att möjliggöra en heltäckande bedömning av den potentiella systempåverkan på unionens finanssektor bör IKT-underleverantörer till tredjepartsleverantörer av IKT-tjänster också ingå i de europeiska tillsynsmyndigheternas bedömning, och i tillämpliga fall klassificeras som kritiska tredjepartsleverantörer av IKT-tjänster.
Skäl 4Systemic impact assessments
För att fastställa vilken systempåverkan som tredjepartsleverantören av IKT-tjänster har på stabiliteten, kontinuiteten eller kvaliteten i tillhandahållandet av finansiella tjänster är det av yttersta vikt att skaffa sig en tydlig bild av hur och i vilken grad en storskalig driftsstörning hos en tredjepartsleverantör av IKT-tjänster skulle påverka dels systemen hos finansiella entiteter som är beroende av tjänster från en tredjepartsleverantör av IKT-tjänster, och dels det finansiella systemet. Det är därför lämpligt att beakta antalet finansiella entiteter i en specifik kategori av finansiella entiteter som använder samma IKT-tjänster, samt värdet på deras tillgångar, för att bedöma om det är relevant att klassificera den tredjepartsleverantör av IKT-tjänster som erbjuder dessa IKT-tjänster som kritisk. Dessutom bör det göras en kvalitativ bedömning av systemvikten och graden av sammanlänkning hos tredjepartsleverantörer av IKT-tjänster, samt av vikten av de tjänster som tillhandahålls av en tredjepartsleverantör av IKT-tjänster för att finansiella entiteter ska kunna tillhandahålla finansiella tjänster, med beaktande av tjänsternas stabilitet och kontinuitet, för att fastställa tredjepartsleverantörens systempåverkan på de finansiella entiteternas verksamhet.
Skäl 5Considering the nature of financial entities
För att fastställa påverkan på eller betydelsen för systemet av de finansiella entiteter som är beroende av IKT-tjänsterna är det nödvändigt att ta hänsyn till dessa finansiella entiteters typ. Om finansiella entiteter som klassificeras som globala systemviktiga institut eller som andra systemviktiga institut, eller som identifieras som systemviktiga, är beroende av samma IKT-tjänster för att stödja sina kritiska eller viktiga funktioner, är det lämpligt att bedöma huruvida den tredjepartsleverantör av IKT-tjänster som tillhandahåller dessa tjänster bör betraktas som kritisk för unionens finanssektor. Sammanlänkningen mellan finansiella entiteter inom unionens finanssektor som är beroende av IKT-tjänster som tillhandahålls av samma tredjepartsleverantör av IKT-tjänster bör också bedömas, för att fastställa de finansiella entiteternas beroende av den tredjepartsleverantören av IKT-tjänster.
Skäl 6Critical or important functions
IKT-tjänster som stöder kritiska eller viktiga funktioner hos de finansiella entiteterna bör bedömas med avseende på sin beskaffenhet och om de är kritiska för att de finansiella entiteterna ska kunna bedriva sin verksamhet utan störningar.
Skäl 7Degree of substitutability
För att fastställa graden av utbytbarhet hos tredjepartsleverantören av IKT-tjänster är det nödvändigt att, som en del av den bedömning som ska göras av de europeiska tillsynsmyndigheterna, beakta antalet tredjepartsleverantörer av IKT-tjänster som är verksamma på en viss marknad, tillgången till alternativa lösningar för samma IKT-tjänst, samt kostnaderna för att migrera data och IKT-arbetsbelastningar till andra tredjepartsleverantörer av IKT-tjänster.
Skäl 8Sources of information for designation
För att säkerställa en sund bedömningsprocess är det viktigt att de europeiska tillsynsmyndigheterna använder uppgifter från de register över information som avses i artikel 28.3 i förordning (EU) 2022/2554, tillsammans med eventuell annan lättillgänglig information, när de bedömer huruvida tredjepartsleverantörerna av IKT-tjänster bör klassificeras som kritiska.
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
- Artikel 1Bedömningsmetod
- Artikel 2Systempåverkan från tredjepartsleverantörer av IKT-tjänster på stabiliteten, kontinuiteten eller kvaliteten i tillhandahållandet av finansiella tjänster
- Artikel 3Påverkan på eller betydelsen för systemet hos IKT-tjänster som tillhandahålls finansiella entiteter
- Artikel 4Kritiska eller viktiga funktioner
- Artikel 5Grad av utbytbarhet
- Artikel 6Informationskällor för bedömningen av kritikalitet
- Artikel 7Ikraftträdande och tillämpning
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Bryssel den 22 februari 2024.
På kommissionens vägnar
Ursula VON DER LEYEN
Ordförande