Preamble Recitals

För att bedöma om en tredjepartsleverantör av IKT-tjänster är kritisk för finansiella entiteter, och med beaktande av de kriterier som anges i artikel 31.2 i förordning (EU) 2022/2554, bör de europeiska tillsynsmyndigheterna göra en bedömning i två steg med användning av delkriterier. Med tanke på det mycket stora antalet IKT-tjänster och det stora antalet olika typer av finansinstitut som använder dessa tjänster bör tvåstegsbedömningen användas för att filtrera samtliga tredjepartsleverantörer av IKT-tjänster och identifiera de som är mest kritiska. De kvantitativa delkriterier som ska beaktas i bedömningens första steg är nödvändiga för att göra ett första urval av alla tredjepartsleverantörer av IKT-tjänster, för vilka det är relevant att göra en ytterligare djupgående analys mot bakgrund av de kvalitativa delkriterier som ska beaktas i bedömningens andra steg.

I hur hög grad en IKT-tjänst som tillhandahålls av en tredjepartsleverantör av IKT-tjänster stöder den finansiella entitetens kritiska eller viktiga funktioner anses vara en central del av kritikalitetsbedömningen generellt. Därför bör vikten av de aktiviteter inom finansiella entiteter som stöds av IKT-tjänster integreras i alla delkriterier som beaktas i det första steget. Följaktligen bör det i bedömningens första steg inte göras någon separat kvantitativ bedömning av hur kritiska de finansiella entiteternas funktioner är. De europeiska tillsynsmyndigheterna bör i stället beakta kritikalitet och vikt hos de funktioner inom finansiella entiteter som stöds av IKT-tjänster som en del av bedömningens kvalitativa andra steg.

Bedömningen bör utföras per enskild tredjepartsleverantör av IKT-tjänster eller, i tillämpliga fall, per grupp av tredjepartsleverantörer av IKT-tjänster, om tredjepartsleverantören av IKT-tjänster tillhör en koncern i enlighet med artikel 31.3 i förordning (EU) 2022/2554. För att möjliggöra en heltäckande bedömning av den potentiella systempåverkan på unionens finanssektor bör IKT-underleverantörer till tredjepartsleverantörer av IKT-tjänster också ingå i de europeiska tillsynsmyndigheternas bedömning, och i tillämpliga fall klassificeras som kritiska tredjepartsleverantörer av IKT-tjänster.

För att fastställa vilken systempåverkan som tredjepartsleverantören av IKT-tjänster har på stabiliteten, kontinuiteten eller kvaliteten i tillhandahållandet av finansiella tjänster är det av yttersta vikt att skaffa sig en tydlig bild av hur och i vilken grad en storskalig driftsstörning hos en tredjepartsleverantör av IKT-tjänster skulle påverka dels systemen hos finansiella entiteter som är beroende av tjänster från en tredjepartsleverantör av IKT-tjänster, och dels det finansiella systemet. Det är därför lämpligt att beakta antalet finansiella entiteter i en specifik kategori av finansiella entiteter som använder samma IKT-tjänster, samt värdet på deras tillgångar, för att bedöma om det är relevant att klassificera den tredjepartsleverantör av IKT-tjänster som erbjuder dessa IKT-tjänster som kritisk. Dessutom bör det göras en kvalitativ bedömning av systemvikten och graden av sammanlänkning hos tredjepartsleverantörer av IKT-tjänster, samt av vikten av de tjänster som tillhandahålls av en tredjepartsleverantör av IKT-tjänster för att finansiella entiteter ska kunna tillhandahålla finansiella tjänster, med beaktande av tjänsternas stabilitet och kontinuitet, för att fastställa tredjepartsleverantörens systempåverkan på de finansiella entiteternas verksamhet.

För att fastställa påverkan på eller betydelsen för systemet av de finansiella entiteter som är beroende av IKT-tjänsterna är det nödvändigt att ta hänsyn till dessa finansiella entiteters typ. Om finansiella entiteter som klassificeras som globala systemviktiga institut eller som andra systemviktiga institut, eller som identifieras som systemviktiga, är beroende av samma IKT-tjänster för att stödja sina kritiska eller viktiga funktioner, är det lämpligt att bedöma huruvida den tredjepartsleverantör av IKT-tjänster som tillhandahåller dessa tjänster bör betraktas som kritisk för unionens finanssektor. Sammanlänkningen mellan finansiella entiteter inom unionens finanssektor som är beroende av IKT-tjänster som tillhandahålls av samma tredjepartsleverantör av IKT-tjänster bör också bedömas, för att fastställa de finansiella entiteternas beroende av den tredjepartsleverantören av IKT-tjänster.

IKT-tjänster som stöder kritiska eller viktiga funktioner hos de finansiella entiteterna bör bedömas med avseende på sin beskaffenhet och om de är kritiska för att de finansiella entiteterna ska kunna bedriva sin verksamhet utan störningar.

För att fastställa graden av utbytbarhet hos tredjepartsleverantören av IKT-tjänster är det nödvändigt att, som en del av den bedömning som ska göras av de europeiska tillsynsmyndigheterna, beakta antalet tredjepartsleverantörer av IKT-tjänster som är verksamma på en viss marknad, tillgången till alternativa lösningar för samma IKT-tjänst, samt kostnaderna för att migrera data och IKT-arbetsbelastningar till andra tredjepartsleverantörer av IKT-tjänster.

För att säkerställa en sund bedömningsprocess är det viktigt att de europeiska tillsynsmyndigheterna använder uppgifter från de register över information som avses i artikel 28.3 i förordning (EU) 2022/2554, tillsammans med eventuell annan lättillgänglig information, när de bedömer huruvida tredjepartsleverantörerna av IKT-tjänster bör klassificeras som kritiska.