Artikel 28 Allmänna principer

1. Finansiella entiteter ska hantera IKT-tredjepartsrisker som en integrerad del av IKT-risken inom sin IKT-riskhanteringsram som avses i artikel 6.1, och i enlighet med följande principer:
  1. De finansiella entiteter som har ingått ett kontraktsmässigt arrangemang om användningen av IKT-tjänster för att bedriva sin affärsverksamhet ska alltid ha det fulla ansvaret för uppfyllandet och fullgörandet av alla skyldigheter enligt denna förordning och tillämplig rätt avseende finansiella tjänster.
  2. Finansiella entiteters hantering av IKT-tredjepartsrisker ska genomföras med hänsyn till proportionalitetsprincipen, med beaktande av
    IKT-relaterade beroendens karaktär, omfattning, komplexitet och betydelse,
    de risker som uppstår till följd av kontraktsmässiga arrangemang om användningen av IKT-tjänster som har ingåtts med tredjepartsleverantörer av IKT-tjänster, med hänsyn till den kritikaliteten eller betydelsen av respektive tjänst, process eller funktion, och den potentiella inverkan på kontinuiteten och tillgängligheten hos finansiella tjänster och verksamheter, på individuell nivå och på koncernnivå.
1. Som en del av sin IKT-riskhanteringsram ska andra finansiella entiteter än de enheter som avses i artikel 16.1 första stycket och mikroföretag anta och regelbundet se över en strategi för IKT-tredjepartsrisk, med beaktande av den strategi för flera olika leverantörer som avses i artikel 6.9 i tillämpliga fall. Strategin för IKT-tredjepartsrisk ska omfatta riktlinjer för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner och som tillhandahålls av tredjepartsleverantörer av IKT-tjänster och ska tillämpas individuellt och, i förekommande fall, på undergrupps- och gruppnivå. Ledningsorganet ska, baserat på en bedömning av den finansiella entitetens allmänna riskprofil samt omfattningen av och komplexiteten i entitetens affärstjänster, regelbundet se över de risker som har identifierats vad gäller kontraktsmässiga arrangemang för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner.
1. Som en del av sin IKT-riskhanteringsram ska finansiella entiteter upprätthålla och uppdatera ett register med information på entitetsnivå, undergrupps- och gruppnivå om alla kontraktsmässiga arrangemang som rör användningen av IKT-tjänster som tillhandahålls av tredjepartsleverantörer av IKT-tjänster.
2. De kontraktsmässiga arrangemang som avses i första stycket ska dokumenteras på lämpligt sätt, varvid åtskillnad ska göras mellan de kontraktsmässiga arrangemang som omfattar kritiska eller viktiga funktioner och de som inte gör det.
3. Finansiella entiteter ska minst en gång per år rapportera till de behöriga myndigheterna om antalet nya arrangemang för användningen av IKT-tjänster, kategorierna av tredjepartsleverantörer av IKT-tjänster, typen av kontraktsmässigt arrangemang och de IKT-tjänster och funktioner som tillhandahålls.
4. Finansiella entiteter ska på begäran ge den behöriga myndigheten tillgång till det fullständiga registret eller angivna avsnitt av registret, tillsammans med all information som anses nödvändig för att möjliggöra en effektiv tillsyn av den finansiella entiteten.
5. Finansiella entiteter ska i god tid informera den behöriga myndigheten om eventuella planerade kontraktsmässiga arrangemang för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner samt när en funktion har blivit kritisk eller viktig.
1. Innan finansiella entiteter ingår ett kontraktsmässigt arrangemang om användning av IKT-tjänster ska de
  1. bedöma om det kontraktsmässiga arrangemanget omfattar användningen av IKT-tjänster som stöder en kritisk eller viktig funktion,
  2. bedöma om tillsynsvillkoren för utkontraktering är uppfyllda,
  3. identifiera och bedöma alla relevanta risker i samband med det kontraktsmässiga arrangemanget, inbegripet möjligheten att sådana kontraktsmässiga arrangemang kan bidra till att förstärka IKT-koncentrationsrisken enligt artikel 29,
  4. genomföra all due diligence-granskning av potentiella tredjepartsleverantörer av IKT-tjänster och under urvals- och bedömningsprocesserna se till att tredjepartsleverantören av IKT-tjänster är lämplig,
  5. identifiera och bedöma intressekonflikter som det kontraktsmässiga arrangemanget kan orsaka.
1. Finansiella entiteter får endast ingå kontraktsmässiga arrangemang med tredjepartsleverantörer av IKT-tjänster som uppfyller lämpliga standarder för informationssäkerhet. När dessa kontraktsmässiga arrangemang gäller kritiska eller viktiga funktioner ska finansiella entiteter, innan de ingår arrangemangen, vederbörligen beakta huruvida tredjepartsleverantörerna av IKT-tjänster använder de senaste och mest högkvalitativa standarderna för informationssäkerhet.
1. När finansiella entiteter utövar åtkomst-, inspektions- och revisionsrättigheter gentemot tredjepartsleverantören av IKT-tjänster ska de baserat på en riskbaserad metod på förhand fastställa frekvensen för revisioner och inspektioner samt de områden som ska granskas genom att följa allmänt accepterade revisionsstandarder i enlighet med eventuella tillsynsinstruktioner om användning och införlivande av sådana revisionsstandarder.
2. Om kontraktsmässiga arrangemang som ingås med tredjepartsleverantörer av IKT-tjänster om användningen av IKT-tjänster medför hög teknisk komplexitet ska den finansiella entiteten kontrollera att revisorer, oavsett om de är interna eller externa eller ingår i en pool av revisorer, har lämpliga färdigheter och kunskaper för att effektivt kunna utföra de relevanta revisionerna och bedömningarna.
1. Finansiella entiteter ska se till att kontraktsmässiga arrangemang om användning av IKT-tjänster kan avslutas under någon av följande omständigheter:
  1. Tredjepartsleverantören av IKT-tjänster bryter på ett betydande sätt mot tillämpliga lagar, förordningar eller avtalsvillkor.
  2. Omständigheter har identifierats under övervakningen av IKT-tredjepartsrisker som bedöms kunna ändra prestandan hos de funktioner som tillhandahålls genom det kontraktsmässiga arrangemanget, inbegripet väsentliga förändringar som påverkar arrangemanget eller situationen för tredjepartsleverantören av IKT-tjänster.
  3. IKT-tredjepartsleverantören har påvisade svagheter vad gäller sin övergripande IKT-riskhantering och i synnerhet det sätt på vilket den säkerställer tillgänglighet, äkthet, integritet och konfidentialitet för data, oavsett om det är personuppgifter eller på annat sätt känsliga uppgifter eller icke-personuppgifter.
  4. Om den behöriga myndigheten inte längre effektivt kan utöva tillsyn över den finansiella entiteten till följd av villkoren i eller omständigheter relaterade till respektive kontraktsmässiga arrangemang.
1. När det gäller IKT-tjänster som stöder kritiska eller viktiga funktioner ska finansiella entiteter införa exitstrategier. Exitstrategierna ska ta hänsyn till risker som kan uppstå hos tredjepartsleverantörerna av IKT-tjänster, i synnerhet eventuella fel hos dessa, försämring av kvaliteten på de IKT-tjänster som tillhandahålls, eventuella avbrott i verksamheten på grund av olämpligt eller misslyckat tillhandahållande av IKT-tjänster eller eventuella väsentliga risker som uppstår i samband med en lämplig och kontinuerlig användning av respektive IKT-tjänst, eller uppsägning av kontraktsmässiga arrangemang med tredjepartsleverantörer av IKT-tjänster under någon av de omständigheter som anges i punkt 7.
2. Finansiella entiteter ska säkerställa att de kan säga upp kontraktsmässiga arrangemang utan
  1. avbrott i sin affärsverksamhet,
  2. begränsning av efterlevnaden av lagstadgade krav,
  3. skada på kontinuiteten och kvaliteten hos de tjänster som tillhandahålls kunder.
3. Exitplanerna ska vara heltäckande och dokumenterade och de ska, i enlighet med kriterierna i artikel 4.2, vara tillräckligt testade och ska regelbundet ses över.
4. Finansiella entiteter ska identifiera alternativa lösningar och utarbeta övergångsplaner som gör det möjligt för dem att avlägsna de kontrakterade IKT-tjänsterna och relevanta data från tredjepartsleverantören av IKT-tjänster och på ett säkert och fullständigt sätt överföra dem till alternativa leverantörer eller återintegrera dem internt.
5. Finansiella entiteter ska ha lämpliga beredskapsåtgärder på plats för att upprätthålla kontinuiteten i verksamheten vid uppkomst av de omständigheter som avses i första stycket.
1. De europeiska tillsynsmyndigheterna ska genom den gemensamma kommittén utarbeta förslag till tekniska standarder för genomförande för att fastställa standardmallar för det register över uppgifter som avses i punkt 3, inbegripet uppgifter som är gemensamma för alla kontraktsmässiga arrangemang om användning av IKT-tjänster. De europeiska tillsynsmyndigheterna ska överlämna dessa förslag till tekniska standarder för genomförande till kommissionen senast den 17 januari 2024.
2. Kommissionen ges befogenhet att anta de tekniska standarder för genomförande som avses i första stycket i enlighet med artikel 15 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.
1. De europeiska tillsynsmyndigheterna ska genom den gemensamma kommittén utarbeta förslag till tekniska standarder för tillsyn för att närmare specificera det detaljerade innehållet i de riktlinjer som avses i punkt 2 i fråga om de kontraktsmässiga arrangemangen för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner och som tillhandahålls av tredjepartsleverantörer av IKT-tjänster.
2. När de europeiska tillsynsmyndigheterna utarbetar dessa förslag till tekniska standarder för tillsyn ska de ta hänsyn till den finansiella entitetens storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i dess tjänster, verksamhet och insatser. De europeiska tillsynsmyndigheterna ska överlämna dessa förslag till tekniska standarder för tillsyn till kommissionen senast den 17 januari 2024.
3. Kommissionen ges befogenhet att komplettera denna förordning genom att anta de tekniska standarder för tillsyn som avses i första stycket i enlighet med artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

Relevant recitals

Skäl 28 Complex contractual arrangements and monitoring difficulties

Den omfattande användningen av IKT-tjänster framgår av komplexa kontraktsmässiga arrangemang, där finansiella entiteter ofta stöter på svårigheter med att förhandla om avtalsvillkor som är anpassade till de tillsynsstandarder eller andra lagstadgade krav som de omfattas av, eller på annat sätt hävda särskilda rättigheter, såsom åtkomsträtt eller revisionsrätt, även när dessa är inskrivna i deras kontraktsmässiga arrangemang. Många av de kontraktsmässiga arrangemangen innehåller dessutom inte tillräckliga skyddsåtgärder som möjliggör en fullständig övervakning av utkontrakteringsprocesser, vilket gör att den finansiella entiteten inte har möjlighet att bedöma dessa risker. Eftersom tredjepartsleverantörer av IKT-tjänster ofta tillhandahåller standardiserade tjänster till olika typer av kunder kan det dessutom hända att sådana kontraktsmässiga arrangemang inte alltid tillgodoser finansbranschaktörernas individuella eller särskilda behov.

Skäl 29 Key principles for ICT third-party risk management

Även om unionsrätten avseende finansiella tjänster omfattar vissa allmänna regler om utkontraktering är övervakningen av avtalsdimensionen inte helt förankrad i unionsrätten. Tydliga och skräddarsydda unionsstandarder som är tillämpliga på de kontraktsmässiga arrangemang som har ingåtts med tredjepartsleverantörer av IKT-tjänster saknas, och därmed hanteras inte den externa IKT-riskkällan på ett heltäckande sätt. Det är därför nödvändigt att fastställa vissa nyckelprinciper för att vägleda finansiella entiteters hantering av IKT-tredjepartsrisker, vilka är särskilt viktiga när finansiella entiteter använder tredjepartsleverantörer av IKT-tjänster för att stödja kritiska eller viktiga funktioner. Dessa principer bör åtföljas av en uppsättning grundläggande avtalsenliga rättigheter i samband med flera aspekter av fullgörandet och avslutandet av kontraktsmässiga arrangemang i syfte att tillhandahålla vissa minimiskyddsåtgärder för att stärka finansiella entiteters förmåga att effektivt övervaka alla IKT-risker som uppstår på tredjepartstjänsteleverantörsnivå. De principerna kompletterar den sektorsrätt som är tillämplig på utkontraktering.

Skäl 30 Lack of homogeneity in monitoring ICT third-party dependencies

Det är i dagsläget uppenbart att det råder en viss brist på homogenitet och konvergens vad gäller övervakningen av IKT-tredjepartsrisker och beroende av IKT-tredjeparter. Trots ansträngningarna för att hantera utkontraktering, t.ex. EBA:s riktlinjer för utkontraktering från 2019 och Esmas riktlinjer för utkontraktering till molntjänstleverantörer från 2021, behandlas den större frågan om att motverka systemrisker som kan utlösas av finanssektorns exponering mot ett begränsat antal kritiska tredjepartsleverantörer av IKT-tjänster inte i tillräcklig utsträckning i unionsrätten. Denna avsaknad av regler på unionsnivå förvärras av att det inte finns några nationella regler för mandat och verktyg som gör det möjligt för finansiella tillsynsmyndigheter att skaffa sig en god bild av beroendet av IKT-tredjeparter och att på lämpligt sätt övervaka risker som uppstår till följd av koncentration av beroenden av IKT-tredjeparter.

Skäl 35 Definition of ICT services and exclusion of traditional telephone services

För att upprätthålla en hög nivå av digital operativ motståndskraft i hela den finansiella sektorn, och samtidigt hålla jämna steg med den tekniska utvecklingen, bör denna förordning hantera de risker som härrör från alla typer av IKT-tjänster. I det syftet bör definitionen av IKT-tjänster inom ramen för denna förordning ges en vid tolkning för att omfatta digitala tjänster och datatjänster som tillhandahålls fortlöpande genom IKT-system till en eller flera interna eller externa användare. Den definitionen bör till exempel omfatta s.k. over-the-top-tjänster, som omfattas av kategorin elektroniska kommunikationstjänster. Den bör endast utesluta den begränsade kategori av traditionella analoga telefonitjänster som räknas som tjänster inom det allmänna telefonnätet (PSTN), tjänster inom fasta nät, konventionella telefontjänster (POTS) eller telefonitjänster inom fasta nät.

Skäl 62 Guiding rules for monitoring ICT third-party risk

För att säkerställa en sund övervakning av IKT-tredjepartsrisk i den finansiella sektorn är det nödvändigt att fastställa en uppsättning principbaserade regler för att vägleda finansiella entiteter vid övervakning av risker som uppstår i samband med funktioner som utkontrakterats till tredjepartsleverantörer av IKT-tjänster, särskilt för IKT-tjänster som stöder kritiska eller viktiga funktioner, liksom mer allmänt inom ramen för alla IKT-tredjepartsberoenden.

Skäl 63 Wide range of ICT third-party service providers

För att hantera komplexiteten i de olika källorna till IKT-risk, och samtidigt ta hänsyn till den mångfald av leverantörer av tekniska lösningar som möjliggör ett smidigt tillhandahållande av finansiella tjänster, bör denna förordning omfatta många olika tredjepartsleverantörer av IKT-tjänster, inbegripet leverantörer av molntjänster, programvara, dataanalystjänster och leverantörer av datacentraltjänster. Eftersom finansiella entiteter effektivt och konsekvent bör identifiera och hantera alla typer av risker, inbegripet i samband med IKT-tjänster som tillhandahålls inom en finansiell koncern, bör det på samma sätt klargöras att företag som ingår i en finansiell koncern och som tillhandahåller IKT-tjänster främst till sitt moderföretag, eller till dess dotterbolag eller filialer, liksom finansiella entiteter som tillhandahåller IKT-tjänster till andra finansiella entiteter, också bör betraktas som tredjepartsleverantörer av IKT-tjänster enligt denna förordning. Slutligen bör, mot bakgrund av att marknaden för betaltjänster blir mer och mer beroende av komplexa tekniska lösningar, och med beaktande av framväxande typer av betaltjänster och betalningsrelaterade lösningar, deltagare i ekosystemet för betaltjänster som tillhandahåller betalningshanteringstjänster, eller som driver betalningsinfrastrukturer, också anses som tredjepartsleverantörer av IKT-tjänster enligt denna förordning, med undantag för centralbankers hantering av betalningssystem eller system för värdepappersavveckling, samt offentliga myndigheters tillhandahållande av IKT-relaterade tjänster vid uppfyllandet av statliga funktioner.

Skäl 64 Financial entities remain fully responsible

En finansiell entitet bör alltid ha det fulla ansvaret för att uppfylla sina skyldigheter enligt denna förordning. Finansiella entiteter bör tillämpa ett proportionellt tillvägagångssätt vid övervakningen av de risker som uppstår hos tredjepartsleverantörer av IKT-tjänster, genom att vederbörlig hänsyn tas till karaktären på och omfattningen av, komplexiteten hos och betydelsen av sina IKT-relaterade beroenden, kritikaliteten hos eller betydelsen av de tjänster, processer eller funktioner som omfattas av de kontraktsmässiga arrangemangen och, i förlängningen, på grundval av en noggrann bedömning av eventuella effekter på kontinuiteten och kvaliteten hos finansiella tjänster på individuell nivå och koncernnivå, beroende på vad som är lämpligt.

Skäl 65 Register of information with contractual arrangements

Denna övervakning bör följa ett strategiskt tillvägagångssätt för IKT-tredjepartsrisker som inrättas formellt genom att den finansiella entitetens ledningsorgan antar en särskild strategi för IKT-tredjepartsrisker som bygger på en kontinuerlig granskning av alla beroenden av IKT-tredjeparter. För att öka tillsynsmyndigheternas medvetenhet om beroenden av IKT-tredjeparter och ytterligare stödja arbetet i samband med den tillsynsram som inrättas genom denna förordning, bör alla finansiella entiteter ha skyldighet att upprätthålla ett informationsregister med alla kontraktsmässiga arrangemang som rör användningen av IKT-tjänster som tillhandahålls av tredjepartsleverantörer av IKT-tjänster. Finansiella tillsynsmyndigheter bör kunna begära tillgång till hela registret eller be om särskilda avsnitt av registret, och därigenom få viktig information för en bredare förståelse av finansiella entiteters IKT-relaterade beroenden.

Skäl 66 Thorough pre-contracting analysis for ICT third-party services

En grundlig förhandsanalys bör underbygga och föregå formellt ingående av kontraktsmässiga arrangemang, särskilt genom fokusering på inslag som kritikalitet eller betydelse av de tjänster som understöds av det planerade IKT-kontraktet, nödvändiga godkännanden från tillsynsmyndigheter eller andra villkor, den eventuella koncentrationsrisk som detta medför, liksom due diligence-granskning i förfarandet för urval och bedömning av tredjepartsleverantörer av IKT-tjänster och bedömning av potentiella intressekonflikter. Vad gäller kontraktsmässiga arrangemang rörande kritiska eller viktiga funktioner bör finansiella entiteter beakta tredjepartsleverantörer av IKT-tjänsters användning av de senaste och högsta standarderna för informationssäkerhet. Uppsägning av kontraktsmässiga arrangemang kan föranledas av åtminstone ett antal omständigheter som visar på brister hos tredjepartsleverantören av IKT-tjänster, särskilt betydande överträdelser av lagar eller avtalsvillkor, omständigheter som påvisar en potentiell förändring av prestandan i de funktioner som avses i de kontraktsmässiga arrangemangen, bevis på svagheter hos tredjepartsleverantören av IKT-tjänster i den övergripande hanteringen av IKT-risk, eller omständigheter som tyder på att den berörda behöriga myndigheten inte har förmåga att effektivt övervaka den finansiella entiteten.

Skäl 74 Exit strategies and resolution resilience

Sådana kontraktsmässiga arrangemang bör också innehålla särskilda exitstrategier som i synnerhet möjliggör obligatoriska övergångsperioder under vilka tredjepartsleverantörer av IKT-tjänster bör fortsätta att tillhandahålla relevanta tjänster för att minska risken för avbrott på finansiell enhetsnivå eller göra det möjligt för den finansiella entiteten att på ett effektivt sätt byta till andra tredjepartsleverantörer av IKT-tjänster, eller byta till interna lösningar som är förenliga med den tillhandahållna IKT- tjänstens komplexitet. Dessutom bör finansiella entiteter som omfattas av direktiv 2014/59/EU säkerställa att relevanta avtal för IKT-tjänster är solida och kan hävdas i händelse av resolution av finansiella entiteter. I linje med resolutionsmyndigheternas förväntningar bör dessa finansiella entiteter därför säkerställa att relevanta avtal för IKT-tjänster är motståndskraftiga mot resolution. Så länge de fortsätter att uppfylla sina betalningsskyldigheter bör dessa finansiella entiteter bland annat säkerställa att relevanta avtal för IKT-tjänster innehåller klausuler om att de inte får sägas upp, inte får upphävas tillfälligt och inte ändras på grund av omstrukturering eller resolution.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.