Source: OJ L 333, 27.12.2022, p. 1–79Current language: SV
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Artikel 29 Preliminär bedömning av IKT-koncentrationsrisker på entitetsnivå
När finansiella entiteter utför den identifiering och bedömning av risk som avses i artikel 28.4 c ska de även ta hänsyn till om det planerade ingåendet av ett kontraktsmässigt arrangemang avseende IKT-tjänster som stöder kritiska eller viktiga funktioner skulle leda till något av följande:
Avtal med en tredjepartsleverantör av IKT-tjänster som inte är lätt utbytbar.
Flera kontraktsmässiga arrangemang gällande tillhandahållande av IKT-tjänster som stöder kritiska eller viktiga funktioner med samma tredjepartsleverantör av IKT-tjänster eller med nära anknutna tredjepartsleverantörer av IKT-tjänster.
Finansiella entiteter ska väga fördelarna och kostnaderna med alternativa lösningar, t.ex. användning av olika tredjepartsleverantörer av IKT-tjänster, med hänsyn till om och hur planerade lösningar motsvarar de affärsbehov och mål som anges i deras strategi för digital motståndskraft.
Om de kontraktsmässiga arrangemangen om användning av IKT-tjänster som stöder kritiska eller viktiga funktioner inbegriper möjligheten att en tredjepartsleverantör av IKT-tjänster lägger ut IKT-tjänster som stöder kritisk eller viktig funktion på underentreprenad till andra tredjepartsleverantörer av IKT-tjänster, ska finansiella entiteter väga de fördelar och risker som kan uppstå i samband med en sådan underentreprenad, särskilt när det gäller en IKT-underleverantör som är etablerad i ett tredjeland.
Om de kontraktsmässiga arrangemangen gäller IKT-tjänster som stöder kritiska eller viktiga funktioner ska finansiella entiteter vederbörligen ta hänsyn till de insolvensrättsliga bestämmelser som skulle vara tillämpliga om IKT-tjänsteleverantören går i konkurs samt eventuella begränsningar som kan uppstå när det gäller skyndsam återställning av den finansiella entitetens data.
Om kontraktsmässiga arrangemang om användning av IKT-tjänster som stöder kritiska eller viktiga funktioner ingås med en tredjepartsleverantör av IKT-tjänster som är etablerad i ett tredjeland ska finansiella entiteter utöver de hänsynstaganden som avses i andra stycket även beakta överensstämmelsen med unionens dataskyddsregler och den faktiska efterlevnaden av rätten i det tredjelandet.
Om de kontraktsmässiga arrangemangen om användning av IKT-tjänster som stöder kritiska eller viktiga funktioner medger underentreprenad, ska finansiella entiteter bedöma om och hur potentiellt långa eller komplexa underentreprenadskedjor kan påverka deras förmåga att till fullo övervaka de avtalade funktionerna och den behöriga myndighetens förmåga att effektivt övervaka den finansiella entiteten i detta avseende.
Relevant recitals
Skäl 62 Guiding rules for monitoring ICT third-party risk
För att säkerställa en sund övervakning av IKT-tredjepartsrisk i den finansiella sektorn är det nödvändigt att fastställa en uppsättning principbaserade regler för att vägleda finansiella entiteter vid övervakning av risker som uppstår i samband med funktioner som utkontrakterats till tredjepartsleverantörer av IKT-tjänster, särskilt för IKT-tjänster som stöder kritiska eller viktiga funktioner, liksom mer allmänt inom ramen för alla IKT-tredjepartsberoenden.
Skäl 66 Thorough pre-contracting analysis for ICT third-party services
En grundlig förhandsanalys bör underbygga och föregå formellt ingående av kontraktsmässiga arrangemang, särskilt genom fokusering på inslag som kritikalitet eller betydelse av de tjänster som understöds av det planerade IKT-kontraktet, nödvändiga godkännanden från tillsynsmyndigheter eller andra villkor, den eventuella koncentrationsrisk som detta medför, liksom due diligence-granskning i förfarandet för urval och bedömning av tredjepartsleverantörer av IKT-tjänster och bedömning av potentiella intressekonflikter. Vad gäller kontraktsmässiga arrangemang rörande kritiska eller viktiga funktioner bör finansiella entiteter beakta tredjepartsleverantörer av IKT-tjänsters användning av de senaste och högsta standarderna för informationssäkerhet. Uppsägning av kontraktsmässiga arrangemang kan föranledas av åtminstone ett antal omständigheter som visar på brister hos tredjepartsleverantören av IKT-tjänster, särskilt betydande överträdelser av lagar eller avtalsvillkor, omständigheter som påvisar en potentiell förändring av prestandan i de funktioner som avses i de kontraktsmässiga arrangemangen, bevis på svagheter hos tredjepartsleverantören av IKT-tjänster i den övergripande hanteringen av IKT-risk, eller omständigheter som tyder på att den berörda behöriga myndigheten inte har förmåga att effektivt övervaka den finansiella entiteten.
Skäl 67 Gradual approach to ICT third-party concentration risk
För att hantera systemeffekterna av koncentrationsrisken för IKT-tredjeparter främjar denna förordning en balanserad lösning genom en flexibel och gradvis strategi för sådana koncentrationsrisker, eftersom införandet av strikta tak eller strikta begränsningar kan hindra företagens affärsverksamhet och begränsa avtalsfriheten. Finansiella entiteter bör göra en grundlig bedömning av sina planerade kontraktsmässiga arrangemang för att fastställa sannolikheten för att en sådan risk uppstår, bland annat genom djupgående analyser av underleverantörsavtal, särskilt när de ingås med tredjepartsleverantörer av IKT-tjänster som är etablerade i ett tredjeland. I detta skede, och i syfte att uppnå en rimlig balans mellan kravet på att bevara avtalsfriheten och kravet på att garantera finansiell stabilitet, anses det inte lämpligt att fastställa regler för strikta tak och gränser för exponeringar mot IKT-tredjeparter. I samband med översynsramen bör en ledande tillsynsmyndighet, som utsetts enligt denna förordning, med avseende på kritiska tredjepartsleverantörer av IKT-tjänster ägna särskild uppmärksamhet åt att fullt ut förstå omfattningen av ömsesidiga beroenden, upptäcka specifika fall där en hög koncentration av kritiska tredjepartsleverantörer av IKT-tjänster i unionen sannolikt kommer att sätta press på stabiliteten och integriteten i unionens finansiella system och upprätthålla en dialog med kritiska tredjepartsleverantörer av IKT-tjänster där denna specifika risk har identifierats.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.