ITS on register of information

I viss sektorsspecifik unionsrätt avseende finansiella tjänster finns krav för utkontraktering. Dessa krav har förtydligats ytterligare i riktlinjer från de europeiska tillsynsmyndigheterna. Enligt de riktlinjerna förväntas vissa finansiella entiteter, som en del i sin hantering av utkontrakteringsrisker, registrera viss information om sina utkontrakteringsarrangemang, i vissa fall även i form av register. De senaste åren har flera nationella behöriga myndigheter och ECB samlat in information från sådana register för att i sin tillsyn kontrollera att finansiella entiteter uppfyller utkontrakteringskraven. Utifrån de lärdomar som dragits från de europeiska tillsynsmyndigheternas och de behöriga myndigheternas olika insamlingar av uppgifter från utkontrakteringsregister de senaste åren bör standardmallarna utformas på ett teknikneutralt sätt med öppna tabeller med ett förbestämt antal kolumner och obegränsat antal rader. Dessutom bör standardmallarna vara kopplade till varandra genom olika koder, så att det bildas en relationsstruktur mellan mallarna.

När finansiella entiteter ska ta emot IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. från en tredjepartsleverantör av IKT-tjänsterett företag som tillhandahåller IKT-tjänster., dit även koncerninterna IKT-tjänsteleverantörer räknas, bör de ingå ett skriftligt avtal med denna tredjepartsleverantör av IKT-tjänsterett företag som tillhandahåller IKT-tjänster.. I koncerner kan koncerninterna IKT-tjänsteleverantörer ingå avtal med tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. utanför koncernen som ska utföra IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. för en eller flera finansiella entiteter som ingår i koncernen. För att hela leveranskedjan med IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. ska finnas med i informationsregistret bör de finansiella entiteter som för registret registrera information om avtalen både med koncerninterna IKT-tjänsteleverantörer och avtalen mellan de koncerninterna IKT-tjänsteleverantörerna och de tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. utanför koncernen som är underleverantörer. Informationsregistret bör därför innehålla en särskild mall för avstämning mellan koncerninterna avtal och avtal med tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som inte ingår i koncernen.

De IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som finansiella entiteter använder sig av kan potentiellt vara beroende av långa eller komplicerade kedjor med underleverantörer, som de finansiella entiteterna bör övervaka. De finansiella entiteterna bör göra en bedömning av riskerna som detta medför, bland annat riskerna med koncentration till ett fåtal tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster., när det gäller tredjepartsleverantörer som tillhandahåller IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som används för kritiska eller viktiga funktioner eller väsentliga delar av sådana funktioner, varvid en riskbaserad metod ska användas och proportionalitetsprincipen beaktas. För att kunna göra en sådan bedömning bör de finansiella entiteterna endast vara skyldiga att i informationsregistret föra in de underleverantörer som i praktiken behövs för de IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som används för kritiska eller viktiga funktioner eller väsentliga delar av sådana funktioner, vilket även omfattar alla underleverantörer som tillhandahåller IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som är av sådan betydelse att det skulle försämra säkerheten eller kontinuiteten i tjänsteutförandet om det blev avbrott i dem. När de finansiella entiteterna fastställer vilka dessa underleverantörer är bör de beakta kontinuiteten i verksamheten och i IKT-tjänsterna samt IKT-säkerhetsaspekter.

Ett informationsregister bör föras och uppdateras av finansiella entiteter, inbegripet när en finansiell entitet lägger ut all sin verksamhet på entreprenad till en annan entitet, eftersom upprätthållandet av informationsregistret bidrar till den finansiella entitetens operativa motståndskraft. Om en entitet agerar för en finansiell entitets räkning i all verksamhet som bedrivs av den finansiella entiteten (inbegripet IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster.), bör därför de direkta tredjepartsleverantörerna av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. till den entiteten registreras i de relevanta mallarna i den finansiella entitetens informationsregister. I sådana fall är entiteten endast registrerad som en entitet som för registret.

För att det ska gå att få insyn i avtalsarrangemangen, göra jämförelser mellan dem och fortlöpande övervaka dem bör fokus i informationsregistret ligga på de operativa kopplingarna mellan de finansiella entiteterna och tredjepartsleverantörerna av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster.. För att uppnå detta bör fyra koder användas i informationsregistret som kopplar ihop uppgifterna i de olika mallarna i informationsregistret med varandra: i) referensnumret på avtalet mellan den finansiella entitet som ingår avtalet och den direkta tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster., ii) lämpliga identifieringskoder för de finansiella entiteterna och tredjepartsleverantörerna av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster., iii) identifieringskod för funktionen och iv) typen av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster..

För att avtalsarrangemangen mellan finansiella entiteter och tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. ska kunna dokumenteras på lämpligt sätt enligt förordning (EU) 2022/2554 är det underförstått att tredjepartsleverantörerna av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. ska tillhandahålla ett identifieringsnummer som gör att de alltid kan identifieras korrekt av de finansiella entiteterna och de europeiska tillsynsmyndigheterna, tillsynsforumet och de behöriga myndigheterna när dessa utövar sina tillsynsbefogenheter, bland annat när de fastställer vilka tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som ska anses vara kritiska enligt artikel 31 i sagda förordning. För juridiska personer är LEI och EUID allmänt gångbara identifieringskoder internationellt och i Europa, som säkerställer att företag kan identifieras på ett konsekvent, unikt och pålitligt sätt. Alltså bör vid tillämpningen av den förordningen någon av dessa två identifieringskoder användas för identifiering av tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som är etablerade i unionen, och bör betraktas som information som är gemensam för alla kontraktsmässiga arrangemang, varvid tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som är etablerade i tredjeländer bör identifieras enbart med LEI. I mallarna för informationsregistret om tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. bör det vara obligatoriskt att ange information om någon av dessa två identifieringskoder för leverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som är juridiska personer, medan alternativa identifieringskoder kan användas för fysiska personer som agerar som leverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster..

Alla finansiella entiteter, även finansiella entiteter inom samma koncernen koncern enligt definitionen i artikel 2.11 i direktiv 2013/34/EU., har sin egen uppdelning av funktioner utifrån sina specifika affärsmodeller och interna organisation. För att det ska vara lättare att övervaka funktionerna bör det göras tydlig åtskillnad mellan de finansiella entiteternas funktioner och IKT-tjänsterna, och de finansiella entiteterna bör själva särskilja de aktuella funktionerna med hjälp av identifieringskoder för funktionerna på entitets- och koncernnivå.

För att informationsregistret ska kunna användas på entitets- undergrupps- och gruppnivå i alla finansiella entiteter inom samma koncernen koncern enligt definitionen i artikel 2.11 i direktiv 2013/34/EU. bör de finansiella entiteterna säkerställa att alla uppgifter i registret är korrekta och konsekventa. För att uppnå detta måste samma identifieringskoder användas inom koncernen, det vill säga avtalsreferensnumren, funktionsidentifieringskoden, LEI för de finansiella entiteterna och identiferingskoderna för tredjepartsleverantörerna av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster..

För att säkerställa konsekvens och harmonisering och undvika extraarbete med att behöva sammanställa uppgifter på nytt för redovisningsändamål bör databehandling och redovisningsaspekter övervägas när mallarna och kraven för dataelementen utarbetas. För att den information som rapporteras i informationsregistret ska kunna jämföras med information i annan lagstadgad eller statistisk redovisning bör de finansiella entiteterna följa principer för uppgiftskvalitet när du för och uppdaterar registret.

Denna förordning grundar sig på det förslag till tekniska genomförandestandarder som de europeiska tillsynsmyndigheterna har lämnat in till kommissionen.

De europeiska tillsynsmyndigheterna har genomfört öppna offentliga samråd om det förslag till tekniska standarder för genomförande som denna förordning grundar sig på, och de har analyserat de potentiella kostnaderna och fördelarna därav och begärt rådgivning från de europeiska tillsynsmyndigheternas olika intressentgrupper som inrättats i enlighet med artikel 37 i Europaparlamentets och rådets förordning (EU) nr 1093/2010(²)Europaparlamentets och rådets förordning (EU) nr 1093/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska bankmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/78/EG (EUT L 331, 15.12.2010, s. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., artikel 37 i Europaparlamentets och rådets förordning (EU) nr 1094/2010(³)Europaparlamentets och rådets förordning (EU) nr 1094/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska försäkrings- och tjänstepensionsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/79/EG (EUT L 331, 15.12.2010, s. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). och artikel 37 i Europaparlamentets och rådets förordning (EU) nr 1095/2010(⁴)Europaparlamentets och rådets förordning (EU) nr 1095/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska värdepappers- och marknadsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/77/EG (EUT L 331, 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj)..

Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725(⁵)Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj)..