RTS on harmonisation for oversight conduct

Den ledande tillsynsmyndigheten bör följa upp sina rekommendationer till kritiska tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. genom att övervaka deras efterlevnad. För att säkerställa en effektiv och ändamålsenlig övervakning av de åtgärder eller avhjälpande åtgärder som har genomförts av kritiska tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. med anledning av dessa rekommendationer bör den ledande tillsynsmyndigheten kunna begära in de rapporter som avses i artikel 35.1 c i förordning (EU) 2022/2554 i form av läges- och slutrapporter.

För den bedömning som anges i artikel 42.1 i förordning (EU) 2022/2554, enligt vilken den ledande tillsynsmyndigheten är skyldig att ta ställning till om den förklaring som lämnats av den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. är tillräcklig, bör underrättelsen från den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. till den ledande tillsynsmyndigheten om att den har för avsikt att följa mottagna rekommendationer kompletteras med en beskrivning av de åtgärder och avhjälpande åtgärder som har vidtagits för att minska de risker som beskrivs i rekommendationerna, tillsammans med deras respektive tidsfrister. En sådan förklaring bör ha formen av en åtgärdsplan.

Eftersom den ledande tillsynsmyndigheten förväntas bedöma underleverantörsavtal som ingåtts av den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. måste en mall utformas för tillhandahållandet av information om dessa avtal. Mallen bör ta hänsyn till att strukturen hos kritiska tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. skiljer sig från den hos finansiella entiteter.

När den ledande tillsynsmyndigheten har utfärdat rekommendationer till en kritisk tredjepartsleverantör av IKT-tjänsteren tredjepartsleverantör av IKT-tjänster som har klassificerats som kritisk i enlighet med artikel 31. och behöriga myndigheter har informerat relevanta finansiella entiteter om de risker som identifieras i rekommendationerna bör den ledande tillsynsmyndigheten övervaka och bedöma de åtgärder och avhjälpande åtgärder som genomförs av den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. för att följa rekommendationerna. Behöriga myndigheter bör övervaka och bedöma i vilken utsträckning finansiella entiteter är exponerade för de risker som identifieras i dessa rekommendationer. För att under utförandet av sina respektive uppgifter säkerställa lika konkurrensvillkor, i synnerhet när de risker som identifieras i rekommendationerna är allvarliga och gemensamma för ett stort antal finansiella entiteter i flera medlemsstater, bör behöriga myndigheter och den ledande tillsynsmyndigheten delge varandra alla relevanta resultat som är nödvändiga för utförandet av deras respektive uppgifter. Syftet med detta utbyte av information är att säkerställa att den ledande tillsynsmyndighetens återkoppling till den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. gällande de åtgärder och avhjälpande åtgärder som genomförs av den sistnämnda tar hänsyn till effekten på finansiella entiteters risker och att behöriga myndigheters tillsynsverksamhet beaktar den ledande tillsynsmyndighetens bedömning.

För att möjliggöra ett effektivt och ändamålsenligt utbyte av information bör behöriga myndigheter som ett led i sin tillsynsverksamhet bedöma i vilken utsträckning finansiella entiteter som står under deras tillsyn är exponerade för de risker som identifieras i rekommendationerna. Denna bedömning bör vara proportionell och riskbaserad. Den ledande tillsynsmyndigheten bör be behöriga myndigheter att få ta del av resultaten av denna bedömning i fall där de risker som identifieras i rekommendationerna är allvarliga och gemensamma för ett stort antal finansiella entiteter i flera medlemsstater. För att utnyttja behöriga myndigheters resurser på bästa sätt bör den ledande tillsynsmyndigheten, när den begär att få ta del av resultaten av denna bedömning, alltid ta hänsyn till att syftet är att bedöma de åtgärder och avhjälpande åtgärder som genomförts av kritiska tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster..

Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725(²)Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). och avgav ett yttrande den 22 juli 2024.

Denna förordning grundar sig på det förslag till tekniska tillsynsstandarder som de europeiska tillsynsmyndigheterna har överlämnat till kommissionen.

De europeiska tillsynsmyndigheternas gemensamma kommitté har genomfört öppna offentliga samråd om det förslag till tekniska tillsynsstandarder som denna förordning grundas på, gjort en analys av potentiella kostnader och fördelar samt begärt råd från den bankintressentgrupp som inrättats i enlighet med artikel 37 i Europaparlamentets och rådets förordning (EU) nr 1093/2010(³)Europaparlamentets och rådets förordning (EU) nr 1093/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska bankmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/78/EG (EUT L 331, 15.12.2010, s. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., den intressentgrupp för försäkring och återförsäkring och den intressentgrupp för tjänstepensioner som inrättats i enlighet med artikel 37 i Europaparlamentets och rådets förordning (EU) nr 1094/2010(⁴)Europaparlamentets och rådets förordning (EU) nr 1094/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska försäkrings- och tjänstepensionsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/79/EG (EUT L 331, 15.12.2010, s. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj)., samt den intressentgrupp för värdepapper och marknader som inrättats i enlighet med artikel 37 i Europaparlamentets och rådets förordning (EU) nr 1095/2010(⁵)Europaparlamentets och rådets förordning (EU) nr 1095/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska värdepappers- och marknadsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/77/EG (EUT L 331, 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj)..