Beta

Source: OJ L, 2025/295, 13.2.2025

Current language: SV

Artikel 2 Innehåll, struktur och format avseende den information som kritiska tredjepartsleverantörer av IKT-tjänster ska lämna in, offentliggöra eller rapportera

    1. Kritiska tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. ska på begäran ge den ledande tillsynsmyndigheten all information som denna myndighet behöver för att kunna fullgöra sina tillsynsuppgifter i enlighet med kraven i förordning (EU) 2022/2554.

    1. Den information som avses i punkt 1 omfattar bland annat följande:

      1. Information om avtal och kopior av avtalshandlingar mellan

        1. den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. och de finansiella entiteter som anges i artikel 2.1 i förordning (EU) 2022/2554,

        2. den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. och dess underleverantörer i syfte att visa den tekniska värdekedjan för de IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som tillhandahålls finansiella entiteter i unionen.

      2. Information om organisations- och koncernstruktur hos den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster., inbegripet identifiering av alla enheter som tillhör samma koncernen koncern enligt definitionen i artikel 2.11 i direktiv 2013/34/EU. och som direkt eller indirekt tillhandahåller IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. till finansiella entiteter i unionen.

      3. Information om de största aktieägarna, inbegripet deras struktur och geografiska spridning, om de

        1. ensamma eller tillsammans med sina anknutna enheter, innehar 25 % eller mer av kapitalet eller rösterna i den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster.,

        2. har rätt att utse eller avsätta en majoritet av ledamöterna i förvaltnings-, lednings- eller tillsynsorganet för den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster.,

        3. enligt ett avtal kontrollerar majoriteten av aktieägarnas eller medlemmarnas rösträtter i den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster..

      4. Information om den marknadsandel som den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. har per typ av tjänst på de relevanta marknader där den är verksam.

      5. Information om interna styrformer hos den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster., inbegripet regler för ansvar och ansvarsskyldighet.

      6. Mötesprotokoll från ledningsorganet för den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. och andra relevanta interna kommittéer som på något sätt behandlar verksamhet och risker avseende tredjepartsleverantörers IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som stöder funktioner hos finansiella entiteter inom unionen.

      7. Information om IKT-säkerheten hos den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster., inbegripet relevanta strategier, mål, riktlinjer, förfaranden, protokoll, processer, kontrollåtgärder för att skydda känsliga uppgifter, åtkomstkontroller, krypteringsmetoder, incidenthanteringsplaner och information om efterlevnad av alla relevanta bestämmelser och i förekommande fall nationella och internationella standarder.

      8. Information om tekniska och organisatoriska åtgärder för att säkerställa dataskydd och datasekretess för bland annat personuppgifter och andra uppgifter än personuppgifter, om genomförda kontrollåtgärder för att skydda känsliga uppgifter, om åtkomst, kontroller av krypteringsmetoder och plan för hantering av dataintrång, samt – när tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. i fråga om behandling av personuppgifter omfattas av lagstiftning i tredjeländer, inbegripet att tredjeländers myndigheter begär åtkomst – en förteckning över dessa länder och tillämplig lagstiftning.

      9. Information om de mekanismer som den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. erbjuder finansiella entiteter i unionen för dataportabilitet, tillämpningsportabilitet och interoperabilitet.

      10. Information om lokalisering av datacenter och IKT-produktionscenter som används för att tillhandahålla tjänster till de finansiella entiteterna, inbegripet en förteckning över alla relevanta lokaler och anläggningar som tillhör den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster., även utanför unionen.

      11. Information i fall där den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. tillhandahåller tjänster från tredjeländer, inbegripet information om relevanta rättsliga bestämmelser som är tillämpliga på personuppgifter och andra uppgifter än personuppgifter som behandlas av tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster..

      12. Information om åtgärder som vidtagits för att hantera risker som uppstår till följd av att den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. och dess underleverantörer från tredjeländer tillhandahåller IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster..

      13. Information om riskhanteringsram och ram för incidenthantering, inbegripet riktlinjer, förfaranden, verktyg, mekanismer och styrformer för den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. och dess underleverantörer, en förteckning över och en beskrivning av allvarliga incidenter med direkt eller indirekt inverkan på finansiella entiteter inom unionen, samt relevanta uppgifter för att fastställa incidentens betydelse för finansiella entiteter och bedöma eventuella gränsöverskridande konsekvenser.

      14. Information om ram för förändringshantering, inbegripet riktlinjer, förfaranden och kontroller för den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. och dess underleverantörer.

      15. Information om övergripande åtgärds- och återställningsram hos den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster., inbegripet kontinuitetsplaner och arrangemang och förfaranden i samband med dessa, policy för programvaruutvecklingens livscykel, åtgärds- och återställningsplaner och arrangemang och förfaranden i samband med dessa samt strategier och förfaranden för säkerhetskopiering.

      16. Information om prestandaövervakning, säkerhetsövervakning och incidentspårning samt information om rapporteringsmekanismer när det gäller tjänstekvalitet, incidenter och efterlevnad av överenskomna servicenivåavtal och servicenivåmål eller liknande arrangemang mellan kritiska tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. och finansiella entiteter i unionen.

      17. Information om ram för tredjepartsförvaltning av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. hos den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster., inbegripet strategier, riktlinjer, förfaranden, processer och kontroller, inbegripet uppgifter om den due diligence-granskning och riskbedömning som den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. gör av underleverantörer innan den ingår ett avtal med dem och för att övervaka avtalsförhållandet, vilka ska beakta alla relevanta IKT-risker och motpartsrisker.

      18. Utdrag från övervaknings- och skanningssystem hos den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. och dess underleverantörer som omfattar, men inte är begränsade till, nätverksövervakning, serverövervakning, applikationsövervakning, säkerhetsövervakning, sårbarhetsanalyser, logghantering, prestandaövervakning, incidenthantering och mätningar mot mål avseende tillförlitlighet, till exempel servicenivåmål.

      19. Utdrag från produktions-, förproduktions- och testsystem eller applikationer som den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. och dess underleverantörer använder för att direkt eller indirekt tillhandahålla tjänster till finansiella entiteter i unionen.

      20. Regelefterlevnadsrapporter och tillgängliga revisionsrapporter, samt alla relevanta revisionsiakttagelser, inbegripet revisioner som utförs av nationella myndigheter i och utanför unionen om samarbetsavtal med de relevanta myndigheterna föreskriver ett sådant informationsutbyte, eller certifieringar av den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. eller dess underleverantörer, inbegripet rapporter från interna och externa revisorer, certifieringar eller bedömningar av överensstämmelse med branschspecifika standarder. Detta omfattar information om alla typer av tillgängliga oberoende tester av motståndskraften hos IKT-systemen hos den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster., inbegripet alla typer av hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten. som utförs av tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster..

      21. Information om eventuella bedömningar som utförts av den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. på dess begäran eller för dess räkning gällande lämpligheten och integriteten hos personer som innehar nyckelpositioner hos den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster..

      22. Information om eventuell åtgärdsplan för att följa rekommendationer i enlighet med artikel 3 och relevant relaterad information för att bekräfta att avhjälpande åtgärder har genomförts.

      23. Information om tillgängliga utbildningsprogram för anställda och program för säkerhetsmedvetenhet, inbegripet, i förekommande fall, information om investeringar, resurser och metoder hos den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. för att utbilda personalen i hantering av känsliga finansiella uppgifter och upprätthållande av en hög säkerhetsnivå.

      24. Information om den verksamhet som bedrivs av den kritiska tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. och finansiella rapporter, inbegripet information om budget och resurser som rör IKT och säkerhet.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod