Source: OJ L, 2025/532, 2.7.2025Current language: SV
- Digital operational resilience in the financial sector
ICT third-party service providers
- RTS on subcontracting ICT services
Artikel 1 Allmän riskprofil och komplexitet
Finansiella entiteter ska ta hänsyn till sin storlek och övergripande riskprofil samt karaktären på, omfattningen av och inslagen av ökad eller minskad komplexitet i sina tjänster, sin verksamhet och sina insatser, inbegripet aspekter som rör följande:
Typen av IKT-tjänster som stöder kritiska eller viktiga funktioner som omfattas av det kontraktsmässiga arrangemanget mellan den finansiella entiteten och tredjepartsleverantören av IKT-tjänster.
Typen av IKT-tjänster som omfattas av det kontraktsmässiga arrangemanget mellan tredjepartsleverantören av IKT-tjänster och dennes underleverantörer.
Platsen för den IKT-underleverantör som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, eller för dess moderföretag.
Längden och komplexiteten hos den kedja av underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, och som anlitas av tredjepartsleverantören av IKT-tjänster.
Beskaffenheten hos de uppgifter som delas med IKT-underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav.
Huruvida de IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, tillhandahålls av underleverantörer som är belägna i en medlemsstat eller i ett tredjeland, inbegripet den plats från vilken IKT-tjänsterna faktiskt tillhandahålls och den plats där uppgifterna i praktiken behandlas och lagras.
Huruvida de IKT-underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, tillhör samma koncern som den finansiella entitet till vilken dessa tjänster tillhandahålls.
Huruvida de IKT-underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, är auktoriserade, registrerade eller föremål för tillsyn eller övervakning av en behörig myndighet i en medlemsstat, eller omfattas av tillsynsramen enligt kapitel V avsnitt II i förordning (EU) 2022/2554.
Huruvida de tredjepartsleverantörer av IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, är auktoriserade, registrerade eller föremål för tillsyn eller övervakning av en tillsynsmyndighet i ett tredjeland.
Huruvida tillhandahållandet av IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, är koncentrerat till en enda underleverantör som anlitas av en tredjepartsleverantör av IKT-tjänster eller till ett litet antal sådana underleverantörer.
Huruvida utläggning av IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, på underentreprenad skulle påverka möjligheten att överföra dessa IKT-tjänster till en annan tredjepartsleverantör av IKT-tjänster.
Den potentiella inverkan av störningar på kontinuiteten och tillgången till de IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, som tillhandahålls av tredjepartsleverantören av IKT-tjänster när en underleverantör som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, anlitas.
Relevant recitals
Skäl 1 Importance of indentifying the overall chain of subcontractors
Tillhandahållandet av IKT-tjänster till finansiella entiteter är ofta beroende av en komplex kedja av IKT-underleverantörer, där tredjepartsleverantörer av IKT-tjänster kan ingå ett eller flera underentreprenadsavtal med andra tredjepartsleverantörer av IKT-tjänster. Ett indirekt beroende av IKT-underleverantörer kan påverka en finansiell entitets förmåga att identifiera, bedöma och hantera sina risker, inbegripet risker som beror på brister i den information som lämnas av tredjepartsleverantörer av IKT-tjänster och på en finansiell entitets begränsade förmåga att inhämta information från IKT-underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav. I fall där tillhandahållandet av IKT-tjänster till finansiella entiteter är beroende av en potentiellt lång eller komplex kedja av IKT-underleverantörer är det därför viktigt att finansiella entiteter identifierar hela kedjan av underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner.
Skäl 2 Focus on subcontractors that effectively underpin ICT services
När det gäller underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner bör finansiella entiteter specifikt och kontinuerligt fokusera på underleverantörer som är helt nödvändiga för de IKT-tjänster som stöder kritiska eller viktiga funktioner, vilket innefattar alla underleverantörer av IKT-tjänster som om de avbryts försämrar säkerheten eller kontinuiteten hos den tjänst som fastställs i det register med information som avses i artikel 28.3 i förordning (EU) 2022/2554.
Skäl 3 Principle of proportionality
Finansiella entiteter varierar avsevärt i fråga om storlek, struktur och intern organisation och när det gäller verksamhetens karaktär och komplexitet. För att säkerställa proportionalitet bör dessa olikheter beaktas när det specificeras vilka delar en finansiell entitet bör fastställa och bedöma när den lägger ut IKT-tjänster som stöder kritiska eller viktiga funktioner på underleverantörer.
Skäl 4 Clear and holistic view of risks associated with subcontracting
Om finansiella entiteter ger tredjepartsleverantörer av IKT-tjänster tillstånd att i enlighet med artikel 30.2 i förordning (EU) 2022/2554 lägga ut IKT-tjänster som stöder kritiska eller viktiga funktioner på underentreprenad är det likväl de finansiella entiteternas ledningsorgan som är ytterst ansvariga för att hantera sina risker och fullgöra sina skyldigheter enligt lagar och andra författningar. I fall där utläggning av IKT-tjänster som stöder kritiska eller viktiga funktioner på underentreprenad tillåts är det viktigt att de finansiella entiteterna har en tydlig och heltäckande bild av de risker som är förknippade med utläggning av tjänster som stöder kritiska eller viktiga funktioner på underentreprenad, så att de kan övervaka, hantera och minska dessa risker. De bör därför göra en bedömning av dessa risker innan tjänsterna läggs ut på underentreprenad.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.