Beta

Source: OJ L, 2025/532, 2.7.2025

Current language: SV

Artikel 3 Due diligence-granskning och riskbedömning vid anlitande av underleverantörer som stöder kritiska eller viktiga funktioner

    1. En finansiell entitet ska, innan den ingår ett kontraktsmässigt arrangemang med en tredjepartsleverantör av IKT-tjänsterett företag som tillhandahåller IKT-tjänster., besluta om denna tredjepartsleverantör av IKT-tjänsterett företag som tillhandahåller IKT-tjänster. ska få lägga ut en IKT-tjänst som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, på underentreprenad. Den finansiella entiteten ska endast ingå ett sådant kontraktsmässigt arrangemang efter att ha fastställt att alla följande villkor är uppfyllda:

      1. Due diligence-granskningen avseende tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. har säkerställt att denne kan välja och bedöma den operativa och finansiella förmågan hos potentiella IKT-underleverantörer att tillhandahålla IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, inbegripet genom att på den finansiella entitetens uppmaning delta i den testning av digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott. som avses i kapitel IV i förordning (EU) 2022/2554.

      2. Tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. kan identifiera alla underleverantörer som tillhandahåller IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, underrätta den finansiella entiteten om dessa underleverantörer och ge den finansiella entiteten all information som kan vara nödvändig för att bedöma villkoren i denna artikel.

      3. Tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. säkerställer att de kontraktsmässiga arrangemangen med underleverantörer som tillhandahåller IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, gör det möjligt för den finansiella entiteten att fullgöra sina egna skyldigheter enligt förordning (EU) 2022/2554 samt tillämplig unionslagstiftning och nationell lagstiftning.

      4. Underleverantören ger den finansiella entiteten och behöriga myndigheter och resolutionsmyndigheter samma kontraktsenliga tillgångs- och inspektionsrättigheter som de som ges tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster..

      5. Utan att det påverkar den finansiella entitetens yttersta ansvar att fullgöra sina skyldigheter enligt lagar och andra författningar har tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. själv tillräcklig förmåga, sakkunskap och tillräckliga ekonomiska, mänskliga och tekniska resurser för att övervaka IKT-risker på underleverantörsnivå, inbegripet genom att tillämpa lämpliga standarder för informationssäkerhet och ha en lämplig organisationsstruktur, riskhantering och interna kontroller, liksom incidentrapportering och incidenthantering.

      6. Den finansiella entiteten har tillräcklig förmåga, sakkunskap och tillräckliga ekonomiska, mänskliga och tekniska resurser för att övervaka IKT-risker rörande den tjänst som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, som har lagts ut på underentreprenad, till exempel genom att tillämpa lämpliga standarder för informationssäkerhet och ha en lämplig organisationsstruktur och riskhantering, incidenthantering, kontinuitetshantering och interna kontroller.

      7. Den finansiella entiteten har bedömt vilken inverkan det kan få på dess digitala operativa motståndskraft och finansiella sundhet om en underleverantör som tillhandahåller IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, inte skulle kunna fullgöra sina skyldigheter.

      8. Den finansiella entiteten har bedömt de risker som är förknippade med platsen för de potentiella underleverantörerna vad gäller de IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, som tillhandahålls av tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster..

      9. Den finansiella entiteten har bedömt IKT-koncentrationsrisker på entitetsnivå i enlighet med artikel 29 i förordning (EU) 2022/2554.

      10. Den finansiella entiteten har gjort en bedömning av om det finns några hinder för behöriga myndigheter, resolutionsmyndigheter eller den finansiella entiteten, inbegripet av den finansiella entiteten utsedda personer, att utöva revisions-, inspektions- och åtkomsträttigheter.

    1. Finansiella entiteter som anlitar tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster., vilka i sin tur lägger ut IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, på underentreprenad, ska regelbundet genomföra den riskbedömning som avses i punkt 1 f–j avseende tänkbara förändringar av verksamhetens förutsättningar, inbegripet förändringar i de affärsfunktioner som stöds av IKT-tjänsterna, i riskbedömningar som inbegriper IKT-hot, IKT-koncentrationsrisker och geopolitiska risker.

    1. Resultaten av den riskbedömning som deras tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. utför avseende sina underleverantörer när det gäller uppfyllandet av skyldigheterna i denna artikel ska inte begränsa det yttersta ansvaret hos finansiella entiteter att fullgöra sina skyldigheter enligt lagar och andra författningar i enlighet med förordning (EU) 2022/2554.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod