Art. 3 Due diligence-granskning och riskbedömning vid anlitande av underleverantörer som stöder kritiska eller viktiga funktioner | RTS on subcontracting ICT services | DORA

1. En finansiell entitet ska, innan den ingår ett kontraktsmässigt arrangemang med en tredjepartsleverantör av IKT-tjänster, besluta om denna tredjepartsleverantör av IKT-tjänster ska få lägga ut en IKT-tjänst som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, på underentreprenad. Den finansiella entiteten ska endast ingå ett sådant kontraktsmässigt arrangemang efter att ha fastställt att alla följande villkor är uppfyllda:
  1. Due diligence-granskningen avseende tredjepartsleverantören av IKT-tjänster har säkerställt att denne kan välja och bedöma den operativa och finansiella förmågan hos potentiella IKT-underleverantörer att tillhandahålla IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, inbegripet genom att på den finansiella entitetens uppmaning delta i den testning av digital operativ motståndskraft som avses i kapitel IV i förordning (EU) 2022/2554.
  2. Tredjepartsleverantören av IKT-tjänster kan identifiera alla underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, underrätta den finansiella entiteten om dessa underleverantörer och ge den finansiella entiteten all information som kan vara nödvändig för att bedöma villkoren i denna artikel.
  3. Tredjepartsleverantören av IKT-tjänster säkerställer att de kontraktsmässiga arrangemangen med underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, gör det möjligt för den finansiella entiteten att fullgöra sina egna skyldigheter enligt förordning (EU) 2022/2554 samt tillämplig unionslagstiftning och nationell lagstiftning.
  4. Underleverantören ger den finansiella entiteten och behöriga myndigheter och resolutionsmyndigheter samma kontraktsenliga tillgångs- och inspektionsrättigheter som de som ges tredjepartsleverantören av IKT-tjänster.
  5. Utan att det påverkar den finansiella entitetens yttersta ansvar att fullgöra sina skyldigheter enligt lagar och andra författningar har tredjepartsleverantören av IKT-tjänster själv tillräcklig förmåga, sakkunskap och tillräckliga ekonomiska, mänskliga och tekniska resurser för att övervaka IKT-risker på underleverantörsnivå, inbegripet genom att tillämpa lämpliga standarder för informationssäkerhet och ha en lämplig organisationsstruktur, riskhantering och interna kontroller, liksom incidentrapportering och incidenthantering.
  6. Den finansiella entiteten har tillräcklig förmåga, sakkunskap och tillräckliga ekonomiska, mänskliga och tekniska resurser för att övervaka IKT-risker rörande den tjänst som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, som har lagts ut på underentreprenad, till exempel genom att tillämpa lämpliga standarder för informationssäkerhet och ha en lämplig organisationsstruktur och riskhantering, incidenthantering, kontinuitetshantering och interna kontroller.
  7. Den finansiella entiteten har bedömt vilken inverkan det kan få på dess digitala operativa motståndskraft och finansiella sundhet om en underleverantör som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, inte skulle kunna fullgöra sina skyldigheter.
  8. Den finansiella entiteten har bedömt de risker som är förknippade med platsen för de potentiella underleverantörerna vad gäller de IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, som tillhandahålls av tredjepartsleverantören av IKT-tjänster.
  9. Den finansiella entiteten har bedömt IKT-koncentrationsrisker på entitetsnivå i enlighet med artikel 29 i förordning (EU) 2022/2554.
  10. Den finansiella entiteten har gjort en bedömning av om det finns några hinder för behöriga myndigheter, resolutionsmyndigheter eller den finansiella entiteten, inbegripet av den finansiella entiteten utsedda personer, att utöva revisions-, inspektions- och åtkomsträttigheter.
1. Finansiella entiteter som anlitar tredjepartsleverantörer av IKT-tjänster, vilka i sin tur lägger ut IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, på underentreprenad, ska regelbundet genomföra den riskbedömning som avses i punkt 1 f–j avseende tänkbara förändringar av verksamhetens förutsättningar, inbegripet förändringar i de affärsfunktioner som stöds av IKT-tjänsterna, i riskbedömningar som inbegriper IKT-hot, IKT-koncentrationsrisker och geopolitiska risker.
1. Resultaten av den riskbedömning som deras tredjepartsleverantörer av IKT-tjänster utför avseende sina underleverantörer när det gäller uppfyllandet av skyldigheterna i denna artikel ska inte begränsa det yttersta ansvaret hos finansiella entiteter att fullgöra sina skyldigheter enligt lagar och andra författningar i enlighet med förordning (EU) 2022/2554.

För att, innan en finansiell entitet ingår ett avtal med en IKT-underleverantör, identifiera vilka risker som kan uppstå bör tredjepartsleverantörer av IKT-tjänster göra en lämplig och proportionell bedömning av lämpligheten hos potentiella underleverantörer på grundval av de kontraktsmässiga arrangemang om IKT-tjänster som tredjepartsleverantören av IKT-tjänster har ingått med den finansiella entiteten. Enligt dessa kontraktsmässiga arrangemang avseende IKT-tjänster bör därför tredjepartsleverantören av IKT-tjänster eller den finansiella entiteten själv, beroende på vad som är lämpligt, vara skyldig att bedöma den potentiella underleverantörens resurser, inbegripet dess sakkunskap och om den har lämpliga ekonomiska, mänskliga och tekniska resurser, dess informationssäkerhet och organisationsstruktur, samt den riskhantering och de interna kontroller som underleverantören bör ha infört.

Artikel 3 Due diligence-granskning och riskbedömning vid anlitande av underleverantörer som stöder kritiska eller viktiga funktioner

Relevant recitals