Preamble Recitals

Tillhandahållandet av IKT-tjänster till finansiella entiteter är ofta beroende av en komplex kedja av IKT-underleverantörer, där tredjepartsleverantörer av IKT-tjänster kan ingå ett eller flera underentreprenadsavtal med andra tredjepartsleverantörer av IKT-tjänster. Ett indirekt beroende av IKT-underleverantörer kan påverka en finansiell entitets förmåga att identifiera, bedöma och hantera sina risker, inbegripet risker som beror på brister i den information som lämnas av tredjepartsleverantörer av IKT-tjänster och på en finansiell entitets begränsade förmåga att inhämta information från IKT-underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav. I fall där tillhandahållandet av IKT-tjänster till finansiella entiteter är beroende av en potentiellt lång eller komplex kedja av IKT-underleverantörer är det därför viktigt att finansiella entiteter identifierar hela kedjan av underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner.

När det gäller underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner bör finansiella entiteter specifikt och kontinuerligt fokusera på underleverantörer som är helt nödvändiga för de IKT-tjänster som stöder kritiska eller viktiga funktioner, vilket innefattar alla underleverantörer av IKT-tjänster som om de avbryts försämrar säkerheten eller kontinuiteten hos den tjänst som fastställs i det register med information som avses i artikel 28.3 i förordning (EU) 2022/2554.

Finansiella entiteter varierar avsevärt i fråga om storlek, struktur och intern organisation och när det gäller verksamhetens karaktär och komplexitet. För att säkerställa proportionalitet bör dessa olikheter beaktas när det specificeras vilka delar en finansiell entitet bör fastställa och bedöma när den lägger ut IKT-tjänster som stöder kritiska eller viktiga funktioner på underleverantörer.

Om finansiella entiteter ger tredjepartsleverantörer av IKT-tjänster tillstånd att i enlighet med artikel 30.2 i förordning (EU) 2022/2554 lägga ut IKT-tjänster som stöder kritiska eller viktiga funktioner på underentreprenad är det likväl de finansiella entiteternas ledningsorgan som är ytterst ansvariga för att hantera sina risker och fullgöra sina skyldigheter enligt lagar och andra författningar. I fall där utläggning av IKT-tjänster som stöder kritiska eller viktiga funktioner på underentreprenad tillåts är det viktigt att de finansiella entiteterna har en tydlig och heltäckande bild av de risker som är förknippade med utläggning av tjänster som stöder kritiska eller viktiga funktioner på underentreprenad, så att de kan övervaka, hantera och minska dessa risker. De bör därför göra en bedömning av dessa risker innan tjänsterna läggs ut på underentreprenad.

Koncerninterna underleverantörer av IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, inbegripet koncerninterna underleverantörer som ägs helt eller gemensamt av finansiella entiteter som tillhör samma institutionella skyddssystem, bör betraktas som IKT-underleverantörer.

När det gäller koncerner bör de finansiella entiteternas moderföretag i tillämpliga fall säkerställa att riktlinjerna för anlitande av IKT-underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, tillämpas på ett konsekvent och sammanhållet sätt inom koncernen.

Det är viktigt att säkerställa en heltäckande hantering av de risker som kan uppstå när IKT-tjänster som stöder kritiska eller viktiga funktioner läggs ut på underentreprenad. Finansiella entiteter bör därför följa stegen i livscykeln för kontraktsmässiga arrangemang avseende användning av IKT-tjänster som stöder dessa funktioner och som tillhandahålls av tredjepartsleverantörer av IKT-tjänster, inbegripet för underentreprenadsavtal. Det är därför nödvändigt att fastställa krav för finansiella entiteter som bör återspeglas i deras kontraktsmässiga arrangemang med tredjepartsleverantörer av IKT-tjänster i fall där utläggning av IKT-tjänster som stöder kritiska eller viktiga funktioner på underentreprenad tillåts.

För att minska de risker som är förknippade med utläggning på underentreprenad är det nödvändigt att närmare ange på vilka villkor tredjepartsleverantörer av IKT-tjänster får anlita underleverantörer för att tillhandahålla IKT-tjänster som stöder kritiska eller viktiga funktioner. Kontraktsmässiga arrangemang avseende IKT-tjänster mellan finansiella entiteter och tredjepartsleverantörer av IKT-tjänster bör därför innehålla sådana villkor, till exempel om planer på underentreprenad, riskbedömningar, due diligence-granskning och godkännandeprocess för nya underentreprenadsavtal avseende IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, eller väsentliga ändringar av befintliga underentreprenadsavtal som görs av tredjepartsleverantören av IKT-tjänster.

För att, innan en finansiell entitet ingår ett avtal med en IKT-underleverantör, identifiera vilka risker som kan uppstå bör tredjepartsleverantörer av IKT-tjänster göra en lämplig och proportionell bedömning av lämpligheten hos potentiella underleverantörer på grundval av de kontraktsmässiga arrangemang om IKT-tjänster som tredjepartsleverantören av IKT-tjänster har ingått med den finansiella entiteten. Enligt dessa kontraktsmässiga arrangemang avseende IKT-tjänster bör därför tredjepartsleverantören av IKT-tjänster eller den finansiella entiteten själv, beroende på vad som är lämpligt, vara skyldig att bedöma den potentiella underleverantörens resurser, inbegripet dess sakkunskap och om den har lämpliga ekonomiska, mänskliga och tekniska resurser, dess informationssäkerhet och organisationsstruktur, samt den riskhantering och de interna kontroller som underleverantören bör ha infört.

För att minska eventuella sårbarheter och hot som kan utgöra en risk för deras IKT-system och IKT-verksamhet bör finansiella entiteter kunna övervaka utförandet av IKT-tjänsten och informeras om alla relevanta förändringar inom IKT-underleverantörskedjan som rör kritiska eller viktiga funktioner.

För att göra det möjligt för finansiella entiteter att bedöma de risker som är förknippade med underentreprenadsavtal, eller väsentliga ändringar av dessa, bör tredjepartsleverantörer av IKT-tjänster informera finansiella entiteter som de tillhandahåller IKT-tjänster om alla nya avtal, eller ändringar av avtal, i god tid innan sådana avtal eller ändringar träder i kraft. Finansiella entiteter bör av samma skäl ha rätt att säga upp avtalet med tredjepartsleverantören av IKT-tjänster om deras riskbedömning visar att nya avtal eller väsentliga ändringar medför en risknivå som överstiger deras risktolerans.

De europeiska tillsynsmyndigheterna har genomfört öppna offentliga samråd om det förslag till tekniska tillsynsstandarder som denna förordning grundar sig på, analyserat de potentiella kostnaderna och fördelarna därav och begärt råd från de europeiska tillsynsmyndigheternas respektive intressentgrupper som inrättats i enlighet med artikel 37 i Europaparlamentets och rådets förordning (EU) nr 1093/2010(²)Europaparlamentets och rådets förordning (EU) nr 1093/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska bankmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/78/EG (EUT L 331, 15.12.2010, s. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., artikel 37 i Europaparlamentets och rådets förordning (EU) nr 1094/2010(³)Europaparlamentets och rådets förordning (EU) nr 1094/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska försäkrings- och tjänstepensionsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/79/EG (EUT L 331, 15.12.2010, s. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). och artikel 37 i Europaparlamentets och rådets förordning (EU) nr 1095/2010(⁴)Europaparlamentets och rådets förordning (EU) nr 1095/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska värdepappers- och marknadsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/77/EG (EUT L 331, 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj)..

Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725(⁵)Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). och avgav ett yttrande den 20 augusti 2024.