Beta

Source: OJ L, 2024/1773, 25.6.2024

Current language: SV

Artikel 6 Due diligence

    1. Riktlinjerna ska fastställa en lämplig och proportionell process för att välja och bedöma de potentiella tredjepartsleverantörerna av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. med beaktande av huruvida tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. är en koncernintern IKT-tjänsteleverantörett företag som ingår i en finansiell koncern och som huvudsakligen tillhandahåller IKT-tjänster till finansiella entiteter inom samma koncern eller till finansiella entiteter som tillhör samma institutionella skyddssystem, inbegripet till deras moderföretag, dotterföretag, filialer eller andra entiteter som står under samma ägarskap eller kontroll. eller inte, och ska kräva att den finansiella entiteten, innan den ingår ett kontraktsmässigt arrangemang, bedömer huruvida tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster.

      1. har affärsmässigt anseende, tillräckliga förmågor, sakkunskap och tillräckliga ekonomiska, mänskliga och tekniska resurser, standarder för informationssäkerhet, lämplig organisationsstruktur, riskhantering och interna kontroller och, i tillämpliga fall, de tillstånd eller registreringar som krävs för att tillhandahålla IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som stöder den kritiska eller viktiga funktionen på ett tillförlitligt och professionellt sätt,

      2. har förmåga att övervaka relevant teknisk utveckling och identifiera ledande metoder på IKT-säkerhetsområdet och genomföra dem när så är lämpligt för att ha en effektiv och sund ram för digital operativ motståndskraften finansiell entitets förmåga att bygga upp, säkerställa och se över sin operativa integritet och tillförlitlighet genom att, direkt eller indirekt, med användning av tjänster från tredjepartsleverantörer av IKT-tjänster, säkerställa hela skalan av IKT-relaterad kapacitet som behövs för att hantera säkerheten i de nätverks- och informationssystem som en finansiell entitet använder och som stöder ett fortlöpande tillhandahållande av finansiella tjänster och deras kvalitet, inbegripet under avbrott.,

      3. använder eller avser att använda IKT-underleverantörer för att utföra IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som stöder kritiska eller viktiga funktioner eller väsentliga delar av dessa,

      4. är belägen, eller behandlar eller lagrar uppgifterna i ett tredjeland och, om så är fallet, huruvida denna praxis påverkar nivån av operativa risker eller anseenderisker eller risken för att påverkas av restriktiva åtgärder, inbegripet embargon och sanktioner, som kan påverka tredjepartsleverantörens förmåga att tillhandahålla IKT-tjänsterna eller den finansiella entitetens förmåga att ta emot dessa IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster.,

      5. samtycker till kontraktsmässiga arrangemang som säkerställer att det är möjligt att utföra revisioner hos tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster., även på plats, av den finansiella entiteten själv, utsedda tredje parter och behöriga myndigheter,

      6. handlar på ett etiskt och socialt ansvarsfullt sätt, respekterar mänskliga rättigheter och barns rättigheter, inbegripet förbud mot barnarbete, respekterar tillämpliga principer om miljöskydd och säkerställer lämpliga arbetsvillkor.

    1. Riktlinjerna ska specificera den erforderliga säkerhetsnivå när det gäller effektiviteten hos tredjepartsleverantörers riskhanteringsram för IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. som stöder kritiska eller viktiga funktioner som ska tillhandahållas av en tredjepartsleverantör av IKT-tjänsterett företag som tillhandahåller IKT-tjänster.. Riktlinjerna ska innehålla krav på att förfarandet för due diligence omfattar en bedömning av förekomsten av riskreducerande åtgärder och åtgärder för driftskontinuitet och av hur de säkerställs inom tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster..

    1. Riktlinjerna ska fastställa förfarandet för due diligence vid val och bedömning av potentiella tredjepartsleverantörer av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. och ange vilka av följande faktorer som ska användas för den erforderliga försäkran om tredjepartsleverantörens prestanda:

      1. Revisioner eller oberoende bedömningar som utförs av den finansiella entiteten själv eller för dess räkning,

      2. Användning av oberoende revisionsrapporter på begäran av tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster..

      3. Användning av revisionsrapporter från tredjepartsleverantörens internrevisionsfunktion.

      4. Användning av lämpliga tredjepartscertifieringar.

      5. Användning av annan relevant information som är tillgänglig för den finansiella entiteten eller annan information som tillhandahålls av tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster..

    1. Finansiella entiteter ska säkerställa en lämplig säkerhetsnivå för tredjepartsleverantörens prestanda, med beaktande av de faktorer som anges i punkt 3 a–e. I förekommande fall ska fler än en av de delar som förtecknas i dessa punkter användas.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod