Art. 6 Due diligence | RTS on ICT third-party service provider policy | DORA

1. Riktlinjerna ska fastställa en lämplig och proportionell process för att välja och bedöma de potentiella tredjepartsleverantörerna av IKT-tjänster med beaktande av huruvida tredjepartsleverantören av IKT-tjänster är en koncernintern IKT-tjänsteleverantör eller inte, och ska kräva att den finansiella entiteten, innan den ingår ett kontraktsmässigt arrangemang, bedömer huruvida tredjepartsleverantören av IKT-tjänster
  1. har affärsmässigt anseende, tillräckliga förmågor, sakkunskap och tillräckliga ekonomiska, mänskliga och tekniska resurser, standarder för informationssäkerhet, lämplig organisationsstruktur, riskhantering och interna kontroller och, i tillämpliga fall, de tillstånd eller registreringar som krävs för att tillhandahålla IKT-tjänster som stöder den kritiska eller viktiga funktionen på ett tillförlitligt och professionellt sätt,
  2. har förmåga att övervaka relevant teknisk utveckling och identifiera ledande metoder på IKT-säkerhetsområdet och genomföra dem när så är lämpligt för att ha en effektiv och sund ram för digital operativ motståndskraft,
  3. använder eller avser att använda IKT-underleverantörer för att utföra IKT-tjänster som stöder kritiska eller viktiga funktioner eller väsentliga delar av dessa,
  4. är belägen, eller behandlar eller lagrar uppgifterna i ett tredjeland och, om så är fallet, huruvida denna praxis påverkar nivån av operativa risker eller anseenderisker eller risken för att påverkas av restriktiva åtgärder, inbegripet embargon och sanktioner, som kan påverka tredjepartsleverantörens förmåga att tillhandahålla IKT-tjänsterna eller den finansiella entitetens förmåga att ta emot dessa IKT-tjänster,
  5. samtycker till kontraktsmässiga arrangemang som säkerställer att det är möjligt att utföra revisioner hos tredjepartsleverantören av IKT-tjänster, även på plats, av den finansiella entiteten själv, utsedda tredje parter och behöriga myndigheter,
  6. handlar på ett etiskt och socialt ansvarsfullt sätt, respekterar mänskliga rättigheter och barns rättigheter, inbegripet förbud mot barnarbete, respekterar tillämpliga principer om miljöskydd och säkerställer lämpliga arbetsvillkor.
1. Riktlinjerna ska specificera den erforderliga säkerhetsnivå när det gäller effektiviteten hos tredjepartsleverantörers riskhanteringsram för IKT-tjänster som stöder kritiska eller viktiga funktioner som ska tillhandahållas av en tredjepartsleverantör av IKT-tjänster. Riktlinjerna ska innehålla krav på att förfarandet för due diligence omfattar en bedömning av förekomsten av riskreducerande åtgärder och åtgärder för driftskontinuitet och av hur de säkerställs inom tredjepartsleverantören av IKT-tjänster.
1. Riktlinjerna ska fastställa förfarandet för due diligence vid val och bedömning av potentiella tredjepartsleverantörer av IKT-tjänster och ange vilka av följande faktorer som ska användas för den erforderliga försäkran om tredjepartsleverantörens prestanda:
  1. Revisioner eller oberoende bedömningar som utförs av den finansiella entiteten själv eller för dess räkning,
  2. Användning av oberoende revisionsrapporter på begäran av tredjepartsleverantören av IKT-tjänster.
  3. Användning av revisionsrapporter från tredjepartsleverantörens internrevisionsfunktion.
  4. Användning av lämpliga tredjepartscertifieringar.
  5. Användning av annan relevant information som är tillgänglig för den finansiella entiteten eller annan information som tillhandahålls av tredjepartsleverantören av IKT-tjänster.
1. Finansiella entiteter ska säkerställa en lämplig säkerhetsnivå för tredjepartsleverantörens prestanda, med beaktande av de faktorer som anges i punkt 3 a–e. I förekommande fall ska fler än en av de delar som förtecknas i dessa punkter användas.