Art. 8 Avtalsklausuler | RTS on ICT third-party service provider policy | DORA

1. I riktlinjerna ska det anges att det relevanta kontraktsmässiga arrangemanget ska vara skriftligt och omfatta alla de delar som avses i artikel 30.2 och 30.3 i förordning (EU) 2022/2554. Riktlinjerna ska också innehålla uppgifter om de krav som avses i artikel 1.1 a i förordning (EU) 2022/2554 samt, i förekommande fall, annan relevant unionsrätt och nationell rätt.
1. I riktlinjerna ska det anges att de relevanta kontraktsmässiga arrangemangen ska omfatta den finansiella entitetens rätt att få tillgång till information, att utföra inspektioner och revisioner och att utföra IKT-tester. För detta ändamål ska riktlinjerna kräva att den finansiella entiteten använder följande metoder, utan att det påverkar den finansiella entitetens slutliga ansvar:
  1. Sin egen internrevision eller en revision utförd av en utsedd tredje part.
  2. I förekommande fall, gemensamma revisioner och gemensamma IKT-tester, inbegripet hotbildsstyrd penetrationstestningen ram som efterliknar den taktik, teknik och de förfaranden som används av verkliga fientliga aktörer, som uppfattas som ett genuint cyberhot och som ger ett kontrollerat, skräddarsytt, underrättelsestyrt (rött lag) test av de kritiska produktionssystem som är i drift hos den finansiella entiteten., som anordnas tillsammans med andra upphandlande finansiella entiteter eller företag som använder IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. från samma tredjepartsleverantör och som utförs av dessa upphandlande finansiella entiteter eller företag eller av en tredje part som utsetts av dem.
  3. I tillämpliga fall, tredjepartscertifieringar.
  4. I tillämpliga fall, internrevisionsrapporter eller tredjepartsrevisionsrapporter som tillhandahållits av tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster..
1. Den finansiella entiteten ska över tid inte enbart förlita sig på certifieringar som avses i punkt 2 c eller revisionsrapporter som avses i punkt 2 d. Riktlinjerna ska endast tillåta användning av de metoder som avses i punkt 2 c och d om den finansiella entiteten
  1. är nöjd med revisionsplanen från tredjepartsleverantören av IKT-tjänsterdigitala tjänster och datatjänster som fortlöpande tillhandahålls genom IKT-system till en eller flera interna eller externa användare, inbegripet maskinvara som tjänst och maskinvarutjänster som inbegriper tillhandahållande av teknisk support genom uppdateringar av programvara eller fast programvara från maskinvaruleverantören, ej inbegripet traditionella analoga telefontjänster. för de relevanta kontraktsmässiga arrangemangen,
  2. säkerställer att certifieringarnas eller revisionsrapporternas omfattning inbegriper de system och grundläggande kontroller som den har identifierat och säkerställer överensstämmelse med relevanta lagstadgade krav,
  3. noggrant utvärderar innehållet i certifieringarna eller revisionsrapporterna och kontrollerar att rapporterna eller certifieringarna inte är föråldrade,
  4. säkerställer att viktiga system och kontroller omfattas av framtida versioner av certifieringen eller revisionsrapporten,
  5. är nöjd med den certifierande eller reviderande partens lämplighet,
  6. är övertygat om att certifieringarna utfärdas och att revisionerna utförs mot allmänt erkända relevanta yrkesstandarder och inbegriper ett test av den operativa effektiviteten hos de grundläggande kontrollerna.
  7. har avtalsenlig rätt att, med en frekvens som är rimlig och berättigad ur ett riskhanteringsperspektiv, begära ändringar av certifieringarnas eller revisionsrapporternas omfattning till andra relevanta system och kontroller,
  8. har avtalsenlig rätt att utföra enskilda och gemensamma revisioner efter eget gottfinnande med avseende på de kontraktsmässiga arrangemangen och verkställa dessa rättigheter i linje med den överenskomna frekvensen.
1. Riktlinjerna ska säkerställa att väsentliga ändringar av det kontraktsmässiga arrangemanget formaliseras i en skriftlig handling som dateras och undertecknas av alla parter och ska specificera förnyelseförfarandet för de kontraktsmässiga arrangemangen.