Art. 8 Avtalsklausuler | RTS on ICT third-party service provider policy | DORA

1. I riktlinjerna ska det anges att det relevanta kontraktsmässiga arrangemanget ska vara skriftligt och omfatta alla de delar som avses i artikel 30.2 och 30.3 i förordning (EU) 2022/2554. Riktlinjerna ska också innehålla uppgifter om de krav som avses i artikel 1.1 a i förordning (EU) 2022/2554 samt, i förekommande fall, annan relevant unionsrätt och nationell rätt.
1. I riktlinjerna ska det anges att de relevanta kontraktsmässiga arrangemangen ska omfatta den finansiella entitetens rätt att få tillgång till information, att utföra inspektioner och revisioner och att utföra IKT-tester. För detta ändamål ska riktlinjerna kräva att den finansiella entiteten använder följande metoder, utan att det påverkar den finansiella entitetens slutliga ansvar:
  1. Sin egen internrevision eller en revision utförd av en utsedd tredje part.
  2. I förekommande fall, gemensamma revisioner och gemensamma IKT-tester, inbegripet hotbildsstyrd penetrationstestning, som anordnas tillsammans med andra upphandlande finansiella entiteter eller företag som använder IKT-tjänster från samma tredjepartsleverantör och som utförs av dessa upphandlande finansiella entiteter eller företag eller av en tredje part som utsetts av dem.
  3. I tillämpliga fall, tredjepartscertifieringar.
  4. I tillämpliga fall, internrevisionsrapporter eller tredjepartsrevisionsrapporter som tillhandahållits av tredjepartsleverantören av IKT-tjänster.
1. Den finansiella entiteten ska över tid inte enbart förlita sig på certifieringar som avses i punkt 2 c eller revisionsrapporter som avses i punkt 2 d. Riktlinjerna ska endast tillåta användning av de metoder som avses i punkt 2 c och d om den finansiella entiteten
  1. är nöjd med revisionsplanen från tredjepartsleverantören av IKT-tjänster för de relevanta kontraktsmässiga arrangemangen,
  2. säkerställer att certifieringarnas eller revisionsrapporternas omfattning inbegriper de system och grundläggande kontroller som den har identifierat och säkerställer överensstämmelse med relevanta lagstadgade krav,
  3. noggrant utvärderar innehållet i certifieringarna eller revisionsrapporterna och kontrollerar att rapporterna eller certifieringarna inte är föråldrade,
  4. säkerställer att viktiga system och kontroller omfattas av framtida versioner av certifieringen eller revisionsrapporten,
  5. är nöjd med den certifierande eller reviderande partens lämplighet,
  6. är övertygat om att certifieringarna utfärdas och att revisionerna utförs mot allmänt erkända relevanta yrkesstandarder och inbegriper ett test av den operativa effektiviteten hos de grundläggande kontrollerna.
  7. har avtalsenlig rätt att, med en frekvens som är rimlig och berättigad ur ett riskhanteringsperspektiv, begära ändringar av certifieringarnas eller revisionsrapporternas omfattning till andra relevanta system och kontroller,
  8. har avtalsenlig rätt att utföra enskilda och gemensamma revisioner efter eget gottfinnande med avseende på de kontraktsmässiga arrangemangen och verkställa dessa rättigheter i linje med den överenskomna frekvensen.
1. Riktlinjerna ska säkerställa att väsentliga ändringar av det kontraktsmässiga arrangemanget formaliseras i en skriftlig handling som dateras och undertecknas av alla parter och ska specificera förnyelseförfarandet för de kontraktsmässiga arrangemangen.