Preamble Recitals

Den ram för digital operativ motståndskraft för finanssektorn som inrättats genom förordning (EU) 2022/2554 kräver att finansiella entiteter fastställer vissa nyckelprinciper för att hantera IKT-tredjepartsrisker, vilka är av särskild betydelse när finansiella entiteter anlitar tredjepartsleverantörer av IKT-tjänster för att stödja sina kritiska eller viktiga funktioner.

Finansiella entiteter ska inom sin IKT-riskhanteringsram anta och regelbundet se över en strategi för IKT-tredjepartsrisker. Enligt artikel 28.2 i förordning (EU) 2022/2554 ska denna strategi omfatta riktlinjer för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner och som tillhandahålls av tredjepartsleverantörer av IKT-tjänster. De ska tillämpas individuellt och, i förekommande fall, på undergrupps- och gruppnivå.

Finansiella entiteter varierar mycket i storlek, struktur och intern organisation och i arten och komplexiteten av deras verksamhet och insatser. Det är nödvändigt att ta hänsyn till denna mångfald och samtidigt införa vissa grundläggande lagstadgade krav som är lämpliga för alla finansiella entiteter vid utarbetandet av riktlinjerna för kontraktsmässiga arrangemang om användning av IKT-tjänster som stöder kritiska eller viktiga funktioner som tillhandahålls av tredjepartsleverantörer av IKT-tjänster (riktlinjerna), och att säkerställa att dessa krav tillämpas på ett proportionellt sätt.

Om finansiella entiteter ingår i en koncern, bör det moderföretag som ansvarar för att upprätta finansiella rapporter på undergrupps- och gruppnivå därför säkerställa att riktlinjerna tillämpas på ett konsekvent och sammanhängande sätt inom koncernen.

Vid tillämpningen av riktlinjerna bör koncerninterna IKT-tjänsteleverantörer, inklusive de som helt eller kollektivt ägs av finansiella entiteter som tillhör samma institutionella skyddssystem, betraktas som tredjepartsleverantörer av IKT-tjänster. Riskerna för koncerninterna IKT-tjänsteleverantörer kan vara olika, men de krav som är tillämpliga på dem är desamma enligt förordning (EU) 2022/2554. På liknande sätt bör riktlinjerna gälla för underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner eller väsentliga delar därav till tredjepartsleverantörer av IKT-tjänster, där det finns en kedja av tredjepartsleverantörer av IKT-tjänster.

Ledningsorganets yttersta ansvar för att hantera en finansiell entitets IKT-risk är en övergripande princip som också är tillämplig på användningen av tredjepartsleverantörer av IKT-tjänster. Detta ansvar bör vidare omsättas i ledningsorganets kontinuerliga engagemang i kontroll och övervakning av IKT-riskhantering, inbegripet antagande och översyn, minst en gång per år, av riktlinjerna.

För att säkerställa lämplig rapportering till ledningsorganet bör riktlinjerna tydligt specificera och identifiera det interna ansvaret för godkännande, förvaltning, kontroll och dokumentation av kontraktsmässiga arrangemang om användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner och som tillhandahålls av tredjepartsleverantörer av IKT-tjänster (kontraktsmässiga arrangemang), inbegripet de IKT-tjänster som tillhandahålls enligt kontraktsmässiga arrangemang som avses i artikel 28.1 a i förordning (EU) 2022/2554.

För att ta hänsyn till alla möjliga risker som kan uppstå vid upphandling av IKT-tjänster som stöder kritiska eller viktiga funktioner, bör riktlinjernas struktur följa alla steg i varje huvudfas i livscykeln för kontraktsmässiga arrangemang med tredjepartsleverantörer.

För att minska de identifierade riskerna bör riktlinjerna specificera planeringen av kontraktsmässiga arrangemang, inbegripet riskbedömning, due diligence och godkännandeprocessen för nya eller väsentliga ändringar av dessa kontraktsmässiga arrangemang. För att hantera de risker som kan uppstå innan ett avtal ingås med en tredjepartsleverantör av IKT-tjänster, bör riktlinjerna ange en lämplig och proportionell process för att välja och bedöma lämpligheten hos potentiella tredjepartsleverantörer av IKT-tjänster och kräva att den finansiella entiteten tar hänsyn till en icke uttömmande lista över faktorer som tredjepartsleverantörerna av IKT-tjänster bör ha inrättat. Förteckningen bör innehålla uppgifter om tjänsteleverantörernas företagsanseende, deras ekonomiska, mänskliga och tekniska resurser, deras informationssäkerhet, deras organisationsstruktur, inbegripet riskhantering, och deras interna kontroller.

För att säkerställa en sund riskhantering i tillhandahållandet av IKT-tjänster som stöder kritiska eller viktiga funktioner från tredjepartsleverantörer av IKT-tjänster, bör riktlinjerna innehålla information om genomförande, övervakning och förvaltning av de kontraktsmässiga arrangemangen, inklusive på grupp- eller undergruppsnivå, där så är tillämpligt. Detta inbegriper krav på avtalsklausuler om ömsesidiga skyldigheter för de finansiella entiteterna och tredjepartsleverantörerna av IKT-tjänster, vilka bör fastställas skriftligen. För att säkerställa en effektiv tillsyn och främja motståndskraft vid förändringar i affärsmodellen eller affärsmiljön bör riktlinjerna säkerställa finansiella entiteters eller utsedda tredje parters och behöriga myndigheters rätt till inspektioner och tillgång till information och bör också ytterligare specificera exitstrategier och uppsägningsprocesser.

I den utsträckning personuppgifter behandlas av tredjepartsleverantörer av IKT-tjänster påverkar dessa riktlinjer och eventuella kontraktsmässiga arrangemang inte utan bör komplettera skyldigheterna enligt Europaparlamentets och rådets förordning (EU) 2016/679(²)Europaparlamentets och rådets förordning (EU) 2016/679 av den 27 april 2016 om skydd för fysiska personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter och om upphävande av direktiv 95/46/EG (allmän dataskyddsförordning) (EUT L 119, 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj)., såsom att ha ett skriftligt avtal på plats som beskriver behandlingen av personuppgifter, krav på att säkerställa säkerheten vid behandling av personuppgifter och fastställande av alla andra delar som krävs enligt den förordningen.

De europeiska tillsynsmyndigheternas gemensamma kommitté, som avses i artikel 54 i Europaparlamentets och rådets förordning (EU) nr 1093/2010(³)Europaparlamentets och rådets förordning (EU) nr 1093/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska bankmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/78/EG (EUT L 331, 15.12.2010, s. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., i artikel 54 i Europaparlamentets och rådets förordning (EU) nr 1094/2010(⁴)Europaparlamentets och rådets förordning (EU) nr 1094/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska försäkrings- och tjänstepensionsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/79/EG (EUT L 331, 15.12.2010, s. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). och i artikel 54 i Europaparlamentets och rådets förordning (EU) nr 1095/2010(⁵)Europaparlamentets och rådets förordning (EU) nr 1095/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska värdepappers- och marknadsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/77/EG (EUT L 331, 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj). har genomfört öppna offentliga samråd om det förslag till tekniska standarder för tillsyn som den här förordningen grundar sig på, analyserat de potentiella kostnaderna och fördelarna med de föreslagna standarderna och begärt råd från den bankintressentgrupp som inrättats i enlighet med artikel 37 i förordning (EU) nr 1093/2010, den intressentgrupp för försäkring och återförsäkring och den intressentgrupp för tjänstepensionsfonder som inrättats i enlighet med artikel 37 i förordning (EU) nr 1094/2010 samt den intressentgrupp för värdepapper och marknader som inrättats i enlighet med artikel 37 i förordning (EU) nr 1095/2010.

Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725(⁶)Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). och avgav ett yttrande den 24 januari 2024,