Artikel 28 - Allmänna principer

1. Finansiella entiteter ska hantera IKT-tredjepartsrisker som en integrerad del av IKT-risken inom sin IKT-riskhanteringsram som avses i artikel 6.1, och i enlighet med följande principer:

   1. De finansiella entiteter som har ingått ett kontraktsmässigt arrangemang om användningen av IKT-tjänster för att bedriva sin affärsverksamhet ska alltid ha det fulla ansvaret för uppfyllandet och fullgörandet av alla skyldigheter enligt denna förordning och tillämplig rätt avseende finansiella tjänster.
   2. Finansiella entiteters hantering av IKT-tredjepartsrisker ska genomföras med hänsyn till proportionalitetsprincipen, med beaktande av
      1. IKT-relaterade beroendens karaktär, omfattning, komplexitet och betydelse,
      2. de risker som uppstår till följd av kontraktsmässiga arrangemang om användningen av IKT-tjänster som har ingåtts med tredjepartsleverantörer av IKT-tjänster, med hänsyn till den kritikaliteten eller betydelsen av respektive tjänst, process eller funktion, och den potentiella inverkan på kontinuiteten och tillgängligheten hos finansiella tjänster och verksamheter, på individuell nivå och på koncernnivå.

2. Som en del av sin IKT-riskhanteringsram ska andra finansiella entiteter än de enheter som avses i artikel 16.1 första stycket och mikroföretag anta och regelbundet se över en strategi för IKT-tredjepartsrisk, med beaktande av den strategi för flera olika leverantörer som avses i artikel 6.9 i tillämpliga fall. Strategin för IKT-tredjepartsrisk ska omfatta riktlinjer för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner och som tillhandahålls av tredjepartsleverantörer av IKT-tjänster och ska tillämpas individuellt och, i förekommande fall, på undergrupps- och gruppnivå. Ledningsorganet ska, baserat på en bedömning av den finansiella entitetens allmänna riskprofil samt omfattningen av och komplexiteten i entitetens affärstjänster, regelbundet se över de risker som har identifierats vad gäller kontraktsmässiga arrangemang för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner.

Mikroföretag

Mikroföretag undantas från kravet på att ha en strategi för tredjepartsrisk.

Teknisk stnadard

Innehållet i den här punkten 2 kommer att specificeras närmre i en teknisk standard. Se punkt 10 nedan.

3. Som en del av sin IKT-riskhanteringsram ska finansiella entiteter upprätthålla och uppdatera ett register med information på entitetsnivå, undergrupps- och gruppnivå om alla kontraktsmässiga arrangemang som rör användningen av IKT-tjänster som tillhandahålls av tredjepartsleverantörer av IKT-tjänster.

   De kontraktsmässiga arrangemang som avses i första stycket ska dokumenteras på lämpligt sätt, varvid åtskillnad ska göras mellan de kontraktsmässiga arrangemang som omfattar kritiska eller viktiga funktioner och de som inte gör det.

   Finansiella entiteter ska minst en gång per år rapportera till de behöriga myndigheterna om antalet nya arrangemang för användningen av IKT-tjänster, kategorierna av tredjepartsleverantörer av IKT-tjänster, typen av kontraktsmässigt arrangemang och de IKT-tjänster och funktioner som tillhandahålls.

   Finansiella entiteter ska på begäran ge den behöriga myndigheten tillgång till det fullständiga registret eller angivna avsnitt av registret, tillsammans med all information som anses nödvändig för att möjliggöra en effektiv tillsyn av den finansiella entiteten.

   Finansiella entiteter ska i god tid informera den behöriga myndigheten om eventuella planerade kontraktsmässiga arrangemang för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner samt när en funktion har blivit kritisk eller viktig.

Teknisk stnadard

Innehållet i den här punkten 3 kommer att specificeras närmre i en teknisk standard. Se punkt 9 nedan.

4. Innan finansiella entiteter ingår ett kontraktsmässigt arrangemang om användning av IKT-tjänster ska de

   1. bedöma om det kontraktsmässiga arrangemanget omfattar användningen av IKT-tjänster som stöder en kritisk eller viktig funktion,
   2. bedöma om tillsynsvillkoren för utkontraktering är uppfyllda,
   3. identifiera och bedöma alla relevanta risker i samband med det kontraktsmässiga arrangemanget, inbegripet möjligheten att sådana kontraktsmässiga arrangemang kan bidra till att förstärka IKT-koncentrationsrisken enligt artikel 29,
   4. genomföra all due diligence-granskning av potentiella tredjepartsleverantörer av IKT-tjänster och under urvals- och bedömningsprocesserna se till att tredjepartsleverantören av IKT-tjänster är lämplig,
   5. identifiera och bedöma intressekonflikter som det kontraktsmässiga arrangemanget kan orsaka.

5. Finansiella entiteter får endast ingå kontraktsmässiga arrangemang med tredjepartsleverantörer av IKT-tjänster som uppfyller lämpliga standarder för informationssäkerhet. När dessa kontraktsmässiga arrangemang gäller kritiska eller viktiga funktioner ska finansiella entiteter, innan de ingår arrangemangen, vederbörligen beakta huruvida tredjepartsleverantörerna av IKT-tjänster använder de senaste och mest högkvalitativa standarderna för informationssäkerhet.

6. När finansiella entiteter utövar åtkomst-, inspektions- och revisionsrättigheter gentemot tredjepartsleverantören av IKT-tjänster ska de baserat på en riskbaserad metod på förhand fastställa frekvensen för revisioner och inspektioner samt de områden som ska granskas genom att följa allmänt accepterade revisionsstandarder i enlighet med eventuella tillsynsinstruktioner om användning och införlivande av sådana revisionsstandarder.

   Om kontraktsmässiga arrangemang som ingås med tredjepartsleverantörer av IKT-tjänster om användningen av IKT-tjänster medför hög teknisk komplexitet ska den finansiella entiteten kontrollera att revisorer, oavsett om de är interna eller externa eller ingår i en pool av revisorer, har lämpliga färdigheter och kunskaper för att effektivt kunna utföra de relevanta revisionerna och bedömningarna.

7. Finansiella entiteter ska se till att kontraktsmässiga arrangemang om användning av IKT-tjänster kan avslutas under någon av följande omständigheter:

   1. Tredjepartsleverantören av IKT-tjänster bryter på ett betydande sätt mot tillämpliga lagar, förordningar eller avtalsvillkor.
   2. Omständigheter har identifierats under övervakningen av IKT-tredjepartsrisker som bedöms kunna ändra prestandan hos de funktioner som tillhandahålls genom det kontraktsmässiga arrangemanget, inbegripet väsentliga förändringar som påverkar arrangemanget eller situationen för tredjepartsleverantören av IKT-tjänster.
   3. IKT-tredjepartsleverantören har påvisade svagheter vad gäller sin övergripande IKT-riskhantering och i synnerhet det sätt på vilket den säkerställer tillgänglighet, äkthet, integritet och konfidentialitet för data, oavsett om det är personuppgifter eller på annat sätt känsliga uppgifter eller icke-personuppgifter.
   4. Om den behöriga myndigheten inte längre effektivt kan utöva tillsyn över den finansiella entiteten till följd av villkoren i eller omständigheter relaterade till respektive kontraktsmässiga arrangemang.

8. När det gäller IKT-tjänster som stöder kritiska eller viktiga funktioner ska finansiella entiteter införa exitstrategier. Exitstrategierna ska ta hänsyn till risker som kan uppstå hos tredjepartsleverantörerna av IKT-tjänster, i synnerhet eventuella fel hos dessa, försämring av kvaliteten på de IKT-tjänster som tillhandahålls, eventuella avbrott i verksamheten på grund av olämpligt eller misslyckat tillhandahållande av IKT-tjänster eller eventuella väsentliga risker som uppstår i samband med en lämplig och kontinuerlig användning av respektive IKT-tjänst, eller uppsägning av kontraktsmässiga arrangemang med tredjepartsleverantörer av IKT-tjänster under någon av de omständigheter som anges i punkt 7.

   Finansiella entiteter ska säkerställa att de kan säga upp kontraktsmässiga arrangemang utan

   1. avbrott i sin affärsverksamhet,
   2. begränsning av efterlevnaden av lagstadgade krav,
   3. skada på kontinuiteten och kvaliteten hos de tjänster som tillhandahålls kunder.

   Exitplanerna ska vara heltäckande och dokumenterade och de ska, i enlighet med kriterierna i artikel 4.2, vara tillräckligt testade och ska regelbundet ses över.

   Finansiella entiteter ska identifiera alternativa lösningar och utarbeta övergångsplaner som gör det möjligt för dem att avlägsna de kontrakterade IKT-tjänsterna och relevanta data från tredjepartsleverantören av IKT-tjänster och på ett säkert och fullständigt sätt överföra dem till alternativa leverantörer eller återintegrera dem internt.

   Finansiella entiteter ska ha lämpliga beredskapsåtgärder på plats för att upprätthålla kontinuiteten i verksamheten vid uppkomst av de omständigheter som avses i första stycket.

9. De europeiska tillsynsmyndigheterna ska genom den gemensamma kommittén utarbeta förslag till tekniska standarder för genomförande för att fastställa standardmallar för det register över uppgifter som avses i punkt 3, inbegripet uppgifter som är gemensamma för alla kontraktsmässiga arrangemang om användning av IKT-tjänster. De europeiska tillsynsmyndigheterna ska överlämna dessa förslag till tekniska standarder för genomförande till kommissionen senast den 17 januari 2024.

   Kommissionen ges befogenhet att anta de tekniska standarder för genomförande som avses i första stycket i enlighet med artikel 15 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

Teknisk standard

Tillsynsmyndigheterna publicerade utkast till teknisk standard enligt den här punkten den 19 juni 2023. De slutgiltiga standarderna väntas tillställas kommissionen den 17 januari 2024.

10. De europeiska tillsynsmyndigheterna ska genom den gemensamma kommittén utarbeta förslag till tekniska standarder för tillsyn för att närmare specificera det detaljerade innehållet i de riktlinjer som avses i punkt 2 i fråga om de kontraktsmässiga arrangemangen för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner och som tillhandahålls av tredjepartsleverantörer av IKT-tjänster.

    När de europeiska tillsynsmyndigheterna utarbetar dessa förslag till tekniska standarder för tillsyn ska de ta hänsyn till den finansiella entitetens storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i dess tjänster, verksamhet och insatser. De europeiska tillsynsmyndigheterna ska överlämna dessa förslag till tekniska standarder för tillsyn till kommissionen senast den 17 januari 2024.

    Kommissionen ges befogenhet att komplettera denna förordning genom att anta de tekniska standarder för tillsyn som avses i första stycket i enlighet med artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.

Teknisk standard

Tillsynsmyndigheterna publicerade utkast till teknisk standard enligt den här punkten den 19 juni 2023. De slutgiltiga standarderna väntas tillställas kommissionen den 17 januari 2024.