Artikel 30 - Viktiga avtalsbestämmelser

1. Rättigheterna och skyldigheterna för den finansiella entiteten och tredjepartsleverantören av IKT-tjänster ska vara tydligt fördelade och skriftligen angivna. Det fullständiga avtalet ska omfatta servicenivåavtalen och dokumenteras i ett skriftligt dokument som parterna ska ha tillgång till på papper eller i ett dokument med ett annat nedladdningsbart, varaktigt och tillgängligt format.

2. De kontraktsmässiga arrangemangen för användning av IKT-tjänster ska innehålla åtminstone följande delar:

   1. En tydlig och fullständig beskrivning av alla funktioner och IKT-tjänster som ska tillhandahållas av tredjepartsleverantören av IKT-tjänster, med uppgift om huruvida underentreprenad av en IKT-tjänst som stöder en kritisk eller viktig funktion eller väsentliga delar därav, är tillåten och, när så är fallet, de villkor som gäller för sådan underentreprenad.
   2. De platser, nämligen regioner eller länder, där de funktioner och IKT-tjänster som har utkontrakterats eller lagts ut på underentreprenad ska tillhandahållas och var uppgifterna ska behandlas, inklusive lagringsplatsen, och ett krav på att tredjepartsleverantören av IKT-tjänster på förhand ska underrätta den finansiella entiteten om den planerar att ändra sådana platser.
   3. Bestämmelser om tillgänglighet, äkthet, integritet och konfidentialitet vad gäller skydd av data, inbegripet personuppgifter.
   4. Bestämmelser om säkerställande av åtkomst, återställande och återlämnande i ett lättillgängligt format av personuppgifter och andra uppgifter än personuppgifter som behandlas av den finansiella entiteten i händelse av insolvens, resolution eller nedläggning av verksamheten vad avser tredjepartsleverantören av IKT-tjänster, eller i händelse av uppsägning av de kontraktsmässiga arrangemangen.
   5. Beskrivningar av servicenivå, inbegripet uppdateringar och revideringar av dessa.
   6. Skyldigheten för tredjepartsleverantören av IKT-tjänster att tillhandahålla assistans till den finansiella entiteten utan extra kostnad, eller till en kostnad som fastställs på förhand, när en IKT-incident med anknytning till den IKT-tjänst som tillhandahålls den finansiella entiteten inträffar.
   7. Skyldigheten för tredjepartsleverantören av IKT-tjänster att samarbeta fullt ut med de behöriga myndigheterna och resolutionsmyndigheterna för den finansiella entiteten, inbegripet personer som har utsetts av dem.
   8. Uppsägningsrätt och tillhörande minsta uppsägningstid för uppsägning av det kontraktsmässiga arrangemanget, i enlighet med de behöriga myndigheternas och resolutionsmyndigheternas förväntningar.
   9. Villkoren för deltagande av tredjepartsleverantörer av IKT-tjänster i finansiella entiteters program för medvetenhet om IKT-säkerhet och utbildning om digital operativ motståndskraft i enlighet med artikel 13.6.

3. De kontraktsmässiga arrangemangen om användning av IKT-tjänster som stöder kritiska eller viktiga funktioner ska, utöver de delar som avses i punkt 2, innehålla åtminstone följande:

   1. Beskrivningar av fullständig servicenivå, inklusive uppdateringar och revideringar av dessa, med exakta kvantitativa och kvalitativa prestationsmål inom de överenskomna servicenivåerna för att göra det möjligt för den finansiella entiteten att effektivt övervaka IKT-tjänster och göra det möjligt att utan onödigt dröjsmål vidta lämpliga korrigerande åtgärder när överenskomna servicenivåer inte uppnås.
   2. Anmälningsperioder och rapporteringsskyldigheter för tredjepartsleverantören av IKT-tjänster till den finansiella entiteten, inbegripet underrättelse om varje händelse som kan ha en väsentlig inverkan på IKT-tredjepartsleverantörens förmåga att effektivt tillhandahålla IKT-tjänster som stöder kritiska eller viktiga funktioner i linje med överenskomna servicenivåer.
   3. Krav på att tredjepartsleverantören av IKT-tjänster ska genomföra och testa beredskapsplaner för verksamheten och ha infört IKT-säkerhetsåtgärder, IKT-verktyg och IKT-strategier som ger en lämplig säkerhetsnivå vid tillhandahållande av tjänster från den finansiella entitetens sida i enlighet med dess regelverk.
   4. Skyldigheten för tredjepartsleverantören av IKT-tjänster att delta och fullt ut samarbeta i den finansiella entitetens hotbildsstyrda penetrationstestning enligt artiklarna 26 och 27.
   5. Rätten att fortlöpande övervaka prestandan hos tredjepartsleverantören av IKT-tjänster, vilket omfattar följande:
      1. Obegränsad rätt till tillgång till, inspektion och revision för den finansiella entiteten eller en utsedd tredjepart, och för den behöriga myndigheten, och rätt att ta kopior av relevant dokumentation på plats om de är kritiska för verksamheten hos tredjepartsleverantören av IKT-tjänster, vars faktiska utövande inte hindras eller begränsas av andra kontraktsmässiga arrangemang eller strategier för genomförande.
      2. Rätten att komma överens om alternativa garantinivåer om andra kunders rättigheter påverkas.
      3. Skyldigheten för tredjepartsleverantören av IKT-tjänster att samarbeta fullt ut under de inspektioner och revisioner på plats som utförs av de behöriga myndigheterna, den ledande tillsynsmyndigheten, den finansiella entiteten eller en utsedd tredjepart.
      4. Skyldigheten att tillhandahålla närmare uppgifter om omfattningen, de förfaranden som ska följas och frekvensen för sådana inspektioner och revisioner.
   6. Exitstrategier, särskilt inrättande av en obligatorisk lämplig övergångsperiod
      1. under vilken tredjepartsleverantören av IKT-tjänster kommer att fortsätta att tillhandahålla respektive funktioner eller IKT-tjänster i syfte att minska risken för avbrott hos den finansiella entiteten, eller säkerställa en effektiv resolution och omstrukturering av denna,
      2. som gör det möjligt för den finansiella entiteten att migrera till en annan tredjepartsleverantör av IKT-tjänster eller byta till interna lösningar som är förenliga med komplexiteten hos den tillhandahållna tjänsten.

   Genom undantag från led e får tredjepartsleverantören av IKT-tjänster och en finansiell entitet som är ett mikroföretag komma överens om att den finansiella entitetens rätt till tillgång, inspektion och revision kan delegeras till en oberoende tredjepart som utsetts av tredjepartsleverantören av IKT-tjänster, och att den finansiella entiteten när som helst kan begära information och försäkran om IKT-tredjepartsleverantörens prestanda från den tredje parten.

   Mikroföretag

   Mikroföretag får avtala om delegation till en oberoende tredje part.

4. När finansiella entiteter och tredjepartsleverantörer av IKT-tjänster förhandlar om kontraktsmässiga arrangemang ska de överväga att använda standardavtalsklausuler som har utarbetats av offentliga myndigheter för specifika tjänster.

5. De europeiska tillsynsmyndigheterna ska genom den gemensamma kommittén utarbeta förslag till tekniska standarder för tillsyn för att närmare specificera de delar som avses i punkt 2 a och som en finansiell entitet måste fastställa och bedöma när den lägger ut IKT-tjänster som stöder kritiska eller viktiga funktioner på underentreprenad.

   När de europeiska tillsynsmyndigheterna utarbetar dessa förslag till tekniska standarder för tillsyn ska de ta hänsyn till den finansiella entitetens storlek och allmänna riskprofil, och karaktären på, omfattningen av och komplexiteten i dess tjänster, verksamhet och insatser.

   De europeiska tillsynsmyndigheterna ska överlämna dessa förslag till tekniska standarder för tillsyn till kommissionen senast den 17 juli 2024.

   Kommissionen ges befogenhet att komplettera denna förordning genom att anta de tekniska standarder för tillsyn som avses i första stycket i enlighet med artiklarna 10–14 i förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.