Hoppa direkt till innehåll
DORA
Blog

Artikel 31 - Klassificering av tredjepartsleverantörer av IKT-tjänster som kritiska

  1. De europeiska tillsynsmyndigheterna ska, genom den gemensamma kommittén och på rekommendation av det tillsynsforum som har inrättats enligt artikel 32.1,

    1. klassificera tredjepartsleverantörer av IKT-tjänster som kritiska för finansiella entiteter, efter en bedömning som tar hänsyn till de kriterier som anges i punkt 2,
    2. utse till ledande tillsynsmyndighet för varje kritisk tredjepartsleverantör av IKT-tjänster den europeiska tillsynsmyndighet som är ansvarig enligt förordningarna (EU) nr 1093/2010, (EU) nr 1094/2010 eller (EU) nr 1095/2010 för de finansiella entiteter som tillsammans har den största andelen av de totala tillgångarna av värdet av de totala tillgångarna hos alla finansiella entiteter som utnyttjar tjänster från den relevanta kritiska tredjepartsleverantören av IKT-tjänster, i enlighet med vad som framgår av summan av dessa finansiella entiteters enskilda balansräkningar.

  2. Den klassificering som avses i punkt 1 a ska baseras på samtliga följande kriterier när det gäller IKT-tjänster som tillhandahålls av tredjepartsleverantören av IKT-tjänster:

    1. Systempåverkan på stabiliteten, kontinuiteten eller kvaliteten på tillhandahållandet av finansiella tjänster om den berörda tredjepartsleverantören av IKT-tjänster skulle drabbas av ett omfattande driftsavbrott i tillhandahållandet av tjänster, med tanke på antalet finansiella entiteter och det totala värdet av tillgångarna hos de finansiella entiteter som den berörda tredjepartsleverantören av IKT-tjänster tillhandahåller tjänster till.
    2. Påverkan på eller betydelsen för systemet av de finansiella entiteter som är beroende av den berörda tredjepartsleverantören av IKT-tjänster, bedömt enligt följande parametrar:
      1. Antalet globala systemviktiga institut eller andra systemviktiga institut som är beroende av respektive tredjepartsleverantör av IKT-tjänster.
      2. Det ömsesidiga beroendet mellan de globala systemviktiga institut eller andra systemviktiga institut som avses i led i och andra finansiella entiteter, inbegripet situationer där de globala systemviktiga instituten eller andra systemviktiga instituten tillhandahåller finansiella infrastrukturtjänster till andra finansiella entiteter.
    3. Finansiella entiteters beroende av de tjänster som tillhandahålls av den berörda tredjepartsleverantören av IKT-tjänster i förhållande till kritiska eller viktiga funktioner hos de finansiella entiteter som i sista hand involverar samma tredjepartsleverantör av IKT-tjänster, oavsett om finansiella entiteter direkt eller indirekt är beroende av dessa tjänster, med hjälp av eller genom underleverantörsavtal.
    4. Graden av utbytbarhet hos tredjepartsleverantören av IKT-tjänster, med beaktande av följande parametrar:
      1. Avsaknad av verkliga alternativ, även delvis, på grund av det begränsade antalet tredjepartsleverantörer av IKT-tjänster som är verksamma på en viss marknad, eller marknadsandelen för den berörda tredjepartsleverantören av IKT-tjänster, eller den tekniska komplexiteten eller avancerade karaktären, inbegripet i förhållande till eventuell proprietär teknik, eller särdragen hos IKT-tredjepartsleverantörens organisation eller verksamhet.
      2. Svårigheter när det gäller att helt eller delvis migrera relevanta data och arbetsbelastningar från den berörda tredjepartsleverantören av IKT-tjänster till en annan tredjepartsleverantör av IKT-tjänster, på grund av betydande finansiella kostnader, tidsåtgång eller andra resurser som migrationsprocessen kan medföra, eller på grund av ökad IKT-risk eller andra operativa risker som den finansiella entiteten kan utsättas för genom sådan migration.

  3. Om tredjepartsleverantören av IKT-tjänster ingår i en koncern ska de kriterier som avses i punkt 2 beaktas vad avser de IKT-tjänster som koncernen som helhet tillhandahåller.

  4. Kritiska tredjepartsleverantörer av IKT-tjänster som ingår i en koncern ska utse en juridisk person till samordningspunkt för att säkerställa lämplig representation och kommunikation med den ledande tillsynsmyndigheten.

  5. Den ledande tillsynsmyndigheten ska underrätta tredjepartsleverantören av IKT-tjänster om resultatet av den bedömning som leder till den klassificering som avses i punkt 1 a. Inom sex veckor från dagen för anmälan får tredjepartsleverantören av IKT-tjänster lämna in ett motiverat uttalande till den ledande tillsynsmyndigheten med all relevant information för bedömningen. Den ledande tillsynsmyndigheten ska beakta det motiverade uttalandet och får begära att ytterligare information lämnas inom 30 kalenderdagar efter mottagandet av ett sådant uttalande.

    Efter att ha klassificerat en tredjepartsleverantör av IKT-tjänster som kritisk ska de europeiska tillsynsmyndigheterna, genom den gemensamma kommittén, underrätta tredjepartsleverantören av IKT-tjänster om klassificeringen och från och med vilket datum tredjepartsleverantören faktiskt kommer att omfattas av tillsynsverksamhet. Detta startdatum ska inträffa senast en månad efter anmälan. Tredjepartsleverantören av IKT-tjänster ska underrätta de finansiella entiteter som den tillhandahåller tjänster om att den klassificeras som kritisk.

  6. Kommissionen ges befogenhet att anta en delegerad akt i enlighet med artikel 57 för att komplettera denna förordning genom att närmare specificera kriterierna i punkt 2 i den här artikeln senast den 17 juli 2024.

  7. Den klassificering som avses i punkt 1 a får inte användas förrän kommissionen har antagit en delegerad akt i enlighet med punkt 6.

  8. Den klassificering som avses i punkt 1 a får inte tillämpas på följande:

    1. Finansiella entiteter som tillhandahåller IKT-tjänster till andra finansiella entiteter.
    2. Tredjepartsleverantörer av IKT-tjänster som omfattas av tillsynsramar som har inrättats till stöd för de uppgifter som avses i artikel 127.2 i fördraget om Europeiska unionens funktionssätt.
    3. Koncerninterna IKT-tjänsteleverantörer.
    4. Tredjepartsleverantörer av IKT-tjänster som endast tillhandahåller IKT-tjänster i en medlemsstat till finansiella entiteter som endast är verksamma i den medlemsstaten.

  9. De europeiska tillsynsmyndigheterna ska genom den gemensamma kommittén upprätta, offentliggöra och årligen uppdatera förteckningen över kritiska tredjepartsleverantörer av IKT-tjänster på unionsnivå.

  10. Vid tillämpning av punkt 1 a ska de behöriga myndigheterna årligen och i aggregerad form översända de rapporter som avses i artikel 28.3 tredje stycket till det tillsynsforum som har inrättats enligt artikel 32. Tillsynsforumet ska bedöma finansiella entiteters IKT-beroende gentemot tredjepart baserat på den information som har mottagits från de behöriga myndigheterna.

  11. De tredjepartsleverantörer av IKT-tjänster som inte ingår i den förteckning som avses i punkt 9 får begära att bli klassificerade som kritiska i enlighet med punkt 1 a.

    Vid tillämpning av första stycket ska tredjepartsleverantören av IKT-tjänster lämna in en motiverad ansökan till EBA, Esma eller Eiopa, som genom den gemensamma kommittén ska besluta huruvida den tredjepartsleverantören av IKT-tjänster ska klassificeras som kritisk i enlighet med punkt 1 a.

    Det beslut som avses i andra stycket ska antas och meddelas tredjepartsleverantören av IKT-tjänster inom sex månader från mottagandet av ansökan.

  12. Finansiella entiteter ska endast använda sig av de tjänster som en tredjepartsleverantör av IKT-tjänster som är etablerad i ett tredjeland och som har klassificerats som kritisk i enlighet med punkt 1 a erbjuder om den har etablerat ett dotterföretag i unionen inom tolv månader efter klassificeringen.

  13. Den kritiska tredjepartsleverantör av IKT-tjänster som avses i punkt 12 ska underrätta den ledande tillsynsmyndigheten om eventuella ändringar av ledningsstrukturen för det dotterföretag som är etablerat i unionen.