This document is an excerpt from the EUR-Lex website
Document 32025R0532
Commission Delegated Regulation (EU) 2025/532 of 24 March 2025 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards specifying the elements that a financial entity has to determine and assess when subcontracting ICT services supporting critical or important functions
Kommissionens delegerede forordning (EU) 2025/532 af 24. marts 2025 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 for så vidt angår reguleringsmæssige tekniske standarder, der præciserer de elementer, som en finansiel enhed skal fastlægge og vurdere, når den giver IKT-tjenester, der understøtter kritiske eller vigtige funktioner, i underentreprise
Kommissionens delegerede forordning (EU) 2025/532 af 24. marts 2025 om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 for så vidt angår reguleringsmæssige tekniske standarder, der præciserer de elementer, som en finansiel enhed skal fastlægge og vurdere, når den giver IKT-tjenester, der understøtter kritiske eller vigtige funktioner, i underentreprise
C/2025/1682
EUT L, 2025/532, 2.7.2025, ELI: http://data.europa.eu/eli/reg_del/2025/532/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
Den Europæiske Unions |
DA L-udgaven |
|
2025/532 |
2.7.2025 |
KOMMISSIONENS DELEGEREDE FORORDNING (EU) 2025/532
af 24. marts 2025
om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 for så vidt angår reguleringsmæssige tekniske standarder, der præciserer de elementer, som en finansiel enhed skal fastlægge og vurdere, når den giver IKT-tjenester, der understøtter kritiske eller vigtige funktioner, i underentreprise
(EØS-relevant tekst)
EUROPA-KOMMISSIONEN HAR —
under henvisning til traktaten om Den Europæiske Unions funktionsmåde,
under henvisning til Europa-Parlamentets og Rådets forordning (EU) 2022/2554 af 14. december 2022 om digital operationel modstandsdygtighed i den finansielle sektor og om ændring af forordning (EF) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 og (EU) 2016/1011 (1), særlig artikel 30, stk. 5, fjerde afsnit, og
ud fra følgende betragtninger:
|
(1) |
Leveringen af IKT-tjenester til finansielle enheder beror ofte på en kompleks kæde af IKT-underleverandører, hvorved tredjepartsudbydere af IKT-tjenester kan indgå én eller flere underentrepriseordninger med andre tredjepartsudbydere af IKT-tjenester. Indirekte afhængighed af IKT-underleverandører kan have en indvirkning på en finansiel enheds evne til at identificere, vurdere og styre sine risici, herunder risici, der vedrører mangler i de oplysninger, der leveres af tredjepartsudbydere af IKT-tjenester, og en finansiel enheds begrænsede mulighed for at indhente oplysninger fra de IKT-underleverandører, som leverer IKT-tjenester, der understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf. Når leveringen af IKT-tjenester til finansielle enheder beror på en potentielt lang eller kompleks kæde af IKT-underleverandører, er det i denne henseende afgørende, at de finansielle enheder identificerer den samlede kæde af underleverandører, som leverer IKT-tjenester, der understøtter kritiske eller vigtige funktioner. |
|
(2) |
Blandt de underleverandører, som leverer IKT-tjenester, der understøtter kritiske eller vigtige funktioner, bør finansielle enheder især og løbende fokusere på de underleverandører, som reelt leverer support til den IKT-tjeneste, der understøtter kritiske eller vigtige funktioner, herunder alle de underleverandører, der leverer IKT-tjenester, hvis afbrydelse ville forringe tjenestens sikkerhed eller kontinuitet som fastsat i det register over oplysninger, der er omhandlet i artikel 28, stk. 3, i forordning (EU) 2022/2554. |
|
(3) |
De finansielle enheder varierer meget med hensyn til størrelse, struktur, intern organisation samt deres aktiviteters karakter og kompleksitet. For at sikre proportionalitet bør der tages hensyn til denne mangfoldighed, når det præciseres, hvilke elementer en finansiel enhed bør fastlægge og vurdere, når den udliciterer IKT-tjenester, der understøtter kritiske eller vigtige funktioner. |
|
(4) |
Når de finansielle enheder i overensstemmelse med artikel 30, stk. 2, i forordning (EU) 2022/2554 har givet tilladelse til, at tredjepartsudbydere af IKT-tjenesters må gøre brug af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, som er givet i underentreprise, kan det ikke reducere det endelige ansvar hos de finansielle enheders ledelsesorganer med henblik på at styre deres risici og opfylde deres lovgivningsmæssige og reguleringsmæssige forpligtelser. Hvis der gives tilladelse til at give IKT-tjenester, der understøtter kritiske eller vigtige funktioner, i underentreprise, er det vigtigt, at de finansielle enheder har et klart og holistisk overblik over de risici, der er forbundet med at give tjenester, der understøtter kritiske eller vigtige funktioner, i underentreprise, således at de er i stand til at overvåge, styre og afbøde disse risici. De bør derfor vurdere disse risici, inden de giver disse tjenester i underentreprise. |
|
(5) |
Koncerninterne IKT-underleverandører, som leverer IKT-tjenester, der understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf, herunder koncerninterne IKT-underleverandører, der ejes fuldt ud eller i fællesskab af finansielle enheder inden for samme institutsikringsordning, bør betragtes som IKT-underleverandører. |
|
(6) |
Hvis det er relevant, bør modervirksomheden for finansielle enheder i en koncernsammenhæng sikre, at politikken for brugen af IKT-underleverandører, som leverer IKT-tjenester, der understøtter kritiske eller vigtige funktioner eller en væsentlig del heraf, anvendes på en konsekvent og sammenhængende måde inden for koncernen. |
|
(7) |
Det er vigtigt at sikre en omfattende styring af de risici, der kan opstå, når IKT-tjenester, der understøtter kritiske eller vigtige funktioner, gives i underentreprise. Derfor bør finansielle enheder følge livscyklusfaserne i en kontraktlig ordning for brugen af IKT-tjenester, der understøtter disse funktioner, og som leveres af tredjepartsudbydere af IKT-tjenester, herunder med henblik på underentrepriseordninger. Det er derfor nødvendigt at fastsætte krav til finansielle enheder, som bør afspejles i deres kontraktlige ordninger med tredjepartsudbydere af IKT-tjenester, hvorved det er tilladt at gøre brug af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, som er givet i underentreprise. |
|
(8) |
For at afbøde risici, der er forbundet med underentreprise, er det nødvendigt at præcisere de betingelser, hvorunder tredjepartsudbydere af IKT-tjenester kan gøre brug af underleverandører til levering af IKT-tjenester, der understøtter kritiske eller vigtige funktioner. Med henblik herpå bør der i kontraktlige IKT-ordninger mellem finansielle enheder og tredjepartsudbydere af IKT-tjenester fastsættes sådanne betingelser, herunder planlægning af underentrepriseordninger, risikovurderinger, due diligence og godkendelsesprocessen for nye IKT-underentrepriseordninger for IKT-tjenester, der understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf, eller væsentlige ændringer af eksisterende ordninger, som tredjepartsudbyderen af IKT-tjenester har foretaget. |
|
(9) |
For at identificere risici, der kan opstå, inden en finansiel enhed indgår en ordning med en IKT-underleverandør, bør tredjepartsudbydere af IKT-tjenester på en passende og forholdsmæssigt afpasset måde vurdere potentielle underleverandørers egnethed på grundlag af de kontraktlige IKT-ordninger, som tredjepartsudbyderen af IKT-tjenester har indgået med den pågældende finansielle enhed. Nævnte kontraktlige IKT-ordninger bør derfor indeholde krav om, at tredjepartsudbyderen af IKT-tjenester eller den finansielle enhed selv, alt efter hvad der er relevant, vurderer den potentielle underleverandørs ressourcer, herunder dennes ekspertise, og om den råder over de rette finansielle, menneskelige og tekniske ressourcer, dennes informationssikkerhed og organisatoriske struktur, herunder den risikostyring og interne kontrol, som underleverandøren bør have indført. |
|
(10) |
For at afbøde eventuelle sårbarheder og trusler, der kan udgøre en risiko for deres IKT-systemer og -operationer, bør det være muligt for finansielle enheder at overvåge udførelsen af IKT-tjenesten og blive underrettet om alle relevante ændringer i deres IKT-underleverandørkæde, såfremt sådanne ændringer vedrører kritiske eller vigtige funktioner. |
|
(11) |
For at gøre det muligt for finansielle enheder at vurdere de risici, der er forbundet med underentrepriseordninger eller væsentlige ændringer heraf, bør tredjepartsudbydere af IKT-tjenester underrette de finansielle enheder, som de leverer IKT-tjenester til, om alle sådanne nye ordninger eller ændringer i god tid, inden sådanne ordninger eller ændringer begynder at finde anvendelse. Af samme grund bør finansielle enheder have ret til at opsige den kontraktlige ordning med tredjepartsudbyderen af IKT-tjenester, hvis resultatet af deres risikovurdering viser, at de nye ordninger eller væsentlige ændringer medfører et risikoniveau, der overstiger deres risikotolerance. |
|
(12) |
De europæiske tilsynsmyndigheder har afholdt en åben offentlig høring om det udkast til de reguleringsmæssige tekniske standarder, som ligger til grund for denne forordning, de har analyseret de potentielle omkostninger og fordele herved og anmodet ESA'ernes interessentgrupper, der er nedsat efter artikel 37 i Europa-Parlamentets og Rådets forordning (EU) nr. 1093/2010 (2), artikel 37 i Europa-Parlamentets og Rådets forordning (EU) nr. 1094/2010 (3) og artikel 37 i Europa-Parlamentets og Rådets forordning (EU) nr. 1095/2010, om rådgivning (4). |
|
(13) |
Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (5) og afgav udtalelse den 20. august 2024 — |
VEDTAGET DENNE FORORDNING:
Artikel 1
Overordnet risikoprofil og kompleksitet
Finansielle enheder skal tage hensyn til deres størrelse og overordnede risikoprofil samt arten, omfanget og elementerne vedrørende øget eller reduceret kompleksitet af deres tjenesteydelser, aktiviteter og operationer, herunder elementer, som vedrører:
|
a) |
typen af IKT-tjenester, der understøtter kritiske eller vigtige funktioner, som er omfattet af den kontraktlige ordning mellem den finansielle enhed og tredjepartsudbyderen af IKT-tjenester |
|
b) |
den type IKT-tjenester, der er omfattet af den kontraktlige ordning mellem tredjepartsudbyderen af IKT-tjenester og dennes underleverandører |
|
c) |
det sted, hvor den IKT-underleverandør, der leverer IKT-tjenester, som understøtter kritiske eller vigtige funktioner eller en væsentlig del heraf, eller dennes moderselskab er beliggende |
|
d) |
længden og kompleksiteten af den kæde af underleverandører, der leverer IKT-tjenester, som understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf, og som tredjepartsudbyderen af IKT-tjenester gør brug af |
|
e) |
typen af data, der deles med de IKT-underleverandører, som leverer IKT-tjenester, der understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf |
|
f) |
hvorvidt de IKT-tjenester, der understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf, leveres af underleverandører, som er beliggende i en medlemsstat eller i et tredjeland, herunder det sted, hvorfra IKT-tjenesterne faktisk leveres, og det sted, hvor dataene rent faktisk behandles og lagres |
|
g) |
hvorvidt de IKT-underleverandører, som leverer IKT-tjenester, der understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf, er del af samme koncern som den finansielle enhed, hvortil disse tjenester leveres |
|
h) |
hvorvidt de IKT-underleverandører, som leverer IKT-tjenester, der understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf, er godkendt, registreret eller tilsynsbelagt eller underlagt overvågning, som udøves af en kompetent myndighed i en medlemsstat, eller er omfattet af tilsynsrammen i henhold til kapitel V, afdeling II, i forordning (EU) 2022/2554 |
|
i) |
hvorvidt tredjepartsudbydere af IKT-tjenester, der understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf, er godkendt, registreret eller tilsynsbelagt eller underlagt overvågning, som udøves af en kompetent myndighed fra et tredjeland |
|
j) |
hvorvidt leveringen af IKT-tjenester, der understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf, er koncentreret til en enkelt underleverandør til en tredjepartsudbyder af IKT-tjenester eller et lille antal af sådanne underleverandører |
|
k) |
hvorvidt det at give IKT-tjenester, der understøtter kritiske eller vigtige funktioner eller væsentlige dele, i underentreprise, vil få indvirkning på muligheden for at overføre disse IKT-tjenester til en anden tredjepartsudbyder af IKT-tjenester |
|
l) |
den potentielle indvirkning af forstyrrelser på kontinuiteten og tilgængeligheden af de IKT-tjenester, der understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf, som leveres af tredjepartsudbyderen af IKT-tjenester, når der gøres brug af en underleverandør, som leverer IKT-tjenester, der understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf. |
Artikel 2
Anvendelse på koncernniveau
Såfremt denne forordning finder anvendelse på delkonsolideret eller konsolideret niveau, skal den modervirksomhed, der har ansvar for at udarbejde koncernens konsoliderede eller delkonsoliderede regnskaber, sikre, at betingelserne for at give brugen af IKT-tjenester, der understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf, i underentreprise, i tilfælde hvor en sådan underentreprise er tilladt i henhold til de kontraktlige ordninger for brugen af IKT-tjenester, gennemføres konsekvent i alle finansielle enheder, der er del af koncernen, og at de er tilstrækkelige til at sikre en effektiv anvendelse af denne forordning på alle relevante niveauer.
Artikel 3
Due diligence og risikovurdering i tilknytning til brugen af underleverandører, der understøtter kritiske eller vigtige funktioner
1. Inden en finansiel enhed indgår en kontraktlig ordning med en tredjepartsudbyder af IKT-tjenester, skal den træffe afgørelse om, hvorvidt den pågældende tredjepartsudbyder af IKT-tjenester kan give en IKT-tjeneste, der understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf, i underentreprise. Den finansielle enhed må kun indgå en sådan kontraktlig ordning, hvis den har vurderet, at alle følgende betingelser er opfyldt:
|
a) |
due diligence-procedurerne for tredjepartsudbyderen af IKT-tjenester sikrer, at denne er i stand til at udvælge og vurdere potentielle IKT-underleverandørers operationelle og finansielle evne til at levere de IKT-tjenester, der understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf, herunder ved at deltage i test af digital operationel modstandsdygtighed som omhandlet i kapitel IV i forordning (EU) 2022/2554, når den finansielle enhed kræver det |
|
b) |
tredjepartsudbyderen af IKT-tjenester er i stand til at identificere alle underleverandører, som leverer IKT-tjenester, der understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf, til at give meddelelse til og underrette den finansielle enhed om disse underleverandører og er i stand til at give den finansielle enhed alle de oplysninger, der kan være nødvendige for vurderingen af betingelserne i henhold til denne artikel |
|
c) |
tredjepartsudbyderen af IKT-tjenester sikrer, at de kontraktlige ordninger med de underleverandører, som leverer IKT-tjenester, der understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf, gør det muligt for den finansielle enhed at opfylde sine egne forpligtelser, som hidrører fra forordning (EU) 2022/2554, gældende EU-lovgivning og national lovgivning |
|
d) |
underleverandøren giver den finansielle enhed og de kompetente myndigheder og afviklingsmyndighederne de samme kontraktlige adgangsrettigheder og inspektionsrettigheder som dem, tredjepartsudbyderen af IKT-tjenester giver |
|
e) |
uden at det berører den finansielle enheds endelige ansvar for at opfylde sine retlige og reguleringsmæssige forpligtelser, råder tredjepartsudbyderen af IKT-tjenester selv over tilstrækkelig kapacitet og ekspertise samt tilstrækkelige finansielle, menneskelige og tekniske ressourcer til at overvåge IKT-risiciene hos underleverandører, herunder ved at anvende passende informationssikkerhedsstandarder og ved at have indført en hensigtsmæssig organisatorisk struktur, passende risikostyring og interne kontroller samt hændelsesindberetning og reaktioner |
|
f) |
den finansielle enhed har tilstrækkelig evne og ekspertise og råder over tilstrækkelige finansielle, menneskelige og tekniske ressourcer til at overvåge IKT-risiciene i tilknytning til den tjeneste, der understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf, som er blevet givet i underentreprise, herunder ved at anvende passende informationssikkerhedsstandarder og ved at have indført en passende organisatorisk struktur og risikostyring, hændelsesindsats, styring af driftsstabilitet og interne kontroller |
|
g) |
den finansielle enhed har vurderet indvirkningen på den finansielle enheds digitale operationelle modstandsdygtighed og finansielle soliditet af et muligt svigt hos en underleverandør, som leverer IKT-tjenester, der understøtter kritiske eller vigtige funktioner eller en væsentlig del heraf |
|
h) |
den finansielle enhed har vurderet de risici, der er knyttet til de potentielle underleverandørers hjemsted, i relation til de IKT-tjenester, der understøtter kritiske eller vigtige funktioner eller en væsentlig del heraf, som leveres af tredjepartsudbyderen af IKT-tjenester |
|
i) |
den finansielle enhed har vurderet IKT-koncentrationsrisiciene på enhedsniveau i overensstemmelse med artikel 29 i forordning (EU) 2022/2554 |
|
j) |
den finansielle enhed har vurderet, om der er hindringer for, at de kompetente myndigheder, afviklingsmyndighederne eller den finansielle enhed, herunder personer udpeget af disse, kan udøve revisions-, inspektions- og adgangsrettigheder. |
2. Finansielle enheder, der gør brug af tredjepartsudbydere af IKT-tjenester, som giver IKT-tjenester, der understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf, i underentreprise, skal regelmæssigt foretage den risikovurdering, der er omhandlet i stk. 1, litra f)-j), i forhold til ændringer i deres forretningsmiljø, herunder ændringer i de understøttede forretningsfunktioner, i risikovurderinger, som omfatter IKT-trusler, IKT-koncentrationsrisici og geopolitiske risici.
3. Anvendelse af resultaterne af den risikovurdering, som deres tredjepartsudbydere af IKT-tjenester har foretaget af deres underleverandører, når de opfylder forpligtelserne i denne artikel, må ikke begrænse de finansielle enheders endelige ansvar for at opfylde deres retlige og reguleringsmæssige forpligtelser i henhold til forordning (EU) 2022/2554.
Artikel 4
Betingelser i henhold til hvilke IKT-tjenester, der understøtter kritiske eller vigtige funktioner eller en væsentlig del heraf, kan gives i underentreprise
1. I den kontraktlige ordning, der indgås mellem den finansielle enhed og tredjepartsudbyderen af IKT-tjenester, skal det fremgå, hvilke af IKT-tjenesterne, der understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf, der kan gives i underentreprise, og på hvilke betingelser. Den pågældende kontraktlige ordning skal indeholde præciseringer af følgende:
|
a) |
at tredjepartsudbyderen af IKT-tjenester har ansvar for leveringen af de tjenester, der leveres af underleverandørerne |
|
b) |
at tredjepartsudbyderen af IKT-tjenester er forpligtet til at overvåge alle de IKT-tjenester, der er givet i underentreprise, og som understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf, for at sikre, at dennes kontraktlige forpligtelser over for den finansielle enhed opfyldes løbende |
|
c) |
overvågnings- og indberetningsforpligtelserne for tredjepartsudbyderen af IKT-tjenester over for den finansielle enhed vedrørende underleverandører, som leverer IKT-tjenester, der understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf |
|
d) |
at tredjepartsudbyderen af IKT-tjenester skal vurdere alle risici i tilknytning til hjemstedet for de nuværende eller potentielle underleverandører, som leverer IKT-tjenester, der understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf, og deres modervirksomhed og til det sted, hvor den pågældende IKT-tjeneste leveres fra |
|
e) |
det sted, hvor de data, der behandles eller lagres af underleverandøren, befinder sig, hvis det er relevant |
|
f) |
at tredjepartsudbyderen af IKT-tjenester i sin kontraktlige ordning med sine underleverandører skal angive den pågældende underentreprenørs overvågnings- og indberetningsforpligtelser over for tredjepartsudbyderen af IKT-tjenester og, hvis det er aftalt, over for den finansielle enhed |
|
g) |
at tredjepartsudbyderen af IKT-tjenester skal sikre kontinuiteten i de IKT-tjenester, der understøtter kritiske eller vigtige funktioner i hele underleverandørkæden, såfremt en IKT-underleverandør ikke opfylder sine kontraktlige forpligtelser |
|
h) |
at den kontraktlige ordning mellem tredjepartsudbyderen af IKT-tjenester og dennes underleverandører indeholder de krav til beredskabsplaner, der er omhandlet i artikel 30, stk. 3, litra c), i forordning (EU) 2022/2554, og præciserer de serviceniveauer, som IKT-underentreprenørerne skal opfylde i tilknytning til disse planer |
|
i) |
at den kontraktlige ordning mellem tredjepartsudbyderen af IKT-tjenester og dennes underleverandører præciserer de IKT-sikkerhedsstandarder og eventuelle yderligere sikkerhedskrav, der er omhandlet i artikel 30, stk. 3, litra c), i forordning (EU) 2022/2554 |
|
j) |
at underleverandøren skal give den finansielle enhed og relevante kompetente myndigheder og afviklingsmyndigheder de samme rettigheder vedrørende adgang, inspektion og revision som dem, der er omhandlet i artikel 30, stk. 3, litra e), i forordning (EU) 2022/2554 |
|
k) |
at tredjepartsudbyderen af IKT-tjenester skal underrette den finansielle enhed om enhver væsentlig ændring af underentrepriseordningerne |
|
l) |
at den finansielle enhed har ret til at opsige kontrakten med tredjepartsudbyderen af IKT-tjenester, når betingelserne i enten nærværende forordnings artikel 6 eller betingelserne i artikel 28, stk. 7, i forordning (EU) 2022/2554 er opfyldt. |
2. Ændringer i relation til kontraktlige aftaler mellem den finansielle enhed og tredjepartsudbydere af IKT-tjenester, som leverer en IKT-tjeneste, der understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf, som er nødvendige for at overholde denne forordning, gennemføres rettidigt og så hurtigt som muligt. Den finansielle enhed skal dokumentere den planlagte tidsplan for gennemførelsen.
Artikel 5
Væsentlige ændringer af underentrepriseordninger for IKT-tjenester, der understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf
1. Den kontraktlige ordning skal indeholde bestemmelser om, at tredjepartsudbyderen af IKT-tjenester skal underrette den finansielle enhed om eventuelle planlagte væsentlige ændringer af dens underentrepriseordninger i så god tid, at den finansielle enhed kan vurdere følgende:
|
a) |
indvirkningen på de risici, den udsættes for eller kan blive udsat for |
|
b) |
om sådanne væsentlige ændringer kan påvirke tredjepartsudbyderen af IKT-tjenesters evne til at opfylde sine kontraktlige forpligtelser over for den finansielle enhed. |
2. Den kontraktlige ordning skal indeholde en rimelig opsigelsesfrist, inden for hvilken den finansielle virksomhed skal godkende eller gøre indsigelse mod ændringerne.
3. Tredjepartsudbyderen af IKT-tjenester må først gennemføre de væsentlige ændringer af sine underentrepriseordninger, efter at den finansielle enhed enten har godkendt eller undladt at gøre indsigelse mod ændringerne ved udløbet af opsigelsesfristen.
4. Hvis den finansielle enhed er af den opfattelse, at de i stk. 1 omhandlede væsentlige ændringer overskrider den finansielle enheds risikotolerance, skal den finansielle enhed inden udløbet af opsigelsesfristen:
|
a) |
underrette tredjepartsudbyderen af IKT-tjenester herom |
|
b) |
gøre indsigelse mod ændringerne og anmode om modificeringer af disse ændringer, inden de gennemføres. |
Artikel 6
Opsigelse af den kontraktlige ordning mellem den finansielle enhed og tredjepartsudbyderen af IKT-tjenester
Den finansielle enhed har ret til i den kontraktlige ordning med tredjepartsudbyderen af IKT-tjenester at fastsætte, at den kontraktlige ordning skal bringes til ophør i hvert af følgende tilfælde:
|
a) |
den finansielle enhed har gjort indsigelse mod væsentlige ændringer af de underentrepriseordninger, der understøtter kritiske eller vigtige funktioner, og anmodet om ændringer af disse ordninger, men tredjepartsudbyderen af IKT-tjenester har ikke desto mindre gennemført disse væsentlige ændringer |
|
b) |
tredjepartsudbyderen af IKT-tjenester har gennemført væsentlige ændringer af underentrepriseordninger, der understøtter kritiske eller vigtige funktioner eller væsentlige dele heraf, inden opsigelsesfristens udløb uden den finansielle enheds godkendelse |
|
c) |
tredjepartsudbyderen af IKT-tjenester giver en IKT-tjeneste, der understøtter en kritisk eller vigtig funktion eller en væsentlig del heraf, i underentreprise, uden at det udtrykkeligt er tilladt i henhold til den kontraktlige ordning mellem den finansielle enhed og tredjepartsudbyderen af IKT-tjenester. |
Artikel 7
Ikrafttræden
Denne forordning træder i kraft på tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.
Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.
Udfærdiget i Bruxelles, den 24. marts 2025.
På Kommissionens vegne
Ursula VON DER LEYEN
Formand
(1) EUT L 333 af 27.12.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj).
(2) Europa-Parlamentets og Rådets forordning (EU) nr. 1093/2010 af 24. november 2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Banktilsynsmyndighed), om ændring af afgørelse nr. 716/2009/EF og om ophævelse af Kommissionens afgørelse 2009/78/EF (EUT L 331 af 15.12.2010, s. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).
(3) Europa-Parlamentets og Rådets forordning (EU) nr. 1094/2010 af 24. november 2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Tilsynsmyndighed for Forsikrings- og Arbejdsmarkedspensionsordninger), om ændring af afgørelse 716/2009/EF og om ophævelse af Kommissionens afgørelse 2009/79/EF (EUT L 331 af 15.12.2010, s. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).
(4) Europa-Parlamentets og Rådets forordning (EU) nr. 1095/2010 af 24. november 2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Værdipapir- og Markedstilsynsmyndighed), om ændring af afgørelse nr. 716/2009/EF og om ophævelse af Kommissionens afgørelse 2009/77/EF (EUT L 331 af 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
(5) Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
ELI: http://data.europa.eu/eli/reg_del/2025/532/oj
ISSN 1977-0634 (electronic edition)