KOMISSION DELEGOITU ASETUS (EU) 2024/1773,

annettu 13 päivänä maaliskuuta 2024,

Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/2554 täydentämisestä teknisillä sääntelystandardeilla, joissa täsmennetään TVT-palveluntarjoajana olevien kolmansien osapuolten tarjoamien, kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen käytöstä tehtyjä sopimusjärjestelyjä koskevien toimintaperiaatteiden yksityiskohtainen sisältö

(ETA:n kannalta merkityksellinen teksti)

EUROOPAN KOMISSIO, joka

ottaa huomioon Euroopan unionin toiminnasta tehdyn sopimuksen,

ottaa huomioon finanssialan digitaalisesta häiriönsietokyvystä ja asetusten (EY) N:o 1060/2009, (EU) N:o 648/2012, (EU) N:o 600/2014, (EU) N:o 909/2014 ja (EU) 2016/1011 muuttamisesta 14 päivänä joulukuuta 2022 annetun Euroopan parlamentin ja neuvoston asetuksen (EU) 2022/2554 (1) ja erityisesti sen 28 artiklan 10 kohdan kolmannen alakohdan,

sekä katsoo seuraavaa:

(1)

Asetuksella (EU) 2022/2554 perustetussa finanssialan digitaalista häiriönsietokykyä koskevassa kehyksessä edellytetään, että finanssiyhteisöt vahvistavat tiettyjä kolmansiin osapuoliin liittyvän TVT-riskin hallintaa koskevia keskeisiä periaatteita, jotka ovat erityisen tärkeitä, kun finanssiyhteisöt tekevät kriittisiä tai tärkeitä toimintojaan tukevaa yhteistyötä TVT-palveluntarjoajana olevien kolmansien osapuolten kanssa.

(2)

Finanssiyhteisöjen on osana TVT-riskinhallintajärjestelmäänsä hyväksyttävä kolmansiin osapuoliin liittyvää TVT-riskiä koskeva strategia ja tarkistettava sitä säännöllisesti. Asetuksen (EU) 2022/2554 28 artiklan 2 kohdan mukaisesti strategiaan on sisällytettävä TVT-palveluntarjoajana olevien kolmansien osapuolten tarjoamien, kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen käyttöä koskevat toimintaperiaatteet. Sitä on sovellettava yksittäisten yhteisöjen ja tarvittaessa alakonsolidointiryhmien ja konsolidointiryhmien tasolla.

(3)

Finanssiyhteisöjen koko, rakenne ja sisäinen organisaatio sekä niiden toiminnan luonne ja monimutkaisuus vaihtelevat suuresti. On tarpeen ottaa huomioon tämä monimuotoisuus ja asettaa tiettyjä sääntelyn perusvaatimuksia, jotka soveltuvat kaikille finanssiyhteisöille, kun ne laativat toimintaperiaatteita liittyen TVT-palveluntarjoajana olevien kolmansien osapuolten tarjoamien, kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen käyttöä koskeviin sopimusjärjestelyihin, jäljempänä ’toimintaperiaatteet’, ja varmistettava, että kyseisiä vaatimuksia sovelletaan oikeasuhteisesti.

(4)	Jos finanssiyhteisöt kuuluvat konserniin, emoyrityksen, joka on vastuussa konsolidointiryhmän tai alakonsolidointiryhmän tilinpäätöksen toimittamisesta konsernin puolesta, olisi sen vuoksi varmistettava, että toimintaperiaatteita sovelletaan konsernin sisällä yhdenmukaisella tavalla.

(5)

Toimintaperiaatteita sovellettaessa konsernin sisäisiä TVT-palveluntarjoajia, mukaan lukien niitä, jotka samaan laitosten suojajärjestelmään kuuluvat finanssiyhteisöt omistavat kokonaan tai yhteisesti, olisi pidettävä TVT-palveluntarjoajana olevina kolmansina osapuolina. Konsernin sisäisten TVT-palveluntarjoajien aiheuttamat riskit voivat olla erilaisia, mutta asetuksen (EU) 2022/2554 nojalla niihin sovelletaan samoja vaatimuksia. Vastaavasti toimintaperiaatteita olisi sovellettava alihankkijoihin, jotka tarjoavat kriittisiä tai tärkeitä toimintoja tai niiden olennaisia osia tukevia TVT-palveluja TVT-palveluntarjoajana oleville kolmansille osapuolille, jos käytössä on TVT-palveluntarjoajana olevien kolmansien osapuolten ketju.

(6)

Yleinen periaate on, että ylimmällä hallintoelimellä on lopullinen vastuu finanssiyhteisön TVT-riskin hallinnasta, ja tätä periaatetta sovelletaan myös TVT-palveluntarjoajana olevien kolmansien osapuolten käyttöön. Vastuun myötä ylimmän hallintoelimen olisi myös osallistuttava jatkuvasti TVT-riskinhallinnan valvontaan ja seurantaan, mukaan lukien toimintaperiaatteiden hyväksyminen ja tarkistaminen vähintään kerran vuodessa.

(7)

Jotta varmistetaan asianmukainen raportointi ylimmälle hallintoelimelle, toimintaperiaatteissa olisi selkeästi täsmennettävä ja yksilöitävä sisäiset vastuut, jotka liittyvät TVT-palveluntarjoajana olevien kolmansien osapuolten tarjoamien, kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen käyttöä koskevien sopimusjärjestelyjen, jäljempänä ’sopimusjärjestelyt’, hyväksymiseen, hallinnointiin, valvontaan ja dokumentointiin, mukaan lukien asetuksen (EU) 2022/2554 28 artiklan 1 kohdan a alakohdassa tarkoitettujen sopimusjärjestelyjen nojalla tarjottavat TVT-palvelut.

(8)	Jotta voidaan ottaa huomioon kaikki riskit, joita voi syntyä, kun tehdään sopimuksia kriittisiä tai tärkeitä toimintoja tukevista TVT-palveluista, toimintaperiaatteilla olisi katettava kolmansien osapuolten kanssa tehtyjen sopimusjärjestelyjen elinkaaren kunkin päävaiheen kaikki vaiheet.

(9)

Havaittujen riskien lieventämiseksi toimintaperiaatteissa olisi määritettävä sopimusjärjestelyjen suunnittelu, mukaan lukien riskinarviointi, asianmukainen huolellisuus ja kyseisiin sopimusjärjestelyihin tehtävien uusien tai olennaisten muutosten hyväksymisprosessi. Jotta voidaan hallita mahdollisesti syntyviä riskejä ennen sopimusjärjestelyn tekemistä TVT-palveluntarjoajana olevan kolmannen osapuolen kanssa, toimintaperiaatteissa olisi määritettävä asianmukainen ja oikeasuhteinen prosessi mahdollisten TVT-palveluntarjoajana olevien kolmansien osapuolten valitsemiseksi ja niiden sopivuuden arvioimiseksi ja edellytettävä, että finanssiyhteisö ottaa huomioon ei-tyhjentävän luettelon ominaisuuksista, jotka TVT-palveluntarjoajana olevilla kolmansilla osapuolilla olisi oltava. Luettelon olisi sisällettävä palveluntarjoajien maineeseen, niiden varallisuuteen, henkilöresursseihin ja teknisiin resursseihin, tietoturvallisuuteen, organisaatiorakenteeseen, riskinhallinta mukaan luettuna, ja sisäiseen valvontaan liittyviä seikkoja.

(10)

Jotta voidaan varmistaa moitteeton riskinhallinta TVT-palveluntarjoajana olevien kolmansien osapuolten tarjoamien, kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen tarjonnassa, toimintaperiaatteisiin olisi sisällyttävä tiedot sopimusjärjestelyjen täytäntöönpanosta, seurannasta ja hallinnoinnista, tarvittaessa myös konsolidointiryhmän ja alakonsolidointiryhmän tasolla. Tähän sisältyvät vaatimukset finanssiyhteisöjen ja TVT-palveluntarjoajana olevien kolmansien osapuolten keskinäisiä velvoitteita koskevista sopimuslausekkeista, jotka olisi vahvistettava kirjallisesti. Jotta voidaan varmistaa tehokas valvonta ja edistää häiriönsietokykyä liiketoimintamallin tai liiketoimintaympäristön muuttuessa, toimintaperiaatteilla olisi varmistettava finanssiyhteisöjen tai nimettyjen kolmansien osapuolten ja toimivaltaisten viranomaisten oikeus tehdä tarkastuksia ja saada tietoja, ja niissä olisi myös täsmennettävä irtautumisstrategiat ja päättämisprosessit.

(11)

Siltä osin kuin TVT-palveluntarjoajana olevat kolmannet osapuolet käsittelevät henkilötietoja, toimintaperiaatteilla ja mahdollisilla sopimusjärjestelyillä ei ole vaikutusta Euroopan parlamentin ja neuvoston asetuksen (EU) 2016/679 (2) mukaisiin velvoitteisiin, kuten henkilötietojen käsittelyä koskevan kirjallisen sopimuksen tekeminen, vaatimus varmistaa henkilötietojen käsittelyn turvallisuus ja vahvistaa kaikki muut kyseisessä asetuksessa edellytetyt seikat, ja niillä olisi täydennettävä kyseisiä velvoitteita.

(12)

Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1093/2010 (3) 54 artiklassa, Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1094/2010 (4) 54 artiklassa ja Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1095/2010 (5) 54 artiklassa tarkoitettu Euroopan valvontaviranomaisten yhteiskomitea on järjestänyt avoimia julkisia kuulemisia teknisten sääntelystandardien luonnoksista, joihin tämä asetus perustuu, analysoinut ehdotettujen standardien mahdollisia kustannuksia ja hyötyjä sekä pyytänyt neuvontaa asetuksen (EU) N:o 1093/2010 37 artiklan mukaisesti perustetulta pankkialan osallisryhmältä, asetuksen (EU) N:o 1094/2010 37 artiklan mukaisesti perustetuilta vakuutus- ja jälleenvakuutusalan osallisryhmältä ja lisäeläkealan osallisryhmältä sekä asetuksen (EU) N:o 1095/2010 37 artiklan mukaisesti perustetulta arvopaperimarkkina-alan osallisryhmältä.

(13)	Euroopan tietosuojavaltuutettua on kuultu Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1725 (6) 42 artiklan 1 kohdan mukaisesti, ja hän on antanut lausuntonsa 24 päivänä tammikuuta 2024,

ON HYVÄKSYNYT TÄMÄN ASETUKSEN:

1 artikla

Yleinen riskiprofiili ja monimutkaisuus

TVT-palveluntarjoajana olevien kolmansien osapuolten tarjoamien, kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen käyttöä koskevissa toimintaperiaatteissa, jäljempänä ’toimintaperiaatteet’, on otettava huomioon finanssiyhteisön koko ja yleinen riskiprofiili sekä sen palvelujen, toiminnan ja toimintojen luonne, laajuus ja monimutkaisuutta lisäävät tai vähentävät tekijät, mukaan lukien tekijät, jotka liittyvät

niiden TVT-palvelujen tyyppiin, jotka sisältyvät finanssiyhteisön ja TVT-palveluntarjoajana olevan kolmannen osapuolen välillä tehtyyn sopimusjärjestelyyn TVT-palveluntarjoajana olevien kolmansien osapuolten tarjoamien, kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen käytöstä, jäljempänä ’sopimusjärjestely’;

b)	TVT-palveluntarjoajana olevan kolmannen osapuolen sijaintiin tai sen emoyhtiön sijaintiin;

c)	siihen, tarjoaako kriittisiä tai tärkeitä toimintoja tukevat TVT-palvelut jäsenvaltiossa vai kolmannessa maassa sijaitseva TVT-palveluntarjoajana oleva kolmas osapuoli, ottaen huomioon myös paikka, josta TVT-palveluja tarjotaan, ja paikka, jossa tietoja käsitellään ja säilytetään;

d)	TVT-palveluntarjoajana olevan kolmannen osapuolen kanssa jaettujen tietojen luonteeseen;

e)	siihen, kuuluuko TVT-palveluntarjoajana oleva kolmas osapuoli samaan konserniin kuin finanssiyhteisö, jolle palveluja tarjotaan;

siihen, käytetäänkö sellaisia TVT-palveluntarjoajana olevia kolmansia osapuolia, joille jäsenvaltion toimivaltainen viranomainen on myöntänyt toimiluvan tai jotka jäsenvaltion toimivaltainen viranomainen on rekisteröinyt tai joita jäsenvaltion toimivaltainen viranomainen valvoo taikka joihin sovelletaan asetuksen (EU) 2022/2554 V luvun II jakson mukaista valvontakehystä, vai käytetäänkö muunlaisia TVT-palveluntarjoajana olevia kolmansia osapuolia;

siihen, käytetäänkö sellaisia TVT-palveluntarjoajana olevia kolmansia osapuolia, joille kolmannen maan toimivaltainen viranomainen on myöntänyt toimiluvan tai jotka kolmannen maan toimivaltainen viranomainen on rekisteröinyt tai joita kolmannen maan toimivaltainen viranomainen valvoo, vai käytetäänkö muunlaisia TVT-palveluntarjoajana olevia kolmansia osapuolia;

h)	siihen, onko kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen tarjonta keskittynyt yhdelle TVT-palveluntarjoajana olevalle kolmannelle osapuolelle vai pienelle määrälle tällaisia palveluntarjoajia;

i)	kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen siirrettävyyteen toiselle TVT-palveluntarjoajana olevalle kolmannelle osapuolelle, ottaen huomioon myös teknologian erityispiirteiden vaikutus;

j)	mahdolliseen vaikutukseen, joka kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen tarjoamisen häiriöillä on finanssiyhteisön toiminnan jatkuvuuteen ja sen palvelujen saatavuuteen.

2 artikla

Ryhmiin soveltaminen

Kun tätä asetusta sovelletaan alakonsolidointiryhmän tai konsolidointiryhmän tasolla, emoyrityksen, joka on vastuussa konsolidointiryhmän tai alakonsolidointiryhmän tilinpäätöksen toimittamisesta konsernin puolesta, on varmistettava, että toimintaperiaatteita noudatetaan yhdenmukaisesti kaikissa konserniin kuuluvissa finanssiyhteisöissä ja että ne ovat riittävät tämän asetuksen tehokkaaseen soveltamiseen ryhmän kaikilla asiaankuuluvilla tasoilla.

3 artikla

Hallintojärjestelyt

1. Ylimmän hallintoelimen on tarkasteltava toimintaperiaatteita uudelleen vähintään kerran vuodessa ja päivitettävä niitä tarvittaessa. Toimintaperiaatteisiin tehdyt muutokset on otettava käyttöön viipymättä ja niin pian kuin se on mahdollista asiaankuuluvien sopimusjärjestelyjen puitteissa. Finanssiyhteisön on dokumentoitava suunniteltu täytäntöönpanoaikataulu.

2. Toimintaperiaatteissa on vahvistettava menetelmä, jolla määritetään, mitkä TVT-palvelut tukevat kriittisiä tai tärkeitä toimintoja, tai annettava viittaus tällaiseen menetelmään. Toimintaperiaatteissa on myös täsmennettävä, milloin tämä arviointi on tehtävä ja milloin sitä on tarkistettava.

3. Toimintaperiaatteissa on selkeästi osoitettava sisäiset vastuut, jotka liittyvät asiaankuuluvien sopimusjärjestelyjen hyväksymiseen, hallinnointiin, valvontaan ja dokumentointiin, ja varmistettava, että finanssiyhteisössä ylläpidetään asianmukaisia taitoja, kokemusta ja tietämystä, jotta voidaan tehokkaasti valvoa asiaankuuluvia sopimusjärjestelyjä, mukaan lukien kyseisten järjestelyjen nojalla tarjottavat TVT-palvelut.

4. Toimintaperiaatteissa on edellytettävä, että TVT-palveluntarjoajana olevalla kolmannella osapuolella arvioidaan olevan riittävät resurssit, jotta varmistetaan, että finanssiyhteisö noudattaa kaikkia siihen sovellettavia oikeudellisia ja sääntelyvaatimuksia tarjottavien, kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen osalta, sanotun kuitenkaan rajoittamatta finanssiyhteisön lopullista vastuuta valvoa tehokkaasti asiaankuuluvia sopimusjärjestelyjä.

5. Toimintaperiaatteissa on selkeästi yksilöitävä tehtävä tai ylimmän johdon jäsen, joka vastaa asiaankuuluvien sopimusjärjestelyjen seurannasta. Toimintaperiaatteissa on täsmennettävä, miten kyseisen tehtävän tai ylimmän johdon jäsenen on tehtävä yhteistyötä valvontatoimintojen kanssa, paitsi jos se on osa valvontatoimintoa, ja vahvistettava raportointisuhteet ylimmän hallintoelimen kanssa, mukaan lukien raportoitavien tietojen ja toimitettavien asiakirjojen luonne. Niissä on myös vahvistettava raportointitiheys.

6. Toimintaperiaatteilla on varmistettava, että sopimusjärjestelyt ovat yhdenmukaisia seuraavien kanssa:

a)	asetuksen (EU) 2022/2554 6 artiklassa tarkoitettu TVT-riskinhallintajärjestelmä;

b)	asetuksen (EU) 2022/2554 9 artiklan 4 kohdassa tarkoitettu tietoturvapolitiikka;

c)	asetuksen (EU) 2022/2554 11 artiklassa tarkoitetut TVT-liiketoiminnan jatkuvuutta koskevat toimintaperiaatteet;

d)	asetuksen (EU) 2022/2554 19 artiklassa vahvistetut TVT:hen liittyvistä poikkeamista raportointia koskevat vaatimukset.

7. Toimintaperiaatteissa on edellytettävä, että kriittisiä tai tärkeitä toimintoja tukevista TVT-palveluntarjoajana olevien kolmansien osapuolten TVT-palveluista tehdään riippumaton arviointi ja ne sisällytetään auditointisuunnitelmaan.

8. Toimintaperiaatteissa on nimenomaisesti täsmennettävä sopimusjärjestelyjen osalta, että

a)	ne eivät vapauta finanssiyhteisöä ja sen ylintä hallintoelintä niiden lakisääteisistä velvoitteista tai velvollisuuksista asiakkaitaan kohtaan;

b)	ne eivät estä finanssiyhteisön tehokasta valvontaa eivätkä ole ristiriidassa palveluja ja toimintaa koskevien valvontarajoitusten kanssa;

c)	niissä edellytetään, että TVT-palveluntarjoajana olevat kolmannet osapuolet tekevät yhteistyötä toimivaltaisten viranomaisten kanssa;

d)	niissä edellytetään, että finanssiyhteisöllä, sen tarkastajilla ja toimivaltaisilla viranomaisilla on tosiasiallinen pääsy kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen käyttöön liittyviin tietoihin ja tiloihin.

4 artikla

Sopimusjärjestelyjen hyväksymisen ja käytön elinkaaren päävaiheet

Toimintaperiaatteissa on määritettävä sopimusjärjestelyn elinkaaren kutakin päävaihetta koskevat vaatimukset, mukaan lukien säännöt, vastuut ja prosessit, ainakin seuraavien osalta:

a)	ylimmän hallintoelimen vastuualueet, mukaan lukien tarvittaessa sen osallistuminen TVT-palveluntarjoajana olevien kolmansien osapuolten tarjoamien, kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen käyttöä koskevaan päätöksentekoon;

b)	sopimusjärjestelyjen suunnittelu, mukaan lukien 5 ja 6 artiklassa tarkoitettu riskinarviointi ja asianmukainen huolellisuus sekä ja 8 artiklan 4 kohdassa tarkoitettu sopimusjärjestelyjen uusia tai olennaisia muutoksia koskeva hyväksymisprosessi;

c)	liiketoimintayksiköiden, sisäisen valvonnan ja muiden asiaankuuluvien yksiköiden osallistuminen sopimusjärjestelyihin;

d)	7, 8 ja 9 artiklassa tarkoitettujen sopimusjärjestelyjen täytäntöönpano, seuranta ja hallinnointi, tarvittaessa myös konsolidointiryhmän ja alakonsolidointiryhmän tasolla;

e)	dokumentointi ja tietojen säilyttäminen ottaen huomioon asetuksen (EU) 2022/2554 28 artiklan 3 kohdassa säädetyt tietorekisteriä koskevat vaatimukset;

f)	10 artiklassa vahvistetut irtautumisstrategiat ja päättämisprosessit.

5 artikla

Riskien ennakkoarviointi

1. Toimintaperiaatteissa on edellytettävä, että finanssiyhteisön liiketoimintatarpeet määritellään ennen sopimusjärjestelyn tekemistä.

2. Toimintaperiaatteissa on edellytettävä, että riskinarviointi tehdään finanssiyhteisön tasolla ja tarvittaessa konsolidointiryhmän ja alakonsolidointiryhmän tasolla ennen sopimusjärjestelyn tekemistä.

Riskinarvioinnissa on otettava huomioon kaikki asiaankuuluvat vaatimukset, joista säädetään asetuksessa (EU) 2022/2554 ja sovellettavassa alakohtaisessa unionin lainsäädännössä. Erityisesti siinä on otettava huomioon TVT-palveluntarjoajana olevien kolmansien osapuolten tarjoamien, kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen tarjoamisen vaikutus finanssiyhteisöön ja kaikki riskit, joita aiheutuu TVT-palveluntarjoajana olevien kolmansien osapuolten tarjoamien, kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen tarjoamisesta, mukaan lukien seuraavat:

a)	operatiiviset riskit.

b)	oikeudelliset riskit;

c)	TVT-riskit;

d)	maineriskit:

e)	luottamuksellisten tietojen tai henkilötietojen suojaan liittyvät riskit;

f)	tietojen saatavuuteen liittyvät riskit;

g)	käsittely- ja säilytyspaikkaan liittyvät riskit;

h)	TVT-palveluntarjoajana olevan kolmannen osapuolen sijaintipaikkaan liittyvät riskit;

i)	TVT-keskittymäriskit yhteisön tasolla.

6 artikla

Asianmukainen huolellisuus

1. Toimintaperiaatteissa on vahvistettava asianmukainen ja oikeasuhteinen menettely mahdollisten TVT-palveluntarjoajana olevien kolmansien osapuolten valitsemista ja arvioimista varten ottaen huomioon, onko TVT-palveluntarjoajana oleva kolmas osapuoli konsernin sisäinen TVT-palveluntarjoaja, ja edellytettävä, että ennen sopimusjärjestelyn tekemistä finanssiyhteisö arvioi TVT-palveluntarjoajana olevan kolmannen osapuolen osalta,

onko sillä riittävä maine, osaaminen ja asiantuntemus sekä riittävät varat, henkilöresurssit ja tekniset resurssit, asianmukaiset tietoturvastandardit, asianmukainen organisaatiorakenne, riskinhallinta ja sisäinen valvonta sekä mahdolliset tarvittavat luvat tai rekisteröinnit kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen tarjoamiseksi luotettavasti ja ammattimaisesti;

b)	pystyykö se seuraamaan asiaan liittyvää teknologista kehitystä ja tunnistamaan TVT-turvallisuuden johtavat käytännöt ja panemaan ne tarvittaessa täytäntöön tehokkaan ja vakaan digitaalisen häiriönsietokyvyn kehyksen luomiseksi;

c)	käyttääkö se tai aikooko se käyttää TVT-alihankkijoita kriittisiä tai tärkeitä toimintoja tai niiden olennaisia osia tukevien TVT-palvelujen suorittamiseen;

sijaitseeko se kolmannessa maassa tai käsitteleekö tai tallentaako se tietoja kolmannessa maassa, ja jos näin on, vaikuttaako tämä käytäntö sellaisten operatiivisten tai maineeseen liittyvien riskien tasoon tai riskiin altistua rajoittaville toimenpiteille, kuten vientikielloille ja pakotteille, jotka vaikuttavat TVT-palveluntarjoajana olevan kolmannen osapuolen kykyyn tarjota TVT-palveluja tai finanssiyhteisön mahdollisuuksiin saada kyseisiä TVT-palveluja;

e)	hyväksyykö se sopimusjärjestelyt, joilla varmistetaan, että finanssiyhteisö, nimetyt kolmannet osapuolet ja toimivaltaiset viranomaiset voivat tosiasiallisesti suorittaa TVT-palveluntarjoajana olevan kolmannen osapuolen toiminnan tarkastuksia, myös paikan päällä;

f)	toimiiko se eettisesti ja sosiaalisesti vastuullisella tavalla, kunnioittaako se ihmisoikeuksia ja lasten oikeuksia, mukaan lukien lapsityövoiman käytön kieltäminen, noudattaako se sovellettavia ympäristönsuojelun periaatteita ja varmistaako se asianmukaiset työolot.

2. Toimintaperiaatteissa on määritettävä varmuustaso, jota edellytetään TVT-palveluntarjoajana olevien kolmansien osapuolten riskinhallintajärjestelmältä siltä osin kuin se liittyy kriittisiä tai tärkeitä toimintoja tukeviin TVT-palveluihin, joita TVT-palveluntarjoajana olevan kolmannen osapuolen on määrä tarjota. Toimintaperiaatteissa on edellytettävä, että asianmukaisen huolellisuuden menettelyyn sisältyy arvio siitä, onko riskinhallintatoimenpiteitä ja liiketoiminnan jatkuvuutta koskevia toimenpiteitä käytössä, ja siitä, miten niiden toiminta TVT-palveluntarjoajana olevassa kolmannessa osapuolessa on varmistettu.

3. Toimintaperiaatteissa on määritettävä asianmukaisen huolellisuuden menettely mahdollisten TVT-palveluntarjoajana olevien kolmansien osapuolten valitsemista ja arvioimista varten, ja niissä on ilmoitettava, mitä seuraavista on käytettävä TVT-palveluntarjoajana olevan kolmannen osapuolen suorituskyvyltä vaaditun varmuustason osoittamiseen:

a)	finanssiyhteisön suorittamat tai sen puolesta suoritetut tarkastukset tai riippumattomat arvioinnit;

b)	TVT-palveluntarjoajana olevan kolmannen osapuolen pyynnöstä laaditut riippumattomat auditointiraportit;

c)	TVT-palveluntarjoajana olevan kolmannen osapuolen sisäisen tarkastuksen laatimat auditointiraportit;

d)	asianmukaiset kolmansien osapuolten sertifioinnit;

e)	finanssiyhteisön saatavilla olevat muut merkitykselliset tiedot tai TVT-palveluntarjoajana olevan kolmannen osapuolen toimittamat muut tiedot.

4. Finanssiyhteisöjen on varmistettava TVT-palveluntarjoajana olevan kolmannen osapuolen suorituskyvyn asianmukainen varmuustaso ottaen huomioon 3 kohdan a–e alakohdassa luetellut seikat. Tarvittaessa on käytettävä useampaa kuin yhtä kyseisissä alakohdissa lueteltua seikkaa.

7 artikla

Eturistiriidat

1. Toimintaperiaatteissa on määritettävä asianmukaiset toimenpiteet TVT-palveluntarjoajana olevien kolmansien osapuolten käytöstä johtuvien todellisten tai mahdollisten eturistiriitojen tunnistamiseksi, ehkäisemiseksi ja hallitsemiseksi ennen asiaankuuluvien sopimusjärjestelyjen tekemistä, ja niissä on määrättävä tällaisten eturistiriitojen jatkuvasta seurannasta.

2. Jos kriittisiä tai tärkeitä toimintoja tukevia TVT-palveluja tarjoavat konsernin sisäiset TVT-palveluntarjoajat, toimintaperiaatteissa on täsmennettävä, että päätökset TVT-palvelujen edellytyksistä, myös taloudellisista edellytyksistä, on tehtävä objektiivisesti.

8 artikla

Sopimuslausekkeet

1. Toimintaperiaatteissa on täsmennettävä, että asianomaisen sopimusjärjestelyn on oltava kirjallinen ja sen on sisällettävä kaikki asetuksen (EU) 2022/2554 30 artiklan 2 ja 3 kohdassa tarkoitetut seikat. Toimintaperiaatteisiin on sisällyttävä myös asetuksen (EU) 2022/2554 1 artiklan 1 kohdan a alakohdassa sekä tarvittaessa muussa asiaankuuluvassa unionin ja kansallisessa lainsäädännössä tarkoitettuja vaatimuksia koskevat seikat.

2. Toimintaperiaatteissa on täsmennettävä, että asiaankuuluviin sopimusjärjestelyihin on sisällyttävä finanssiyhteisön oikeus saada tietoja, suorittaa tarkastuksia ja auditointeja sekä tehdä TVT-testejä. Tätä varten toimintaperiaatteissa on edellytettävä, että finanssiyhteisö käyttää seuraavia menetelmiä, sanotun kuitenkaan rajoittamatta finanssiyhteisön lopullista vastuuta:

a)	oma sisäinen auditointi tai nimetyn kolmannen osapuolen suorittama auditointi;

tarvittaessa yhdistetyt auditoinnit ja yhdistetty TVT-testaus, mukaan lukien uhkaperusteinen tunkeutumistestaus, jotka järjestetään yhdessä muiden sellaisten sopimuksen tehneiden finanssiyhteisöjen tai yritysten kanssa, jotka käyttävät saman TVT-palveluntarjoajana olevan kolmannen osapuolen TVT-palveluja; auditoinnit ja testauksen suorittavat kyseiset finanssiyhteisöt tai yritykset tai niiden nimeämä kolmas osapuoli;

c)	tarvittaessa kolmannen osapuolen sertifioinnit;

d)	tarvittaessa TVT-palveluntarjoajana olevan kolmannen osapuolen saataville asettamat sisäiset tai kolmannen osapuolen auditointiraportit.

3. Finanssiyhteisö ei saa pitkällä aikavälillä tukeutua yksinomaan 2 kohdan c alakohdassa tarkoitettuihin sertifiointeihin tai kyseisen kohdan d alakohdassa tarkoitettuihin auditointiraportteihin. Toimintaperiaatteissa on sallittava 2 kohdan c ja d alakohdassa tarkoitettujen menetelmien käyttö vain, jos finanssiyhteisö

a)	katsoo, että TVT-palveluntarjoajana olevan kolmannen osapuolen auditointisuunnitelma on tyydyttävä asiaankuuluvien sopimusjärjestelyjen osalta;

b)	varmistaa, että sertifioinnit tai auditointiraportit kattavat sen yksilöimät järjestelmät ja keskeiset valvontatoimet ja varmistaa asiaankuuluvien sääntelyvaatimusten noudattamisen;

c)	arvioi perusteellisesti ja jatkuvasti sertifiointien tai auditointiraporttien sisältöä ja varmistaa, että raportit tai sertifioinnit eivät ole vanhentuneita;

d)	varmistaa, että sertifioinnin tai auditointiraportin tulevissa versioissa otetaan huomioon keskeiset järjestelmät ja valvontatoimet;

e)	katsoo, että sertifioivan tai auditoivan tahon soveltuvuus tehtävään on tyydyttävä;

f)	on vakuuttunut siitä, että sertifioinnit annetaan ja auditoinnit suoritetaan yleisesti tunnustettujen asiaankuuluvien ammatillisten standardien mukaisesti ja että niihin sisältyy käytössä olevien keskeisten valvontatoimien tehokkuuden testaaminen;

g)	pitää itsellään sopimukseen perustuvan oikeuden pyytää riskinhallinnan näkökulmasta kohtuullisella ja perustellulla tiheydellä muuttamaan sertifiointien tai auditointiraporttien laajuutta kattamaan muita asiaankuuluvia järjestelmiä ja tarkastuksia;

h)	pitää itsellään sopimukseen perustuvan oikeuden tehdä harkintansa mukaan yksilöllisiä ja yhdistettyjä auditointeja sopimusjärjestelyjen osalta ja käyttää kyseistä oikeutta sovitulla tiheydellä.

4. Toimintaperiaatteilla on varmistettava, että sopimusjärjestelyn olennaiset muutokset virallistetaan kirjallisessa asiakirjassa, jonka kaikki osapuolet päiväävät ja allekirjoittavat ja jossa määritetään sopimusjärjestelyjen uusimisprosessi.

9 artikla

Sopimusjärjestelyjen seuranta

1. Toimintaperiaatteissa on edellytettävä, että sopimusjärjestelyissä määritetään toimenpiteet ja keskeiset indikaattorit, joilla seurataan jatkuvasti TVT-palveluntarjoajana olevien kolmansien osapuolten toimintaa, mukaan lukien toimenpiteet, joilla seurataan datan ja tietojen luottamuksellisuutta, saatavuutta, eheyttä ja aitoutta koskevien vaatimusten noudattamista sekä sitä, että TVT-palveluntarjoajana olevat kolmannet osapuolet noudattavat finanssiyhteisön asiaankuuluvia toimintaperiaatteita ja menettelyjä. Toimintaperiaatteissa on myös määritettävä toimenpiteet, joita sovelletaan, jos palvelutasosopimuksia ei noudateta, mukaan lukien tarvittaessa sopimusperusteiset seuraamukset.

2. Toimintaperiaatteissa on määritettävä, miten finanssiyhteisön on määrä arvioida, täyttävätkö kriittisiä tai tärkeitä toimintoja tukeviin TVT-palveluihin käytettävät TVT-palveluntarjoajana olevat kolmannet osapuolet asianmukaiset suorituskyky- ja laatuvaatimukset sopimusjärjestelyn ja finanssiyhteisön omien toimintaperiaatteiden mukaisesti. Toimintaperiaatteissa on erityisesti varmistettava kaikki seuraavat:

TVT-palveluntarjoajana olevat kolmannet osapuolet toimittavat finanssiyhteisölle asianmukaiset raportit toiminnastaan ja palveluistaan, mukaan lukien määräaikaisraportit, poikkeamaraportit, palveluntarjontaraportit, TVT-turvallisuutta koskevat raportit sekä liiketoiminnan jatkuvuutta koskevia toimenpiteitä ja testausta koskevat raportit;

b)	TVT-palveluntarjoajana olevien kolmansien osapuolten suorituskykyä arvioidaan keskeisten tulosindikaattoreiden, keskeisten valvontaindikaattoreiden, auditointien, oman varmennuksen ja riippumattomien arviointien avulla finanssiyhteisön TVT-riskinhallintakehyksen mukaisesti;

c)	finanssiyhteisö saa muita merkityksellisiä tietoja TVT-palveluntarjoajana olevilta kolmansilta osapuolilta;

d)	finanssiyhteisölle ilmoitetaan tarvittaessa TVT:hen liittyvistä poikkeamista ja toiminnan harjoittamiseen tai turvallisuuteen vaikuttavista maksuihin liittyvistä poikkeamista;

e)	suoritetaan riippumaton arviointi ja auditoinnit, joilla todennetaan oikeudellisten ja sääntelyyn liittyvien vaatimusten ja politiikkojen noudattaminen.

3. Toimintaperiaatteissa on täsmennettävä, että 2 kohdassa tarkoitettu arviointi on dokumentoitava ja sen tuloksia on käytettävä 6 artiklassa tarkoitetun finanssiyhteisön riskinarvioinnin päivittämiseen.

4. Toimintaperiaatteissa on vahvistettava asianmukaiset toimenpiteet, jotka finanssiyhteisön on toteutettava, jos se havaitsee TVT-palveluntarjoajana olevan kolmannen osapuolen toiminnassa puutteita, mukaan lukien TVT:hen liittyvät poikkeamat ja toiminnan harjoittamiseen tai turvallisuuteen vaikuttaviin maksuihin liittyvät poikkeamat, kriittisiä tai tärkeitä toimintoja tukevien TVT-palvelujen tarjoamisen tai sopimusjärjestelyjen tai oikeudellisten vaatimusten noudattamisen osalta. Niissä on myös täsmennettävä, miten tällaisten toimenpiteiden täytäntöönpanoa on seurattava, jotta varmistetaan, että niitä tosiasiallisesti noudatetaan tietyssä määräajassa, ottaen huomioon puutteiden olennaisuus.

10 artikla

Sopimusjärjestelyistä irtautuminen ja niiden irtisanominen

Toimintaperiaatteisiin on sisällyttävä vaatimukset dokumentoidusta irtautumissuunnitelmasta kunkin sopimusjärjestelyn osalta sekä dokumentoidun irtautumissuunnitelman säännöllisestä tarkastelusta ja testauksesta. Irtautumissuunnitelmaa laadittaessa on otettava huomioon seuraavat seikat:

a)	ennakoimattomat ja jatkuvat palvelukatkokset;

b)	epäasianmukainen tai epäonnistunut palveluntarjonta;

c)	sopimusjärjestelyn odottamaton päättäminen.

Irtautumissuunnitelman on oltava realistinen ja toteuttamiskelpoinen, perustuttava uskottaviin skenaarioihin ja kohtuullisiin oletuksiin, ja sillä on oltava suunniteltu toteutusaikataulu, joka on yhteensopiva sopimusjärjestelyissä vahvistettujen irtautumista ja päättämistä koskevien ehtojen kanssa.

11 artikla

Voimaantulo

Tämä asetus tulee voimaan kahdentenakymmenentenä päivänä sen jälkeen, kun se on julkaistu Euroopan unionin virallisessa lehdessä.

Tämä asetus on kaikilta osiltaan velvoittava, ja sitä sovelletaan sellaisenaan kaikissa jäsenvaltioissa.

Tehty Brysselissä 13 päivänä maaliskuuta 2024.

Komission puolesta

Puheenjohtaja

Ursula VON DER LEYEN

(1) EUVL L 333, 27.12.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.

(2) Euroopan parlamentin ja neuvoston asetus (EU) 2016/679, annettu 27 päivänä huhtikuuta 2016, luonnollisten henkilöiden suojelusta henkilötietojen käsittelyssä sekä näiden tietojen vapaasta liikkuvuudesta ja direktiivin 95/46/EY kumoamisesta (yleinen tietosuoja-asetus) (EUVL L 119, 4.5.2016, s. 1).

(3) Euroopan parlamentin ja neuvoston asetus (EU) N:o 1093/2010, annettu 24 päivänä marraskuuta 2010, Euroopan valvontaviranomaisen (Euroopan pankkiviranomainen) perustamisesta sekä päätöksen N:o 716/2009/EY muuttamisesta ja komission päätöksen 2009/78/EY kumoamisesta (EUVL L 331, 15.12.2010, s. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).

(4) Euroopan parlamentin ja neuvoston asetus (EU) N:o 1094/2010, annettu 24 päivänä marraskuuta 2010, Euroopan valvontaviranomaisen (Euroopan vakuutus- ja lisäeläkeviranomainen) perustamisesta sekä päätöksen N:o 716/2009/EY muuttamisesta ja komission päätöksen 2009/79/EY kumoamisesta (EUVL L 331, 15.12.2010, s. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).

(5) Euroopan parlamentin ja neuvoston asetus (EU) N:o 1095/2010, annettu 24 päivänä marraskuuta 2010, Euroopan valvontaviranomaisen (Euroopan arvopaperimarkkinaviranomainen) perustamisesta sekä päätöksen N:o 716/2009/EY muuttamisesta ja komission päätöksen 2009/77/EY kumoamisesta (EUVL L 331, 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).

(6) Euroopan parlamentin ja neuvoston asetus (EU) 2018/1725, annettu 23 päivänä lokakuuta 2018, luonnollisten henkilöiden suojelusta unionin toimielinten, elinten ja laitosten suorittamassa henkilötietojen käsittelyssä ja näiden tietojen vapaasta liikkuvuudesta sekä asetuksen (EY) N:o 45/2001 ja päätöksen N:o 1247/2002/EY kumoamisesta (EUVL L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).