Europos Sąjungos
oficialusis leidinys
LT
L serija
|
|
Europos Sąjungos |
LT L serija |
|
2024/1773 |
2024 6 25 |
KOMISIJOS DELEGUOTASIS REGLAMENTAS (ES) 2024/1773
2024 m. kovo 13 d.
kuriuo Europos Parlamento ir Tarybos reglamentas (ES) 2022/2554 papildomas techniniais reguliavimo standartais, kuriais nustatomas politikos, taikomos sutartimi įformintiems susitarimams dėl IRT paslaugas teikiančių trečiųjų šalių teikiamų IRT paslaugų, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, naudojimo, išsamus turinys
(Tekstas svarbus EEE)
EUROPOS KOMISIJA,
atsižvelgdama į Sutartį dėl Europos Sąjungos veikimo,
atsižvelgdama į 2022 m. gruodžio 14 d. Europos Parlamento ir Tarybos reglamentą (ES) 2022/2554 dėl skaitmeninės veiklos atsparumo finansų sektoriuje, kuriuo iš dalies keičiami reglamentai (EB) Nr. 1060/2009, (ES) Nr. 648/2012, (ES) Nr. 600/2014, (ES) Nr. 909/2014 ir (ES) 2016/1011 (1), ypač į jo 28 straipsnio 10 dalies trečią pastraipą,
kadangi:
|
(1) |
Reglamentu (ES) 2022/2554 nustatytoje finansų sektoriaus skaitmeninės veiklos atsparumo sistemoje reikalaujama, kad finansų sektoriaus subjektai nustatytų tam tikrus pagrindinius trečiosios šalies keliamos IRT rizikos valdymo principus, kurie yra ypač svarbūs, kai finansų sektoriaus subjektai savo ypatingos svarbos arba svarbioms funkcijoms palaikyti samdo IRT paslaugas teikiančias trečiąsias šalis; |
|
(2) |
taikydami IRT rizikos valdymo sistemą, finansų sektoriaus subjektai turi priimti ir reguliariai peržiūrėti trečiosios šalies keliamos IRT rizikos strategiją. Pagal Reglamento (ES) 2022/2554 28 straipsnio 2 dalį ta strategija turi apimti IRT paslaugas teikiančių trečiųjų šalių teikiamų IRT paslaugų, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, naudojimo politiką. Ji turi būti taikoma individualiu ir, kai aktualu, iš dalies konsoliduotu ir konsoliduotu pagrindu; |
|
(3) |
finansų sektoriaus subjektų dydis, struktūra ir organizacinė vidaus struktūra, taip pat jų veiklos ir operacijų pobūdis bei sudėtingumas labai skiriasi. Į tą įvairovę būtina atsižvelgti nustatant tam tikrus esminius reguliavimo reikalavimus, kurie būtų tinkami visiems finansų sektoriaus subjektams, rengiantiems politiką, taikomą sutartimi įformintiems susitarimams dėl IRT paslaugas teikiančių trečiųjų šalių teikiamų IRT paslaugų, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, naudojimo (toliau – politika), taip pat būtina užtikrinti, kad tie reikalavimai būtų taikomi proporcingai; |
|
(4) |
kai finansų sektoriaus subjektai priklauso grupei, patronuojančioji įmonė, įpareigota teikti konsoliduotas arba iš dalies konsoliduotas grupės finansines ataskaitas, turėtų užtikrinti, kad politika visoje grupėje būtų taikoma nuosekliai ir suderintai; |
|
(5) |
taikant politiką, grupės vidaus IRT paslaugų teikėjai, įskaitant tuos, kurie visiškai arba kolektyviai priklauso finansų sektoriaus subjektams toje pačioje institucinėje užtikrinimo sistemoje, turėtų būti laikomi IRT paslaugas teikiančiomis trečiosiomis šalimis. Grupės vidaus IRT paslaugų teikėjų keliama rizika gali būti skirtinga, tačiau jiems pagal Reglamentą (ES) 2022/2554 taikomi tie patys reikalavimai. Politika taip pat turėtų būti taikoma subrangovams, kurie teikia IRT paslaugas, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, ar reikšmingas jų dalis, IRT paslaugas teikiančioms trečiosioms šalims, kai egzistuoja IRT paslaugas teikiančių trečiųjų šalių grandinė; |
|
(6) |
galutinė valdymo organo atsakomybė už finansų sektoriaus subjekto IRT rizikos valdymą yra visa apimantis principas, taip pat taikomas naudojantis IRT paslaugas teikiančių trečiųjų šalių paslaugomis. Ši atsakomybė turėtų būti suprantama kaip nuolatinis valdymo organo įsipareigojimas dalyvauti kontroliuojant ir stebint IRT rizikos valdymą, be kita ko, priimant ir bent kartą per metus peržiūrint politiką; |
|
(7) |
siekiant užtikrinti, kad valdymo organui būtų tinkamai teikiamos ataskaitos, politikoje reikėtų aiškiai nustatyti ir priskirti vidinę atsakomybę už sutartimi įformintų susitarimų dėl IRT paslaugas teikiančių trečiųjų šalių teikiamų IRT paslaugų, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, naudojimo (toliau – sutartimi įforminti susitarimai), įskaitant IRT paslaugas, teikiamas pagal Reglamento (ES) 2022/2554 28 straipsnio 1 dalies a punkte nurodytus sutartimi įformintus susitarimus, patvirtinimą, valdymą, kontrolę ir dokumentavimą; |
|
(8) |
kad būtų galima atsižvelgti į visas įmanomas rizikas, kurių gali kilti sudarant sutartis dėl IRT paslaugų, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, politikos struktūra turėtų apimti visus sutartimi įformintų susitarimų su paslaugas teikiančiomis trečiosiomis šalimis gyvavimo ciklo kiekvieno pagrindinio etapo žingsnius; |
|
(9) |
siekiant sumažinti nustatytą riziką, politikoje turėtų būti patikslintas sutartimi įformintų susitarimų planavimas, įskaitant rizikos vertinimą, išsamų patikrinimą ir naujų arba reikšmingų tų sutartimi įformintų susitarimų pakeitimų patvirtinimo procesą. Kad būtų galima valdyti riziką, kuri gali kilti, prieš sudarant sutartimi įformintą susitarimą su IRT paslaugas teikiančia trečiąja šalimi politikoje reikėtų nustatyti tinkamą ir proporcingą numatomų IRT paslaugas teikiančių trečiųjų šalių atrankos ir tinkamumo vertinimo procesą ir reikalauti, kad finansų sektoriaus subjektas atsižvelgtų į nebaigtinį sąrašą elementų, kuriuos turėtų turėti kiekviena IRT paslaugas teikianti trečioji šalis. Į sąrašą turėtų būti įtraukti elementai, susiję su paslaugų teikėjų verslo reputacija, jų finansiniais, žmogiškaisiais ir techniniais ištekliais, informacijos saugumu, organizacine struktūra, įskaitant rizikos valdymą, ir vidaus kontrolės priemonėmis; |
|
(10) |
kad IRT paslaugas teikiančioms trečiosioms šalims teikiant IRT paslaugas, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, būtų užtikrintas patikimas rizikos valdymas, politikoje reikėtų pateikti informaciją apie sutartimi įformintų susitarimų įgyvendinimą, stebėjimą ir valdymą, be kita ko, kai taikoma, konsoliduotu ir iš dalies konsoliduotu lygmeniu. Ta informacija apima reikalavimus, susijusius su sutarčių sąlygomis dėl finansų sektoriaus subjektų ir IRT paslaugas teikiančių trečiųjų šalių abipusių įsipareigojimų, kurie turėtų būti išdėstyti raštu. Siekiant užtikrinti veiksmingą priežiūrą ir didinti atsparumą verslo modelio ar verslo aplinkos pokyčių atveju, politika turėtų užtikrinti finansų sektoriaus subjektų arba paskirtų trečiųjų šalių ir kompetentingų institucijų teises atlikti patikrinimus ir prieigą prie informacijos, taip pat turėtų būti papildomai patikslintos pasitraukimo strategijos ir nutraukimo procesai; |
|
(11) |
jeigu IRT paslaugas teikiančios trečiosios šalys tvarko asmens duomenis, ši politika ir visi sutartimi įforminti susitarimai nedaro poveikio Europos Parlamento ir Tarybos reglamente (ES) 2016/679 (2) nustatytoms pareigoms ir turėtų jas papildyti, pavyzdžiui, reikėtų turėti rašytinę sutartį, kurioje būtų aprašytas asmens duomenų tvarkymas, nustatytas reikalavimas užtikrinti asmens duomenų tvarkymo saugumą ir išdėstyti visi kiti pagal tą reglamentą reikalaujami elementai; |
|
(12) |
Europos priežiūros institucijų jungtinis komitetas, nurodytas Europos Parlamento ir Tarybos reglamento (ES) Nr. 1093/2010 (3) 54 straipsnyje, Europos Parlamento ir Tarybos reglamento (ES) Nr. 1094/2010 (4) 54 straipsnyje ir Europos Parlamento ir Tarybos reglamento (ES) Nr. 1095/2010 (5) 54 straipsnyje, surengė atviras viešas konsultacijas dėl techninių reguliavimo standartų projektų, kuriais pagrįstas šis reglamentas, išnagrinėjo galimas siūlomų standartų sąnaudas ir naudą ir paprašė, kad pagal Reglamento (ES) Nr. 1093/2010 37 straipsnį įsteigta Bankininkystės suinteresuotųjų subjektų grupė, pagal Reglamento (ES) Nr. 1094/2010 37 straipsnį įsteigta Draudimo ir perdraudimo suinteresuotųjų subjektų grupė ir Profesinių pensijų suinteresuotųjų subjektų grupė ir pagal Reglamento (ES) Nr. 1095/2010 37 straipsnį įsteigta Vertybinių popierių ir rinkų suinteresuotųjų subjektų grupė pateiktų rekomendacijų; |
|
(13) |
vadovaujantis Europos Parlamento ir Tarybos reglamento (ES) 2018/1725 (6) 42 straipsnio 1 dalimi, buvo konsultuojamasi su Europos duomenų apsaugos priežiūros pareigūnu ir jis pateikė nuomonę 2024 m. sausio 24 d., |
PRIĖMĖ ŠĮ REGLAMENTĄ:
1 straipsnis
Bendras rizikos profilis ir sudėtingumas
IRT paslaugas teikiančių trečiųjų šalių teikiamų IRT paslaugų, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, naudojimo politikoje (toliau – politika) atsižvelgiama į finansų sektoriaus subjekto dydį ir bendrą rizikos profilį, taip pat į jo paslaugų, veiklos ir operacijų pobūdį, mastą ir padidinto ar sumažinto sudėtingumo elementus, įskaitant elementus, susijusius su:
|
a) |
IRT paslaugų, įtrauktų į finansų sektoriaus subjekto ir IRT paslaugas teikiančios trečiosios šalies sudarytą sutartimi įformintą susitarimą dėl IRT paslaugas teikiančių trečiųjų šalių teikiamų IRT paslaugų, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, naudojimo (toliau – sutartimi įformintas susitarimas), rūšimi; |
|
b) |
IRT paslaugas teikiančios trečiosios šalies buvimo vieta arba jos patronuojančiosios įmonės buvimo vieta; |
|
c) |
tuo, ar IRT paslaugas, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, teikia valstybėje narėje ar trečiojoje valstybėje esanti IRT paslaugas teikianti trečioji šalis, taip pat atsižvelgiant į vietą, iš kurios teikiamos IRT paslaugos, ir vietą, kurioje tvarkomi ir saugomi duomenys; |
|
d) |
duomenų, kuriais dalijamasi su IRT paslaugas teikiančia trečiąja šalimi, pobūdžiu; |
|
e) |
tuo, ar IRT paslaugas teikianti trečioji šalis priklauso tai pačiai grupei kaip ir finansų sektoriaus subjektas, kuriam teikiamos paslaugos; |
|
f) |
tuo, ar naudojamasi IRT paslaugas teikiančių trečiųjų šalių, kurioms veiklos leidimą suteikė, kurias registravo ar kurių priežiūrą vykdo kompetentinga institucija valstybėje narėje arba kurioms taikoma priežiūros sistema pagal Reglamento (ES) 2022/2554 V skyriaus II skirsnį, paslaugomis, ar kitų IRT paslaugas teikiančių trečiųjų šalių paslaugomis; |
|
g) |
tuo, ar naudojamasi IRT paslaugas teikiančių trečiųjų šalių, kurioms veiklos leidimą suteikė, kurias registravo ar kurių priežiūrą vykdo kompetentinga institucija trečiojoje valstybėje, paslaugomis, ar kitų IRT paslaugas teikiančių trečiųjų šalių paslaugomis; |
|
h) |
tuo, ar IRT paslaugas, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, teikia viena IRT paslaugas teikianti trečioji šalis, ar nedidelis skaičius tokių paslaugų teikėjų; |
|
i) |
galimybe perduoti IRT paslaugas, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, kitai IRT paslaugas teikiančiai trečiajai šaliai, be kita ko, dėl specifinių technologijų ypatumų; |
|
j) |
galimu IRT paslaugų, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, teikimo sutrikimo poveikiu finansų sektoriaus subjekto veiklos operacijų tęstinumui ir jo paslaugų prieinamumui. |
2 straipsnis
Taikymas grupei
Kai šis reglamentas taikomas iš dalies konsoliduotu arba konsoliduotu pagrindu, patronuojančioji įmonė, įpareigota teikti konsoliduotas arba iš dalies konsoliduotas grupės finansines ataskaitas, užtikrina, kad politiką nuosekliai įgyvendintų visi grupei priklausantys finansų sektoriaus subjektai ir kad ji būtų tinkama siekiant veiksmingai taikyti šį reglamentą visais atitinkamais grupės lygmenimis.
3 straipsnis
Valdymo priemonės
1. Valdymo organas bent kartą per metus peržiūri politiką ir prireikus ją atnaujina. Politikos pakeitimai įgyvendinami laiku ir kuo greičiau pagal atitinkamus sutartimi įformintus susitarimus. Finansų sektoriaus subjektas planuojamą įgyvendinimo tvarkaraštį įformina dokumentais.
2. Politikoje nustatoma arba nurodoma metodika, kaip nustatyti, kuriomis IRT paslaugomis palaikomos ypatingos svarbos arba svarbios funkcijos. Politikoje taip pat patikslinama, kada šis vertinimas turi būti atliekamas ir peržiūrimas.
3. Politikoje aiškiai priskiriama vidinė atsakomybė už atitinkamų sutartimi įformintų susitarimų patvirtinimą, valdymą, kontrolę ir dokumentavimą ir užtikrinama, kad finansų sektoriaus subjektas nuolat turėtų įgūdžių, patirties ir žinių, kad galėtų veiksmingai prižiūrėti atitinkamus sutartimi įformintus susitarimus, įskaitant pagal tuos susitarimus teikiamas IRT paslaugas.
4. Nedarant poveikio galutinei finansų sektoriaus subjekto atsakomybei už veiksmingą atitinkamų sutartimi įformintų susitarimų priežiūrą, politikoje reikalaujama, kad IRT paslaugas teikianti trečioji šalis turėtų pakankamai išteklių ir galėtų užtikrinti, kad finansų sektoriaus subjektas laikytųsi visų savo teisinių ir reguliavimo reikalavimų, susijusių su teikiamomis IRT paslaugomis, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos.
5. Politikoje aiškiai identifikuojamas vaidmuo arba vyresniosios vadovybės narys, atsakingas už atitinkamų sutartimi įformintų susitarimų stebėseną. Politikoje nustatoma, kaip tą vaidmenį atliekantis asmuo arba vyresniosios vadovybės narys bendradarbiauja su kontrolės funkcijas atliekančiais asmenimis, nebent jis yra vienas iš tų asmenų, ir nurodomi atskaitomybės valdymo organui ryšiai, įskaitant teiktinos informacijos ir dokumentų pobūdį. Taip pat nustatomas tokio informacijos teikimo dažnumas.
6. Politika užtikrinama, kad sutartimi įforminti susitarimai atitiktų:
|
a) |
IRT rizikos valdymo sistemą, nurodytą Reglamento (ES) 2022/2554 6 straipsnyje; |
|
b) |
informacijos saugumo politiką, nurodytą Reglamento (ES) 2022/2554 9 straipsnio 4 dalyje; |
|
c) |
IRT veiklos tęstinumo politiką, nurodytą Reglamento (ES) 2022/2554 11 straipsnyje; |
|
d) |
pranešimo apie incidentus reikalavimus, nustatytus Reglamento (ES) 2022/2554 19 straipsnyje. |
7. Politikoje reikalaujama, kad būtų atliekama nepriklausoma IRT paslaugas teikiančių trečiųjų šalių teikiamų IRT paslaugų, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, peržiūra ir kad jos būtų įtrauktos į audito planą.
8. Politikoje aiškiai nurodoma, kad sutartimi įformintais susitarimais:
|
a) |
finansų sektoriaus subjektas ir jo valdymo organas neatleidžiami nuo reguliavimo prievolių ir atsakomybės klientams; |
|
b) |
neturi būti užkirstas kelias veiksmingai finansų sektoriaus subjekto priežiūrai ir neturi būti prieštaraujama jokiems su priežiūra susijusiems paslaugų ir veiklos apribojimams; |
|
c) |
turi būti reikalaujama, kad IRT paslaugas teikiančios trečiosios šalys bendradarbiautų su kompetentingomis institucijomis; |
|
d) |
turi būti reikalaujama, kad finansų sektoriaus subjektas, jo auditoriai ir kompetentingos institucijos turėtų veiksmingą prieigą prie duomenų ir patalpų, susijusių su IRT paslaugų, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, naudojimu. |
4 straipsnis
Pagrindiniai sutartimi įformintų susitarimų gyvavimo ciklo etapai jų priėmimo ir naudojimo tikslu
Politikoje nurodomi sutartimi įforminto susitarimo kiekvieno pagrindinio gyvavimo ciklo etapo reikalavimai, įskaitant taisykles, atsakomybę ir procesus, apimantys bent šiuos dalykus:
|
a) |
valdymo organo atsakomybę, įskaitant jo dalyvavimą atitinkamais atvejais priimant sprendimus dėl IRT paslaugas teikiančių trečiųjų šalių teikiamų IRT paslaugų, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos; |
|
b) |
sutartimi įformintų susitarimų planavimą, įskaitant rizikos vertinimą, išsamų patikrinimą, kaip nustatyta 5 ir 6 straipsniuose, ir naujų arba reikšmingų sutartimi įformintų susitarimų pakeitimų patvirtinimo procesą, kaip nustatyta 8 straipsnio 4 dalyje; |
|
c) |
verslo padalinių, vidaus kontrolės ir kitų atitinkamų padalinių įsitraukimą į veiklą, susijusią su sutartimi įformintais susitarimais; |
|
d) |
sutartimi įformintų susitarimų įgyvendinimą, stebėjimą ir valdymą, kaip nurodyta 7, 8 ir 9 straipsniuose, be kita ko, kai taikoma, konsoliduotu ir iš dalies konsoliduotu lygmeniu; |
|
e) |
dokumentavimą ir įrašų saugojimą, atsižvelgiant į reikalavimus, susijusius su Reglamento (ES) 2022/2554 28 straipsnio 3 dalyje nurodytu informacijos registru; |
|
f) |
pasitraukimo strategijas ir nutraukimo procesus, nustatytus 10 straipsnyje. |
5 straipsnis
Ex ante rizikos vertinimas
1. Politikoje reikalaujama, kad prieš sudarant sutartimi įformintą susitarimą būtų apibrėžti finansų sektoriaus subjekto verslo poreikiai.
2. Politikoje reikalaujama, kad prieš sudarant sutartimi įformintą susitarimą finansų sektoriaus subjekto lygmeniu ir, kai taikoma, konsoliduotu ir iš dalies konsoliduotu lygmeniu būtų atliktas rizikos vertinimas.
Atliekant rizikos vertinimą atsižvelgiama į visus atitinkamus reikalavimus, nustatytus Reglamente (ES) 2022/2554 ir taikomuose sektoriniuose Sąjungos teisės aktuose. Visų pirma atsižvelgiama į IRT paslaugas teikiančių trečiųjų šalių teikiamų IRT paslaugų, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, poveikį finansų sektoriaus subjektui ir į visą tų IRT paslaugas teikiančių trečiųjų šalių teikiamų IRT paslaugų, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, riziką, įskaitant šių rūšių riziką:
|
a) |
operacinę riziką; |
|
b) |
teisinę riziką; |
|
c) |
IRT riziką; |
|
d) |
reputacijos riziką; |
|
e) |
su konfidencialių arba asmens duomenų apsauga susijusią riziką; |
|
f) |
su duomenų prieinamumu susijusią riziką; |
|
g) |
su vieta, kurioje tvarkomi ir saugomi duomenys, susijusią riziką; |
|
h) |
su IRT paslaugas teikiančios trečiosios šalies buvimo vieta susijusią riziką; |
|
i) |
IRT koncentracijos riziką subjekto lygmeniu. |
6 straipsnis
Išsamus patikrinimas
1. Politikoje nustatomas tinkamas ir proporcingas numatomų IRT paslaugas teikiančių trečiųjų šalių atrankos ir tinkamumo vertinimo procesas, atsižvelgiant į tai, ar IRT paslaugas teikianti trečioji šalis yra grupės vidaus IRT paslaugų teikėja, ir reikalaujama, kad finansų sektoriaus subjektas prieš sudarydamas sutartimi įformintą susitarimą įvertintų, ar IRT paslaugas teikianti trečioji šalis:
|
a) |
turi gerą verslo reputaciją, pakankamai gebėjimų, kompetencijos ir tinkamų finansinių, žmogiškųjų ir techninių išteklių, informacijos saugumo standartus, tinkamą organizacinę struktūrą, rizikos valdymo ir vidaus kontrolės priemones ir, jei taikoma, yra gavusi reikiamus veiklos leidimus arba yra registruota, kad galėtų patikimai ir profesionaliai teikti IRT paslaugas, kuriomis remiamos ypatingos svarbos arba svarbios funkcijos; |
|
b) |
geba stebėti atitinkamus technologinius pokyčius ir nustatyti pažangiausią IRT saugumo praktiką ir ją įgyvendinti, kai tinkama, kad būtų sukurta veiksminga ir patikima skaitmeninės veiklos atsparumo sistema; |
|
c) |
pasitelkia arba ketina pasitelkti IRT subrangovus IRT paslaugoms, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, arba reikšmingoms jų dalims teikti; |
|
d) |
yra įsikūrusi arba duomenis tvarko ar saugo trečiojoje valstybėje ir, jei taip, ar ši praktika daro poveikį operacinės arba reputacijos rizikos lygiui arba rizikos, kad gali būti taikomos ribojamosios priemonės, įskaitant embargą ir sankcijas, kurios gali paveikti IRT paslaugas teikiančios trečiosios šalies gebėjimą teikti IRT paslaugas arba finansų sektoriaus subjekto gebėjimą tas IRT paslaugas gauti, lygiui; |
|
e) |
sutinka sudaryti sutartimi įformintus susitarimus, kuriais užtikrinama, kad pats finansų sektoriaus subjektas, paskirtos trečiosios šalys ir kompetentingos institucijos faktiškai galėtų atlikti IRT paslaugas teikiančios trečiosios šalies auditus, taip pat ir auditus vietoje; |
|
f) |
veikia etiškai ir socialiai atsakingai, gerbia žmogaus teises ir vaikų teises, įskaitant vaikų darbo draudimą, laikosi taikytinų aplinkos apsaugos principų ir užtikrina tinkamas darbo sąlygas. |
2. Politikoje nurodomas reikalaujamas patikinimo dėl IRT paslaugas teikiančių trečiųjų šalių rizikos valdymo sistemos, taikomos IRT paslaugoms, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos ir kurias turi teikti IRT paslaugas teikianti trečioji šalis, veiksmingumo lygis. Politikoje reikalaujama, kad išsamaus patikrinimo procesas apimtų vertinimą, ar esama rizikos mažinimo ir veiklos tęstinumo priemonių ir kaip užtikrinamas jų veikimas IRT paslaugas teikiančioje trečioje šalyje.
3. Politikoje nustatomas išsamaus patikrinimo procesas, skirtas numatomų IRT paslaugas teikiančių trečiųjų šalių atrankai ir vertinimui, ir nurodoma, kurie iš toliau nurodytų elementų turi būti naudojami reikalaujamam patikinimo apie IRT paslaugas teikiančios trečiosios šalies veiklos rezultatus lygiui nustatyti:
|
a) |
paties finansų sektoriaus subjekto arba jo vardu atliekami auditai arba nepriklausomi vertinimai; |
|
b) |
nepriklausomų audito ataskaitų, parengtų IRT paslaugas teikiančios trečiosios šalies prašymu, naudojimas; |
|
c) |
audito ataskaitų, parengtų IRT paslaugas teikiančios trečiosios šalies vidaus audito funkciją atliekančių asmenų, naudojimas; |
|
d) |
tinkamų trečiosios šalies sertifikatų naudojimas; |
|
e) |
kitos svarbios finansų sektoriaus subjektui prieinamos informacijos arba IRT paslaugas teikiančios trečiosios šalies pateiktos kitos informacijos naudojimas. |
4. Finansų sektoriaus subjektai, atsižvelgdami į 3 dalies a–e punktuose išvardytus elementus, užtikrina tinkamą patikinimo apie IRT paslaugas teikiančios trečiosios šalies veiklos rezultatus lygį. Kai tinkama, naudojamas daugiau nei vienas tuose punktuose išvardytas elementas.
7 straipsnis
Interesų konfliktai
1. Politikoje nurodomos tinkamos faktinių ar galimų interesų konfliktų, kylančių dėl naudojimosi IRT paslaugas teikiančių trečiųjų šalių paslaugomis, nustatymo, prevencijos ir valdymo priemonės, kurių reikia imtis prieš sudarant atitinkamus sutartimi įformintus susitarimus, ir numatoma nuolatinė tokių interesų konfliktų stebėsena.
2. Kai IRT paslaugas, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, teikia grupės vidaus IRT paslaugų teikėjai, politikoje nurodoma, kad sprendimai dėl IRT paslaugų sąlygų, įskaitant finansines sąlygas, turi būti priimami objektyviai.
8 straipsnis
Sutarčių sąlygos
1. Politikoje nurodoma, kad atitinkami sutartimi įforminti susitarimai turi būti sudaromi raštu ir turi apimti visus Reglamento (ES) 2022/2554 30 straipsnio 2 ir 3 dalyse nurodytus elementus. Į politiką taip pat prireikus įtraukiami elementai, susiję su Reglamento (ES) 2022/2554 1 straipsnio 1 dalies a punkte, taip pat kituose atitinkamuose Sąjungos ir nacionalinės teisės aktuose nurodytais reikalavimais.
2. Politikoje nurodoma, kad atitinkamuose sutartimi įformintuose susitarimuose turi būti numatyta finansų sektoriaus subjekto teisė susipažinti su informacija, atlikti patikrinimus ir auditus, taip pat atlikti IRT testus. Tuo tikslu politikoje reikalaujama, kad finansų sektoriaus subjektas taikytų toliau nurodytus metodus, nedarant poveikio galutinei finansų sektoriaus subjekto atsakomybei:
|
a) |
savo paties vidaus auditą arba paskirtos trečiosios šalies atliekamą auditą; |
|
b) |
kai tinkama, bendrus auditus ir bendrą IRT testavimą, įskaitant grėsmėmis grindžiamą skverbimosi testavimą, kurie organizuojami kartu su kitais perkančiaisiais finansų sektoriaus subjektais ar įmonėmis, besinaudojančiais tos pačios IRT paslaugas teikiančios trečiosios šalies IRT paslaugomis, ir kuriuos atlieka tie perkantieji finansų sektoriaus subjektai ar įmonės arba jų paskirta trečioji šalis; |
|
c) |
kai tinkama, trečiosios šalies sertifikatus; |
|
d) |
kai tinkama, IRT paslaugas teikiančios trečiosios šalies pateiktas vidaus ar trečiosios šalies parengtas audito ataskaitas. |
3. Laikui bėgant finansų sektoriaus subjektas neturi kliautis tik 2 dalies c punkte nurodytais sertifikatais ar tos dalies d punkte nurodytomis audito ataskaitomis. Politikoje turėtų būti leidžiama 2 dalies c ir d punktuose nurodytus metodus naudoti tik jei finansų sektoriaus subjektas:
|
a) |
yra įsitikinęs, kad atitinkamų sutartimi įformintų susitarimų atžvilgiu IRT paslaugas teikiančios trečiosios šalies audito planas yra tinkamas; |
|
b) |
užtikrina, kad sertifikatų ar audito ataskaitų taikymo sritis apimtų jo nustatytas sistemas ir pagrindines kontrolės priemones ir kad būtų laikomasi atitinkamų reguliavimo reikalavimų; |
|
c) |
nuolat nuodugniai vertina sertifikatų ar audito ataskaitų turinį ir tikrina, ar ataskaitos ar sertifikatai nėra pasenę; |
|
d) |
užtikrina, kad pagrindinės sistemos ir kontrolės priemonės būtų įtraukiamos į būsimas sertifikato ar audito ataskaitos versijas; |
|
e) |
yra įsitikinęs, kad sertifikuojančioji arba auditą atliekanti šalis yra tinkama; |
|
f) |
yra įsitikinęs, kad sertifikatai išduodami ir auditai atliekami pagal plačiai pripažintus atitinkamus profesinius standartus ir apima taikomų pagrindinių kontrolės priemonių veikimo efektyvumo testą; |
|
g) |
turi sutartyje numatytą teisę taip dažnai, kaip tai yra pagrįsta ir teisėta rizikos valdymo požiūriu, reikalauti pakeisti sertifikatų ar audito ataskaitų taikymo sritį, kad būtų įtrauktos kitos svarbios sistemos ir kontrolės priemonės; |
|
h) |
turi sutartyje numatytą teisę savo nuožiūra atlikti su sutartimi įformintais susitarimais susijusius atskirus ir bendrus auditus ir naudotis tomis teisėmis sutartu dažnumu. |
4. Politika užtikrinama, kad reikšmingi sutartimi įforminto susitarimo pakeitimai būtų oficialiai įforminti visų šalių pasirašytu rašytiniu dokumentu su nurodyta data, ir nustatomas sutartimi įformintų susitarimų atnaujinimo procesas.
9 straipsnis
Sutartimi įformintų susitarimų stebėsena
1. Politikoje reikalaujama, kad sutartimi įformintuose susitarimuose būtų nurodytos priemonės ir pagrindiniai rodikliai, skirti IRT paslaugas teikiančių trečiųjų šalių veiklos rezultatams nuolat stebėti, įskaitant priemones, skirtas stebėti, kaip laikomasi duomenų ir informacijos konfidencialumo, prieinamumo, vientisumo ir autentiškumo reikalavimų ir kaip IRT paslaugas teikiančios trečiosios šalys laikosi atitinkamos finansų sektoriaus subjekto politikos ir procedūrų. Politikoje taip pat nurodomos priemonės, taikomos tuomet, kai nesilaikoma susitarimų dėl paslaugų lygio, įskaitant, kai tinkama, sutartyje numatytas sankcijas.
2. Politikoje nurodoma, kaip finansų sektoriaus subjektas turi įvertinti, ar IRT paslaugas teikiančios trečiosios šalys, pasitelkiamos IRT paslaugoms, kuriomis palaikomos ypatingos svarbos arba svarbios funkcijos, teikti, laikosi tinkamų veiklos rezultatų ir kokybės standartų, atitinkančių sutartimi įformintą susitarimą ir paties finansų sektoriaus subjekto politiką. Visų pirma politika užtikrinama:
|
a) |
kad IRT paslaugas teikiančios trečiosios šalys teiktų finansų sektoriaus subjektui tinkamas savo veiklos ir paslaugų ataskaitas, įskaitant periodines ataskaitas, incidentų ataskaitas, paslaugų teikimo ataskaitas, IRT saugumo ataskaitas ir veiklos tęstinumo priemonių bei testavimo ataskaitas; |
|
b) |
kad IRT paslaugas teikiančių trečiųjų šalių veiklos rezultatai būtų vertinami naudojant pagrindinius veiklos rodiklius, pagrindinius kontrolės rodiklius, auditus, savarankišką sertifikavimą ir nepriklausomas peržiūras pagal finansų sektoriaus subjekto IRT rizikos valdymo politiką; |
|
c) |
kad finansų sektoriaus subjektas gautų kitą svarbią informaciją iš IRT paslaugas teikiančių trečiųjų šalių; |
|
d) |
kad finansų sektoriaus subjektui būtų pranešama, kai tinkama, apie su IRT susijusius incidentus ir su mokėjimais susijusius operacinius arba saugumo incidentus; |
|
e) |
kad būtų atliekama nepriklausoma peržiūra ir auditas, kurių metu patikrinama, kaip laikomasi teisinių ir reguliavimo reikalavimų ir politikos. |
3. Politikoje nurodoma, kad 2 dalyje nurodytas vertinimas turi būti dokumentuojamas, o jo rezultatai turi būti naudojami 6 straipsnyje nurodytam finansų sektoriaus subjekto rizikos vertinimui atnaujinti.
4. Politikoje nustatomos tinkamos priemonės, kurių turi imtis finansų sektoriaus subjektas, jei nustato IRT paslaugas teikiančios trečiosios šalies trūkumų, įskaitant su IRT susijusius incidentus ir su mokėjimais susijusius operacinius arba saugumo incidentus, susijusių su teikiamomis IRT paslaugomis, kuriomis palaikomos ypatingos svarbos ar svarbios funkcijos, arba su sutartimi įformintų susitarimų ar teisinių reikalavimų laikymusi. Taip pat nustatoma, kaip, atsižvelgiant į trūkumų reikšmingumą, turi būti stebimas tokių priemonių įgyvendinimas siekiant užtikrinti, kad jų būtų veiksmingai laikomasi per nustatytą laikotarpį.
10 straipsnis
Pasitraukimas iš sutartimi įformintų susitarimų ir jų nutraukimas
Į politiką turi būti įtraukti reikalavimai dėl dokumentais pagrįsto pasitraukimo iš kiekvieno sutartimi įforminto susitarimo plano ir dėl to plano periodinės peržiūros ir testavimo. Nustatant pasitraukimo planą atsižvelgiama į šiuos dalykus:
|
a) |
nenumatytus ir nuolatinius paslaugų teikimo sutrikimus; |
|
b) |
netinkamą paslaugų teikimą ar jų neteikimą; |
|
c) |
netikėtą sutartimi įforminto susitarimo nutraukimą. |
Pasitraukimo planas turi būti realistiškas, įgyvendinamas, pagrįstas tikėtinais scenarijais ir pagrįstomis prielaidomis, taip pat turi būti numatytas įgyvendinimo tvarkaraštis, suderinamas su sutartimi įformintuose susitarimuose nustatytais pasitraukimo ir nutraukimo terminais.
11 straipsnis
Įsigaliojimas
Šis reglamentas įsigalioja dvidešimtą dieną po jo paskelbimo Europos Sąjungos oficialiajame leidinyje.
Šis reglamentas privalomas visas ir tiesiogiai taikomas visose valstybėse narėse.
Priimta Briuselyje 2024 m. kovo 13 d.
Komisijos vardu
Pirmininkė
Ursula VON DER LEYEN
(1) OL L 333, 2022 12 27, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
(2) 2016 m. balandžio 27 d. Europos Parlamento ir Tarybos reglamentas (ES) 2016/679 dėl fizinių asmenų apsaugos tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo ir kuriuo panaikinama Direktyva 95/46/EB (Bendrasis duomenų apsaugos reglamentas) (OL L 119, 2016 5 4, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(3) 2010 m. lapkričio 24 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 1093/2010, kuriuo įsteigiama Europos priežiūros institucija (Europos bankininkystės institucija), iš dalies keičiamas Sprendimas Nr. 716/2009/EB ir panaikinamas Komisijos sprendimas 2009/78/EB (OL L 331, 2010 12 15, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).
(4) 2010 m. lapkričio 24 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 1094/2010, kuriuo įsteigiama Europos priežiūros institucija (Europos draudimo ir profesinių pensijų institucija), iš dalies keičiamas Sprendimas Nr. 716/2009/EB ir panaikinamas Komisijos sprendimas 2009/79/EB (OL L 331, 2010 12 15, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).
(5) 2010 m. lapkričio 24 d. Europos Parlamento ir Tarybos reglamentas (ES) Nr. 1095/2010, kuriuo įsteigiama Europos priežiūros institucija (Europos vertybinių popierių ir rinkų institucija) ir iš dalies keičiamas Sprendimas Nr. 716/2009/EB bei panaikinamas Komisijos sprendimas 2009/77/EB (OL L 331, 2010 12 15, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
(6) 2018 m. spalio 23 d. Europos Parlamento ir Tarybos reglamentas (ES) 2018/1725 dėl fizinių asmenų apsaugos Sąjungos institucijoms, organams, tarnyboms ir agentūroms tvarkant asmens duomenis ir dėl laisvo tokių duomenų judėjimo, kuriuo panaikinamas Reglamentas (EB) Nr. 45/2001 ir Sprendimas Nr. 1247/2002/EB (OL L 295, 2018 11 21, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
ELI: http://data.europa.eu/eli/reg_del/2024/1773/oj
ISSN 1977-0723 (electronic edition)