Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 32024R1773

Regolament Delegat tal-Kummissjoni (UE) 2024/1773 tat-13 ta’ Marzu 2024 li jissupplimenta r-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill fir-rigward ta’ standards tekniċi regolatorji li jispeċifikaw il-kontenut dettaljat tal-politika rigward l-arranġamenti kuntrattwali dwar l-użu ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti pprovduti minn fornituri terzi ta’ servizzi tal-ICT

C/2024/1531

ĠU L, 2024/1773, 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1773/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

Legal status of the document In force

ELI: http://data.europa.eu/eli/reg_del/2024/1773/oj

European flag

Il-Ġurnal Uffiċjali
ta'l-Unjoni Ewropea

MT

Is-serje L

2024/1773

25.6.2024

REGOLAMENT DELEGAT TAL-KUMMISSJONI (UE) 2024/1773

tat-13 ta’ Marzu 2024

li jissupplimenta r-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill fir-rigward ta’ standards tekniċi regolatorji li jispeċifikaw il-kontenut dettaljat tal-politika rigward l-arranġamenti kuntrattwali dwar l-użu ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti pprovduti minn fornituri terzi ta’ servizzi tal-ICT

(Test b’relevanza għaż-ŻEE)

IL-KUMMISSJONI EWROPEA,

Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,

Wara li kkunsidrat ir-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar ir-reżiljenza operazzjonali diġitali għas-settur finanzjarju u li jemenda r-Regolamenti (KE) Nru 1060/2009, (UE) Nru 648/2012, (UE) Nru 600/2014, (UE) Nru 909/2014 u (UE) 2016/1011 (1), u b’mod partikolari l-Artikolu 28(10), it-tielet subparagrafu tiegħu,

Billi:

(1)

Il-qafas dwar ir-reżiljenza operazzjonali diġitali għas-settur finanzjarju stabbilit bir-Regolament (UE) 2022/2554 jirrikjedi li l-entitajiet finanzjarji jistabbilixxu ċerti prinċipji ewlenin għall-ġestjoni tar-riskju relatat mal-ICT minn partijiet terzi, li huma ta’ importanza partikolari meta l-entitajiet finanzjarji jinvolvu ruħhom ma’ fornituri terzi ta’ servizzi tal-ICT biex jappoġġaw il-funzjonijiet kritiċi jew importanti tagħhom.

(2)

L-entitajiet finanzjarji, bħala parti mill-qafas ta’ ġestjoni tar-riskju tal-ICT tagħhom, għandhom jadottaw, u jirrieżaminaw regolarment, strateġija dwar ir-riskju relatat mal-ICT minn partijiet terzi. F’konformità mal-Artikolu 28(2) tar-Regolament (UE) 2022/2554, dik l-istrateġija għandha tinkludi politika dwar l-użu ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti pprovduti minn fornituri terzi ta’ servizzi tal-ICT. Din għandha tapplika fuq bażi individwali u, fejn rilevanti, fuq bażi subkonsolidata u konsolidata.

(3)

L-entitajiet finanzjarji jvarjaw ħafna fid-daqs, fl-istruttura u fl-organizzazzjoni interna u fin-natura u l-kumplessità tal-attivitajiet u l-operazzjonijiet tagħhom. Jeħtieġ li meta tkun qed tiġi żviluppata l-politika dwar l-arranġamenti kuntrattwali dwar l-użu ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti minn fornituri terzi tal-ICT, titqies dik id-diversità filwaqt li jiġu imposti ċerti rekwiżiti regolatorji fundamentali li huma xierqa għall-entitajiet finanzjarji kollha (“il-politika”), u li jiġi żgurat li dawk ir-rekwiżiti jiġu applikati b’mod li jkun proporzjonat.

(4)

Meta l-entitajiet finanzjarji jappartjenu għal grupp, l-impriża omm li tkun responsabbli biex tipprovdi r-rapporti finanzjarji konsolidati jew subkonsolidati għall-grupp, jenħtieġ għalhekk li tiżgura li l-politika tiġi applikata b’mod konsistenti u koerenti fil-grupp.

(5)

Meta tiġi applikata l-politika, il-fornituri intragrupp ta’ servizzi tal-ICT, inklużi dawk li huma kompletament jew kollettivament proprjetà ta’ entitajiet finanzjarji fl-istess skema ta’ protezzjoni istituzzjonali, jenħtieġ li jitqiesu bħala fornituri terzi ta’ servizzi tal-ICT. Ir-riskji ppreżentati mill-fornituri intragrupp ta’ servizzi tal-ICT jistgħu jkunu differenti iżda r-rekwiżiti applikabbli għalihom huma l-istess skont ir-Regolament (UE) 2022/2554. B’mod simili, jenħtieġ li l-politika tapplika għas-sottokuntratturi li jipprovdu servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali minnhom lil fornituri terzi ta’ servizzi tal-ICT, meta teżisti katina ta’ fornituri terzi ta’ servizzi tal-ICT.

(6)

Ir-responsabbiltà aħħarija tal-korp maniġerjali fil-ġestjoni tar-riskju tal-ICT ta’ entità finanzjarja hija prinċipju ġenerali li huwa applikabbli wkoll fir-rigward tal-użu ta’ fornituri terzi ta’ servizzi tal-ICT. Jenħtieġ li din ir-responsabbiltà tissarraf ulterjorment fl-involviment kontinwu tal-korp maniġerjali fil-kontroll u l-monitoraġġ tal-ġestjoni tar-riskju tal-ICT, inkluż fl-adozzjoni u r-rieżami, tal-anqas darba fis-sena, tal-politika.

(7)

Sabiex jiġi żgurat rappurtar xieraq lill-korp maniġerjali, jenħtieġ li l-politika tispeċifika u tidentifika b’mod ċar ir-responsabbiltajiet interni għall-approvazzjoni, il-ġestjoni, il-kontroll u d-dokumentazzjoni tal-arranġamenti kuntrattwali dwar l-użu tas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti pprovduti minn fornituri terzi ta’ servizzi tal-ICT (“arranġamenti kuntrattwali”), inkluż is-servizzi tal-ICT ipprovduti skont l-arranġamenti kuntrattwali msemmija fl-Artikolu 28(1), il-punt (a), tar-Regolament (UE) 2022/2554.

(8)

Sabiex jitqiesu r-riskji kollha possibbli li jistgħu jirriżultaw meta jiġu kkuntrattati servizzi tal-ICT li jappoġġaw funzjoni kritika jew importanti, jenħtieġ li l-istruttura tal-politika ssegwi l-passi kollha ta’ kull fażi ewlenija taċ-ċiklu tal-ħajja għal arranġamenti kuntrattwali ma’ fornituri terzi.

(9)

Sabiex jittaffew ir-riskji identifikati, jenħtieġ li l-politika tispeċifika l-ippjanar tal-arranġamenti kuntrattwali, inkluż il-valutazzjoni tar-riskju, id-diliġenza dovuta, u l-proċess ta’ approvazzjoni għal bidliet ġodda jew materjali ta’ dawk l-arranġamenti kuntrattwali. Sabiex jiġu ġestiti r-riskji li jistgħu jirriżultaw qabel id-dħul f’arranġament kuntrattwali ma’ fornitur terz ta’ servizzi tal-ICT, jenħtieġ li l-politika tispeċifika proċess xieraq u proporzjonat biex tintgħażel u tiġi vvalutata l-adegwatezza ta’ fornituri terzi prospettivi ta’ servizzi tal-ICT u tirrikjedi li l-entità finanzjarja tqis lista mhux eżawrjenti ta’ elementi li l-fornituri terzi ta’ servizzi tal-ICT jenħtieġ li jkollhom fis-seħħ. Jenħtieġ li l-lista tinkludi elementi relatati mar-reputazzjoni kummerċjali tal-fornituri tas-servizzi, ir-riżorsi finanzjarji, umani u tekniċi tagħhom, is-sigurtà tal-informazzjoni tagħhom, l-istruttura organizzazzjonali tagħhom, inkluża l-ġestjoni tar-riskju, u l-kontrolli interni tagħhom.

(10)

Sabiex tiġi żgurata ġestjoni tajba tar-riskju fil-forniment ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti minn fornituri terzi ta’ servizzi tal-ICT, jenħtieġ li l-politika tinkludi informazzjoni dwar l-implimentazzjoni, il-monitoraġġ u l-ġestjoni tal-arranġamenti kuntrattwali, inkluż fil-livell konsolidat u subkonsolidat, fejn applikabbli. Dan jinkludi rekwiżiti għall-klawżoli kuntrattwali dwar l-obbligi reċiproċi tal-entitajiet finanzjarji u tal-fornituri terzi ta’ servizzi tal-ICT, li jenħtieġ li jiġu stabbiliti bil-miktub. Sabiex tiġi żgurata superviżjoni effiċjenti u titrawwem ir-reżiljenza f’każ ta’ bidliet fil-mudell tan-negozju jew fl-ambjent tan-negozju, jenħtieġ li l-politika tiżgura d-drittijiet tal-entitajiet finanzjarji jew tal-partijiet terzi maħtura u tal-awtoritajiet kompetenti għall-ispezzjonijiet u l-aċċess għall-informazzjoni u jenħtieġ ukoll li tispeċifika aktar l-istrateġiji ta’ ħruġ u l-proċessi ta’ terminazzjoni.

(11)

Sa fejn id-data personali tiġi pproċessata minn fornituri terzi ta’ servizzi tal-ICT, din il-politika u kwalunkwe arranġament kuntrattwali huma mingħajr preġudizzju għall-obbligi skont ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill (2), u jenħtieġ li jikkomplementawhom, bħal pereżempju li jkun hemm kuntratt bil-miktub fis-seħħ li jiddeskrivi l-ipproċessar tad-data personali, ir-rekwiżit li tiġi żgurata s-sigurtà tal-ipproċessar tad-data personali u l-istabbiliment tal-elementi l-oħra kollha meħtieġa skont dak ir-Regolament.

(12)

Il-Kumitat Konġunt tal-Awtoritajiet Superviżorji Ewropej imsemmi fl-Artikolu 54 tar-Regolament (UE) Nru 1093/2010 tal-Parlament Ewropew u tal-Kunsill (3), fl-Artikolu 54 tar-Regolament (UE) Nru 1094/2010 tal-Parlament Ewropew u tal-Kunsill (4) u fl-Artikolu 54 tar-Regolament (UE) Nru 1095/2010 tal-Parlament Ewropew u tal-Kunsill (5) wettaq konsultazzjonijiet pubbliċi miftuħa dwar l-abbozz ta’ standards tekniċi regolatorji li fuqhom huwa bbażat dan ir-Regolament, analizza l-kostijiet u l-benefiċċji potenzjali tal-istandards proposti u talab il-parir tal-Grupp tal-Partijiet Bankarji Interessati stabbilit f’konformità mal-Artikolu 37 tar-Regolament (UE) Nru 1093/2010, tal-Grupp tal-Partijiet Interessati tal-Oqsma tal-Assigurazzjoni u tar-Riassigurazzjoni u tal-Grupp tal-Partijiet Interessati tal-Qasam tal-Pensjonijiet tax-Xogħol stabbilit f’konformità mal-Artikolu 37 tar-Regolament (UE) Nru 1094/2010, u tal-Grupp tal-Partijiet Interessati tat-Titoli u s-Swieq stabbilit f’konformità mal-Artikolu 37 tar-Regolament (UE) Nru 1095/2010,

(13)

Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat f’konformità mal-Artikolu 42(1) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (6) u ta l-opinjoni tiegħu fl-24 ta’ Jannar 2024,

ADOTTAT DAN IR-REGOLAMENT:

Artikolu 1

Profil tar-riskju ġenerali u kumplessità

Il-politika dwar l-użu ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti pprovduti minn fornituri terzi ta’ servizzi tal-ICT (il-“politika”) għandha tqis id-daqs u l-profil tar-riskju ġenerali tal-entità finanzjarja, u n-natura, l-iskala u l-elementi ta’ kumplessità akbar jew imnaqqsa tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħha, inklużi elementi relatati ma’:

(a)

it-tip ta’ servizzi tal-ICT inklużi fl-arranġament kuntrattwali dwar l-użu ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti pprovduti minn fornituri terzi ta’ servizzi tal-ICT (l-“arranġament kuntrattwali”) bejn l-entità finanzjarja u l-fornitur terz ta’ servizzi tal-ICT;

(b)

il-post fejn huwa stabbilit il-fornitur terz ta’ servizzi tal-ICT jew il-kumpanija omm tiegħu;

(c)

jekk is-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti humiex ipprovduti minn fornitur terz ta’ servizzi tal-ICT li jinsab fi Stat Membru jew f’pajjiż terz, filwaqt li jitqies ukoll il-post minn fejn jiġu pprovduti s-servizzi tal-ICT u l-post fejn id-data tiġi pproċessata u maħżuna;

(d)

in-natura tad-data kondiviża mal-fornitur terz ta’ servizzi tal-ICT;

(e)

jekk il-fornitur terz ta’ servizzi tal-ICT huwiex parti mill-istess grupp bħall-entità finanzjarja li lilha jiġu pprovduti s-servizzi;

(f)

l-użu ta’ fornituri terzi ta’ servizzi tal-ICT li huma kemm awtorizzati, irreġistrati jew soġġetti għal superviżjoni jew sorveljanza minn awtorità kompetenti fi Stat Membru jew soġġetti għall-qafas ta’ sorveljanza skont il-Kapitolu V, it-Taqsima II, tar-Regolament (UE) 2022/2554, kif ukoll ta’ dawk li ma humiex;

(g)

l-użu ta’ fornituri terzi ta’ servizzi tal-ICT li huma kemm awtorizzati, irreġistrati jew soġġetti għal superviżjoni jew sorveljanza minn awtorità superviżorja f’pajjiż terz, kif ukoll ta’ dawk li ma humiex;

(h)

jekk il-forniment ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti huwiex ikkonċentrat fuq fornitur terz uniku ta’ servizzi tal-ICT jew għadd żgħir ta’ tali fornituri ta’ servizzi;

(i)

it-trasferibbiltà tas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti lil fornitur terz ieħor ta’ servizzi tal-ICT, inkluż bħala riżultat tal-ispeċifiċitajiet tat-teknoloġija;

(j)

l-impatt potenzjali tat-tfixkil fil-forniment tas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti fuq il-kontinwità tal-attivitajiet tal-entità finanzjarja u fuq id-disponibbiltà tas-servizzi tagħha.

Artikolu 2

Applikazzjoni ta’ grupp

Meta dan ir-Regolament japplika fuq bażi subkonsolidata jew konsolidata, l-impriża omm responsabbli biex tipprovdi r-rapporti finanzjarji konsolidati jew subkonsolidati għall-grupp għandha tiżgura li l-politika tiġi implimentata b’mod konsistenti fl-entitajiet finanzjarji kollha li huma parti mill-grupp u li hija adegwata għall-applikazzjoni effettiva ta’ dan ir-Regolament fil-livelli rilevanti kollha tal-grupp.

Artikolu 3

Arranġamenti ta’ governanza

1.   Il-korp maniġerjali għandu jirrevedi l-politika mill-inqas darba fis-sena u jaġġornaha meta jkun meħtieġ. Il-bidliet li jsiru fil-politika għandhom jiġu implimentati fil-ħin u malajr kemm jista’ jkun fil-qafas tal-arranġamenti kuntrattwali rilevanti. L-entità finanzjarja għandha tiddokumenta l-iskeda ta’ żmien ippjanata għall-implimentazzjoni.

2.   Il-politika għandha tistabbilixxi jew tirreferi għal metodoloġija għad-determinazzjoni ta’ liema servizzi tal-ICT jappoġġaw funzjonijiet kritiċi jew importanti. Il-politika għandha tispeċifika wkoll meta għandha titwettaq u tiġi rieżaminata din il-valutazzjoni.

3.   Il-politika għandha tassenja b’mod ċar ir-responsabbiltajiet interni għall-approvazzjoni, il-ġestjoni, il-kontroll u d-dokumentazzjoni tal-arranġamenti kuntrattwali rilevanti u għandha tiżgura li jinżammu l-ħiliet, l-esperjenza u l-għarfien xierqa fl-entità finanzjarja biex b’mod effettiv, tissorvelja l-arranġamenti kuntrattwali rilevanti, inklużi s-servizzi tal-ICT ipprovduti skont dawk l-arranġamenti.

4.   Mingħajr preġudizzju għar-responsabbiltà aħħarija tal-entità finanzjarja li tissorvelja b’mod effettiv l-arranġamenti kuntrattwali rilevanti, il-politika għandha teżiġi li ssir valutazzjoni li turi li l-fornitur terz ta’ servizzi tal-ICT għandu biżżejjed riżorsi biex jiżgura li l-entità finanzjarja tikkonforma mar-rekwiżiti legali u regolatorji kollha tagħha rigward is-servizzi tal-ICT ipprovduti li jappoġġaw funzjonijiet kritiċi jew importanti.

5.   Il-politika għandha tidentifika b’mod ċar ir-rwol jew il-membru tal-maniġment superjuri responsabbli għall-monitoraġġ tal-arranġamenti kuntrattwali rilevanti. Il-politika għandha tispeċifika kif dak ir-rwol jew il-membru tal-maniġment superjuri għandu jikkoopera mal-funzjonijiet ta’ kontroll, sakemm ma jkunx parti minnhom, u għandha tistabbilixxi l-linji ta’ rappurtar lill-korp maniġerjali, inkluża n-natura tal-informazzjoni li għandha tiġi rrapportata u d-dokumenti li għandhom jiġu pprovduti. Din għandha tistabbilixxi wkoll il-frekwenza ta’ tali rapportar.

6.   Il-politika għandha tiżgura li l-arranġamenti kuntrattwali jkunu konsistenti ma’ dan li ġej:

(a)

il-qafas tal-ġestjoni tar-riskju tal-ICT imsemmi fl-Artikolu 6 tar-Regolament (UE) 2022/2554;

(b)

il-politika dwar is-sigurtà tal-informazzjoni msemmija fl-Artikolu 9(4) tar-Regolament (UE) 2022/2554;

(c)

il-politika tal-kontinwità tal-operat tal-ICT imsemmija fl-Artikolu 11 tar-Regolament (UE) 2022/2554;

(d)

ir-rekwiżiti dwar ir-rappurtar ta’ inċidenti stabbiliti fl-Artikolu 19 tar-Regolament (UE) 2022/2554.

7.   Il-politika għandha teżiġi li s-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti pprovduti minn fornituri terzi ta’ servizzi tal-ICT ikunu soġġetti għal rieżami indipendenti u jkunu inklużi fil-pjan tal-awditjar.

8.   Il-politika għandha tispeċifika b’mod espliċitu li l-arranġamenti kuntrattwali:

(a)

ma jeżonerawx lill-entità finanzjarja u lill-korp maniġerjali tagħha mill-obbligi regolatorji u mir-responsabbiltajiet li għandhom lejn il-klijenti tagħhom;

(b)

ma għandhomx jipprevjenu s-superviżjoni effettiva ta’ entità finanzjarja u ma għandhomx jiksru kwalunkwe restrizzjoni superviżorja fuq servizzi u attivitajiet;

(c)

għandhom jeżiġu li l-fornituri terzi ta’ servizzi tal-ICT jikkooperaw mal-awtoritajiet kompetenti;

(d)

għandhom jeżiġu li l-entità finanzjarja, l-awdituri tagħha, u l-awtoritajiet kompetenti jkollhom aċċess effettiv għad-data u l-binjiet relatati mal-użu tas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti.

Artikolu 4

Fażijiet ewlenin taċ-ċiklu tal-ħajja għall-adozzjoni u l-użu tal-arranġamenti kuntrattwali

Il-politika għandha tispeċifika r-rekwiżiti, inklużi r-regoli, ir-responsabbiltajiet u l-proċessi, għal kull fażi ewlenija taċ-ċiklu tal-ħajja tal-arranġament kuntrattwali, li jkopru mill-inqas dan li ġej:

(a)

ir-responsabbiltajiet tal-korp maniġerjali, inkluż l-involviment tiegħu, kif xieraq, fil-proċess tat-teħid tad-deċiżjonijiet dwar l-użu tas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti pprovduti minn fornituri terzi ta’ servizzi tal-ICT;

(b)

l-ippjanar tal-arranġamenti kuntrattwali, inkluż il-valutazzjoni tar-riskju, id-diliġenza dovuta kif stabbilita fl-Artikoli 5 u 6 u l-proċess ta’ approvazzjoni rigward bidliet ġodda jew materjali fl-arranġamenti kuntrattwali kif stabbilit fl-Artikolu 8(4);

(c)

l-involviment ta’ unitajiet tan-negozju, kontrolli interni u unitajiet rilevanti oħra fir-rigward tal-arranġamenti kuntrattwali;

(d)

l-implimentazzjoni, il-monitoraġġ u l-ġestjoni tal-arranġamenti kuntrattwali kif imsemmija fl-Artikoli 7, 8 u 9, inkluż fil-livell konsolidat u subkonsolidat, fejn applikabbli;

(e)

id-dokumentazzjoni u ż-żamma tar-rekords, filwaqt li jitqiesu r-rekwiżiti fir-rigward tar-reġistru tal-informazzjoni stabbilit fl-Artikolu 28(3) tar-Regolament (UE) 2022/2554;

(f)

l-istrateġiji ta’ ħruġ u l-proċessi ta’ terminazzjoni kif stabbiliti fl-Artikolu 10.

Artikolu 5

Valutazzjoni tar-riskju ex ante

1.   Il-politika għandha teżiġi li l-ħtiġijiet tan-negozju tal-entità finanzjarja jiġu definiti qabel ma jiġi konkluż arranġament kuntrattwali.

2.   Il-politika għandha teżiġi li titwettaq valutazzjoni tar-riskju fil-livell tal-entità finanzjarja u, fejn applikabbli, fil-livell konsolidat u subkonsolidat qabel ma jiġi konkluż arranġament kuntrattwali.

Il-valutazzjoni tar-riskju għandha tqis ir-rekwiżiti rilevanti kollha stabbiliti fir-Regolament (UE) 2022/2554 u l-leġiżlazzjoni settorjali applikabbli tal-Unjoni. Din għandha tikkunsidra, b’mod partikolari, l-impatt tal-forniment ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti minn fornituri terzi ta’ servizzi tal-ICT fuq l-entità finanzjarja u r-riskji kollha ppreżentati mill-forniment ta’ dawk is-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti minn fornituri terzi ta’ servizzi tal-ICT, inkluż dan li ġej:

(a)

riskji operazzjonali;

(b)

riskji legali;

(c)

riskji tal-ICT;

(d)

riskji għar-reputazzjoni;

(e)

riskji marbuta mal-protezzjoni ta’ data kunfidenzjali jew personali;

(f)

riskji marbuta mad-disponibbiltà tad-data;

(g)

riskji marbuta mal-post fejn tiġi pproċessata u maħżuna d-data;

(h)

riskji marbuta mal-post fejn huwa stabbilit il-fornitur terz ta’ servizzi tal-ICT;

(i)

Riskji ta’ konċentrazzjoni tal-ICT fil-livell ta’ entità.

Artikolu 6

Diliġenza dovuta

1.   Il-politika għandha tistabbilixxi proċess xieraq u proporzjonat għall-għażla u l-valutazzjoni tal-fornituri terzi prospettivi ta’ servizzi tal-ICT filwaqt li tqis jekk il-fornitur terz ta’ servizzi tal-ICT huwiex fornitur intragrupp ta’ servizzi tal-ICT jew le, u għandha teżiġi li qabel ma l-entità finanzjarja tidħol f’arranġament kuntrattwali, din tivvaluta jekk il-fornitur terz ta’ servizzi tal-ICT:

(a)

għandux ir-reputazzjoni tan-negozju, ħiliet suffiċjenti, kwalifiki u riżorsi finanzjarji, umani u tekniċi adegwati, standards ta’ sigurtà tal-informazzjoni, struttura organizzazzjonali xierqa, ġestjoni tar-riskju u kontrolli interni u, jekk applikabbli, l-awtorizzazzjonijiet jew ir-reġistrazzjonijiet meħtieġa biex jipprovdi s-servizzi tal-ICT li jappoġġaw il-funzjoni kritika jew importanti b’mod affidabbli u professjonali;

(b)

għandux il-kapaċità li jimmonitorja l-iżviluppi teknoloġiċi rilevanti u jidentifika prattiki ewlenin tas-sigurtà tal-ICT u jimplimentahom fejn xieraq biex ikun hemm qafas ta’ reżiljenza operazzjonali diġitali effettiv u sod;

(c)

jużax jew hux biħsiebu juża sottokuntratturi tal-ICT biex iwettaq is-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali minnhom;

(d)

jinsabx, jew jipproċessax jew jaħżinx id-data f’pajjiż terz u, jekk dan ikun il-każ, jekk din il-prattika taffettwax il-livell ta’ riskji operazzjonali jew ir-riskji għar-reputazzjoni jew ir-riskju li jiġi affettwat minn miżuri restrittivi, inklużi embargos u sanzjonijiet, li jista’ jkollhom impatt fuq il-kapaċità tal-fornitur terz ta’ servizzi tal-ICT li jipprovdi s-servizzi tal-ICT jew il-kapaċità tal-entità finanzjarja li tirċievi dawk is-servizzi tal-ICT;

(e)

jagħtix l-approvazzjoni tiegħu għal arranġamenti kuntrattwali li jiżguraw li jkun effettivament possibbli li jitwettqu awditi għand il-fornitur terz ta’ servizzi tal-ICT, inkluż fuq il-post, mill-entità finanzjarja nnifisha, mill-partijiet terzi maħtura, u mill-awtoritajiet kompetenti;

(f)

jaġixxix b’mod etiku u soċjalment responsabbli, jirrispettax id-drittijiet tal-bniedem u d-drittijiet tat-tfal, inkluż il-projbizzjoni tat-tħaddim tat-tfal, jirrispettax il-prinċipji applikabbli dwar il-protezzjoni ambjentali, u jiżgurax kundizzjonijiet tax-xogħol xierqa.

2.   Il-politika għandha tispeċifika l-livell meħtieġ ta’ assigurazzjoni dwar l-effettività tal-qafas tal-ġestjoni tar-riskju tal-fornituri terzi ta’ servizzi tal-ICT għas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti li għandhom jiġu pprovduti minn fornitur terz ta’ servizzi tal-ICT. Il-politika għandha teżiġi li l-proċess ta’ diliġenza dovuta jkun jinkludi valutazzjoni tal-eżistenza ta’ miżuri ta’ mitigazzjoni tar-riskju u ta’ kontinwità tal-operat u ta’ kif jiġi żgurat il-funzjonament tagħhom fi ħdan il-fornitur terz ta’ servizzi tal-ICT.

3.   Il-politika għandha tiddetermina l-proċess ta’ diliġenza dovuta għall-għażla u l-valutazzjoni tal-fornituri terzi prospettivi ta’ servizzi tal-ICT u għandha tindika liema mill-elementi li ġejjin għandhom jintużaw għal-livell meħtieġ ta’ assigurazzjoni dwar il-prestazzjoni tal-fornitur terz ta’ servizzi tal-ICT:

(a)

awditi jew valutazzjonijiet indipendenti mwettqa mill-entità finanzjarja nnifisha jew f’isimha;

(b)

l-użu ta’ rapporti tal-awditjar indipendenti magħmula fuq talba mill-fornitur terz ta’ servizzi tal-ICT;

(c)

l-użu ta’ rapporti tal-awditjar magħmula mill-kapaċità tal-awditjar intern tal-fornitur terz ta’ servizzi tal-ICT;

(d)

l-użu ta’ ċertifikazzjonijiet xierqa ta’ partijiet terzi;

(e)

l-użu ta’ informazzjoni rilevanti oħra disponibbli għall-entità finanzjarja jew informazzjoni oħra pprovduta mill-fornitur terz ta’ servizzi tal-ICT.

4.   L-entitajiet finanzjarji għandhom jiżguraw livell xieraq ta’ assigurazzjoni dwar il-prestazzjoni tal-fornitur terz ta’ servizzi tal-ICT, filwaqt li jqisu l-elementi elenkati fil-paragrafu 3, il-punti (a) sa (e). Fejn xieraq, għandu jintuża aktar minn element wieħed elenkat f’dawk il-punti.

Artikolu 7

Kunflitti ta’ interess

1.   Il-politika għandha tispeċifika l-miżuri xierqa għall-identifikazzjoni, il-prevenzjoni u l-ġestjoni tal-kunflitti ta’ interess attwali jew potenzjali li jirriżultaw mill-użu ta’ fornituri terzi ta’ servizzi tal-ICT li għandhom jittieħdu qabel ma jiddaħħlu l-arranġamenti kuntrattwali rilevanti u għandha tipprevedi monitoraġġ kontinwu ta’ tali kunflitti ta’ interess.

2.   Meta s-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jiġu pprovduti minn fornituri intragrupp ta’ servizzi tal-ICT, il-politika għandha tispeċifika li d-deċiżjonijiet dwar il-kundizzjonijiet, inklużi l-kundizzjonijiet finanzjarji, għas-servizzi tal-ICT għandhom jittieħdu b’mod oġġettiv.

Artikolu 8

Klawżoli kuntrattwali

1.   Il-politika għandha tispeċifika li l-arranġamenti kuntrattwali rilevanti għandhom jkunu bil-miktub u għandhom jinkludi l-elementi kollha msemmija fl-Artikolu 30(2) u (3) tar-Regolament (UE) 2022/2554. Il-politika għandha tinkludi wkoll elementi rigward ir-rekwiżiti msemmija fl-Artikolu 1(1), il-punt (a), tar-Regolament (UE) 2022/2554, kif ukoll liġi rilevanti oħra tal-Unjoni u nazzjonali kif xieraq.

2.   Il-politika għandha tispeċifika li l-arranġamenti kuntrattwali rilevanti għandhom jinkludu d-dritt li l-entità finanzjarja taċċessa l-informazzjoni, li twettaq spezzjonijiet u awditi, u li twettaq testijiet fuq l-ICT. Għal dak il-għan, il-politika għandha teżiġi li l-entità finanzjarja tuża l-metodi li ġejjin, mingħajr preġudizzju għar-responsabbiltà aħħarija tal-entità finanzjarja:

(a)

l-awditu intern tagħha stess jew awditu minn parti terza maħtura;

(b)

fejn xieraq, awditi raggruppati u ttestjar aggregat tal-ICT, inkluż ittestjar tal-penetrazzjoni bbażat fuq it-theddid, li jiġu organizzati b’mod konġunt ma’ entitajiet finanzjarji kontraenti oħra jew ditti li jużaw servizzi tal-ICT tal-istess fornitur terz ta’ servizzi tal-ICT u li jitwettqu minn dawk l-entitajiet finanzjarji kontraenti jew ditti kontraenti jew minn parti terza maħtura minnhom;

(c)

fejn xieraq, ċertifikazzjonijiet ta’ partijiet terzi;

(d)

fejn xieraq, rapporti tal-awditjar interni jew ta’ partijiet terzi magħmula disponibbli mill-fornitur terz ta’ servizzi tal-ICT.

3.   L-entità finanzjarja ma għandhiex maż-żmien tiddependi biss fuq iċ-ċertifikazzjonijiet imsemmija fil-paragrafu 2, il-punt (c), jew fuq ir-rapporti tal-awditjar imsemmija fil-punt (d) ta’ dak il-paragrafu. Il-politika għandha tippermetti biss l-użu tal-metodi msemmija fil-paragrafu 2, il-punti (c) u (d), meta l-entità finanzjarja:

(a)

tkun sodisfatta bil-pjan tal-awditjar tal-fornitur terz ta’ servizzi tal-ICT għall-arranġamenti kuntrattwali rilevanti;

(b)

tiżgura li l-kamp ta’ applikazzjoni taċ-ċertifikazzjonijiet jew tar-rapporti tal-awditjar ikopri s-sistemi u l-kontrolli ewlenin identifikati minnu u jiżgura l-konformità mar-rekwiżiti regolatorji rilevanti;

(c)

tivvaluta bir-reqqa l-kontenut taċ-ċertifikazzjonijiet jew tar-rapporti tal-awditjar fuq bażi kontinwa u tivverifika li r-rapporti jew iċ-ċertifikazzjonijiet ma jkunux obsoleti;

(d)

tiżgura li s-sistemi u l-kontrolli ewlenin ikunu koperti f’verżjonijiet futuri tar-rapport taċ-ċertifikazzjoni jew tal-awditjar;

(e)

tkun sodisfatta bil-kapaċità tal-parti li tiċċertifika jew tal-awditjar;

(f)

tkun sodisfatta li ċ-ċertifikazzjonijiet jinħarġu, u li l-awditi jitwettqu skont standards professjonali rilevanti rikonoxxuti b’mod wiesa’ u jinkludu test tal-effettività operazzjonali tal-kontrolli ewlenin fis-seħħ;

(g)

għandha d-dritt kuntrattwali li titlob, bi frekwenza li tkun raġonevoli u leġittima minn perspettiva ta’ ġestjoni tar-riskju, modifiki tal-kamp ta’ applikazzjoni taċ-ċertifikazzjonijiet jew tar-rapporti tal-awditjar għal sistemi u kontrolli rilevanti oħra;

(h)

għandha d-dritt kuntrattwali li twettaq awditi individwali u raggruppati fid-diskrezzjoni tagħha fir-rigward tal-arranġamenti kuntrattwali u teżegwixxi dawk id-drittijiet f’konformità mal-frekwenza miftiehma.

4.   Il-politika għandha tiżgura li l-bidliet materjali fil-ftehim kuntrattwali għandhom jiġu formalizzati f’dokument bil-miktub li jkun datat u ffirmat mill-partijiet kollha u għandha tispeċifika l-proċess ta’ tiġdid għall-arranġamenti kuntrattwali.

Artikolu 9

Monitoraġġ tal-arranġamenti kuntrattwali

1.   Il-politika għandha tirrikjedi li l-arranġamenti kuntrattwali jispeċifikaw il-miżuri u l-indikaturi ewlenin għall-monitoraġġ, fuq bażi kontinwa, tal-prestazzjoni tal-fornituri terzi ta’ servizzi tal-ICT, inklużi miżuri għall-monitoraġġ tal-konformità mar-rekwiżiti rigward il-kunfidenzjalità, id-disponibbiltà, l-integrità u l-awtentiċità tad-data u l-informazzjoni, u l-konformità tal-fornituri terzi ta’ servizzi tal-ICT mal-politiki u l-proċeduri rilevanti tal-entità finanzjarja. Il-politika għandha tispeċifika wkoll miżuri li japplikaw meta l-ftehimiet dwar il-livell ta’ servizz ma jiġux issodisfati, inklużi penali kuntrattwali fejn xieraq.

2.   Il-politika għandha tispeċifika kif l-entità finanzjarja għandha tivvaluta jekk il-fornituri terzi ta’ servizzi tal-ICT użati għas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jissodisfawx standards xierqa ta’ prestazzjoni u kwalità f’konformità mal-arranġament kuntrattwali u mal-politiki tal-entità finanzjarja stess. Il-politika għandha, b’mod partikolari, tiżgura dan li ġej:

(a)

li l-fornituri terzi ta’ servizzi tal-ICT jipprovdu rapporti xierqa dwar l-attivitajiet u s-servizzi tagħhom lill-entità finanzjarja, inklużi rapporti perjodiċi, rapporti ta’ inċidenti, rapporti dwar l-għoti ta’ servizzi, rapporti dwar is-sigurtà tal-ICT u rapporti dwar il-miżuri u l-ittestjar tal-kontinwità tal-operat;

(b)

li l-prestazzjoni tal-fornituri terzi ta’ servizzi tal-ICT tiġi vvalutata b’indikaturi ewlenin tal-prestazzjoni, indikaturi ewlenin tal-kontroll, awditi, awtoċertifikazzjonijiet u rieżamijiet indipendenti f’konformità mal-qafas ta’ ġestjoni tar-riskju tal-ICT tal-entità finanzjarja;

(c)

li l-entità finanzjarja tirċievi informazzjoni rilevanti oħra mill-fornituri terzi ta’ servizzi tal-ICT;

(d)

li l-entità finanzjarja tiġi nnotifikata, fejn xieraq, dwar inċidenti relatati mal-ICT u inċidenti operazzjonali jew tas-sigurtà relatati ma’ pagamenti;

(e)

li jitwettqu rieżami u awditi indipendenti li jivverifikaw il-konformità mar-rekwiżiti u l-politiki legali u regolatorji.

3.   Il-politika għandha tispeċifika li l-valutazzjoni msemmija fil-paragrafu 2 għandha tiġi ddokumentata u li r-riżultati tagħha għandhom jintużaw biex tiġi aġġornata l-valutazzjoni tar-riskju tal-entità finanzjarja msemmija fl-Artikolu 6.

4.   Il-politika għandha tistabbilixxi l-miżuri xierqa li l-entità finanzjarja għandha tadotta jekk tidentifika nuqqasijiet tal-fornituri terzi ta’ servizzi tal-ICT, inklużi inċidenti relatati mal-ICT u inċidenti operazzjonali jew tas-sigurtà relatati ma’ pagamenti, fil-forniment tas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew fil-konformità ma’ arranġamenti kuntrattwali jew rekwiżiti legali. Għandha tispeċifika wkoll kif l-implimentazzjoni ta’ tali miżuri għandha tiġi mmonitorjata sabiex jiġi żgurat li dawn qed jitħarsu b’mod effettiv f’perjodu ta’ żmien definit, filwaqt li titqies il-materjalità tan-nuqqasijiet.

Artikolu 10

Ħruġ u terminazzjoni ta’ arranġamenti kuntrattwali

Il-politika għandha tinkludi rekwiżiti għal pjan ta’ ħruġ dokumentat għal kull arranġament kuntrattwali u għar-rieżami u l-ittestjar perjodiċi tal-pjan ta’ ħruġ dokumentat. Meta jiġi stabbilit il-pjan ta’ ħruġ, għandu jitqies dan li ġej:

(a)

interruzzjonijiet mhux previsti u persistenti fis-servizz;

(b)

għoti ta’ servizz mhux xieraq jew li ma rnexxiex;

(c)

it-terminazzjoni mhux mistennija tal-arranġament kuntrattwali.

Il-pjan ta’ ħruġ għandu jkun realistiku, fattibbli, ibbażat fuq xenarji plawżibbli u suppożizzjonijiet raġonevoli u għandu jkollu skeda ta’ implimentazzjoni ppjanata kompatibbli mat-termini ta’ ħruġ u terminazzjoni stabbiliti fl-arranġamenti kuntrattwali.

Artikolu 11

Dħul fis-seħħ

Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.

Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.

Magħmul fi Brussell, it-13 ta’ Marzu 2024.

Għall-Kummissjoni

Il-President

Ursula VON DER LEYEN

(1)   ĠU L 333, 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.

(2)  Ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (ĠU L 119, 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(3)  Ir-Regolament (UE) Nru 1093/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Bankarja Ewropea) u li jemenda d-Deċiżjoni Nru 716/2009/KE u jħassar id-Deċiżjoni tal-Kummissjoni 2009/78/KE (ĠU L 331, 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).

(4)  Ir-Regolament (UE) Nru 1094/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Ewropea tal-Assigurazzjoni u l-Pensjonijiet tax-Xogħol), u li jemenda d-Deċiżjoni Nru 716/2009/KE u li jħassar id-Deċiżjoni tal-Kummissjoni 2009/79/KE (ĠU L 331, 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).

(5)  Ir-Regolament (UE) Nru 1095/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Ewropea tat-Titoli u s-Swieq) u li jemenda d-Deċiżjoni Nru 716/2009/KE u jħassar id-Deċiżjoni tal-Kummissjoni 2009/77/KE (ĠU L 331, 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).

(6)  Ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

ELI: http://data.europa.eu/eli/reg_del/2024/1773/oj

ISSN 1977-074X (electronic edition)

Top