REGOLAMENT DELEGAT TAL-KUMMISSJONI (UE) 2024/1773

tat-13 ta’ Marzu 2024

li jissupplimenta r-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill fir-rigward ta’ standards tekniċi regolatorji li jispeċifikaw il-kontenut dettaljat tal-politika rigward l-arranġamenti kuntrattwali dwar l-użu ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti pprovduti minn fornituri terzi ta’ servizzi tal-ICT

(Test b’relevanza għaż-ŻEE)

IL-KUMMISSJONI EWROPEA,

Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,

Wara li kkunsidrat ir-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar ir-reżiljenza operazzjonali diġitali għas-settur finanzjarju u li jemenda r-Regolamenti (KE) Nru 1060/2009, (UE) Nru 648/2012, (UE) Nru 600/2014, (UE) Nru 909/2014 u (UE) 2016/1011 (1), u b’mod partikolari l-Artikolu 28(10), it-tielet subparagrafu tiegħu,

Billi:

(1)

Il-qafas dwar ir-reżiljenza operazzjonali diġitali għas-settur finanzjarju stabbilit bir-Regolament (UE) 2022/2554 jirrikjedi li l-entitajiet finanzjarji jistabbilixxu ċerti prinċipji ewlenin għall-ġestjoni tar-riskju relatat mal-ICT minn partijiet terzi, li huma ta’ importanza partikolari meta l-entitajiet finanzjarji jinvolvu ruħhom ma’ fornituri terzi ta’ servizzi tal-ICT biex jappoġġaw il-funzjonijiet kritiċi jew importanti tagħhom.

(2)

L-entitajiet finanzjarji, bħala parti mill-qafas ta’ ġestjoni tar-riskju tal-ICT tagħhom, għandhom jadottaw, u jirrieżaminaw regolarment, strateġija dwar ir-riskju relatat mal-ICT minn partijiet terzi. F’konformità mal-Artikolu 28(2) tar-Regolament (UE) 2022/2554, dik l-istrateġija għandha tinkludi politika dwar l-użu ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti pprovduti minn fornituri terzi ta’ servizzi tal-ICT. Din għandha tapplika fuq bażi individwali u, fejn rilevanti, fuq bażi subkonsolidata u konsolidata.

(3)

L-entitajiet finanzjarji jvarjaw ħafna fid-daqs, fl-istruttura u fl-organizzazzjoni interna u fin-natura u l-kumplessità tal-attivitajiet u l-operazzjonijiet tagħhom. Jeħtieġ li meta tkun qed tiġi żviluppata l-politika dwar l-arranġamenti kuntrattwali dwar l-użu ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti minn fornituri terzi tal-ICT, titqies dik id-diversità filwaqt li jiġu imposti ċerti rekwiżiti regolatorji fundamentali li huma xierqa għall-entitajiet finanzjarji kollha (“il-politika”), u li jiġi żgurat li dawk ir-rekwiżiti jiġu applikati b’mod li jkun proporzjonat.

(4)	Meta l-entitajiet finanzjarji jappartjenu għal grupp, l-impriża omm li tkun responsabbli biex tipprovdi r-rapporti finanzjarji konsolidati jew subkonsolidati għall-grupp, jenħtieġ għalhekk li tiżgura li l-politika tiġi applikata b’mod konsistenti u koerenti fil-grupp.

(5)

Meta tiġi applikata l-politika, il-fornituri intragrupp ta’ servizzi tal-ICT, inklużi dawk li huma kompletament jew kollettivament proprjetà ta’ entitajiet finanzjarji fl-istess skema ta’ protezzjoni istituzzjonali, jenħtieġ li jitqiesu bħala fornituri terzi ta’ servizzi tal-ICT. Ir-riskji ppreżentati mill-fornituri intragrupp ta’ servizzi tal-ICT jistgħu jkunu differenti iżda r-rekwiżiti applikabbli għalihom huma l-istess skont ir-Regolament (UE) 2022/2554. B’mod simili, jenħtieġ li l-politika tapplika għas-sottokuntratturi li jipprovdu servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali minnhom lil fornituri terzi ta’ servizzi tal-ICT, meta teżisti katina ta’ fornituri terzi ta’ servizzi tal-ICT.

(6)

Ir-responsabbiltà aħħarija tal-korp maniġerjali fil-ġestjoni tar-riskju tal-ICT ta’ entità finanzjarja hija prinċipju ġenerali li huwa applikabbli wkoll fir-rigward tal-użu ta’ fornituri terzi ta’ servizzi tal-ICT. Jenħtieġ li din ir-responsabbiltà tissarraf ulterjorment fl-involviment kontinwu tal-korp maniġerjali fil-kontroll u l-monitoraġġ tal-ġestjoni tar-riskju tal-ICT, inkluż fl-adozzjoni u r-rieżami, tal-anqas darba fis-sena, tal-politika.

(7)

Sabiex jiġi żgurat rappurtar xieraq lill-korp maniġerjali, jenħtieġ li l-politika tispeċifika u tidentifika b’mod ċar ir-responsabbiltajiet interni għall-approvazzjoni, il-ġestjoni, il-kontroll u d-dokumentazzjoni tal-arranġamenti kuntrattwali dwar l-użu tas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti pprovduti minn fornituri terzi ta’ servizzi tal-ICT (“arranġamenti kuntrattwali”), inkluż is-servizzi tal-ICT ipprovduti skont l-arranġamenti kuntrattwali msemmija fl-Artikolu 28(1), il-punt (a), tar-Regolament (UE) 2022/2554.

(8)

Sabiex jitqiesu r-riskji kollha possibbli li jistgħu jirriżultaw meta jiġu kkuntrattati servizzi tal-ICT li jappoġġaw funzjoni kritika jew importanti, jenħtieġ li l-istruttura tal-politika ssegwi l-passi kollha ta’ kull fażi ewlenija taċ-ċiklu tal-ħajja għal arranġamenti kuntrattwali ma’ fornituri terzi.

(9)

Sabiex jittaffew ir-riskji identifikati, jenħtieġ li l-politika tispeċifika l-ippjanar tal-arranġamenti kuntrattwali, inkluż il-valutazzjoni tar-riskju, id-diliġenza dovuta, u l-proċess ta’ approvazzjoni għal bidliet ġodda jew materjali ta’ dawk l-arranġamenti kuntrattwali. Sabiex jiġu ġestiti r-riskji li jistgħu jirriżultaw qabel id-dħul f’arranġament kuntrattwali ma’ fornitur terz ta’ servizzi tal-ICT, jenħtieġ li l-politika tispeċifika proċess xieraq u proporzjonat biex tintgħażel u tiġi vvalutata l-adegwatezza ta’ fornituri terzi prospettivi ta’ servizzi tal-ICT u tirrikjedi li l-entità finanzjarja tqis lista mhux eżawrjenti ta’ elementi li l-fornituri terzi ta’ servizzi tal-ICT jenħtieġ li jkollhom fis-seħħ. Jenħtieġ li l-lista tinkludi elementi relatati mar-reputazzjoni kummerċjali tal-fornituri tas-servizzi, ir-riżorsi finanzjarji, umani u tekniċi tagħhom, is-sigurtà tal-informazzjoni tagħhom, l-istruttura organizzazzjonali tagħhom, inkluża l-ġestjoni tar-riskju, u l-kontrolli interni tagħhom.

(10)

Sabiex tiġi żgurata ġestjoni tajba tar-riskju fil-forniment ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti minn fornituri terzi ta’ servizzi tal-ICT, jenħtieġ li l-politika tinkludi informazzjoni dwar l-implimentazzjoni, il-monitoraġġ u l-ġestjoni tal-arranġamenti kuntrattwali, inkluż fil-livell konsolidat u subkonsolidat, fejn applikabbli. Dan jinkludi rekwiżiti għall-klawżoli kuntrattwali dwar l-obbligi reċiproċi tal-entitajiet finanzjarji u tal-fornituri terzi ta’ servizzi tal-ICT, li jenħtieġ li jiġu stabbiliti bil-miktub. Sabiex tiġi żgurata superviżjoni effiċjenti u titrawwem ir-reżiljenza f’każ ta’ bidliet fil-mudell tan-negozju jew fl-ambjent tan-negozju, jenħtieġ li l-politika tiżgura d-drittijiet tal-entitajiet finanzjarji jew tal-partijiet terzi maħtura u tal-awtoritajiet kompetenti għall-ispezzjonijiet u l-aċċess għall-informazzjoni u jenħtieġ ukoll li tispeċifika aktar l-istrateġiji ta’ ħruġ u l-proċessi ta’ terminazzjoni.

(11)

Sa fejn id-data personali tiġi pproċessata minn fornituri terzi ta’ servizzi tal-ICT, din il-politika u kwalunkwe arranġament kuntrattwali huma mingħajr preġudizzju għall-obbligi skont ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill (2), u jenħtieġ li jikkomplementawhom, bħal pereżempju li jkun hemm kuntratt bil-miktub fis-seħħ li jiddeskrivi l-ipproċessar tad-data personali, ir-rekwiżit li tiġi żgurata s-sigurtà tal-ipproċessar tad-data personali u l-istabbiliment tal-elementi l-oħra kollha meħtieġa skont dak ir-Regolament.

(12)

Il-Kumitat Konġunt tal-Awtoritajiet Superviżorji Ewropej imsemmi fl-Artikolu 54 tar-Regolament (UE) Nru 1093/2010 tal-Parlament Ewropew u tal-Kunsill (3), fl-Artikolu 54 tar-Regolament (UE) Nru 1094/2010 tal-Parlament Ewropew u tal-Kunsill (4) u fl-Artikolu 54 tar-Regolament (UE) Nru 1095/2010 tal-Parlament Ewropew u tal-Kunsill (5) wettaq konsultazzjonijiet pubbliċi miftuħa dwar l-abbozz ta’ standards tekniċi regolatorji li fuqhom huwa bbażat dan ir-Regolament, analizza l-kostijiet u l-benefiċċji potenzjali tal-istandards proposti u talab il-parir tal-Grupp tal-Partijiet Bankarji Interessati stabbilit f’konformità mal-Artikolu 37 tar-Regolament (UE) Nru 1093/2010, tal-Grupp tal-Partijiet Interessati tal-Oqsma tal-Assigurazzjoni u tar-Riassigurazzjoni u tal-Grupp tal-Partijiet Interessati tal-Qasam tal-Pensjonijiet tax-Xogħol stabbilit f’konformità mal-Artikolu 37 tar-Regolament (UE) Nru 1094/2010, u tal-Grupp tal-Partijiet Interessati tat-Titoli u s-Swieq stabbilit f’konformità mal-Artikolu 37 tar-Regolament (UE) Nru 1095/2010,

(13)	Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat f’konformità mal-Artikolu 42(1) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (6) u ta l-opinjoni tiegħu fl-24 ta’ Jannar 2024,

ADOTTAT DAN IR-REGOLAMENT:

Artikolu 1

Profil tar-riskju ġenerali u kumplessità

Il-politika dwar l-użu ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti pprovduti minn fornituri terzi ta’ servizzi tal-ICT (il-“politika”) għandha tqis id-daqs u l-profil tar-riskju ġenerali tal-entità finanzjarja, u n-natura, l-iskala u l-elementi ta’ kumplessità akbar jew imnaqqsa tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħha, inklużi elementi relatati ma’:

(a)	it-tip ta’ servizzi tal-ICT inklużi fl-arranġament kuntrattwali dwar l-użu ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti pprovduti minn fornituri terzi ta’ servizzi tal-ICT (l-“arranġament kuntrattwali”) bejn l-entità finanzjarja u l-fornitur terz ta’ servizzi tal-ICT;

(b)	il-post fejn huwa stabbilit il-fornitur terz ta’ servizzi tal-ICT jew il-kumpanija omm tiegħu;

(c)

jekk is-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti humiex ipprovduti minn fornitur terz ta’ servizzi tal-ICT li jinsab fi Stat Membru jew f’pajjiż terz, filwaqt li jitqies ukoll il-post minn fejn jiġu pprovduti s-servizzi tal-ICT u l-post fejn id-data tiġi pproċessata u maħżuna;

(d)	in-natura tad-data kondiviża mal-fornitur terz ta’ servizzi tal-ICT;

(e)	jekk il-fornitur terz ta’ servizzi tal-ICT huwiex parti mill-istess grupp bħall-entità finanzjarja li lilha jiġu pprovduti s-servizzi;

(f)

l-użu ta’ fornituri terzi ta’ servizzi tal-ICT li huma kemm awtorizzati, irreġistrati jew soġġetti għal superviżjoni jew sorveljanza minn awtorità kompetenti fi Stat Membru jew soġġetti għall-qafas ta’ sorveljanza skont il-Kapitolu V, it-Taqsima II, tar-Regolament (UE) 2022/2554, kif ukoll ta’ dawk li ma humiex;

(g)	l-użu ta’ fornituri terzi ta’ servizzi tal-ICT li huma kemm awtorizzati, irreġistrati jew soġġetti għal superviżjoni jew sorveljanza minn awtorità superviżorja f’pajjiż terz, kif ukoll ta’ dawk li ma humiex;

(h)	jekk il-forniment ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti huwiex ikkonċentrat fuq fornitur terz uniku ta’ servizzi tal-ICT jew għadd żgħir ta’ tali fornituri ta’ servizzi;

(i)	it-trasferibbiltà tas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti lil fornitur terz ieħor ta’ servizzi tal-ICT, inkluż bħala riżultat tal-ispeċifiċitajiet tat-teknoloġija;

(j)	l-impatt potenzjali tat-tfixkil fil-forniment tas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti fuq il-kontinwità tal-attivitajiet tal-entità finanzjarja u fuq id-disponibbiltà tas-servizzi tagħha.

Artikolu 2

Applikazzjoni ta’ grupp

Meta dan ir-Regolament japplika fuq bażi subkonsolidata jew konsolidata, l-impriża omm responsabbli biex tipprovdi r-rapporti finanzjarji konsolidati jew subkonsolidati għall-grupp għandha tiżgura li l-politika tiġi implimentata b’mod konsistenti fl-entitajiet finanzjarji kollha li huma parti mill-grupp u li hija adegwata għall-applikazzjoni effettiva ta’ dan ir-Regolament fil-livelli rilevanti kollha tal-grupp.

Artikolu 3

Arranġamenti ta’ governanza

1. Il-korp maniġerjali għandu jirrevedi l-politika mill-inqas darba fis-sena u jaġġornaha meta jkun meħtieġ. Il-bidliet li jsiru fil-politika għandhom jiġu implimentati fil-ħin u malajr kemm jista’ jkun fil-qafas tal-arranġamenti kuntrattwali rilevanti. L-entità finanzjarja għandha tiddokumenta l-iskeda ta’ żmien ippjanata għall-implimentazzjoni.

2. Il-politika għandha tistabbilixxi jew tirreferi għal metodoloġija għad-determinazzjoni ta’ liema servizzi tal-ICT jappoġġaw funzjonijiet kritiċi jew importanti. Il-politika għandha tispeċifika wkoll meta għandha titwettaq u tiġi rieżaminata din il-valutazzjoni.

3. Il-politika għandha tassenja b’mod ċar ir-responsabbiltajiet interni għall-approvazzjoni, il-ġestjoni, il-kontroll u d-dokumentazzjoni tal-arranġamenti kuntrattwali rilevanti u għandha tiżgura li jinżammu l-ħiliet, l-esperjenza u l-għarfien xierqa fl-entità finanzjarja biex b’mod effettiv, tissorvelja l-arranġamenti kuntrattwali rilevanti, inklużi s-servizzi tal-ICT ipprovduti skont dawk l-arranġamenti.

4. Mingħajr preġudizzju għar-responsabbiltà aħħarija tal-entità finanzjarja li tissorvelja b’mod effettiv l-arranġamenti kuntrattwali rilevanti, il-politika għandha teżiġi li ssir valutazzjoni li turi li l-fornitur terz ta’ servizzi tal-ICT għandu biżżejjed riżorsi biex jiżgura li l-entità finanzjarja tikkonforma mar-rekwiżiti legali u regolatorji kollha tagħha rigward is-servizzi tal-ICT ipprovduti li jappoġġaw funzjonijiet kritiċi jew importanti.

5. Il-politika għandha tidentifika b’mod ċar ir-rwol jew il-membru tal-maniġment superjuri responsabbli għall-monitoraġġ tal-arranġamenti kuntrattwali rilevanti. Il-politika għandha tispeċifika kif dak ir-rwol jew il-membru tal-maniġment superjuri għandu jikkoopera mal-funzjonijiet ta’ kontroll, sakemm ma jkunx parti minnhom, u għandha tistabbilixxi l-linji ta’ rappurtar lill-korp maniġerjali, inkluża n-natura tal-informazzjoni li għandha tiġi rrapportata u d-dokumenti li għandhom jiġu pprovduti. Din għandha tistabbilixxi wkoll il-frekwenza ta’ tali rapportar.

6. Il-politika għandha tiżgura li l-arranġamenti kuntrattwali jkunu konsistenti ma’ dan li ġej:

(a)	il-qafas tal-ġestjoni tar-riskju tal-ICT imsemmi fl-Artikolu 6 tar-Regolament (UE) 2022/2554;

(b)	il-politika dwar is-sigurtà tal-informazzjoni msemmija fl-Artikolu 9(4) tar-Regolament (UE) 2022/2554;

(c)	il-politika tal-kontinwità tal-operat tal-ICT imsemmija fl-Artikolu 11 tar-Regolament (UE) 2022/2554;

(d)	ir-rekwiżiti dwar ir-rappurtar ta’ inċidenti stabbiliti fl-Artikolu 19 tar-Regolament (UE) 2022/2554.

7. Il-politika għandha teżiġi li s-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti pprovduti minn fornituri terzi ta’ servizzi tal-ICT ikunu soġġetti għal rieżami indipendenti u jkunu inklużi fil-pjan tal-awditjar.

8. Il-politika għandha tispeċifika b’mod espliċitu li l-arranġamenti kuntrattwali:

(a)	ma jeżonerawx lill-entità finanzjarja u lill-korp maniġerjali tagħha mill-obbligi regolatorji u mir-responsabbiltajiet li għandhom lejn il-klijenti tagħhom;

(b)	ma għandhomx jipprevjenu s-superviżjoni effettiva ta’ entità finanzjarja u ma għandhomx jiksru kwalunkwe restrizzjoni superviżorja fuq servizzi u attivitajiet;

(c)	għandhom jeżiġu li l-fornituri terzi ta’ servizzi tal-ICT jikkooperaw mal-awtoritajiet kompetenti;

(d)	għandhom jeżiġu li l-entità finanzjarja, l-awdituri tagħha, u l-awtoritajiet kompetenti jkollhom aċċess effettiv għad-data u l-binjiet relatati mal-użu tas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti.

Artikolu 4

Fażijiet ewlenin taċ-ċiklu tal-ħajja għall-adozzjoni u l-użu tal-arranġamenti kuntrattwali

Il-politika għandha tispeċifika r-rekwiżiti, inklużi r-regoli, ir-responsabbiltajiet u l-proċessi, għal kull fażi ewlenija taċ-ċiklu tal-ħajja tal-arranġament kuntrattwali, li jkopru mill-inqas dan li ġej:

(a)	ir-responsabbiltajiet tal-korp maniġerjali, inkluż l-involviment tiegħu, kif xieraq, fil-proċess tat-teħid tad-deċiżjonijiet dwar l-użu tas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti pprovduti minn fornituri terzi ta’ servizzi tal-ICT;

(b)	l-ippjanar tal-arranġamenti kuntrattwali, inkluż il-valutazzjoni tar-riskju, id-diliġenza dovuta kif stabbilita fl-Artikoli 5 u 6 u l-proċess ta’ approvazzjoni rigward bidliet ġodda jew materjali fl-arranġamenti kuntrattwali kif stabbilit fl-Artikolu 8(4);

(c)	l-involviment ta’ unitajiet tan-negozju, kontrolli interni u unitajiet rilevanti oħra fir-rigward tal-arranġamenti kuntrattwali;

(d)	l-implimentazzjoni, il-monitoraġġ u l-ġestjoni tal-arranġamenti kuntrattwali kif imsemmija fl-Artikoli 7, 8 u 9, inkluż fil-livell konsolidat u subkonsolidat, fejn applikabbli;

(e)	id-dokumentazzjoni u ż-żamma tar-rekords, filwaqt li jitqiesu r-rekwiżiti fir-rigward tar-reġistru tal-informazzjoni stabbilit fl-Artikolu 28(3) tar-Regolament (UE) 2022/2554;

(f)	l-istrateġiji ta’ ħruġ u l-proċessi ta’ terminazzjoni kif stabbiliti fl-Artikolu 10.

Artikolu 5

Valutazzjoni tar-riskju ex ante

1. Il-politika għandha teżiġi li l-ħtiġijiet tan-negozju tal-entità finanzjarja jiġu definiti qabel ma jiġi konkluż arranġament kuntrattwali.

2. Il-politika għandha teżiġi li titwettaq valutazzjoni tar-riskju fil-livell tal-entità finanzjarja u, fejn applikabbli, fil-livell konsolidat u subkonsolidat qabel ma jiġi konkluż arranġament kuntrattwali.

Il-valutazzjoni tar-riskju għandha tqis ir-rekwiżiti rilevanti kollha stabbiliti fir-Regolament (UE) 2022/2554 u l-leġiżlazzjoni settorjali applikabbli tal-Unjoni. Din għandha tikkunsidra, b’mod partikolari, l-impatt tal-forniment ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti minn fornituri terzi ta’ servizzi tal-ICT fuq l-entità finanzjarja u r-riskji kollha ppreżentati mill-forniment ta’ dawk is-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti minn fornituri terzi ta’ servizzi tal-ICT, inkluż dan li ġej:

(a)	riskji operazzjonali;

(b)	riskji legali;

(c)	riskji tal-ICT;

(d)	riskji għar-reputazzjoni;

(e)	riskji marbuta mal-protezzjoni ta’ data kunfidenzjali jew personali;

(f)	riskji marbuta mad-disponibbiltà tad-data;

(g)	riskji marbuta mal-post fejn tiġi pproċessata u maħżuna d-data;

(h)	riskji marbuta mal-post fejn huwa stabbilit il-fornitur terz ta’ servizzi tal-ICT;

(i)	Riskji ta’ konċentrazzjoni tal-ICT fil-livell ta’ entità.

Artikolu 6

Diliġenza dovuta

1. Il-politika għandha tistabbilixxi proċess xieraq u proporzjonat għall-għażla u l-valutazzjoni tal-fornituri terzi prospettivi ta’ servizzi tal-ICT filwaqt li tqis jekk il-fornitur terz ta’ servizzi tal-ICT huwiex fornitur intragrupp ta’ servizzi tal-ICT jew le, u għandha teżiġi li qabel ma l-entità finanzjarja tidħol f’arranġament kuntrattwali, din tivvaluta jekk il-fornitur terz ta’ servizzi tal-ICT:

(a)

għandux ir-reputazzjoni tan-negozju, ħiliet suffiċjenti, kwalifiki u riżorsi finanzjarji, umani u tekniċi adegwati, standards ta’ sigurtà tal-informazzjoni, struttura organizzazzjonali xierqa, ġestjoni tar-riskju u kontrolli interni u, jekk applikabbli, l-awtorizzazzjonijiet jew ir-reġistrazzjonijiet meħtieġa biex jipprovdi s-servizzi tal-ICT li jappoġġaw il-funzjoni kritika jew importanti b’mod affidabbli u professjonali;

(b)	għandux il-kapaċità li jimmonitorja l-iżviluppi teknoloġiċi rilevanti u jidentifika prattiki ewlenin tas-sigurtà tal-ICT u jimplimentahom fejn xieraq biex ikun hemm qafas ta’ reżiljenza operazzjonali diġitali effettiv u sod;

(c)	jużax jew hux biħsiebu juża sottokuntratturi tal-ICT biex iwettaq is-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali minnhom;

(d)

jinsabx, jew jipproċessax jew jaħżinx id-data f’pajjiż terz u, jekk dan ikun il-każ, jekk din il-prattika taffettwax il-livell ta’ riskji operazzjonali jew ir-riskji għar-reputazzjoni jew ir-riskju li jiġi affettwat minn miżuri restrittivi, inklużi embargos u sanzjonijiet, li jista’ jkollhom impatt fuq il-kapaċità tal-fornitur terz ta’ servizzi tal-ICT li jipprovdi s-servizzi tal-ICT jew il-kapaċità tal-entità finanzjarja li tirċievi dawk is-servizzi tal-ICT;

(e)	jagħtix l-approvazzjoni tiegħu għal arranġamenti kuntrattwali li jiżguraw li jkun effettivament possibbli li jitwettqu awditi għand il-fornitur terz ta’ servizzi tal-ICT, inkluż fuq il-post, mill-entità finanzjarja nnifisha, mill-partijiet terzi maħtura, u mill-awtoritajiet kompetenti;

(f)	jaġixxix b’mod etiku u soċjalment responsabbli, jirrispettax id-drittijiet tal-bniedem u d-drittijiet tat-tfal, inkluż il-projbizzjoni tat-tħaddim tat-tfal, jirrispettax il-prinċipji applikabbli dwar il-protezzjoni ambjentali, u jiżgurax kundizzjonijiet tax-xogħol xierqa.

2. Il-politika għandha tispeċifika l-livell meħtieġ ta’ assigurazzjoni dwar l-effettività tal-qafas tal-ġestjoni tar-riskju tal-fornituri terzi ta’ servizzi tal-ICT għas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti li għandhom jiġu pprovduti minn fornitur terz ta’ servizzi tal-ICT. Il-politika għandha teżiġi li l-proċess ta’ diliġenza dovuta jkun jinkludi valutazzjoni tal-eżistenza ta’ miżuri ta’ mitigazzjoni tar-riskju u ta’ kontinwità tal-operat u ta’ kif jiġi żgurat il-funzjonament tagħhom fi ħdan il-fornitur terz ta’ servizzi tal-ICT.

3. Il-politika għandha tiddetermina l-proċess ta’ diliġenza dovuta għall-għażla u l-valutazzjoni tal-fornituri terzi prospettivi ta’ servizzi tal-ICT u għandha tindika liema mill-elementi li ġejjin għandhom jintużaw għal-livell meħtieġ ta’ assigurazzjoni dwar il-prestazzjoni tal-fornitur terz ta’ servizzi tal-ICT:

(a)	awditi jew valutazzjonijiet indipendenti mwettqa mill-entità finanzjarja nnifisha jew f’isimha;

(b)	l-użu ta’ rapporti tal-awditjar indipendenti magħmula fuq talba mill-fornitur terz ta’ servizzi tal-ICT;

(c)	l-użu ta’ rapporti tal-awditjar magħmula mill-kapaċità tal-awditjar intern tal-fornitur terz ta’ servizzi tal-ICT;

(d)	l-użu ta’ ċertifikazzjonijiet xierqa ta’ partijiet terzi;

(e)	l-użu ta’ informazzjoni rilevanti oħra disponibbli għall-entità finanzjarja jew informazzjoni oħra pprovduta mill-fornitur terz ta’ servizzi tal-ICT.

4. L-entitajiet finanzjarji għandhom jiżguraw livell xieraq ta’ assigurazzjoni dwar il-prestazzjoni tal-fornitur terz ta’ servizzi tal-ICT, filwaqt li jqisu l-elementi elenkati fil-paragrafu 3, il-punti (a) sa (e). Fejn xieraq, għandu jintuża aktar minn element wieħed elenkat f’dawk il-punti.

Artikolu 7

Kunflitti ta’ interess

1. Il-politika għandha tispeċifika l-miżuri xierqa għall-identifikazzjoni, il-prevenzjoni u l-ġestjoni tal-kunflitti ta’ interess attwali jew potenzjali li jirriżultaw mill-użu ta’ fornituri terzi ta’ servizzi tal-ICT li għandhom jittieħdu qabel ma jiddaħħlu l-arranġamenti kuntrattwali rilevanti u għandha tipprevedi monitoraġġ kontinwu ta’ tali kunflitti ta’ interess.

2. Meta s-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jiġu pprovduti minn fornituri intragrupp ta’ servizzi tal-ICT, il-politika għandha tispeċifika li d-deċiżjonijiet dwar il-kundizzjonijiet, inklużi l-kundizzjonijiet finanzjarji, għas-servizzi tal-ICT għandhom jittieħdu b’mod oġġettiv.

Artikolu 8

Klawżoli kuntrattwali

1. Il-politika għandha tispeċifika li l-arranġamenti kuntrattwali rilevanti għandhom jkunu bil-miktub u għandhom jinkludi l-elementi kollha msemmija fl-Artikolu 30(2) u (3) tar-Regolament (UE) 2022/2554. Il-politika għandha tinkludi wkoll elementi rigward ir-rekwiżiti msemmija fl-Artikolu 1(1), il-punt (a), tar-Regolament (UE) 2022/2554, kif ukoll liġi rilevanti oħra tal-Unjoni u nazzjonali kif xieraq.

2. Il-politika għandha tispeċifika li l-arranġamenti kuntrattwali rilevanti għandhom jinkludu d-dritt li l-entità finanzjarja taċċessa l-informazzjoni, li twettaq spezzjonijiet u awditi, u li twettaq testijiet fuq l-ICT. Għal dak il-għan, il-politika għandha teżiġi li l-entità finanzjarja tuża l-metodi li ġejjin, mingħajr preġudizzju għar-responsabbiltà aħħarija tal-entità finanzjarja:

(a)	l-awditu intern tagħha stess jew awditu minn parti terza maħtura;

(b)

fejn xieraq, awditi raggruppati u ttestjar aggregat tal-ICT, inkluż ittestjar tal-penetrazzjoni bbażat fuq it-theddid, li jiġu organizzati b’mod konġunt ma’ entitajiet finanzjarji kontraenti oħra jew ditti li jużaw servizzi tal-ICT tal-istess fornitur terz ta’ servizzi tal-ICT u li jitwettqu minn dawk l-entitajiet finanzjarji kontraenti jew ditti kontraenti jew minn parti terza maħtura minnhom;

(c)	fejn xieraq, ċertifikazzjonijiet ta’ partijiet terzi;

(d)	fejn xieraq, rapporti tal-awditjar interni jew ta’ partijiet terzi magħmula disponibbli mill-fornitur terz ta’ servizzi tal-ICT.

3. L-entità finanzjarja ma għandhiex maż-żmien tiddependi biss fuq iċ-ċertifikazzjonijiet imsemmija fil-paragrafu 2, il-punt (c), jew fuq ir-rapporti tal-awditjar imsemmija fil-punt (d) ta’ dak il-paragrafu. Il-politika għandha tippermetti biss l-użu tal-metodi msemmija fil-paragrafu 2, il-punti (c) u (d), meta l-entità finanzjarja:

(a)	tkun sodisfatta bil-pjan tal-awditjar tal-fornitur terz ta’ servizzi tal-ICT għall-arranġamenti kuntrattwali rilevanti;

(b)	tiżgura li l-kamp ta’ applikazzjoni taċ-ċertifikazzjonijiet jew tar-rapporti tal-awditjar ikopri s-sistemi u l-kontrolli ewlenin identifikati minnu u jiżgura l-konformità mar-rekwiżiti regolatorji rilevanti;

(c)	tivvaluta bir-reqqa l-kontenut taċ-ċertifikazzjonijiet jew tar-rapporti tal-awditjar fuq bażi kontinwa u tivverifika li r-rapporti jew iċ-ċertifikazzjonijiet ma jkunux obsoleti;

(d)	tiżgura li s-sistemi u l-kontrolli ewlenin ikunu koperti f’verżjonijiet futuri tar-rapport taċ-ċertifikazzjoni jew tal-awditjar;

(e)	tkun sodisfatta bil-kapaċità tal-parti li tiċċertifika jew tal-awditjar;

(f)	tkun sodisfatta li ċ-ċertifikazzjonijiet jinħarġu, u li l-awditi jitwettqu skont standards professjonali rilevanti rikonoxxuti b’mod wiesa’ u jinkludu test tal-effettività operazzjonali tal-kontrolli ewlenin fis-seħħ;

(g)	għandha d-dritt kuntrattwali li titlob, bi frekwenza li tkun raġonevoli u leġittima minn perspettiva ta’ ġestjoni tar-riskju, modifiki tal-kamp ta’ applikazzjoni taċ-ċertifikazzjonijiet jew tar-rapporti tal-awditjar għal sistemi u kontrolli rilevanti oħra;

(h)	għandha d-dritt kuntrattwali li twettaq awditi individwali u raggruppati fid-diskrezzjoni tagħha fir-rigward tal-arranġamenti kuntrattwali u teżegwixxi dawk id-drittijiet f’konformità mal-frekwenza miftiehma.

4. Il-politika għandha tiżgura li l-bidliet materjali fil-ftehim kuntrattwali għandhom jiġu formalizzati f’dokument bil-miktub li jkun datat u ffirmat mill-partijiet kollha u għandha tispeċifika l-proċess ta’ tiġdid għall-arranġamenti kuntrattwali.

Artikolu 9

Monitoraġġ tal-arranġamenti kuntrattwali

1. Il-politika għandha tirrikjedi li l-arranġamenti kuntrattwali jispeċifikaw il-miżuri u l-indikaturi ewlenin għall-monitoraġġ, fuq bażi kontinwa, tal-prestazzjoni tal-fornituri terzi ta’ servizzi tal-ICT, inklużi miżuri għall-monitoraġġ tal-konformità mar-rekwiżiti rigward il-kunfidenzjalità, id-disponibbiltà, l-integrità u l-awtentiċità tad-data u l-informazzjoni, u l-konformità tal-fornituri terzi ta’ servizzi tal-ICT mal-politiki u l-proċeduri rilevanti tal-entità finanzjarja. Il-politika għandha tispeċifika wkoll miżuri li japplikaw meta l-ftehimiet dwar il-livell ta’ servizz ma jiġux issodisfati, inklużi penali kuntrattwali fejn xieraq.

2. Il-politika għandha tispeċifika kif l-entità finanzjarja għandha tivvaluta jekk il-fornituri terzi ta’ servizzi tal-ICT użati għas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jissodisfawx standards xierqa ta’ prestazzjoni u kwalità f’konformità mal-arranġament kuntrattwali u mal-politiki tal-entità finanzjarja stess. Il-politika għandha, b’mod partikolari, tiżgura dan li ġej:

(a)

li l-fornituri terzi ta’ servizzi tal-ICT jipprovdu rapporti xierqa dwar l-attivitajiet u s-servizzi tagħhom lill-entità finanzjarja, inklużi rapporti perjodiċi, rapporti ta’ inċidenti, rapporti dwar l-għoti ta’ servizzi, rapporti dwar is-sigurtà tal-ICT u rapporti dwar il-miżuri u l-ittestjar tal-kontinwità tal-operat;

(b)	li l-prestazzjoni tal-fornituri terzi ta’ servizzi tal-ICT tiġi vvalutata b’indikaturi ewlenin tal-prestazzjoni, indikaturi ewlenin tal-kontroll, awditi, awtoċertifikazzjonijiet u rieżamijiet indipendenti f’konformità mal-qafas ta’ ġestjoni tar-riskju tal-ICT tal-entità finanzjarja;

(c)	li l-entità finanzjarja tirċievi informazzjoni rilevanti oħra mill-fornituri terzi ta’ servizzi tal-ICT;

(d)	li l-entità finanzjarja tiġi nnotifikata, fejn xieraq, dwar inċidenti relatati mal-ICT u inċidenti operazzjonali jew tas-sigurtà relatati ma’ pagamenti;

(e)	li jitwettqu rieżami u awditi indipendenti li jivverifikaw il-konformità mar-rekwiżiti u l-politiki legali u regolatorji.

3. Il-politika għandha tispeċifika li l-valutazzjoni msemmija fil-paragrafu 2 għandha tiġi ddokumentata u li r-riżultati tagħha għandhom jintużaw biex tiġi aġġornata l-valutazzjoni tar-riskju tal-entità finanzjarja msemmija fl-Artikolu 6.

4. Il-politika għandha tistabbilixxi l-miżuri xierqa li l-entità finanzjarja għandha tadotta jekk tidentifika nuqqasijiet tal-fornituri terzi ta’ servizzi tal-ICT, inklużi inċidenti relatati mal-ICT u inċidenti operazzjonali jew tas-sigurtà relatati ma’ pagamenti, fil-forniment tas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew fil-konformità ma’ arranġamenti kuntrattwali jew rekwiżiti legali. Għandha tispeċifika wkoll kif l-implimentazzjoni ta’ tali miżuri għandha tiġi mmonitorjata sabiex jiġi żgurat li dawn qed jitħarsu b’mod effettiv f’perjodu ta’ żmien definit, filwaqt li titqies il-materjalità tan-nuqqasijiet.

Artikolu 10

Ħruġ u terminazzjoni ta’ arranġamenti kuntrattwali

Il-politika għandha tinkludi rekwiżiti għal pjan ta’ ħruġ dokumentat għal kull arranġament kuntrattwali u għar-rieżami u l-ittestjar perjodiċi tal-pjan ta’ ħruġ dokumentat. Meta jiġi stabbilit il-pjan ta’ ħruġ, għandu jitqies dan li ġej:

(a)	interruzzjonijiet mhux previsti u persistenti fis-servizz;

(b)	għoti ta’ servizz mhux xieraq jew li ma rnexxiex;

(c)	it-terminazzjoni mhux mistennija tal-arranġament kuntrattwali.

Il-pjan ta’ ħruġ għandu jkun realistiku, fattibbli, ibbażat fuq xenarji plawżibbli u suppożizzjonijiet raġonevoli u għandu jkollu skeda ta’ implimentazzjoni ppjanata kompatibbli mat-termini ta’ ħruġ u terminazzjoni stabbiliti fl-arranġamenti kuntrattwali.

Artikolu 11

Dħul fis-seħħ

Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.

Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.

Magħmul fi Brussell, it-13 ta’ Marzu 2024.

Għall-Kummissjoni

Il-President

Ursula VON DER LEYEN

(1) ĠU L 333, 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.

(2) Ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (ĠU L 119, 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(3) Ir-Regolament (UE) Nru 1093/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Bankarja Ewropea) u li jemenda d-Deċiżjoni Nru 716/2009/KE u jħassar id-Deċiżjoni tal-Kummissjoni 2009/78/KE (ĠU L 331, 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).

(4) Ir-Regolament (UE) Nru 1094/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Ewropea tal-Assigurazzjoni u l-Pensjonijiet tax-Xogħol), u li jemenda d-Deċiżjoni Nru 716/2009/KE u li jħassar id-Deċiżjoni tal-Kummissjoni 2009/79/KE (ĠU L 331, 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).

(5) Ir-Regolament (UE) Nru 1095/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Ewropea tat-Titoli u s-Swieq) u li jemenda d-Deċiżjoni Nru 716/2009/KE u jħassar id-Deċiżjoni tal-Kummissjoni 2009/77/KE (ĠU L 331, 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).

(6) Ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).