Il-Ġurnal Uffiċjali |
MT Is-serje L |
2024/1773 |
25.6.2024 |
REGOLAMENT DELEGAT TAL-KUMMISSJONI (UE) 2024/1773
tat-13 ta’ Marzu 2024
li jissupplimenta r-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill fir-rigward ta’ standards tekniċi regolatorji li jispeċifikaw il-kontenut dettaljat tal-politika rigward l-arranġamenti kuntrattwali dwar l-użu ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti pprovduti minn fornituri terzi ta’ servizzi tal-ICT
(Test b’relevanza għaż-ŻEE)
IL-KUMMISSJONI EWROPEA,
Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropea,
Wara li kkunsidrat ir-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar ir-reżiljenza operazzjonali diġitali għas-settur finanzjarju u li jemenda r-Regolamenti (KE) Nru 1060/2009, (UE) Nru 648/2012, (UE) Nru 600/2014, (UE) Nru 909/2014 u (UE) 2016/1011 (1), u b’mod partikolari l-Artikolu 28(10), it-tielet subparagrafu tiegħu,
Billi:
(1) |
Il-qafas dwar ir-reżiljenza operazzjonali diġitali għas-settur finanzjarju stabbilit bir-Regolament (UE) 2022/2554 jirrikjedi li l-entitajiet finanzjarji jistabbilixxu ċerti prinċipji ewlenin għall-ġestjoni tar-riskju relatat mal-ICT minn partijiet terzi, li huma ta’ importanza partikolari meta l-entitajiet finanzjarji jinvolvu ruħhom ma’ fornituri terzi ta’ servizzi tal-ICT biex jappoġġaw il-funzjonijiet kritiċi jew importanti tagħhom. |
(2) |
L-entitajiet finanzjarji, bħala parti mill-qafas ta’ ġestjoni tar-riskju tal-ICT tagħhom, għandhom jadottaw, u jirrieżaminaw regolarment, strateġija dwar ir-riskju relatat mal-ICT minn partijiet terzi. F’konformità mal-Artikolu 28(2) tar-Regolament (UE) 2022/2554, dik l-istrateġija għandha tinkludi politika dwar l-użu ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti pprovduti minn fornituri terzi ta’ servizzi tal-ICT. Din għandha tapplika fuq bażi individwali u, fejn rilevanti, fuq bażi subkonsolidata u konsolidata. |
(3) |
L-entitajiet finanzjarji jvarjaw ħafna fid-daqs, fl-istruttura u fl-organizzazzjoni interna u fin-natura u l-kumplessità tal-attivitajiet u l-operazzjonijiet tagħhom. Jeħtieġ li meta tkun qed tiġi żviluppata l-politika dwar l-arranġamenti kuntrattwali dwar l-użu ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti minn fornituri terzi tal-ICT, titqies dik id-diversità filwaqt li jiġu imposti ċerti rekwiżiti regolatorji fundamentali li huma xierqa għall-entitajiet finanzjarji kollha (“il-politika”), u li jiġi żgurat li dawk ir-rekwiżiti jiġu applikati b’mod li jkun proporzjonat. |
(4) |
Meta l-entitajiet finanzjarji jappartjenu għal grupp, l-impriża omm li tkun responsabbli biex tipprovdi r-rapporti finanzjarji konsolidati jew subkonsolidati għall-grupp, jenħtieġ għalhekk li tiżgura li l-politika tiġi applikata b’mod konsistenti u koerenti fil-grupp. |
(5) |
Meta tiġi applikata l-politika, il-fornituri intragrupp ta’ servizzi tal-ICT, inklużi dawk li huma kompletament jew kollettivament proprjetà ta’ entitajiet finanzjarji fl-istess skema ta’ protezzjoni istituzzjonali, jenħtieġ li jitqiesu bħala fornituri terzi ta’ servizzi tal-ICT. Ir-riskji ppreżentati mill-fornituri intragrupp ta’ servizzi tal-ICT jistgħu jkunu differenti iżda r-rekwiżiti applikabbli għalihom huma l-istess skont ir-Regolament (UE) 2022/2554. B’mod simili, jenħtieġ li l-politika tapplika għas-sottokuntratturi li jipprovdu servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali minnhom lil fornituri terzi ta’ servizzi tal-ICT, meta teżisti katina ta’ fornituri terzi ta’ servizzi tal-ICT. |
(6) |
Ir-responsabbiltà aħħarija tal-korp maniġerjali fil-ġestjoni tar-riskju tal-ICT ta’ entità finanzjarja hija prinċipju ġenerali li huwa applikabbli wkoll fir-rigward tal-użu ta’ fornituri terzi ta’ servizzi tal-ICT. Jenħtieġ li din ir-responsabbiltà tissarraf ulterjorment fl-involviment kontinwu tal-korp maniġerjali fil-kontroll u l-monitoraġġ tal-ġestjoni tar-riskju tal-ICT, inkluż fl-adozzjoni u r-rieżami, tal-anqas darba fis-sena, tal-politika. |
(7) |
Sabiex jiġi żgurat rappurtar xieraq lill-korp maniġerjali, jenħtieġ li l-politika tispeċifika u tidentifika b’mod ċar ir-responsabbiltajiet interni għall-approvazzjoni, il-ġestjoni, il-kontroll u d-dokumentazzjoni tal-arranġamenti kuntrattwali dwar l-użu tas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti pprovduti minn fornituri terzi ta’ servizzi tal-ICT (“arranġamenti kuntrattwali”), inkluż is-servizzi tal-ICT ipprovduti skont l-arranġamenti kuntrattwali msemmija fl-Artikolu 28(1), il-punt (a), tar-Regolament (UE) 2022/2554. |
(8) |
Sabiex jitqiesu r-riskji kollha possibbli li jistgħu jirriżultaw meta jiġu kkuntrattati servizzi tal-ICT li jappoġġaw funzjoni kritika jew importanti, jenħtieġ li l-istruttura tal-politika ssegwi l-passi kollha ta’ kull fażi ewlenija taċ-ċiklu tal-ħajja għal arranġamenti kuntrattwali ma’ fornituri terzi. |
(9) |
Sabiex jittaffew ir-riskji identifikati, jenħtieġ li l-politika tispeċifika l-ippjanar tal-arranġamenti kuntrattwali, inkluż il-valutazzjoni tar-riskju, id-diliġenza dovuta, u l-proċess ta’ approvazzjoni għal bidliet ġodda jew materjali ta’ dawk l-arranġamenti kuntrattwali. Sabiex jiġu ġestiti r-riskji li jistgħu jirriżultaw qabel id-dħul f’arranġament kuntrattwali ma’ fornitur terz ta’ servizzi tal-ICT, jenħtieġ li l-politika tispeċifika proċess xieraq u proporzjonat biex tintgħażel u tiġi vvalutata l-adegwatezza ta’ fornituri terzi prospettivi ta’ servizzi tal-ICT u tirrikjedi li l-entità finanzjarja tqis lista mhux eżawrjenti ta’ elementi li l-fornituri terzi ta’ servizzi tal-ICT jenħtieġ li jkollhom fis-seħħ. Jenħtieġ li l-lista tinkludi elementi relatati mar-reputazzjoni kummerċjali tal-fornituri tas-servizzi, ir-riżorsi finanzjarji, umani u tekniċi tagħhom, is-sigurtà tal-informazzjoni tagħhom, l-istruttura organizzazzjonali tagħhom, inkluża l-ġestjoni tar-riskju, u l-kontrolli interni tagħhom. |
(10) |
Sabiex tiġi żgurata ġestjoni tajba tar-riskju fil-forniment ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti minn fornituri terzi ta’ servizzi tal-ICT, jenħtieġ li l-politika tinkludi informazzjoni dwar l-implimentazzjoni, il-monitoraġġ u l-ġestjoni tal-arranġamenti kuntrattwali, inkluż fil-livell konsolidat u subkonsolidat, fejn applikabbli. Dan jinkludi rekwiżiti għall-klawżoli kuntrattwali dwar l-obbligi reċiproċi tal-entitajiet finanzjarji u tal-fornituri terzi ta’ servizzi tal-ICT, li jenħtieġ li jiġu stabbiliti bil-miktub. Sabiex tiġi żgurata superviżjoni effiċjenti u titrawwem ir-reżiljenza f’każ ta’ bidliet fil-mudell tan-negozju jew fl-ambjent tan-negozju, jenħtieġ li l-politika tiżgura d-drittijiet tal-entitajiet finanzjarji jew tal-partijiet terzi maħtura u tal-awtoritajiet kompetenti għall-ispezzjonijiet u l-aċċess għall-informazzjoni u jenħtieġ ukoll li tispeċifika aktar l-istrateġiji ta’ ħruġ u l-proċessi ta’ terminazzjoni. |
(11) |
Sa fejn id-data personali tiġi pproċessata minn fornituri terzi ta’ servizzi tal-ICT, din il-politika u kwalunkwe arranġament kuntrattwali huma mingħajr preġudizzju għall-obbligi skont ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill (2), u jenħtieġ li jikkomplementawhom, bħal pereżempju li jkun hemm kuntratt bil-miktub fis-seħħ li jiddeskrivi l-ipproċessar tad-data personali, ir-rekwiżit li tiġi żgurata s-sigurtà tal-ipproċessar tad-data personali u l-istabbiliment tal-elementi l-oħra kollha meħtieġa skont dak ir-Regolament. |
(12) |
Il-Kumitat Konġunt tal-Awtoritajiet Superviżorji Ewropej imsemmi fl-Artikolu 54 tar-Regolament (UE) Nru 1093/2010 tal-Parlament Ewropew u tal-Kunsill (3), fl-Artikolu 54 tar-Regolament (UE) Nru 1094/2010 tal-Parlament Ewropew u tal-Kunsill (4) u fl-Artikolu 54 tar-Regolament (UE) Nru 1095/2010 tal-Parlament Ewropew u tal-Kunsill (5) wettaq konsultazzjonijiet pubbliċi miftuħa dwar l-abbozz ta’ standards tekniċi regolatorji li fuqhom huwa bbażat dan ir-Regolament, analizza l-kostijiet u l-benefiċċji potenzjali tal-istandards proposti u talab il-parir tal-Grupp tal-Partijiet Bankarji Interessati stabbilit f’konformità mal-Artikolu 37 tar-Regolament (UE) Nru 1093/2010, tal-Grupp tal-Partijiet Interessati tal-Oqsma tal-Assigurazzjoni u tar-Riassigurazzjoni u tal-Grupp tal-Partijiet Interessati tal-Qasam tal-Pensjonijiet tax-Xogħol stabbilit f’konformità mal-Artikolu 37 tar-Regolament (UE) Nru 1094/2010, u tal-Grupp tal-Partijiet Interessati tat-Titoli u s-Swieq stabbilit f’konformità mal-Artikolu 37 tar-Regolament (UE) Nru 1095/2010, |
(13) |
Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat f’konformità mal-Artikolu 42(1) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (6) u ta l-opinjoni tiegħu fl-24 ta’ Jannar 2024, |
ADOTTAT DAN IR-REGOLAMENT:
Artikolu 1
Profil tar-riskju ġenerali u kumplessità
Il-politika dwar l-użu ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti pprovduti minn fornituri terzi ta’ servizzi tal-ICT (il-“politika”) għandha tqis id-daqs u l-profil tar-riskju ġenerali tal-entità finanzjarja, u n-natura, l-iskala u l-elementi ta’ kumplessità akbar jew imnaqqsa tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħha, inklużi elementi relatati ma’:
(a) |
it-tip ta’ servizzi tal-ICT inklużi fl-arranġament kuntrattwali dwar l-użu ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti pprovduti minn fornituri terzi ta’ servizzi tal-ICT (l-“arranġament kuntrattwali”) bejn l-entità finanzjarja u l-fornitur terz ta’ servizzi tal-ICT; |
(b) |
il-post fejn huwa stabbilit il-fornitur terz ta’ servizzi tal-ICT jew il-kumpanija omm tiegħu; |
(c) |
jekk is-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti humiex ipprovduti minn fornitur terz ta’ servizzi tal-ICT li jinsab fi Stat Membru jew f’pajjiż terz, filwaqt li jitqies ukoll il-post minn fejn jiġu pprovduti s-servizzi tal-ICT u l-post fejn id-data tiġi pproċessata u maħżuna; |
(d) |
in-natura tad-data kondiviża mal-fornitur terz ta’ servizzi tal-ICT; |
(e) |
jekk il-fornitur terz ta’ servizzi tal-ICT huwiex parti mill-istess grupp bħall-entità finanzjarja li lilha jiġu pprovduti s-servizzi; |
(f) |
l-użu ta’ fornituri terzi ta’ servizzi tal-ICT li huma kemm awtorizzati, irreġistrati jew soġġetti għal superviżjoni jew sorveljanza minn awtorità kompetenti fi Stat Membru jew soġġetti għall-qafas ta’ sorveljanza skont il-Kapitolu V, it-Taqsima II, tar-Regolament (UE) 2022/2554, kif ukoll ta’ dawk li ma humiex; |
(g) |
l-użu ta’ fornituri terzi ta’ servizzi tal-ICT li huma kemm awtorizzati, irreġistrati jew soġġetti għal superviżjoni jew sorveljanza minn awtorità superviżorja f’pajjiż terz, kif ukoll ta’ dawk li ma humiex; |
(h) |
jekk il-forniment ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti huwiex ikkonċentrat fuq fornitur terz uniku ta’ servizzi tal-ICT jew għadd żgħir ta’ tali fornituri ta’ servizzi; |
(i) |
it-trasferibbiltà tas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti lil fornitur terz ieħor ta’ servizzi tal-ICT, inkluż bħala riżultat tal-ispeċifiċitajiet tat-teknoloġija; |
(j) |
l-impatt potenzjali tat-tfixkil fil-forniment tas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti fuq il-kontinwità tal-attivitajiet tal-entità finanzjarja u fuq id-disponibbiltà tas-servizzi tagħha. |
Artikolu 2
Applikazzjoni ta’ grupp
Meta dan ir-Regolament japplika fuq bażi subkonsolidata jew konsolidata, l-impriża omm responsabbli biex tipprovdi r-rapporti finanzjarji konsolidati jew subkonsolidati għall-grupp għandha tiżgura li l-politika tiġi implimentata b’mod konsistenti fl-entitajiet finanzjarji kollha li huma parti mill-grupp u li hija adegwata għall-applikazzjoni effettiva ta’ dan ir-Regolament fil-livelli rilevanti kollha tal-grupp.
Artikolu 3
Arranġamenti ta’ governanza
1. Il-korp maniġerjali għandu jirrevedi l-politika mill-inqas darba fis-sena u jaġġornaha meta jkun meħtieġ. Il-bidliet li jsiru fil-politika għandhom jiġu implimentati fil-ħin u malajr kemm jista’ jkun fil-qafas tal-arranġamenti kuntrattwali rilevanti. L-entità finanzjarja għandha tiddokumenta l-iskeda ta’ żmien ippjanata għall-implimentazzjoni.
2. Il-politika għandha tistabbilixxi jew tirreferi għal metodoloġija għad-determinazzjoni ta’ liema servizzi tal-ICT jappoġġaw funzjonijiet kritiċi jew importanti. Il-politika għandha tispeċifika wkoll meta għandha titwettaq u tiġi rieżaminata din il-valutazzjoni.
3. Il-politika għandha tassenja b’mod ċar ir-responsabbiltajiet interni għall-approvazzjoni, il-ġestjoni, il-kontroll u d-dokumentazzjoni tal-arranġamenti kuntrattwali rilevanti u għandha tiżgura li jinżammu l-ħiliet, l-esperjenza u l-għarfien xierqa fl-entità finanzjarja biex b’mod effettiv, tissorvelja l-arranġamenti kuntrattwali rilevanti, inklużi s-servizzi tal-ICT ipprovduti skont dawk l-arranġamenti.
4. Mingħajr preġudizzju għar-responsabbiltà aħħarija tal-entità finanzjarja li tissorvelja b’mod effettiv l-arranġamenti kuntrattwali rilevanti, il-politika għandha teżiġi li ssir valutazzjoni li turi li l-fornitur terz ta’ servizzi tal-ICT għandu biżżejjed riżorsi biex jiżgura li l-entità finanzjarja tikkonforma mar-rekwiżiti legali u regolatorji kollha tagħha rigward is-servizzi tal-ICT ipprovduti li jappoġġaw funzjonijiet kritiċi jew importanti.
5. Il-politika għandha tidentifika b’mod ċar ir-rwol jew il-membru tal-maniġment superjuri responsabbli għall-monitoraġġ tal-arranġamenti kuntrattwali rilevanti. Il-politika għandha tispeċifika kif dak ir-rwol jew il-membru tal-maniġment superjuri għandu jikkoopera mal-funzjonijiet ta’ kontroll, sakemm ma jkunx parti minnhom, u għandha tistabbilixxi l-linji ta’ rappurtar lill-korp maniġerjali, inkluża n-natura tal-informazzjoni li għandha tiġi rrapportata u d-dokumenti li għandhom jiġu pprovduti. Din għandha tistabbilixxi wkoll il-frekwenza ta’ tali rapportar.
6. Il-politika għandha tiżgura li l-arranġamenti kuntrattwali jkunu konsistenti ma’ dan li ġej:
(a) |
il-qafas tal-ġestjoni tar-riskju tal-ICT imsemmi fl-Artikolu 6 tar-Regolament (UE) 2022/2554; |
(b) |
il-politika dwar is-sigurtà tal-informazzjoni msemmija fl-Artikolu 9(4) tar-Regolament (UE) 2022/2554; |
(c) |
il-politika tal-kontinwità tal-operat tal-ICT imsemmija fl-Artikolu 11 tar-Regolament (UE) 2022/2554; |
(d) |
ir-rekwiżiti dwar ir-rappurtar ta’ inċidenti stabbiliti fl-Artikolu 19 tar-Regolament (UE) 2022/2554. |
7. Il-politika għandha teżiġi li s-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti pprovduti minn fornituri terzi ta’ servizzi tal-ICT ikunu soġġetti għal rieżami indipendenti u jkunu inklużi fil-pjan tal-awditjar.
8. Il-politika għandha tispeċifika b’mod espliċitu li l-arranġamenti kuntrattwali:
(a) |
ma jeżonerawx lill-entità finanzjarja u lill-korp maniġerjali tagħha mill-obbligi regolatorji u mir-responsabbiltajiet li għandhom lejn il-klijenti tagħhom; |
(b) |
ma għandhomx jipprevjenu s-superviżjoni effettiva ta’ entità finanzjarja u ma għandhomx jiksru kwalunkwe restrizzjoni superviżorja fuq servizzi u attivitajiet; |
(c) |
għandhom jeżiġu li l-fornituri terzi ta’ servizzi tal-ICT jikkooperaw mal-awtoritajiet kompetenti; |
(d) |
għandhom jeżiġu li l-entità finanzjarja, l-awdituri tagħha, u l-awtoritajiet kompetenti jkollhom aċċess effettiv għad-data u l-binjiet relatati mal-użu tas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti. |
Artikolu 4
Fażijiet ewlenin taċ-ċiklu tal-ħajja għall-adozzjoni u l-użu tal-arranġamenti kuntrattwali
Il-politika għandha tispeċifika r-rekwiżiti, inklużi r-regoli, ir-responsabbiltajiet u l-proċessi, għal kull fażi ewlenija taċ-ċiklu tal-ħajja tal-arranġament kuntrattwali, li jkopru mill-inqas dan li ġej:
(a) |
ir-responsabbiltajiet tal-korp maniġerjali, inkluż l-involviment tiegħu, kif xieraq, fil-proċess tat-teħid tad-deċiżjonijiet dwar l-użu tas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti pprovduti minn fornituri terzi ta’ servizzi tal-ICT; |
(b) |
l-ippjanar tal-arranġamenti kuntrattwali, inkluż il-valutazzjoni tar-riskju, id-diliġenza dovuta kif stabbilita fl-Artikoli 5 u 6 u l-proċess ta’ approvazzjoni rigward bidliet ġodda jew materjali fl-arranġamenti kuntrattwali kif stabbilit fl-Artikolu 8(4); |
(c) |
l-involviment ta’ unitajiet tan-negozju, kontrolli interni u unitajiet rilevanti oħra fir-rigward tal-arranġamenti kuntrattwali; |
(d) |
l-implimentazzjoni, il-monitoraġġ u l-ġestjoni tal-arranġamenti kuntrattwali kif imsemmija fl-Artikoli 7, 8 u 9, inkluż fil-livell konsolidat u subkonsolidat, fejn applikabbli; |
(e) |
id-dokumentazzjoni u ż-żamma tar-rekords, filwaqt li jitqiesu r-rekwiżiti fir-rigward tar-reġistru tal-informazzjoni stabbilit fl-Artikolu 28(3) tar-Regolament (UE) 2022/2554; |
(f) |
l-istrateġiji ta’ ħruġ u l-proċessi ta’ terminazzjoni kif stabbiliti fl-Artikolu 10. |
Artikolu 5
Valutazzjoni tar-riskju ex ante
1. Il-politika għandha teżiġi li l-ħtiġijiet tan-negozju tal-entità finanzjarja jiġu definiti qabel ma jiġi konkluż arranġament kuntrattwali.
2. Il-politika għandha teżiġi li titwettaq valutazzjoni tar-riskju fil-livell tal-entità finanzjarja u, fejn applikabbli, fil-livell konsolidat u subkonsolidat qabel ma jiġi konkluż arranġament kuntrattwali.
Il-valutazzjoni tar-riskju għandha tqis ir-rekwiżiti rilevanti kollha stabbiliti fir-Regolament (UE) 2022/2554 u l-leġiżlazzjoni settorjali applikabbli tal-Unjoni. Din għandha tikkunsidra, b’mod partikolari, l-impatt tal-forniment ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti minn fornituri terzi ta’ servizzi tal-ICT fuq l-entità finanzjarja u r-riskji kollha ppreżentati mill-forniment ta’ dawk is-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti minn fornituri terzi ta’ servizzi tal-ICT, inkluż dan li ġej:
(a) |
riskji operazzjonali; |
(b) |
riskji legali; |
(c) |
riskji tal-ICT; |
(d) |
riskji għar-reputazzjoni; |
(e) |
riskji marbuta mal-protezzjoni ta’ data kunfidenzjali jew personali; |
(f) |
riskji marbuta mad-disponibbiltà tad-data; |
(g) |
riskji marbuta mal-post fejn tiġi pproċessata u maħżuna d-data; |
(h) |
riskji marbuta mal-post fejn huwa stabbilit il-fornitur terz ta’ servizzi tal-ICT; |
(i) |
Riskji ta’ konċentrazzjoni tal-ICT fil-livell ta’ entità. |
Artikolu 6
Diliġenza dovuta
1. Il-politika għandha tistabbilixxi proċess xieraq u proporzjonat għall-għażla u l-valutazzjoni tal-fornituri terzi prospettivi ta’ servizzi tal-ICT filwaqt li tqis jekk il-fornitur terz ta’ servizzi tal-ICT huwiex fornitur intragrupp ta’ servizzi tal-ICT jew le, u għandha teżiġi li qabel ma l-entità finanzjarja tidħol f’arranġament kuntrattwali, din tivvaluta jekk il-fornitur terz ta’ servizzi tal-ICT:
(a) |
għandux ir-reputazzjoni tan-negozju, ħiliet suffiċjenti, kwalifiki u riżorsi finanzjarji, umani u tekniċi adegwati, standards ta’ sigurtà tal-informazzjoni, struttura organizzazzjonali xierqa, ġestjoni tar-riskju u kontrolli interni u, jekk applikabbli, l-awtorizzazzjonijiet jew ir-reġistrazzjonijiet meħtieġa biex jipprovdi s-servizzi tal-ICT li jappoġġaw il-funzjoni kritika jew importanti b’mod affidabbli u professjonali; |
(b) |
għandux il-kapaċità li jimmonitorja l-iżviluppi teknoloġiċi rilevanti u jidentifika prattiki ewlenin tas-sigurtà tal-ICT u jimplimentahom fejn xieraq biex ikun hemm qafas ta’ reżiljenza operazzjonali diġitali effettiv u sod; |
(c) |
jużax jew hux biħsiebu juża sottokuntratturi tal-ICT biex iwettaq is-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali minnhom; |
(d) |
jinsabx, jew jipproċessax jew jaħżinx id-data f’pajjiż terz u, jekk dan ikun il-każ, jekk din il-prattika taffettwax il-livell ta’ riskji operazzjonali jew ir-riskji għar-reputazzjoni jew ir-riskju li jiġi affettwat minn miżuri restrittivi, inklużi embargos u sanzjonijiet, li jista’ jkollhom impatt fuq il-kapaċità tal-fornitur terz ta’ servizzi tal-ICT li jipprovdi s-servizzi tal-ICT jew il-kapaċità tal-entità finanzjarja li tirċievi dawk is-servizzi tal-ICT; |
(e) |
jagħtix l-approvazzjoni tiegħu għal arranġamenti kuntrattwali li jiżguraw li jkun effettivament possibbli li jitwettqu awditi għand il-fornitur terz ta’ servizzi tal-ICT, inkluż fuq il-post, mill-entità finanzjarja nnifisha, mill-partijiet terzi maħtura, u mill-awtoritajiet kompetenti; |
(f) |
jaġixxix b’mod etiku u soċjalment responsabbli, jirrispettax id-drittijiet tal-bniedem u d-drittijiet tat-tfal, inkluż il-projbizzjoni tat-tħaddim tat-tfal, jirrispettax il-prinċipji applikabbli dwar il-protezzjoni ambjentali, u jiżgurax kundizzjonijiet tax-xogħol xierqa. |
2. Il-politika għandha tispeċifika l-livell meħtieġ ta’ assigurazzjoni dwar l-effettività tal-qafas tal-ġestjoni tar-riskju tal-fornituri terzi ta’ servizzi tal-ICT għas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti li għandhom jiġu pprovduti minn fornitur terz ta’ servizzi tal-ICT. Il-politika għandha teżiġi li l-proċess ta’ diliġenza dovuta jkun jinkludi valutazzjoni tal-eżistenza ta’ miżuri ta’ mitigazzjoni tar-riskju u ta’ kontinwità tal-operat u ta’ kif jiġi żgurat il-funzjonament tagħhom fi ħdan il-fornitur terz ta’ servizzi tal-ICT.
3. Il-politika għandha tiddetermina l-proċess ta’ diliġenza dovuta għall-għażla u l-valutazzjoni tal-fornituri terzi prospettivi ta’ servizzi tal-ICT u għandha tindika liema mill-elementi li ġejjin għandhom jintużaw għal-livell meħtieġ ta’ assigurazzjoni dwar il-prestazzjoni tal-fornitur terz ta’ servizzi tal-ICT:
(a) |
awditi jew valutazzjonijiet indipendenti mwettqa mill-entità finanzjarja nnifisha jew f’isimha; |
(b) |
l-użu ta’ rapporti tal-awditjar indipendenti magħmula fuq talba mill-fornitur terz ta’ servizzi tal-ICT; |
(c) |
l-użu ta’ rapporti tal-awditjar magħmula mill-kapaċità tal-awditjar intern tal-fornitur terz ta’ servizzi tal-ICT; |
(d) |
l-użu ta’ ċertifikazzjonijiet xierqa ta’ partijiet terzi; |
(e) |
l-użu ta’ informazzjoni rilevanti oħra disponibbli għall-entità finanzjarja jew informazzjoni oħra pprovduta mill-fornitur terz ta’ servizzi tal-ICT. |
4. L-entitajiet finanzjarji għandhom jiżguraw livell xieraq ta’ assigurazzjoni dwar il-prestazzjoni tal-fornitur terz ta’ servizzi tal-ICT, filwaqt li jqisu l-elementi elenkati fil-paragrafu 3, il-punti (a) sa (e). Fejn xieraq, għandu jintuża aktar minn element wieħed elenkat f’dawk il-punti.
Artikolu 7
Kunflitti ta’ interess
1. Il-politika għandha tispeċifika l-miżuri xierqa għall-identifikazzjoni, il-prevenzjoni u l-ġestjoni tal-kunflitti ta’ interess attwali jew potenzjali li jirriżultaw mill-użu ta’ fornituri terzi ta’ servizzi tal-ICT li għandhom jittieħdu qabel ma jiddaħħlu l-arranġamenti kuntrattwali rilevanti u għandha tipprevedi monitoraġġ kontinwu ta’ tali kunflitti ta’ interess.
2. Meta s-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jiġu pprovduti minn fornituri intragrupp ta’ servizzi tal-ICT, il-politika għandha tispeċifika li d-deċiżjonijiet dwar il-kundizzjonijiet, inklużi l-kundizzjonijiet finanzjarji, għas-servizzi tal-ICT għandhom jittieħdu b’mod oġġettiv.
Artikolu 8
Klawżoli kuntrattwali
1. Il-politika għandha tispeċifika li l-arranġamenti kuntrattwali rilevanti għandhom jkunu bil-miktub u għandhom jinkludi l-elementi kollha msemmija fl-Artikolu 30(2) u (3) tar-Regolament (UE) 2022/2554. Il-politika għandha tinkludi wkoll elementi rigward ir-rekwiżiti msemmija fl-Artikolu 1(1), il-punt (a), tar-Regolament (UE) 2022/2554, kif ukoll liġi rilevanti oħra tal-Unjoni u nazzjonali kif xieraq.
2. Il-politika għandha tispeċifika li l-arranġamenti kuntrattwali rilevanti għandhom jinkludu d-dritt li l-entità finanzjarja taċċessa l-informazzjoni, li twettaq spezzjonijiet u awditi, u li twettaq testijiet fuq l-ICT. Għal dak il-għan, il-politika għandha teżiġi li l-entità finanzjarja tuża l-metodi li ġejjin, mingħajr preġudizzju għar-responsabbiltà aħħarija tal-entità finanzjarja:
(a) |
l-awditu intern tagħha stess jew awditu minn parti terza maħtura; |
(b) |
fejn xieraq, awditi raggruppati u ttestjar aggregat tal-ICT, inkluż ittestjar tal-penetrazzjoni bbażat fuq it-theddid, li jiġu organizzati b’mod konġunt ma’ entitajiet finanzjarji kontraenti oħra jew ditti li jużaw servizzi tal-ICT tal-istess fornitur terz ta’ servizzi tal-ICT u li jitwettqu minn dawk l-entitajiet finanzjarji kontraenti jew ditti kontraenti jew minn parti terza maħtura minnhom; |
(c) |
fejn xieraq, ċertifikazzjonijiet ta’ partijiet terzi; |
(d) |
fejn xieraq, rapporti tal-awditjar interni jew ta’ partijiet terzi magħmula disponibbli mill-fornitur terz ta’ servizzi tal-ICT. |
3. L-entità finanzjarja ma għandhiex maż-żmien tiddependi biss fuq iċ-ċertifikazzjonijiet imsemmija fil-paragrafu 2, il-punt (c), jew fuq ir-rapporti tal-awditjar imsemmija fil-punt (d) ta’ dak il-paragrafu. Il-politika għandha tippermetti biss l-użu tal-metodi msemmija fil-paragrafu 2, il-punti (c) u (d), meta l-entità finanzjarja:
(a) |
tkun sodisfatta bil-pjan tal-awditjar tal-fornitur terz ta’ servizzi tal-ICT għall-arranġamenti kuntrattwali rilevanti; |
(b) |
tiżgura li l-kamp ta’ applikazzjoni taċ-ċertifikazzjonijiet jew tar-rapporti tal-awditjar ikopri s-sistemi u l-kontrolli ewlenin identifikati minnu u jiżgura l-konformità mar-rekwiżiti regolatorji rilevanti; |
(c) |
tivvaluta bir-reqqa l-kontenut taċ-ċertifikazzjonijiet jew tar-rapporti tal-awditjar fuq bażi kontinwa u tivverifika li r-rapporti jew iċ-ċertifikazzjonijiet ma jkunux obsoleti; |
(d) |
tiżgura li s-sistemi u l-kontrolli ewlenin ikunu koperti f’verżjonijiet futuri tar-rapport taċ-ċertifikazzjoni jew tal-awditjar; |
(e) |
tkun sodisfatta bil-kapaċità tal-parti li tiċċertifika jew tal-awditjar; |
(f) |
tkun sodisfatta li ċ-ċertifikazzjonijiet jinħarġu, u li l-awditi jitwettqu skont standards professjonali rilevanti rikonoxxuti b’mod wiesa’ u jinkludu test tal-effettività operazzjonali tal-kontrolli ewlenin fis-seħħ; |
(g) |
għandha d-dritt kuntrattwali li titlob, bi frekwenza li tkun raġonevoli u leġittima minn perspettiva ta’ ġestjoni tar-riskju, modifiki tal-kamp ta’ applikazzjoni taċ-ċertifikazzjonijiet jew tar-rapporti tal-awditjar għal sistemi u kontrolli rilevanti oħra; |
(h) |
għandha d-dritt kuntrattwali li twettaq awditi individwali u raggruppati fid-diskrezzjoni tagħha fir-rigward tal-arranġamenti kuntrattwali u teżegwixxi dawk id-drittijiet f’konformità mal-frekwenza miftiehma. |
4. Il-politika għandha tiżgura li l-bidliet materjali fil-ftehim kuntrattwali għandhom jiġu formalizzati f’dokument bil-miktub li jkun datat u ffirmat mill-partijiet kollha u għandha tispeċifika l-proċess ta’ tiġdid għall-arranġamenti kuntrattwali.
Artikolu 9
Monitoraġġ tal-arranġamenti kuntrattwali
1. Il-politika għandha tirrikjedi li l-arranġamenti kuntrattwali jispeċifikaw il-miżuri u l-indikaturi ewlenin għall-monitoraġġ, fuq bażi kontinwa, tal-prestazzjoni tal-fornituri terzi ta’ servizzi tal-ICT, inklużi miżuri għall-monitoraġġ tal-konformità mar-rekwiżiti rigward il-kunfidenzjalità, id-disponibbiltà, l-integrità u l-awtentiċità tad-data u l-informazzjoni, u l-konformità tal-fornituri terzi ta’ servizzi tal-ICT mal-politiki u l-proċeduri rilevanti tal-entità finanzjarja. Il-politika għandha tispeċifika wkoll miżuri li japplikaw meta l-ftehimiet dwar il-livell ta’ servizz ma jiġux issodisfati, inklużi penali kuntrattwali fejn xieraq.
2. Il-politika għandha tispeċifika kif l-entità finanzjarja għandha tivvaluta jekk il-fornituri terzi ta’ servizzi tal-ICT użati għas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jissodisfawx standards xierqa ta’ prestazzjoni u kwalità f’konformità mal-arranġament kuntrattwali u mal-politiki tal-entità finanzjarja stess. Il-politika għandha, b’mod partikolari, tiżgura dan li ġej:
(a) |
li l-fornituri terzi ta’ servizzi tal-ICT jipprovdu rapporti xierqa dwar l-attivitajiet u s-servizzi tagħhom lill-entità finanzjarja, inklużi rapporti perjodiċi, rapporti ta’ inċidenti, rapporti dwar l-għoti ta’ servizzi, rapporti dwar is-sigurtà tal-ICT u rapporti dwar il-miżuri u l-ittestjar tal-kontinwità tal-operat; |
(b) |
li l-prestazzjoni tal-fornituri terzi ta’ servizzi tal-ICT tiġi vvalutata b’indikaturi ewlenin tal-prestazzjoni, indikaturi ewlenin tal-kontroll, awditi, awtoċertifikazzjonijiet u rieżamijiet indipendenti f’konformità mal-qafas ta’ ġestjoni tar-riskju tal-ICT tal-entità finanzjarja; |
(c) |
li l-entità finanzjarja tirċievi informazzjoni rilevanti oħra mill-fornituri terzi ta’ servizzi tal-ICT; |
(d) |
li l-entità finanzjarja tiġi nnotifikata, fejn xieraq, dwar inċidenti relatati mal-ICT u inċidenti operazzjonali jew tas-sigurtà relatati ma’ pagamenti; |
(e) |
li jitwettqu rieżami u awditi indipendenti li jivverifikaw il-konformità mar-rekwiżiti u l-politiki legali u regolatorji. |
3. Il-politika għandha tispeċifika li l-valutazzjoni msemmija fil-paragrafu 2 għandha tiġi ddokumentata u li r-riżultati tagħha għandhom jintużaw biex tiġi aġġornata l-valutazzjoni tar-riskju tal-entità finanzjarja msemmija fl-Artikolu 6.
4. Il-politika għandha tistabbilixxi l-miżuri xierqa li l-entità finanzjarja għandha tadotta jekk tidentifika nuqqasijiet tal-fornituri terzi ta’ servizzi tal-ICT, inklużi inċidenti relatati mal-ICT u inċidenti operazzjonali jew tas-sigurtà relatati ma’ pagamenti, fil-forniment tas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew fil-konformità ma’ arranġamenti kuntrattwali jew rekwiżiti legali. Għandha tispeċifika wkoll kif l-implimentazzjoni ta’ tali miżuri għandha tiġi mmonitorjata sabiex jiġi żgurat li dawn qed jitħarsu b’mod effettiv f’perjodu ta’ żmien definit, filwaqt li titqies il-materjalità tan-nuqqasijiet.
Artikolu 10
Ħruġ u terminazzjoni ta’ arranġamenti kuntrattwali
Il-politika għandha tinkludi rekwiżiti għal pjan ta’ ħruġ dokumentat għal kull arranġament kuntrattwali u għar-rieżami u l-ittestjar perjodiċi tal-pjan ta’ ħruġ dokumentat. Meta jiġi stabbilit il-pjan ta’ ħruġ, għandu jitqies dan li ġej:
(a) |
interruzzjonijiet mhux previsti u persistenti fis-servizz; |
(b) |
għoti ta’ servizz mhux xieraq jew li ma rnexxiex; |
(c) |
it-terminazzjoni mhux mistennija tal-arranġament kuntrattwali. |
Il-pjan ta’ ħruġ għandu jkun realistiku, fattibbli, ibbażat fuq xenarji plawżibbli u suppożizzjonijiet raġonevoli u għandu jkollu skeda ta’ implimentazzjoni ppjanata kompatibbli mat-termini ta’ ħruġ u terminazzjoni stabbiliti fl-arranġamenti kuntrattwali.
Artikolu 11
Dħul fis-seħħ
Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.
Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.
Magħmul fi Brussell, it-13 ta’ Marzu 2024.
Għall-Kummissjoni
Il-President
Ursula VON DER LEYEN
(1) ĠU L 333, 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
(2) Ir-Regolament (UE) 2016/679 tal-Parlament Ewropew u tal-Kunsill tas-27 ta’ April 2016 dwar il-protezzjoni tal-persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali u dwar il-moviment liberu ta’ tali data, u li jħassar id-Direttiva 95/46/KE (Regolament Ġenerali dwar il-Protezzjoni tad-Data) (ĠU L 119, 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).
(3) Ir-Regolament (UE) Nru 1093/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Bankarja Ewropea) u li jemenda d-Deċiżjoni Nru 716/2009/KE u jħassar id-Deċiżjoni tal-Kummissjoni 2009/78/KE (ĠU L 331, 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).
(4) Ir-Regolament (UE) Nru 1094/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Ewropea tal-Assigurazzjoni u l-Pensjonijiet tax-Xogħol), u li jemenda d-Deċiżjoni Nru 716/2009/KE u li jħassar id-Deċiżjoni tal-Kummissjoni 2009/79/KE (ĠU L 331, 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).
(5) Ir-Regolament (UE) Nru 1095/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Ewropea tat-Titoli u s-Swieq) u li jemenda d-Deċiżjoni Nru 716/2009/KE u jħassar id-Deċiżjoni tal-Kummissjoni 2009/77/KE (ĠU L 331, 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
(6) Ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
ELI: http://data.europa.eu/eli/reg_del/2024/1773/oj
ISSN 1977-074X (electronic edition)