Il-Ġurnal Uffiċjali
ta'l-Unjoni Ewropea
MT
Is-serje L
|
|
Il-Ġurnal Uffiċjali |
MT Is-serje L |
|
2025/532 |
2.7.2025 |
REGOLAMENT DELEGAT TAL-KUMMISSJONI (UE) 2025/532
tal-24 ta’ Marzu 2025
li jissupplimenta r-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill fir-rigward tal-istandards tekniċi regolatorji li jispeċifikaw l-elementi li entità finanzjarja għandha tiddetermina u tivvaluta meta tissottokuntratta servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti
(Test b’rilevanza għaż-ŻEE)
IL-KUMMISSJONI EWROPEA,
Wara li kkunsidrat it-Trattat dwar il-Funzjonament tal-Unjoni Ewropa,
Wara li kkunsidrat ir-Regolament (UE) 2022/2554 tal-Parlament Ewropew u tal-Kunsill tal-14 ta’ Diċembru 2022 dwar ir-reżiljenza operazzjonali diġitali għas-settur finanzjarju u li jemenda r-Regolamenti (KE) Nru 1060/2009, (UE) Nru 648/2012, (UE) Nru 600/2014, (UE) Nru 909/2014 u (UE) 2016/1011 (1), u b’mod partikolari l-Artikolu 30(5), ir-raba’ subparagrafu tiegħu,
Billi:
|
(1) |
Il-forniment ta’ servizzi tal-ICT lil entitajiet finanzjarji spiss jiddependi fuq katina kumplessa ta’ sottokuntratturi tal-ICT, fejn fornituri terzi ta’ servizzi tal-ICT jistgħu jidħlu f’arranġament ta’ sottokuntrattar wieħed jew aktar ma’ fornituri terzi oħra ta’ servizzi tal-ICT. Id-dipendenza indiretta fuq is-sottokuntratturi tal-ICT jista’ jkollha impatt fuq il-kapaċità ta’ entità finanzjarja li tidentifika, tivvaluta u timmaniġġja r-riskji tagħha, inklużi riskji li huma relatati ma’ lakuni fl-informazzjoni pprovduta minn fornituri terzi ta’ servizzi tal-ICT, u mal-kapaċità limitata ta’ entità finanzjarja li tikseb informazzjoni minn dawk is-sottokuntratturi tal-ICT li jipprovdu servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom. F’dak ir-rigward, meta l-forniment ta’ servizzi tal-ICT lill-entitajiet finanzjarji jiddependi fuq katina potenzjalment twila jew kumplessa ta’ sottokuntratturi tal-ICT, huwa essenzjali li l-entitajiet finanzjarji jidentifikaw il-katina ġenerali tas-sottokuntratturi li jipprovdu servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti. |
|
(2) |
Fost dawk is-sottokuntratturi li jipprovdu servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti, jenħtieġ li l-entitajiet finanzjarji jiffokaw b’mod partikolari u kontinwu fuq dawk is-sottokuntratturi li fuqhom huma bbażati s-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti, inkluż is-sottokuntratturi kollha li jipprovdu servizzi tal-ICT li t-tfixkil tagħhom ixekkel is-sigurtà jew il-kontinwità tas-servizz kif stabbilit fir-reġistru ta’ informazzjoni msemmi fl-Artikolu 28(3) tar-Regolament (UE) 2022/2554. |
|
(3) |
L-entitajiet finanzjarji jvarjaw ħafna fid-daqs, fl-istruttura, fl-organizzazzjoni interna, u fin-natura u l-kumplessità tal-attivitajiet tagħhom. Sabiex tiġi żgurata l-proporzjonalità, jenħtieġ li dik id-diversità titqies meta jiġi speċifikat liema elementi entità finanzjarja jenħtieġ li tiddetermina u tivvaluta meta tissottokuntratta servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti. |
|
(4) |
Meta jkun permess mill-entitajiet finanzjarji f’konformità mal-Artikolu 30(2) tar-Regolament (UE) 2022/2554, l-użu ta’ servizzi tal-ICT sottokuntrattati li jappoġġaw funzjonijiet kritiċi jew importanti minn fornituri terzi ta’ servizzi tal-ICT ma jistax jillimita r-responsabbiltà aħħarija għall-korpi maniġerjali tal-entitajiet finanzjarji li jimmaniġġjaw ir-riskji tagħhom u li jikkonformaw mal-obbligi leġiżlattivi u regolatorji tagħhom. Meta s-sottokuntrattar tas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti ikun permess, huwa importanti li l-entitajiet finanzjarji jkollhom perspettiva ċara u olistika tar-riskji assoċjati mas-servizzi ta’ sottokuntrattar li jappoġġaw funzjonijiet kritiċi jew importanti sabiex ikunu jistgħu jimmonitorjaw, jimmaniġġjaw u jimmitigaw dawk ir-riskji. Għalhekk jenħtieġ li huma jivvalutaw dawk ir-riskji qabel ma jissottokuntrattaw is-servizzi inkwistjoni. |
|
(5) |
Is-sottokuntratturi intragrupp tal-ICT li jipprovdu servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom, inkluż sottokuntratturi intragrupp tal-ICT li huma kompletament jew kollettivament proprjetà ta’ entitajiet finanzjarji fl-istess skema ta’ protezzjoni istituzzjonali, jenħtieġ li jitqiesu bħala sottokuntratturi tal-ICT. |
|
(6) |
Fejn applikabbli, f’kuntest ta’ grupp, jenħtieġ li l-impriża omm ta’ entitajiet finanzjarji tiżgura li l-politika dwar l-użu tas-sottokuntratturi tal-ICT li jipprovdu servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew parti materjali tagħhom tiġi applikata b’mod konsistenti u koerenti fil-grupp. |
|
(7) |
Huwa importanti li tiġi żgurata ġestjoni komprensiva tar-riskji li jistgħu jinħolqu meta s-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jiġu sottokuntrattati. Għal dik ir-raġuni, jenħtieġ li l-entitajiet finanzjarji jsegwu l-passi taċ-ċiklu tal-ħajja ta’ arranġament kuntrattwali għall-użu tas-servizzi tal-ICT li jappoġġaw dawk il-funzjonijiet u li jiġu pprovduti minn fornituri terzi ta’ servizzi tal-ICT, anki fir-rigward tal-arranġamenti ta’ sottokuntrattar. Għalhekk huwa meħtieġ li jiġu stabbiliti rekwiżiti għall-entitajiet finanzjarji, li jenħtieġ li jiġu riflessi fl-arranġamenti kuntrattwali tal-entitajiet ma’ fornituri terzi ta’ servizzi tal-ICT meta jkun permess l-użu ta’ servizzi tal-ICT sottokuntrattati li jappoġġaw funzjonijiet kritiċi jew importanti. |
|
(8) |
Sabiex jittaffew ir-riskji li huma marbuta mas-sottokuntrattar, huwa meħtieġ li jiġu speċifikati l-kundizzjonijiet li skonthom il-fornituri terzi ta’ servizzi tal-ICT jistgħu jużaw sottokuntratturi għall-forniment ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti. Għal dak il-għan, jenħtieġ li l-arranġamenti kuntrattwali tal-ICT bejn l-entitajiet finanzjarji u l-fornituri terzi ta’ servizzi tal-ICT jistabbilixxu tali kundizzjonijiet, inkluż l-ippjanar tal-arranġamenti ta’ sottokuntrattar, il-valutazzjonijiet tar-riskju, id-diliġenza dovuta, u l-proċess ta’ approvazzjoni għal arranġamenti ġodda ta’ sottokuntrattar tal-ICT dwar servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom, jew bidliet materjali f’dawk eżistenti magħmula mill-fornitur terz ta’ servizzi tal-ICT. |
|
(9) |
Sabiex jiġu identifikati r-riskji li jistgħu jinqalgħu qabel ma entità finanzjarja tidħol f’arranġament ma’ sottokuntrattur tal-ICT, jenħtieġ li l-fornituri terzi ta’ servizzi tal-ICT jivvalutaw, b’mod xieraq u proporzjonat, l-adegwatezza tas-sottokuntratturi potenzjali abbażi tal-arranġamenti kuntrattwali tal-ICT li l-fornitur terz ta’ servizzi tal-ICT ikkonkluda mal-entità finanzjarja. Għalhekk, jenħtieġ li dawk l-arranġamenti kuntrattwali tal-ICT jirrikjedu li l-fornitur terz ta’ servizzi tal-ICT, jew l-entità finanzjarja direttament, kif xieraq, tivvaluta r-riżorsi tas-sottokuntrattur potenzjali, inkluż l-għarfien espert tiegħu u jekk għandux ir-riżorsi finanzjarji, umani u tekniċi xierqa, is-sigurtà tal-informazzjoni tiegħu, u l-istruttura organizzazzjonali tiegħu, inkluż il-ġestjoni tar-riskju u l-kontrolli interni li s-sottokuntrattur jenħtieġ li jkollu fis-seħħ. |
|
(10) |
Biex itaffu kwalunkwe vulnerabbiltà u theddid li jistgħu joħolqu riskji għas-sistemi u l-operazzjonijiet tal-ICT tagħhom, jenħtieġ li l-entitajiet finanzjarji jkunu jistgħu jimmonitorjaw il-prestazzjoni tas-servizz tal-ICT u jiġu infurmati dwar kwalunkwe bidla rilevanti fil-katina ta’ sottokuntrattar tal-ICT tagħhom meta tali bidliet jikkonċernaw funzjonijiet kritiċi jew importanti. |
|
(11) |
Sabiex l-entitajiet finanzjarji jkunu jistgħu jivvalutaw ir-riskji assoċjati mal-arranġamenti tas-sottokuntrattar jew kwalunkwe bidliet materjali fihom, jenħtieġ li l-fornituri terzi ta’ servizzi tal-ICT jinfurmaw lill-entitajiet finanzjarji li lilhom jipprovdu servizzi tal-ICT dwar dawn l-arranġamenti l-ġodda kollha jew il-bidliet ferm qabel ma jibdew japplikaw tali arranġamenti jew bidliet. Għall-istess raġuni, jenħtieġ li l-entitajiet finanzjarji jkollhom id-dritt li jitterminaw il-kuntratt mal-fornitur terz ta’ servizzi tal-ICT meta l-eżitu tal-valutazzjoni tar-riskju tagħhom juri li l-arranġamenti l-ġodda jew il-bidliet materjali jġorru livell ta’ riskju li jaqbeż it-tolleranza tar-riskju tagħhom. |
|
(12) |
L-Awtoritajiet Superviżorji Ewropej wettqu konsultazzjoni pubblika miftuħa dwar l-abbozz tal-istandards tekniċi ta’ implimentazzjoni li fuqu huwa bbażat dan ir-Regolament, analizzaw il-kostijiet u l-benefiċċji potenzjali relatati u talbu l-parir tal-Gruppi tal-Partijiet Interessati tal-ASE stabbiliti f’konformità mal-Artikolu 37 tar-Regolament (UE) Nru 1093/2010 tal-Parlament Ewropew u tal-Kunsill (2), l-Artikolu 37 tar-Regolament (UE) Nru 1094/2010 tal-Parlament Ewropew u tal-Kunsill (3) u l-Artikolu 37 tar-Regolament (UE) Nru 1095/2010 tal-Parlament Ewropew u tal-Kunsill (4). |
|
(13) |
Il-Kontrollur Ewropew għall-Protezzjoni tad-Data ġie kkonsultat f’konformità mal-Artikolu 42(1) tar-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill (5) u ta l-opinjoni tiegħu fl-20 ta’ Awwissu 2024, |
ADOTTAT DAN IR-REGOLAMENT:
Artikolu 1
Profil tar-riskju ġenerali u kumplessità
L-entitajiet finanzjarji għandhom iqisu d-daqs u l-profil tar-riskju ġenerali tagħhom u n-natura, l-iskala, u l-elementi ta’ żieda jew tnaqqis fil-kumplessità tas-servizzi, l-attivitajiet u l-operazzjonijiet tagħhom, inklużi elementi relatati ma’:
|
(a) |
it-tip ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti koperti mill-arranġament kuntrattwali bejn l-entità finanzjarja u l-fornitur terz ta’ servizzi tal-ICT; |
|
(b) |
it-tip ta’ servizzi tal-ICT koperti mill-arranġament kuntrattwali bejn il-fornitur terz tas-servizzi tal-ICT u s-sottokuntratturi tiegħu; |
|
(c) |
il-post tas-sottokuntrattur tal-ICT li jipprovdi servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom, jew tal-kumpanija omm tiegħu; |
|
(d) |
it-tul u l-kumplessità tal-katina tas-sottokuntratturi li jipprovdu servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom użati mill-fornitur terz ta’ servizzi tal-ICT; |
|
(e) |
in-natura tad-data kondiviża mas-sottokuntratturi tal-ICT li jipprovdu servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom; |
|
(f) |
jekk is-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom humiex ipprovduti minn sottokuntratturi, li jinsabu fi Stat Membru jew f’pajjiż terz, inkluż il-post minn fejn is-servizzi tal-ICT huma fil-fatt ipprovduti u l-post fejn id-data hija fil-fatt ipproċessata u maħżuna; |
|
(g) |
jekk is-sottokuntratturi tal-ICT li jipprovdu servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom humiex parti mill-istess grupp bħall-entità finanzjarja li lilha jiġu pprovduti dawk is-servizzi; |
|
(h) |
jekk is-sottokuntratturi tal-ICT li jipprovdu servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom humiex awtorizzati, irreġistrati jew soġġetti għal superviżjoni jew sorveljanza minn awtorità kompetenti fi Stat Membru, jew humiex soġġetti għall-qafas ta’ sorveljanza skont il-Kapitolu V, it-Taqsima II, tar-Regolament (UE) 2022/2554; |
|
(i) |
jekk il-fornituri terzi ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom humiex awtorizzati, irreġistrati jew soġġetti għal superviżjoni jew sorveljanza minn awtorità superviżorja minn pajjiż terz; |
|
(j) |
jekk il-forniment ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom huwiex ikkonċentrat fuq sottokuntrattur wieħed ta’ fornitur terz ta’ servizzi tal-ICT jew għadd żgħir ta’ tali sottokuntratturi; |
|
(k) |
jekk is-sottokuntrattar ta’ servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali jkollux impatt fuq it-trasferibbiltà ta’ dawk is-servizzi tal-ICT lil fornitur terz ieħor ta’ servizzi tal-ICT; |
|
(l) |
l-impatt potenzjali tat-tfixkil fil-kontinwità u d-disponibbiltà tas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom ipprovduti mill-fornitur terz ta’ servizzi tal-ICT, meta dan tal-aħħar juża sottokuntrattur li jipprovdi servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom. |
Artikolu 2
Applikazzjoni ta’ grupp
Meta dan ir-Regolament jiġi applikat fuq bażi subkonsolidata jew konsolidata, l-impriża prinċipali li tkun responsabbli biex tipprovdi r-rapporti finanzjarji konsolidati jew subkonsolidati għall-grupp għandha tiżgura li l-kundizzjonijiet għas-sottokuntrattar tal-użu tas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom, meta s-sottokuntrattar ikun permess skont l-arranġamenti kuntrattwali dwar l-użu tas-servizzi tal-ICT, jiġu implimentati b’mod konsistenti fl-entitajiet finanzjarji kollha li huma parti mill-grupp u jkunu adegwati għall-applikazzjoni effettiva ta’ dan ir-Regolament fil-livelli rilevanti kollha.
Artikolu 3
Diliġenza dovuta u valutazzjoni tar-riskju rigward l-użu ta’ sottokuntratturi li jappoġġaw funzjonijiet kritiċi jew importanti
1. Entità finanzjarja għandha, qabel ma tidħol f’arranġament kuntrattwali ma’ fornitur terz ta’ servizzi tal-ICT, tiddeċiedi jekk dak il-fornitur terz ta’ servizzi tal-ICT jistax jissottokuntratta servizz tal-ICT li jappoġġa funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom. L-entità finanzjarja għandha tidħol biss f’arranġament kuntrattwali bħal dan meta tkun ivvalutat li jkun hemm konformità mal-kundizzjonijiet kollha li ġejjin:
|
(a) |
il-proċessi ta’ diliġenza dovuta fuq il-fornitur terz ta’ servizzi tal-ICT jiżguraw li jkun jista’ jagħżel u jivvaluta l-kapaċitajiet operazzjonali u finanzjarji tas-sottokuntratturi potenzjali tal-ICT li jipprovdu s-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom, inkluż billi jipparteċipa, meta jkun meħtieġ li jagħmel dan mill-entità finanzjarja, fl-ittestjar tar-reżiljenza operazzjonali diġitali kif imsemmi fil-Kapitolu IV tar-Regolament (UE) 2022/2554; |
|
(b) |
il-fornitur terz ta’ servizzi tal-ICT ikun jista’ jidentifika s-sottokuntratturi kollha li jipprovdu servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom, jinnotifika u jinforma lill-entità finanzjarja ta’ dawk is-sottokuntratturi, u jkun jista’ jipprovdi lill-entità finanzjarja l-informazzjoni kollha li tista’ tkun meħtieġa għall-valutazzjoni tal-kundizzjonijiet skont dan l-Artikolu; |
|
(c) |
il-fornitur terz ta’ servizzi tal-ICT jiżgura li l-arranġamenti kuntrattwali mas-sottokuntratturi li jipprovdu servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom, jippermettu lill-entità finanzjarja tikkonforma mal-obbligi tagħha stess li jirriżultaw mir-Regolament (UE) 2022/2554 u mil-leġiżlazzjoni applikabbli tal-Unjoni u nazzjonali; |
|
(d) |
is-sottokuntrattur jagħti lill-entità finanzjarja u lill-awtoritajiet kompetenti u ta’ riżoluzzjoni l-istess drittijiet kuntrattwali ta’ aċċess u ta’ spezzjoni bħal dawk mogħtija mill-fornitur terz ta’ servizzi tal-ICT; |
|
(e) |
mingħajr preġudizzju għar-responsabbiltà finali tal-entità finanzjarja li tikkonforma mal-obbligi legali u regolatorji tagħha, il-fornitur terz ta’ servizzi tal-ICT innifsu għandu biżżejjed kapaċità, għarfien espert, u riżorsi finanzjarji, umani u tekniċi adegwati biex jimmonitorja r-riskji tal-ICT fil-livell tas-sottokuntratturi, inkluż billi japplika standards xierqa tas-sigurtà tal-informazzjoni u billi jkollu fis-seħħ struttura organizzazzjonali xierqa, ġestjoni tar-riskju u kontrolli interni, u rapportar u risponsi tal-inċidenti; |
|
(f) |
l-entità finanzjarja jkollha biżżejjed kapaċitajiet, għarfien espert, u riżorsi finanzjarji, umani u tekniċi adegwati biex timmonitorja r-riskji tal-ICT relatati mas-servizz li jappoġġa funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom li jkun ġie sottokuntrattat, inkluż billi tapplika standards xierqa tas-sigurtà tal-informazzjoni u billi jkollha fis-seħħ struttura organizzazzjonali xierqa u ġestjoni tar-riskju, rispons għall-inċidenti, ġestjoni tal-kontinwità tal-operat u kontrolli interni; |
|
(g) |
l-entità finanzjarja tkun ivvalutat l-impatt fuq ir-reżiljenza operazzjonali diġitali u s-solidità finanzjarja tal-entità finanzjarja ta’ falliment eventwali ta’ sottokuntrattur li jipprovdi servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew parti materjali tagħhom; |
|
(h) |
l-entità finanzjarja tkun ivvalutat ir-riskji assoċjati mal-post tas-sottokuntratturi potenzjali fir-rigward tas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew parti materjali tagħhom ipprovduti mill-fornitur terz ta’ servizzi tal-ICT; |
|
(i) |
l-entità finanzjarja tkun ivvalutat ir-riskji ta’ konċentrazzjoni tal-ICT fil-livell tal-entità f’konformità mal-Artikolu 29 tar-Regolament (UE) 2022/2554; |
|
(j) |
l-entità finanzjarja tkun ivvalutat jekk hemmx xi ostakli għall-eżerċizzju tad-drittijiet tal-awditjar, tal-ispezzjoni u tal-aċċess mill-awtoritajiet kompetenti, mill-awtoritajiet ta’ riżoluzzjoni, jew mill-entità finanzjarja, inklużi l-persuni maħtura minnhom. |
2. L-entitajiet finanzjarji li jużaw fornituri terzi ta’ servizzi tal-ICT li jissottokuntrattaw servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom, għandhom perjodikament iwettqu l-valutazzjoni tar-riskju msemmija fil-paragrafu 1, il-punti minn (f) sa (j), fir-rigward ta’ bidliet eventwali fl-ambjent tan-negozju tagħhom, inkluż rigward bidliet fil-funzjonijiet tan-negozju appoġġati, fil-valutazzjonijiet tar-riskju inkluż it-theddid tal-ICT, ir-riskji tal-konċentrazzjoni tal-ICT, u r-riskji ġeopolitiċi.
3. Id-dipendenza fuq ir-riżultati tal-valutazzjoni tar-riskju mwettqa mill-fornituri terzi ta’ servizzi tal-ICT tagħhom fuq is-sottokuntratturi tagħhom fil-konformità mal-obbligi stabbiliti f’dan l-Artikolu ma għandhiex tillimita r-responsabbiltà finali tal-entitajiet finanzjarji li jikkonformaw mal-obbligi legali u regolatorji tagħhom skont ir-Regolament (UE) 2022/2554.
Artikolu 4
Kundizzjonijiet li skonthom is-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew parti materjali tagħhom jistgħu jiġu sottokuntrattati
1. L-arranġament kuntrattwali konkluż bejn l-entità finanzjarja u l-fornitur terz ta’ servizzi tal-ICT għandu jidentifika liema servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom huma eliġibbli għas-sottokuntrattar u b’liema kundizzjonijiet. Dak il-kuntratt għandu jispeċifika:
|
(a) |
li l-fornitur terz ta’ servizzi tal-ICT ikun responsabbli għall-forniment tas-servizzi pprovduti mis-sottokuntratturi; |
|
(b) |
li l-fornitur terz ta’ servizzi tal-ICT ikun meħtieġ jimmonitorja s-servizzi tal-ICT sottokuntrattati kollha li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom biex jiżgura li l-obbligi kuntrattwali tiegħu mal-entità finanzjarja jiġu ssodisfati kontinwament; |
|
(c) |
l-obbligi ta’ monitoraġġ u rapportar tal-fornitur terz ta’ servizzi tal-ICT lejn l-entità finanzjarja fir-rigward tas-sottokuntratturi li jipprovdu servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom; |
|
(d) |
li l-fornitur terz ta’ servizzi tal-ICT għandu jivvaluta r-riskji kollha assoċjati mal-post tas-sottokuntratturi attwali jew potenzjali li jipprovdu servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom, u fejn tinsab il-kumpanija prinċipali tagħhom u mal-post minn fejn jiġi pprovdut is-servizz tal-ICT ikkonċernat; |
|
(e) |
il-post fejn id-data tiġi pproċessata jew maħżuna mis-sottokuntrattur, fejn rilevanti; |
|
(f) |
li l-fornitur terz ta’ servizzi tal-ICT għandu jispeċifika fil-kuntratt tiegħu mas-sottokuntratturi tiegħu l-obbligi ta’ monitoraġġ u rapportar ta’ dak is-sottokuntrattur lejn il-fornitur terz ta’ servizzi tal-ICT, u fejn miftiehem, lejn l-entità finanzjarja; |
|
(g) |
li l-fornitur terz ta’ servizzi tal-ICT għandu jiżgura l-kontinwità tas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti tul il-katina kollha tas-sottokuntratturi f’każ ta’ nuqqas minn sottokuntrattur tal-ICT li jissodisfa l-obbligi kuntrattwali tiegħu; |
|
(h) |
li l-arranġament kuntrattwali bejn il-fornitur terz ta’ servizzi tal-ICT u s-sottokuntratturi tiegħu jkun fih ir-rekwiżiti dwar il-pjanijiet ta’ kontinġenza tan-negozju msemmija fl-Artikolu 30(3), il-punt (c), tar-Regolament (UE) 2022/2554 u jispeċifika l-livelli ta’ servizz li għandhom jiġu ssodisfati mis-sottokuntratturi tal-ICT fir-rigward ta’ dawk il-pjanijiet; |
|
(i) |
li l-arranġament kuntrattwali bejn il-fornitur terz ta’ servizzi tal-ICT u s-sottokuntratturi tiegħu jispeċifika l-istandards tas-sigurtà tal-ICT u kwalunkwe rekwiżit ta’ sigurtà addizzjonali msemmi fl-Artikolu 30(3), il-punt (c), tar-Regolament (UE) 2022/2554; |
|
(j) |
li s-sottokuntrattur għandu jagħti lill-entità finanzjarja u lill-awtoritajiet kompetenti u ta’ riżoluzzjoni rilevanti l-istess drittijiet ta’ aċċess, spezzjoni u awditjar bħal dawk imsemmija fl-Artikolu 30(3), il-punt (e), tar-Regolament (UE) 2022/2554; |
|
(k) |
li l-fornitur terz ta’ servizzi tal-ICT għandu jinnotifika lill-entità finanzjarja dwar kwalunkwe bidla materjali fl-arranġamenti ta’ sottokuntrattar; |
|
(l) |
li l-entità finanzjarja jkollha d-dritt li tittermina l-kuntratt mal-fornitur terz ta’ servizzi tal-ICT meta jkunu ġew issodisfati l-kundizzjonijiet stabbiliti fl-Artikolu 6 ta’ dan ir-Regolament jew il-kundizzjonijiet stabbiliti fl-Artikolu 28(7) tar-Regolament (UE) 2022/2554. |
2. Il-bidliet relatati mal-ftehimiet kuntrattwali bejn l-entità finanzjarja u l-fornituri terzi ta’ servizzi tal-ICT li jipprovdu servizz tal-ICT li jappoġġa funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom, li kienu meħtieġa biex jikkonformaw ma’ dan ir-Regolament, għandhom jiġu implimentati fil-ħin u malajr kemm jista’ jkun. L-entità finanzjarja għandha tiddokumenta l-iskeda ta’ żmien ippjanata għall-implimentazzjoni.
Artikolu 5
Bidliet materjali fl-arranġamenti ta’ sottokuntrattar tas-servizzi tal-ICT li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom
1. L-arranġament kuntrattwali għandu jipprevedi li l-fornitur terz ta’ servizzi tal-ICT għandu jinforma lill-entità finanzjarja dwar kwalunkwe bidla materjali maħsuba fl-arranġamenti ta’ sottokuntrattar tiegħu kmieni biżżejjed biex l-entità finanzjarja tkun tista’ tivvaluta:
|
(a) |
l-impatt fuq ir-riskji li hija esposta għalihom jew li tista’ tkun esposta għalihom; |
|
(b) |
jekk tali bidliet materjali jistgħux jaffettwaw il-kapaċità tal-fornitur terz ta’ servizzi tal-ICT li jissodisfa l-obbligi kuntrattwali tiegħu fil-konfront tal-entità finanzjarja |
2. L-arranġament kuntrattwali għandu jinkludi perjodu ta’ notifika raġonevoli li permezz tiegħu l-entità finanzjarja għandha tapprova jew toġġezzjona għall-bidliet.
3. Il-fornitur terz ta’ servizzi tal-ICT għandu jimplimenta biss il-bidliet materjali fl-arranġamenti ta’ sottokuntrattar tiegħu wara li l-entità finanzjarja tkun approvat jew ma tkunx oġġezzjonat għall-bidliet sa tmiem il-perjodu ta’ notifika.
4. Meta l-entità finanzjarja tkun tal-fehma li l-bidliet materjali msemmija fil-paragrafu 1 jaqbżu t-tolleranza tar-riskju tagħha, qabel l-iskadenza tal-perjodu ta’ notifika l-entità finanzjarja għandha:
|
(a) |
tinforma lill-fornitur terz ta’ servizzi tal-ICT dwar dan; |
|
(b) |
toġġezzjona għall-bidliet u titlob modifiki għal dawk il-bidliet qabel ma jiġu implimentati. |
Artikolu 6
Terminazzjoni tal-kuntratt bejn l-entità finanzjarja u l-fornitur terz ta’ servizzi tal-ICT
L-entità finanzjarja għandu jkollha d-dritt li tipprovdi fl-arranġament kuntrattwali mal-fornitur terz ta’ servizzi tal-ICT li l-arranġament kuntrattwali għandu jintemm f’kull wieħed mill-każijiet li ġejjin:
|
(a) |
l-entità finanzjarja tkun oġġezzjonat għal bidliet materjali fl-arranġamenti ta’ sottokuntrattar li jappoġġaw funzjonijiet kritiċi jew importanti u tkun talbet għal modifiki għal dawk l-arranġamenti, iżda l-fornitur terz ta’ servizzi tal-ICT ikun madankollu implimenta dawk il-bidliet materjali; |
|
(b) |
il-fornitur terz ta’ servizzi tal-ICT ikun implimenta bidliet materjali fl-arranġamenti ta’ sottokuntrattar li jappoġġaw funzjonijiet kritiċi jew importanti jew partijiet materjali tagħhom qabel tmiem il-perjodu ta’ notifika mingħajr approvazzjoni mill-entità finanzjarja; |
|
(c) |
il-fornitur terz ta’ servizzi tal-ICT jissottokuntratta servizz tal-ICT li jappoġġa funzjoni kritika jew importanti jew parti materjali tiegħu li ma tkunx espliċitament permessa li tiġi sottokuntrattata mill-kuntratt bejn l-entità finanzjarja u l-fornitur terz ta’ servizzi tal-ICT. |
Artikolu 7
Dħul fis-seħħ
Dan ir-Regolament għandu jidħol fis-seħħ fl-għoxrin jum wara dak tal-pubblikazzjoni tiegħu f’Il-Ġurnal Uffiċjali tal-Unjoni Ewropea.
Dan ir-Regolament għandu jorbot fl-intier tiegħu u japplika direttament fl-Istati Membri kollha.
Magħmul fi Brussell, l-24 ta’ Marzu 2025.
Għall-Kummissjoni
Il-President
Ursula VON DER LEYEN
(1) ĠU L 333, 27.12.2022, p. 1, ELI: https://eur-lex.europa.eu/eli/reg/2022/2554/oj.
(2) Ir-Regolament (UE) Nru 1093/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Bankarja Ewropea) u li jemenda d-Deċiżjoni Nru 716/2009/KE u jħassar id-Deċiżjoni tal-Kummissjoni 2009/78/KE (ĠU L 331, 15.12.2010, p. 12, ELI: https://eur-lex.europa.eu/eli/reg/2010/1093/oj).
(3) Ir-Regolament (UE) Nru 1094/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Ewropea tal-Assigurazzjoni u l-Pensjonijiet tax-Xogħol), u li jemenda d-Deċiżjoni Nru 716/2009/KE u li jħassar id-Deċiżjoni tal-Kummissjoni 2009/79/KE (ĠU L 331, 15.12.2010, p. 48, ELI: https://eur-lex.europa.eu/eli/reg/2010/1094/oj).
(4) Ir-Regolament (UE) Nru 1095/2010 tal-Parlament Ewropew u tal-Kunsill tal-24 ta’ Novembru 2010 li jistabbilixxi Awtorità Superviżorja Ewropea (Awtorità Ewropea tat-Titoli u s-Swieq) u li jemenda d-Deċiżjoni Nru 716/2009/KE u jħassar id-Deċiżjoni tal-Kummissjoni 2009/77/KE (ĠU L 331, 15.12.2010, p. 84, ELI: https://eur-lex.europa.eu/eli/reg/2010/1095/oj).
(5) Ir-Regolament (UE) 2018/1725 tal-Parlament Ewropew u tal-Kunsill tat-23 ta’ Ottubru 2018 dwar il-protezzjoni ta’ persuni fiżiċi fir-rigward tal-ipproċessar ta’ data personali mill-istituzzjonijiet, korpi, uffiċċji u aġenziji tal-Unjoni u dwar il-moviment liberu ta’ tali data, u li jħassar ir-Regolament (KE) Nru 45/2001 u d-Deċiżjoni Nru 1247/2002/KE (ĠU L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
ELI: http://data.europa.eu/eli/reg_del/2025/532/oj
ISSN 1977-074X (electronic edition)