This document is an excerpt from the EUR-Lex website
Document 32024R1502
Commission Delegated Regulation (EU) 2024/1502 of 22 February 2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council by specifying the criteria for the designation of ICT third-party service providers as critical for financial entities
Gedelegeerde Verordening (EU) 2024/1502 van de Commissie van 22 februari 2024 tot aanvulling van Verordening (EU) 2022/2554 van het Europees Parlement en de Raad door nadere bepaling van de criteria om derde aanbieders van ICT-diensten als kritiek voor financiële entiteiten aan te wijzen
Gedelegeerde Verordening (EU) 2024/1502 van de Commissie van 22 februari 2024 tot aanvulling van Verordening (EU) 2022/2554 van het Europees Parlement en de Raad door nadere bepaling van de criteria om derde aanbieders van ICT-diensten als kritiek voor financiële entiteiten aan te wijzen
C/2024/896
PB L, 2024/1502, 30.5.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1502/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
Publicatieblad |
NL L-serie |
|
2024/1502 |
30.5.2024 |
GEDELEGEERDE VERORDENING (EU) 2024/1502 VAN DE COMMISSIE
van 22 februari 2024
tot aanvulling van Verordening (EU) 2022/2554 van het Europees Parlement en de Raad door nadere bepaling van de criteria om derde aanbieders van ICT-diensten als kritiek voor financiële entiteiten aan te wijzen
(Voor de EER relevante tekst)
DE EUROPESE COMMISSIE,
Gezien het Verdrag betreffende de werking van de Europese Unie,
Gezien Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 (1), en met name artikel 31, lid 6,
Overwegende hetgeen volgt:
|
(1) |
Om te beoordelen of een derde aanbieder van ICT-diensten kritiek is voor financiële entiteiten, en rekening houdend met de criteria van artikel 31, lid 2, van Verordening (EU) 2022/2554, moeten de Europese toezichthoudende autoriteiten (“ETA’s”) subcriteria gebruiken in een beoordeling in twee stappen. Gezien het grote aantal ICT-diensten en de diversiteit en het aantal financiële instellingen dat van deze diensten gebruikmaakt, moet een dergelijke twee-stapsbenadering worden gevolgd om de populatie van derde aanbieders van ICT-diensten te filteren en de meest kritieke derde aanbieders van ICT-diensten te identificeren. De kwantitatieve subcriteria die als onderdeel van de eerste stap van de beoordeling moeten worden beschouwd, zijn noodzakelijk om een eerste selectie van de populatie van derde aanbieders van ICT-diensten uit te voeren waarvoor het relevant is een verdere diepgaande analyse uit te voeren in het licht van de kwalitatieve subcriteria die als onderdeel van de tweede stap van de beoordeling moeten worden beschouwd. |
|
(2) |
De mate waarin een door een derde aanbieder van ICT-diensten verleende ICT-dienst kritieke of belangrijke functies van de financiële entiteit ondersteunt, wordt beschouwd als een cruciaal element van de kriticiteitsbeoordeling in het algemeen. Daarom moet het belang van de activiteiten van de financiële entiteiten die door ICT-diensten worden ondersteund, worden geïntegreerd in alle subcriteria die als onderdeel van de eerste stap in aanmerking worden genomen. Bijgevolg mag er in het kader van de eerste stap van de beoordeling geen afzonderlijke kwantitatieve beoordeling zijn met betrekking tot het kritieke karakter van de functies van de financiële entiteiten. In plaats daarvan is het passend dat de ETA’s het kritieke karakter en het belang van de functies van de door ICT-diensten ondersteunde financiële entiteiten in aanmerking nemen als onderdeel van de kwalitatieve tweede stap van de beoordeling. |
|
(3) |
De beoordeling moet worden uitgevoerd per individuele derde aanbieder van ICT-diensten of, in voorkomend geval, per groep van derde aanbieders van ICT-diensten indien de derde aanbieder van ICT-diensten tot een groep behoort overeenkomstig artikel 31, lid 3, van Verordening (EU) 2022/2554. Om een uitgebreide beoordeling van de potentiële systemische effecten op de financiële sector van de Unie mogelijk te maken, moeten ICT-onderaannemers van derde aanbieders van ICT-diensten ook worden onderworpen aan de beoordeling door de ETA’s en, in voorkomend geval, worden aangewezen als kritieke derde aanbieder van ICT-diensten. |
|
(4) |
Om de systemische effecten van de derde aanbieder van ICT-diensten op de stabiliteit, continuïteit of kwaliteit van de verlening van financiële diensten te bepalen, is het van het grootste belang een duidelijk beeld te krijgen van de omvang en de aard van de systemische effecten die een grootschalige operationele verstoring van een derde aanbieder van ICT-diensten zou hebben voor financiële entiteiten die afhankelijk zijn van diensten van een derde aanbieder van ICT-diensten, en voor het financiële stelsel. Daarom is het passend na te gaan hoeveel financiële entiteiten van een specifieke categorie financiële entiteiten dezelfde ICT-diensten gebruiken, en welke waarde hun activa hebben, om te beoordelen of het relevant is om de derde aanbieder van ICT-diensten die deze ICT-diensten aanbiedt, als kritiek te beschouwen. Voorts moet een kwalitatieve beoordeling worden uitgevoerd van het systemische belang en de verwevenheid van derde aanbieders van ICT-diensten, alsook van het belang van de door een derde aanbieder van ICT-diensten verleende diensten voor de verlening van financiële diensten door financiële entiteiten, rekening houdend met de stabiliteit en de continuïteit van de diensten, om de systemische effecten van de derde aanbieder van ICT-diensten op de activiteiten van financiële entiteiten te bepalen. |
|
(5) |
Om het systemische karakter en belang te bepalen van de financiële entiteiten die van de ICT-diensten afhankelijk zijn, moet rekening worden gehouden met de aard van die financiële entiteiten. Wanneer financiële entiteiten die als MSI’s en ASI’s zijn ingedeeld of als “systemisch” zijn aangemerkt, ter ondersteuning van hun kritieke of belangrijke functies van dezelfde ICT-diensten afhankelijk zijn, is het passend te beoordelen of de derde aanbieder van ICT-diensten die deze diensten verleent, als kritiek voor de financiële sector van de Unie moet worden beschouwd. De verwevenheid tussen financiële entiteiten binnen de financiële sector van de Unie die afhankelijk zijn van ICT-diensten die door dezelfde derde aanbieder van ICT-diensten worden verleend, moet ook worden beoordeeld om te bepalen of financiële entiteiten afhankelijk zijn van die derde aanbieder van ICT-diensten. |
|
(6) |
De ICT-diensten die kritieke of belangrijke functies van de financiële entiteiten ondersteunen, moeten worden beoordeeld met betrekking tot het type en de kritieke aard ervan die nodig zijn om de financiële entiteiten in staat te stellen hun activiteiten zonder verstoringen uit te voeren. |
|
(7) |
In het kader van de beoordeling door de ETA’s moet, om te bepalen in hoeverre de derde aanbieder van ICT-diensten substitueerbaar is, rekening worden gehouden met het aantal derde aanbieders van ICT-diensten dat op een bepaalde markt actief is, met de vraag of alternatieve oplossingen voor dezelfde ICT-dienst voorhanden zijn, en met de kosten van de migratie van gegevens en ICT-werkbelasting naar andere derde aanbieders van ICT-diensten. |
|
(8) |
Om de deugdelijkheid van het beoordelingsproces te waarborgen, is het belangrijk dat de ETA’s zich baseren op de gegevens uit de in artikel 28, lid 3, van Verordening (EU) 2022/2554 bedoelde informatieregisters en alle andere direct beschikbare informatie wanneer zij beoordelen of de derde aanbieders van ICT-diensten als kritiek moeten worden aangewezen, |
HEEFT DE VOLGENDE VERORDENING VASTGESTELD:
Artikel 1
Aanpak van de beoordeling
1. Bij het toetsen van de criteria van artikel 31, lid 2, van Verordening (EU) 2022/2554 om een derde aanbieder van ICT-diensten aan te wijzen als kritiek voor financiële entiteiten, passen de ETA’s de volgende benadering toe:
|
(a) |
als eerste stap beoordelen de ETA’s of de derde aanbieder van ICT-diensten voldoet aan alle “stap 1”-subcriteria van artikel 2, lid 1, artikel 3, lid 1, en artikel 5, lid 1; |
|
(b) |
als tweede stap voeren de ETA’s voor de derde aanbieders van ICT-diensten die aan alle in punt a) bedoelde “stap 1”-subcriteria voldoen, hun beoordeling uit in het licht van de in de artikel 2, lid 5, artikel 3, lid 4, artikel 4, lid 1, en artikel 5, lid 5, genoemde “stap 2”-subcriteria. |
In afwijking van de eerste alinea wordt voor de beoordeling van criterium c) van artikel 31, lid 2, van Verordening (EU) 2022/2554 wordt de eerste stap gevormd door de beoordeling die moet worden uitgevoerd voor de criteria a), b) en d) van artikel 31, lid 2, van Verordening (EU) 2022/2554.
2. Na afloop van de in artikel 31, lid 5, eerste alinea, van Verordening (EU) 2022/2554 bedoelde termijn voor de indiening van een met redenen omklede verklaring wijzen de ETA’s, via het Gemengd Comité en op aanbeveling van het toezichtforum, een derde aanbieder van ICT-diensten aan als kritiek voor financiële entiteiten indien hij voldoet aan alle in lid 1, punt a), bedoelde “stap 1”-subcriteria, en na een positief resultaat van de beoordeling met betrekking tot de in lid 1, punt b), bedoelde “stap 2”-subcriteria.
Artikel 2
Systemische effecten van derde aanbieders van ICT-diensten op de stabiliteit, continuïteit of kwaliteit van de verlening van financiële diensten
1. Bij het toetsen van het criterium van artikel 31, lid 2, punt a), van Verordening (EU) 2022/2554, beoordelen de ETA’s of de derde aanbieder van ICT-diensten voldoet aan de volgende “stap 1”-subcriteria:
|
(a) |
Subcriterium 1.1: aandeel van het aantal financiële entiteiten, uitgesplitst naar categorieën financiële entiteiten als bedoeld in artikel 2, lid 1, van Verordening (EU) 2022/2554, waaraan ICT-diensten worden verleend door dezelfde derde aanbieder van ICT-diensten waarbij de ICT-diensten kritieke of belangrijke functies ondersteunen; |
|
(b) |
Subcriterium 1.2: aandeel van de totale waarde van de activa van financiële entiteiten, uitgesplitst naar categorieën financiële entiteiten als bedoeld in artikel 2, lid 1, van Verordening (EU) 2022/2554, waaraan ICT-diensten worden verleend door dezelfde derde aanbieder van ICT-diensten waarbij de ICT-diensten kritieke of belangrijke functies van financiële entiteiten ondersteunen. |
2. Het in lid 1, punt a), bepaalde subcriterium 1.1 wordt als volgt berekend:
|
aantal financiële entiteiten van een categorie financiële entiteiten als bepaald in artikel 2,lid 1,van Verordening (EU)2022/2554, waaraan ICT – diensten worden verleend door dezelfde derde aanbieder van ICT – diensten waarbij de ICT – diensten kritieke of belangrijke functies ondersteunen |
|
totale aantal financiële entiteiten van een categorie financiële entiteiten als bepaald in artikel 2,lid 1,van Verordening (EU)2022/2554 |
3. Het in lid 1, punt b), bepaalde subcriterium 1.2 wordt als volgt berekend:
|
totale waarde van de activa van financiële entiteiten van een categorie financiële entiteiten als bepaald in artikel 2,lid 1,van Verordening (EU)2022/2554, waaraan ICT – diensten worden verleend door dezelfde derde aanbieder van ICT – diensten waarbij de ICT – diensten kritieke of belangrijke functies ondersteunen |
|
totale waarde van de activa van alle financiële entiteiten van de EU van dezelfde categorie als bepaald in artikel 2,lid 1,van Verordening (EU)2022/2554 |
4. Een derde aanbieder van ICT-diensten wordt geacht te hebben voldaan aan de in lid 1 genoemde “stap 1”-subcriteria wanneer elk overeenkomstig lid 2 en lid 3 berekend aandeel ten minste 10 % uitmaakt van het totale aantal voor ten minste één categorie financiële entiteiten als bedoeld in artikel 2, lid 1, van Verordening (EU) 2022/2554.
5. Bij het toetsen van het criterium van artikel 31, lid 2, punt a), van Verordening (EU) 2022/2554 en wanneer de derde aanbieder van ICT-diensten de in lid 1 van dit artikel bedoelde “stap 1”-subcriteria vervult, voeren de ETA’s hun beoordeling uit in het licht van de volgende “stap 2”-subcriteria:
|
(a) |
Subcriterium 1.3: de intensiteit van het effect van de stopzetting van de door de derde aanbieder van ICT-diensten verleende ICT-diensten op de activiteiten en verrichtingen van financiële entiteiten die zijn geïdentificeerd in de in lid 1 van dit artikel genoemde subcriteria voor stap 1 en het aantal getroffen financiële entiteiten; |
|
(b) |
Subcriterium 1.4: de afhankelijkheid van de kritieke derde aanbieder van ICT-diensten van dezelfde onderaannemers die ICT-diensten verlenen ter ondersteuning van kritieke of belangrijke functies van financiële entiteiten. |
Artikel 3
Systemisch karakter en belang van de ICT-diensten die aan financiële entiteiten worden verleend
1. Bij het toetsen van het criterium van artikel 31, lid 2, punt b), van Verordening (EU) 2022/2554, beoordelen de ETA’s of de derde aanbieder van ICT-diensten voldoet aan de volgende “stap 1”-subcriteria:
|
(a) |
Subcriterium 2.1: aantal mondiaal systeemrelevante instellingen (MSI’s) en andere systeemrelevante instellingen (ASI’s) die kredietinstellingen zijn waaraan ICT-diensten worden verleend door dezelfde derde aanbieder van ICT-diensten waarbij de ICT-diensten kritieke of belangrijke functies ondersteunen; |
|
(b) |
Subcriterium 2.2: aantal andere financiële entiteiten dan kredietinstellingen en MSI’s en ASI’s als bedoeld in punt a), die door de bevoegde autoriteiten als bedoeld in artikel 46 van Verordening (EU) 2022/2554 als systeemrelevant zijn aangemerkt en waaraan ICT-diensten worden verleend door dezelfde derde aanbieder van ICT-diensten waarbij de ICT-diensten kritieke of belangrijke functies ondersteunen. |
2. Een derde aanbieder van ICT-diensten wordt geacht te hebben voldaan aan het subcriterium van lid 1, punt a), indien de door hem verleende ICT-diensten worden gebruikt door ten minste een van de volgende instellingen:
|
(a) |
één MSI; |
|
(b) |
ten minste drie ASI’s; |
|
(c) |
ten minste één ASI met een ASI-score van meer dan 3 000, berekend overeenkomstig artikel 131, lid 3, van Richtlijn 2013/36/EU van het Europees Parlement en de Raad (2). |
3. Een derde aanbieder van ICT-diensten wordt geacht te hebben voldaan aan het subcriterium van lid 1, punt b), indien de door hem verleende ICT-diensten worden gebruikt door ten minste een van de volgende entiteiten:
|
(a) |
één financiële entiteit die een financiële entiteit is als bedoeld in artikel 2, lid 1, punt g), h), i) of j), van Verordening (EU) 2022/2554 en die door de bevoegde autoriteiten als “systeemrelevant” is aangemerkt; |
|
(b) |
ten minste drie financiële entiteiten, niet zijnde kredietinstellingen en niet zijnde financiële entiteiten als bedoeld in artikel 2, lid 1, punt g), h), i) of j), van Verordening (EU) 2022/2554 en die door de bevoegde autoriteiten als “systeemrelevant” zijn aangemerkt. |
4. Bij het toetsen van het criterium van artikel 31, lid 2, punt b), van Verordening (EU) 2022/2554 en wanneer de derde aanbieder van ICT-diensten de in lid 1 van dit artikel genoemde “stap 1”-subcriteria vervult, voeren de ETA’s hun beoordeling uit in het licht van de volgende “stap 2”-subcriteria:
|
— |
Subcriterium 2.3: MSI’s of ASI’s en andere financiële entiteiten die zijn opgenomen in de beoordeling in het kader van de in lid 1 van dit artikel bedoelde “stap 1”-subcriteria, ook wanneer die MSI’s of ASI’s die financiële infrastructuurdiensten verlenen aan andere financiële entiteiten die afhankelijk zijn van een ICT-dienst die door dezelfde derde aanbieder van ICT-diensten wordt verleend, onderling afhankelijk zijn. |
Artikel 4
Kritieke karakter of belang van de functies
Bij het toetsen van het criterium van artikel 31, lid 2, punt c), van Verordening (EU) 2022/2554, hanteren de ETA’s bij hun beoordeling het volgende “stap 2”-subcriterium:
|
— |
Subcriterium 3.1: de ICT-dienst die uiteindelijk door dezelfde derde aanbieder van ICT-diensten wordt verleend ter ondersteuning van kritieke of belangrijke functies van financiële entiteiten, is van kritieke aard voor de activiteiten van de financiële entiteiten. |
Artikel 5
Mate van substitueerbaarheid
1. Bij het toetsen van het criterium van artikel 31, lid 2, punt d), van Verordening (EU) 2022/2554, beoordelen de ETA’s of de derde aanbieder van ICT-diensten voldoet aan de volgende “stap 1”-subcriteria:
|
(a) |
Subcriterium 4.1: het aandeel van het totale aantal financiële entiteiten, uitgesplitst naar categorieën financiële entiteiten als bedoeld in artikel 2, lid 1, van Verordening (EU) 2022/2554, waarvoor geen alternatieve derde aanbieder van ICT-diensten beschikbaar is die over de vereiste capaciteit beschikt om dezelfde ICT-diensten te verlenen die kritieke of belangrijke functies van financiële entiteiten ondersteunen als die welke door de betrokken derde aanbieder van ICT-diensten worden verleend; |
|
(b) |
Subcriterium 4.2: het aandeel van het totale aantal financiële entiteiten, uitgesplitst naar categorieën financiële entiteiten als bedoeld in artikel 2, lid 1, van Verordening (EU) 2022/2554, waarvoor het zeer moeilijk is om een door de derde aanbieder van ICT-diensten verleende ICT-dienst die kritieke of belangrijke functies van financiële entiteiten ondersteunt, naar een andere derde aanbieder van ICT-diensten te migreren. |
2. Het in lid 1, punt a), bepaalde subcriterium 4.1 wordt als volgt berekend:
|
aantal financiële entiteiten van een categorie financiële entiteiten als bepaald in artikel 2,lid 1,van Verordening (EU) 2022/2554, waarvoor geen alternatieve derde aanbieder van ICT – diensten beschikbaar is die over de vereiste capaciteit beschikt om dezelfde ICT – diensten te verlenen die kritieke of belangrijke functies van financiële entiteiten ondersteunen als die welke door de betrokken derde aanbieder van ICT – diensten worden verleend |
|
totale aantal financiële entiteiten van die categorie financiële entiteiten als bepaald in artikel 2,lid 1,van Verordening (EU) 2022/2554 |
3. Het in lid 1, punt b), bepaalde subcriterium 4.2 wordt als volgt berekend:
|
aantal financiële entiteiten van een categorie financiële entiteiten als bepaald in artikel 2,lid 1,van Verordening (EU) 2022/2554, waarvoor het zeer moeilijk is om een door de derde aanbieder van ICT – diensten verleende ICT – dienst die kritieke of belangrijke functies van financiële entiteiten ondersteunt naar een andere derde aanbieder van ICT – diensten te migreren |
|
totale aantal financiële entiteiten van de EU van die categorie financiële entiteiten als bepaald in artikel 2,lid 1,van Verordening (EU) 2022/2554 |
4. Een derde aanbieder van ICT-diensten wordt geacht te hebben voldaan aan zowel subcriterium 4.1 als 4.2 indien aan een van deze beide voorwaarden is voldaan:
|
(a) |
het aandeel van het totale aantal financiële entiteiten als bedoeld in lid 1, punt a), bedraagt ten minste 10 % van het totale aantal financiële entiteiten voor een categorie financiële entiteiten als bedoeld in artikel 2, lid 1, van Verordening (EU) 2022/2554; |
|
(b) |
het aandeel van het totale aantal financiële entiteiten als bedoeld in lid 1, punt b), bedraagt ten minste 10 % van het totale aantal financiële entiteiten of een categorie financiële entiteiten als bedoeld in artikel 2, lid 1, van Verordening (EU) 2022/2554; |
5. Bij het toetsen van het criterium van artikel 31, lid 2, punt d), van Verordening (EU) 2022/2554 en wanneer de derde aanbieder van ICT-diensten de in lid 1 van dit artikel bedoelde “stap 1”-subcriteria vervult, voeren de ETA’s hun beoordeling uit in het licht van het “stap 2”-subcriterium als bepaald in artikel 31, lid 2, punt d), i), van Verordening (EU) 2022/2554.
Artikel 6
Informatiebronnen om de beoordeling van het kritieke karakter mogelijk te maken
1. De ETA’s gebruiken de gegevens die worden verstrekt door de in artikel 28, lid 3, van Verordening (EU) 2022/2554 bedoelde informatieregisters voor de beoordeling van de in de artikelen 2 tot en met 5 vermelde subcriteria. De ETA’s kunnen ook gebruikmaken van aanvullende beschikbare gegevens uit alle informatiebronnen waarover zij beschikken om de beoordeling van het kritieke karakter uit te voeren.
2. De ETA’s houden rekening met de meest recente gegevens waarover zij tijdens het beoordelingsjaar beschikken, of, in voorkomend geval, met de gegevens die hun uiterlijk op 31 december van het jaar voorafgaand aan de beoordeling van het kritieke karakter ter beschikking zijn gesteld.
Artikel 7
Inwerkingtreding en toepassing
Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
De lead overseer past subcriterium 1.4 als genoemd in artikel 2, lid 5, punt b), echter toe vanaf 16 januari 2025.
Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.
Gedaan te Brussel, 22 februari 2024.
Voor de Commissie
De voorzitter
Ursula VON DER LEYEN
(1) PB L 333 van 27.12.2022, blz. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
(2) Richtlijn 2013/36/EU van het Europees Parlement en de Raad van 26 juni 2013 betreffende toegang tot het bedrijf van kredietinstellingen en het prudentieel toezicht op kredietinstellingen, tot wijziging van Richtlijn 2002/87/EG en tot intrekking van de Richtlijnen 2006/48/EG en 2006/49/EG (PB L 176 van 27.6.2013, blz. 338, ELI: http://data.europa.eu/eli/dir/2013/36/oj).
ELI: http://data.europa.eu/eli/reg_del/2024/1502/oj
ISSN 1977-0758 (electronic edition)