This document is an excerpt from the EUR-Lex website
Document 32025R0532
Commission Delegated Regulation (EU) 2025/532 of 24 March 2025 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards specifying the elements that a financial entity has to determine and assess when subcontracting ICT services supporting critical or important functions
Gedelegeerde Verordening (EU) 2025/532 van de Commissie van 24 maart 2025 tot aanvulling van Verordening (EU) 2022/2554 van het Europees Parlement en de Raad met technische reguleringsnormen tot bepaling van de door een financiële entiteit bij het uitbesteden van kritieke of belangrijke functies ondersteunende ICT-diensten te bepalen en te beoordelen elementen
Gedelegeerde Verordening (EU) 2025/532 van de Commissie van 24 maart 2025 tot aanvulling van Verordening (EU) 2022/2554 van het Europees Parlement en de Raad met technische reguleringsnormen tot bepaling van de door een financiële entiteit bij het uitbesteden van kritieke of belangrijke functies ondersteunende ICT-diensten te bepalen en te beoordelen elementen
C/2025/1682
PB L, 2025/532, 2.7.2025, ELI: http://data.europa.eu/eli/reg_del/2025/532/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
Publicatieblad |
NL L-serie |
|
2025/532 |
2.7.2025 |
GEDELEGEERDE VERORDENING (EU) 2025/532 VAN DE COMMISSIE
van 24 maart 2025
tot aanvulling van Verordening (EU) 2022/2554 van het Europees Parlement en de Raad met technische reguleringsnormen tot bepaling van de door een financiële entiteit bij het uitbesteden van kritieke of belangrijke functies ondersteunende ICT-diensten te bepalen en te beoordelen elementen
(Voor de EER relevante tekst)
DE EUROPESE COMMISSIE,
Gezien het Verdrag betreffende de werking van de Europese Unie,
Gezien Verordening (EU) 2022/2554 van het Europees Parlement en de Raad van 14 december 2022 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011 (1), en met name artikel 30, lid 5, vierde alinea,
Overwegende hetgeen volgt:
|
(1) |
Het leveren van ICT-diensten aan financiële entiteiten is vaak afhankelijk van een complexe keten van ICT-onderaannemers, waarbij derde aanbieders van ICT-diensten een of meer uitbestedingsregelingen kunnen aangaan met andere derde aanbieders van ICT-diensten. Een indirect beroep op ICT-onderaannemers kan een impact hebben op de mogelijkheden van een financiële entiteit voor het in kaart brengen, beoordelen en beheren van haar risico’s, zoals risico’s in verband met lacunes in de door derde aanbieders van ICT-diensten verstrekte informatie, en op de beperkte mogelijkheden van een financiële entiteit om informatie te verkrijgen van die ICT-onderaannemers die ICT-diensten leveren die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunen. In dat verband is het van essentieel belang dat financiële entiteiten, wanneer het leveren van ICT-diensten aan financiële entiteiten afhankelijk is van een potentieel lange of complexe keten van ICT-onderaannemers, de hele keten van ondernemers die ICT-diensten leveren die kritieke of belangrijke functies ondersteunen, in kaart brengen. |
|
(2) |
Bij de onderaannemers die ICT-diensten leveren die kritieke of belangrijke functies ondersteunen, moet de aandacht van financiële entiteiten in het bijzonder en doorlopend gaan naar de onderaannemers die daadwerkelijk aan de basis liggen van de ICT-dienst die kritieke of belangrijke functies ondersteunt, daaronder begrepen alle onderaannemers die ICT-diensten leveren waarvan de verstoring de veiligheid of de continuïteit van de dienstverlening zouden verstoren zoals vastgelegd in het in artikel 28, lid 3, van Verordening (EU) 2022/2554 bedoelde informatieregister. |
|
(3) |
Financiële entiteiten verschillen sterk in omvang, structuur, interne organisatie en in de aard en complexiteit van hun activiteiten. Om evenredigheid te borgen, moet die diversiteit in aanmerking worden genomen bij het specificeren van welke elementen een financiële entiteit moet bepalen en beoordelen bij het uitbesteden van ICT-diensten die kritieke of belangrijke functies ondersteunen. |
|
(4) |
Wanneer overeenkomstig artikel 30, lid 2, van Verordening (EU) 2022/2554 toegestaan door financiële entiteiten, kan het gebruik dat derde aanbieders van ICT-diensten maken van uitbestede ICT-diensten die kritieke of belangrijke functies ondersteunen, niets afdoen aan de uiteindelijke verantwoordelijkheid voor de leidinggevende organen van de financiële entiteiten om hun risico’s te beheren en hun verplichtingen uit hoofde van wet- en regelgeving na te komen. Wanneer uitbesteding van ICT-diensten die kritieke of belangrijke functies ondersteunen, is toegestaan, is het van belang dat financiële entiteiten een duidelijke en holistische kijk hebben op de risico’s die verbonden zijn aan het uitbesteden van diensten die kritieke of belangrijke functies ondersteunen, zodat zij deze risico’s kunnen monitoren, beheren en mitigeren. Daarom moeten zij die risico’s beoordelen voordat zij die diensten uitbesteden. |
|
(5) |
Intragroeps-ICT-onderaannemers die ICT-diensten leveren die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunen, met inbegrip van intragroeps-ICT-onderaannemers die volledig of collectief eigendom zijn van financiële entiteiten binnen dezelfde institutionele beschermingsregeling, moeten als ICT-onderaannemers worden beschouwd. |
|
(6) |
In voorkomend geval moet, binnen een groepscontext, de moederonderneming van financiële entiteiten ervoor zorgen dat het beleid op het gebruik van ICT-onderaannemers die ICT-diensten leveren die kritieke of belangrijke functies, of een materieel onderdeel daarvan, ondersteunen, binnen de groep consistent en coherent worden toegepast. |
|
(7) |
Het is van belang om te zorgen voor een omvattend beheer van de risico’s die zich kunnen voordoen wanneer ICT-diensten die kritieke of belangrijke functies ondersteunen, worden uitbesteed. Om die reden moeten financiële entiteiten de levenscyclus volgen van een contractuele regeling voor het gebruik van ICT-diensten die deze functies ondersteunen en die worden geleverd door derde aanbieders van ICT-diensten, onder meer voor uitbestedingsregelingen. Daarom moeten ten aanzien van financiële entiteiten eisen worden bepaald die hun neerslag moeten vinden in hun contractuele regelingen met derde aanbieders van ICT-diensten wanneer het gebruik van uitbestede ICT-diensten die kritieke of belangrijke functies ondersteunen, is toegestaan. |
|
(8) |
Om aan uitbesteding verbonden risico’s te mitigeren, moeten de voorwaarden worden bepaald waarop derde aanbieders van ICT-diensten van onderaannemers kunnen gebruikmaken voor het leveren van ICT-diensten die kritieke of belangrijke functies ondersteunen. Daartoe moeten contractuele ICT-regelingen tussen financiële entiteiten en derde aanbieders van ICT-diensten dergelijke voorwaarden bevatten, zoals de planning van uitbestedingsregelingen, de risicobeoordelingen, de due diligence en de goedkeuringsprocedure voor nieuwe ICT-uitbestedingsregelingen voor ICT-diensten die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunen, of materiële aanpassingen die de derde aanbieder van ICT-diensten aan bestaande regelingen aanbrengt. |
|
(9) |
Om risico’s in beeld te brengen die zich kunnen voordoen voordat een financiële entiteit een regeling met een ICT-onderaannemer aangaat, moeten derde aanbieders van ICT-diensten, op passende en evenredige wijze, de geschiktheid van kandidaat-onderaannemers nagaan op basis van de contractuele ICT-regelingen die de derde aanbieder van ICT-diensten met de financiële entiteit is aangegaan. Die contractuele ICT-regelingen moeten dus voorschrijven dat de derde aanbieder van ICT-diensten, of de financiële entiteit, waar passend, direct de middelen van de kandidaat-onderaannemer beoordeelt, onder meer zijn deskundigheid en de vraag of deze over de nodige financiële, personele en technische middelen beschikt, zijn informatiebeveiliging en zijn organisatiestructuur, met inbegrip van het risicomanagement en de interne controles waarover de onderaannemer moet beschikken. |
|
(10) |
Om kwetsbaarheden en dreigingen te mitigeren die risico’s kunnen vormen voor hun ICT-systemen en -activiteiten, moeten financiële entiteiten in staat zijn de prestaties van de ICT-dienst te monitoren en moeten zij geïnformeerd kunnen worden over relevante veranderingen binnen hun ICT-uitbestedingsketen wanneer die veranderingen kritieke of belangrijke functies betreffen. |
|
(11) |
Om financiële entiteiten in staat te stellen de risico’s te beoordelen die verbonden zijn aan uitbestedingsregelingen, of materiële veranderingen daarvan, moeten derde aanbieders van ICT-diensten de financiële entiteiten waaraan zij ICT-diensten leveren, over al die nieuwe regelingen of veranderingen informeren ruim voordat dergelijke regelingen of veranderingen ingaan. Om diezelfde reden moeten financiële entiteiten het recht hebben het contract met de derde aanbieder van ICT-diensten te beëindigen wanneer de uitkomst van hun risicobeoordeling laat zien dat de nieuwe regelingen of materiële veranderingen een risiconiveau inhouden dat hun risicotolerantie te boven gaat. |
|
(12) |
De Europese Toezichthoudende autoriteiten (ESA’s) hebben open publieke consultaties gehouden over de ontwerpen van technische uitvoeringsnormen waarop deze verordening is gebaseerd, de mogelijke kosten en baten daarvan geanalyseerd en het advies ingewonnen van de ESA-stakeholdersgroepen die zijn opgericht overeenkomstig artikel 37 van Verordening (EU) nr. 1093/2010 van het Europees Parlement en de Raad (2), artikel 37 van Verordening (EU) nr. 1094/2010 van het Europees Parlement en de Raad (3) en artikel 37 van Verordening (EU) nr. 1095/2010 van het Europees Parlement en de Raad (4). |
|
(13) |
De Europese Toezichthouder voor gegevensbescherming is geraadpleegd overeenkomstig artikel 42, lid 1, van Verordening (EU) 2018/1725 van het Europees Parlement en de Raad (5) en heeft op 20 augustus 2024 een advies uitgebracht, |
HEEFT DE VOLGENDE VERORDENING VASTGESTELD:
Artikel 1
Algemeen risicoprofiel en complexiteit
Financiële entiteiten houden rekening met hun grootte en hun algehele risicoprofiel en de aard, schaal en elementen van toegenomen of verminderde complexiteit van hun diensten, activiteiten en operaties, met inbegrip van elementen met betrekking tot:
|
a) |
het soort ICT-diensten dat kritieke of belangrijke functies ondersteunt die onder de contractuele regeling tussen de financiële entiteit en de derde aanbieder van ICT-diensten vallen; |
|
b) |
het soort ICT-diensten dat onder de contractuele regeling tussen de derde aanbieder van ICT-diensten en zijn onderaannemers valt; |
|
c) |
de locatie van de ICT-onderaannemer die ICT-diensten aanbiedt die kritieke of belangrijke functies, of een materieel onderdeel daarvan, ondersteunen, of van zijn moederonderneming; |
|
d) |
de lengte en complexiteit van de keten van door de derde aanbieder van ICT-diensten ingeschakelde onderaannemers die ICT-diensten leveren die kritieke of belangrijke functies, of een materieel onderdeel daarvan, ondersteunen; |
|
e) |
de aard van de data die worden gedeeld met ICT-onderaannemers die ICT-diensten leveren die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunen; |
|
f) |
de vraag of de ICT-diensten die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunen, worden aangeboden door onderaannemers die zijn gevestigd in een lidstaat of in een derde land, met inbegrip van de locatie van waaruit de ICT-diensten daadwerkelijk worden aangeboden en de locatie waar de data daadwerkelijk worden verwerkt en opgeslagen; |
|
g) |
de vraag of de ICT-onderaannemers die ICT-diensten leveren die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunen, deel uitmaken van dezelfde groep als de financiële entiteit waaraan die diensten worden aangeboden; |
|
h) |
de vraag of de ICT-onderaannemers die ICT-diensten leveren die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunen, zijn geregistreerd bij of onderworpen aan toezicht of oversight door een bevoegde autoriteit in een lidstaat, of zijn onderworpen aan het oversightraamwerk op grond van hoofdstuk V, afdeling II, van Verordening (EU) 2022/2554; |
|
i) |
de vraag of de ICT-onderaannemers die ICT-diensten leveren die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunen, beschikken over een vergunning verleend door, zijn geregistreerd door of onderworpen aan toezicht of oversight door een toezichthouder uit een derde land; |
|
j) |
de vraag of het leveren van ICT-diensten die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunen, geconcentreerd is bij één onderaannemer van een derde aanbieder van ICT-diensten of een klein aantal van dergelijke onderaannemers; |
|
k) |
de vraag of de uitbesteding van ICT-diensten die kritieke of belangrijke functies, of materiële onderdelen daarvan, een impact zou hebben op de overdraagbaarheid van die ICT-diensten aan een andere derde aanbieder van ICT-diensten; |
|
l) |
de potentiële impact van storingen op de continuïteit en beschikbaarheid van de ICT-diensten die kritieke of belangrijke functies, of materiële delen daarvan, ondersteunen, en door de derde aanbieder van ICT-diensten worden aangeboden, wanneer wordt gebruikgemaakt van een onderaannemer die ICT-diensten aanbiedt die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunen. |
Artikel 2
Toepassing binnen een groep
Wanneer deze verordening op gesubconsolideerd of geconsolideerd niveau van toepassing is, ziet de moederonderneming die ervoor verantwoordelijk is om voor de groep geconsolideerde of gesubconsolideerde jaarrekeningen te verschaffen, erop toe dat de voorwaarden voor het uitbesteden van het gebruik van ICT-diensten die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunen, wanneer die uitbesteding is toegestaan op grond van contractuele regelingen betreffende het gebruik van ICT-diensten, coherent worden toegepast binnen alle financiële entiteiten die onderdeel zijn van de groep, en adequaat zijn voor de daadwerkelijke toepassing van deze verordening op alle betrokken niveaus.
Artikel 3
Due diligence en risicobeoordeling wat betreft het gebruik van kritieke of belangrijke functies ondersteunende onderaannemers
1. Een financiële entiteit beslist, voordat zij een contractuele regeling met een derde aanbieder van ICT-diensten aangaat, of die derde aanbieder van ICT-diensten een ICT-dienst die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunt, mag uitbesteden. De financiële entiteit gaat dit soort contractuele regeling alleen aan wanneer zij zich ervan vergewist heeft dat alle volgende voorwaarden zijn nageleefd:
|
a) |
de due diligence-processen voor de derde aanbieder van ICT-diensten borgen dat deze in staat is tot het selecteren en beoordelen van de operationele en financiële mogelijkheden van potentiële ICT-onderaannemers om de ICT-diensten aan te bieden die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunen, onder meer door, wanneer daartoe door de financiële entiteit verzocht, deel te nemen aan tests op digitale operationele weerbaarheid als bedoeld in hoofdstuk IV van Verordening (EU) 2022/2554; |
|
b) |
de derde aanbieder van ICT-diensten is in staat om alle onderaannemers te identificeren die ICT-diensten leveren die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunen, om de financiële entiteit van die onderaannemers kennis te geven en haar over hen te informeren, en is in staat de financiële entiteit alle informatie te verstrekken die nodig mocht zijn om de voorwaarden uit hoofde van dit artikel te toetsen; |
|
c) |
de derde aanbieder van ICT-diensten zorgt ervoor dat de contractuele regelingen met de ondernemers die ICT-diensten leveren die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunen, de financiële entiteit in staat stellen haar eigen verplichtingen uit hoofde van Verordening (EU) 2022/2554 en toepasselijke Uniewetgeving en nationale wetgeving na te komen; |
|
d) |
de onderaannemer verleent de financiële entiteit en bevoegde autoriteiten en afwikkelingsautoriteiten dezelfde contractuele rechten van toegang en inspectie als die welke door de derde aanbieder van ICT-diensten zijn verleend; |
|
e) |
onverminderd de eindverantwoordelijkheid van de financiële entiteit om haar verplichtingen uit hoofde van wet- en regelgeving na te komen, beschikt de derde aanbieder van ICT-diensten zelf over voldoende mogelijkheden, deskundigheid en adequate financiële, personele en technische middelen om de ICT-risico’s op het niveau van de onderaannemers te monitoren, onder meer door het toepassen van passende standaarden inzake informatiebeveiliging en door het beschikken over een passende organisatiestructuur, risicomanagement en interne controles, en rapportage van en respons op incidenten; |
|
f) |
de financiële entiteit beschikt over voldoende mogelijkheden, deskundigheid en adequate financiële, personele en technische middelen om de ICT-risico’s te monitoren met betrekking tot de uitbestede dienst die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunt, onder meer door het toepassen van passende standaarden inzake informatiebeveiliging en door te beschikken over een passende organisatiestructuur en risicomanagement, incidentrespons, bedrijfscontinuïteit en interne controles; |
|
g) |
de financiële entiteit heeft een beoordeling gemaakt van de impact die een mogelijk falen van een onderaannemer die ICT-diensten aanbiedt die kritieke of belangrijke functies, of een materieel onderdeel daarvan, ondersteunen, heeft op de digitale operationele weerbaarheid en financiële robuustheid van de financiële entiteit; |
|
h) |
de financiële entiteit heeft de risico’s beoordeeld die aan de locatie van de potentiële onderaannemers verbonden zijn ten aanzien van de door de derde aanbieder van ICT-diensten aangeboden ICT-diensten die kritieke of belangrijke functies, of een materieel onderdeel daarvan, ondersteunen; |
|
i) |
de financiële entiteit heeft de ICT-concentratierisico’s op entiteitsniveau beoordeeld overeenkomstig artikel 29 van Verordening (EU) 2022/2554; |
|
j) |
de financiële entiteit heeft beoordeeld of er belemmeringen zijn voor het uitoefenen van rechten inzake audit, inspectie en toegang door de bevoegde autoriteiten, afwikkelingsautoriteiten of de financiële entiteit, daaronder begrepen door hen aangestelde personen. |
2. Financiële entiteiten die gebruikmaken van derde aanbieders van ICT-diensten die ICT-diensten die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunen, voeren periodiek de in lid 1, punten f) tot en met j), bedoelde risicobeoordeling uit voor mogelijke veranderingen in hun zakelijke omgeving, onder meer voor veranderingen in de ondersteunde bedrijfsfuncties, in risicobeoordelingen die ICT-dreigingen, ICT-concentratierisico’s en geopolitieke risico’s omvatten.
3. Vertrouwen op de uitkomsten van de door hun derde aanbieders van ICT-diensten uitgevoerde risicobeoordelingen van hun ondernemers wat betreft het nakomen van de in dit artikel bepaalde verplichtingen, houdt geen beperking in van de eindverantwoordelijkheid van financiële entiteiten om hun verplichtingen uit hoofde van wet- en regelgeving na te leven op grond van Verordening (EU) 2022/2554.
Artikel 4
Voorwaarden waarop ICT-diensten die kritieke of belangrijke functies, of een materieel onderdeel daarvan, ondersteunen, mogen worden uitbesteed
1. De contractuele regelingen die de financiële entiteit en de derde aanbieder van ICT-diensten aangaan, identificeren welke ICT-diensten die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunen, in aanmerking komen voor uitbesteding en op welke voorwaarden. Dat contract specificeert:
|
a) |
dat de derde aanbieder van ICT-diensten verantwoordelijk is voor het leveren van de door de onderaannemers aangeboden diensten; |
|
b) |
dat de derde aanbieder van ICT-diensten verplicht is alle uitbestede ICT-diensten die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunen, te monitoren zodat zijn contractuele verplichtingen ten aanzien van de financiële entiteit doorlopend worden vervuld; |
|
c) |
de monitoring- en rapportageverplichtingen van de derde aanbieder van ICT-diensten ten aanzien van de financiële entiteit wat betreft onderaannemers die ICT-diensten leveren die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunen; |
|
d) |
dat de derde aanbieder van ICT-diensten alle risico’s moet beoordelen die verbonden zijn aan de locatie van de actuele of potentiële onderaannemers die ICT-diensten leveren die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunen, en van hun moederonderneming, en aan de locatie van waaruit de betrokken ICT-diensten worden aangeboden; |
|
e) |
de locatie van data die worden verwerkt of opgeslagen door de onderaannemer (in voorkomend geval); |
|
f) |
dat de derde aanbieder van ICT-diensten in zijn contract met zijn onderaannemers de monitoring- en rapportageverplichtingen van de onderaannemer moet specificeren ten aanzien van de derde aanbieder van ICT-diensten en, wanneer overeengekomen, ten aanzien van de financiële entiteit; |
|
g) |
dat de derde aanbieder van ICT-diensten de continuïteit borgt van de ICT-diensten die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunen, doorheen de hele keten van onderaannemers wanneer een ICT-onderaannemer zijn contractuele verplichtingen niet nakomt; |
|
h) |
dat de contractuele regeling tussen de ICT-diensten en zijn onderaannemers de vereisten bevat wat betreft de bedrijfsnoodplannen als bedoeld in artikel 30, lid 3, punt c), van Verordening (EU) 2022/2554 en de met betrekking tot die plannen door de ICT-onderaannemers te leveren dienstenniveaus; |
|
i) |
dat de contractuele regelingen tussen de derde aanbieder van ICT-diensten en zijn onderaannemers de ICT-beveiligingsstandaarden en eventuele aanvullende beveiligingseisen specificeert als bedoeld in artikel 30, lid 3, punt c), van Verordening (EU) 2022/2554; |
|
j) |
dat de onderaannemer de financiële entiteit en de betrokken bevoegde autoriteiten en afwikkelingsautoriteiten dezelfde rechten van toegang, inspectie en audit moet verlenen als bedoeld in artikel 30, lid 3, punt e), van Verordening (EU) 2022/2554; |
|
k) |
dat de derde aanbieder van ICT-diensten de financiële entiteit in kennis moet stellen van materiële veranderingen in uitbestedingsregelingen; |
|
l) |
dat de financiële entiteit het recht heeft het contract met de derde aanbieder van ICT-diensten op te zeggen wanneer de voorwaarden van hetzij artikel 6 van deze verordening, hetzij artikel 28, lid 7, van Verordening (EU) 2022/2554 zijn vervuld. |
2. Wanneer veranderingen met betrekking tot contractuele overeenkomsten tussen de financiële entiteit en derde aanbieders van ICT-diensten die een ICT-dienst leveren die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunt, noodzakelijk zijn geworden om aan deze verordening te voldoen, worden deze tijdig en zo spoedig mogelijk geïmplementeerd. De financiële entiteit documenteert het voor de implementatie geplande tijdschema.
Artikel 5
Materiële veranderingen in uitbestedingsregelingen van ICT-diensten die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunen
1. De contractuele regeling bepaalt dat de derde aanbieder van ICT-diensten de financiële entiteit ruim vooraf informeert over beoogde materiële veranderingen van zijn uitbestedingsregelingen, zodat de financiële entiteit een beoordeling kan maken van:
|
a) |
de impact op de risico’s waaraan zij is blootgesteld of kan worden blootgesteld; |
|
b) |
de vraag of die materiële veranderingen van invloed kunnen zijn op het vermogen van de derde aanbieder van ICT-diensten om zijn contractuele verplichtingen ten aanzien van de financiële entiteit na te komen. |
2. De contractuele regeling bevat een redelijke opzegtermijn voor de financiële entiteit om de veranderingen goed te keuren of daartegen bezwaar te maken.
3. De derde aanbieder van ICT-diensten implementeert de materiële veranderingen van zijn aanbestedingsregelingen pas nadat de financiële entiteit tegen het eind van de opzegtermijn de veranderingen ofwel heeft goedgekeurd of daartegen geen bezwaar heeft gemaakt.
4. Wanneer de financiële entiteit van oordeel is dat de in lid 1 bedoelde materiële veranderingen de risicotolerantie van de financiële entiteit te boven gaan, doet de financiële entiteit vóór het eind van de opzegtermijn het volgende:
|
a) |
zij informeert de derde aanbieder van ICT-diensten in die zin; |
|
b) |
zij maakt bezwaar tegen de veranderingen en eist aanpassingen aan die veranderingen voordat deze worden geïmplementeerd. |
Artikel 6
Beëindiging van het contract tussen de financiële entiteit en de derde aanbieder van ICT-diensten
De financiële entiteit heeft het recht om in de contractuele regeling met de derde aanbieder van ICT-diensten te bepalen dat de contractuele regeling wordt beëindigd in elk van de volgende gevallen:
|
a) |
de financiële entiteit heeft bezwaar gemaakt tegen materiële veranderingen in de uitbestedingsregelingen die kritieke of belangrijke functies ondersteunen, en heeft om aanpassingen van die regelingen verzocht, maar de derde aanbieder van ICT-diensten heeft die materiële veranderingen niettemin geïmplementeerd; |
|
b) |
de derde aanbieder van ICT-diensten heeft zonder toestemming van de financiële entiteit materiële veranderingen van uitbestedingsregelingen die kritieke of belangrijke functies, of materiële onderdelen daarvan, ondersteunen, geïmplementeerd vóór het eind van de opzegtermijn; |
|
c) |
de derde aanbieder van ICT-diensten heeft een ICT-dienst die een kritieke of belangrijke functie, of materiële onderdelen daarvan, ondersteunt, uitbesteed waarvoor er in het contract tussen de financiële entiteit en de derde aanbieder van ICT-diensten geen expliciete toestemming was om deze uit te besteden. |
Artikel 7
Inwerkingtreding
Deze verordening treedt in werking op de twintigste dag na die van de bekendmaking ervan in het Publicatieblad van de Europese Unie.
Deze verordening is verbindend in al haar onderdelen en is rechtstreeks toepasselijk in elke lidstaat.
Gedaan te Brussel, 24 maart 2025.
Voor de Commissie
De voorzitter
Ursula VON DER LEYEN
(1) PB L 333 van 27.12.2022, blz. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
(2) Verordening (EU) nr. 1093/2010 van het Europees Parlement en de Raad van 24 november 2010 tot oprichting van een Europese toezichthoudende autoriteit (Europese Bankautoriteit), tot wijziging van Besluit nr. 716/2009/EG en tot intrekking van Besluit 2009/78/EG van de Commissie (PB L 331 van 15.12.2010, blz. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).
(3) Verordening (EU) nr. 1094/2010 van het Europees Parlement en de Raad van 24 november 2010 tot oprichting van een Europese toezichthoudende autoriteit (Europese Autoriteit voor verzekeringen en bedrijfspensioenen), tot wijziging van Besluit nr. 716/2009/EG en tot intrekking van Besluit 2009/79/EG van de Commissie (PB L 331 van 15.12.2010, blz. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).
(4) Verordening (EU) nr. 1095/2010 van het Europees Parlement en de Raad van 24 november 2010 tot oprichting van een Europese toezichthoudende autoriteit (Europese Autoriteit voor effecten en markten), tot wijziging van Besluit nr. 716/2009/EG en tot intrekking van Besluit 2009/77/EG van de Commissie (PB L 331 van 15.12.2010, blz. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
(5) Verordening (EU) 2018/1725 van het Europees Parlement en de Raad van 23 oktober 2018 betreffende de bescherming van natuurlijke personen in verband met de verwerking van persoonsgegevens door de instellingen, organen en instanties van de Unie en betreffende het vrije verkeer van die gegevens, en tot intrekking van Verordening (EG) nr. 45/2001 en Besluit nr. 1247/2002/EG (PB L 295 van 21.11.2018, blz. 39, http://data.europa.eu/eli/reg/2018/1725/oj).
ELI: http://data.europa.eu/eli/reg_del/2025/532/oj
ISSN 1977-0758 (electronic edition)