Uradni list
Evropske unije
SL
Serija L
|
|
Uradni list |
SL Serija L |
|
2025/532 |
2.7.2025 |
DELEGIRANA UREDBA KOMISIJE (EU) 2025/532
z dne 24. marca 2025
o dopolnitvi Uredbe (EU) 2022/2554 Evropskega parlamenta in Sveta v zvezi z regulativnimi tehničnimi standardi za opredelitev elementov, ki jih mora finančni subjekt določiti in oceniti pri oddaji v podizvajanje storitev IKT, ki podpirajo kritične ali pomembne funkcije
(Besedilo velja za EGP)
EVROPSKA KOMISIJA JE –
ob upoštevanju Pogodbe o delovanju Evropske unije,
ob upoštevanju Uredbe (EU) 2022/2554 Evropskega parlamenta in Sveta z dne 14. decembra 2022 o digitalni operativni odpornosti za finančni sektor in spremembi uredb (ES) št. 1060/2009, (EU) št. 648/2012, (EU) št. 600/2014, (EU) št. 909/2014 in (EU) 2016/1011 (1), ter zlasti člena 30(5), četrti pododstavek, Uredbe,
ob upoštevanju naslednjega:
|
(1) |
Opravljanje storitev IKT za finančne subjekte je pogosto odvisno od kompleksne verige podizvajalcev IKT, pri čemer lahko tretji ponudniki storitev IKT sklenejo enega ali več dogovorov o podizvajanju z drugimi tretjimi ponudniki storitev IKT. Posredno zanašanje na podizvajalce IKT lahko vpliva na sposobnost finančnega subjekta, da opredeli, oceni in obvladuje tveganja, vključno s tveganji, povezanimi z vrzelmi v informacijah, ki jih zagotovijo tretji ponudniki storitev IKT, in omejeno zmožnostjo finančnega subjekta, da pridobi informacije od tistih podizvajalcev IKT, ki opravljajo storitve IKT, ki podpirajo kritične ali pomembne funkcije ali njihove bistvene dele. V zvezi s tem, kadar je opravljanje storitev IKT za finančne subjekte odvisno od potencialno dolge ali kompleksne verige podizvajalcev IKT, je bistveno, da finančni subjekti opredelijo celotno verigo podizvajalcev, ki opravljajo storitve IKT, ki podpirajo kritične ali pomembne funkcije. |
|
(2) |
Med tistimi podizvajalci, ki opravljajo storitve IKT, ki podpirajo kritične ali pomembne funkcije, bi se morali finančni subjekti zlasti in stalno osredotočati na tiste podizvajalce, ki dejansko omogočajo storitev IKT, ki podpira kritične ali pomembne funkcije, vključno z vsemi podizvajalci, ki opravljajo storitve IKT, katerih motnje bi ogrozile varnost ali neprekinjenost storitve, kot je določeno v registru informacij iz člena 28(3) Uredbe (EU) 2022/2554. |
|
(3) |
Finančni subjekti se zelo razlikujejo po velikosti, strukturi, notranji organizaciji ter po naravi in kompleksnosti svojih dejavnosti. Za zagotovitev sorazmernosti bi bilo treba to raznolikost upoštevati pri opredelitvi elementov, ki bi jih moral finančni subjekt določiti in oceniti pri oddaji v podizvajanje storitev IKT, ki podpirajo kritične ali pomembne funkcije. |
|
(4) |
Kadar jo finančni subjekti dovolijo v skladu s členom 30(2) Uredbe (EU) 2022/2554, uporaba podizvajalskih storitev IKT, ki podpirajo kritične ali pomembne funkcije, s strani tretjih ponudnikov storitev IKT ne more zmanjšati končne odgovornosti upravljalnih organov finančnih subjektov za obvladovanje njihovih tveganj ter izpolnjevanje njihovih zakonodajnih in regulativnih obveznosti. Kadar je oddajanje v podizvajanje storitev IKT, ki podpirajo kritične ali pomembne funkcije, dovoljeno, je pomembno, da imajo finančni subjekti jasen in celosten pregled nad tveganji, povezanimi s storitvami podizvajanja, ki podpirajo kritične ali pomembne funkcije, da lahko spremljajo, obvladujejo in blažijo ta tveganja. Zato bi morali navedena tveganja oceniti pred oddajo teh storitev v podizvajanje. |
|
(5) |
Podizvajalce IKT znotraj skupine, ki opravljajo storitve IKT, ki podpirajo kritične ali pomembne funkcije ali njihove bistvene dele, vključno s podizvajalci IKT znotraj skupine, ki so v celoti ali kolektivno v lasti finančnih subjektov v isti institucionalni shemi za zaščito vlog, bi bilo treba šteti za podizvajalce IKT. |
|
(6) |
Kadar je ustrezno, bi moralo obvladujoče podjetje finančnih subjektov v okviru skupine zagotoviti, da se politika o uporabi podizvajalcev IKT, ki opravljajo storitve IKT, ki podpirajo kritične ali pomembne funkcije ali njihov bistven del, v skupini uporablja dosledno in skladno. |
|
(7) |
Pomembno je zagotoviti celovito obvladovanje tveganj, ki se lahko pojavijo, kadar so storitve IKT, ki podpirajo kritične ali pomembne funkcije, oddane v podizvajanje. Zato bi morali finančni subjekti slediti fazam življenjskega cikla pogodbenega dogovora za uporabo storitev IKT, ki podpirajo te funkcije in jih opravljajo tretji ponudniki storitev IKT, vključno z dogovori o podizvajanju. Zato je treba določiti zahteve za finančne subjekte, ki bi se morale odražati v njihovih pogodbenih dogovorih s tretjimi ponudniki storitev IKT, kadar je uporaba podizvajalskih storitev IKT, ki podpirajo kritične ali pomembne funkcije, dovoljena. |
|
(8) |
Za blaženje tveganj, povezanih z oddajo v podizvajanje, je treba določiti pogoje, pod katerimi lahko tretji ponudniki storitev IKT za opravljanje storitev IKT, ki podpirajo kritične ali pomembne funkcije, uporabijo podizvajalce. V ta namen bi morali pogodbeni dogovori na področju IKT med finančnimi subjekti in tretjimi ponudniki storitev IKT določati take pogoje, vključno z načrtovanjem dogovorov o podizvajanju, ocenami tveganja, skrbnim pregledom in postopkom odobritve novih dogovorov o podizvajanju storitev IKT, ki podpirajo kritične ali pomembne funkcije ali njihove bistvene dele, ali pomembnih sprememb obstoječih dogovorov, ki jih izvede tretji ponudnik storitev IKT. |
|
(9) |
Za opredelitev tveganj, ki bi se lahko pojavila, preden finančni subjekt sklene dogovor s podizvajalcem IKT, bi morali tretji ponudniki storitev IKT na ustrezen in sorazmeren način oceniti primernost potencialnih podizvajalcev na podlagi pogodbenih dogovorov na področju IKT, ki jih je tretji ponudnik storitev IKT sklenil s finančnim subjektom. Ti pogodbeni dogovori na področju IKT bi zato morali od tretjega ponudnika storitev IKT ali od samega finančnega subjekta, kot je primerno, zahtevati, da oceni vire potencialnega podizvajalca, vključno z njegovim strokovnim znanjem, ter ali ima ustrezne finančne, človeške in tehnične vire, njegovo informacijsko varnost in organizacijsko strukturo, vključno z obvladovanjem tveganj in notranjimi kontrolami, ki bi jih moral imeti vzpostavljene podizvajalec. |
|
(10) |
Za ublažitev morebitnih ranljivosti in groženj, ki bi lahko pomenile tveganja za njihove sisteme in operacije IKT, bi morali imeti finančni subjekti možnost spremljati delovanje storitve IKT in biti obveščeni o vseh relevantnih spremembah v svoji podizvajalski verigi IKT, kadar take spremembe zadevajo kritične ali pomembne funkcije. |
|
(11) |
Da bi lahko finančni subjekti ocenili tveganja, povezana z dogovori o podizvajanju ali njihovimi pomembnimi spremembami, bi morali tretji ponudniki storitev IKT finančne subjekte, za katere opravljajo storitve IKT, obvestiti o vseh takih novih dogovorih ali spremembah še pred začetkom veljavnosti takih dogovorov ali sprememb. Iz istega razloga bi morali imeti finančni subjekti pravico, da prekinejo pogodbeni dogovor s tretjim ponudnikom storitev IKT, če rezultati njihove ocene tveganja pokažejo, da novi dogovori ali pomembne spremembe pomenijo raven tveganja, ki presega njihovo tolerančno raven tveganja. |
|
(12) |
Evropski nadzorni organi so opravili javno posvetovanje o osnutku regulativnih tehničnih standardov, na katerem temelji ta uredba, analizirali morebitne povezane stroške in koristi ter zaprosili za mnenje svoje interesne skupine, ustanovljene v skladu s členom 37 Uredbe (EU) št. 1093/2010 Evropskega parlamenta in Sveta (2), členom 37 Uredbe (EU) št. 1094/2010 Evropskega parlamenta in Sveta (3) ter členom 37 Uredbe (EU) št. 1095/2010 Evropskega parlamenta in Sveta (4). |
|
(13) |
V skladu s členom 42(1) Uredbe (EU) 2018/1725 (5) Evropskega parlamenta in Sveta je bilo opravljeno posvetovanje z Evropskim nadzornikom za varstvo podatkov, ki je mnenje podal 20. avgusta 2024 – |
SPREJELA NASLEDNJO UREDBO:
Člen 1
Splošni profil tveganja in kompleksnost
Finančni subjekti upoštevajo svojo velikost in splošni profil tveganja ter naravo, obseg in elemente povečane ali zmanjšane kompleksnosti svojih storitev, dejavnosti in poslovanja, vključno z elementi, ki se nanašajo na:
|
(a) |
vrsto storitev IKT, ki podpirajo kritične ali pomembne funkcije, zajete v pogodbenem dogovoru med finančnim subjektom in tretjim ponudnikom storitev IKT; |
|
(b) |
vrsto storitev IKT, ki jih zajema pogodbeni dogovor med tretjim ponudnikom storitev IKT in njegovimi podizvajalci; |
|
(c) |
lokacijo podizvajalca IKT, ki opravlja storitve IKT, ki podpirajo kritične ali pomembne funkcije ali njihov bistven del, ali njegovega obvladujočega podjetja; |
|
(d) |
dolžino in kompleksnost verige podizvajalcev, ki opravljajo storitve IKT, ki podpirajo kritične ali pomembne funkcije ali njihove bistvene dele, ki jih uporablja tretji ponudnik storitev IKT; |
|
(e) |
naravo podatkov, ki se izmenjujejo s podizvajalci IKT, ki opravljajo storitve IKT, ki podpirajo kritične ali pomembne funkcije ali njihove bistvene dele; |
|
(f) |
to, ali storitve IKT, ki podpirajo kritične ali pomembne funkcije ali njihove bistvene dele, opravlja podizvajalec, ki se nahaja v državi članici ali tretji državi, vključno z lokacijo, s katere se dejansko opravljajo storitve IKT, ter lokacijo, kjer se dejansko obdelujejo in shranjujejo podatki; |
|
(g) |
to, ali so podizvajalci IKT, ki opravljajo storitve IKT, ki podpirajo kritične ali pomembne funkcije ali njihove bistvene dele, del iste skupine kot finančni subjekt, za katerega se opravljajo te storitve; |
|
(h) |
to, ali podizvajalci IKT, ki opravljajo storitve IKT, ki podpirajo kritične ali pomembne funkcije ali njihove bistvene dele, imajo dovoljenje, so registrirani oziroma jih nadzoruje ali pregleduje pristojni organ v državi članici ali pa zanje velja okvir nadzora iz poglavja V, oddelek II, Uredbe (EU) 2022/2554; |
|
(i) |
to, ali tretji ponudniki storitev IKT, ki podpirajo kritične ali pomembne funkcije ali njihove bistvene dele, imajo dovoljenje, so registrirani oziroma jih nadzoruje ali pregleduje nadzorni organ iz tretje države; |
|
(j) |
to, ali je opravljanje storitev IKT, ki podpirajo kritične ali pomembne funkcije ali njihove bistvene dele, koncentrirano pri enem podizvajalcu tretjega ponudnika storitev IKT ali majhnem številu takih podizvajalcev; |
|
(k) |
to, ali bi oddaja v podizvajanje storitev IKT, ki podpirajo kritične ali pomembne funkcije ali njihove bistvene dele, vplivala na prenosljivost teh storitev IKT na drugega tretjega ponudnika storitev IKT; |
|
(l) |
morebitni vpliv motenj na neprekinjenost in razpoložljivost storitev IKT, ki podpirajo kritične ali pomembne funkcije ali njihove bistvene dele, ki jih opravlja tretji ponudnik storitev IKT, kadar uporablja podizvajalca, ki opravlja storitve IKT, ki podpirajo kritične ali pomembne funkcije ali njihove bistvene dele. |
Člen 2
Uporaba v skupini
Kadar se ta uredba uporablja na subkonsolidirani ali konsolidirani podlagi, obvladujoče podjetje, ki je odgovorno za predložitev konsolidiranih ali subkonsolidiranih računovodskih izkazov za skupino, zagotovi, da se pogoji za oddajo v podizvajanje storitev IKT, ki podpirajo kritične ali pomembne funkcije ali njihove bistvene dele, kadar je taka oddaja v podizvajanje dovoljena na podlagi pogodbenih dogovorov o uporabi storitev IKT, dosledno izvajajo v vseh finančnih subjektih, ki so del skupine, in so ustrezni za učinkovito uporabo te uredbe na vseh ustreznih ravneh.
Člen 3
Skrbni pregled in ocena tveganja v zvezi z uporabo podizvajalcev, ki podpirajo kritične ali pomembne funkcije
1. Finančni subjekt se pred sklenitvijo pogodbenega dogovora s tretjim ponudnikom storitev IKT odloči, ali lahko navedeni tretji ponudnik storitev IKT odda v podizvajanje storitev IKT, ki podpira kritične ali pomembne funkcije ali njihove bistvene dele. Finančni subjekt sklene tak pogodbeni sporazum le, če oceni, da so izpolnjeni vsi naslednji pogoji:
|
(a) |
s postopki skrbnega pregleda tretji ponudnik storitev IKT zagotavlja, da lahko izbere in oceni operativne in finančne sposobnosti potencialnih podizvajalcev IKT za opravljanje storitev IKT, ki podpirajo kritične ali pomembne funkcije ali njihove bistvene dele, vključno s sodelovanjem pri testiranju digitalne operativne odpornosti, kot je navedeno v poglavju IV Uredbe (EU) 2022/2554, kadar to zahteva finančni subjekt; |
|
(b) |
tretji ponudnik storitev IKT lahko identificira vse podizvajalce, ki opravljajo storitve IKT, ki podpirajo kritične ali pomembne funkcije ali njihove bistvene dele, obvesti finančni subjekt o teh podizvajalcih in mu zagotovi vse informacije, ki bi lahko bile potrebne za oceno pogojev iz tega člena; |
|
(c) |
tretji ponudnik storitev IKT zagotovi, da pogodbeni dogovori s podizvajalci, ki opravljajo storitve IKT, ki podpirajo kritične ali pomembne funkcije ali njihove bistvene dele, finančnemu subjektu omogočajo izpolnjevanje njegovih obveznosti, ki izhajajo iz Uredbe (EU) 2022/2554 ter veljavne zakonodaje Unije in nacionalne zakonodaje; |
|
(d) |
podizvajalec finančnemu subjektu ter pristojnim organom in organom za reševanje podeli enake pogodbene pravice do dostopa in inšpekcijskega pregleda, kot jih odobri tretji ponudnik storitev IKT; |
|
(e) |
brez poseganja v končno odgovornost finančnega subjekta, da izpolnjuje svoje pravne in regulativne obveznosti, ima tretji ponudnik storitev IKT zadostne sposobnosti, strokovno znanje in ustrezne finančne, človeške in tehnične vire za spremljanje tveganj na področju IKT na ravni podizvajalcev, vključno z uporabo ustreznih standardov informacijske varnosti in vzpostavitvijo ustrezne organizacijske strukture, obvladovanja tveganj in notranjih kontrol ter poročanja o incidentih in odzivov nanje; |
|
(f) |
finančni subjekt ima zadostne sposobnosti, strokovno znanje ter ustrezne finančne, človeške in tehnične vire za spremljanje tveganj na področju IKT, povezanih s storitvijo, ki podpira kritične ali pomembne funkcije ali njihove bistvene dele, ki je bila oddana v podizvajanje, vključno z uporabo ustreznih standardov informacijske varnosti ter vzpostavitvijo ustrezne organizacijske strukture in obvladovanja tveganj, odzivanja na incidente, upravljanja neprekinjenega poslovanja in notranjih kontrol; |
|
(g) |
finančni subjekt je ocenil učinek morebitnega prenehanja delovanja podizvajalca, ki opravlja storitve IKT, ki podpirajo kritične ali pomembne funkcije ali njihov bistven del, na digitalno operativno odpornost in finančno trdnost finančnega subjekta; |
|
(h) |
finančni subjekt je ocenil tveganja, povezana z lokacijo potencialnih podizvajalcev, v zvezi s storitvami IKT, ki podpirajo kritične ali pomembne funkcije ali njihov bistven del, ki jih opravlja tretji ponudnik storitev IKT; |
|
(i) |
finančni subjekt je ocenil tveganja koncentracije na področju IKT na ravni subjekta v skladu s členom 29 Uredbe (EU) 2022/2554; |
|
(j) |
finančni subjekt je ocenil, ali obstajajo kakršne koli ovire pri uveljavljanju pravic do revizije, inšpekcijskih pregledov in dostopa s strani pristojnih organov, organov za reševanje ali finančnega subjekta, vključno z osebami, ki so jih ti imenovali. |
2. Finančni subjekti, ki uporabljajo tretje ponudnike storitev IKT, ki v podizvajanje oddajo storitve IKT, ki podpirajo kritične ali pomembne funkcije ali njihove bistvene dele, redno izvajajo oceno tveganja iz odstavka 1, točke (f) do (j), glede na morebitne spremembe v svojem poslovnem okolju, vključno s spremembami podprtih poslovnih funkcij in ocen tveganja, vključno z grožnjami na področju IKT, tveganji koncentracije na področju IKT in geopolitičnimi tveganji.
3. Končne odgovornosti finančnih subjektov za izpolnjevanje njihovih pravnih in regulativnih obveznosti iz Uredbe (EU) 2022/2554 ne omejuje zanašanje na rezultate ocene tveganja, ki jo njihovi tretji ponudniki storitev IKT izvedejo za svoje podizvajalce pri izpolnjevanju obveznosti iz tega člena.
Člen 4
Pogoji, pod katerimi se lahko storitve IKT, ki podpirajo kritične ali pomembne funkcije ali njihov bistven del, oddajo v podizvajanje
1. V pogodbenem dogovoru, sklenjenem med finančnim subjektom in tretjim ponudnikom storitev IKT, se opredeli, katere storitve IKT, ki podpirajo kritične ali pomembne funkcije ali njihove bistvene dele, so primerni za oddajo v podizvajanje in pod katerimi pogoji. Pogodbeni dogovor navaja:
|
(a) |
da je tretji ponudnik storitev IKT odgovoren za opravljanje storitev, ki jih opravljajo podizvajalci; |
|
(b) |
da mora tretji ponudnik storitev IKT spremljati vse podizvajalske storitve IKT, ki podpirajo kritične ali pomembne funkcije ali njihove bistvene dele, da se zagotovi stalno izpolnjevanje njegovih pogodbenih obveznosti do finančnega subjekta; |
|
(c) |
obveznosti tretjega ponudnika storitev IKT glede spremljanja in poročanja finančnemu subjektu v zvezi s podizvajalci, ki opravljajo storitve IKT, ki podpirajo kritične ali pomembne funkcije ali njihove bistvene dele; |
|
(d) |
da mora tretji ponudnik storitev IKT oceniti vsa tveganja, povezana s sedežem sedanjih ali potencialnih podizvajalcev, ki opravljajo storitev IKT, ki podpira kritične ali pomembne funkcije ali njihove bistvene dele, in njihovih obvladujočih podjetij ter sedežem, od koder se zadevna storitev IKT opravlja; |
|
(e) |
lokacijo podatkov, ki jih obdeluje ali hrani podizvajalec, kadar je to ustrezno; |
|
(f) |
da mora tretji ponudnik storitev IKT v svoji pogodbi s podizvajalci določiti obveznosti tega podizvajalca glede spremljanja in poročanja do tretjega ponudnika storitev IKT in, če je tako dogovorjeno, do finančnega subjekta; |
|
(g) |
da mora tretji ponudnik storitev IKT zagotoviti neprekinjenost storitev IKT, ki podpirajo kritične ali pomembne funkcije, v celotni verigi podizvajalcev, če podizvajalec IKT ne izpolni svojih pogodbenih obveznosti; |
|
(h) |
da pogodbeni dogovor med tretjim ponudnikom storitev IKT in njegovimi podizvajalci vsebuje zahteve glede poslovnih načrtov kriznih ukrepov iz člena 30(3), točka (c), Uredbe (EU) 2022/2554 in določa ravni storitev, ki jih morajo podizvajalci IKT izpolnjevati v zvezi s temi načrti; |
|
(i) |
da so v pogodbenem dogovoru med tretjim ponudnikom storitev IKT in njegovimi podizvajalci določeni varnostni standardi IKT in vse dodatne varnostne zahteve iz člena 30(3), točka (c), Uredbe (EU) 2022/2554; |
|
(j) |
da mora podizvajalec finančnemu subjektu ter ustreznim pristojnim organom in organom za reševanje podeliti enake pravice do dostopa, inšpekcijskega pregleda in revizije, kot so navedene v členu 30(3), točka (e), Uredbe (EU) 2022/2554; |
|
(k) |
da mora tretji ponudnik storitev IKT obvestiti finančni subjekt o vseh pomembnih spremembah dogovorov o podizvajanju; |
|
(l) |
da ima finančni subjekt pravico prekiniti pogodbo s tretjim ponudnikom storitev IKT, kadar so izpolnjeni pogoji iz člena 6 te uredbe ali pogoji iz člena 28(7) Uredbe (EU) 2022/2554. |
2. Spremembe v zvezi s pogodbenimi dogovori med finančnim subjektom in tretjimi ponudniki storitev IKT, ki opravljajo storitev IKT, ki podpira kritične ali pomembne funkcije ali njihove bistvene dele, ki so potrebne za ravnanje v skladu s to uredbo, se izvedejo pravočasno in takoj, ko je to mogoče. Finančni subjekt dokumentira načrtovani časovni okvir za izvedbo.
Člen 5
Pomembne spremembe dogovorov o podizvajanju storitev IKT, ki podpirajo kritične ali pomembne funkcije ali njihove bistvene dele
1. Pogodbeni dogovor določa, da tretji ponudnik storitev IKT pravočasno obvesti finančni subjekt o vseh načrtovanih pomembnih spremembah svojih dogovorov o podizvajanju, da lahko finančni subjekt oceni:
|
(a) |
vpliv na tveganja, ki jim je ali bi jim lahko bil izpostavljen; |
|
(b) |
ali bi lahko take pomembne spremembe vplivale na zmožnost tretjega ponudnika storitev IKT, da izpolni svoje pogodbene obveznosti do finančnega subjekta. |
2. Pogodbeni sporazum vsebuje razumen odpovedni rok, do katerega mora finančni subjekt spremembe odobriti ali jim nasprotovati.
3. Tretji ponudnik storitev IKT izvede pomembne spremembe svojih dogovorov o podizvajanju šele po tem, ko finančni subjekt do konca odpovednega roka spremembe odobri ali jim ne nasprotuje.
4. Kadar finančni subjekt meni, da pomembne spremembe iz odstavka 1 presegajo njegovo tolerančno raven tveganja, finančni subjekt pred koncem odpovednega roka:
|
(a) |
o tem obvesti tretjega ponudnika storitev IKT; |
|
(b) |
nasprotuje spremembam in zahteva popravek teh sprememb, preden se izvedejo. |
Člen 6
Prekinitev pogodbe med finančnim subjektom in tretjim ponudnikom storitev IKT
Finančni subjekt ima pravico, da v pogodbenem dogovoru s tretjim ponudnikom storitev IKT določi, da bo pogodbeni dogovor prenehal veljati v vsakem od naslednjih primerov:
|
(a) |
finančni subjekt je nasprotoval pomembnim spremembam dogovorov o podizvajanju, ki podpirajo kritične ali pomembne funkcije, in zahteval popravek teh sprememb, vendar je tretji ponudnik storitev IKT kljub temu izvedel te pomembne spremembe; |
|
(b) |
tretji ponudnik storitev IKT je pred koncem odpovednega roka brez odobritve finančnega subjekta izvedel pomembne spremembe dogovorov o podizvajanju, ki podpirajo kritične ali pomembne funkcije ali njihove bistvene dele; |
|
(c) |
tretji ponudnik storitev IKT je oddal v podizvajanje storitev IKT, ki podpira kritično ali pomembno funkcijo ali njihov bistven del, za katero oddaja v podizvajanje ni izrecno dovoljena s pogodbo med finančnim subjektom in tretjim ponudnikom storitev IKT. |
Člen 7
Začetek veljavnosti
Ta uredba začne veljati dvajseti dan po objavi v Uradnem listu Evropske unije.
Ta uredba je v celoti zavezujoča in se neposredno uporablja v vseh državah članicah.
V Bruslju, 24. marca 2025
Za Komisijo
predsednica
Ursula VON DER LEYEN
(1) UL L 333, 27.12.2022, str. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
(2) Uredba (EU) št. 1093/2010 Evropskega parlamenta in Sveta z dne 24. novembra 2010 o ustanovitvi Evropskega nadzornega organa (Evropski bančni organ) in o spremembi Sklepa št. 716/2009/ES ter razveljavitvi Sklepa Komisije 2009/78/ES (UL L 331, 15.12.2010, str. 12, ELI: https://eur-lex.europa.eu/eli/reg/2010/1093/oj).
(3) Uredba (EU) št. 1094/2010 Evropskega parlamenta in Sveta z dne 24. novembra 2010 o ustanovitvi Evropskega nadzornega organa (Evropski organ za zavarovanja in poklicne pokojnine) in o spremembi Sklepa št. 716/2009/ES ter razveljavitvi Sklepa Komisije 2009/79/ES (UL L 331, 15.12.2010, str. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).
(4) Uredba (EU) št. 1095/2010 Evropskega parlamenta in Sveta z dne 24. novembra 2010 o ustanovitvi Evropskega nadzornega organa (Evropski organ za vrednostne papirje in trge) in o spremembi Sklepa št. 716/2009/ES ter razveljavitvi Sklepa Komisije 2009/77/ES (UL L 331, 15.12.2010, str. 84, ELI: https://eur-lex.europa.eu/eli/reg/2010/1095/oj).
(5) Uredba (EU) 2018/1725 Evropskega parlamenta in Sveta z dne 23. oktobra 2018 o varstvu posameznikov pri obdelavi osebnih podatkov v institucijah, organih, uradih in agencijah Unije in o prostem pretoku takih podatkov ter o razveljavitvi Uredbe (ES) št. 45/2001 in Sklepa št. 1247/2002/ES (UL L 295, 21.11.2018, str. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
ELI: http://data.europa.eu/eli/reg_del/2025/532/oj
ISSN 1977-0804 (electronic edition)