Europeiska unionens
officiella tidning
SV
L-serien
|
|
Europeiska unionens |
SV L-serien |
|
2024/1502 |
30.5.2024 |
KOMMISSIONENS DELEGERADE FÖRORDNING (EU) 2024/1502
av den 22 februari 2024
om komplettering av Europaparlamentets och rådets förordning (EU) 2022/2554 vad gäller specificering av kriterierna för klassificering av tredjepartsleverantörer av IKT-tjänster som kritiska för finansiella entiteter
(Text av betydelse för EES)
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt,
med beaktande av Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 (1), särskilt artikel 31.6, och
av följande skäl:
|
(1) |
För att bedöma om en tredjepartsleverantör av IKT-tjänster är kritisk för finansiella entiteter, och med beaktande av de kriterier som anges i artikel 31.2 i förordning (EU) 2022/2554, bör de europeiska tillsynsmyndigheterna göra en bedömning i två steg med användning av delkriterier. Med tanke på det mycket stora antalet IKT-tjänster och det stora antalet olika typer av finansinstitut som använder dessa tjänster bör tvåstegsbedömningen användas för att filtrera samtliga tredjepartsleverantörer av IKT-tjänster och identifiera de som är mest kritiska. De kvantitativa delkriterier som ska beaktas i bedömningens första steg är nödvändiga för att göra ett första urval av alla tredjepartsleverantörer av IKT-tjänster, för vilka det är relevant att göra en ytterligare djupgående analys mot bakgrund av de kvalitativa delkriterier som ska beaktas i bedömningens andra steg. |
|
(2) |
I hur hög grad en IKT-tjänst som tillhandahålls av en tredjepartsleverantör av IKT-tjänster stöder den finansiella entitetens kritiska eller viktiga funktioner anses vara en central del av kritikalitetsbedömningen generellt. Därför bör vikten av de aktiviteter inom finansiella entiteter som stöds av IKT-tjänster integreras i alla delkriterier som beaktas i det första steget. Följaktligen bör det i bedömningens första steg inte göras någon separat kvantitativ bedömning av hur kritiska de finansiella entiteternas funktioner är. De europeiska tillsynsmyndigheterna bör i stället beakta kritikalitet och vikt hos de funktioner inom finansiella entiteter som stöds av IKT-tjänster som en del av bedömningens kvalitativa andra steg. |
|
(3) |
Bedömningen bör utföras per enskild tredjepartsleverantör av IKT-tjänster eller, i tillämpliga fall, per grupp av tredjepartsleverantörer av IKT-tjänster, om tredjepartsleverantören av IKT-tjänster tillhör en koncern i enlighet med artikel 31.3 i förordning (EU) 2022/2554. För att möjliggöra en heltäckande bedömning av den potentiella systempåverkan på unionens finanssektor bör IKT-underleverantörer till tredjepartsleverantörer av IKT-tjänster också ingå i de europeiska tillsynsmyndigheternas bedömning, och i tillämpliga fall klassificeras som kritiska tredjepartsleverantörer av IKT-tjänster. |
|
(4) |
För att fastställa vilken systempåverkan som tredjepartsleverantören av IKT-tjänster har på stabiliteten, kontinuiteten eller kvaliteten i tillhandahållandet av finansiella tjänster är det av yttersta vikt att skaffa sig en tydlig bild av hur och i vilken grad en storskalig driftsstörning hos en tredjepartsleverantör av IKT-tjänster skulle påverka dels systemen hos finansiella entiteter som är beroende av tjänster från en tredjepartsleverantör av IKT-tjänster, och dels det finansiella systemet. Det är därför lämpligt att beakta antalet finansiella entiteter i en specifik kategori av finansiella entiteter som använder samma IKT-tjänster, samt värdet på deras tillgångar, för att bedöma om det är relevant att klassificera den tredjepartsleverantör av IKT-tjänster som erbjuder dessa IKT-tjänster som kritisk. Dessutom bör det göras en kvalitativ bedömning av systemvikten och graden av sammanlänkning hos tredjepartsleverantörer av IKT-tjänster, samt av vikten av de tjänster som tillhandahålls av en tredjepartsleverantör av IKT-tjänster för att finansiella entiteter ska kunna tillhandahålla finansiella tjänster, med beaktande av tjänsternas stabilitet och kontinuitet, för att fastställa tredjepartsleverantörens systempåverkan på de finansiella entiteternas verksamhet. |
|
(5) |
För att fastställa påverkan på eller betydelsen för systemet av de finansiella entiteter som är beroende av IKT-tjänsterna är det nödvändigt att ta hänsyn till dessa finansiella entiteters typ. Om finansiella entiteter som klassificeras som globala systemviktiga institut eller som andra systemviktiga institut, eller som identifieras som systemviktiga, är beroende av samma IKT-tjänster för att stödja sina kritiska eller viktiga funktioner, är det lämpligt att bedöma huruvida den tredjepartsleverantör av IKT-tjänster som tillhandahåller dessa tjänster bör betraktas som kritisk för unionens finanssektor. Sammanlänkningen mellan finansiella entiteter inom unionens finanssektor som är beroende av IKT-tjänster som tillhandahålls av samma tredjepartsleverantör av IKT-tjänster bör också bedömas, för att fastställa de finansiella entiteternas beroende av den tredjepartsleverantören av IKT-tjänster. |
|
(6) |
IKT-tjänster som stöder kritiska eller viktiga funktioner hos de finansiella entiteterna bör bedömas med avseende på sin beskaffenhet och om de är kritiska för att de finansiella entiteterna ska kunna bedriva sin verksamhet utan störningar. |
|
(7) |
För att fastställa graden av utbytbarhet hos tredjepartsleverantören av IKT-tjänster är det nödvändigt att, som en del av den bedömning som ska göras av de europeiska tillsynsmyndigheterna, beakta antalet tredjepartsleverantörer av IKT-tjänster som är verksamma på en viss marknad, tillgången till alternativa lösningar för samma IKT-tjänst, samt kostnaderna för att migrera data och IKT-arbetsbelastningar till andra tredjepartsleverantörer av IKT-tjänster. |
|
(8) |
För att säkerställa en sund bedömningsprocess är det viktigt att de europeiska tillsynsmyndigheterna använder uppgifter från de register över information som avses i artikel 28.3 i förordning (EU) 2022/2554, tillsammans med eventuell annan lättillgänglig information, när de bedömer huruvida tredjepartsleverantörerna av IKT-tjänster bör klassificeras som kritiska. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
Bedömningsmetod
1. När de europeiska tillsynsmyndigheterna beaktar de kriterier som anges i artikel 31.2 i förordning (EU) 2022/2554 för att klassificera en tredjepartsleverantör av IKT-tjänster som kritisk för finansiella entiteter ska de tillämpa följande metod:
|
a) |
I ett första steg ska de europeiska tillsynsmyndigheterna bedöma om tredjepartsleverantören av IKT-tjänster uppfyller alla de steg 1-delkriterier som anges i artiklarna 2.1, 3.1 och 5.1. |
|
b) |
I ett andra steg ska de europeiska tillsynsmyndigheterna, för de tredjepartsleverantörer av IKT-tjänster som uppfyller alla steg 1-delkriterier enligt led a, göra sin bedömning mot bakgrund av de steg 2-delkriterier som anges i artiklarna 2.5, 3.4, 4.1 och 5.5. |
Genom undantag från första stycket ska, vid bedömningen av kriterium c i artikel 31.2 i förordning (EU) 2022/2554, det första steget omfattas av den bedömning som ska göras för kriterierna a, b och d i artikel 31.2 i förordning (EU) 2022/2554.
2. När tiden har gått ut för att lämna in ett motiverat uttalande enligt vad som avses i artikel 31.5 första stycket i förordning (EU) 2022/2554 ska de europeiska tillsynsmyndigheterna, genom den gemensamma kommittén och på rekommendation av tillsynsforumet, klassificera en tredjepartsleverantör av IKT-tjänster som kritisk för finansiella entiteter om den uppfyller alla steg 1-delkriterierna i punkt 1 a, och om en positiv bedömning har gjorts med avseende på steg 2-delkriterierna i punkt 1 b.
Artikel 2
Systempåverkan från tredjepartsleverantörer av IKT-tjänster på stabiliteten, kontinuiteten eller kvaliteten i tillhandahållandet av finansiella tjänster
1. När de europeiska tillsynsmyndigheterna beaktar kriteriet i artikel 31.2 a i förordning (EU) 2022/2554 ska de bedöma om tredjepartsleverantören av IKT-tjänster uppfyller följande steg 1-delkriterier:
|
a) |
Delkriterium 1.1: Andel av antalet finansiella entiteter, uppdelat efter kategorier av finansiella entiteter enligt förteckningen i artikel 2.1 i förordning (EU) 2022/2554, till vilka IKT-tjänster tillhandahålls av samma tredjepartsleverantör av IKT-tjänster, om IKT-tjänsterna stöder kritiska eller viktiga funktioner. |
|
b) |
Delkriterium 1.2: Andel av tillgångars värde för finansiella entiteter, uppdelat efter kategorier av finansiella entiteter enligt förteckningen i artikel 2.1 i förordning (EU) 2022/2554, till vilka IKT-tjänster tillhandahålls av samma tredjepartsleverantör av IKT-tjänster, om IKT-tjänsterna stöder kritiska eller viktiga funktioner hos de finansiella entiteterna. |
2. Delkriterium 1.1 i punkt 1 a ska beräknas enligt följande:
|
andel av antalet finansiella entiteter,uppdelat efter kategorier av finansiella entiteter enligt förteckningen i artikel 2.1 i förordning (EU) 2022/2554, till vilka IKT – tjänster tillhandahålls av samma tredjepartsleverantör av IKT – tjänster, om IKT – tjänsterna stöder kritiska eller viktiga funktioner hos de finansiella entiterna |
|
det totala antalet finansiella entiteter i en kategori av finansiella entiteter enligt artikel 2.1 i förordning (EU) 2022/2554 |
3. Delkriterium 1.2 i punkt 1 b ska beräknas enligt följande:
|
totalt värde av tillgångar för finansiella entiteter i en kategori av finansiella entiteter enligt förteckningen i artikel 2.1 i förordning (EU) 2022/2554, till vilka IKT – tjänster tillhandahålls av samma tredjepartsleverantör av IKT – tjänster, om IKT – tjänsterna stöder kritiska eller viktiga funktioner hos de finansiella entiterna |
|
totalt värde av tillgångar för alla finansiella entiteter i EU i samma kategori enligt artikel 2.1 i förordning (EU) 2022/2554 |
4. En tredjepartsleverantör av IKT-tjänster ska anses uppfylla steg 1-delkriterierna i punkt 1 om båda andelarna beräknade i enlighet med punkterna 2 och 3 utgör minst 10 % av det totala antalet för minst en kategori av finansiella entiteter enligt artikel 2.1 i förordning (EU) 2022/2554.
5. När de europeiska tillsynsmyndigheterna beaktar kriteriet i artikel 31.2 a i förordning (EU) 2022/2554, och om tredjepartsleverantören av IKT-tjänster uppfyller steg 1-delkriterierna i punkt 1 i denna artikel, ska de göra sin bedömning mot bakgrund av följande steg 2-delkriterier:
|
a) |
Delkriterium 1.3: I hur stor utsträckning ett avbrott i de IKT-tjänster som tillhandahålls av tredjepartsleverantören av IKT-tjänster påverkar verksamheten och driften hos de finansiella entiteter som har identifierats i steg 1-delkriterierna i punkt 1 i denna artikel, och hur många av de finansiella entiteterna som berörs. |
|
b) |
Delkriterium 1.4: Hur beroende den kritiska tredjepartsleverantören av IKT-tjänster är av samma underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner hos finansiella entiteter. |
Artikel 3
Påverkan på eller betydelsen för systemet hos IKT-tjänster som tillhandahålls finansiella entiteter
1. När de europeiska tillsynsmyndigheterna beaktar kriteriet i artikel 31.2 b i förordning (EU) 2022/2554 ska de bedöma om tredjepartsleverantören av IKT-tjänster uppfyller följande steg 1-delkriterier:
|
a) |
Delkriterium 2.1: Antal globala systemviktiga institut och andra systemviktiga institut som är kreditinstitut, till vilka IKT-tjänster tillhandahålls av samma tredjepartsleverantör av IKT-tjänster och där IKT-tjänsterna stöder kritiska eller viktiga funktioner. |
|
b) |
Delkriterium 2.2: Antal finansiella entiteter, som inte är kreditinstitut, globala systemviktiga institut eller andra systemviktiga institut enligt led a ovan, som identifierats som systemviktiga av de behöriga myndigheter som avses i artikel 46 i förordning (EU) 2022/2554, till vilka IKT-tjänster tillhandahålls av samma tredjepartsleverantör av IKT-tjänster och där IKT-tjänsterna stöder kritiska eller viktiga funktioner. |
2. En tredjepartsleverantör av IKT-tjänster ska anses uppfylla delkriteriet i punkt 1 a om de IKT-tjänster som den tillhandahåller används av åtminstone något av följande:
|
a) |
Ett globalt systemviktigt institut. |
|
b) |
Minst tre andra systemviktiga institut. |
|
c) |
Minst ett annat systemviktigt institut med ett poängantal för andra systemviktiga institut som överstiger 3 000, beräknat i enlighet med artikel 131.3 i Europaparlamentets och rådets direktiv 2013/36/EU (2). |
3. En tredjepartsleverantör av IKT-tjänster ska anses uppfylla delkriteriet i punkt 1 b om de IKT-tjänster som den tillhandahåller används av åtminstone något av följande:
|
a) |
En finansiell entitet som är en finansiell entitet som avses i artikel 2.1 g, h, i eller j i förordning (EU) 2022/2554 och som av behöriga myndigheter identifierats som systemviktig. |
|
b) |
Minst tre finansiella entiteter, som inte är kreditinstitut eller finansiella entiteter som avses i artikel 2.1 g, h, i eller j i förordning (EU) 2022/2554, och som av behöriga myndigheter identifierats som systemviktiga. |
4. När de europeiska tillsynsmyndigheterna beaktar kriteriet i artikel 31.2 b i förordning (EU) 2022/2554, och om tredjepartsleverantören av IKT-tjänster uppfyller steg 1-delkriterierna i punkt 1 i den här artikeln, ska de göra sin bedömning mot bakgrund av följande steg 2-delkriterium:
|
— |
Delkriterium 2.3: Ömsesidigt beroende mellan globala systemviktiga institut eller andra systemviktiga institut och andra finansiella entiteter som omfattas av bedömningen enligt steg 1-delkriterierna i punkt 1 i denna artikel, inbegripet när dessa globala systemviktiga institut eller andra systemviktiga institut tillhandahåller finansiella infrastrukturtjänster till andra finansiella entiteter, som använder en IKT-tjänst som tillhandahålls av samma tredjepartsleverantör av IKT-tjänster. |
Artikel 4
Kritiska eller viktiga funktioner
När de europeiska tillsynsmyndigheterna beaktar kriteriet i artikel 31.2 c i förordning (EU) 2022/2554 ska de göra sin bedömning mot bakgrund av följande steg 2-delkriterium:
|
— |
Delkriterium 3.1: Kritisk betydelse för de finansiella entiteternas verksamhet av den IKT-tjänst som i slutändan tillhandahålls av samma tredjepartsleverantör av IKT-tjänster och som stöder kritiska eller viktiga funktioner hos finansiella entiteter. |
Artikel 5
Grad av utbytbarhet
1. När de europeiska tillsynsmyndigheterna beaktar kriteriet i artikel 31.2 d i förordning (EU) 2022/2554 ska de bedöma om tredjepartsleverantören av IKT-tjänster uppfyller följande steg 1-delkriterier:
|
a) |
Delkriterium 4.1: Andelen av det totala antalet finansiella entiteter, uppdelat efter kategorier av finansiella entiteter enligt artikel 2.1 i förordning (EU) 2022/2554, för vilka det inte finns någon alternativ tredjepartsleverantör av IKT-tjänster som har den kapacitet som krävs för att tillhandahålla samma IKT-tjänster som stöder kritiska eller viktiga funktioner hos finansiella entiteter som de tjänster som tillhandahålls av den aktuella tredjepartsleverantören av IKT-tjänster. |
|
b) |
Delkriterium 4.2: Andelen av det totala antalet finansiella entiteter, uppdelat efter kategorier av finansiella entiteter enligt artikel 2.1 i förordning (EU) 2022/2554, som har mycket svårt att till en annan tredjepartsleverantör av IKT-tjänster migrera en IKT-tjänst som tillhandahålls av den aktuella tredjepartsleverantören av IKT-tjänster och som stöder kritiska eller viktiga funktioner hos finansiella entiteter. |
2. Delkriterium 4.1 i punkt 1 a ska beräknas enligt följande:
|
andel av finansiella entiteter i en kategori av finansiella entiteter enligt artikel 2.1 i förordning (EU) 2022/2554, för vilka det inte finns någon alternativ tredjepartsleverantör av IKT – tjänster som har den kapacitet som krävs för att tillhandahålla samma IKT – tjänster som stöder kritiska eller viktiga funktioner hos finansiella entiteter som de tjänster som tillhandahålls av den aktuella tredjepartsleverantören av IKT – tjänster |
|
det totala antalet finansiella entiteter i en kategori av finansiella entiteter enligt artikel 2.1 i förordning (EU) 2022/2554 |
3. Delkriteriet i punkt 1 b ska beräknas enligt följande:
|
antal finansiella entiteter i en kategori av finansiella entiteter enligt artikel 2.1 i förordning (EU) 2022/2554, som har mycket svårt att till en annan tredjepartsleverantör av IKT – tjänster migrera eller återintegrera en IKT – tjänst som tillhandahålls av tredjepartsleverantören av IKT – tjänster och som stöder kritiska eller viktiga funktioner |
|
totalt antal finansiella entiteter i EU i den kategorin av finansiella entiteter enligt artikel 2.1 i förordning (EU) 2022/2554 |
4. En tredjepartsleverantör av IKT-tjänster ska anses uppfylla både delkriterium 4.1 och 4.2 om något av följande gäller:
|
a) |
Andelen av det totala antalet finansiella entiteter som avses i punkt 1 a är minst 10 % av det totala antalet finansiella entiteter för en kategori av finansiella entiteter enligt artikel 2.1 i förordning (EU) 2022/2554. |
|
b) |
Andelen av det totala antalet finansiella entiteter som avses i punkt 1 b är minst 10 % av det totala antalet finansiella entiteter för en kategori av finansiella entiteter enligt artikel 2.1 i förordning (EU) 2022/2554. |
5. När de europeiska tillsynsmyndigheterna beaktar kriteriet i artikel 31.2 d i förordning (EU) 2022/2554, och om tredjepartsleverantören av IKT-tjänster uppfyller steg 1-delkriterierna i punkt 1 i den här artikeln, ska de göra sin bedömning med beaktande av det steg 2-delkriterium som anges i artikel 31.2 d i i förordning (EU) 2022/2554.
Artikel 6
Informationskällor för bedömningen av kritikalitet
1. Vid bedömningen av de delkriterier som anges i artiklarna 2–5 ska de europeiska tillsynsmyndigheterna använda uppgifter från de register med information som avses i artikel 28.3 i förordning (EU) 2022/2554. De europeiska tillsynsmyndigheterna får också använda ytterligare tillgängliga uppgifter som de förfogar över från alla andra informationskällor för att göra bedömningen av kritikalitet.
2. De europeiska tillsynsmyndigheterna ska använda de senaste uppgifter som de har tillgång till under bedömningsåret eller, i tillämpliga fall, de uppgifter som har gjorts tillgängliga för dem senast den 31 december året före kritikalitetsbedömningen.
Artikel 7
Ikraftträdande och tillämpning
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
Den ledande tillsynsmyndigheten ska dock tillämpa delkriterium 1.4 som avses i artikel 2.5 b från och med den 16 januari 2025.
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Bryssel den 22 februari 2024.
På kommissionens vägnar
Ursula VON DER LEYEN
Ordförande
(1) EUT L 333, 27.12.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
(2) Europaparlamentets och rådets direktiv 2013/36/EU av den 26 juni 2013 om behörighet att utöva verksamhet i kreditinstitut och om tillsyn av kreditinstitut och värdepappersföretag, om ändring av direktiv 2002/87/EG och om upphävande av direktiv 2006/48/EG och 2006/49/EG (EUT L 176, 27.6.2013, s. 338, ELI: http://data.europa.eu/eli/dir/2013/36/oj).
ELI: http://data.europa.eu/eli/reg_del/2024/1502/oj
ISSN 1977-0820 (electronic edition)