Europeiska unionens
officiella tidning
SV
L-serien
|
|
Europeiska unionens |
SV L-serien |
|
2025/532 |
2.7.2025 |
KOMMISSIONENS DELEGERADE FÖRORDNING (EU) 2025/532
av den 24 mars 2025
om komplettering av Europaparlamentets och rådets förordning (EU) 2022/2554 vad gäller tekniska tillsynsstandarder för att närmare specificera de delar som en finansiell entitet måste fastställa och bedöma när den lägger ut ITK-tjänster som stöder kritiska eller viktiga funktioner på underentreprenad
(Text av betydelse för EES)
EUROPEISKA KOMMISSIONEN HAR ANTAGIT DENNA FÖRORDNING
med beaktande av fördraget om Europeiska unionens funktionssätt,
med beaktande av Europaparlamentets och rådets förordning (EU) 2022/2554 av den 14 december 2022 om digital operativ motståndskraft för finanssektorn och om ändring av förordningarna (EG) nr 1060/2009, (EU) nr 648/2012, (EU) nr 600/2014, (EU) nr 909/2014 och (EU) 2016/1011 (1), särskilt artikel 30.5 fjärde stycket, och
av följande skäl:
|
(1) |
Tillhandahållandet av IKT-tjänster till finansiella entiteter är ofta beroende av en komplex kedja av IKT-underleverantörer, där tredjepartsleverantörer av IKT-tjänster kan ingå ett eller flera underentreprenadsavtal med andra tredjepartsleverantörer av IKT-tjänster. Ett indirekt beroende av IKT-underleverantörer kan påverka en finansiell entitets förmåga att identifiera, bedöma och hantera sina risker, inbegripet risker som beror på brister i den information som lämnas av tredjepartsleverantörer av IKT-tjänster och på en finansiell entitets begränsade förmåga att inhämta information från IKT-underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav. I fall där tillhandahållandet av IKT-tjänster till finansiella entiteter är beroende av en potentiellt lång eller komplex kedja av IKT-underleverantörer är det därför viktigt att finansiella entiteter identifierar hela kedjan av underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner. |
|
(2) |
När det gäller underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner bör finansiella entiteter specifikt och kontinuerligt fokusera på underleverantörer som är helt nödvändiga för de IKT-tjänster som stöder kritiska eller viktiga funktioner, vilket innefattar alla underleverantörer av IKT-tjänster som om de avbryts försämrar säkerheten eller kontinuiteten hos den tjänst som fastställs i det register med information som avses i artikel 28.3 i förordning (EU) 2022/2554. |
|
(3) |
Finansiella entiteter varierar avsevärt i fråga om storlek, struktur och intern organisation och när det gäller verksamhetens karaktär och komplexitet. För att säkerställa proportionalitet bör dessa olikheter beaktas när det specificeras vilka delar en finansiell entitet bör fastställa och bedöma när den lägger ut IKT-tjänster som stöder kritiska eller viktiga funktioner på underleverantörer. |
|
(4) |
Om finansiella entiteter ger tredjepartsleverantörer av IKT-tjänster tillstånd att i enlighet med artikel 30.2 i förordning (EU) 2022/2554 lägga ut IKT-tjänster som stöder kritiska eller viktiga funktioner på underentreprenad är det likväl de finansiella entiteternas ledningsorgan som är ytterst ansvariga för att hantera sina risker och fullgöra sina skyldigheter enligt lagar och andra författningar. I fall där utläggning av IKT-tjänster som stöder kritiska eller viktiga funktioner på underentreprenad tillåts är det viktigt att de finansiella entiteterna har en tydlig och heltäckande bild av de risker som är förknippade med utläggning av tjänster som stöder kritiska eller viktiga funktioner på underentreprenad, så att de kan övervaka, hantera och minska dessa risker. De bör därför göra en bedömning av dessa risker innan tjänsterna läggs ut på underentreprenad. |
|
(5) |
Koncerninterna underleverantörer av IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, inbegripet koncerninterna underleverantörer som ägs helt eller gemensamt av finansiella entiteter som tillhör samma institutionella skyddssystem, bör betraktas som IKT-underleverantörer. |
|
(6) |
När det gäller koncerner bör de finansiella entiteternas moderföretag i tillämpliga fall säkerställa att riktlinjerna för anlitande av IKT-underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, tillämpas på ett konsekvent och sammanhållet sätt inom koncernen. |
|
(7) |
Det är viktigt att säkerställa en heltäckande hantering av de risker som kan uppstå när IKT-tjänster som stöder kritiska eller viktiga funktioner läggs ut på underentreprenad. Finansiella entiteter bör därför följa stegen i livscykeln för kontraktsmässiga arrangemang avseende användning av IKT-tjänster som stöder dessa funktioner och som tillhandahålls av tredjepartsleverantörer av IKT-tjänster, inbegripet för underentreprenadsavtal. Det är därför nödvändigt att fastställa krav för finansiella entiteter som bör återspeglas i deras kontraktsmässiga arrangemang med tredjepartsleverantörer av IKT-tjänster i fall där utläggning av IKT-tjänster som stöder kritiska eller viktiga funktioner på underentreprenad tillåts. |
|
(8) |
För att minska de risker som är förknippade med utläggning på underentreprenad är det nödvändigt att närmare ange på vilka villkor tredjepartsleverantörer av IKT-tjänster får anlita underleverantörer för att tillhandahålla IKT-tjänster som stöder kritiska eller viktiga funktioner. Kontraktsmässiga arrangemang avseende IKT-tjänster mellan finansiella entiteter och tredjepartsleverantörer av IKT-tjänster bör därför innehålla sådana villkor, till exempel om planer på underentreprenad, riskbedömningar, due diligence-granskning och godkännandeprocess för nya underentreprenadsavtal avseende IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, eller väsentliga ändringar av befintliga underentreprenadsavtal som görs av tredjepartsleverantören av IKT-tjänster. |
|
(9) |
För att, innan en finansiell entitet ingår ett avtal med en IKT-underleverantör, identifiera vilka risker som kan uppstå bör tredjepartsleverantörer av IKT-tjänster göra en lämplig och proportionell bedömning av lämpligheten hos potentiella underleverantörer på grundval av de kontraktsmässiga arrangemang om IKT-tjänster som tredjepartsleverantören av IKT-tjänster har ingått med den finansiella entiteten. Enligt dessa kontraktsmässiga arrangemang avseende IKT-tjänster bör därför tredjepartsleverantören av IKT-tjänster eller den finansiella entiteten själv, beroende på vad som är lämpligt, vara skyldig att bedöma den potentiella underleverantörens resurser, inbegripet dess sakkunskap och om den har lämpliga ekonomiska, mänskliga och tekniska resurser, dess informationssäkerhet och organisationsstruktur, samt den riskhantering och de interna kontroller som underleverantören bör ha infört. |
|
(10) |
För att minska eventuella sårbarheter och hot som kan utgöra en risk för deras IKT-system och IKT-verksamhet bör finansiella entiteter kunna övervaka utförandet av IKT-tjänsten och informeras om alla relevanta förändringar inom IKT-underleverantörskedjan som rör kritiska eller viktiga funktioner. |
|
(11) |
För att göra det möjligt för finansiella entiteter att bedöma de risker som är förknippade med underentreprenadsavtal, eller väsentliga ändringar av dessa, bör tredjepartsleverantörer av IKT-tjänster informera finansiella entiteter som de tillhandahåller IKT-tjänster om alla nya avtal, eller ändringar av avtal, i god tid innan sådana avtal eller ändringar träder i kraft. Finansiella entiteter bör av samma skäl ha rätt att säga upp avtalet med tredjepartsleverantören av IKT-tjänster om deras riskbedömning visar att nya avtal eller väsentliga ändringar medför en risknivå som överstiger deras risktolerans. |
|
(12) |
De europeiska tillsynsmyndigheterna har genomfört öppna offentliga samråd om det förslag till tekniska tillsynsstandarder som denna förordning grundar sig på, analyserat de potentiella kostnaderna och fördelarna därav och begärt råd från de europeiska tillsynsmyndigheternas respektive intressentgrupper som inrättats i enlighet med artikel 37 i Europaparlamentets och rådets förordning (EU) nr 1093/2010 (2), artikel 37 i Europaparlamentets och rådets förordning (EU) nr 1094/2010 (3) och artikel 37 i Europaparlamentets och rådets förordning (EU) nr 1095/2010 (4). |
|
(13) |
Europeiska datatillsynsmannen har hörts i enlighet med artikel 42.1 i Europaparlamentets och rådets förordning (EU) 2018/1725 (5) och avgav ett yttrande den 20 augusti 2024. |
HÄRIGENOM FÖRESKRIVS FÖLJANDE.
Artikel 1
Allmän riskprofil och komplexitet
Finansiella entiteter ska ta hänsyn till sin storlek och övergripande riskprofil samt karaktären på, omfattningen av och inslagen av ökad eller minskad komplexitet i sina tjänster, sin verksamhet och sina insatser, inbegripet aspekter som rör följande:
|
a) |
Typen av IKT-tjänster som stöder kritiska eller viktiga funktioner som omfattas av det kontraktsmässiga arrangemanget mellan den finansiella entiteten och tredjepartsleverantören av IKT-tjänster. |
|
b) |
Typen av IKT-tjänster som omfattas av det kontraktsmässiga arrangemanget mellan tredjepartsleverantören av IKT-tjänster och dennes underleverantörer. |
|
c) |
Platsen för den IKT-underleverantör som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, eller för dess moderföretag. |
|
d) |
Längden och komplexiteten hos den kedja av underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, och som anlitas av tredjepartsleverantören av IKT-tjänster. |
|
e) |
Beskaffenheten hos de uppgifter som delas med IKT-underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav. |
|
f) |
Huruvida de IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, tillhandahålls av underleverantörer som är belägna i en medlemsstat eller i ett tredjeland, inbegripet den plats från vilken IKT-tjänsterna faktiskt tillhandahålls och den plats där uppgifterna i praktiken behandlas och lagras. |
|
g) |
Huruvida de IKT-underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, tillhör samma koncern som den finansiella entitet till vilken dessa tjänster tillhandahålls. |
|
h) |
Huruvida de IKT-underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, är auktoriserade, registrerade eller föremål för tillsyn eller övervakning av en behörig myndighet i en medlemsstat, eller omfattas av tillsynsramen enligt kapitel V avsnitt II i förordning (EU) 2022/2554. |
|
i) |
Huruvida de tredjepartsleverantörer av IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, är auktoriserade, registrerade eller föremål för tillsyn eller övervakning av en tillsynsmyndighet i ett tredjeland. |
|
j) |
Huruvida tillhandahållandet av IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, är koncentrerat till en enda underleverantör som anlitas av en tredjepartsleverantör av IKT-tjänster eller till ett litet antal sådana underleverantörer. |
|
k) |
Huruvida utläggning av IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, på underentreprenad skulle påverka möjligheten att överföra dessa IKT-tjänster till en annan tredjepartsleverantör av IKT-tjänster. |
|
l) |
Den potentiella inverkan av störningar på kontinuiteten och tillgången till de IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, som tillhandahålls av tredjepartsleverantören av IKT-tjänster när en underleverantör som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, anlitas. |
Artikel 2
Koncerntillämpning
Om denna förordning är tillämplig på undergrupps- eller gruppnivå ska det moderföretag som är ansvarigt för att upprätta koncernredovisning på undergrupps- eller gruppnivå säkerställa att villkoren för utläggning av IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, på underentreprenad, om sådan utläggning på underentreprenad är tillåten enligt de kontraktsmässiga arrangemangen avseende IKT-tjänster, konsekvent uppfylls av alla finansiella entiteter som ingår i koncernen och att de är tillräckliga för en effektiv tillämpning av denna förordning på alla relevanta nivåer.
Artikel 3
Due diligence-granskning och riskbedömning vid anlitande av underleverantörer som stöder kritiska eller viktiga funktioner
1. En finansiell entitet ska, innan den ingår ett kontraktsmässigt arrangemang med en tredjepartsleverantör av IKT-tjänster, besluta om denna tredjepartsleverantör av IKT-tjänster ska få lägga ut en IKT-tjänst som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, på underentreprenad. Den finansiella entiteten ska endast ingå ett sådant kontraktsmässigt arrangemang efter att ha fastställt att alla följande villkor är uppfyllda:
|
a) |
Due diligence-granskningen avseende tredjepartsleverantören av IKT-tjänster har säkerställt att denne kan välja och bedöma den operativa och finansiella förmågan hos potentiella IKT-underleverantörer att tillhandahålla IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, inbegripet genom att på den finansiella entitetens uppmaning delta i den testning av digital operativ motståndskraft som avses i kapitel IV i förordning (EU) 2022/2554. |
|
b) |
Tredjepartsleverantören av IKT-tjänster kan identifiera alla underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, underrätta den finansiella entiteten om dessa underleverantörer och ge den finansiella entiteten all information som kan vara nödvändig för att bedöma villkoren i denna artikel. |
|
c) |
Tredjepartsleverantören av IKT-tjänster säkerställer att de kontraktsmässiga arrangemangen med underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, gör det möjligt för den finansiella entiteten att fullgöra sina egna skyldigheter enligt förordning (EU) 2022/2554 samt tillämplig unionslagstiftning och nationell lagstiftning. |
|
d) |
Underleverantören ger den finansiella entiteten och behöriga myndigheter och resolutionsmyndigheter samma kontraktsenliga tillgångs- och inspektionsrättigheter som de som ges tredjepartsleverantören av IKT-tjänster. |
|
e) |
Utan att det påverkar den finansiella entitetens yttersta ansvar att fullgöra sina skyldigheter enligt lagar och andra författningar har tredjepartsleverantören av IKT-tjänster själv tillräcklig förmåga, sakkunskap och tillräckliga ekonomiska, mänskliga och tekniska resurser för att övervaka IKT-risker på underleverantörsnivå, inbegripet genom att tillämpa lämpliga standarder för informationssäkerhet och ha en lämplig organisationsstruktur, riskhantering och interna kontroller, liksom incidentrapportering och incidenthantering. |
|
f) |
Den finansiella entiteten har tillräcklig förmåga, sakkunskap och tillräckliga ekonomiska, mänskliga och tekniska resurser för att övervaka IKT-risker rörande den tjänst som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, som har lagts ut på underentreprenad, till exempel genom att tillämpa lämpliga standarder för informationssäkerhet och ha en lämplig organisationsstruktur och riskhantering, incidenthantering, kontinuitetshantering och interna kontroller. |
|
g) |
Den finansiella entiteten har bedömt vilken inverkan det kan få på dess digitala operativa motståndskraft och finansiella sundhet om en underleverantör som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, inte skulle kunna fullgöra sina skyldigheter. |
|
h) |
Den finansiella entiteten har bedömt de risker som är förknippade med platsen för de potentiella underleverantörerna vad gäller de IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, som tillhandahålls av tredjepartsleverantören av IKT-tjänster. |
|
i) |
Den finansiella entiteten har bedömt IKT-koncentrationsrisker på entitetsnivå i enlighet med artikel 29 i förordning (EU) 2022/2554. |
|
j) |
Den finansiella entiteten har gjort en bedömning av om det finns några hinder för behöriga myndigheter, resolutionsmyndigheter eller den finansiella entiteten, inbegripet av den finansiella entiteten utsedda personer, att utöva revisions-, inspektions- och åtkomsträttigheter. |
2. Finansiella entiteter som anlitar tredjepartsleverantörer av IKT-tjänster, vilka i sin tur lägger ut IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, på underentreprenad, ska regelbundet genomföra den riskbedömning som avses i punkt 1 f–j avseende tänkbara förändringar av verksamhetens förutsättningar, inbegripet förändringar i de affärsfunktioner som stöds av IKT-tjänsterna, i riskbedömningar som inbegriper IKT-hot, IKT-koncentrationsrisker och geopolitiska risker.
3. Resultaten av den riskbedömning som deras tredjepartsleverantörer av IKT-tjänster utför avseende sina underleverantörer när det gäller uppfyllandet av skyldigheterna i denna artikel ska inte begränsa det yttersta ansvaret hos finansiella entiteter att fullgöra sina skyldigheter enligt lagar och andra författningar i enlighet med förordning (EU) 2022/2554.
Artikel 4
Villkor för utläggning av IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, på underentreprenad
1. Det kontraktsmässiga arrangemang som ingås mellan den finansiella entiteten och tredjepartsleverantören av IKT-tjänster ska ange vilka IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, som får läggas ut på underentreprenad och på vilka villkor. I kontraktet ska följande anges:
|
a) |
Att tredjepartsleverantören av IKT-tjänster är ansvarig för de tjänster som tillhandahålls av underleverantörer. |
|
b) |
Att tredjepartsleverantören av IKT-tjänster är skyldig att övervaka alla IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, som har lagts ut på underentreprenad för att säkerställa att den hela tiden uppfyller sina skyldigheter enligt det kontraktsmässiga arrangemanget med den finansiella entiteten. |
|
c) |
Vilka övervaknings- och rapporteringsskyldigheter som tredjepartsleverantören av IKT-tjänster har i förhållande till den finansiella entiteten när det gäller underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav. |
|
d) |
Att tredjepartsleverantören av IKT-tjänster ska bedöma alla risker som är förknippade med platsen för nuvarande eller potentiella underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, med deras moderföretag och med den plats från vilken den berörda IKT-tjänsten tillhandahålls. |
|
e) |
I relevanta fall, platsen för de uppgifter som behandlas eller lagras av underleverantören. |
|
f) |
Att tredjepartsleverantören av IKT-tjänster i sina avtal med underleverantörer ska specificera underleverantörens övervaknings- och rapporteringsskyldigheter i förhållande till tredjepartsleverantören av IKT-tjänster och, om så avtalats, i förhållande till den finansiella entiteten. |
|
g) |
Att tredjepartsleverantören av IKT-tjänster ska säkerställa kontinuiteten för IKT-tjänster som stöder kritiska eller viktiga funktioner i hela underleverantörskedjan för det fall att en IKT-underleverantör inte uppfyller sina kontraktsenliga skyldigheter. |
|
h) |
Att kontraktsmässiga arrangemang mellan tredjepartsleverantören av IKT-tjänster och dess underleverantörer ska innehålla de krav på beredskapsplaner för verksamheten som avses i artikel 30.3 c i förordning (EU) 2022/2554 och närmare anger den servicenivå som IKT-underleverantörerna ska uppfylla med avseende på dessa planer. |
|
i) |
Att kontraktsmässiga arrangemang mellan tredjepartsleverantören av IKT-tjänster och dess underleverantörer närmare ska ange IKT-säkerhetsstandarder och alla andra säkerhetskrav som avses i artikel 30.3 c i förordning (EU) 2022/2554. |
|
j) |
Att underleverantören ska ge den finansiella entiteten och relevanta behöriga myndigheter och resolutionsmyndigheter samma åtkomst-, inspektions- och revisionsrättigheter som de som avses i artikel 30.3 e i förordning (EU) 2022/2554. |
|
k) |
Att tredjepartsleverantören av IKT-tjänster ska underrätta den finansiella entiteten om alla väsentliga ändringar av underentreprenadsavtal. |
|
l) |
Att den finansiella entiteten ska ha rätt att säga upp avtalet med tredjepartsleverantören av IKT-tjänster om villkoren i antingen artikel 6 i denna förordning eller artikel 28.7 i förordning (EU) 2022/2554 är uppfyllda. |
2. Ändringar av kontraktsmässiga arrangemang mellan den finansiella entiteten och tredjepartsleverantörer av IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, som är nödvändiga för att uppfylla kraven i denna förordning ska genomföras utan onödigt dröjsmål och så snart det är möjligt. Den finansiella entiteten ska dokumentera tidsplanen för genomförandet.
Artikel 5
Väsentliga ändringar av underentreprenadsavtal gällande IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav
1. Det kontraktsmässiga arrangemanget ska föreskriva att tredjepartsleverantören av IKT-tjänster i god tid ska informera den finansiella entiteten om alla planerade väsentliga ändringar av dess underentreprenadsavtal för att göra det möjligt för den finansiella entiteten att bedöma
|
a) |
effekten på de risker som den är, eller kan bli, exponerad för, |
|
b) |
huruvida sådana väsentliga ändringar kan påverka förmågan hos tredjepartsleverantören av IKT-tjänster att uppfylla sina kontraktsenliga skyldigheter gentemot den finansiella entiteten. |
2. I det kontraktsmässiga arrangemanget ska fastställas en rimlig svarsfrist inom vilken den finansiella entiteten ska godkänna eller invända mot ändringarna.
3. Tredjepartsleverantören av IKT-tjänster ska inte genomföra de väsentliga ändringarna av sina underentreprenadsavtal förrän den finansiella entiteten, före svarsfristens utgång, antingen har godkänt eller inte framfört invändningar mot ändringarna.
4. Om den finansiella entiteten anser att de väsentliga ändringar som avses i punkt 1 överstiger dess risktolerans ska den finansiella entiteten före svarsfristens utgång
|
a) |
informera tredjepartsleverantören av IKT-tjänster om detta, |
|
b) |
invända mot ändringarna och begära att de anpassas innan de genomförs. |
Artikel 6
Uppsägning av avtalet mellan den finansiella entiteten och tredjepartsleverantören av IKT-tjänster
Den finansiella entiteten ska ha rätt att i det kontraktsmässiga arrangemanget med tredjepartsleverantören av IKT-tjänster föreskriva att det kontraktsmässiga arrangemanget ska kunna sägas upp i vart och ett av följande fall:
|
a) |
Den finansiella entiteten har invänt mot väsentliga ändringar av underentreprenadsavtalet om IKT-tjänster som stöder kritiska eller viktiga funktioner och begärt att de ska anpassas, men tredjepartsleverantören av IKT-tjänster har likväl genomfört dessa väsentliga ändringar. |
|
b) |
Tredjepartsleverantören av IKT-tjänster har före svarsfristens utgång genomfört väsentliga ändringar av underentreprenadsavtal om IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, utan att den finansiella entitetens lämnat sitt godkännande. |
|
c) |
Tredjepartsleverantören av IKT-tjänster har lagt ut en IKT-tjänst som stöder en kritisk eller viktig funktion, eller väsentliga delar därav, på underentreprenad, trots att det inte uttryckligen anges i avtalet att denna tjänst får läggas ut på underentreprenad mellan den finansiella entiteten och tredjepartsleverantören av IKT-tjänster. |
Artikel 7
Ikraftträdande
Denna förordning träder i kraft den tjugonde dagen efter det att den har offentliggjorts i Europeiska unionens officiella tidning.
Denna förordning är till alla delar bindande och direkt tillämplig i alla medlemsstater.
Utfärdad i Bryssel den 24 mars 2025.
På kommissionens vägnar
Ursula VON DER LEYEN
Ordförande
(1) EUT L 333, 27.12.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
(2) Europaparlamentets och rådets förordning (EU) nr 1093/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska bankmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/78/EG (EUT L 331, 15.12.2010, s. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).
(3) Europaparlamentets och rådets förordning (EU) nr 1094/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska försäkrings- och tjänstepensionsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/79/EG (EUT L 331, 15.12.2010, s. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).
(4) Europaparlamentets och rådets förordning (EU) nr 1095/2010 av den 24 november 2010 om inrättande av en europeisk tillsynsmyndighet (Europeiska värdepappers- och marknadsmyndigheten), om ändring av beslut nr 716/2009/EG och om upphävande av kommissionens beslut 2009/77/EG (EUT L 331, 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
(5) Europaparlamentets och rådets förordning (EU) 2018/1725 av den 23 oktober 2018 om skydd för fysiska personer med avseende på behandling av personuppgifter som utförs av unionens institutioner, organ och byråer och om det fria flödet av sådana uppgifter samt om upphävande av förordning (EG) nr 45/2001 och beslut nr 1247/2002/EG (EUT L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
ELI: http://data.europa.eu/eli/reg_del/2025/532/oj
ISSN 1977-0820 (electronic edition)