Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011:Artikel 31 Aanwijzing van kritieke derde aanbieders van ICT-diensten

Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011

Artikel 31 Aanwijzing van kritieke derde aanbieders van ICT-diensten

Geldend

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

1.

De ETA's zorgen via het Gemengd Comité en op aanbeveling van het overeenkomstig artikel 32, lid 1, opgerichte oversightforum voor het volgende:

a)

zij wijzen de derde aanbieders van ICT-diensten aan die cruciaal zijn voor financiële entiteiten, na een beoordeling die rekening houdt met de in lid 2 gespecificeerde criteria;

b)

zij stellen voor iedere kritieke derde aanbieder van ICT-diensten als lead overseer de ETA aan die overeenkomstig Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 of (EU) nr. 1095/2010 verantwoordelijk is voor de financiële entiteiten die samen over het grootste aandeel van de totale activa beschikken ten opzichte van de waarde van de totale activa van alle financiële entiteiten die gebruikmaken van de diensten van de betrokken kritieke derde aanbieder van ICT-diensten, zoals resulteert uit de som van de individuele balansen van die financiële entiteiten.

2.

De in lid 1, punt a), bedoelde aanwijzing is gebaseerd op alle volgende criteria met betrekking tot door de derde aanbieder van ICT-diensten geleverde ICT-diensten:

a)

de systemische effecten op de stabiliteit, continuïteit of kwaliteit van de verlening van financiële diensten ingeval de betrokken derde aanbieder van ICT-diensten te maken zou krijgen met een grootschalige operationele verstoring van de dienstverlening, rekening houdend met het aantal financiële entiteiten en de totale waarde van de activa van de financiële entiteiten waaraan de betrokken derde aanbieder ICT-diensten verleent;

b)

het systemische karakter of belang van de financiële entiteiten die afhankelijk zijn van de betrokken derde aanbieder van ICT-diensten, dat wordt beoordeeld aan de hand van de volgende criteria:

i)

het aantal mondiaal systeemrelevante instellingen (MSI's) of andere systeemrelevante instellingen (ASI's) die afhankelijk zijn van de respectieve derde aanbieder van ICT-diensten;

ii)

de onderlinge afhankelijkheid tussen de MSI's of ASI's als bedoeld in punt i) en andere financiële entiteiten, met inbegrip van situaties waarin de MSI's of ASI's diensten op het gebied van financiële infrastructuur verlenen aan andere financiële entiteiten;

c)

de afhankelijkheid van financiële entiteiten ten aanzien van de diensten die door de betrokken derde aanbieder van ICT-diensten worden verleend met betrekking tot kritieke of belangrijke functies van financiële entiteiten waarbij uiteindelijk dezelfde derde aanbieder van ICT-diensten betrokken is, ongeacht of financiële entiteiten direct of indirect via uitbestedingsregelingen van die diensten afhankelijk zijn;

d)

de graad van substitueerbaarheid van de derde aanbieder van ICT-diensten, rekening houdend met de volgende parameters:

i)

het ontbreken van reële, zelfs gedeeltelijke, alternatieven als gevolg van het beperkte aantal derde aanbieders van ICT-diensten die actief zijn op een specifieke markt, of het marktaandeel van de betrokken derde aanbieder van ICT-diensten, of de technische complexiteit of geavanceerdheid die in het geding is, onder meer met betrekking tot eigendomstechnologie, of de specifieke kenmerken van de organisatie of activiteit van de derde aanbieder van ICT-diensten;

ii)

moeilijkheden in verband met het geheel of gedeeltelijk migreren van de relevante gegevens en werklast van de desbetreffende derde aanbieder van ICT-diensten naar een andere derde aanbieder van ICT-diensten, hetzij ten gevolge van hoge financiële kosten, de tijd of andere middelen die het migratieproces kan meebrengen, of een hoger ICT-risico of andere operationele risico's waaraan de financiële entiteit kan worden blootgesteld door een dergelijke migratie.

3.

Indien de derde aanbieder van ICT-diensten tot een groep behoort, wordt met de in lid 2 bedoelde criteria rekening gehouden met betrekking tot de ICT-diensten die door de groep als geheel worden verleend.

4.

Kritieke derde aanbieders van ICT-diensten die deel uitmaken van een groep wijzen één rechtspersoon als coördinatiepunt aan teneinde passende vertegenwoordiging en communicatie met de lead overseer te waarborgen.

5.

De lead overseer stelt de derde aanbieder van ICT-diensten in kennis van het resultaat van de beoordeling die tot de in lid 1, punt a), bedoelde aanwijzing heeft geleid. Binnen zes weken na datum van de kennisgeving kan de derde aanbieder van ICT-diensten bij de lead overseer een met redenen omklede verklaring met relevante informatie ten behoeve van de beoordeling indienen. De lead overseer neemt de met redenen omklede verklaring in overweging en kan binnen 30 kalenderdagen na de ontvangst van dergelijke verklaring om aanvullende informatie verzoeken.

Nadat een derde aanbieder van ICT-diensten als cruciaal is aangewezen, stellen de ETA's de derde aanbieder van ICT-diensten via het Gemengd Comité in kennis van die aanwijzing alsook van de aanvangsdatum vanaf wanneer zij daadwerkelijk aan oversightactiviteiten zullen worden onderworpen. De aanvangsdatum valt niet later dan één maand na de kennisgeving. De derde aanbieder van ICT-diensten stelt de financiële entiteiten waaraan hij diensten verleent in kennis van zijn aanwijzing als cruciaal.

6.

De Commissie is bevoegd om overeenkomstig artikel 57 een gedelegeerde handeling in aanvulling op deze verordening vast te stellen waarin de in lid 2 van dit artikel genoemde criteria verder worden gespecificeerd, en dit uiterlijk op 17 juli 2024.

7.

De in lid 1, punt a), bedoelde aanwijzing wordt niet gebruikt totdat de Commissie een gedelegeerde handeling overeenkomstig lid 6 heeft vastgesteld.

8.

De in lid 1, punt a), bedoelde aanwijzing is niet van toepassing op:

i)

financiële entiteiten die ICT-diensten verlenen aan andere financiële entiteiten;

ii)

derde aanbieders van ICT-diensten die onderworpen zijn aan oversightkaders die zijn vastgesteld ter ondersteuning van de in artikel 127, lid 2, van het Verdrag betreffende de werking van de Europese Unie bedoelde taken;

iii)

aanbieders van ICT-diensten binnen een groep;

iv)

derde aanbieders van ICT-diensten die uitsluitend in één lidstaat ICT-diensten verlenen aan financiële entiteiten die alleen in die lidstaat actief zijn.

9.

Jaarlijks stellen de ETA's via het Gemengd Comité de lijst op van kritieke derde aanbieders van ICT-diensten op het niveau van de Unie, en publiceren en actualiseren zij deze lijst.

10.

Voor de toepassing van lid 1, punt a), zenden de bevoegde autoriteiten de in artikel 28, lid 3, derde alinea, bedoelde verslagen jaarlijks en op geaggregeerde basis toe aan het overeenkomstig artikel 32 opgerichte toezichtforum. Het oversightforum beoordeelt de afhankelijkheden van financiële entiteiten ten aanzien van derde aanbieders van ICT-diensten op basis van de informatie die het van de bevoegde autoriteiten ontvangt.

11.

De derde aanbieders van ICT-diensten die niet in de lid 9 bedoelde lijst zijn opgenomen, kunnen verzoeken om als cruciaal te worden aangewezen, overeenkomstig lid 1, punt a).

Voor de toepassing van de eerste alinea dient de derde aanbieder van ICT-diensten een met redenen omkleed verzoek in bij de EBA, de ESMA of de Eiopa, die via het Gemengd Comité besluit die derde aanbieder van ICT-diensten al dan niet als cruciaal aan te wijzen, overeenkomstig lid 1, punt a).

Het in de tweede alinea bedoelde besluit wordt binnen zes maanden na ontvangst van het verzoek vastgesteld en ter kennis gebracht van de derde aanbieder van ICT-diensten.

12.

Financiële entiteiten maken alleen gebruik van de diensten van een in een derde land gevestigde derde aanbieder van ICT-diensten die overeenkomstig lid 1, punt a), als cruciaal is aangewezen indien deze laatste binnen de twaalf maanden na de aanwijzing een dochteronderneming in de Unie heeft gevestigd.

13.

De in lid 12 bedoelde kritieke derde aanbieder van ICT-diensten stelt de lead overseer in kennis van alle wijzigingen in de beheersstructuur van de in de Unie gevestigde dochteronderneming.

Deze functie is alleen te gebruiken als je bent ingelogd.