Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011:Artikel 28 Algemene beginselen

Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011

Artikel 28 Algemene beginselen

Geldend

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

1.

Financiële entiteiten beheren het ICT-risico van derde aanbieders als integrerend onderdeel van het ICT-risico binnen hun kader voor ICT-risicobeheer als bedoeld in artikel 6, lid 1, en in overeenstemming met de volgende beginselen:

a)

financiële entiteiten die contractuele overeenkomsten voor het gebruik van ICT-diensten voor hun bedrijfsactiviteiten hebben getroffen, blijven te allen tijde volledig verantwoordelijk voor de naleving en de verantwoording van alle verplichtingen uit hoofde van deze verordening en het toepasselijke recht inzake financiële diensten;

b)

het beheer van het ICT-risico van derde aanbieders door financiële entiteiten wordt uitgevoerd aan de hand van het evenredigheidsbeginsel, rekening houdend met:

i)

de aard, de schaal, de complexiteit en het belang van ICT-gerelateerde afhankelijkheden,

ii)

de risico's die voortvloeien uit contractuele overeenkomsten met derde aanbieders inzake het gebruik van ICT-diensten, rekening houdend met het kritieke karakter of het belang van de respectieve diensten, processen of functies en met de potentiële gevolgen voor de continuïteit en de beschikbaarheid van financiële diensten en activiteiten, op individueel en groepsniveau.

2.

Als onderdeel van hun kader voor ICT-risicobeheer stellen financiële entiteiten die geen entiteiten zijn in de zin van artikel 16, lid 1, eerste alinea, en geen micro-ondernemingen zijn, een strategie inzake ICT-risico van derde aanbieders vast en herzien zij deze regelmatig, rekening houdend met de in artikel 6, lid 9, bedoelde multi-vendorstrategie, indien van toepassing. De strategie inzake ICT-risico van derde aanbieders omvat een beleid inzake het gebruik van door derde aanbieders verleende ICT-diensten die kritieke of belangrijke functies ondersteunen en is van toepassing op individuele basis en, in voorkomend geval, op gesubconsolideerde en geconsolideerde basis. Op basis van een beoordeling van het algehele risicoprofiel van de financiële entiteit en de schaal en complexiteit van de zakelijke diensten, evalueert het leidinggevend orgaan regelmatig de vastgestelde risico's met betrekking tot de contractuele overeenkomsten inzake het gebruik van ICT-diensten die kritieke of belangrijke functies ondersteunen.

3.

Als onderdeel van hun kader voor ICT-risicobeheer handhaven en actualiseren financiële entiteiten op het niveau van de entiteit en op gesubconsolideerd en geconsolideerd niveau een informatieregister met betrekking tot alle contractuele overeenkomsten over het gebruik van door derde aanbieders verleende ICT-diensten.

De in de eerste alinea bedoelde contractuele overeenkomsten worden naar behoren gedocumenteerd, met een onderscheid tussen die welke van toepassing zijn op ICT-diensten ter ondersteuning van kritieke of belangrijke functies en die welke daarop niet van toepassing zijn.

Financiële entiteiten rapporteren ten minste jaarlijks aan de bevoegde autoriteiten over het aantal nieuwe overeenkomsten inzake het gebruik van ICT-diensten, de categorieën van derde aanbieders van ICT-diensten, het soort contractuele overeenkomsten en de ICT-diensten en -functies die worden geleverd.

Financiële entiteiten stellen de bevoegde autoriteit op verzoek het volledige informatieregister of desgevraagd specifieke onderdelen daarvan ter beschikking, samen met alle informatie die noodzakelijk wordt geacht om doeltreffend toezicht op de financiële entiteit mogelijk te maken.

Financiële entiteiten stellen de bevoegde autoriteit tijdig in kennis van geplande contractuele overeenkomsten inzake het gebruik van ICT-diensten die kritieke of belangrijke functies ondersteunen en van het feit dat een functie cruciaal of belangrijk is geworden.

4.

Vóór het sluiten van een contractuele overeenkomst inzake het gebruik van ICT-diensten:

a)

beoordelen financiële entiteiten of de contractuele overeenkomst betrekking heeft op het gebruik van ICT-diensten die een kritieke of belangrijke functie ondersteunen;

b)

beoordelen zij of aan de toezichtvoorwaarden voor het sluiten van het contract is voldaan;

c)

identificeren en beoordelen zij alle relevante risico's met betrekking tot de contractuele overeenkomst, met inbegrip van de mogelijkheid dat deze contractuele overeenkomst kan leiden tot een versterking van het ICT-concentratierisico als bedoeld in artikel 29;

d)

verrichten zij due-diligenceonderzoeken over toekomstige derde aanbieders van ICT-diensten en waarborgen zij gedurende de gehele selectie- en beoordelingsprocedure dat de derde aanbieder van ICT-diensten geschikt is;

e)

identificeren en beoordelen zij belangenconflicten die kunnen voortkomen uit de contractuele overeenkomst.

5.

Financiële entiteiten mogen alleen contractuele overeenkomsten sluiten met derde aanbieders van ICT-diensten die voldoen aan passende normen op het gebied van informatiebeveiliging. Wanneer die contractuele overeenkomsten kritieke of belangrijke functies betreffen, letten financiële entiteiten er vóór het sluiten van de overeenkomsten op dat derde aanbieders van ICT-diensten gebruikmaken van de meest actuele en hoogste normen voor informatiebeveiliging.

6.

Bij het uitoefenen van toegangs-, inspectie- en auditrechten ten aanzien van de derde aanbieder van ICT-diensten bepalen financiële entiteiten op basis van een risicogebaseerde benadering vooraf de frequentie van de audits en inspecties alsook de te controleren gebieden, door algemeen aanvaarde auditnormen in acht te nemen in overeenstemming met de instructies van de toezichthouder inzake het gebruik en de integratie van deze auditnormen.

Indien met derde aanbieders van ICT-diensten afgesloten contractuele overeenkomsten inzake het gebruik van ICT-diensten een hoog niveau van technische complexiteit inhouden, verifieert de financiële entiteit dat interne of externe auditors, of een pool van auditors, over passende vaardigheden en kennis beschikken om de desbetreffende audits en beoordelingen doeltreffend uit te voeren.

7.

Financiële entiteiten zorgen ervoor dat contractuele overeenkomsten inzake het gebruik van ICT-diensten in elk van de volgende omstandigheden kunnen worden beëindigd:

a)

bij ernstige overtreding van de toepasselijke wetten, voorschriften of contractuele voorwaarden door de derde aanbieder van ICT-diensten;

b)

in omstandigheden die in de loop van de monitoring van het ICT-risico van derde aanbieders worden vastgesteld, waarvan wordt aangenomen dat deze wijzigingen kunnen brengen in de uitvoering van de functies waarin de contractuele overeenkomst voorziet, met inbegrip van materiële wijzigingen die de overeenkomst of de situatie van de derde aanbieder van ICT-diensten nadelig beïnvloeden;

c)

bij klaarblijkelijke zwakheden van de derde aanbieder van ICT-diensten in verband met zijn algemeen beheer van het ICT-risico en in het bijzonder met de manier waarop hij zorgt voor de beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid van persoonlijke of anderszins gevoelige gegevens of niet-persoonsgebonden gegevens;

d)

indien de bevoegde autoriteit niet langer doeltreffend toezicht kan uitoefenen op de financiële entiteit ten gevolge van de voorwaarden van of de omstandigheden in verband met de respectieve contractuele overeenkomst.

8.

Voor ICT-diensten die kritieke of belangrijke functies ondersteunen, voeren financiële entiteiten exitstrategieën in. In de exitstrategieën wordt rekening gehouden met risico's die zich op het niveau van derde aanbieders van ICT-diensten kunnen voordoen, met name een mogelijk falen van deze aanbieders, een verslechtering van de kwaliteit van de geleverde ICT-diensten, verstoring van de bedrijfsactiviteiten ten gevolge van ongeschikte of falende dienstverlening van ICT-diensten of materiële risico's in verband met de passende en permanente inzet van de respectieve ICT-dienst, of de beëindiging van contractuele overeenkomsten met derde aanbieders van ICT-diensten onder een van de in lid 7 bedoelde omstandigheden.

Financiële entiteiten zorgen ervoor dat zij de mogelijkheid hebben om contractuele overeenkomsten te beëindigen:

a)

zonder verstoring van hun bedrijfsactiviteiten,

b)

zonder dat de naleving van de regelgevingsvereisten wordt beperkt,

c)

zonder dat afbreuk wordt gedaan aan de continuïteit en de kwaliteit van aan cliënten geleverde diensten.

Exitplannen zijn alomvattend en gedocumenteerd en worden overeenkomstig de in artikel 4, lid 2, genoemde criteria voldoende getest en regelmatig geëvalueerd.

Financiële entiteiten reiken alternatieve oplossingen aan en ontwikkelen overgangsplannen die hen in staat stellen contractueel overeengekomen ICT-diensten en de desbetreffende gegevens van de derde aanbieder van ICT-diensten te verwijderen en deze veilig en integraal over te dragen aan alternatieve aanbieders of deze opnieuw in het eigen bedrijf te integreren.

Financiële entiteiten beschikken over passende noodmaatregelen om de bedrijfscontinuïteit te handhaven indien omstandigheden als bedoeld in de eerste alinea zich voordoen.

9.

De ETA's ontwikkelen via het Gemengd Comité ontwerpen van technische uitvoeringsnormen voor de vaststelling van standaardmodellen ten behoeve van het in lid 3 bedoelde informatieregister, waarin informatie wordt opgenomen inzake het gebruik van ICT-diensten die voor alle contractuele overeenkomsten van toepassing is. De ETA's leggen deze ontwerpen van technische uitvoeringsnormen uiterlijk op 17 januari 2024 voor aan de Commissie.

Aan de Commissie wordt de bevoegdheid verleend om de in de eerste alinea bedoelde technische uitvoeringsnormen vast te stellen overeenkomstig artikel 15 van de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 en (EU) nr. 1095/2010.

10.

De ETA's ontwikkelen via het Gemengd Comité ontwerpen van technische reguleringsnormen tot nadere bepaling van de gedetailleerde inhoud van het in lid 2 bedoelde beleid met betrekking tot de contractuele overeenkomsten inzake het gebruik van door derde aanbieders verleende ICT-diensten die kritieke of belangrijke functies ondersteunen.

Bij het ontwikkelen van die ontwerpen van technische reguleringsnormen houden de ETA's rekening met de omvang en het algehele risicoprofiel van de financiële entiteit en met de aard, schaal en complexiteit van de diensten, activiteiten en verrichtingen ervan. De ETA's leggen deze ontwerpen van technische reguleringsnormen uiterlijk op 17 januari 2024 voor aan de Commissie.

Aan de Commissie wordt de bevoegdheid gedelegeerd om deze verordening aan te vullen door de in de eerste alinea bedoelde technische reguleringsnormen vast te stellen overeenkomstig de artikelen 10 tot en met 14 van de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 en (EU) nr. 1095/2010.

Deze functie is alleen te gebruiken als je bent ingelogd.