Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011:artikel 29

Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011

Artikel 29 Voorlopige beoordeling van het ICT-concentratierisico op het niveau van de entiteit

Geldend

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

1.

Bij het identificeren en beoordelen van de in artikel 28, lid 4, punt c), bedoelde risico's houden financiële entiteiten eveneens rekening met de vraag of de beoogde sluiting van een contractuele overeenkomst inzake ICT-diensten die kritieke of belangrijke functies ondersteunen, zou leiden tot een van de volgende situaties waarin:

a)

zij een contract sluiten met een derde aanbieder van ICT-diensten die niet gemakkelijk substitueerbaar is, of

b)

zij beschikken over meerdere contractuele overeenkomsten inzake de verlening van ICT-diensten die kritieke of belangrijke functies ondersteunen, met dezelfde derde aanbieder van ICT-diensten of met nauw verbonden derde aanbieders van ICT-diensten.

Financiële entiteiten wegen de baten en kosten af van alternatieve oplossingen, zoals het gebruik van verschillende derde aanbieders van ICT-diensten, rekening houdend met de vraag of en hoe de voorgenomen oplossingen aansluiten bij de zakelijke behoeften en doelstellingen waarin hun strategie inzake digitale weerbaarheid voorziet.

2.

Wanneer de contractuele overeenkomsten inzake het gebruik van ICT-diensten die kritieke of belangrijke functies ondersteunen de mogelijkheid inhouden dat een derde aanbieder ICT-diensten die een kritieke of belangrijke functie ondersteunen verder uitbesteedt aan andere derde aanbieders van ICT-diensten, wegen de financiële entiteiten de baten en risico's af die uit een dergelijke uitbesteding kunnen voortkomen, met name in het geval van een in een derde land gevestigde ICT-subcontractant.

Indien contractuele overeenkomsten ICT-diensten betreffen die kritieke of belangrijke functies ondersteunen, houden financiële entiteiten terdege rekening met bepalingen van insolventierecht die in geval van faillissement van de derde aanbieder van ICT-diensten van toepassing zouden zijn alsook met beperkingen die zich met betrekking tot het dringende herstel van de gegevens van de financiële entiteit zouden kunnen voordoen.

Indien contractuele overeenkomsten inzake het gebruik van ICT-diensten die kritieke of belangrijke functies ondersteunen met een in een derde land gevestigde derde aanbieder van ICT-diensten worden gesloten, houden financiële entiteiten, bovenop de in de tweede alinea bedoelde overwegingen, ook rekening met de naleving van de gegevensbeschermingsregels van de Unie en de doeltreffende handhaving van de wet in dat derde land.

Indien contractuele overeenkomsten inzake het gebruik van ICT-diensten die kritieke of belangrijke functies ondersteunen uitbesteding mogelijk maken, beoordelen financiële entiteiten of en hoe potentieel lange of complexe uitbestedingsketens van invloed kunnen zijn op hun vermogen om de contractueel overeengekomen functies volledig te monitoren en op het vermogen van de bevoegde autoriteit om in dat verband doeltreffend toezicht uit te oefenen op de financiële entiteit.

Deze functie is alleen te gebruiken als je bent ingelogd.