Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011:artikel 30

Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011

Artikel 30 Belangrijke contractuele bepalingen

Geldend

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

1.

De rechten en plichten van de financiële entiteit en van de derde aanbieder van ICT-diensten worden duidelijk toegewezen en schriftelijk vastgesteld. Het volledige contract omvat de overeenkomsten inzake dienstverleningsniveau en wordt opgenomen in één schriftelijk document dat voor de partijen beschikbaar is op papier, of in een document met een ander, downloadbaar, duurzaam en toegankelijk formaat.

2.

De contractuele overeenkomsten inzake het gebruik van ICT-diensten bevatten ten minste de volgende elementen:

a)

een duidelijke en volledige beschrijving van alle door de derde aanbieder van ICT-diensten te leveren functies en ICT-diensten, met vermelding of het uitbesteden van een ICT-dienst die een kritieke of belangrijke functie ondersteunt, of van materiële onderdelen daarvan, is toegestaan en indien dit het geval is, welke voorwaarden op die uitbesteding van toepassing zijn;

b)

de locaties, met name de regio's of landen, waar de contractueel overeengekomen of uitbestede functies en ICT-diensten moeten worden geleverd en waar gegevens moeten worden verwerkt, met inbegrip van de opslaglocatie, en de verplichting voor de derde aanbieder van ICT-diensten om de financiële entiteit vooraf in kennis te stellen indien hij voornemens is van locatie te veranderen;

c)

bepalingen inzake beschikbaarheid, authenticiteit, integriteit en vertrouwelijkheid met betrekking tot de bescherming van gegevens, met inbegrip van persoonsgegevens;

d)

bepalingen inzake het waarborgen van de toegang, het herstel en de teruggave in een gemakkelijk toegankelijk formaat van door de financiële entiteit verwerkte persoonsgegevens en niet-persoonsgebonden gegevens in geval van insolventie, afwikkeling of stopzetting van de bedrijfsactiviteiten van de derde aanbieder van ICT-diensten, of in geval van beëindiging van de contractuele overeenkomsten;

e)

beschrijvingen van het dienstenniveau, met inbegrip van actualiseringen en herzieningen daarvan;

f)

de verplichting van de derde aanbieder van ICT-diensten om de financiële entiteit zonder extra kosten, of tegen een vooraf bepaalde kostprijs, bijstand te verlenen wanneer zich een incident voordoet dat verband houdt met de aan de financiële entiteit geleverde ICT-dienst;

g)

de verplichting van de derde aanbieder van ICT-diensten om volledige medewerking te verlenen aan de bevoegde autoriteiten en de afwikkelingsautoriteiten van de financiële entiteit, met inbegrip van de door hen aangestelde personen;

h)

beëindigingsrechten en de bijbehorende minimumopzegtermijnen voor de beëindiging van de contractuele overeenkomsten, in overeenstemming met de verwachtingen van de bevoegde autoriteiten en de afwikkelingsautoriteiten;

i)

de voorwaarden voor deelname van derde aanbieders van ICT-diensten aan bewustmakingsprogramma's op het gebied van ICT-beveiliging en opleidingen inzake digitale operationele weerbaarheid van de financiële entiteiten, overeenkomstig artikel 13, lid 6.

3.

De contractuele overeenkomsten inzake het gebruik van ICT-diensten die kritieke of belangrijke functies ondersteunen, omvatten, bovenop de in lid 2 genoemde elementen, ten minste het volgende:

a)

beschrijvingen van het niveau van volledige dienstverlening, met inbegrip van actualiseringen en herzieningen daarvan met nauwkeurige kwantitatieve en kwalitatieve prestatiedoelstellingen binnen de overeengekomen dienstverleningsniveaus, teneinde de financiële entiteit in staat te stellen een doeltreffende monitoring van de ICT-diensten te verrichten en onverwijld passende corrigerende maatregelen te nemen wanneer de overeengekomen dienstverleningsniveaus niet worden gehaald;

b)

kennisgevingstermijnen en rapportageverplichtingen van de derde aanbieder van ICT-diensten ten aanzien van de financiële entiteit, met inbegrip van de kennisgeving van ontwikkelingen die materiële gevolgen kunnen hebben voor het vermogen van de derde aanbieder om op doeltreffende wijze de ICT-diensten die kritieke of belangrijke functies ondersteunen te leveren in overeenstemming met de afgesproken dienstverleningsniveaus;

c)

verplichtingen voor de derde aanbieder van ICT-diensten om bedrijfsnoodplannen in te voeren en te testen en te beschikken over ICT-beveiligingsmaatregelen, -instrumenten en -beleidslijnen waarmee de financiële entiteit kan zorgen voor een passend niveau van veiligheid bij het verlenen van diensten in overeenstemming met haar regelgevingskader;

d)

de verplichting voor de derde aanbieder van ICT-diensten om deel te nemen aan en volledig mee te werken bij de TLPT van de financiële entiteit als bedoeld in de artikelen 26 en 27;

e)

het recht om de prestaties van de derde aanbieder van ICT-diensten permanent te monitoren, hetgeen het volgende inhoudt:

i)

onbeperkte rechten van toegang, inspectie en audit door de financiële entiteit of een daartoe aangestelde derde partij alsook door de bevoegde autoriteit, en het recht om ter plaatse kopieën van relevante documenten te maken indien deze cruciaal zijn voor de activiteiten van de derde aanbieder van ICT-diensten, waarbij de doeltreffende uitoefening van dit recht niet wordt belemmerd of beperkt door andere contractuele overeenkomsten of ander uitvoeringsbeleid;

ii)

het recht om andere garantieniveaus overeen te komen indien de rechten van andere cliënten worden aangetast;

iii)

de verplichting van de derde aanbieder van ICT-diensten om tijdens de door de bevoegde autoriteiten, de lead overseer, de financiële entiteit of een aangestelde derde partij ter plaatse uitgevoerde inspecties en audits volledig mee te werken, en

iv)

de verplichting om bijzonderheden te verschaffen over het toepassingsgebied, te volgen procedures en de frequentie van dergelijke inspecties en audits;

f)

exitstrategieën, met name de invoering van een verplichte passende overgangsperiode:

i)

waarin de derde aanbieder van ICT-diensten de levering van de respectieve functies of ICT-diensten zal blijven voortzetten, teneinde het risico op verstoring bij de financiële entiteit te beperken of voor een doeltreffende afwikkeling en herstructurering te zorgen;

ii)

waarin de financiële entiteit kan overstappen naar een andere derde aanbieder van ICT-diensten of naar interne oplossingen in overeenstemming met de complexiteit van de geleverde dienst.

In afwijking van punt e) kunnen de derde aanbieder van ICT-diensten en de financiële entiteit die een micro-onderneming is, overeenkomen dat de rechten van toegang, inspectie en audit van de financiële entiteit mogen worden gedelegeerd aan een onafhankelijke derde partij die wordt aangesteld door de derde aanbieder van ICT-diensten, en dat de financiële entiteit de derde partij te allen tijde om informatie en garanties kan verzoeken met betrekking tot de prestaties van de derde aanbieder van ICT-diensten.

4.

Bij onderhandelingen over contractuele overeenkomsten houden financiële entiteiten en derde aanbieders van ICT-diensten rekening met het gebruik van modelcontractbepalingen die door overheidsinstanties zijn ontwikkeld voor specifieke diensten.

5.

De ETA's stellen via het Gemengd Comité ontwerpen van technische reguleringsnormen op tot nadere bepaling van de in lid 2, punt a), genoemde elementen die een financiële entiteit nodig heeft om te kunnen bepalen en te beoordelen wanneer over te gaan tot uitbesteding van ICT-diensten die kritieke of belangrijke functies ondersteunen.

Bij het opstellen van die ontwerpen van technische reguleringsnormen houden de ETA's rekening met de omvang en het algehele risicoprofiel van de financiële entiteit, en met de aard, schaal en complexiteit van de diensten, activiteiten en verrichtingen ervan.

De ETA's leggen deze ontwerpen van technische reguleringsnormen uiterlijk op 17 juli 2024 voor aan de Commissie.

Aan de Commissie wordt de bevoegdheid gedelegeerd om deze verordening aan te vullen door de in de eerste alinea bedoelde technische reguleringsnormen vast te stellen overeenkomstig de artikelen 10 tot en met 14 van de Verordeningen (EU) nr. 1093/2010, (EU) nr. 1094/2010 en (EU) nr. 1095/2010.

Deze functie is alleen te gebruiken als je bent ingelogd.