Source: OJ L, 2025/532, 2.7.2025Current language: DE
- Digital operational resilience in the financial sector
ICT third-party service providers
- RTS on subcontracting ICT services
Artikel 1 Gesamtrisikoprofil und Komplexität
Summary What does Article 1 of the RTS on subcontracting ICT services say?
This opening article establishes the foundational principle that financial entities must take their own size, risk profile, and operational complexity into account when applying the rules of this regulation.
It then sets out an extensive list of factors to be considered, all centred on the subcontracting arrangements of ICT third-party service providers.
The factors span the nature of the subcontracted services, geographic location of subcontractors, the depth of the subcontracting chain, data sharing, supervisory status of subcontractors, concentration risks, and the potential impact of disruptions.
This article effectively sets the parameters for how financial entities should calibrate their approach to ICT subcontracting risk throughout the rest of the regulation.
Important points:
- Take into account your own size, risk profile, and operational complexity when assessing ICT subcontracting arrangements supporting critical or important functions.
- The factors to consider extend deep into the supply chain, covering the location, regulatory status, and concentration of subcontractors, including those in third countries.
- Assess whether subcontracting arrangements could affect the transferability of ICT services or the continuity of critical or important functions in the event of a disruption.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Finanzunternehmen berücksichtigen ihre Größe und ihr Gesamtrisikoprofil sowie die Art, den Umfang und die Aspekte erhöhter oder verringerter Komplexität ihrer Dienstleistungen, Tätigkeiten und Geschäfte, einschließlich der Aspekte, die sich auf Folgendes beziehen:
die Art der IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die unter die vertragliche Vereinbarung zwischen dem Finanzunternehmen und dem IKT-Drittdienstleister fallen;
die Art der IKT-Dienstleistungen, die unter die vertragliche Vereinbarung zwischen dem IKT-Drittdienstleister und seinen Unterauftragnehmern fallen;
den Standort des IKT-Unterauftragnehmers, der IKT-Dienstleistungen erbringt, die kritische oder wichtige Funktionen oder einen wesentlichen Teil davon unterstützen, oder den Standort seines Mutterunternehmens;
die Länge und Komplexität der vom IKT-Drittdienstleister genutzten Kette von Unterauftragnehmern, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen oder wesentlicher Teile davon erbringen;
die Art der Daten, die an IKT-Unterauftragnehmer weitergegeben werden, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen oder wesentlicher Teile davon erbringen;
die Frage, ob die IKT-Dienstleistungen, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen, von Unterauftragnehmern erbracht werden, die ihren Sitz in einem Mitgliedstaat oder in einem Drittland haben, einschließlich des Standorts, von dem aus die IKT-Dienstleistungen tatsächlich erbracht werden, und des Standorts, an dem die Daten tatsächlich verarbeitet und gespeichert werden;
die Frage, ob die IKT-Unterauftragnehmer, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen oder wesentlicher Teile davon erbringen, derselben Gruppe angehören wie das Finanzunternehmen, für das diese Dienstleistungen erbracht werden;
die Frage, ob die IKT-Unterauftragnehmer, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen oder wesentlicher Teile davon erbringen, einer Zulassung, einer Registrierung oder der Beaufsichtigung oder Überwachung durch eine zuständige Behörde in einem Mitgliedstaat oder dem Überwachungsrahmen nach Kapitel V Abschnitt II der Verordnung (EU) 2022/2554 unterliegen;
die Frage, ob die IKT-Drittdienstleister, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen, einer Zulassung, einer Registrierung oder der Beaufsichtigung oder Überwachung durch eine Aufsichtsbehörde in einem Drittstaat unterliegen;
die Frage, ob sich die Erbringung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen oder wesentlicher Teile davon auf einen einzigen Unterauftragnehmer eines IKT-Drittdienstleisters oder eine kleine Zahl solcher Unterauftragnehmer konzentriert;
die Frage, ob sich die Vergabe von Unteraufträgen für IKT-Dienstleistungen, die kritische oder wichtige Funktionen oder wesentliche Teile unterstützen, auf die Übertragbarkeit dieser IKT-Dienstleistungen auf einen anderen IKT-Drittdienstleister auswirken würde;
die potenzielle Auswirkung von Störungen auf die Kontinuität und Verfügbarkeit der IKT-Dienstleistungen, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen und vom IKT-Drittdienstleister erbracht werden, wenn ein Unterauftragnehmer eingesetzt wird, der IKT-Dienstleistungen erbringt, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen.
Relevant recitals
Erwägungsgrund 1 Importance of indentifying the overall chain of subcontractors
Die Erbringung von IKT-Dienstleistungen für Finanzunternehmen hängt häufig von einer komplexen Kette von IKT-Unterauftragnehmern ab, wobei IKT-Drittdienstleister eine oder mehrere Unterauftragsvereinbarungen mit anderen IKT-Drittdienstleistern schließen können. Die indirekte Abhängigkeit von IKT-Unterauftragnehmern kann die Fähigkeit eines Finanzunternehmens beeinträchtigen, seine Risiken zu ermitteln, zu bewerten und zu steuern, einschließlich Risiken in Verbindung mit lückenhaften Informationen von IKT-Drittdienstleistern sowie mit der begrenzten Möglichkeit eines Finanzunternehmens, Informationen von IKT-Unterauftragnehmern zu erhalten, die IKT-Dienstleistungen erbringen, welche kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen. In diesem Zusammenhang ist es in Fällen, in denen die Erbringung von IKT-Dienstleistungen für Finanzunternehmen von einer potenziell langen oder komplexen Kette von IKT-Unterauftragnehmern abhängt, von wesentlicher Bedeutung, dass Finanzunternehmen die Gesamtkette der Unterauftragnehmer ermitteln, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen erbringen.
Erwägungsgrund 2 Focus on subcontractors that effectively underpin ICT services
Von den Unterauftragnehmern, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen erbringen, sollten sich Finanzunternehmen insbesondere und kontinuierlich auf diejenigen Unterauftragnehmer konzentrieren, die die IKT-Dienstleistung zur Unterstützung kritischer oder wichtiger Funktionen sicherstellen, einschließlich aller Unterauftragnehmer, die IKT-Dienstleistungen erbringen, deren Störung die Sicherheit oder Kontinuität der Dienstleistung beeinträchtigen würde, wie im Informationsregister gemäß Artikel 28 Absatz 3 der Verordnung (EU) 2022/2554 festgelegt.
Erwägungsgrund 3 Principle of proportionality
Finanzunternehmen unterscheiden sich in Bezug auf Größe, Struktur, interne Organisation sowie Art und Komplexität ihrer Tätigkeiten erheblich. Um die Verhältnismäßigkeit sicherzustellen, sollten diese Unterschiede berücksichtigt werden, wenn festgelegt wird, welche Aspekte ein Finanzunternehmen bei der Untervergabe von IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, bestimmen und bewerten sollte.
Erwägungsgrund 4 Clear and holistic view of risks associated with subcontracting
Auch wenn die Finanzunternehmen gemäß Artikel 30 Absatz 2 der Verordnung (EU) 2022/2554 die Nutzung von an Unterauftragnehmer vergebenen IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen durch IKT-Drittdienstleister gestatten, entbindet dies die Leitungsorgane der Finanzunternehmen nicht von ihrer letztendlichen Verantwortung für das Risikomanagement und die Einhaltung ihrer gesetzlichen und regulatorischen Pflichten. Ist die Untervergabe von IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, zulässig, ist es wichtig, dass Finanzunternehmen einen klaren und ganzheitlichen Überblick über die Risiken haben, die mit der Vergabe von Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen an Unterauftragnehmer verbunden sind, damit sie diese Risiken überwachen, steuern und mindern können. Daher sollten sie diese Risiken vor der Untervergabe dieser Dienstleistungen bewerten.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
kritische oder wichtige Funktion
(En. critical or important function)
Definition
Gruppe
(En. group)
Definition
Leitungsorgan
(En. management body)
Definition
IKT-Drittdienstleister
(En. ICT third-party service provider)
Definition
Mutterunternehmen
(En. parent undertaking)
Definition
IKT-Dienstleistungen
(En. ICT services)