Artikel 3 Sorgfaltspflicht und Risikobewertung in Bezug auf den Einsatz von Unterauftragnehmern, die kritische oder wichtige Funktionen unterstützen

Summary What does Article 3 of the RTS on subcontracting ICT services say?

This is a substantive pre-contractual gatekeeping article that places a clear obligation on financial entities to conduct a thorough assessment before permitting an ICT third-party service provider to subcontract services that support critical or important functions.

The article sets out a comprehensive list of conditions that must all be satisfied before a financial entity can enter into such a contractual arrangement.

These conditions cover the ICT third-party provider's own capacity to vet and monitor its subcontractors, the financial entity's own internal capabilities to oversee the subcontracting chain, and a series of risk assessments the financial entity itself must complete — covering concentration risk, geopolitical risk, subcontractor location, and potential barriers to audit and access.

Crucially, the article makes clear that this is not a one-time exercise; the relevant risk assessments must be carried out periodically.

It also explicitly closes any loophole whereby a financial entity might rely on an ICT provider's own risk assessments to discharge its own responsibilities.

Important points:

Carry out a full pre-contractual assessment against all prescribed conditions before allowing an ICT third-party service provider to subcontract services supporting critical or important functions.
Conduct the risk assessments covered in this article periodically, accounting for changes in the business environment, ICT threats, concentration risks, and geopolitical risks.
Relying on the risk assessments performed by ICT third-party service providers does not reduce your final responsibility to comply with your obligations under Regulation (EU) 2022/2554.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Bevor ein Finanzunternehmen eine vertragliche Vereinbarung mit einem IKT-Drittdienstleister schließt, muss es entscheiden, ob dieser IKT-Drittdienstleister eine IKT-Dienstleistung, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützt, an Unterauftragnehmer vergeben darf. Das Finanzunternehmen darf eine solche vertragliche Vereinbarung nur dann schließen, wenn es festgestellt hat, dass alle folgenden Bedingungen erfüllt sind:
  1. Durch die im Rahmen der Sorgfaltspflicht durchgeführten Verfahren in Bezug auf den IKT-Drittdienstleister wird sichergestellt, dass dieser in der Lage ist, potenzielle IKT-Unterauftragnehmer, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen oder wesentlicher Teile davon erbringen sollen, auszuwählen und deren operative und finanzielle Fähigkeiten zu beurteilen, auch indem er auf Verlangen des Finanzunternehmens an Tests der digitalen operationalen Resilienz gemäß Kapitel IV der Verordnung (EU) 2022/2554 teilnimmt;
  2. der IKT-Drittdienstleister ist in der Lage, alle Unterauftragnehmer, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen oder wesentlicher Teile davon erbringen, zu ermitteln, um das Finanzunternehmen über diese Unterauftragnehmer zu benachrichtigen und zu informieren, und ist in der Lage, dem Finanzunternehmen alle Informationen zur Verfügung zu stellen, die für die Bewertung der Bedingungen nach diesem Artikel erforderlich sein könnten;
  3. der IKT-Drittdienstleister stellt sicher, dass die vertraglichen Vereinbarungen mit den Unterauftragnehmern, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen oder wesentlicher Teile davon erbringen, es dem Finanzunternehmen ermöglichen, seine eigenen Verpflichtungen aus der Verordnung (EU) 2022/2554 und den geltenden Rechtsvorschriften der Union und der Mitgliedstaaten zu erfüllen;
  4. der Unterauftragnehmer räumt dem Finanzunternehmen und den zuständigen Behörden und Abwicklungsbehörden die gleichen vertraglichen Zugangs- und Inspektionsrechte wie der IKT-Drittdienstleister ein;
  5. unbeschadet der letztendlichen Verantwortung des Finanzunternehmens für die Einhaltung seiner rechtlichen und regulatorischen Pflichten verfügt der IKT-Drittdienstleister selbst über ausreichende Fähigkeiten, Fachkenntnisse und angemessene finanzielle, personelle und technische Ressourcen, um die IKT-Risiken auf der Ebene der Unterauftragnehmer zu überwachen, unter anderem durch die Anwendung geeigneter Informationssicherheitsstandards und durch die Einrichtung einer angemessenen Organisationsstruktur, eines entsprechenden Risikomanagements und interner Kontrollen sowie durch die Meldung von Vorfällen und die Reaktion darauf;
  6. das Finanzunternehmen verfügt über ausreichende Fähigkeiten, Fachkenntnisse und angemessene finanzielle, personelle und technische Ressourcen, um die IKT-Risiken im Zusammenhang mit der Dienstleistung zur Unterstützung kritischer oder wichtiger Funktionen oder wesentlicher Teile davon, die an Unterauftragnehmer vergeben wurde, zu überwachen, unter anderem durch die Anwendung geeigneter Informationssicherheitsstandards und durch die Einrichtung einer angemessenen Organisationsstruktur und eines angemessenen Risikomanagements sowie durch Reaktionsmaßnahmen bei Vorfällen, ein Geschäftsfortführungsmanagement und interne Kontrollen;
  7. das Finanzunternehmen hat die Auswirkungen eines möglichen Ausfalls eines Unterauftragnehmers, der IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen oder eines wesentlichen Teils davon erbringt, auf die digitale operationale Resilienz und die finanzielle Solidität des Finanzunternehmens bewertet;
  8. das Finanzunternehmen hat die Risiken bewertet, die mit dem Standort der potenziellen Unterauftragnehmer in Bezug auf die vom IKT-Drittdienstleister erbrachten IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen oder eines wesentlichen Teils davon verbunden sind;
  9. das Finanzunternehmen hat die IKT-Konzentrationsrisiken auf Unternehmensebene gemäß Artikel 29 der Verordnung (EU) 2022/2554 bewertet;
  10. das Finanzunternehmen hat geprüft, ob es Hindernisse für die Ausübung der Prüfungs-, Inspektions- und Zugangsrechte durch die zuständigen Behörden, die Abwicklungsbehörden oder das Finanzunternehmen, einschließlich der von ihnen benannten Personen, gibt.
1. Finanzunternehmen, die IKT-Drittdienstleister nutzen, welche IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen oder wesentlicher Teile davon an Unterauftragnehmer vergeben, führen regelmäßig die in Absatz 1 Buchstaben f bis j genannte Risikobewertung in Bezug auf mögliche Veränderungen in ihrem Geschäftsumfeld durch, auch mit Blick auf Veränderungen bei den unterstützten Geschäftsfunktionen, einschließlich Risikobewertungen der IKT-Bedrohungen, IKT-Konzentrationsrisiken und geopolitischen Risiken.
1. Der Rückgriff auf die Ergebnisse der Risikobewertung, die ihre IKT-Drittdienstleister für ihre Unterauftragnehmer im Hinblick auf die Erfüllung der in diesem Artikel festgelegten Pflichten durchgeführt haben, entbindet die Finanzunternehmen nicht von ihrer letztendlichen Verantwortung für die Erfüllung ihrer rechtlichen und regulatorischen Pflichten gemäß der Verordnung (EU) 2022/2554.

Relevant recitals

Erwägungsgrund 4 Clear and holistic view of risks associated with subcontracting

Auch wenn die Finanzunternehmen gemäß Artikel 30 Absatz 2 der Verordnung (EU) 2022/2554 die Nutzung von an Unterauftragnehmer vergebenen IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen durch IKT-Drittdienstleister gestatten, entbindet dies die Leitungsorgane der Finanzunternehmen nicht von ihrer letztendlichen Verantwortung für das Risikomanagement und die Einhaltung ihrer gesetzlichen und regulatorischen Pflichten. Ist die Untervergabe von IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, zulässig, ist es wichtig, dass Finanzunternehmen einen klaren und ganzheitlichen Überblick über die Risiken haben, die mit der Vergabe von Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen an Unterauftragnehmer verbunden sind, damit sie diese Risiken überwachen, steuern und mindern können. Daher sollten sie diese Risiken vor der Untervergabe dieser Dienstleistungen bewerten.

Erwägungsgrund 7 Life cycle and contractual provisions

Es ist wichtig, ein umfassendes Management der Risiken sicherzustellen, die entstehen können, wenn IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, an Unterauftragnehmer vergeben werden. Aus diesem Grund sollten Finanzunternehmen die einzelnen Phasen des Lebenszyklus einer vertraglichen Vereinbarung über die Nutzung von IKT-Dienstleistungen, die diese Funktionen unterstützen und von IKT-Drittdienstleistern erbracht werden, verfolgen, auch bei Unterauftragsvereinbarungen. Daher sind Anforderungen an Finanzunternehmen festzulegen, die in ihren vertraglichen Vereinbarungen mit IKT-Drittdienstleistern zum Ausdruck kommen sollten, wenn die Nutzung von IKT-Dienstleistungen, die an Unterauftragnehmer vergeben werden und kritische oder wichtige Funktionen unterstützen, zulässig ist.

Erwägungsgrund 8 Conditions throughout the life cycle

Um Risiken im Zusammenhang mit der Vergabe von Unteraufträgen zu mindern, müssen die Bedingungen festgelegt werden, unter denen IKT-Drittdienstleister Unterauftragnehmer für die Erbringung von IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, in Anspruch nehmen können. Zu diesem Zweck sollten in vertraglichen IKT-Vereinbarungen zwischen Finanzunternehmen und IKT-Drittdienstleistern entsprechende Bedingungen festgelegt werden, einschließlich der Planung von Unterauftragsvereinbarungen, der Risikobewertungen, der Sorgfaltspflicht und des Genehmigungsverfahrens für neue IKT-Unterauftragsvereinbarungen für IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen oder wesentlicher Teile davon. Gleiches gilt für wesentliche Änderungen an bestehenden Vereinbarungen, die vom IKT-Drittdienstleister vorgenommen werden.

Erwägungsgrund 9 Due diligence of subcontractors

Um Risiken zu ermitteln, die entstehen könnten, bevor ein Finanzunternehmen eine Vereinbarung mit einem IKT-Unterauftragnehmer schließt, sollten IKT-Drittdienstleister die Eignung potenzieller Unterauftragnehmer auf der Grundlage der vertraglichen IKT-Vereinbarungen, die der IKT-Drittdienstleister mit dem Finanzunternehmen geschlossen hat, angemessen und verhältnismäßig bewerten. Diese vertraglichen IKT-Vereinbarungen sollten daher vorschreiben, dass der IKT-Drittdienstleister oder gegebenenfalls das Finanzunternehmen direkt die Ressourcen des potenziellen Unterauftragnehmers bewertet, zum Beispiel seine Fachkenntnisse und die Frage, ob er über angemessene finanzielle, personelle und technische Ressourcen verfügt, seine Informationssicherheit und seine Organisationsstruktur, einschließlich des Risikomanagements und der internen Kontrollen, über die der Unterauftragnehmer verfügen sollte.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.