Source: OJ L, 2025/532, 2.7.2025Current language: DE
- Digital operational resilience in the financial sector
ICT third-party service providers
- RTS on subcontracting ICT services
Artikel 5 Wesentliche Änderungen an Unterauftragsvereinbarungen über IKT-Dienstleistungen, die kritische oder wichtige Funktionen oder wesentliche Teile davon unterstützen
Summary What does Article 5 of the RTS on subcontracting ICT services say?
This article establishes the notification and approval process that must govern any material changes an ICT third-party service provider intends to make to its subcontracting arrangements.
It builds directly on Article 4, which sets out the required content of contractual arrangements, by specifying how changes to those arrangements must be handled in practice.
The core logic is that financial entities must be given sufficient advance notice of changes to assess the associated risks and decide whether to approve or object, and that providers cannot act unilaterally before that process is concluded.
Important points:
- Ensure your contractual arrangements with ICT third-party service providers include a reasonable notice period for material subcontracting changes, along with your right to approve or object to them.
- ICT third-party service providers are required to hold off implementing any material changes until the financial entity has approved or the notice period has elapsed without objection.
- Where material changes exceed your risk tolerance, formally object and request modifications before the notice period expires.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Die vertragliche Vereinbarung sieht vor, dass der IKT-Drittdienstleister das Finanzunternehmen rechtzeitig über alle beabsichtigten wesentlichen Änderungen seiner Unterauftragsvereinbarungen informiert, damit das Finanzunternehmen Folgendes bewerten kann:
die Auswirkung auf die Risiken, denen er ausgesetzt ist oder ausgesetzt sein könnte;
ob solche wesentlichen Änderungen die Fähigkeit des IKT-Drittdienstleisters beeinträchtigen könnten, seinen vertraglichen Verpflichtungen gegenüber dem Finanzunternehmen nachzukommen.
Die vertragliche Vereinbarung muss eine angemessene Mitteilungsfrist enthalten, in der das Finanzunternehmen den Änderungen zustimmen oder sie ablehnen kann.
Der IKT-Drittdienstleister setzt die wesentlichen Änderungen seiner Unterauftragsvereinbarungen erst dann um, wenn das Finanzunternehmen die Änderungen bis zum Ablauf der Mitteilungsfrist entweder genehmigt oder sie nicht abgelehnt hat.
Ist das Finanzunternehmen der Auffassung, dass die in Absatz 1 genannten wesentlichen Änderungen die Risikotoleranz des Finanzunternehmens überschreiten, so muss es vor Ablauf der Mitteilungsfrist
den IKT-Drittdienstleister davon in Kenntnis setzen;
die Änderungen ablehnen und vor deren Umsetzung Anpassungen verlangen.
Relevant recitals
Erwägungsgrund 8 Conditions throughout the life cycle
Um Risiken im Zusammenhang mit der Vergabe von Unteraufträgen zu mindern, müssen die Bedingungen festgelegt werden, unter denen IKT-Drittdienstleister Unterauftragnehmer für die Erbringung von IKT-Dienstleistungen, die kritische oder wichtige Funktionen unterstützen, in Anspruch nehmen können. Zu diesem Zweck sollten in vertraglichen IKT-Vereinbarungen zwischen Finanzunternehmen und IKT-Drittdienstleistern entsprechende Bedingungen festgelegt werden, einschließlich der Planung von Unterauftragsvereinbarungen, der Risikobewertungen, der Sorgfaltspflicht und des Genehmigungsverfahrens für neue IKT-Unterauftragsvereinbarungen für IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen oder wesentlicher Teile davon. Gleiches gilt für wesentliche Änderungen an bestehenden Vereinbarungen, die vom IKT-Drittdienstleister vorgenommen werden.
Erwägungsgrund 10 Monitoring of subcontractors and notifications of changes
Um Schwachstellen und Bedrohungen, die Risiken für ihre IKT-Systeme und -Vorgänge darstellen können, zu mindern, sollten Finanzunternehmen in der Lage sein, die Leistung der IKT-Dienstleistung zu überwachen und über alle relevanten Änderungen innerhalb ihrer IKT-Unterauftragskette unterrichtet zu werden, wenn diese Änderungen kritische oder wichtige Funktionen betreffen.
Erwägungsgrund 11 Notification of changes and right to terminate
Damit Finanzunternehmen die Risiken im Zusammenhang mit Unterauftragsvereinbarungen oder wesentlichen Änderungen daran bewerten können, sollten IKT-Drittdienstleister die Finanzunternehmen, für die sie IKT-Dienstleistungen erbringen, über alle derartigen neuen Vereinbarungen oder Änderungen rechtzeitig vor deren Inkrafttreten informieren. Aus demselben Grund sollten Finanzunternehmen das Recht haben, den Vertrag mit dem IKT-Drittdienstleister zu kündigen, wenn das Ergebnis ihrer Risikobewertung zeigt, dass die neuen Vereinbarungen oder wesentlichen Änderungen ein Risiko bergen, das ihre Risikotoleranz übersteigt.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
kritische oder wichtige Funktion
(En. critical or important function)
Definition
IKT-Drittdienstleister
(En. ICT third-party service provider)
Definition
IKT-Dienstleistungen
(En. ICT services)
Definition
Schwachstelle
(En. vulnerability)