Source: OJ L, 2024/1773, 25.6.2024

RTS on ICT third-party service provider policy

DELEGIERTE VERORDNUNG (EU) 2024/1773 DER KOMMISSION

vom 13. März 2024

zur Ergänzung der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates durch technische Regulierungsstandards zur Spezifizierung des detaillierten Inhalts der Leitlinie für vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden

(Text von Bedeutung für den EWR)

DIE EUROPÄISCHE KOMMISSION —

gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011(¹), insbesondere auf Artikel 28 Absatz 10 Unterabsatz 3,

in Erwägung nachstehender Gründe:

Open full page

Erwägungsgrund 1Key principles to manage ICT third-party risk

Nach dem mit der Verordnung (EU) 2022/2554 geschaffenen Rahmen für die digitale operationale Resilienz im Finanzsektor müssen Finanzunternehmen bestimmte Schlüsselprinzipien für das Management des IKT-Drittparteienrisikos festlegen, die insbesondere dann wichtig sind, wenn Finanzunternehmen zur Unterstützung ihrer kritischen oder wichtigen Funktionen auf IKT-Drittdienstleister zurückgreifen.

Erwägungsgrund 2The policy

Finanzunternehmen müssen im Rahmen ihres IKT-Risikomanagementrahmens eine Strategie für das IKT-Drittparteienrisiko annehmen und regelmäßig überprüfen. Nach Artikel 28 Absatz 2 der Verordnung (EU) 2022/2554 muss diese Strategie eine Leitlinie für die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen umfassen, die von IKT-Drittdienstleistern bereitgestellt werden. Sie gilt auf individueller und gegebenenfalls teilkonsolidierter und konsolidierter Basis.

Erwägungsgrund 3Principle of proportionality

Finanzunternehmen unterscheiden sich in ihrer Größe, Struktur und internen Organisation sowie in der Art und Komplexität ihrer Tätigkeiten und Geschäfte erheblich voneinander. Es ist notwendig, dieser Vielfalt Rechnung zu tragen und bei der Ausarbeitung der Leitlinie für vertragliche Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden (im Folgenden „Leitlinie“), bestimmte grundlegende regulatorische Anforderungen einzuführen, die für alle Finanzunternehmen angemessen sind, und sicherzustellen, dass diese Anforderungen in einer verhältnismäßigen Weise angewandt werden.

Erwägungsgrund 4Consistent application of the policy

Gehören Finanzunternehmen einer Gruppe an, so sollte das Mutterunternehmen, das für die Erstellung des konsolidierten oder teilkonsolidierten Abschlusses für die Gruppe verantwortlich zeichnet, sicherstellen, dass die Leitlinie innerhalb der Gruppe auf konsistente und kohärente Weise angewandt wird.

Erwägungsgrund 5ICT intra-group service providers and subcontractors

Bei der Anwendung der Leitlinie sollten gruppeninterne IKT-Dienstleister, einschließlich solcher, die sich im vollständigen oder gemeinsamen Besitz von Finanzunternehmen innerhalb desselben institutsbezogenen Sicherungssystems befinden, als IKT-Drittdienstleister betrachtet werden. Wenngleich die von gruppeninternen IKT-Dienstleistern ausgehenden Risiken möglicherweise anderer Art sind, gelten für sie dieselben Anforderungen nach der Verordnung (EU) 2022/2554. Werden die Dienstleistungen über eine Kette von IKT-Drittdienstleistern bereitgestellt, so sollte die Leitlinie entsprechend auch für Unterauftragnehmer gelten, die IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen oder wesentlicher Teile davon für IKT-Drittdienstleister erbringen.

Erwägungsgrund 6Annual review and adoption of the policy

Das übergeordnete Prinzip, wonach die Verantwortung für das Management des IKT-Risikos eines Finanzunternehmens letztlich beim Leitungsorgan liegt, gilt auch bei der Nutzung von IKT-Drittdienstleistern. Diese Verantwortung sollte sich weiter im kontinuierlichen Engagement des Leitungsorgans bei der Kontrolle und Überwachung des IKT-Risikomanagements niederschlagen, einschließlich bei der Annahme und mindestens jährlichen Überprüfung der Leitlinie.

Erwägungsgrund 7Internal responsibilities

Um eine angemessene Berichterstattung an das Leitungsorgan zu gewährleisten, sollten in der Leitlinie die internen Zuständigkeiten für die Genehmigung, das Management, die Kontrolle und die Dokumentation vertraglicher Vereinbarungen über die Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden (im Folgenden „vertragliche Vereinbarungen“), einschließlich der IKT-Dienstleistungen, die im Rahmen vertraglicher Vereinbarungen nach Artikel 28 Absatz 1 Buchstabe a der Verordnung (EU) 2022/2554 erbracht werden, eindeutig spezifiziert und ermittelt werden.

Erwägungsgrund 8Policy structured after life cycle

Damit allen möglichen Risiken, die bei der Vergabe von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen entstehen können, Rechnung getragen wird, sollte die Leitlinie die einzelnen Schritte in jeder Hauptphase des Lebenszyklus vertraglicher Vereinbarungen mit Drittdienstleistern nachzeichnen.

Erwägungsgrund 9Planning

Um die ermittelten Risiken zu mindern, sollte in der Leitlinie spezifiziert werden, wie vertragliche Vereinbarungen zu planen sind, einschließlich der Risikobewertung, des Verfahrens zur Erfüllung der Sorgfaltspflicht und des Genehmigungsverfahrens für neue oder wesentliche Änderungen dieser vertraglichen Vereinbarungen. Um die Risiken zu managen, die vor dem Abschluss einer vertraglichen Vereinbarung mit einem IKT-Drittdienstleister entstehen könnten, sollte die Leitlinie ein geeignetes und verhältnismäßiges Verfahren für die Auswahl und die Bewertung der Eignung künftiger IKT-Drittdienstleister enthalten und vorschreiben, dass das Finanzunternehmen eine nicht erschöpfende Liste von Elementen zu berücksichtigen hat, die bei einem IKT-Drittdienstleister gegeben sein müssen. In der Liste sollten insbesondere auch Elemente enthalten sein, die die geschäftliche Reputation der Dienstleister, ihre finanziellen, personellen und technischen Ressourcen, ihre Informationssicherheit, ihre Organisationsstruktur, einschließlich Risikomanagement, und ihre internen Kontrollen betreffen.

Erwägungsgrund 10Implementation, monitoring and management

Um bei der Bereitstellung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen durch IKT-Drittdienstleister ein solides Risikomanagement zu gewährleisten, sollte die Leitlinie Informationen über die Implementierung, die Überwachung und das Management der vertraglichen Vereinbarungen, gegebenenfalls auch auf konsolidierter und teilkonsolidierter Ebene, enthalten. Dazu gehören auch Anforderungen hinsichtlich der Vertragsklauseln über gegenseitige Verpflichtungen der Finanzunternehmen und IKT-Drittdienstleister, die schriftlich niedergelegt werden sollten. Um eine effiziente Beaufsichtigung zu gewährleisten und die Resilienz im Falle von Änderungen des Geschäftsmodells oder -umfelds zu fördern, sollten in der Leitlinie die Rechte der Finanzunternehmen oder der beauftragten Dritten und der zuständigen Behörden im Zusammenhang mit Inspektionen und dem Zugang zu Informationen gewährleistet und die Ausstiegsstrategien und Beendigungsverfahren genauer festgelegt werden.

Erwägungsgrund 11Personal data processing

Soweit personenbezogene Daten von IKT-Drittdienstleistern verarbeitet werden, lassen die Leitlinie und etwaige vertragliche Vereinbarungen die Verpflichtungen aus der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates(²) unberührt und sollten diese ergänzen, z. B. durch einen schriftlichen Vertrag, in dem beschrieben wird, wie personenbezogene Daten zu verarbeiten sind, um die Sicherheit der Verarbeitung personenbezogener Daten zu gewährleisten, und in dem alle anderen nach dieser Verordnung erforderlichen Elemente festgelegt werden.

Erwägungsgrund 12Open public consultations

Der in Artikel 54 der Verordnung (EU) Nr. 1093/2010 des Europäischen Parlaments und des Rates(³), in Artikel 54 der Verordnung (EU) Nr. 1094/2010 des Europäischen Parlaments und des Rates(⁴) und in Artikel 54 der Verordnung (EU) Nr. 1095/2010 des Europäischen Parlaments und des Rates(⁵) genannte Gemeinsame Ausschuss der Europäischen Aufsichtsbehörden hat zu diesem Entwurf technischer Regulierungsstandards, auf dem die vorliegende Verordnung beruht, öffentliche Konsultationen durchgeführt, die damit verbundenen Kosten- und Nutzeneffekte analysiert und die Stellungnahme der nach Artikel 37 der Verordnung (EU) Nr. 1093/2010 eingesetzten Interessengruppe Bankensektor, der nach Artikel 37 der Verordnung (EU) Nr. 1094/2010 eingesetzten Interessengruppe Versicherung und Rückversicherung und der nach Artikel 37 der Verordnung (EU) Nr. 1095/2010 eingesetzten Interessengruppe Wertpapiere und Wertpapiermärkte eingeholt.

Erwägungsgrund 13European Data Protection Supervisor consultation

Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates(⁶) angehört und hat am 24. Januar 2024 eine Stellungnahme abgegeben —

HAT FOLGENDE VERORDNUNG ERLASSEN:

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Brüssel, den 13. März 2024

Für die Kommission

Die Präsidentin

Ursula VON DER LEYEN