Source: OJ L, 2024/1773, 25.6.2024

Current language: DE

Artikel 4 Hauptphasen des Lebenszyklus mit Blick auf die Annahme und Nutzung vertraglicher Vereinbarungen

Summary What does Article 4 of the RTS on ICT third-party service provider policy say?

Article 4 acts as a structural backbone for the broader regulation, requiring that the policy covers every major phase of a contractual arrangement's lifecycle with ICT third-party service providers.

Rather than focusing on one specific obligation, it maps out the full journey of a contractual arrangement — from planning and due diligence, through implementation and ongoing monitoring, all the way to exit and termination — ensuring nothing falls through the gaps.

It explicitly cross-references several other articles in the regulation, meaning it serves as a connecting thread that ties together the more detailed requirements found elsewhere.

Important points:

  • Ensure your policy addresses every stage of the contractual arrangement lifecycle, from pre-contractual planning through to exit strategies.
  • The management body must have defined responsibilities, including appropriate involvement in decision-making on the use of ICT services supporting critical or important functions.
  • Documentation and record-keeping obligations must align with the register of information requirements under Article 28(3) of Regulation (EU) 2022/2554.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

In der Leitlinie werden für jede Hauptphase des Lebenszyklus der vertraglichen Vereinbarung die Anforderungen, einschließlich der Regelungen, Zuständigkeiten und Prozesse, festgelegt, die mindestens Folgendes abdecken:

  1. die Zuständigkeiten des Leitungsorgans, gegebenenfalls einschließlich seiner Beteiligung an der Entscheidungsfindung hinsichtlich der Nutzung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen, die von IKT-Drittdienstleistern bereitgestellt werden;

  2. die Planung vertraglicher Vereinbarungen, einschließlich der Risikobewertung, des Verfahrens zur Erfüllung der Sorgfaltspflicht nach den Artikeln 5 und 6 und des Genehmigungsverfahrens für neue oder wesentliche Änderungen vertraglicher Vereinbarungen im Sinne von Artikel 8 Absatz 4;

  3. die Einbeziehung von Geschäftsbereichen, internen Kontrollen und anderen relevanten Organisationsbereichen in Bezug auf vertragliche Vereinbarungen;

  4. die Umsetzung, die Überwachung und das Management vertraglicher Vereinbarungen nach den Artikeln 7, 8 und 9, gegebenenfalls auch auf konsolidierter und teilkonsolidierter Ebene;

  5. die Dokumentation und die Erstellung von Aufzeichnungen unter Berücksichtigung der für das Informationsregister nach Artikel 28 Absatz 3 der Verordnung (EU) 2022/2554 geltenden Anforderungen;

  6. die Ausstiegsstrategien und Beendigungsverfahren nach Artikel 10.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod