Source: OJ L, 2024/1773, 25.6.2024

Current language: DE

Artikel 5 Ex-ante-Risikobewertung

Summary What does Article 5 of the RTS on ICT third-party service provider policy say?

Article 5 sets out the pre-contractual obligations that must be embedded in a financial entity's policy before any contractual arrangement with an ICT third-party service provider is concluded.

It establishes two clear prerequisites: first, that business needs are defined upfront, and second, that a thorough risk assessment is carried out.

The risk assessment requirement is notably detailed, covering a broad range of risk categories that must be evaluated, from operational and legal risks through to data location risks and ICT concentration risks.

This article connects directly to Article 4, which governs the lifecycle of contractual arrangements, by anchoring the planning phase of that lifecycle in a structured, risk-informed approach.

Important points:

  • Define business needs and conduct a risk assessment before entering into any contractual arrangement with an ICT third-party service provider.
  • The risk assessment must be conducted at financial entity level and, where applicable, at consolidated and sub-consolidated level.
  • The risk assessment must cover a wide range of risk categories, including ICT concentration risks at entity level and risks linked to the location where data is processed and stored.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Nach der Leitlinie muss vor Abschluss einer vertraglichen Vereinbarung der Geschäftsbedarf des Finanzunternehmens bestimmt werden.

    1. In der Leitlinie ist vorzusehen, dass auf Ebene des Finanzunternehmens und gegebenenfalls auf konsolidierter und teilkonsolidierter Ebene eine Risikobewertung durchzuführen ist, bevor eine vertragliche Vereinbarung geschlossen wird.

    2. Bei der Risikobewertung werden alle einschlägigen Anforderungen der Verordnung (EU) 2022/2554 sowie die geltenden sektorspezifischen Rechtsvorschriften der Union berücksichtigt. In der Leitlinie werden insbesondere die Auswirkungen der Bereitstellung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen durch IKT-Drittdienstleister auf das Finanzunternehmen sowie alle Risiken berücksichtigt, die mit der Bereitstellung dieser IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen durch IKT-Drittdienstleister verbunden sind, darunter

      1. operationelle Risiken,

      2. rechtliche Risiken,

      3. IKT-Risiken,

      4. Reputationsrisiken,

      5. Risiken im Zusammenhang mit dem Schutz vertraulicher oder personenbezogener Daten,

      6. Risiken im Zusammenhang mit der Verfügbarkeit von Daten,

      7. Risiken im Zusammenhang mit dem Standort, an dem die Daten verarbeitet und gespeichert werden,

      8. Risiken im Zusammenhang mit dem Standort des IKT-Drittdienstleisters,

      9. IKT-Konzentrationsrisiken auf Unternehmensebene.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod