Source: OJ L, 2024/1773, 25.6.2024

Current language: DE

Artikel 8 Vertragsklauseln

Summary What does Article 8 of the RTS on ICT third-party service provider policy say?

This article sets out the formal requirements that the policy must establish for contractual arrangements with ICT third-party service providers.

It builds directly on the planning and due diligence obligations covered in earlier articles, moving into the concrete mechanics of how those arrangements must be structured and overseen.

The core thrust is twofold: ensuring contracts are properly documented and legally complete, and ensuring that financial entities retain genuine oversight rights — including the ability to audit and test ICT systems — rather than passively accepting third-party certifications or reports as sufficient assurance.

The article is notably detailed on the conditions under which certifications and third-party audit reports may be relied upon, making clear that these cannot become a substitute for active oversight over time.

Important points:

  • Ensure contractual arrangements are in written form, cover all legally required elements, and that any material changes are formalised in a dated and signed written document.
  • Retain the right within contracts to access information, carry out inspections, and perform ICT testing — including through pooled audits with other financial entities using the same provider.
  • Do not rely solely on third-party certifications or audit reports; their use is only permitted where a detailed set of conditions is met, and active audit rights must always be contractually preserved.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. In der Leitlinie wird festgelegt, dass die einschlägige vertragliche Vereinbarung schriftlich abzufassen ist und alle in Artikel 30 Absätze 2 und 3 der Verordnung (EU) 2022/2554 genannten Elemente enthalten muss. Die Leitlinie umfasst auch Elemente mit Blick auf die in Artikel 1 Absatz 1 Buchstabe a der Verordnung (EU) 2022/2554 genannten Anforderungen sowie gegebenenfalls andere einschlägige Rechtsvorschriften der Union und der Mitgliedstaaten.

    1. In der Leitlinie ist festzulegen, dass die einschlägigen vertraglichen Vereinbarungen das Recht des Finanzunternehmens auf Zugang zu Informationen, auf die Durchführung von Inspektionen und Audits sowie auf die Durchführung von IKT-Tests vorsehen müssen. In der Leitlinie ist vorzusehen, dass das Finanzunternehmen zu diesen Zwecken — unbeschadet seiner letztlichen Verantwortung — auf folgende Methoden zurückgreifen muss:

      1. eigene interne Audits oder Audits eines beauftragten Dritten;

      2. gegebenenfalls Sammelaudits und gepoolte IKT-Tests, einschließlich bedrohungsorientierter Penetrationstests, die gemeinsam mit anderen als Auftraggeber auftretenden Finanzunternehmen oder Firmen, die IKT-Dienstleistungen desselben IKT-Drittdienstleisters nutzen, organisiert und von diesen Finanzunternehmen oder Firmen oder einem von ihnen beauftragten Dritten durchgeführt werden;

      3. gegebenenfalls Zertifizierungen Dritter;

      4. gegebenenfalls Berichte über interne oder von Dritten durchgeführte Audits, die vom IKT-Drittdienstleister zur Verfügung gestellt werden.

    1. Das Finanzunternehmen darf sich längerfristig nicht nur auf die in Absatz 2 Buchstabe c genannten Zertifizierungen oder die in Absatz 2 Buchstabe d genannten Auditberichte verlassen. Nach der Leitlinie ist die Anwendung der in Absatz 2 Buchstaben c und d genannten Methoden nur dann gestattet, wenn das Finanzunternehmen

      1. den Auditplan des IKT-Drittdienstleisters für die einschlägigen vertraglichen Vereinbarungen als zufriedenstellend erachtet;

      2. sicherstellt, dass der Umfang der Zertifizierungen oder Auditberichte die von ihm ermittelten Systeme und wesentlichen Kontrollen abdeckt und die Einhaltung der einschlägigen rechtlichen Anforderungen gewährleistet;

      3. den Inhalt der Zertifizierungen oder Auditberichte laufend gründlich bewertet und prüft, ob die Berichte oder Zertifizierungen nicht obsolet sind;

      4. sicherstellt, dass wesentliche Systeme und Kontrollen in künftigen Fassungen der Zertifizierung oder des Auditberichts berücksichtigt werden;

      5. die zertifizierende oder prüfende Partei in zufriedenstellendem Maße für geeignet hält;

      6. davon überzeugt ist, dass die Zertifizierungen ausgestellt werden und die Zertifizierungen und die Audits nach weithin anerkannten einschlägigen professionellen Standards durchgeführt werden und einen Test der operationalen Wirksamkeit der bestehenden wesentlichen Kontrollen umfassen;

      7. das vertragliche Recht hat, in einer aus der Perspektive des Risikomanagements vertretbaren und legitimen Häufigkeit Änderungen des Umfangs der Zertifizierungen oder Auditberichte mit Blick auf andere einschlägige Systeme und Kontrollen zu verlangen;

      8. das vertragliche Recht hat, nach eigenem Ermessen Einzel- und Sammelaudits im Zusammenhang mit den vertraglichen Vereinbarungen durchzuführen und diese Rechte in der vereinbarten Häufigkeit wahrzunehmen.

    1. Die Leitlinie stellt sicher, dass wesentliche Änderungen der vertraglichen Vereinbarung in einem schriftlichen Dokument förmlich festgehalten werden, das von allen Parteien datiert und unterzeichnet wird und in dem das Verfahren zur Verlängerung der vertraglichen Vereinbarungen festgelegt ist.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod