Artikel 29 Preliminär bedömning av IKT-koncentrationsrisker på entitetsnivå

Summary What does Article 29 of the DORA regulation say?

This article extends the risk assessment obligations established in Article 28, focusing specifically on ICT concentration risk and the complexities of subcontracting chains.

It requires financial entities, when assessing a prospective ICT arrangement for critical or important functions, to consider whether that arrangement could create problematic dependencies — such as relying on a provider that cannot easily be replaced, or accumulating multiple arrangements with the same provider or closely connected providers.

The article then broadens its scope to address subcontracting scenarios, requiring financial entities to weigh the risks of further subcontracting, consider insolvency implications, and account for the additional complications that arise when providers or subcontractors are established in third countries.

Important points:

Assess whether a new ICT arrangement for critical or important functions would create concentration risk through non-substitutable or closely connected providers, and weigh the benefits and costs of alternative solutions.
Where subcontracting of critical or important functions is permitted, assess the risks of subcontracting chains — including third-country subcontractors — and consider the insolvency law provisions that would apply if the provider went bankrupt.
Where a provider supporting critical or important functions is established in a third country, also consider compliance with Union data protection rules and the effective enforcement of law in that country.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. När finansiella entiteter utför den identifiering och bedömning av risk som avses i artikel 28.4 c ska de även ta hänsyn till om det planerade ingåendet av ett kontraktsmässigt arrangemang avseende IKT-tjänster som stöder kritiska eller viktiga funktioner skulle leda till något av följande:
  1. Avtal med en tredjepartsleverantör av IKT-tjänster som inte är lätt utbytbar.
  2. Flera kontraktsmässiga arrangemang gällande tillhandahållande av IKT-tjänster som stöder kritiska eller viktiga funktioner med samma tredjepartsleverantör av IKT-tjänster eller med nära anknutna tredjepartsleverantörer av IKT-tjänster.
2. Finansiella entiteter ska väga fördelarna och kostnaderna med alternativa lösningar, t.ex. användning av olika tredjepartsleverantörer av IKT-tjänster, med hänsyn till om och hur planerade lösningar motsvarar de affärsbehov och mål som anges i deras strategi för digital motståndskraft.
1. Om de kontraktsmässiga arrangemangen om användning av IKT-tjänster som stöder kritiska eller viktiga funktioner inbegriper möjligheten att en tredjepartsleverantör av IKT-tjänster lägger ut IKT-tjänster som stöder kritisk eller viktig funktion på underentreprenad till andra tredjepartsleverantörer av IKT-tjänster, ska finansiella entiteter väga de fördelar och risker som kan uppstå i samband med en sådan underentreprenad, särskilt när det gäller en IKT-underleverantör som är etablerad i ett tredjeland.
2. Om de kontraktsmässiga arrangemangen gäller IKT-tjänster som stöder kritiska eller viktiga funktioner ska finansiella entiteter vederbörligen ta hänsyn till de insolvensrättsliga bestämmelser som skulle vara tillämpliga om IKT-tjänsteleverantören går i konkurs samt eventuella begränsningar som kan uppstå när det gäller skyndsam återställning av den finansiella entitetens data.
3. Om kontraktsmässiga arrangemang om användning av IKT-tjänster som stöder kritiska eller viktiga funktioner ingås med en tredjepartsleverantör av IKT-tjänster som är etablerad i ett tredjeland ska finansiella entiteter utöver de hänsynstaganden som avses i andra stycket även beakta överensstämmelsen med unionens dataskyddsregler och den faktiska efterlevnaden av rätten i det tredjelandet.
4. Om de kontraktsmässiga arrangemangen om användning av IKT-tjänster som stöder kritiska eller viktiga funktioner medger underentreprenad, ska finansiella entiteter bedöma om och hur potentiellt långa eller komplexa underentreprenadskedjor kan påverka deras förmåga att till fullo övervaka de avtalade funktionerna och den behöriga myndighetens förmåga att effektivt övervaka den finansiella entiteten i detta avseende.

Relevant recitals

Skäl 62 Guiding rules for monitoring ICT third-party risk

För att säkerställa en sund övervakning av IKT-tredjepartsrisk i den finansiella sektorn är det nödvändigt att fastställa en uppsättning principbaserade regler för att vägleda finansiella entiteter vid övervakning av risker som uppstår i samband med funktioner som utkontrakterats till tredjepartsleverantörer av IKT-tjänster, särskilt för IKT-tjänster som stöder kritiska eller viktiga funktioner, liksom mer allmänt inom ramen för alla IKT-tredjepartsberoenden.

Skäl 66 Thorough pre-contracting analysis for ICT third-party services

En grundlig förhandsanalys bör underbygga och föregå formellt ingående av kontraktsmässiga arrangemang, särskilt genom fokusering på inslag som kritikalitet eller betydelse av de tjänster som understöds av det planerade IKT-kontraktet, nödvändiga godkännanden från tillsynsmyndigheter eller andra villkor, den eventuella koncentrationsrisk som detta medför, liksom due diligence-granskning i förfarandet för urval och bedömning av tredjepartsleverantörer av IKT-tjänster och bedömning av potentiella intressekonflikter. Vad gäller kontraktsmässiga arrangemang rörande kritiska eller viktiga funktioner bör finansiella entiteter beakta tredjepartsleverantörer av IKT-tjänsters användning av de senaste och högsta standarderna för informationssäkerhet. Uppsägning av kontraktsmässiga arrangemang kan föranledas av åtminstone ett antal omständigheter som visar på brister hos tredjepartsleverantören av IKT-tjänster, särskilt betydande överträdelser av lagar eller avtalsvillkor, omständigheter som påvisar en potentiell förändring av prestandan i de funktioner som avses i de kontraktsmässiga arrangemangen, bevis på svagheter hos tredjepartsleverantören av IKT-tjänster i den övergripande hanteringen av IKT-risk, eller omständigheter som tyder på att den berörda behöriga myndigheten inte har förmåga att effektivt övervaka den finansiella entiteten.

Skäl 67 Gradual approach to ICT third-party concentration risk

För att hantera systemeffekterna av koncentrationsrisken för IKT-tredjeparter främjar denna förordning en balanserad lösning genom en flexibel och gradvis strategi för sådana koncentrationsrisker, eftersom införandet av strikta tak eller strikta begränsningar kan hindra företagens affärsverksamhet och begränsa avtalsfriheten. Finansiella entiteter bör göra en grundlig bedömning av sina planerade kontraktsmässiga arrangemang för att fastställa sannolikheten för att en sådan risk uppstår, bland annat genom djupgående analyser av underleverantörsavtal, särskilt när de ingås med tredjepartsleverantörer av IKT-tjänster som är etablerade i ett tredjeland. I detta skede, och i syfte att uppnå en rimlig balans mellan kravet på att bevara avtalsfriheten och kravet på att garantera finansiell stabilitet, anses det inte lämpligt att fastställa regler för strikta tak och gränser för exponeringar mot IKT-tredjeparter. I samband med översynsramen bör en ledande tillsynsmyndighet, som utsetts enligt denna förordning, med avseende på kritiska tredjepartsleverantörer av IKT-tjänster ägna särskild uppmärksamhet åt att fullt ut förstå omfattningen av ömsesidiga beroenden, upptäcka specifika fall där en hög koncentration av kritiska tredjepartsleverantörer av IKT-tjänster i unionen sannolikt kommer att sätta press på stabiliteten och integriteten i unionens finansiella system och upprätthålla en dialog med kritiska tredjepartsleverantörer av IKT-tjänster där denna specifika risk har identifierats.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.