Artikel 3 Due diligence-granskning och riskbedömning vid anlitande av underleverantörer som stöder kritiska eller viktiga funktioner

Summary What does Article 3 of the RTS on subcontracting ICT services say?

This is a substantive pre-contractual gatekeeping article that places a clear obligation on financial entities to conduct a thorough assessment before permitting an ICT third-party service provider to subcontract services that support critical or important functions.

The article sets out a comprehensive list of conditions that must all be satisfied before a financial entity can enter into such a contractual arrangement.

These conditions cover the ICT third-party provider's own capacity to vet and monitor its subcontractors, the financial entity's own internal capabilities to oversee the subcontracting chain, and a series of risk assessments the financial entity itself must complete — covering concentration risk, geopolitical risk, subcontractor location, and potential barriers to audit and access.

Crucially, the article makes clear that this is not a one-time exercise; the relevant risk assessments must be carried out periodically.

It also explicitly closes any loophole whereby a financial entity might rely on an ICT provider's own risk assessments to discharge its own responsibilities.

Important points:

Carry out a full pre-contractual assessment against all prescribed conditions before allowing an ICT third-party service provider to subcontract services supporting critical or important functions.
Conduct the risk assessments covered in this article periodically, accounting for changes in the business environment, ICT threats, concentration risks, and geopolitical risks.
Relying on the risk assessments performed by ICT third-party service providers does not reduce your final responsibility to comply with your obligations under Regulation (EU) 2022/2554.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. En finansiell entitet ska, innan den ingår ett kontraktsmässigt arrangemang med en tredjepartsleverantör av IKT-tjänster, besluta om denna tredjepartsleverantör av IKT-tjänster ska få lägga ut en IKT-tjänst som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, på underentreprenad. Den finansiella entiteten ska endast ingå ett sådant kontraktsmässigt arrangemang efter att ha fastställt att alla följande villkor är uppfyllda:
  1. Due diligence-granskningen avseende tredjepartsleverantören av IKT-tjänster har säkerställt att denne kan välja och bedöma den operativa och finansiella förmågan hos potentiella IKT-underleverantörer att tillhandahålla IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, inbegripet genom att på den finansiella entitetens uppmaning delta i den testning av digital operativ motståndskraft som avses i kapitel IV i förordning (EU) 2022/2554.
  2. Tredjepartsleverantören av IKT-tjänster kan identifiera alla underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, underrätta den finansiella entiteten om dessa underleverantörer och ge den finansiella entiteten all information som kan vara nödvändig för att bedöma villkoren i denna artikel.
  3. Tredjepartsleverantören av IKT-tjänster säkerställer att de kontraktsmässiga arrangemangen med underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, gör det möjligt för den finansiella entiteten att fullgöra sina egna skyldigheter enligt förordning (EU) 2022/2554 samt tillämplig unionslagstiftning och nationell lagstiftning.
  4. Underleverantören ger den finansiella entiteten och behöriga myndigheter och resolutionsmyndigheter samma kontraktsenliga tillgångs- och inspektionsrättigheter som de som ges tredjepartsleverantören av IKT-tjänster.
  5. Utan att det påverkar den finansiella entitetens yttersta ansvar att fullgöra sina skyldigheter enligt lagar och andra författningar har tredjepartsleverantören av IKT-tjänster själv tillräcklig förmåga, sakkunskap och tillräckliga ekonomiska, mänskliga och tekniska resurser för att övervaka IKT-risker på underleverantörsnivå, inbegripet genom att tillämpa lämpliga standarder för informationssäkerhet och ha en lämplig organisationsstruktur, riskhantering och interna kontroller, liksom incidentrapportering och incidenthantering.
  6. Den finansiella entiteten har tillräcklig förmåga, sakkunskap och tillräckliga ekonomiska, mänskliga och tekniska resurser för att övervaka IKT-risker rörande den tjänst som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, som har lagts ut på underentreprenad, till exempel genom att tillämpa lämpliga standarder för informationssäkerhet och ha en lämplig organisationsstruktur och riskhantering, incidenthantering, kontinuitetshantering och interna kontroller.
  7. Den finansiella entiteten har bedömt vilken inverkan det kan få på dess digitala operativa motståndskraft och finansiella sundhet om en underleverantör som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, inte skulle kunna fullgöra sina skyldigheter.
  8. Den finansiella entiteten har bedömt de risker som är förknippade med platsen för de potentiella underleverantörerna vad gäller de IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, som tillhandahålls av tredjepartsleverantören av IKT-tjänster.
  9. Den finansiella entiteten har bedömt IKT-koncentrationsrisker på entitetsnivå i enlighet med artikel 29 i förordning (EU) 2022/2554.
  10. Den finansiella entiteten har gjort en bedömning av om det finns några hinder för behöriga myndigheter, resolutionsmyndigheter eller den finansiella entiteten, inbegripet av den finansiella entiteten utsedda personer, att utöva revisions-, inspektions- och åtkomsträttigheter.
1. Finansiella entiteter som anlitar tredjepartsleverantörer av IKT-tjänster, vilka i sin tur lägger ut IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, på underentreprenad, ska regelbundet genomföra den riskbedömning som avses i punkt 1 f–j avseende tänkbara förändringar av verksamhetens förutsättningar, inbegripet förändringar i de affärsfunktioner som stöds av IKT-tjänsterna, i riskbedömningar som inbegriper IKT-hot, IKT-koncentrationsrisker och geopolitiska risker.
1. Resultaten av den riskbedömning som deras tredjepartsleverantörer av IKT-tjänster utför avseende sina underleverantörer när det gäller uppfyllandet av skyldigheterna i denna artikel ska inte begränsa det yttersta ansvaret hos finansiella entiteter att fullgöra sina skyldigheter enligt lagar och andra författningar i enlighet med förordning (EU) 2022/2554.

Relevant recitals

Skäl 4 Clear and holistic view of risks associated with subcontracting

Om finansiella entiteter ger tredjepartsleverantörer av IKT-tjänster tillstånd att i enlighet med artikel 30.2 i förordning (EU) 2022/2554 lägga ut IKT-tjänster som stöder kritiska eller viktiga funktioner på underentreprenad är det likväl de finansiella entiteternas ledningsorgan som är ytterst ansvariga för att hantera sina risker och fullgöra sina skyldigheter enligt lagar och andra författningar. I fall där utläggning av IKT-tjänster som stöder kritiska eller viktiga funktioner på underentreprenad tillåts är det viktigt att de finansiella entiteterna har en tydlig och heltäckande bild av de risker som är förknippade med utläggning av tjänster som stöder kritiska eller viktiga funktioner på underentreprenad, så att de kan övervaka, hantera och minska dessa risker. De bör därför göra en bedömning av dessa risker innan tjänsterna läggs ut på underentreprenad.

Skäl 7 Life cycle and contractual provisions

Det är viktigt att säkerställa en heltäckande hantering av de risker som kan uppstå när IKT-tjänster som stöder kritiska eller viktiga funktioner läggs ut på underentreprenad. Finansiella entiteter bör därför följa stegen i livscykeln för kontraktsmässiga arrangemang avseende användning av IKT-tjänster som stöder dessa funktioner och som tillhandahålls av tredjepartsleverantörer av IKT-tjänster, inbegripet för underentreprenadsavtal. Det är därför nödvändigt att fastställa krav för finansiella entiteter som bör återspeglas i deras kontraktsmässiga arrangemang med tredjepartsleverantörer av IKT-tjänster i fall där utläggning av IKT-tjänster som stöder kritiska eller viktiga funktioner på underentreprenad tillåts.

Skäl 8 Conditions throughout the life cycle

För att minska de risker som är förknippade med utläggning på underentreprenad är det nödvändigt att närmare ange på vilka villkor tredjepartsleverantörer av IKT-tjänster får anlita underleverantörer för att tillhandahålla IKT-tjänster som stöder kritiska eller viktiga funktioner. Kontraktsmässiga arrangemang avseende IKT-tjänster mellan finansiella entiteter och tredjepartsleverantörer av IKT-tjänster bör därför innehålla sådana villkor, till exempel om planer på underentreprenad, riskbedömningar, due diligence-granskning och godkännandeprocess för nya underentreprenadsavtal avseende IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, eller väsentliga ändringar av befintliga underentreprenadsavtal som görs av tredjepartsleverantören av IKT-tjänster.

Skäl 9 Due diligence of subcontractors

För att, innan en finansiell entitet ingår ett avtal med en IKT-underleverantör, identifiera vilka risker som kan uppstå bör tredjepartsleverantörer av IKT-tjänster göra en lämplig och proportionell bedömning av lämpligheten hos potentiella underleverantörer på grundval av de kontraktsmässiga arrangemang om IKT-tjänster som tredjepartsleverantören av IKT-tjänster har ingått med den finansiella entiteten. Enligt dessa kontraktsmässiga arrangemang avseende IKT-tjänster bör därför tredjepartsleverantören av IKT-tjänster eller den finansiella entiteten själv, beroende på vad som är lämpligt, vara skyldig att bedöma den potentiella underleverantörens resurser, inbegripet dess sakkunskap och om den har lämpliga ekonomiska, mänskliga och tekniska resurser, dess informationssäkerhet och organisationsstruktur, samt den riskhantering och de interna kontroller som underleverantören bör ha infört.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.