Source: OJ L, 2025/532, 2.7.2025Current language: SV
- Digital operational resilience in the financial sector
ICT third-party service providers
- RTS on subcontracting ICT services
Artikel 4 Villkor för utläggning av IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, på underentreprenad
Summary What does Article 4 of the RTS on subcontracting ICT services say?
This article sets out the mandatory contractual content that financial entities must include in their arrangements with ICT third-party service providers where subcontracting of critical or important functions is permitted.
It builds directly on Article 3, which governs the pre-contractual risk assessment process, by translating those assessments into binding contractual obligations.
The article covers a broad range of requirements that must be embedded in the contract itself, from responsibility and monitoring obligations, to security standards, data location, service continuity, and termination rights.
It also requires that any changes to existing contracts needed to comply with this regulation be implemented as soon as possible, with the financial entity documenting the planned timeline.
Important points:
- Ensure your contractual arrangements with ICT third-party service providers explicitly define which critical or important function ICT services are eligible for subcontracting and under what conditions.
- The contract must secure for the financial entity, and for competent and resolution authorities, the same rights of access, inspection, and audit at the subcontractor level as those that apply to the ICT third-party service provider itself.
- Include a termination right in the contract tied to the conditions set out in Article 6 of this regulation and Article 28(7) of Regulation (EU) 2022/2554.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Det kontraktsmässiga arrangemang som ingås mellan den finansiella entiteten och tredjepartsleverantören av IKT-tjänster ska ange vilka IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, som får läggas ut på underentreprenad och på vilka villkor. I kontraktet ska följande anges:
Att tredjepartsleverantören av IKT-tjänster är ansvarig för de tjänster som tillhandahålls av underleverantörer.
Att tredjepartsleverantören av IKT-tjänster är skyldig att övervaka alla IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, som har lagts ut på underentreprenad för att säkerställa att den hela tiden uppfyller sina skyldigheter enligt det kontraktsmässiga arrangemanget med den finansiella entiteten.
Vilka övervaknings- och rapporteringsskyldigheter som tredjepartsleverantören av IKT-tjänster har i förhållande till den finansiella entiteten när det gäller underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav.
Att tredjepartsleverantören av IKT-tjänster ska bedöma alla risker som är förknippade med platsen för nuvarande eller potentiella underleverantörer som tillhandahåller IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, med deras moderföretag och med den plats från vilken den berörda IKT-tjänsten tillhandahålls.
I relevanta fall, platsen för de uppgifter som behandlas eller lagras av underleverantören.
Att tredjepartsleverantören av IKT-tjänster i sina avtal med underleverantörer ska specificera underleverantörens övervaknings- och rapporteringsskyldigheter i förhållande till tredjepartsleverantören av IKT-tjänster och, om så avtalats, i förhållande till den finansiella entiteten.
Att tredjepartsleverantören av IKT-tjänster ska säkerställa kontinuiteten för IKT-tjänster som stöder kritiska eller viktiga funktioner i hela underleverantörskedjan för det fall att en IKT-underleverantör inte uppfyller sina kontraktsenliga skyldigheter.
Att kontraktsmässiga arrangemang mellan tredjepartsleverantören av IKT-tjänster och dess underleverantörer ska innehålla de krav på beredskapsplaner för verksamheten som avses i artikel 30.3 c i förordning (EU) 2022/2554 och närmare anger den servicenivå som IKT-underleverantörerna ska uppfylla med avseende på dessa planer.
Att kontraktsmässiga arrangemang mellan tredjepartsleverantören av IKT-tjänster och dess underleverantörer närmare ska ange IKT-säkerhetsstandarder och alla andra säkerhetskrav som avses i artikel 30.3 c i förordning (EU) 2022/2554.
Att underleverantören ska ge den finansiella entiteten och relevanta behöriga myndigheter och resolutionsmyndigheter samma åtkomst-, inspektions- och revisionsrättigheter som de som avses i artikel 30.3 e i förordning (EU) 2022/2554.
Att tredjepartsleverantören av IKT-tjänster ska underrätta den finansiella entiteten om alla väsentliga ändringar av underentreprenadsavtal.
Att den finansiella entiteten ska ha rätt att säga upp avtalet med tredjepartsleverantören av IKT-tjänster om villkoren i antingen artikel 6 i denna förordning eller artikel 28.7 i förordning (EU) 2022/2554 är uppfyllda.
Ändringar av kontraktsmässiga arrangemang mellan den finansiella entiteten och tredjepartsleverantörer av IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, som är nödvändiga för att uppfylla kraven i denna förordning ska genomföras utan onödigt dröjsmål och så snart det är möjligt. Den finansiella entiteten ska dokumentera tidsplanen för genomförandet.
Relevant recitals
Skäl 7 Life cycle and contractual provisions
Det är viktigt att säkerställa en heltäckande hantering av de risker som kan uppstå när IKT-tjänster som stöder kritiska eller viktiga funktioner läggs ut på underentreprenad. Finansiella entiteter bör därför följa stegen i livscykeln för kontraktsmässiga arrangemang avseende användning av IKT-tjänster som stöder dessa funktioner och som tillhandahålls av tredjepartsleverantörer av IKT-tjänster, inbegripet för underentreprenadsavtal. Det är därför nödvändigt att fastställa krav för finansiella entiteter som bör återspeglas i deras kontraktsmässiga arrangemang med tredjepartsleverantörer av IKT-tjänster i fall där utläggning av IKT-tjänster som stöder kritiska eller viktiga funktioner på underentreprenad tillåts.
Skäl 8 Conditions throughout the life cycle
För att minska de risker som är förknippade med utläggning på underentreprenad är det nödvändigt att närmare ange på vilka villkor tredjepartsleverantörer av IKT-tjänster får anlita underleverantörer för att tillhandahålla IKT-tjänster som stöder kritiska eller viktiga funktioner. Kontraktsmässiga arrangemang avseende IKT-tjänster mellan finansiella entiteter och tredjepartsleverantörer av IKT-tjänster bör därför innehålla sådana villkor, till exempel om planer på underentreprenad, riskbedömningar, due diligence-granskning och godkännandeprocess för nya underentreprenadsavtal avseende IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, eller väsentliga ändringar av befintliga underentreprenadsavtal som görs av tredjepartsleverantören av IKT-tjänster.
Skäl 10 Monitoring of subcontractors and notifications of changes
För att minska eventuella sårbarheter och hot som kan utgöra en risk för deras IKT-system och IKT-verksamhet bör finansiella entiteter kunna övervaka utförandet av IKT-tjänsten och informeras om alla relevanta förändringar inom IKT-underleverantörskedjan som rör kritiska eller viktiga funktioner.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
sårbarhet
(En. vulnerability)
Definition
IKT-tjänster
(En. ICT services)
Definition
tredjepartsleverantör av IKT-tjänster
(En. ICT third-party service provider)
Definition
moderföretag
(En. parent undertaking)