Source: OJ L, 2025/532, 2.7.2025Current language: SV
- Digital operational resilience in the financial sector
ICT third-party service providers
- RTS on subcontracting ICT services
Artikel 5 Väsentliga ändringar av underentreprenadsavtal gällande IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav
Summary What does Article 5 of the RTS on subcontracting ICT services say?
This article establishes the notification and approval process that must govern any material changes an ICT third-party service provider intends to make to its subcontracting arrangements.
It builds directly on Article 4, which sets out the required content of contractual arrangements, by specifying how changes to those arrangements must be handled in practice.
The core logic is that financial entities must be given sufficient advance notice of changes to assess the associated risks and decide whether to approve or object, and that providers cannot act unilaterally before that process is concluded.
Important points:
- Ensure your contractual arrangements with ICT third-party service providers include a reasonable notice period for material subcontracting changes, along with your right to approve or object to them.
- ICT third-party service providers are required to hold off implementing any material changes until the financial entity has approved or the notice period has elapsed without objection.
- Where material changes exceed your risk tolerance, formally object and request modifications before the notice period expires.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Det kontraktsmässiga arrangemanget ska föreskriva att tredjepartsleverantören av IKT-tjänster i god tid ska informera den finansiella entiteten om alla planerade väsentliga ändringar av dess underentreprenadsavtal för att göra det möjligt för den finansiella entiteten att bedöma
effekten på de risker som den är, eller kan bli, exponerad för,
huruvida sådana väsentliga ändringar kan påverka förmågan hos tredjepartsleverantören av IKT-tjänster att uppfylla sina kontraktsenliga skyldigheter gentemot den finansiella entiteten.
I det kontraktsmässiga arrangemanget ska fastställas en rimlig svarsfrist inom vilken den finansiella entiteten ska godkänna eller invända mot ändringarna.
Tredjepartsleverantören av IKT-tjänster ska inte genomföra de väsentliga ändringarna av sina underentreprenadsavtal förrän den finansiella entiteten, före svarsfristens utgång, antingen har godkänt eller inte framfört invändningar mot ändringarna.
Om den finansiella entiteten anser att de väsentliga ändringar som avses i punkt 1 överstiger dess risktolerans ska den finansiella entiteten före svarsfristens utgång
informera tredjepartsleverantören av IKT-tjänster om detta,
invända mot ändringarna och begära att de anpassas innan de genomförs.
Relevant recitals
Skäl 8 Conditions throughout the life cycle
För att minska de risker som är förknippade med utläggning på underentreprenad är det nödvändigt att närmare ange på vilka villkor tredjepartsleverantörer av IKT-tjänster får anlita underleverantörer för att tillhandahålla IKT-tjänster som stöder kritiska eller viktiga funktioner. Kontraktsmässiga arrangemang avseende IKT-tjänster mellan finansiella entiteter och tredjepartsleverantörer av IKT-tjänster bör därför innehålla sådana villkor, till exempel om planer på underentreprenad, riskbedömningar, due diligence-granskning och godkännandeprocess för nya underentreprenadsavtal avseende IKT-tjänster som stöder kritiska eller viktiga funktioner, eller väsentliga delar därav, eller väsentliga ändringar av befintliga underentreprenadsavtal som görs av tredjepartsleverantören av IKT-tjänster.
Skäl 10 Monitoring of subcontractors and notifications of changes
För att minska eventuella sårbarheter och hot som kan utgöra en risk för deras IKT-system och IKT-verksamhet bör finansiella entiteter kunna övervaka utförandet av IKT-tjänsten och informeras om alla relevanta förändringar inom IKT-underleverantörskedjan som rör kritiska eller viktiga funktioner.
Skäl 11 Notification of changes and right to terminate
För att göra det möjligt för finansiella entiteter att bedöma de risker som är förknippade med underentreprenadsavtal, eller väsentliga ändringar av dessa, bör tredjepartsleverantörer av IKT-tjänster informera finansiella entiteter som de tillhandahåller IKT-tjänster om alla nya avtal, eller ändringar av avtal, i god tid innan sådana avtal eller ändringar träder i kraft. Finansiella entiteter bör av samma skäl ha rätt att säga upp avtalet med tredjepartsleverantören av IKT-tjänster om deras riskbedömning visar att nya avtal eller väsentliga ändringar medför en risknivå som överstiger deras risktolerans.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
sårbarhet
(En. vulnerability)
Definition
IKT-tjänster
(En. ICT services)
Definition
tredjepartsleverantör av IKT-tjänster
(En. ICT third-party service provider)