Art. 1 Allmän riskprofil och komplexitet | RTS on ICT third-party service provider policy | DORA

This opening article establishes the foundational scope and calibration of the policy that financial entities must maintain regarding the use of ICT third-party service providers for critical or important functions.

Rather than prescribing a one-size-fits-all approach, it sets out that the policy must be shaped by the specific characteristics of the financial entity itself — its size, risk profile, and operational complexity — as well as a broad range of factors relating to the nature of the third-party relationships involved.

These factors span geographic considerations, the regulatory status of providers, data sensitivity, concentration risk, and the potential impact of service disruptions.

Important points:

Tailor your policy on ICT third-party services to reflect the size, risk profile, and complexity of your organisation, not a generic standard.
Key factors to account for include the geographic location of providers and data, whether providers are regulated, and whether services are concentrated among a small number of providers.
Assess the transferability of critical ICT services to another provider and the potential impact of disruptions on business continuity.

Riktlinjerna för användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner och som tillhandahålls av tredjepartsleverantörer av IKT-tjänster (riktlinjerna) ska ta hänsyn till finansiella entiteters storlek och övergripande riskprofil samt karaktären på, omfattningen av och inslagen av ökad eller minskad komplexitet i deras tjänster, verksamhet och insatser, inbegripet aspekter som rör följande:

Den typ av IKT-tjänster som ingår i kontraktsmässiga arrangemang om användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner och som tillhandahålls av tredjepartsleverantörer av IKT-tjänster (kontraktsmässiga arrangemang) mellan finansiella entiteter och tredjepartsleverantörer av IKT-tjänster.
Platsen för tredjepartsleverantören av IKT-tjänster eller för moderföretaget.
Om de IKT-tjänster som stöder kritiska eller viktiga funktioner tillhandahålls av en tredjepartsleverantör av IKT-tjänster som är belägen i en medlemsstat eller i ett tredjeland, även med beaktande av den plats från vilken IKT-tjänsterna tillhandahålls och den plats där uppgifterna behandlas och lagras.
Beskaffenheten hos de uppgifter som delas med tredjepartsleverantören av IKT-tjänster.
Huruvida tredjepartsleverantören av IKT-tjänster tillhör samma koncern som den finansiella entitet till vilken tjänsterna tillhandahålls.
Användning av tredjepartsleverantörer av IKT-tjänster som är auktoriserade, registrerade eller föremål för tillsyn eller övervakning av en behörig myndighet i en medlemsstat eller som omfattas av tillsynsramen enligt kapitel V avsnitt II i förordning (EU) 2022/2554, och användning av tredjepartsleverantörer av IKT-tjänster som inte är det.
Användning av tredjepartsleverantörer av IKT-tjänster som är auktoriserade, registrerade eller föremål för tillsyn eller övervakning av en tillsynsmyndighet i ett tredjeland, och användning av tredjepartsleverantörer av IKT-tjänster som inte är det.
Huruvida tillhandahållandet av IKT-tjänster som stöder kritiska eller viktiga funktioner är koncentrerat till en enda tredjepartsleverantör av IKT-tjänster eller ett litet antal sådana tjänsteleverantörer.
Överlåtbarheten av IKT-tjänster som stöder kritiska eller viktiga funktioner till en annan tredjepartsleverantör av IKT-tjänster, även till följd av teknikspecifika egenskaper.
Den potentiella inverkan av störningar i tillhandahållandet av IKT-tjänster som stöder kritiska eller viktiga funktioner på kontinuiteten i den finansiella entitetens verksamhet och på tillgången till dess tjänster.