Source: OJ L, 2024/1773, 25.6.2024

Current language: SV

Artikel 3 Organisationsstyrning

Summary What does Article 3 of the RTS on ICT third-party service provider policy say?

Article 3 is a substantive and detailed article that sets out the core content requirements for the policy introduced in Article 1.

It covers the governance, maintenance, and structural obligations that the policy must embed, spanning everything from how the policy is kept current, to how responsibilities are assigned internally, to how contractual arrangements with ICT third-party service providers must align with DORA's broader framework.

A key theme running throughout is accountability: the management body owns the policy, senior management is named as responsible for oversight, and the financial entity retains ultimate responsibility regardless of what is outsourced.

Important points:

  • Ensure your policy is reviewed by the management body at least once a year, updated where necessary, and that any changes are implemented in a timely manner with a documented timeline.
  • Embed clear internal governance into the policy, including named senior management responsibility for monitoring contractual arrangements, defined reporting lines to the management body, and assigned responsibilities for approval, management, control, and documentation.
  • Contractual arrangements with ICT third-party service providers must not relieve the financial entity of its regulatory obligations, must not obstruct supervisory access, and must align with DORA's ICT risk management, information security, business continuity, and incident reporting requirements.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Ledningsorganet ska se över riktlinjerna minst en gång om året och vid behov uppdatera dem. Ändringar av riktlinjerna ska genomföras i god tid och så snart det är möjligt inom ramen för de relevanta kontraktsmässiga arrangemangen. Den finansiella entiteten ska dokumentera den planerade tidsplanen för genomförandet.

    1. I riktlinjerna ska det fastställas eller hänvisas till en metod för att fastställa vilka IKT-tjänster som stöder kritiska eller viktiga funktioner. I riktlinjerna ska också anges när denna bedömning ska genomföras och ses över.

    1. I riktlinjerna ska det interna ansvaret för godkännande, förvaltning, kontroll och dokumentation av relevanta kontraktsmässiga arrangemang anges tydligt och det ska säkerställas att lämplig kompetens, erfarenhet och kunskap upprätthålls inom den finansiella entiteten för att effektivt övervaka de relevanta kontraktsmässiga arrangemangen, inbegripet de IKT-tjänster som tillhandahålls enligt dessa arrangemang.

    1. Utan att det påverkar den finansiella entitetens slutliga ansvar att effektivt övervaka relevanta kontraktsmässiga arrangemang, ska riktlinjerna kräva att tredjepartsleverantören av IKT-tjänster bedöms ha tillräckliga resurser för att säkerställa att den finansiella entiteten uppfyller alla lagstadgade krav avseende de IKT-tjänster som stöder kritiska eller viktiga funktioner som tillhandahålls.

    1. I riktlinjerna ska det tydligt anges vilken roll i eller vilken medlem av den högre ledningen som ansvarar för att övervaka de relevanta avtalsarrangemangen. Riktlinjerna ska ange hur den rollen i eller medlemmen av den högre ledningen ska samarbeta med kontrollfunktionerna och fastställas rapporteringsvägar till ledningsorganet, inbegripet vilken typ av information som ska rapporteras och vilka dokument som ska tillhandahållas. Det ska också anges hur ofta sådan rapportering ska ske.

    1. Riktlinjerna ska säkerställa att de kontraktsmässiga arrangemangen är förenliga med följande:

      1. Den IKT-riskhanteringsram som avses i artikel 6 i förordning (EU) 2022/2554.

      2. De riktlinjer för informationssäkerhet som avses i artikel 9.4 i förordning (EU) 2022/2554.

      3. Den IKT-kontinuitetspolicy som avses i artikel 11 i förordning (EU) 2022/2554.

      4. De krav på incidentrapportering som anges i artikel 19 i förordning (EU) 2022/2554.

    1. Riktlinjerna ska omfatta krav på att IKT-tjänster som stöder kritiska eller viktiga funktioner och som tillhandahålls av tredjepartsleverantörer av IKT-tjänster är föremål för oberoende översyn och ingår i revisionsplanen.

    1. I riktlinjerna ska det uttryckligen anges att de kontraktsmässiga arrangemangen

      1. inte befriar den finansiella entiteten och dess ledningsorgan från deras lagstadgade skyldigheter och deras skyldigheter gentemot sina kunder,

      2. inte hindrar en effektiv tillsyn över en finansiell entitet och inte strider mot några tillsynsrestriktioner för tjänster och verksamhet,

      3. ska kräva att tredjepartsleverantörer av IKT-tjänster samarbetar med de behöriga myndigheterna,

      4. ska kräva att den finansiella entiteten, dess revisorer och behöriga myndigheter har faktisk tillgång till uppgifter och lokaler som rör användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod