Source: OJ L, 2024/1773, 25.6.2024Current language: SV
- Digital operational resilience in the financial sector
ICT third-party service providers
- RTS on ICT third-party service provider policy
Artikel 4 Huvudfaser i livscykeln för antagandet och användningen av kontraktsmässiga arrangemang
Summary What does Article 4 of the RTS on ICT third-party service provider policy say?
Article 4 acts as a structural backbone for the broader regulation, requiring that the policy covers every major phase of a contractual arrangement's lifecycle with ICT third-party service providers.
Rather than focusing on one specific obligation, it maps out the full journey of a contractual arrangement — from planning and due diligence, through implementation and ongoing monitoring, all the way to exit and termination — ensuring nothing falls through the gaps.
It explicitly cross-references several other articles in the regulation, meaning it serves as a connecting thread that ties together the more detailed requirements found elsewhere.
Important points:
- Ensure your policy addresses every stage of the contractual arrangement lifecycle, from pre-contractual planning through to exit strategies.
- The management body must have defined responsibilities, including appropriate involvement in decision-making on the use of ICT services supporting critical or important functions.
- Documentation and record-keeping obligations must align with the register of information requirements under Article 28(3) of Regulation (EU) 2022/2554.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Riktlinjerna ska specificera kraven, inklusive reglerna, ansvarsområdena och processerna, för varje huvudfas i livscykeln för det kontraktsmässiga arrangemanget, som omfattar minst följande:
Ledningsorganets ansvar, inbegripet dess deltagande i beslutsprocessen om användningen av IKT-tjänster som stöder kritiska eller viktiga funktioner och som tillhandahålls av tredjepartsleverantörer av IKT-tjänster.
Planering av kontraktsmässiga arrangemang, inbegripet riskbedömning, due diligence enligt artiklarna 5 och 6 och godkännandeprocessen avseende nya eller väsentliga ändringar av kontraktsmässiga arrangemang enligt artikel 8.4.
Inblandning av affärsenheter, internkontroll och andra relevanta enheter med avseende på kontraktsmässiga arrangemang.
Genomförande, övervakning och förvaltning av de kontraktsmässiga arrangemang som avses i artiklarna 7, 8 och 9, inbegripet på grupp- och undergruppsnivå, i tillämpliga fall.
Dokumentation och registerhållning, med beaktande av de krav avseende informationsregistret som fastställs i artikel 28.3 i förordning (EU) 2022/2554.
Exitstrategier och uppsägningsprocesser enligt artikel 10.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
IKT-tjänster
(En. ICT services)
Definition
tredjepartsleverantör av IKT-tjänster
(En. ICT third-party service provider)