Source: OJ L, 2024/1773, 25.6.2024Current language: SV
- Digital operational resilience in the financial sector
ICT third-party service providers
- RTS on ICT third-party service provider policy
Artikel 5 Förhandsbedömning av risker
Summary What does Article 5 of the RTS on ICT third-party service provider policy say?
Article 5 sets out the pre-contractual obligations that must be embedded in a financial entity's policy before any contractual arrangement with an ICT third-party service provider is concluded.
It establishes two clear prerequisites: first, that business needs are defined upfront, and second, that a thorough risk assessment is carried out.
The risk assessment requirement is notably detailed, covering a broad range of risk categories that must be evaluated, from operational and legal risks through to data location risks and ICT concentration risks.
This article connects directly to Article 4, which governs the lifecycle of contractual arrangements, by anchoring the planning phase of that lifecycle in a structured, risk-informed approach.
Important points:
- Define business needs and conduct a risk assessment before entering into any contractual arrangement with an ICT third-party service provider.
- The risk assessment must be conducted at financial entity level and, where applicable, at consolidated and sub-consolidated level.
- The risk assessment must cover a wide range of risk categories, including ICT concentration risks at entity level and risks linked to the location where data is processed and stored.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Riktlinjerna ska omfatta krav på att den finansiella entitetens affärsbehov fastställs innan ett kontraktsmässigt arrangemang ingås.
Riktlinjerna ska omfatta krav på att en riskbedömning görs på finansiell entitetsnivå och, i tillämpliga fall, på grupp- och undergruppsnivå innan ett kontraktsmässigt arrangemang ingås.
Riskbedömningen ska beakta alla relevanta krav i förordning (EU) 2022/2554 och tillämplig sektorsspecifik unionslagstiftning. Den ska särskilt beakta hur tillhandahållandet av IKT-tjänster som stöder kritiska eller viktiga funktioner från tredjepartsleverantörer av IKT-tjänster påverkar den finansiella entiteten och alla de risker som är förknippade med tillhandahållandet av dessa IKT-tjänster som stöder kritiska eller viktiga funktioner från tredjepartsleverantörer av IKT-tjänster, inbegripet följande:
Operativa risker.
Rättsliga risker.
IKT-risker.
Anseenderisker.
Risker kopplade till skyddet av konfidentiella uppgifter eller personuppgifter.
Risker kopplade till tillgången till uppgifter.
Risker kopplade till den plats där uppgifterna behandlas och lagras.
Risker kopplade till den plats där tredjepartsleverantören av IKT-tjänster befinner sig.
IKT-koncentrationsrisker på entitetsnivå.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
IKT-risk
(En. ICT risk)
Definition
IKT-tjänster
(En. ICT services)
Definition
tredjepartsleverantör av IKT-tjänster
(En. ICT third-party service provider)
Definition
nätverks- och informationssystem
(En. network and information system)
Definition
säkerhet i nätverks- och informationssystem
(En. security of network and information systems)
Definition
IKT-koncentrationsrisk
(En. ICT concentration risk)