Art. 6 Due diligence | RTS on ICT third-party service provider policy | DORA

This article sets out the due diligence requirements that must be embedded in the policy when selecting and assessing prospective ICT third-party service providers before entering into a contractual arrangement.

It builds directly on Article 5, which requires a risk assessment to be conducted before a contractual arrangement is concluded, and moves into the practical mechanics of vendor selection.

The article covers a broad range of assessment criteria, from the provider's technical capabilities, financial resources, and security standards, to considerations around sub-contracting, third-country data storage, audit access rights, and even ethical conduct.

It also requires the policy to define how the financial entity will achieve the necessary level of assurance over a provider's performance, drawing on a menu of tools such as audits, certifications, and third-party reports.

Important points:

Assess ICT third-party service providers against a comprehensive set of criteria before entering any contractual arrangement, covering capability, sub-contracting practices, third-country risks, audit rights, and ethical standards.
Define in the policy the required level of assurance over a provider's risk management framework, including an assessment of risk mitigation and business continuity measures.
Use one or more specified assurance tools — such as independent audits, third-party certifications, or provider-supplied reports — to validate ICT third-party service provider performance.

1. Riktlinjerna ska fastställa en lämplig och proportionell process för att välja och bedöma de potentiella tredjepartsleverantörerna av IKT-tjänster med beaktande av huruvida tredjepartsleverantören av IKT-tjänster är en koncernintern IKT-tjänsteleverantör eller inte, och ska kräva att den finansiella entiteten, innan den ingår ett kontraktsmässigt arrangemang, bedömer huruvida tredjepartsleverantören av IKT-tjänster
  1. har affärsmässigt anseende, tillräckliga förmågor, sakkunskap och tillräckliga ekonomiska, mänskliga och tekniska resurser, standarder för informationssäkerhet, lämplig organisationsstruktur, riskhantering och interna kontroller och, i tillämpliga fall, de tillstånd eller registreringar som krävs för att tillhandahålla IKT-tjänster som stöder den kritiska eller viktiga funktionen på ett tillförlitligt och professionellt sätt,
  2. har förmåga att övervaka relevant teknisk utveckling och identifiera ledande metoder på IKT-säkerhetsområdet och genomföra dem när så är lämpligt för att ha en effektiv och sund ram för digital operativ motståndskraft,
  3. använder eller avser att använda IKT-underleverantörer för att utföra IKT-tjänster som stöder kritiska eller viktiga funktioner eller väsentliga delar av dessa,
  4. är belägen, eller behandlar eller lagrar uppgifterna i ett tredjeland och, om så är fallet, huruvida denna praxis påverkar nivån av operativa risker eller anseenderisker eller risken för att påverkas av restriktiva åtgärder, inbegripet embargon och sanktioner, som kan påverka tredjepartsleverantörens förmåga att tillhandahålla IKT-tjänsterna eller den finansiella entitetens förmåga att ta emot dessa IKT-tjänster,
  5. samtycker till kontraktsmässiga arrangemang som säkerställer att det är möjligt att utföra revisioner hos tredjepartsleverantören av IKT-tjänster, även på plats, av den finansiella entiteten själv, utsedda tredje parter och behöriga myndigheter,
  6. handlar på ett etiskt och socialt ansvarsfullt sätt, respekterar mänskliga rättigheter och barns rättigheter, inbegripet förbud mot barnarbete, respekterar tillämpliga principer om miljöskydd och säkerställer lämpliga arbetsvillkor.
1. Riktlinjerna ska specificera den erforderliga säkerhetsnivå när det gäller effektiviteten hos tredjepartsleverantörers riskhanteringsram för IKT-tjänster som stöder kritiska eller viktiga funktioner som ska tillhandahållas av en tredjepartsleverantör av IKT-tjänster. Riktlinjerna ska innehålla krav på att förfarandet för due diligence omfattar en bedömning av förekomsten av riskreducerande åtgärder och åtgärder för driftskontinuitet och av hur de säkerställs inom tredjepartsleverantören av IKT-tjänster.
1. Riktlinjerna ska fastställa förfarandet för due diligence vid val och bedömning av potentiella tredjepartsleverantörer av IKT-tjänster och ange vilka av följande faktorer som ska användas för den erforderliga försäkran om tredjepartsleverantörens prestanda:
  1. Revisioner eller oberoende bedömningar som utförs av den finansiella entiteten själv eller för dess räkning,
  2. Användning av oberoende revisionsrapporter på begäran av tredjepartsleverantören av IKT-tjänster.
  3. Användning av revisionsrapporter från tredjepartsleverantörens internrevisionsfunktion.
  4. Användning av lämpliga tredjepartscertifieringar.
  5. Användning av annan relevant information som är tillgänglig för den finansiella entiteten eller annan information som tillhandahålls av tredjepartsleverantören av IKT-tjänster.
1. Finansiella entiteter ska säkerställa en lämplig säkerhetsnivå för tredjepartsleverantörens prestanda, med beaktande av de faktorer som anges i punkt 3 a–e. I förekommande fall ska fler än en av de delar som förtecknas i dessa punkter användas.