Art. 9 Övervakning av de kontraktsmässiga arrangemangen | RTS on ICT third-party service provider policy | DORA

Article 9 focuses on the ongoing monitoring and performance management of ICT third-party service providers once contractual arrangements are in place.

Building on the pre-contractual due diligence requirements established in earlier articles, this article shifts the focus to the live relationship — requiring financial entities to embed continuous oversight mechanisms into their policy.

It covers how performance is measured, how shortcomings are to be identified and remedied, and crucially, how the findings from monitoring feed back into the financial entity's broader risk assessment process established under Article 6.

Important points:

Establish ongoing monitoring of ICT third-party service providers through key indicators, regular reporting, audits, and incident notification requirements embedded in your contractual arrangements.
Document all performance assessments and use the results to update your risk assessment, directly linking day-to-day monitoring back to the entity-level risk framework.
Define clear remediation measures and a monitored implementation timeframe for when shortcomings or incidents are identified in the provision of ICT services supporting critical or important functions.

1. Riktlinjerna ska omfatta krav på att de kontraktsmässiga arrangemangen specificerar åtgärder och nyckelindikatorer för att löpande övervaka prestandan hos tredjepartsleverantörer av IKT-tjänster, inklusive åtgärder för att övervaka efterlevnaden av krav avseende sekretess, tillgänglighet, integritet och äkthet för data och information, och att tredjepartsleverantörer av IKT-tjänster följer den finansiella entitetens relevanta riktlinjer och förfaranden. I riktlinjerna ska också anges vilka åtgärder som ska tillämpas när servicenivåavtal inte uppfylls, inklusive avtalsenliga påföljder när så är lämpligt.
1. I riktlinjerna ska anges hur den finansiella entiteten ska bedöma huruvida de tredjepartsleverantörer av IKT-tjänster som används för IKT-tjänster som stöder kritiska eller viktiga funktioner uppfyller lämpliga prestanda- och kvalitetsstandarder i linje med det kontraktsmässiga arrangemanget och den finansiella entitetens egna riktlinjer. Riktlinjerna ska särskilt säkerställa följande:
  1. Att tredjepartsleverantörerna av IKT-tjänster lämnar lämpliga rapporter om sin verksamhet och sina tjänster till den finansiella entiteten, inklusive periodiska rapporter, incidentrapporter, rapporter om tillhandahållande av tjänster, rapporter om IKT-säkerhet och rapporter om kontinuitetsåtgärder och tester.
  2. Att prestandan för tredjepartsleverantören av IKT-tjänster bedöms med hjälp av nyckelutförandeindikatorer, centrala kontrollindikatorer, revisioner, självcertifieringar och oberoende granskningar i linje med den finansiella entitetens IKT-riskhanteringsram.
  3. Att den finansiella entiteten får annan relevant information från tredjepartsleverantörer av IKT-tjänster.
  4. Att den finansiella entiteten i förekommande fall underrättas om IKT-relaterade incidenter och betalningsrelaterade operativa incidenter eller säkerhetsincidenter.
  5. Att en oberoende översyn och revision genomförs för att kontrollera efterlevnaden av lagstadgade krav och riktlinjer.
1. I riktlinjerna ska det anges att den bedömning som avses i punkt 2 ska dokumenteras och att dess resultat ska användas för att uppdatera den finansiella entitetens riskbedömning enligt artikel 6.
1. Riktlinjerna ska fastställa de lämpliga åtgärder som den finansiella entiteten ska vidta om den identifierar brister hos tredjepartsleverantörer av IKT-tjänster, inklusive IKT-relaterade incidenter och betalningsrelaterade operativa incidenter eller säkerhetsincidenter, i tillhandahållandet av IKT-tjänster som stöder kritiska eller viktiga funktioner eller i efterlevnaden av kontraktsmässiga arrangemang eller rättsliga krav. De ska också ange hur genomförandet av sådana åtgärder ska övervakas för att säkerställa att de efterlevs effektivt inom en fastställd tidsram, med beaktande av bristernas väsentlighet.