(1) С рамката за оперативна устойчивост на цифровите технологии във финансовия сектор, създадена с Регламент (ЕС) 2022/2554, се въвежда надзорна рамка на Съюза за третите страни доставчици на услуги в областта на информационните и комуникационните технологии (ИКТ) за финансовия сектор, определени като критични в съответствие с член 31 от посочения регламент.

(2) Третата страна доставчик на услуги в областта на ИКТ, която реши да подаде доброволно искане да бъде определена като критичен доставчик, следва да предостави на Европейския надзорен орган (ЕНО) получател цялата необходима информация, за да докаже своя критичен характер в съответствие с принципите и критериите, определени в Регламент (ЕС) 2022/2554. Поради тази причина информацията, която трябва да бъде включена в заявлението за доброволно искане, следва да бъде достатъчно подробна и пълна, за да даде възможност за ясна и пълна оценка на критичния характер съгласно член 31, параграф 11 от посочения регламент. Съответният ЕНО следва да отхвърли всяко непълно заявление и да изиска липсващата информация.

(3) Правната идентификация на третите страни доставчици на услуги в областта на ИКТ в обхвата на настоящия регулаторен технически стандарт следва да бъде приведена в съответствие с идентификационния код, посочен в регламента за изпълнение на Комисията, приет в съответствие с член 28, параграф 9 от Регламент (ЕС) 2022/2554.

(4) Като последващо действие във връзка с препоръките, отправени от водещия надзорник към третите страни критични доставчици на услуги в областта на ИКТ, водещият надзорник следва да контролира спазването на препоръките от третите страни критични доставчици на услуги в областта на ИКТ. С цел да се осигури ефикасен и ефективен мониторинг на действията, които са предприети, или на корективните мерки, които са приложени от третите страни критични доставчици на услуги в областта на ИКТ, във връзка с тези препоръки, водещият надзорник следва да може да изисква докладите, посочени в член 35, параграф 1, буква в) от Регламент (ЕС) 2022/2554, които следва да бъдат предназначени за междинни доклади за напредъка и окончателни доклади.

(5) За целите на оценката, посочена в член 42, параграф 1 от Регламент (ЕС) 2022/2554, съгласно която водещият надзорник е длъжен да прецени дали предоставеното от третата страна критичен доставчик на услуги в областта на ИКТ обяснение е достатъчно, уведомяването на водещия надзорник от страна на третата страна критичен доставчик на услуги в областта на ИКТ за намерението му да следва получените препоръки следва да бъде допълнено с описание на действията и мерките, предприети за намаляване на рисковете, посочени в препоръките, заедно със съответните им срокове. Това обяснение следва да бъде под формата на план за корективни мерки.

(6) Тъй като от водещия надзорник се очаква да оцени споразуменията за възлагане на подизпълнители на третата страна критичен доставчик на услуги в областта на ИКТ, е необходимо да се разработи образец за предоставяне на информация за тези споразумения. В образеца следва да се вземе предвид фактът, че третите страни критични доставчици на услуги в областта на ИКТ имат различни структури от финансовите субекти.

(7) След като водещият надзорник издаде препоръки към трета страна критичен доставчик на услуги в областта на ИКТ и компетентните органи информират съответните финансови субекти за рисковете, посочени в тези препоръки, водещият надзорник следва да наблюдава и оценява изпълнението от третата страна критичен доставчик на услуги в областта на ИКТ на действията и корективните мерки за изпълнение на препоръките. Компетентните органи следва да наблюдават и оценяват степента, в която финансовите субекти са изложени на рисковете, установени в тези препоръки. С цел да се поддържат еднакви условия на конкуренция при изпълнението на съответните им задачи, особено когато рисковете, установени в препоръките, са сериозни и се споделят сред голям брой финансови субекти в няколко държави членки, както компетентните органи, така и водещият надзорник следва да споделят помежду си всички съответни констатации, които са им необходими за изпълнението на съответните им задачи. Целта на споделянето на информация е да се гарантира, че обратната информация от водещия надзорник до третата страна критичен доставчик на услуги в областта на ИКТ във връзка с действията и корективните мерки, предприети от последния, отчита въздействието върху рисковете за финансовите субекти и че надзорните дейности, извършвани от компетентните органи, се основават на оценката, извършена от водещия надзорник.

(8) За да се даде възможност за ефикасен и ефективен обмен на информация, компетентните органи следва да оценяват, като част от надзорните си дейности, степента, в която поднадзорните им финансови субекти са изложени на рисковете, посочени в препоръките. Тази оценка следва да се извършва по пропорционален и основан на риска начин. Водещият надзорник следва да поиска от компетентните органи да споделят резултатите от тази оценка в конкретните случаи, при които рисковете, свързани с препоръките, са сериозни и са споделени между голям брой финансови субекти в няколко държави членки. За да се използват по най-добрия начин ресурсите на компетентните органи, при искане за предоставяне на резултатите от оценката водещият надзорник следва винаги да взема предвид, че целта на тези искания е да се оцени изпълнението на действията и корективните мерки, предприети от третите страни критични доставчици на услуги в областта на ИКТ.

(9) В съответствие с член 42, параграф 1 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета (2) беше проведена консултация с Европейския надзорен орган по защита на данните, който прие становище на 22 юли 2024 г.

(10) Настоящият регламент е изготвен въз основа на проектите на регулаторни технически стандарти, представени на Комисията от ЕНО.

(11) Съвместният комитет на ЕНО проведе открити обществени консултации по проектите на регулаторни технически стандарти, въз основа на които е изготвен настоящият регламент, анализира потенциалните разходи и ползи и поиска становище от Групата на участниците от банковия сектор, създадена в съответствие с член 37 от Регламент (ЕС) № 1093/2010 на Европейския парламент и на Съвета (3), Групата на участниците от сектора на застраховането и презастраховането и Групата на участниците от професионалните пенсионни фондове, създадени в съответствие с член 37 от Регламент (ЕС) № 1094/2010 на Европейския парламент и на Съвета (4), и Групата на участниците от сектора на ценните книжа и пазарите, създадена в съответствие с член 37 от Регламент (ЕС) № 1095/2010 на Европейския парламент и на Съвета (5),

Член 1

Информация, която трябва да бъде предоставена от трета страна доставчик на услуги в областта на ИКТ в заявлението за определянето ѝ за критичен доставчик

1.Третата страна доставчик на услуги в областта на информационните и комуникационните технологии (ИКТ) предоставя следната информация в мотивираното заявление за доброволно искане по член 31, параграф 11 от Регламент (ЕС) 2022/2554, за да бъде определена за критичен доставчик съгласно член 31, параграф 1, буква а) от Регламент (ЕС) 2022/2554:

а) наименование на юридическото лице;

б) идентификационен код на юридическото лице;

в) име на лицето за контакт и данни за контакт с третата страна критичен доставчик на услуги в областта на ИКТ;

г) държава, в която се намира седалището на юридическото лице;

д) описание на корпоративната структура, включващо поне информация за дружеството майка и други свързани предприятия, предоставящи услуги в областта на ИКТ на финансови субекти от Съюза. Тази информация включва, когато е приложимо:

i) наименование на юридическите лица;

ii) идентификационен код на юридическото лице;

iii)

държава, в която се намира седалището на юридическото лице;

е) приблизителна оценка на пазарния дял на третата страна доставчик на услуги в областта на ИКТ във финансовия сектор на Съюза и приблизителна оценка на пазарния дял по видове финансови субекти, както са посочени в член 2, параграф 1 от Регламент (ЕС) 2022/2554, към годината на подаване на заявлението за определяне като критичен доставчик и към годината преди това заявление;

ж) описание на всяка услуга в областта на ИКТ, предоставяна на финансовите субекти от Съюза, включително:

i) описание на естеството на дейността и вида на услугите в областта на ИКТ, предоставяни на финансови субекти;

ii) списък на функциите на финансовите субекти, поддържани от предоставяните услуги в областта на ИКТ, когато има такива;

iii)

информация дали услугите в областта на ИКТ, предоставяни на финансовите субекти, поддържат критични или важни функции, когато има такива;

з) списък на финансовите субекти, които използват услугите в областта на ИКТ, предоставяни от третата страна доставчик на услуги в областта на ИКТ, включително следната информация за всеки от обслужваните финансови субекти, когато има такава:

i) наименование на юридическото лице;

ii) идентификационен код на юридическото лице, ако е известен на третата страна доставчик на услуги в областта на ИКТ;

iii)

вид на финансовия субект, както е посочено в член 2, параграф 1 от Регламент (ЕС) 2022/2554;

iv) географското местоположение, от което се предоставят услугите в областта на ИКТ на конкретното юридическо лице;

и) списък на третите страни критични доставчици на услуги в областта на ИКТ, включени в последния наличен списък на тези доставчици, публикуван от ЕНО в съответствие с член 31, параграф 9 от Регламент (ЕС) 2022/2554, които разчитат на услугите, предоставяни от заявителя, когато има такива;

й) самооценка по отношение на следното:

i) степента на заменяемост на всяка услуга в областта на ИКТ, предоставяна от заявителя, като се вземе предвид следното:

— пазарният дял на третата страна доставчик на услуги в областта на ИКТ във финансовия сектор на Съюза;

— броят на известните съответни конкуренти по вид услуги в областта на ИКТ или група услуги в областта на ИКТ;

— описание на специфичните особености, свързани с предлаганите услуги в областта на ИКТ, включително по отношение на всяка патентована технология, или специфичните характеристики на организацията или дейността на третата страна доставчик на услуги в областта на ИКТ;

ii) информация за наличието на алтернативни трети страни доставчици на услуги в областта на ИКТ, които предоставят същите услуги в областта на ИКТ като подаващата заявлението трета страна доставчик на услуги в областта на ИКТ;

к) информация за бъдеща бизнес стратегия във връзка с предоставянето на услуги и инфраструктура в областта на ИКТ на финансови субекти в Съюза, включително всякакви планирани промени в структурата на групата или управлението, навлизане на нови пазари или в нови дейности;

л) идентифициране на подизпълнителите на третата страна доставчик на услуги в областта на ИКТ, които са определени като трети страни критични доставчици на услуги в областта на ИКТ;

м) всякакви други причини, свързани със заявлението на третата страна доставчик на услуги в областта на ИКТ за определянето ѝ за критичен доставчик.

2.Когато третата страна доставчик на услуги в областта на ИКТ е част от група, информацията, посочена в параграф 1, се предоставя във връзка с услугите в областта на ИКТ, предоставяни от групата като цяло.

Член 2

Съдържание, структура и формат на информацията, която се подава, оповестява или докладва от третите страни доставчици на услуги в областта на ИКТ

1.Третите страни критични доставчици на услуги в областта на ИКТ предоставят на водещия надзорник, при поискване от негова страна, всякаква информация, която му е необходима за изпълнение на надзорните му задължения в съответствие с изискванията на Регламент (ЕС) 2022/2554.

2.Информацията, посочена в параграф 1 включва, наред с другото, следното:

а) информация относно договореностите и копия от договорните документи между:

i) третата страна критичен доставчик на услуги в областта на ИКТ и финансовите субекти, посочени в член 2, параграф 1 от Регламент (ЕС) 2022/2554;

ii) третата страна критичен доставчик на услуги в областта на ИКТ и нейните подизпълнители с цел обхващане на технологичната верига на стойността на услугите в областта на ИКТ, предоставяни на финансовите субекти в Съюза;

б) информация за организационната структура и структурата на групата на третата страна критичен доставчик на услуги в областта на ИКТ, включително идентифициране на всички субекти, принадлежащи към същата група, които пряко или непряко предоставят услуги в областта на ИКТ на финансови субекти в Съюза;

в) информация за основните акционери, включително тяхната структура и географско разпределение, на всеки от следните субекти:

i) субекти, които притежават, самостоятелно или съвместно със свързани с тях субекти, 25 % или повече от капитала или правата на глас на третата страна критичен доставчик на услуги в областта на ИКТ;

ii) субекти, които имат право да назначават или отстраняват мнозинството от членовете на административния, управителния или надзорния орган на третата страна критичен доставчик на услуги в областта на ИКТ;

iii)

субекти, които по силата на споразумение контролират мнозинството от правата на глас на акционерите или членовете в третата страна критичен доставчик на услуги в областта на ИКТ;

г) информация за пазарния дял на третата страна критичен доставчик на услуги в областта на ИКТ по видове услуги на съответните пазари, на които тя оперира;

д) информация за правилата за вътрешно управление на третата страна критичен доставчик на услуги в областта на ИКТ, включително структурата с области на управленска отговорност и правила за отчетност;

е) протоколите от заседанията на ръководния орган на третата страна критичен доставчик на услуги в областта на ИКТ и на всички други съответни вътрешни комитети, които по някакъв начин се отнасят до дейностите и рисковете, свързани с услугите от трети страни в областта на ИКТ, подпомагащи функциите на финансовите субекти в рамките на Съюза;

ж) информация за сигурността на ИКТ на третата страна критичен доставчик на услуги в областта на ИКТ, включително съответните стратегии, цели, политики, процедури, протоколи, процеси, мерки за контрол за защита на чувствителни данни, контрол на достъпа, практики за криптиране, планове за реакция при инциденти, както и информация за спазването на всички съответни разпоредби и национални и международни стандарти, когато е приложимо;

з) информация за техническите и организационните мерки за осигуряване на защита и поверителност на данните, включително лични и нелични данни, прилагани мерки за контрол за защита на чувствителни данни, контрол на достъпа, практики за криптиране, план за реакция при нарушаване на сигурността на данните; когато по отношение на обработването на лични данни третата страна доставчик на услуги в областта на ИКТ е обект на закони от трети държави, включително искане за достъп от правителството на трета държава — списък на държавите и приложимите закони.

и) информация за механизмите за преносимост на данните, за преносимост на приложенията и за оперативна съвместимост, които третата страна доставчик на услуги в областта на ИКТ предлага на финансовите субекти от Съюза;

й) информация за местонахождението на центровете за данни и центровете за производство на ИКТ, използвани за целите на предоставянето на услуги на финансовите субекти, включително списък на всички съответни помещения и съоръжения на третата страна критичен доставчик на услуги в областта на ИКТ, включително извън Съюза;

к) информация за предоставянето на услуги от третата страна критичен доставчик на услуги в областта на ИКТ, включително информация за съответните правни разпоредби, приложими към личните и неличните данни, обработвани от третата страна доставчик на услуги в областта на ИКТ;

л) информация за мерките, предприети за справяне с рисковете, произтичащи от предоставянето на услуги в областта на ИКТ от третата страна критичен доставчик на услуги в областта на ИКТ и нейните подизпълнители от трети държави;

м) информация за рамката за управление на риска и рамката за управление на инциденти, включително политиките, процедурите, инструментите, механизмите и правилата за управление на доставчика на третата страна критичен доставчик на услуги в областта на ИКТ и на нейните подизпълнители, включително списък и описание на съществените инциденти с пряко или непряко въздействие върху финансовите субекти в рамките на Съюза, в т.ч. съответните подробности за определяне на значимостта на инцидента за финансовите субекти и за оценка на възможните трансгранични въздействия;

н) информация за рамката за управление на промените, включително политиките, процедурите и контрола на третата страна критичен доставчик на услуги в областта на ИКТ и нейните подизпълнители;

о) информация за цялостната рамка за реакция и възстановяване на третата страна критичен доставчик на услуги в областта на ИКТ, включително планове за непрекъснатост на дейността и свързаните с тях договорености и процедури, политика относно жизнения цикъл на разработване на софтуер, планове за реакция и възстановяване и свързаните с тях правила и процедури, както и политики, правила и процедури за съхраняване на резервни копия;

п) информация за мониторинга на качеството на изпълнение, наблюдението на сигурността и проследяването на инциденти, както и информация за механизмите за докладване, свързани с изпълнението на услугите, инцидентите и спазването на договорените споразумения и цели за нивото на обслужване или подобни договорености между третите страни критични доставчици на услуги в областта на ИКТ и финансовите субекти в Съюза;

р) информация за рамката за управление на ИКТ на третата страна критичен доставчик на услуги в областта на ИКТ, включително стратегии, политики, процедури, процеси и контрол, в т.ч. подробности за надлежната проверка и оценката на риска, извършени от третата страна критичен доставчик на услуги в областта на ИКТ по отношение на нейните подизпълнители, преди да сключи споразумение с тях, и за наблюдение на отношенията с тях, обхващащи всички съответни рискове, свързани с ИКТ и контрагентите;

с) извлечения от системите за наблюдение и сканиране на третата страна критичен доставчик на услуги в областта на ИКТ и на нейните подизпълнители, които обхващат, но не се ограничават до наблюдение на мрежата, наблюдение на сървърите, наблюдение на приложенията, наблюдение на сигурността, сканиране за уязвими места, управление на регистрите, мониторинг на качеството на изпълнение, управление на инциденти и измервания спрямо целите за надеждност, като например целите за нивото на обслужване;

т) извлечения от всяка производствена, предпроизводствена и тестова система или приложение, използвани от третата страна критичен доставчик на услуги в областта на ИКТ и нейните подизпълнители за пряко или непряко предоставяне на услуги на финансови субекти в Съюза;

у) доклади за съответствие и налични одитни доклади, както и всички съответни одитни констатации, включително одити, извършени от национални органи в Съюза и извън него, когато в споразуменията за сътрудничество със съответните органи е предвиден такъв обмен на информация, или удостоверения, получени от третата страна критичен доставчик на услуги в областта на ИКТ или от нейните подизпълнители, включително доклади от вътрешни и външни одитори, удостоверения или оценки на съответствието със специфичните за отрасъла стандарти. Това включва информация за всички видове налични независими тестове на устойчивостта на системите на ИКТ на третата страна критичен доставчик на услуги в областта на ИКТ, включително всички видове тестване за проникване, извършени от третата страна доставчик на услуги в областта на ИКТ;

ф) информация за всички оценки, извършени от третата страна критичен доставчик на услуги в областта на ИКТ по негово искане или от негово име, с които се оценява пригодността и почтеността на лицата, заемащи ключови позиции в структурата на третата страна критичен доставчик на услуги в областта на ИКТ;

х) информация за всеки план за корективни мерки за изпълнение на препоръките съгласно член 3, както и съответната свързана информация, за да се потвърди, че корективните мерки са били приложени;

ц) информация за наличните схеми за обучение на служителите и програми за повишаване на осведомеността по въпросите на сигурността, включително, когато е уместно, информация за инвестициите, ресурсите и методите на третата страна критичен доставчик на услуги в областта на ИКТ за обучение на неговите служители да обработват чувствителни финансови данни и да поддържат високи нива на сигурност;

ч) информация за дейностите на третата страна критичен доставчик на услуги в областта на ИКТ и финансови отчети, включително информация за бюджета и ресурсите, свързани с ИКТ и сигурността.

Член 3

Информация от третите страни критични доставчици на услуги в областта на ИКТ след издаването на препоръки

1.Третата страна критичен доставчик на услуги в областта на ИКТ предоставя на водещия надзорник доклад, съдържащ план за корективни мерки във връзка с препоръките и корективните мерки, които третата страна критичен доставчик на услуги в областта на ИКТ планира да приложи, за да намали рисковете, установени в препоръките, посочени в член 35, параграф 1, буква г) от Регламент (ЕС) 2022/2254. Докладът е съобразен със сроковете, определени от водещия надзорник за всяка препоръка.

2.За да се даде възможност за наблюдение на изпълнението на действията или корективните мерки, които са били предприети от третата страна критичен доставчик на услуги в областта на ИКТ във връзка с получените препоръки, третата страна критичен доставчик на услуги в областта на ИКТ, споделя с водещия надзорник при поискване:

а) неокончателните доклади за напредъка и свързаните с тях оправдателни документи, в които се посочва напредъкът в изпълнението на действията и мерките, посочени в доклада, предоставен на водещия надзорник от третата страна критичен доставчик на услуги в областта на ИКТ, в срока, определен от водещия надзорник;

б) окончателните доклади и свързаните с тях оправдателни документи, в които се посочват действията или корективните мерки, които са били предприети от третата страна критичен доставчик на услуги в областта на ИКТ за намаляване на рисковете, установени в получените препоръки.

Член 4

Структура и формат на информацията, предоставяна от третите страни критични доставчици на услуги в областта на ИКТ

1.Третата страна критичен доставчик на услуги в областта на ИКТ предоставя исканата информация на водещия надзорник по специалните защитени електронни канали, посочени от същия в неговото искане, и във формата, определена от него.

2.Когато предоставят информация на водещия надзорник, третите страни критични доставчици на услуги в областта на ИКТ:

а) следват структурата, посочена от водещия надзорник в искането му за информация;

б) ясно посочват съответната информация в представената документация.

3.Информацията, която се подава, оповестява или докладва на водещия надзорник от третата страна критичен доставчика на услуги в областта на ИКТ, е на език, който е обичаен в сферата на международните финанси.

Член 5

Образец за предоставяне на информация за споразуменията за възлагане на подизпълнители

Третата страна критичен доставчик на услуги в областта на ИКТ, от която се изисква да споделя информация за споразуменията за възлагане на подизпълнители, предоставя информацията на водещия надзорник в съответствие с образеца, посочен в приложението.

Член 6

Оценка от страна на компетентните органи на рисковете, разгледани в препоръките на водещия надзорник

1.Като част от своя надзор върху финансовите субекти компетентният орган оценява въздействието върху финансовите субекти на мерките, предприети от третата страна критичен доставчик на услуги в областта на ИКТ, въз основа на препоръките на водещия надзорник в съответствие с принципа на пропорционалност.

2.При извършване на оценката, посочена в параграф 1, компетентният орган взема предвид всички изброени по-долу елементи:

а) адекватността и съгласуваността на корективните и коригиращите мерки, прилагани от финансовите субекти за намаляване на рисковете, установени в препоръките;

б) оценката, направена от водещия надзорник, на спазването от третата страна критичен доставчик на услуги в областта на ИКТ на мерките и действията, включени в доклада, когато това оказва въздействие върху излагането на финансовите субекти, попадащи в обхвата на неговата компетентност, на рисковете, посочени в препоръките;

в) мнението на всички други компетентни органи, с които са проведени консултации в съответствие с член 42, параграф 5 от Регламент (ЕС) 2022/2554;

г) дали водещият надзорник е счел, че действията и корективните мерки, предприети от третата страна критичен доставчик на услуги в областта на ИКТ, са подходящи за намаляване на излагането на финансовите субекти, попадащи в обхвата на неговата компетентност, на рисковете, посочени в препоръките;

3.При поискване от страна на водещия надзорник компетентният орган предоставя в разумен срок резултатите от оценката, посочена в параграф 1. Когато изисква резултатите от тази оценка, водещият надзорник взема предвид принципа на пропорционалност и размера на рисковете, свързани с препоръките, включително трансграничното въздействие на тези рискове, когато те засягат финансови субекти, извършващи дейност в повече от една държава членка.

4.Когато е уместно, компетентният орган изисква от финансовите субекти да предоставят всякаква информация, необходима за извършване на оценката, посочена в параграф 1.

Член 7

Влизане в сила

Настоящият регламент влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.