Член 2

Съдържание, структура и формат на информацията, която се подава, оповестява или докладва от третите страни доставчици на услуги в областта на ИКТ

1.Третите страни критични доставчици на услуги в областта на ИКТ предоставят на водещия надзорник, при поискване от негова страна, всякаква информация, която му е необходима за изпълнение на надзорните му задължения в съответствие с изискванията на Регламент (ЕС) 2022/2554.

2.Информацията, посочена в параграф 1 включва, наред с другото, следното:

а) информация относно договореностите и копия от договорните документи между:

i) третата страна критичен доставчик на услуги в областта на ИКТ и финансовите субекти, посочени в член 2, параграф 1 от Регламент (ЕС) 2022/2554;

ii) третата страна критичен доставчик на услуги в областта на ИКТ и нейните подизпълнители с цел обхващане на технологичната верига на стойността на услугите в областта на ИКТ, предоставяни на финансовите субекти в Съюза;

б) информация за организационната структура и структурата на групата на третата страна критичен доставчик на услуги в областта на ИКТ, включително идентифициране на всички субекти, принадлежащи към същата група, които пряко или непряко предоставят услуги в областта на ИКТ на финансови субекти в Съюза;

в) информация за основните акционери, включително тяхната структура и географско разпределение, на всеки от следните субекти:

i) субекти, които притежават, самостоятелно или съвместно със свързани с тях субекти, 25 % или повече от капитала или правата на глас на третата страна критичен доставчик на услуги в областта на ИКТ;

ii) субекти, които имат право да назначават или отстраняват мнозинството от членовете на административния, управителния или надзорния орган на третата страна критичен доставчик на услуги в областта на ИКТ;

iii)

субекти, които по силата на споразумение контролират мнозинството от правата на глас на акционерите или членовете в третата страна критичен доставчик на услуги в областта на ИКТ;

г) информация за пазарния дял на третата страна критичен доставчик на услуги в областта на ИКТ по видове услуги на съответните пазари, на които тя оперира;

д) информация за правилата за вътрешно управление на третата страна критичен доставчик на услуги в областта на ИКТ, включително структурата с области на управленска отговорност и правила за отчетност;

е) протоколите от заседанията на ръководния орган на третата страна критичен доставчик на услуги в областта на ИКТ и на всички други съответни вътрешни комитети, които по някакъв начин се отнасят до дейностите и рисковете, свързани с услугите от трети страни в областта на ИКТ, подпомагащи функциите на финансовите субекти в рамките на Съюза;

ж) информация за сигурността на ИКТ на третата страна критичен доставчик на услуги в областта на ИКТ, включително съответните стратегии, цели, политики, процедури, протоколи, процеси, мерки за контрол за защита на чувствителни данни, контрол на достъпа, практики за криптиране, планове за реакция при инциденти, както и информация за спазването на всички съответни разпоредби и национални и международни стандарти, когато е приложимо;

з) информация за техническите и организационните мерки за осигуряване на защита и поверителност на данните, включително лични и нелични данни, прилагани мерки за контрол за защита на чувствителни данни, контрол на достъпа, практики за криптиране, план за реакция при нарушаване на сигурността на данните; когато по отношение на обработването на лични данни третата страна доставчик на услуги в областта на ИКТ е обект на закони от трети държави, включително искане за достъп от правителството на трета държава — списък на държавите и приложимите закони.

и) информация за механизмите за преносимост на данните, за преносимост на приложенията и за оперативна съвместимост, които третата страна доставчик на услуги в областта на ИКТ предлага на финансовите субекти от Съюза;

й) информация за местонахождението на центровете за данни и центровете за производство на ИКТ, използвани за целите на предоставянето на услуги на финансовите субекти, включително списък на всички съответни помещения и съоръжения на третата страна критичен доставчик на услуги в областта на ИКТ, включително извън Съюза;

к) информация за предоставянето на услуги от третата страна критичен доставчик на услуги в областта на ИКТ, включително информация за съответните правни разпоредби, приложими към личните и неличните данни, обработвани от третата страна доставчик на услуги в областта на ИКТ;

л) информация за мерките, предприети за справяне с рисковете, произтичащи от предоставянето на услуги в областта на ИКТ от третата страна критичен доставчик на услуги в областта на ИКТ и нейните подизпълнители от трети държави;

м) информация за рамката за управление на риска и рамката за управление на инциденти, включително политиките, процедурите, инструментите, механизмите и правилата за управление на доставчика на третата страна критичен доставчик на услуги в областта на ИКТ и на нейните подизпълнители, включително списък и описание на съществените инциденти с пряко или непряко въздействие върху финансовите субекти в рамките на Съюза, в т.ч. съответните подробности за определяне на значимостта на инцидента за финансовите субекти и за оценка на възможните трансгранични въздействия;

н) информация за рамката за управление на промените, включително политиките, процедурите и контрола на третата страна критичен доставчик на услуги в областта на ИКТ и нейните подизпълнители;

о) информация за цялостната рамка за реакция и възстановяване на третата страна критичен доставчик на услуги в областта на ИКТ, включително планове за непрекъснатост на дейността и свързаните с тях договорености и процедури, политика относно жизнения цикъл на разработване на софтуер, планове за реакция и възстановяване и свързаните с тях правила и процедури, както и политики, правила и процедури за съхраняване на резервни копия;

п) информация за мониторинга на качеството на изпълнение, наблюдението на сигурността и проследяването на инциденти, както и информация за механизмите за докладване, свързани с изпълнението на услугите, инцидентите и спазването на договорените споразумения и цели за нивото на обслужване или подобни договорености между третите страни критични доставчици на услуги в областта на ИКТ и финансовите субекти в Съюза;

р) информация за рамката за управление на ИКТ на третата страна критичен доставчик на услуги в областта на ИКТ, включително стратегии, политики, процедури, процеси и контрол, в т.ч. подробности за надлежната проверка и оценката на риска, извършени от третата страна критичен доставчик на услуги в областта на ИКТ по отношение на нейните подизпълнители, преди да сключи споразумение с тях, и за наблюдение на отношенията с тях, обхващащи всички съответни рискове, свързани с ИКТ и контрагентите;

с) извлечения от системите за наблюдение и сканиране на третата страна критичен доставчик на услуги в областта на ИКТ и на нейните подизпълнители, които обхващат, но не се ограничават до наблюдение на мрежата, наблюдение на сървърите, наблюдение на приложенията, наблюдение на сигурността, сканиране за уязвими места, управление на регистрите, мониторинг на качеството на изпълнение, управление на инциденти и измервания спрямо целите за надеждност, като например целите за нивото на обслужване;

т) извлечения от всяка производствена, предпроизводствена и тестова система или приложение, използвани от третата страна критичен доставчик на услуги в областта на ИКТ и нейните подизпълнители за пряко или непряко предоставяне на услуги на финансови субекти в Съюза;

у) доклади за съответствие и налични одитни доклади, както и всички съответни одитни констатации, включително одити, извършени от национални органи в Съюза и извън него, когато в споразуменията за сътрудничество със съответните органи е предвиден такъв обмен на информация, или удостоверения, получени от третата страна критичен доставчик на услуги в областта на ИКТ или от нейните подизпълнители, включително доклади от вътрешни и външни одитори, удостоверения или оценки на съответствието със специфичните за отрасъла стандарти. Това включва информация за всички видове налични независими тестове на устойчивостта на системите на ИКТ на третата страна критичен доставчик на услуги в областта на ИКТ, включително всички видове тестване за проникване, извършени от третата страна доставчик на услуги в областта на ИКТ;

ф) информация за всички оценки, извършени от третата страна критичен доставчик на услуги в областта на ИКТ по негово искане или от негово име, с които се оценява пригодността и почтеността на лицата, заемащи ключови позиции в структурата на третата страна критичен доставчик на услуги в областта на ИКТ;

х) информация за всеки план за корективни мерки за изпълнение на препоръките съгласно член 3, както и съответната свързана информация, за да се потвърди, че корективните мерки са били приложени;

ц) информация за наличните схеми за обучение на служителите и програми за повишаване на осведомеността по въпросите на сигурността, включително, когато е уместно, информация за инвестициите, ресурсите и методите на третата страна критичен доставчик на услуги в областта на ИКТ за обучение на неговите служители да обработват чувствителни финансови данни и да поддържат високи нива на сигурност;

ч) информация за дейностите на третата страна критичен доставчик на услуги в областта на ИКТ и финансови отчети, включително информация за бюджета и ресурсите, свързани с ИКТ и сигурността.