(1) Предоставянето на финансовите субекти на услуги в областта на ИКТ често се извършва чрез сложна верига от външни изпълнители в областта на ИКТ, като третите страни доставчици на услуги в областта на ИКТ сключват едно или повече споразумения за подизпълнение с други трети страни доставчици на услуги в областта на ИКТ. Косвената зависимост от такива подизпълнители може да възпрепятства финансовите субекти да установяват, оценяват и управляват своите рискове, в т.ч. породените от пропуски в предоставяната им от третите страни доставчици на услуги в областта на ИКТ информация, както и да получават информация от подизпълнителите, чиито предоставяни услуги в областта на ИКТ поддържат техни критични или важни функции или съществена част от тези функции. Следователно, предвид факта, че предоставяните им услуги в областта на ИКТ могат да следват дълга или сложна верига от подизпълнители, за финансовите субекти е изключително важно да знаят кои по веригата са подизпълнителите, чиито предоставяни услуги в областта на ИКТ поддържат техни критични или важни функции.

(2) Сред въпросните подизпълнители финансовите субекти следва да обръщат, при това неотклонно, специално внимание на тези, на които е възложена грижата за реалното функциониране на въпросните услуги, като тук спадат подизпълнителите, предоставящи услуги в областта на ИКТ, чието прекъсване би се отразило на сигурността или непрекъснатостта на услугата, въведена в информационния регистър по член 28, параграф 3 от Регламент (ЕС) 2022/2554.

(3) Финансовите субекти се различават значително по размера, структурата, вътрешната си организация и естеството и сложността на дейността си. Изискванията във връзка с елементите, които даден финансов субект следва да определи и оцени при възлагането на подизпълнител на услуги в областта на ИКТ, поддържащи негови критични или важни функции, следва да отчитат това разнообразие.

(4) Фактът, че по силата на член 30, параграф 2 от Регламент (ЕС) 2022/2554 финансов субект е разрешил на трета страна доставчик на услуги в областта на ИКТ да възложи на подизпълнител доставянето на услуги в областта на ИКТ, поддържащи критични или важни функции на този финансов субект, не намалява крайната отговорност на управителните органи на последния да управляват съответните рискове и да спазват своите нормативни и наложени от регулаторните органи задължения. Когато възлагат на подизпълнител услуги в областта на ИКТ, поддържащи техни критични или важни функции, финансовите субекти трябва да имат ясна и цялостна представа за рисковете от такова възлагане, така че да могат да ги наблюдават, управляват и редуцират. Поради това те следва да оценяват тези рискове, преди да възлагат на подизпълнител съответните услуги.

(5) Подизпълнителите доставчици на услуги в областта на ИКТ, поддържащи критични или важни функции на финансов субект или съществени части от тях, които принадлежат към групата на този финансов субект, в т.ч. когато са изцяло или колективно притежавани от финансови субекти, които са част от една и съща институционална защитна схема, следва да се смятат за подизпълнители доставчици на услуги в областта на ИКТ.

(6) Когато е приложимо, дружеството майка на финансовите субекти в групата следва да прилага в рамките на групата последователна и еднородна политика на използване на подизпълнители доставчици на услуги в областта на ИКТ, поддържащи критични или важни функции на финансовите субекти или съществена част от тези функции.

(7) Важно е потенциалните рискове от възлагането на подизпълнител на услуги в областта на ИКТ, поддържащи критични или важни функции, да се управляват всеобхватно. Това означава, че когато сключват с трета страна доставчик на услуги в областта на ИКТ договор, в т.ч. за подизпълнение, за услуги в областта на ИКТ, поддържащи тези функции, финансовите субекти трябва да следват етапите на жизнения цикъл на договорите. Поради това, в случаите, когато имат право да възлагат на подизпълнител услуги в областта на ИКТ, поддържащи техни критични или важни функции, финансовите субекти следва да спазват определени изисквания, които да бъдат отразени в договорите им с третите страни доставчици на услуги в областта на ИКТ.

(8) С цел да се редуцират рисковете от използването на подизпълнители е необходимо да се определи при какви условия трета страна доставчик на услуги в областта на ИКТ може да прибегне до подизпълнител за предоставянето на услуги в областта на ИКТ, поддържащи критични или важни функции на финансов субект. За тази цел, в договора за услуги в областта на ИКТ между финансов субект и трета страна доставчик на услуги в областта на ИКТ следва да се съдържат клаузи относно, например, планирането на договорите за подизпълнение, оценките на риска, надлежната проверка, одобряването на сключването, от третата страна доставчик на услуги в областта на ИКТ, на нов договор за подизпълнение за услуги в областта на ИКТ, поддържащи критични или важни функции или съществени части от тях, или на внасянето от него на съществени изменения в действащ такъв договор.

(9) С цел да се установят потенциалните рискове преди финансовият субект да сключи договор с подизпълнител в областта на ИКТ, третата страна доставчик на услуги в областта на ИКТ следва, въз основа на сключения с този финансов субект договор, да оцени по подходящ и целесъобразен начин пригодността на всеки потенциален подизпълнител. Поради това, в тези договори за услуги в областта на ИКТ, от третата страна доставчик на услуги в областта на ИКТ или пряко – от финансовия субект, според случая, следва да се изиска да оцени доколко потенциалният подизпълнител притежава необходимите ресурси, в т.ч. съответните финансови, човешки и технически ресурси, експертен опит, информационна защитеност и организационна структура, в т.ч. управление на риска и вътрешни механизми за контрол.

(10) С цел да се ограничат уязвимите аспекти и заплахите за използващите ИКТ системи и операции на финансовите субекти, последните следва да имат възможност да наблюдават как функционира услугата в областта на ИКТ и да бъдат уведомявани за всяка отнасяща се до тяхна критична или важна функция промяна в рамките на тяхната верига от подизпълнители доставчици на услуги в областта на ИКТ.

(11) С цел да позволи на финансовия субект, на който предоставя услуги в областта на ИКТ, да оцени рисковете при договор за подизпълнение или при съществена промяна в такъв договор, третата страна доставчик на услуги в областта на ИКТ следва да го уведомява за всеки такъв нов договор или промяна в действащ договор дълго преди влизането им в сила. По същата причина финансов субект следва да има право да прекрати договора си с трета страна доставчик на услуги в областта на ИКТ, ако оценката му на риска покаже, че даден нов договор или дадена съществена промяна в действащ договор пораждат недопустим за него риск.

(12) Европейските надзорни органи проведоха открита обществена консултация по проекта на регулаторни технически стандарти, въз основа на който е изготвен настоящият регламент, анализираха потенциалните разходи и ползи и поискаха становище от Групата на участниците на ЕНО, създадена с член 37 от Регламент (ЕС) № 1093/2010 на Европейския парламент и на Съвета (2), член 37 от Регламент (ЕС) № 1094/2010 на Европейския парламент и на Съвета (3) и член 37 от Регламент (ЕС) № 1095/2010 на Европейския парламент и на Съвета (4).

(13) По силата на член 42, параграф 1 от Регламент (ЕС) 2018/1725 на Европейския парламент и на Съвета (5) бе проведена консултация с Европейския надзорен орган по защита на данните, който предостави становището си на 20 август 2024 г.,

Член 1

Цялостен рисков профил и сложност

Финансовият субект отчита своя размер и общ рисков профил, както и естеството, мащаба и елементите на повишена или намалена сложност на своите услуги, дейности и операции, в т.ч. елементите, свързани със следното:

а) вида на услугите в областта на ИКТ, поддържащи негови критични или важни функции и обхванати от сключения договор между него и трета страна доставчик на услуги в областта на ИКТ;

б) вида на услугите в областта на ИКТ, обхванати от сключения договор между третата страна доставчик на услуги в областта на ИКТ и негов подизпълнител;

в) местонахождението на подизпълнителя, предоставящ услуги в областта на ИКТ, поддържащи негови критични или важни функции или тяхна съществена част, или на дружеството майка на този подизпълнител;

г) дължината и сложността на веригата от подизпълнители, които използва третата страна доставчик на услуги в областта на ИКТ и които предоставят услуги в областта на ИКТ, поддържащи негови критични или важни функции или тяхна съществена част;

д) естеството на данните, споделяни с подизпълнителите, които предоставят услуги в областта на ИКТ, поддържащи негови критични или важни функции или тяхна съществена част;

е) дали услугите в областта на ИКТ, поддържащи негови критични или важни функции или тяхна съществена част, се предоставят от подизпълнител, намиращ се в държава членка или в трета държава, като се има предвид мястото, от което действително се предоставят услугите в областта на ИКТ, и мястото, където се обработват и съхраняват данните;

ж) дали той и подизпълнителите, които му предоставят услуги в областта на ИКТ, поддържащи негови критични или важни функции или тяхна съществена част, принадлежат към една и съща група;

з) дали подизпълнителите, които предоставят услуги в областта на ИКТ, поддържащи негови критични или важни функции или тяхна съществена част, са лицензирани, регистрирани или подлежат на надзор или контрол от компетентен орган в държава членка, или са обхванати от надзорните задължения, предвидени в глава V, раздел II от Регламент (ЕС) 2022/2554;

и) дали третите страни доставчици на услуги в областта на ИКТ, поддържащи негови критични или важни функции или тяхна съществена част, са лицензирани, регистрирани или подлежат на надзор или контрол от надзорен орган от трета държава;

й) дали услугите в областта на ИКТ, поддържащи негови критични или важни функции или тяхна съществена част, се предоставят само от един подизпълнител или от малък брой подизпълнители на трета страна доставчик на услуги в областта на ИКТ;

к) дали възлагането на даден подизпълнител на услуги в областта на ИКТ, поддържащи негови критични или важни функции или тяхна съществена част, би възпрепятствало прехвърлянето на тези услуги към друг доставчик трета страна на услуги в областта на ИКТ;

л) начина, по който срив в услугите в областта на ИКТ, поддържащи негови критични или важни функции или тяхна съществена част, реално предоставяни не от самия доставчик трета страна на услуги в областта на ИКТ, а от негов подизпълнител, би могъл да наруши непрекъснатостта и наличността на тези услуги.

Член 2

Прилагане при групи

Когато настоящият регламент се прилага на подконсолидирана или консолидирана основа и договор за услуги в областта на ИКТ разрешава да се възложат на подизпълнител такива услуги, поддържащи критични или важни функции или съществени части от тях, дружеството майка, което предоставя консолидираните или подконсолидираните финансови отчети на групата, се уверява, че условията за такова възлагане са подходящи за ефективното прилагане на настоящия регламент на всички съответни равнища и се прилагат еднородно при всички финансови субекти в групата.

Член 3

Надлежна проверка и оценка на риска при възлагането на подизпълнители на услуги, поддържащи критични или важни функции

1.Преди да сключи договор с трета страна доставчик на услуги в областта на ИКТ, финансовият субект решава дали този доставчик може да възложи на подизпълнител услуга в областта на ИКТ, която поддържа критични или важни функции на този финансов субект или тяхна съществена част. Финансовият субект сключва такъв договор само след като се увери, че са изпълнени всички изброени по-долу условия:

а) надлежната проверка на третата страна доставчик на услуги в областта на ИКТ е показала, че е в състояние да избере и оцени оперативните и финансовите възможности на потенциалните подизпълнители да предоставят услуги в областта на ИКТ, поддържащи критични или важни функции на финансовия субект или тяхна съществена част, в т.ч., когато финансовият субект изисква това, чрез участие в посоченото в глава IV от Регламент (ЕС) 2022/2554 тестване на оперативната устойчивост на цифровите технологии;

б) третата страна доставчик на услуги в областта на ИКТ е в състояние да идентифицира всички подизпълнители, които предоставят услуги в областта на ИКТ, поддържащи критични или важни функции на финансовия субект или тяхна съществена част, да уведомява финансовия субект за тези подизпълнители и да му предоставя цялата необходима информация за оценката на условията по настоящия член;

в) договорите, които третата страна доставчик на услуги в областта на ИКТ сключва с подизпълнителите, които предоставят услуги в областта на ИКТ, поддържащи критични или важни функции на финансовия субект или тяхна съществена част, позволяват на финансовия субект да спазва задълженията си, произтичащи от Регламент (ЕС) 2022/2554 и от съответното съюзно и националното право;

г) по договор подизпълнителят е задължен да предостави на финансовия субект, на компетентните органи и на органите за преструктуриране същите права на достъп и контрол, които им е предоставила третата страна доставчик на услуги в областта на ИКТ;

д) без да се засяга крайната отговорност на финансовия субект да спазва своите нормативни и наложени от регулаторните органи задължения, третата страна доставчик на услуги в областта на ИКТ разполага с достатъчен капацитет, експертен опит и подходящи финансови, човешки и технически ресурси, за да наблюдава рисковете при ИКТ при подизпълнителите, в т.ч. чрез подходящи стандарти за защита на информацията и чрез подходяща организационна структура, управление на риска, вътрешен контрол и механизми за докладване и реагиране на инциденти;

е) финансовият субект разполага с достатъчен капацитет, експертен опит и подходящи финансови, човешки и технически ресурси за наблюдение на рисковете при възложената на подизпълнител услуга в областта на ИКТ, поддържаща негови критични или важни функции или тяхна съществена част, в т.ч. чрез подходящи стандарти за защита на информацията и чрез подходяща организационна структура, управление на риска, механизми за реагиране при инциденти, управление на непрекъснатостта на дейността и вътрешен контрол;

ж) финансовият субект е оценил как евентуален фалит на подизпълнител, който предоставя услуги в областта на ИКТ, поддържащи критични или важни функции на този финансов субект или тяхна съществена част, би могъл да се отрази на оперативната устойчивост на цифровите технологии и на финансовата стабилност на финансовия субект;

з) финансовият субект е оценил какви рискове поражда местонахождението на потенциалните подизпълнители за предоставяните от трета страна доставчик услуги в областта на ИКТ, които поддържат критични или важни функции на този финансов субект или тяхна съществена част;

и) финансовият субект е оценил в изпълнение на член 29 от Регламент (ЕС) 2022/2554 риска от концентрация на ИКТ на ниво субект;

й) финансовият субект е преценил дали самият той, компетентните органи и органите за преструктуриране, в т.ч. назначените от тях лица, могат безпрепятствено да упражняват право на одит, проверка и достъп.

2.Финансовият субект, който използва трета страна доставчик на услуги в областта на ИКТ, възлагащ на подизпълнители услуги в областта на ИКТ, поддържащи критични или важни функции на този финансов субект или тяхна съществена част, периодично извършва посочената в параграф 1, букви е) — й) оценка с оглед на риска от евентуална промяна в деловата среда на контрагентите, в т.ч. в поддържаните функции на стопанската дейност или в оценките на риска, в т.ч. във връзка със заплахите за ИКТ, риска от концентрация на ИКТ и геополитическите рискове.

3.Използването на оценката на риска при подизпълнител, която трета страна доставчик на услуги в областта на ИКТ извършва в изпълнение на предвидените в настоящия член задължения, не ограничава крайната отговорност на финансовия субект да спазва своите нормативни и наложени от регулаторните органи задължения по Регламент (ЕС) 2022/2554.

Член 4

Условия, при които услуги в областта на ИКТ, поддържащи критични или важни функции на финансов субект или тяхна съществена част, могат да се възлагат на подизпълнител

1.В договора между финансов субект и трета страна доставчик на услуги в областта на ИКТ се посочва кои услуги в областта на ИКТ, поддържащи критични или важни функции на този финансов субект или тяхна съществена част, могат да се възлагат на подизпълнител и при какви условия. В договора се посочва:

а) че третата страна доставчик на услуги в областта на ИКТ носи отговорността за предоставянето на услугите, предоставяни от подизпълнителите;

б) че с оглед на неотклонното изпълнение на задълженията си спрямо финансовия субект третата страна доставчик на услуги в областта на ИКТ е задължена да наблюдава възложените на подизпълнител услуги в областта на ИКТ, поддържащи критични или важни функции на този финансов субект или тяхна съществена част;

в) че третата страна доставчик на услуги в областта на ИКТ е задължена да наблюдава подизпълнителите, които предоставят услуги в областта на ИКТ, поддържащи критични или важни функции на финансовия субект или тяхна съществена част, и да уведомява финансовия субект в тази връзка;

г) че третата страна доставчик на услуги в областта на ИКТ е задължена да оцени всички рискове, произтичащи от местонахождението на настоящ или потенциален подизпълнител, който предоставя – или би предоставял – услуги в областта на ИКТ, поддържащи критични или важни функции на финансовия субект или тяхна съществена част, от местонахождението на дружеството майка на този подизпълнител, както и от мястото, откъдето се предоставя съответната услуга в областта на ИКТ;

д) когато е приложимо — местонахождението на обработваните или съхраняваните от подизпълнителя данни;

е) че третата страна доставчик на услуги в областта на ИКТ трябва договорно да вмени на подизпълнителите си задължения за наблюдение и уведомление по отношение на самата нея, а по споразумение — и по отношение на финансовия субект;

ж) че третата страна доставчик на услуги в областта на ИКТ е задължена да осигури по цялата верига от подизпълнители непрекъснатостта на услугите в областта на ИКТ, поддържащи критични или важни функции на финансовия субект, дори ако даден подизпълнител не изпълни договорните си задължения;

з) че в договора между третата страна доставчик на услуги в областта на ИКТ и неин подизпълнител се съдържа посоченото в член 30, параграф 3, буква в) от Регламент (ЕС) 2022/2554 задължение относно плановете за действие при извънредни ситуации, в т.ч. за определяне в тях на изискуемите от въпросния подизпълнител нива на обслужване;

и) че в договора между третата страна доставчик на услуги в областта на ИКТ и неин подизпълнител се определят стандартите за сигурност на ИКТ и всички допълнителни изисквания за сигурност, посочени в член 30, параграф 3, буква в) от Регламент (ЕС) 2022/2554;

й) че подизпълнителят предоставя на финансовия субект и на съответните компетентни органи и органи за преструктуриране посочените в член 30, параграф 3, буква д) от Регламент (ЕС) 2022/2554 права на достъп, проверка и одит;

к) че третата страна доставчик на услуги в областта на ИКТ уведомява финансовия субект за всяка съществена промяна в договор за подизпълнение;

л) че ако са налице условията по член 6 от настоящия регламент или по член 28, параграф 7 от Регламент (ЕС) 2022/2554, финансовият субект има право да прекрати договора с третата страна доставчик на услуги в областта на ИКТ.

2.Необходимите за спазването на настоящия регламент промени в договор между финансов субект и трета страна доставчик на услуги в областта на ИКТ, поддържащи негови критични или важни функции или тяхна съществена част, се въвеждат при първа възможност и без излишно забавяне. Финансовият субект документира планирания график за прилагането им.

Член 5

Съществени промени в споразуменията за възлагане на подизпълнител на услуги в областта на ИКТ, поддържащи критични или важни функции или тяхна съществена част

1.В договора между финансов субект и трета страна доставчик на услуги в областта на ИКТ се предвижда доставчикът своевременно да уведомява финансовия субект за всяка планирана съществена промяна в свой договор с подизпълнител, така че този финансов субект своевременно да може да оцени:

а) отражението ѝ върху своите реални и потенциални рискове;

б) дали тя може да засегне способността на третата страна доставчик на услуги в областта на ИКТ да изпълнява договорните си задължения спрямо него.

2.В договора се посочва разумен срок на предизвестие, в който финансовият субект да одобри промяната или да възрази срещу нея.

3.Третата страна доставчик на услуги в областта на ИКТ въвежда съществената промяна в договора си със съответния подизпълнител само ако до изтичането на срока на предизвестие финансовият субект я е одобрил или не е възразил срещу нея.

4.Ако финансовият субект смята, че съществената промяна по параграф 1 надхвърля допустимото за него равнище на риск, преди края на срока на предизвестие той:

а) уведомява за това третата страна доставчик на услуги в областта на ИКТ;

б) възразява срещу промяната и изисква тя да бъде изменена преди въвеждането ѝ.

Член 6

Прекратяване на договор между финансов субект и трета страна доставчик на услуги в областта на ИКТ

Финансовият субект има право да предвиди в договора си с трета страна доставчик на услуги в областта на ИКТ прекратяването му във всеки от следните случаи:

а) въпреки че финансовият субект е възразил срещу съществена промяна в договор с подизпълнител, чиито предоставяни услуги поддържат негови критични или важни функции, и е поискал изменението ѝ, третата страна доставчик на услуги в областта на ИКТ я е въвел;

б) третата страна доставчик на услуги в областта на ИКТ е въвела преди края на срока на предизвестие и все още неодобрена от финансовия субект съществена промяна в договор с подизпълнител, чиито предоставяни услуги поддържат критични или важни функции на този финансов субект;

в) третата страна доставчик на услуги в областта на ИКТ е възложила на подизпълнител услуга в областта на ИКТ, поддържаща критични или важни функции на финансовия субект или тяхна съществена част, без възлагането ѝ да е било изрично разрешено с договора между финансовия субект и този доставчик.

Член 7

Влизане в сила

Настоящият регламент влиза в сила на двадесетия ден след деня на публикуването му в Официален вестник на Европейския съюз.