Член 3

Надлежна проверка и оценка на риска при възлагането на подизпълнители на услуги, поддържащи критични или важни функции

1.Преди да сключи договор с трета страна доставчик на услуги в областта на ИКТ, финансовият субект решава дали този доставчик може да възложи на подизпълнител услуга в областта на ИКТ, която поддържа критични или важни функции на този финансов субект или тяхна съществена част. Финансовият субект сключва такъв договор само след като се увери, че са изпълнени всички изброени по-долу условия:

а) надлежната проверка на третата страна доставчик на услуги в областта на ИКТ е показала, че е в състояние да избере и оцени оперативните и финансовите възможности на потенциалните подизпълнители да предоставят услуги в областта на ИКТ, поддържащи критични или важни функции на финансовия субект или тяхна съществена част, в т.ч., когато финансовият субект изисква това, чрез участие в посоченото в глава IV от Регламент (ЕС) 2022/2554 тестване на оперативната устойчивост на цифровите технологии;

б) третата страна доставчик на услуги в областта на ИКТ е в състояние да идентифицира всички подизпълнители, които предоставят услуги в областта на ИКТ, поддържащи критични или важни функции на финансовия субект или тяхна съществена част, да уведомява финансовия субект за тези подизпълнители и да му предоставя цялата необходима информация за оценката на условията по настоящия член;

в) договорите, които третата страна доставчик на услуги в областта на ИКТ сключва с подизпълнителите, които предоставят услуги в областта на ИКТ, поддържащи критични или важни функции на финансовия субект или тяхна съществена част, позволяват на финансовия субект да спазва задълженията си, произтичащи от Регламент (ЕС) 2022/2554 и от съответното съюзно и националното право;

г) по договор подизпълнителят е задължен да предостави на финансовия субект, на компетентните органи и на органите за преструктуриране същите права на достъп и контрол, които им е предоставила третата страна доставчик на услуги в областта на ИКТ;

д) без да се засяга крайната отговорност на финансовия субект да спазва своите нормативни и наложени от регулаторните органи задължения, третата страна доставчик на услуги в областта на ИКТ разполага с достатъчен капацитет, експертен опит и подходящи финансови, човешки и технически ресурси, за да наблюдава рисковете при ИКТ при подизпълнителите, в т.ч. чрез подходящи стандарти за защита на информацията и чрез подходяща организационна структура, управление на риска, вътрешен контрол и механизми за докладване и реагиране на инциденти;

е) финансовият субект разполага с достатъчен капацитет, експертен опит и подходящи финансови, човешки и технически ресурси за наблюдение на рисковете при възложената на подизпълнител услуга в областта на ИКТ, поддържаща негови критични или важни функции или тяхна съществена част, в т.ч. чрез подходящи стандарти за защита на информацията и чрез подходяща организационна структура, управление на риска, механизми за реагиране при инциденти, управление на непрекъснатостта на дейността и вътрешен контрол;

ж) финансовият субект е оценил как евентуален фалит на подизпълнител, който предоставя услуги в областта на ИКТ, поддържащи критични или важни функции на този финансов субект или тяхна съществена част, би могъл да се отрази на оперативната устойчивост на цифровите технологии и на финансовата стабилност на финансовия субект;

з) финансовият субект е оценил какви рискове поражда местонахождението на потенциалните подизпълнители за предоставяните от трета страна доставчик услуги в областта на ИКТ, които поддържат критични или важни функции на този финансов субект или тяхна съществена част;

и) финансовият субект е оценил в изпълнение на член 29 от Регламент (ЕС) 2022/2554 риска от концентрация на ИКТ на ниво субект;

й) финансовият субект е преценил дали самият той, компетентните органи и органите за преструктуриране, в т.ч. назначените от тях лица, могат безпрепятствено да упражняват право на одит, проверка и достъп.

2.Финансовият субект, който използва трета страна доставчик на услуги в областта на ИКТ, възлагащ на подизпълнители услуги в областта на ИКТ, поддържащи критични или важни функции на този финансов субект или тяхна съществена част, периодично извършва посочената в параграф 1, букви е) — й) оценка с оглед на риска от евентуална промяна в деловата среда на контрагентите, в т.ч. в поддържаните функции на стопанската дейност или в оценките на риска, в т.ч. във връзка със заплахите за ИКТ, риска от концентрация на ИКТ и геополитическите рискове.

3.Използването на оценката на риска при подизпълнител, която трета страна доставчик на услуги в областта на ИКТ извършва в изпълнение на предвидените в настоящия член задължения, не ограничава крайната отговорност на финансовия субект да спазва своите нормативни и наложени от регулаторните органи задължения по Регламент (ЕС) 2022/2554.