Член 4

Условия, при които услуги в областта на ИКТ, поддържащи критични или важни функции на финансов субект или тяхна съществена част, могат да се възлагат на подизпълнител

1.В договора между финансов субект и трета страна доставчик на услуги в областта на ИКТ се посочва кои услуги в областта на ИКТ, поддържащи критични или важни функции на този финансов субект или тяхна съществена част, могат да се възлагат на подизпълнител и при какви условия. В договора се посочва:

а) че третата страна доставчик на услуги в областта на ИКТ носи отговорността за предоставянето на услугите, предоставяни от подизпълнителите;

б) че с оглед на неотклонното изпълнение на задълженията си спрямо финансовия субект третата страна доставчик на услуги в областта на ИКТ е задължена да наблюдава възложените на подизпълнител услуги в областта на ИКТ, поддържащи критични или важни функции на този финансов субект или тяхна съществена част;

в) че третата страна доставчик на услуги в областта на ИКТ е задължена да наблюдава подизпълнителите, които предоставят услуги в областта на ИКТ, поддържащи критични или важни функции на финансовия субект или тяхна съществена част, и да уведомява финансовия субект в тази връзка;

г) че третата страна доставчик на услуги в областта на ИКТ е задължена да оцени всички рискове, произтичащи от местонахождението на настоящ или потенциален подизпълнител, който предоставя – или би предоставял – услуги в областта на ИКТ, поддържащи критични или важни функции на финансовия субект или тяхна съществена част, от местонахождението на дружеството майка на този подизпълнител, както и от мястото, откъдето се предоставя съответната услуга в областта на ИКТ;

д) когато е приложимо — местонахождението на обработваните или съхраняваните от подизпълнителя данни;

е) че третата страна доставчик на услуги в областта на ИКТ трябва договорно да вмени на подизпълнителите си задължения за наблюдение и уведомление по отношение на самата нея, а по споразумение — и по отношение на финансовия субект;

ж) че третата страна доставчик на услуги в областта на ИКТ е задължена да осигури по цялата верига от подизпълнители непрекъснатостта на услугите в областта на ИКТ, поддържащи критични или важни функции на финансовия субект, дори ако даден подизпълнител не изпълни договорните си задължения;

з) че в договора между третата страна доставчик на услуги в областта на ИКТ и неин подизпълнител се съдържа посоченото в член 30, параграф 3, буква в) от Регламент (ЕС) 2022/2554 задължение относно плановете за действие при извънредни ситуации, в т.ч. за определяне в тях на изискуемите от въпросния подизпълнител нива на обслужване;

и) че в договора между третата страна доставчик на услуги в областта на ИКТ и неин подизпълнител се определят стандартите за сигурност на ИКТ и всички допълнителни изисквания за сигурност, посочени в член 30, параграф 3, буква в) от Регламент (ЕС) 2022/2554;

й) че подизпълнителят предоставя на финансовия субект и на съответните компетентни органи и органи за преструктуриране посочените в член 30, параграф 3, буква д) от Регламент (ЕС) 2022/2554 права на достъп, проверка и одит;

к) че третата страна доставчик на услуги в областта на ИКТ уведомява финансовия субект за всяка съществена промяна в договор за подизпълнение;

л) че ако са налице условията по член 6 от настоящия регламент или по член 28, параграф 7 от Регламент (ЕС) 2022/2554, финансовият субект има право да прекрати договора с третата страна доставчик на услуги в областта на ИКТ.

2.Необходимите за спазването на настоящия регламент промени в договор между финансов субект и трета страна доставчик на услуги в областта на ИКТ, поддържащи негови критични или важни функции или тяхна съществена част, се въвеждат при първа възможност и без излишно забавяне. Финансовият субект документира планирания график за прилагането им.