Член 28

Общи принципи

1. Финансовите субекти управляват риска в областта на ИКТ, пораждан от трети страни като неразделна част от компонента „риск в областта на ИКТ“ на своята рамка за управление на риска в областта на ИКТ, както е посочено в член 6, параграф 1 и съобразно следните принципи:

а) финансовите субекти, които с оглед на стопанската си дейност са сключили договорни споразумения за услуги в областта на ИКТ, във всеки един момент са изцяло отговорни за спазването на всички задължения по силата на настоящия регламент и на приложимото право в областта на финансовите услуги, както и за преценката, че тези задължения са изпълнени;

б) финансовите субекти управляват риска в областта на ИКТ, пораждан от трети страни, съобразно принципа на пропорционалност, като вземат предвид:

i) естеството, мащаба, сложността и значението на зависимостите във връзка с ИКТ,

ii) рисковете, свързани с договорните споразумения за услуги в областта на ИКТ, сключени с трети страни доставчици на услуги в областта на ИКТ, като отчитат критичния или важен характер на съответната услуга, процес или функция, както и потенциалното въздействие на тези рискове върху непрекъснатостта и наличността на финансовите услуги и дейности на равнището на отделния субект и на групата.

2. Като част от своята рамка за управление на риска в областта на ИКТ финансовите субекти, различни от субектите, посочени в член 16, параграф 1, първа алинея, и от микропредприятията, приемат и редовно преразглеждат стратегия за риска в областта на ИКТ, пораждан от трети страни, като вземат предвид, когато е приложимо, стратегията за прибягване до множество доставчици, посочена в член 6, параграф 9. Стратегията за риска в областта на ИКТ, пораждан от трети страни включва политика за използването на услуги в областта на ИКТ, поддържащи критичните или важните функции, предоставяни от трети страни доставчици на такива услуги, и се прилага както на индивидуална основа, така и, според случая, на подконсолидирана и консолидирана основа. Въз основа на оценка на цялостния рисков профил на финансовия субект и на мащаба и сложността на бизнес услугите ръководният орган редовно прави преглед на идентифицираните рискове по отношение на договорни споразумения за използване на услуги в областта на ИКТ, поддържащи критични или важни функции.

3. Като част от своята рамка за управление на риска в областта на ИКТ финансовите субекти поддържат и актуализират на индивидуална, подконсолидирана и консолидирана основа информационен регистър за всички договорни споразумения за услуги в областта на ИКТ, сключени с трети страни доставчици на такива услуги.

Договорните споразумения по първа алинея се документират по подходящ начин, като тези, които се отнасят до услуги на ИКТ в подкрепа на критични или важни функции, се обособяват от останалите.

Поне веднъж годишно финансовите субекти осведомяват компетентните органи за броя нови споразумения за услуги в областта на ИКТ, за категориите трети страни доставчици на такива услуги, за вида на договорните споразумения и за предоставяните услуги и функции в областта на ИКТ.

При поискване от компетентния орган финансовите субекти му предоставят пълния информационен регистър или поисканите части от него, както и всички сведения, които компетентният орган е сметнал за необходими с оглед на упражняването на ефективен надзор върху финансовия субект.

Финансовите субекти своевременно уведомяват компетентния орган за намерението си да сключат договорно споразумение за услуги в областта на ИКТ, поддържащи критични или важни функции, както и когато дадена функция се е превърнала в критична или важна.

4. Преди да сключат договорно споразумение за услуги в областта на ИКТ финансовите субекти:

а) преценяват дали договорното споразумение се отнася до услуги в областта на ИКТ, поддържащи критична или важна функция;

б) оценяват дали са изпълнени надзорните изисквания за договорно възлагане на дадените услуги;

в) идентифицират и оценяват всички съответни рискове, свързани с договорното споразумение, включително вероятността такова договорно споразумение допринесе за засилване на риска от концентрация в областта на ИКТ, както е посочено в член 29;

г) надлежно проверяват бъдещите трети страни доставчици на услуги в областта на ИКТ и неотклонно по време на процеса на подбор и оценка се уверяват, че даденият доставчик е подходящ;

д) идентифицират и оценяват конфликтите на интереси, които договорното споразумение може да породи.

5. Финансовите субекти могат да сключват договорни споразумения само с трети страни доставчици на услуги в областта на ИКТ, които удовлетворяват подходящи стандарти за сигурност на информацията. Когато договорното споразумение се отнася до критични или важни функции, преди сключването му финансовите субекти надлежно отчитат използването от третите страни доставчици на услуги в областта на ИКТ на най-актуалните и висококачествени стандарти за сигурност на информацията.

6. Когато упражняват правата си за достъп, проверка и одит на дадена трета страна доставчик на услуги в областта на ИКТ, финансовите субекти предварително определят въз основа на подход, при който е отчетен рискът, честотата на одитите и проверките, както и подлежащите на одит сфери; при това те се придържат към общоприетите одитни стандарти и към съответните указания от надзорните органи за използването и въвеждането на такива одитни стандарти.

При договорните споразумения с третите страни доставчици на услуги в областта на ИКТ, които съдържат технически аспекти със значителна сложност, финансовите субекти се уверяват, че одиторите — независимо дали са вътрешни или външни или са група от одитори, притежават подходящите знания и умения, за да извършат ефективно съответните одити и оценки.

7. Финансовите субекти правят необходимото, за да гарантират, че договорните споразумения за ползването на услуги в областта на ИКТ могат да бъдат прекратени при всяко от следните обстоятелства:

а) при съществено нарушение на приложимите законови или подзаконови актове или на разпоредбите на договора, извършено от третата страна доставчик на услуги в областта на ИКТ;

б) при наличието на обстоятелства, установени при наблюдението на риска в областта на ИКТ, пораждан от трета страна, за които се смята, че могат да променят изпълнението на предоставяните по силата на договорното споразумение функции, включително съществени промени, които засягат договора или положението на третата страна доставчик на услуги в областта на ИКТ;

в) ако са налице свидетелства за слабости в цялостното управление на риска в областта на ИКТ от третата страна доставчик на услуги в областта на ИКТ, и по-специално в начина, по който той осигурява наличността, автентичността, цялостността и поверителността на данните, независимо дали става въпрос за лични данни, други чувствителни данни, или за данни, които не са от личен характер;

г) ако условията на съответното договорно споразумение или свързани с него обстоятелства не позволяват на компетентния орган да продължи да упражнява ефективен надзор върху финансовия субект.

8. За услуги в областта на ИКТ, поддържащи критични или важни функции, финансовите субекти въвеждат изходни стратегии. В изходните стратегии се отчитат рисковете, които могат да възникнат при дадена трета страна доставчик на услуги в областта на ИКТ — прекратяване на дейността, влошаване на качеството на предоставяните услуги в областта на ИКТ, смущения в дейността на финансовия субект поради неподходящо или неуспешно предоставяне на услуги в областта на ИКТ, възникване на съществен риск, свързан с подходящото и непрекъснатото изпълнение на съответната услуга в областта на ИКТ, или прекратяване на договорните споразумения с трети страни доставчици на услуги в областта на ИКТ — при някое от обстоятелствата, изброени в параграф 7.

Финансовите субекти се уверяват, че могат да прекратят всяко договорно споразумение, без това:

а)да прекъсне стопанската им дейност,

б)да ограничи спазването на регулаторните изисквания;

в)да бъде в ущърб на непрекъснатостта и качеството на предоставяните на клиентите услуги.

Изходните планове са изчерпателни, документирани и, в съответствие с критериите, посочени в член 4, параграф 2, достатъчно се тестват и периодично се подлагат на преглед.

Финансовите субекти подготвят алтернативни решения и преходни планове за оттегляне от третата страна доставчик на услуги в областта на ИКТ на договорно възложените ѝ услуги в областта на ИКТ и на съответните данни, както и за сигурното им предаване на алтернативни доставчици или за реинтегрирането им в собствените системи.

Финансовите субекти въвеждат подходящи мерки за действие при извънредни ситуации, за да осигурят непрекъснатост на дейността при възникване на обстоятелствата, посочени в първа алинея.

9. В рамките на съвместния комитет ЕНО разработват проекти на технически стандарти за изпълнение за определяне на стандартните образци за целите на регистъра на информацията по параграф 3, включително на информацията, която е обща за всички договорни споразумения за услуги в областта на ИКТ. ЕНО представят тези проекти на технически стандарти за изпълнение на Комисията до 17 януари 2024 г.

Комисията се оправомощава да приеме посочените в първа алинея технически стандарти за изпълнение в съответствие с член 15 от регламенти (ЕС) № 1093/2010, (ЕС) № 1094/2010 и (ЕС) № 1095/2010.

10. ЕНО разработват чрез съвместния комитет проекти на регулаторни технически стандарти за доуточняване на подробното съдържание на посочената в параграф 2 политика по отношение на договорните споразумения за услуги в областта на ИКТ, поддържащи критични или важни функции, предоставяни от трети страни доставчици на услуги в областта на ИКТ.

Когато разработват тези проекти на регулаторни технически стандарти, ЕНО вземат предвид размера на финансовите субекти, цялостния им рисков профил, както и естеството, мащаба и сложността на техните услуги, дейности и операции. ЕНО представят тези проекти на регулаторни технически стандарти на Комисията до 17 януари 2024 г.

На Комисията се делегира правомощието да допълни настоящия регламент, като приеме посочените в първа алинея регулаторни технически стандарти в съответствие с членове 10—14 от регламенти (ЕС) № 1093/2010, (ЕС) № 1094/2010 и (ЕС) № 1095/2010.