Член 30

Основни договорни клаузи

1. Правата и задълженията на финансовия субект и на третата страна доставчик на услуги в областта на ИКТ се определят ясно и се посочват в писмен вид. Пълният текст на договора включва клаузи за нивото на обслужване и се оформя в писмен документ, който е на разположение на страните на хартиен носител, или в документ с друг траен и достъпен формат, който позволява документът да бъде изтеглен.

2. Договорните споразумения за услуги в областта на ИКТ съдържат най-малко следните елементи:

а) ясно и пълно описание на всички функции и услуги в областта на ИКТ, които третата страна доставчик на услуги в областта на ИКТ трябва да предостави, като се посочва дали се позволява възлагане на подизпълнители на услуга в областта на ИКТ, поддържаща критична или важна функция, или на съществени части от нея, както и, ако такава възможност е предвидена, приложимите условия при такова възлагане на подизпълнители;

б) местата, а именно регионите или държавите, където трябва да бъдат предоставяни договорно възложените функции и услуги в областта на ИКТ или тези, възложени на подизпълнители, както и мястото, на което трябва да бъдат обработвани данните, включително мястото им на съхранение, както и изискването към третата страна доставчик на услуги в областта на ИКТ да уведоми предварително финансовия субект, ако възнамерява да промени тези места;

в) разпоредби относно наличността, автентичността, цялостността и поверителността във връзка със защитата на данните, включително личните данни;

г) разпоредби за осигуряване на достъп до обработваните от финансовия субект лични данни и такива без личен характер, и за възстановяването и връщането им в лесно достъпен формат в случай на несъстоятелност, преструктуриране или прекратяване на стопанската дейност на третата страна доставчик на услуги в областта на ИКТ, или в случай на прекратяване на договорното споразумение;

д) описание на нивото на обслужване, включително на актуализиране и преглед на предоставяните услуги;

е) задължението на третата страна доставчик на услуги в областта на ИКТ да предоставя помощ на финансовия субект без допълнителни разходи или на предварително определена цена, когато възникне инцидент с ИКТ, свързан с предоставяната на финансовия субект услуга в областта на ИКТ;

ж) задължението на третата страна доставчик на услуги в областта на ИКТ да оказва пълно съдействие на компетентните органи и на органите за преструктуриране на финансовия субект, включително и на лицата, назначени от тях;

з) правото на прекратяване на договорните споразумения и свързаните с него минимални срокове за предизвестие — съобразно очакванията на компетентните органи и органите за преструктуриране;

и) условията за участие на третите страни доставчици на услуги в областта на ИКТ в програмите на финансовите субекти за повишаване на осведомеността относно сигурността на ИКТ и в обучението по оперативна устойчивост на цифровите технологии в съответствие с член 13, параграф 6.

3. В допълнение към елементите, посочени в параграф 2, договорните споразумения за услуги в областта на ИКТ, поддържащи критични или важни функции, включват най-малко следното:

а) обстойно описание на нивото на обслужване, включително на актуализиране и преглед на предоставяните услуги, с точни количествени и качествени цели за ефективност в рамките на договореното ниво на обслужване, така че финансовият субект да може ефективно да следи риска в областта на ИКТ, пораждан от трети страни и да предприеме възможно най-бързо подходящите корективни мерки, ако договореното ниво на обслужване не се спазва;

б) задълженията на третата страна доставчик на услуги в областта на ИКТ да докладва на финансовия субект, както и съответните срокове за това, включително задължението да го уведомява за всяко обстоятелство, което би могло да засегне съществено способността на третата страна доставчик на услуги в областта на ИКТ да предоставя ефективно услуги в областта на ИКТ или да изпълнява ефективно критични или важни функции в съответствие с договореното ниво на обслужване;

в) изисквания към третата страна доставчик на услуги в областта на ИКТ да прилага и тества планове за действие при извънредни ситуации, както и да разполага с мерки, инструменти и политики за сигурност на ИКТ, които осигуряват подходящо ниво на сигурност за предоставянето на услуги от финансовия субект, както е предвидено в отнасящата се до него нормативна уредба;

г) задължението на третата страна доставчик на услуги в областта на ИКТ да участва и да оказва пълно съдействие при тестването за проникване на финансовия субект, както е посочено в членове 26 и 27;

д) правото на финансовия субект текущо да наблюдава ефективността на третата страна доставчик на услуги в областта на ИКТ, което включва:

i) неограничено право на достъп, проверка и одит от страна на финансовия субект или определена за целта трета страна, както и от страна на компетентния орган, а също и право да бъдат взети копия на съответната документация на място, ако тя е от ключово значение за операциите на третата страна доставчик на услуги в областта на ИКТ, като други договорни споразумения или политики за изпълнение не възпрепятстват, нито ограничават ефективното упражняване на това право;

ii) правото да бъдат договаряни алтернативни нива на сигурност, ако са засегнати права на други клиенти на финансовия субект;

iii)

ангажимента от страна на третата страна доставчик на услуги в областта на ИКТ да сътрудничи изцяло при проверките и одитите на място, извършвани от компетентните органи, водещия надзорник, финансовия субект или от определена за целта трета страна; и

iv) задължението да предоставя подробна информация относно обхвата, процедурите, които трябва да бъдат следвани, и честотата на такива проверки и одити;

е) изходни стратегии, по-специално определяне на задължителен подходящ преходен период:

i) по време на който третата страна доставчик на услуги в областта на ИКТ продължава да предоставя съответните функции или услуги в областта на ИКТ с цел да се ограничи рискът за финансовия субект от смущение в дейността или да се гарантира ефективната му реорганизация или преструктуриране;

ii) който позволява на финансовия субект да се прехвърли към друга трета страна доставчик на услуги в областта на ИКТ или да внедри собствени решения съобразно сложността на предоставяната услуга.

Чрез дерогация от буква д) третата страна доставчик на услуги в областта на ИКТ и финансовият субект, който е микропредприятие, може да се споразумеят, че правата на финансовия субект на достъп, проверка и одит може да бъдат делегирани на независима трета страна, определена от третата страна доставчик на услуги в областта на ИКТ, както и че финансовият субект може да поиска във всеки един момент информация и гаранции относно резултатите от дейността на третата страна доставчик на услуги в областта на ИКТ.

4. Когато се договарят, финансовите субекти и третите страни доставчици на услуги в областта на ИКТ обмислят използването на стандартни договорни клаузи, разработени от публични органи, за конкретни услуги.

5. ЕНО разработват чрез съвместния комитет проекти на регулаторни технически стандарти с цел доуточняване на елементите, посочени в параграф 2, буква а), които финансовият субект трябва да определи и оцени, когато възлага на подизпълнители услуги в областта на ИКТ, поддържащи критични или важни функции.

Когато разработват тези проекти на регулаторни технически стандарти, ЕНО вземат предвид размера на финансовите субекти, цялостния им рисков профил, както и естеството, мащаба и сложността на техните услуги, дейности и операции.

ЕНО представят тези проекти на регулаторни технически стандарти на Комисията до 17 юли 2024 г.

На Комисията се делегират правомощия да допълни настоящия регламент, като приеме посочените в първа алинея регулаторни технически стандарти в съответствие с членове 10—14 от регламенти (ЕС) № 1093/2010, (ЕС) № 1094/2010 и (ЕС) № 1095/2010.