A három európai felügyeleti hatóság (az EBA, az EIOPA és az ESMA - az európai felügyeleti hatóságok) közzétette közös zárójelentését a technikai standardtervezetekről, melyek definiálják, hogyan kell meghatározni és értékelni a digitális működési rezilienciáról szóló rendelet (Digital Operational Resilience Act, DORA) szerinti kritikus vagy fontos funkciókat támogató információs és kommunikációs technológiai (IKT) szolgáltatások alvállalkozásba adására vonatkozó feltételeket. Ezek célja az uniós pénzügyi szektor digitális működési rezilienciájának fokozása azáltal, hogy megerősítik a pénzügyi szervezetek IKT-kockázatkezelését az alvállalkozók igénybevételét illetően.
A szabályozástechnikai standardok (Regulatory Technical Standards, RTS) a kritikus vagy fontos funkciókat támogató IKT-alvállalkozók által nyújtott IKT-szolgáltatásokra vagy azok lényeges részeire összpontosítanak. Meghatározzák a pénzügyi szervezetek és a harmadik félnek minősülő IKT-szolgáltatók közötti szerződéses megállapodások teljes életciklusára vonatkozó követelményeket a pénzügyi szervezetek hatékony és eredményes irányítási rendszerének biztosítása érdekében.
Az RTS-tervezet többek között előírja, hogy a pénzügyi szervezetek értékeljék az alvállalkozáshoz kapcsolódó kockázatokat a szerződéskötést megelőző szakaszban, ami magába foglalja az átvilágítási eljárást is. Az RTS-tervezet a kritikus vagy fontos funkciókat vagy azok lényeges részeit támogató IKT-szolgáltatások igénybevételének alvállalkozási feltételeire vonatkozó szerződéses megállapodások elvárt tartalmára, nyomon követésére és kezelésére vonatkozó követelményeket is meghatároz, ennek keretében elvárja, hogy a pénzügyi szervezetek figyelemmel kísérjék a teljes IKT-alvállalkozói láncot. Az RTS tervezete szabályozza a lényeges szerződésmódosítások, valamint a szerződés megszüntetésének kötelező, az alvállalkozók igénybevételével kapcsolatos feltételeit is.
Az RTS tervezetét az európai felügyeleti hatóságok által közzétett, a kiszervezési megállapodásokról szóló iránymutatásokban, valamint az EBA IKT- és biztonsági kockázatkezelési iránymutatásaiban szereplő egyéb vonatkozó előírások figyelembevételével dolgozták ki. E technikai standardtervezetek kidolgozásakor az európai felügyeleti hatóságok figyelembe vették a pénzügyi szervezetek méretét és általános kockázati profilját, valamint szolgáltatásaik és tevékenységeik jellegét, mértékét és összetettségét.
Az RTS-tervezetet a DORA rendelettel együtt kell értelmezni, amely meghatározza az IKT-szolgáltatásokat és a kritikus vagy fontos funkciót, és rendelkezéseket tartalmaz a harmadik fél IKT-szolgáltatókkal kötött kötelező szerződéses megállapodásokról, beleértve az alvállalkozások igénybevételét.
Jogalap és háttér
A DORA 30. cikkének (5) bekezdése felhatalmazza az európai felügyeleti hatóságokat, hogy dolgozzanak ki szabályozástechnikai standardtervezetet a 30. cikk (2) bekezdésének a) pontjában említett azon elemek további pontosítása céljából, amelyeket a pénzügyi szervezetnek meg kell határoznia és értékelnie kell, amikor a kritikus vagy fontos funkciókat vagy azok lényeges részeit támogató IKT-szolgáltatásokat alvállalkozásba adja. A 30. cikk (2) bekezdésének a) pontja előírja, hogy amennyiben az alvállalkozásba adás megengedett, a harmadik fél szolgáltatóval kötött szerződéses megállapodásoknak meg kell határozniuk az ilyen alvállalkozásra vonatkozó feltételeket.
Következő lépések
Az európai felügyeleti hatóságok az RTS tervezetét benyújtják elfogadásra az Európai Bizottságnak.
Dokumentumok