Sintesi Articolo 30
Contratti tra entità finanziarie e fornitori di servizi terzi TIC devono essere completi e delineare chiaramente i diritti, gli obblighi e i livelli di servizio. Questi contratti dovrebbero coprire una serie di elementi, dalla protezione dei dati ai diritti di risoluzione. Per le funzioni critiche o importanti, i contratti devono includere obiettivi di performance, piani di contingenza e misure di sicurezza. Alle entità finanziarie è garantito il diritto di monitorare continuamente le prestazioni del terzo, inclusi i diritti di accesso e di audit. Devono essere in atto strategie di uscita per garantire una transizione senza intoppi nel caso in cui il contratto termini. Si incoraggiano clausole contrattuali standard e standard tecnici regolatori per specificare ulteriormente questi elementi.
- I diritti e gli obblighi dell’entità finanziaria e del fornitore terzo di servizi TIC sono attribuiti chiaramente e definiti per iscritto. Il testo integrale del contratto comprende gli accordi sul livello dei servizi ed è contenuto in un documento scritto disponibile alle parti in formato cartaceo oppure in un documento in altro formato scaricabile, durevole e accessibile.
- Gli accordi contrattuali per l’utilizzo di servizi TIC comprendono almeno gli elementi seguenti:
- a) la descrizione chiara e completa di tutte le funzioni che il fornitore terzo di servizi TIC deve svolgere e tutti i servizi TIC che deve prestare, comprese l’indicazione dell’eventuale autorizzazione a subappaltare un servizio TIC a sostegno di una funzione essenziale o importante o parti significative di essa e, in caso affermativo, le condizioni di tale subappalto;
- b) le località, segnatamente le regioni o i paesi, in cui si devono svolgere le funzioni e prestare i servizi TIC appaltati o subappaltati e in cui si devono trattare i dati, compreso il luogo di conservazione, nonché l’obbligo, per il fornitore terzo di servizi TIC, di segnalare in anticipo all’entità finanziaria l’intenzione di cambiare tale o tali località;
- c) le disposizioni in materia di disponibilità, autenticità, integrità e riservatezza in relazione alla protezione dei dati, compresi i dati personali;
- d) le disposizioni relative alle garanzie di accesso, ripristino e restituzione, in un formato facilmente accessibile, di dati personali e non personali trattati dall’entità finanziaria in caso di insolvenza, risoluzione o interruzione delle operazioni commerciali del fornitore terzo di servizi TIC o in caso di risoluzione degli accordi commerciali;
- e) le descrizioni dei livelli di servizio, compresi relativi aggiornamenti e revisioni;
- f) l’obbligo per il fornitore terzo di servizi TIC di prestare assistenza all’entità finanziaria senza costi aggiuntivi o a un costo stabilito ex ante, qualora si verifichi un incidente connesso alle TIC relativo al servizio TIC fornito all’entità finanziaria;
- g) l’obbligo per il fornitore terzo di servizi di TIC di operare senza riserve con le autorità competenti e con le autorità di risoluzione dell’entità finanziaria, comprese le persone da queste nominate;
- h) i diritti di risoluzione e il relativo termine minimo di preavviso per la risoluzione degli accordi contrattuali, conformemente alle attese delle autorità competenti e delle autorità di risoluzione;
- i) le condizioni riguardanti la partecipazione dei fornitori terzi di servizi TIC ai programmi di sensibilizzazione sulla sicurezza delle TIC e alle attività di formazione sulla resilienza operativa digitale delle entità finanziarie conformemente all’articolo 13, paragrafo 6.
- Gli accordi contrattuali per l’utilizzo di servizi TIC a supporto di funzioni essenziali o importanti comprendono, in aggiunta agli elementi di cui al paragrafo 2, almeno quanto segue:
- a) la descrizione completa dei livelli di servizio, comprendente i relativi aggiornamenti e revisioni con precisi obiettivi quantitativi e qualitativi, in termini di prestazioni, nell’ambito dei livelli di servizio concordati, in modo da consentire un monitoraggio efficace da parte dell’entità finanziaria dei servizi TIC e l’applicazione, senza indebito ritardo, di opportune azioni correttive qualora i livelli di servizio concordati non siano rispettati;
- b) termini di preavviso e obblighi di segnalazione per il fornitore terzo di servizi TIC nei confronti dell’entità finanziaria, tra cui la notifica di eventuali sviluppi che potrebbero esercitare un impatto significativo sulla capacità del fornitore terzo di servizi TIC di prestare servizi a supporto di funzioni essenziali o importanti efficacemente, in linea con i livelli di servizio concordati;
- c) l’obbligo per il fornitore terzo di servizi TIC di attuare e testare i piani operativi d’emergenza e di predisporre misure, strumenti e politiche per la sicurezza delle TIC che offrano un adeguato livello di sicurezza per la fornitura dei servizi da parte dell’entità finanziaria, in linea con il proprio quadro normativo;
- d) l’obbligo per il fornitore terzo di servizi TIC di partecipare e cooperare pienamente al TLPT dell’entità finanziaria di cui agli articoli 26 e 27;
- e) il diritto di monitorare costantemente le prestazioni del fornitore terzo di servizi TIC, che comporta quanto segue:
- i) diritti incondizionati di accesso, ispezione e audit da parte dell’entità finanziaria — o di un terzo designato a tal fine — e dell’autorità competente nonché il diritto di ottenere copia della documentazione pertinente in loco, se di importanza critica per le operazioni del fornitore terzo di servizi TIC, il cui effettivo esercizio non sia impedito o limitato da altri accordi contrattuali o politiche di attuazione;
- ii) il diritto di concordare livelli di garanzia alternativi, qualora siano interessati i diritti di altri clienti;
- iii) l’obbligo per il fornitore terzo di servizi TIC di cooperare senza riserve nel corso delle ispezioni e degli audit in loco svolti dalle autorità competenti, dall’autorità di sorveglianza capofila, dall’entità finanziaria o da un terzo designato; e
- iv) l’obbligo di fornire dettagli sull’ambito di applicazione, sulle procedure da seguire e sulla frequenza di tali ispezioni e audit;
- f) le strategie di uscita, in particolare la definizione di un adeguato periodo di transizione obbligatorio:
- i) durante il quale il fornitore terzo di servizi TIC continuerà a prestare i suoi servizi TIC o a esercitare le sue funzioni allo scopo di ridurre il rischio di perturbazioni presso l’entità finanziaria o di garantire la sua efficace risoluzione e ristrutturazione;
- ii) che permetta all’entità finanziaria di migrare verso un altro fornitore terzo di servizi TIC oppure di adottare soluzioni interne coerenti con la complessità del servizio prestato.
In deroga alla lettera e), il fornitore terzo di servizi TIC e l’entità finanziaria che è una microimpresa possono convenire che i diritti di accesso, ispezione e audit dell’entità finanziaria possano essere delegati a un terzo indipendente, nominato dal fornitore terzo di servizi TIC, e che l’entità finanziaria possa richiedere in qualsiasi momento al terzo informazioni e garanzie sulle prestazioni del fornitore terzo di servizi TIC.
- All’atto della negoziazione degli accordi contrattuali, le entità finanziarie e i fornitori terzi di servizi TIC prendono in considerazione il ricorso a clausole contrattuali standard elaborate dalle autorità pubbliche per servizi specifici.
- Le AEV, tramite il comitato congiunto, elaborano progetti di norme tecniche di regolamentazione per specificare ulteriormente gli elementi di cui al paragrafo 2, lettera a), che l’entità finanziaria deve determinare e valutare quando subappalta servizi TIC a supporto di funzioni essenziali o importanti.
All’atto dell’elaborazione di tali progetti di norme tecniche di regolamentazione, le AEV tengono conto delle dimensioni e del profilo di rischio complessivo dell’entità finanziaria, nonché della natura, della portata e della complessità dei suoi servizi, delle sue attività e delle sue operazioni.
Le AEV presentano tali progetti di norme tecniche di regolamentazione alla Commissione entro il 17 luglio 2024.
Alla Commissione è delegato il potere di integrare il presente regolamento, adottando le norme tecniche di regolamentazione di cui al primo comma in conformità degli articoli da 10 a 14 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 o (UE) n. 1095/2010.