Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011
- Глава V. Управление ICT-рисками третьих сторон
- Раздел I. Ключевые принципы для рационального управления ICT-рисками третьих сторон
- Статья 29. Предварительная оценка риска концентрации ICT на уровне организации
Статья 29. Предварительная оценка риска концентрации ICT на уровне организации
Статья 29
Предварительная оценка риска концентрации ICT на уровне организации
1. При выявлении и оценке рисков, указанных в пункте (c) Статьи 28(4) настоящего Регламента, финансовые организации также должны учитывать, приведет ли предполагаемое заключение соглашения в отношении услуг ICT, которые поддерживают выполнение критических или важных функций, к:
(a) заключению договора со сторонним поставщиком услуг ICT, которого нелегко заменить; или
(b) наличию нескольких договоров о предоставлении услуг ICT, которые поддерживают критические или важные функции, с одним и тем же сторонним поставщиком услуг ICT или с тесно связанными сторонними поставщиками услуг ICT.
Финансовые организации должны взвешивать преимущества и затраты альтернативных решений, например привлечения различных сторонних поставщиков услуг ICT, оценивая, соответствуют ли предлагаемые решения потребностям и целям бизнеса, изложенным в их стратегии в области цифровой устойчивости, и насколько.
2. Если договоры об использовании услуг ICT, которые поддерживают критические или важные функции, предусматривают возможность того, что сторонний поставщик услуг ICT передает оказание услуг ICT, которые поддерживают выполнение критической или важной функции, по договору субподряда другим сторонним поставщикам услуг ICT, финансовые организации должны взвешивать преимущества и риски, которые могут возникнуть в связи с такими договорами субподряда, в частности, если субподрядчик по ICT учрежден в третьей стране.
Если договоры касаются услуг ICT, которые поддерживают критические или важные функции, то финансовые организации должны надлежащим образом учитывать положения законодательства о несостоятельности, которые будут применяться в случае банкротства стороннего поставщика услуг ICT, а также любые ограничения, которые могут возникнуть в связи со срочным восстановлением данных финансовой организации.
Если договоры об использовании услуг ICT, которые поддерживают критические или важные функции, заключаются со сторонним поставщиком услуг ICT, учрежденным в третьей стране, то финансовые организации должны, в дополнение к соображениям, указанным во втором подпараграфе, также оценить соблюдение норм Европейского Союза о защите данных и эффективность применения законодательства в соответствующей третьей стране.
Если договоры об использовании услуг ICT, которые поддерживают критические или важные функции, предусматривают возможность заключения договоров субподряда, финансовые организации должны оценить, могут ли и каким образом потенциально длинные или сложные цепочки субподрядчиков повлиять на их способность полностью контролировать выполнение функций, переданных по договорам субподряда, а также на способность компетентного органа осуществлять эффективный надзор за финансовой организацией в этом отношении.