Статья 30. Ключевые договорные положения. Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14.12.2022 о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011

Статья 30
Ключевые договорные положения

1. Права и обязательства финансовой организации и стороннего поставщика услуг ICT должны быть четко распределены и изложены в письменном виде. Договор в полном объеме должен включать в себя соглашения об уровне обслуживания и должен быть представлен в одном письменном документе, доступном сторонам в бумажной форме, или в документе в ином загружаемом, надежном и доступном формате.

2. Договоры об использовании услуг ICT должны содержать как минимум следующие элементы:

(а) четкое и полное описание всех функций и услуг ICT, которые должны быть предоставлены сторонним поставщиком услуг ICT, с указанием того, разрешено ли предоставление услуг ICT, которые поддерживают выполнение критической или важной функции или ее значительных частей по договору субподряда, и, если это разрешено, с указанием условий, применимых к таким договорам субподряда;

(b) местоположение, а именно регионы или страны, где должны предоставляться функции и услуги ICT по договорам подряда или субподряда и где должны обрабатываться данные, включая места хранения, а также требование к стороннему поставщику услуг ICT уведомлять финансовую организацию заранее о предполагаемых изменениях такого местоположения;

(c) положения о доступности, подлинности, целостности и конфиденциальности в отношении защиты данных, включая персональные данные;

(d) положения об обеспечении доступа, восстановления и возврата в легкодоступном формате персональных данных и данных, не являющихся персональными, обрабатываемых финансовой организацией, в случае неплатежеспособности, финансового оздоровления или прекращения деятельности стороннего поставщика услуг ICT или в случае прекращения договорных отношений;

(e) описания уровней обслуживания, включая их обновления и пересмотры;

(f) обязательство стороннего поставщика услуг ICT оказывать финансовой организации содействие без дополнительных затрат или за плату, которая определяется ex-ante, при наступлении инцидента, связанного с ICT, который касается услуги ICT, оказываемой финансовой организации;

(g) обязательство стороннего поставщика услуг ICT в полной мере сотрудничать с компетентными органами и органами по финансовому оздоровлению финансовой организации, включая назначенных ими лиц;

(h) права на расторжение и соответствующие минимальные сроки уведомления о расторжении договорных отношений в соответствии с ожиданиями компетентных органов и органов по финансовому оздоровлению;

(i) условия для участия сторонних поставщиков услуг ICT в программах финансовых организаций по повышению уровня осведомленности о безопасности ICT и в программах обучения в области цифровой операционной устойчивости в соответствии со Статьей 13(6) настоящего Регламента.

3. Договоры об использовании услуг ICT, которые поддерживают выполнение критических или важных функций, должны включать в себя, в дополнение к элементам, указанным в параграфе 2 настоящей Статьи, как минимум следующие сведения:

(a) полные описания уровней обслуживания, включая их обновления и пересмотры, с точными количественными и качественными целевыми показателями в рамках согласованных уровней обслуживания, чтобы позволить финансовой организации осуществлять эффективный мониторинг услуг ICT и без лишнего промедления принимать надлежащие корректирующие меры при несоблюдении согласованных уровней обслуживания;

(b) периоды уведомления и обязательства стороннего поставщика услуг ICT представлять отчетность финансовой организации, включая уведомление о любых изменениях, которые могут оказать существенное влияние на способность стороннего поставщика услуг ICT эффективно оказывать услуги ICT, которые поддерживают критические или важные функции в соответствии с согласованными уровнями обслуживания;

(с) требования к стороннему поставщику услуг ICT внедрять и подвергать испытаниям планы действий на случай непредвиденных обстоятельств, а также иметь в распоряжении меры, инструменты и принципы безопасности ICT, которые обеспечивают надлежащий уровень безопасности для оказания финансовой организацией услуг в соответствии с ее нормативной правовой базой;

(d) обязательство стороннего поставщика услуг ICT участвовать и в полной мере сотрудничать в проведении финансовой организацией TLPT, как указано в Статьях 26 и 27 настоящего Регламента;

(e) право осуществлять постоянный мониторинг деятельности стороннего поставщика услуг ICT, которое предполагает следующее:

(i) неограниченные права на доступ, проведение проверки и аудита со стороны финансовой организации или назначенного третьего лица, а также со стороны компетентного органа, право делать копии соответствующей документации на месте, если она имеет решающее значение для операций стороннего поставщика услуг ICT, если эффективное осуществление указанных прав не осложняется и не ограничивается другими договорными отношениями или политиками реализации;

(ii) право согласовывать альтернативные уровни гарантий, если затрагиваются права других клиентов;

(iii) обязательство стороннего поставщика услуг ICT в полной мере сотрудничать во время проверок и аудитов на местах, проводимых компетентными органами, Ведущим контролером, финансовой организацией или назначенным третьим лицом; и

ГАРАНТ:

Нумерация подпунктов приводится в соответствии с источником

(iii) обязательство предоставлять подробную информацию об объеме, процедурах, которым необходимо следовать, а также о частоте таких проверок и аудитов;

(f) стратегии прекращения договорных отношений, в частности установление обязательного надлежащего переходного периода:

(i) в течение которого сторонний поставщик услуг ICT продолжает предоставлять соответствующие функции или услуги ICT для снижения риска сбоев в работе финансовой организации или для обеспечения ее эффективного финансового оздоровления и реструктуризации;

(ii) позволяющего финансовой организации перейти к другому стороннему поставщику услуг ICT или перейти на собственные решения с учетом сложности предоставляемой услуги.

В порядке отступления от пункта (e) настоящего параграфа сторонний поставщик услуг ICT и финансовая организация, являющаяся микропредприятием, могут договориться о том, что права финансовой организации на доступ, проведение проверки и аудита могут быть делегированы независимой третьей стороне, назначенной сторонним поставщиком услуг ICT, и что финансовая организация может в любой момент запросить у третьей стороны информацию и гарантии эффективности работы стороннего поставщика услуг ICT.

4. При заключении договоров финансовые организации и сторонние поставщики услуг ICT должны рассмотреть возможность использования стандартных договорных положений, разработанных органами власти в отношении конкретных услуг.

5. ESA в рамках Совместного комитета должны разработать проекты регулятивных технических стандартов в целях уточнения дальнейших элементов, указанных в пункте (a) параграфа 2 настоящей Статьи, которые финансовая организация должна определить и оценить при заключении договоров субподряда на услуги ICT, которые поддерживают выполнение критических или важных функций.

При разработке таких проектов регулятивных технических стандартов ESA должны принимать во внимание размер и общий профиль риска финансовой организации, а также характер, масштаб и сложность ее услуг, деятельности и операций.

ESA должны представить такие проекты регулятивных технических стандартов Европейской Комиссии не позднее 17 июля 2024 г.

Европейской Комиссии делегированы полномочия по дополнению настоящего Регламента путем принятия регулятивных технических стандартов, указанных в первом подпараграфе, в соответствии со Статьями 10 - 14 Регламентов (ЕС) 1093/2010, (ЕС) 1094/2010 и (ЕС) 1095/2010.