(EU) 2025/532Nařízení Komise v přenesené pravomoci (EU) 2025/532 ze dne 24. března 2025, kterým se doplňuje nařízení Evropského parlamentu a Rady (EU) 2022/2554, pokud jde o regulační technické normy upřesňující prvky, které musí finanční subjekt určit a posoudit při subdodávkách služeb IKT podporujících zásadní nebo důležité funkce
| Publikováno: | Úř. věst. L 532, 2.7.2025 | Druh předpisu: | Nařízení v přenesené pravomoci |
| Přijato: | 24. března 2025 | Autor předpisu: | |
| Platnost od: | 22. července 2025 | Nabývá účinnosti: | 22. července 2025 |
| Platnost předpisu: | Ano | Pozbývá platnosti: | |
 Obsah  Tisk  Export  Skrýt přehled Celkový přehled  Skrýt názvy Zobrazit názvy
|
|||
Předpisem se mění
Provádí předpisy
Oblasti
Věcný rejstřík
Třídění
- Deskriptor EUROVOC:
; ; bezpečnost informačních systémů; digitalizace dokumentů; dohled nad trhem; finanční služby; informační technologie; řízení rizik; subdodávka; technická norma - Oblast:
Systém zabezpečení; Telekomunikace; Vnitřní trh - zásady - Kód oblastí:
06 PRÁVO USAZOVÁNÍ A VOLNÝ POHYB SLUŽEB; 06.20 Uplatnění v odvětvích; 06.20.20 Služby; 06.20.20.80 Ostatní služby; 13 PRŮMYSLOVÁ POLITIKA A VNITŘNÍ TRH; 13.20 Průmyslová politika:odvětvová opatření; 13.20.60 Informační technologie, telekomunikace a zpracování dat
Předpisy EU
|
Úřední věstník |
CS Řada L |
|
2025/532 |
2.7.2025 |
NAŘÍZENÍ KOMISE V PŘENESENÉ PRAVOMOCI (EU) 2025/532
ze dne 24. března 2025,
kterým se doplňuje nařízení Evropského parlamentu a Rady (EU) 2022/2554, pokud jde o regulační technické normy upřesňující prvky, které musí finanční subjekt určit a posoudit při subdodávkách služeb IKT podporujících zásadní nebo důležité funkce
(Text s významem pro EHP)
EVROPSKÁ KOMISE,
s ohledem na Smlouvu o fungování Evropské unie,
s ohledem na nařízení Evropského Parlamentu a Rady (EU) 2022/2554 ze dne 14. prosince 2022 o digitální provozní odolnosti finančního sektoru a o změně nařízení (ES) č. 1060/2009, (EU) č. 648/2012, (EU) č. 600/2014, (EU) č. 909/2014 a (EU) 2016/1011 (1), a zejména na čl. 30 odst. 5 čtvrtý pododstavec uvedeného nařízení,
vzhledem k těmto důvodům:
|
(1) |
Poskytování služeb IKT finančním subjektům často závisí na složitém řetězci subdodavatelů IKT, přičemž poskytovatelé služeb IKT z řad třetích stran mohou uzavřít jedno nebo více ujednání o subdodávkách s jinými poskytovateli služeb IKT z řad třetích stran. Nepřímá závislost na subdodavatelích IKT může mít dopad na schopnost finančního subjektu identifikovat, posuzovat a řídit rizika, včetně rizik souvisejících s nedostatky v informacích poskytovaných poskytovateli služeb IKT z řad třetích stran a s omezenou schopností finančního subjektu získat informace od těch subdodavatelů IKT, kteří poskytují služby IKT podporující zásadní nebo důležité funkce nebo jejich podstatné součásti. Pokud poskytování služeb IKT finančním subjektům závisí na potenciálně dlouhém nebo složitém řetězci subdodavatelů IKT, je nezbytné, aby finanční subjekty identifikovaly celý řetězec subdodavatelů poskytujících služby IKT podporující zásadní nebo důležité funkce. |
|
(2) |
Mezi subdodavateli, kteří poskytují služby IKT podporující zásadní nebo důležité funkce, by se finanční subjekty měly zaměřovat, a to nepřetržitě, zejména na ty subdodavatele, kteří službu IKT podporující zásadní nebo důležité funkce fakticky zajišťují, včetně všech subdodavatelů poskytujících služby IKT, jejichž narušení by oslabilo bezpečnost nebo kontinuitu služby, podle registru informací uvedeného v čl. 28 odst. 3 nařízení (EU) 2022/2554. |
|
(3) |
Finanční subjekty se značně liší velikostí, strukturou, vnitřní organizací a také povahou a složitostí svých činností. Aby byla zajištěna přiměřenost, měla by být tato rozmanitost zohledněna v upřesnění, které prvky by měl finanční subjekt určit a posoudit při subdodávkách služeb IKT podporujících zásadní nebo důležité funkce. |
|
(4) |
Pokud to finanční subjekty povolí v souladu s čl. 30 odst. 2 nařízení (EU) 2022/2554, využívání subdodavatelských služeb IKT podporujících zásadní nebo důležité funkce poskytovateli služeb IKT z řad třetích stran nemůže snížit konečnou odpovědnost vedoucích orgánů finančních subjektů za řízení jejich rizik a za plnění jejich legislativních a regulačních povinností. Pokud jsou povoleny subdodávky služeb IKT podporujících zásadní nebo důležité funkce, je důležité, aby finanční subjekty měly jasný a ucelený přehled o rizicích, která jsou se subdodávkami služeb podporujících zásadní nebo důležité funkce spojena, aby byly schopny tato rizika sledovat, řídit a zmírňovat. Před zadáním uvedených služeb subdodavatelům by proto měly daná rizika posoudit. |
|
(5) |
Subdodavatelé IKT v rámci skupiny, kteří poskytují služby IKT podporující zásadní nebo důležité funkce nebo jejich podstatné součásti, včetně subdodavatelů IKT v rámci skupiny, kteří jsou v plném nebo společném vlastnictví finančních subjektů v rámci téhož institucionálního systému ochrany, by měli být považováni za subdodavatele IKT. |
|
(6) |
V příslušných případech, v kontextu skupiny, by měl mateřský podnik finančních subjektů zajistit, aby politika využívání subdodavatelů IKT poskytujících služby IKT podporující zásadní nebo důležité funkce nebo jejich podstatnou součást byla v rámci skupiny uplatňována jednotně a soudržně. |
|
(7) |
Je důležité zajistit komplexní řízení rizik, která mohou vyvstat v případech, kdy jsou služby IKT podporující zásadní nebo důležité funkce zadány subdodavatelům. Z tohoto důvodu by finanční subjekty měly sledovat kroky v rámci životního cyklu smluvních ujednání o využívání služeb IKT, které podporují uvedené funkce a jsou poskytovány poskytovateli služeb IKT z řad třetích stran, včetně ujednání o subdodávkách. Je proto nutné stanovit požadavky na finanční subjekty, které by měly být reflektovány v jejich smluvních ujednáních s poskytovateli služeb IKT z řad třetích stran tam, kde je povoleno využívání subdodavatelských služeb IKT podporujících zásadní nebo důležité funkce. |
|
(8) |
Aby se zmírnila rizika spojená se subdodávkami, je nutné upřesnit, za jakých podmínek mohou poskytovatelé služeb IKT z řad třetích stran využívat subdodavatele k poskytování služeb IKT podporujících zásadní nebo důležité funkce. Za tímto účelem by smluvní ujednání o IKT mezi finančními subjekty a poskytovateli služeb IKT z řad třetích stran měla takové podmínky stanovit, včetně plánování ujednání o subdodávkách, posuzování rizik, náležité péče a postupu schvalování nových ujednání o subdodávkách IKT, která se budou týkat služeb IKT podporujících zásadní nebo důležité funkce nebo jejich podstatné součásti, nebo podstatných změn stávajících ujednání, které bude provádět poskytovatel služeb IKT z řad třetích stran. |
|
(9) |
Aby byla před uzavřením ujednání mezi finančním subjektem a subdodavatelem IKT identifikována rizika, jež by mohla vyvstat, měli by poskytovatelé služeb IKT z řad třetích stran vhodným a přiměřeným způsobem posoudit vhodnost potenciálních subdodavatelů na základě smluvních ujednání o IKT, která poskytovatel služeb IKT z řad třetích stran uzavřel s finančním subjektem. Tato smluvní ujednání o IKT by proto měla vyžadovat, aby poskytovatel služeb IKT z řad třetích stran, nebo případně přímo finanční subjekt posoudil možnosti potenciálního subdodavatele, mimo jiné jeho odbornost, vybavenost patřičnými finančními, lidskými a technickými zdroji, zajištění bezpečnosti informací a organizační strukturu, včetně řízení rizik a interních kontrol, které by měl mít subdodavatel zavedené. |
|
(10) |
Ke zmírnění veškerých slabin a hrozeb, jež mohou představovat rizika pro systémy a operace IKT finančních subjektů, by finanční subjekty měly být schopny sledovat fungování služby IKT a měly by být informovány o veškerých relevantních změnách v rámci jejich subdodavatelského řetězce IKT, pokud se takové změny týkají zásadních nebo důležitých funkcí. |
|
(11) |
Aby mohly finanční subjekty posuzovat rizika spojená s ujednáními o subdodávkách nebo s jejich podstatnými změnami, měli by poskytovatelé služeb IKT z řad třetích stran finanční subjekty, kterým služby IKT poskytují, informovat o všech takových nových ujednáních nebo změnách v dostatečném předstihu před tím, než se daná ujednání nebo změny začnou uplatňovat. Z téhož důvodu by finanční subjekty měly mít právo ukončit smlouvu s poskytovatelem služeb IKT z řad třetích stran, pokud výsledek jejich posouzení rizik ukáže, že nová ujednání nebo podstatné změny s sebou nesou vyšší úroveň rizika, než jakou jsou ochotni podstupovat. |
|
(12) |
Evropské orgány dohledu uskutečnily k návrhu regulační technické normy, z níž toto nařízení vychází, otevřenou veřejnou konzultaci, analyzovaly potenciální související náklady a přínosy a požádaly o poradenství skupiny subjektů evropských orgánů dohledu zřízené podle článku 37 nařízení Evropského parlamentu a Rady (EU) č. 1093/2010 (2), článku 37 nařízení Evropského parlamentu a Rady (EU) č. 1094/2010 (3) a článku 37 nařízení Evropského parlamentu a Rady (EU) č. 1095/2010 (4). |
|
(13) |
V souladu s čl. 42 odst. 1 nařízení Evropského parlamentu a Rady (EU) 2018/1725 (5) byl konzultován evropský inspektor ochrany údajů, který vydal stanovisko dne 20. srpna 2024, |
PŘIJALA TOTO NAŘÍZENÍ:
Článek 1
Celkový rizikový profil a složitost
Finanční subjekty zohlední svou velikost a celkový rizikový profil, povahu a rozsah svých služeb, činností a operací a prvky zvýšené nebo snížené složitosti těchto služeb, činností a operací, včetně prvků, jež se týkají:
|
a) |
druhu služeb IKT podporujících zásadní nebo důležité funkce zahrnutých do smluvního ujednání mezi finančním subjektem a poskytovatelem služeb IKT z řad třetích stran; |
|
b) |
druhu služeb IKT zahrnutých do smluvního ujednání mezi poskytovatelem služeb IKT z řad třetích stran a jeho subdodavateli; |
|
c) |
místa usazení subdodavatele IKT, který poskytuje služby IKT podporující zásadní nebo důležité funkce nebo jejich podstatnou součást, nebo jeho mateřské společnosti; |
|
d) |
délky a složitosti řetězce subdodavatelů, kteří poskytují služby IKT podporující zásadní nebo důležité funkce nebo jejich podstatné součásti a které poskytovatel služeb IKT z řad třetích stran využívá; |
|
e) |
povahy údajů, které jsou sdíleny se subdodavateli IKT poskytujícími služby IKT podporující zásadní nebo důležité funkce nebo jejich podstatné součásti; |
|
f) |
toho, zda služby IKT podporující zásadní nebo důležité funkce nebo jejich podstatné součásti poskytují subdodavatelé usazení v členském státě, nebo ve třetí zemi, přičemž se přihlíží také k místu, odkud jsou služby IKT skutečně poskytovány, a místu, kde jsou zpracovávány a uchovávány údaje; |
|
g) |
toho, zda subdodavatelé IKT, kteří poskytují služby IKT podporující zásadní nebo důležité funkce nebo jejich podstatné součásti, patří do téže skupiny jako finanční subjekt, jemuž jsou uvedené služby poskytovány; |
|
h) |
toho, zda subdodavatelé IKT, kteří poskytují služby IKT podporující zásadní nebo důležité funkce nebo jejich podstatné součásti, mají povolení od příslušného orgánu v členském státě, jsou jím zaregistrováni nebo podléhají jeho dozoru či dohledu, nebo podléhají rámci dohledu podle kapitoly V oddílu II nařízení (EU) 2022/2554; |
|
i) |
toho, zda poskytovatelé služeb IKT z řad třetích stran, kteří podporují zásadní nebo důležité funkce nebo jejich podstatné součásti, mají povolení od orgánu dohledu ve třetí zemi, jsou jím zaregistrováni nebo podléhají jeho dozoru či dohledu; |
|
j) |
toho, zda je poskytování služeb IKT podporujících zásadní nebo důležité funkce nebo jejich podstatné součásti koncentrováno u jediného subdodavatele poskytovatele služeb IKT z řad třetích stran, nebo u malého počtu takových subdodavatelů; |
|
k) |
toho, zda by subdodávky služeb IKT podporujících zásadní nebo důležité funkce nebo jejich podstatné součásti měly dopad na přenositelnost těchto služeb IKT k jinému poskytovateli služeb IKT z řad třetích stran; |
|
l) |
potenciálního dopadu narušení na kontinuitu a dostupnost služeb IKT podporujících zásadní nebo důležité funkce nebo jejich podstatné součásti poskytovaných poskytovatelem služeb IKT z řad třetích stran v případech, kdy je k poskytování služeb IKT podporujících zásadní nebo důležité funkce nebo jejich podstatné součásti využíván subdodavatel. |
Článek 2
Uplatňování v rámci skupiny
V případech, kdy se toto nařízení použije na subkonsolidovaném či konsolidovaném základě, mateřský podnik, který je odpovědný za sestavování konsolidovaných nebo subkonsolidovaných účetních závěrek skupiny, zajistí, aby byly podmínky pro subdodávky služeb IKT podporujících zásadní nebo důležité funkce nebo jejich podstatné součásti, jsou-li takové subdodávky povoleny podle smluvních ujednání o využívání služeb IKT, uplatňovány jednotně ve všech finančních subjektech, jež jsou součástí skupiny, a aby byly přiměřené pro účely účinného uplatňování tohoto nařízení na všech příslušných úrovních.
Článek 3
Náležitá péče a posuzování rizik v souvislosti s využíváním subdodavatelů podporujících zásadní nebo důležité funkce
1. Finanční subjekt před uzavřením smluvního ujednání s poskytovatelem služeb IKT z řad třetích stran rozhodne, zda tento poskytovatel služeb IKT z řad třetích stran může zadat subdodavateli službu IKT podporující zásadní nebo důležité funkce nebo jejich podstatné součásti. Finanční subjekt uzavře takové smluvní ujednání pouze tehdy, když shledá, že jsou splněny všechny následující podmínky:
|
a) |
postupy náležité péče prověřující poskytovatele služeb IKT z řad třetích stran zajišťují, že je schopen vybrat potenciální subdodavatele IKT k poskytování služeb IKT podporujících zásadní nebo důležité funkce nebo jejich podstatné součásti a posoudit jejich provozní a finanční schopnosti, mimo jiné i tím, že se poskytovatel služeb IKT z řad třetích stran na žádost finančního subjektu zapojí do testování digitální provozní odolnosti podle kapitoly IV nařízení (EU) 2022/2554; |
|
b) |
poskytovatel služeb IKT z řad třetích stran je schopen identifikovat všechny subdodavatele, kteří poskytují služby IKT podporující zásadní nebo důležité funkce nebo jejich podstatné součásti, oznámit je finančnímu subjektu a informovat jej o nich a je schopen poskytnout finančnímu subjektu všechny informace, které mohou být nezbytné k posouzení podmínek podle tohoto článku; |
|
c) |
poskytovatel služeb IKT z řad třetích stran zajišťuje, aby smluvní ujednání se subdodavateli, kteří poskytují služby IKT podporující zásadní nebo důležité funkce nebo jejich podstatné součásti, umožňovala finančnímu subjektu plnit jeho vlastní povinnosti vyplývající z nařízení (EU) 2022/2554 a příslušných unijních a vnitrostátních právních předpisů; |
|
d) |
subdodavatel přiznává finančnímu subjektu, příslušným orgánům a orgánům příslušným k řešení krize stejná smluvní práva na přístup a kontrolu, jaké přiznává poskytovatel služeb IKT z řad třetích stran; |
|
e) |
aniž je dotčena konečná odpovědnost finančního subjektu za plnění jeho právních a regulačních povinností, sám poskytovatel služeb IKT z řad třetích stran má dostatečnou schopnost, odbornost a patřičné finanční, lidské a technické zdroje ke sledování rizik v oblasti IKT na úrovni subdodavatelů, mimo jiné díky tomu, že uplatňuje odpovídající normy v oblasti bezpečnosti informací a má zavedenu odpovídající organizační strukturu, řízení rizik, interní kontroly, hlášení incidentů a reakce na incidenty; |
|
f) |
finanční subjekt má dostatečnou schopnost, odbornost a patřičné finanční, lidské a technické zdroje ke sledování rizik v oblasti IKT souvisejících se službou podporující zásadní nebo důležité funkce nebo jejich podstatné součásti, která byla zadána subdodavatelům, mimo jiné díky tomu, že uplatňuje odpovídající normy v oblasti bezpečnosti informací a má zavedenu odpovídající organizační strukturu, řízení rizik, reakce na incidenty, řízení zachování provozu a interní kontroly; |
|
g) |
finanční subjekt posoudil dopad možného selhání subdodavatele, který poskytuje služby IKT podporující zásadní nebo důležité funkce nebo jejich podstatnou součást, na svou digitální provozní odolnost a své finanční zdraví; |
|
h) |
finanční subjekt posoudil rizika spojená s místem usazení potenciálních subdodavatelů, v souvislosti se službami IKT podporujícími zásadní nebo důležité funkce nebo jejich podstatnou součást poskytovanými poskytovatelem služeb IKT z řad třetích stran; |
|
i) |
finanční subjekt posoudil rizika koncentrace IKT na úrovni subjektu v souladu s článkem 29 nařízení (EU) 2022/2554; |
|
j) |
finanční subjekt posoudil, zda neexistují nějaké překážky pro výkon auditu, kontroly a práv na přístup ze strany příslušných orgánů, orgánů příslušných k řešení krize nebo finančního subjektu včetně jimi jmenovaných osob. |
2. Finanční subjekty, jež využívají poskytovatele služeb IKT z řad třetích stran, kteří zadávají služby IKT podporující zásadní nebo důležité funkce nebo jejich podstatné součásti subdodavatelům, pravidelně provádějí posouzení rizik podle odst. 1 písm. f) až j) s ohledem na možné změny ve svém podnikatelském prostředí, včetně změn v podporovaných obchodních funkcích, přičemž posuzují mimo jiné hrozby IKT, rizika koncentrace IKT a geopolitická rizika.
3. Spoléhání se na výsledky posouzení rizik, které provádějí jejich poskytovatelé služeb IKT z řad třetích stran u svých subdodavatelů v rámci plnění povinností stanovených v tomto článku, neomezuje konečnou odpovědnost finančních subjektů za plnění jejich právních a regulačních povinností podle nařízení (EU) 2022/2554.
Článek 4
Podmínky, za jakých mohou být služby IKT podporující zásadní nebo důležité funkce nebo jejich podstatnou součást zadány subdodavatelům
1. Smluvní ujednání uzavřené mezi finančním subjektem a poskytovatelem služeb IKT z řad třetích stran určí, které služby IKT podporující zásadní nebo důležité funkce nebo jejich podstatné součásti jsou způsobilé pro subdodávky a za jakých podmínek. Tato smlouva stanoví:
|
a) |
že poskytovatel služeb IKT z řad třetích stran odpovídá za poskytování služeb poskytovaných subdodavateli; |
|
b) |
že poskytovatel služeb IKT z řad třetích stran je povinen sledovat všechny subdodavatelské služby IKT podporující zásadní nebo důležité funkce nebo jejich podstatné součásti, aby bylo zajištěno nepřetržité plnění jeho smluvních závazků vůči finančnímu subjektu; |
|
c) |
povinnosti poskytovatele služeb IKT z řad třetích stran vůči finančnímu subjektu, pokud jde o sledování subdodavatelů, kteří poskytují služby IKT podporující zásadní nebo důležité funkce nebo jejich podstatné součásti, a podávání zpráv v této spojitosti; |
|
d) |
že poskytovatel služeb IKT z řad třetích stran má posoudit všechna rizika spojená s místem usazení stávajících nebo potenciálních subdodavatelů, kteří poskytují služby IKT podporující zásadní nebo důležité funkce nebo jejich podstatné součásti, a s místem usazení jejich mateřské společnosti a s místem, odkud je předmětná služba IKT poskytována; |
|
e) |
v příslušných případech místo, kde bude subdodavatel údaje zpracovávat nebo uchovávat; |
|
f) |
že poskytovatel služeb IKT z řad třetích stran má ve své smlouvě se subdodavateli upřesnit povinnosti daného subdodavatele vůči poskytovateli služeb IKT z řad třetích stran a v případě dohody i vůči finančnímu subjektu, pokud jde o sledování a podávání zpráv; |
|
g) |
že poskytovatel služeb IKT z řad třetích stran má zajistit kontinuitu služeb IKT podporujících zásadní nebo důležité funkce v celém řetězci subdodavatelů v případě, že některý subdodavatel IKT nedostojí svým smluvním povinnostem; |
|
h) |
že smluvní ujednání mezi poskytovatelem služeb IKT z řad třetích stran a jeho subdodavateli zahrnují požadavky na plány zachování provozu uvedené v čl. 30 odst. 3 písm. c) nařízení (EU) 2022/2554 a upřesňují úrovně služeb, které mají subdodavatelé IKT v souvislosti s těmito plány splňovat; |
|
i) |
že smluvní ujednání mezi poskytovatelem služeb IKT z řad třetích stran a jeho subdodavateli upřesňují normy bezpečnosti IKT a veškeré další bezpečnostní požadavky uvedené v čl. 30 odst. 3 písm. c) nařízení (EU) 2022/2554; |
|
j) |
že subdodavatel má přiznat finančnímu subjektu a relevantním příslušným orgánům a orgánům příslušným k řešení krize práva na přístup, kontrolu a audit, která se nijak neliší od práv uvedených v čl. 30 odst. 3 písm. e) nařízení (EU) 2022/2254; |
|
k) |
že poskytovatel služeb IKT z řad třetích stran má finančnímu subjektu oznamovat veškeré podstatné změny ujednání o subdodávkách; |
|
l) |
že finanční subjekt má právo ukončit smlouvu s poskytovatelem služeb IKT z řad třetích stran, jsou-li splněny podmínky stanovené v článku 6 tohoto nařízení, nebo podmínky stanovené v čl. 28 odst. 7 nařízení (EU) 2022/2554. |
2. Změny smluvních ujednání mezi finančním subjektem a poskytovateli služeb IKT z řad třetích stran, kteří poskytují službu IKT podporující zásadní nebo důležité funkce nebo jejich podstatné součásti, nutné k dosažení souladu s tímto nařízením se provedou včas a co nejdříve je to možné. Plánovaný harmonogram jejich provedení finanční subjekt zdokumentuje.
Článek 5
Podstatné změny ujednání o subdodávkách služeb IKT podporujících zásadní nebo důležité funkce nebo jejich podstatné součásti
1. Smluvní ujednání stanoví, že poskytovatel služeb IKT z řad třetích stran s dostatečným předstihem informuje finanční subjekt o veškerých zamýšlených podstatných změnách svých ujednání o subdodávkách, aby finanční subjekt mohl posoudit:
|
a) |
dopad na rizika, kterým je nebo může být vystaven; |
|
b) |
zda by takové podstatné změny mohly ovlivnit schopnost poskytovatele služeb IKT z řad třetích stran plnit své smluvní závazky vůči finančnímu subjektu. |
2. Smluvní ujednání obsahuje přiměřenou oznamovací lhůtu, v níž má finanční subjekt změny schválit nebo proti nim vznést námitku.
3. Poskytovatel služeb IKT z řad třetích stran provede podstatné změny ve svých ujednáních o subdodávkách až poté, co finanční subjekt změny schválí, nebo proti nim do konce oznamovací lhůty nevznese námitky.
4. Pokud se finanční subjekt domnívá, že podstatné změny uvedené v odstavci 1 s sebou nesou vyšší úroveň rizika, než jakou je ochoten podstupovat, finanční subjekt před uplynutím oznamovací lhůty:
|
a) |
o této skutečnosti informuje poskytovatele služeb IKT z řad třetích stran; |
|
b) |
před provedením změn vznese proti předmětným změnám námitku a vyžádá si jejich úpravu. |
Článek 6
Ukončení smlouvy mezi finančním subjektem a poskytovatelem služeb IKT z řad třetích stran
Finanční subjekt má právo ve smluvním ujednání s poskytovatelem služeb IKT z řad třetích stran stanovit, že smluvní ujednání se ukončí v každém z těchto případů:
|
a) |
finanční subjekt vznesl námitky proti podstatným změnám ujednání o subdodávkách podporujících zásadní nebo důležité funkce a požádal o úpravu těchto ujednání, avšak poskytovatel služeb IKT z řad třetích stran tyto podstatné změny přesto provedl; |
|
b) |
poskytovatel služeb IKT z řad třetích stran provedl podstatné změny ujednání o subdodávkách podporujících zásadní nebo důležité funkce nebo jejich podstatné součásti před koncem oznamovací lhůty bez schválení finančním subjektem; |
|
c) |
poskytovatel služeb IKT z řad třetích stran zadává subdodavateli službu IKT podporující zásadní nebo důležitou funkci nebo její podstatnou součást, ale ve smlouvě mezi finančním subjektem a poskytovatelem služeb IKT z řad třetích stran není její zadání subdodavateli výslovně povoleno. |
Článek 7
Vstup v platnost
Toto nařízení vstupuje v platnost dvacátým dnem po vyhlášení v Úředním věstníku Evropské unie.
Toto nařízení je závazné v celém rozsahu a přímo použitelné ve všech členských státech.
V Bruselu dne 24. března 2025.
Za Komisi
předsedkyně
Ursula VON DER LEYEN
(1) Úř. věst. L 333, 27.12.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
(2) Nařízení Evropského parlamentu a Rady (EU) č. 1093/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro bankovnictví), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/78/ES (Úř. věst. L 331, 15.12.2010, s. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).
(3) Nařízení Evropského parlamentu a Rady (EU) č. 1094/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro pojišťovnictví a zaměstnanecké penzijní pojištění), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/79/ES (Úř. věst. L 331, 15.12.2010, s. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).
(4) Nařízení Evropského parlamentu a Rady (EU) č. 1095/2010 ze dne 24. listopadu 2010 o zřízení Evropského orgánu dohledu (Evropského orgánu pro cenné papíry a trhy), o změně rozhodnutí č. 716/2009/ES a o zrušení rozhodnutí Komise 2009/77/ES (Úř. věst. L 331, 15.12.2010, s. 84, ELI http://data.europa.eu/eli/reg/2010/1095/oj).
(5) Nařízení Evropského parlamentu a Rady (EU) 2018/1725 ze dne 23. října 2018 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů orgány, institucemi a jinými subjekty Unie a o volném pohybu těchto údajů a o zrušení nařízení (ES) č. 45/2001 a rozhodnutí č. 1247/2002/ES (Úř. věst. L 295, 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
ELI: http://data.europa.eu/eli/reg_del/2025/532/oj
ISSN 1977-0626 (electronic edition)