Art. 4
Condiciones en las que pueden subcontratarse servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas.
En vigor desde 24 mar 2025
Artículo 4
Condiciones en las que pueden subcontratarse servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas.
1. En el acuerdo contractual celebrado entre la entidad financiera y el proveedor tercero de servicios de TIC se determinará qué servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas, pueden ser objeto de subcontratación y en qué condiciones. En dicho contrato se especificará:
a)
que el proveedor tercero de servicios de TIC es responsable de los servicios prestados por los subcontratistas;
b)
que el proveedor tercero de servicios de TIC está obligado a supervisar todos los servicios de TIC subcontratados que sustenten funciones esenciales o importantes, o partes sustanciales de ellas, a fin de garantizar el cumplimiento continuado de sus obligaciones contractuales con la entidad financiera;
c)
las obligaciones de seguimiento y notificación del proveedor tercero de servicios de TIC con respecto a la entidad financiera en relación con los subcontratistas que presten servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas;
d)
que el proveedor tercero de servicios de TIC debe evaluar todos los riesgos asociados a la ubicación de los subcontratistas actuales o potenciales que presten servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas, a su sociedad matriz y a la ubicación desde la que se presta el servicio de TIC de que se trate;
e)
la ubicación de los datos tratados o almacenados por el subcontratista, cuando proceda;
f)
que el proveedor tercero de servicios de TIC debe especificar en el contrato que formalice con sus subcontratistas las obligaciones de seguimiento y notificación de dicho subcontratista con respecto al proveedor tercero de servicios de TIC y, cuando así se acuerde, con la entidad financiera;
g)
que el proveedor tercero de servicios de TIC debe garantizar la continuidad de los servicios de TIC que sustenten funciones esenciales o importantes a lo largo de toda la cadena de subcontratistas en caso de incumplimiento de las obligaciones contractuales por parte de un subcontratista de TIC;
h)
que el acuerdo contractual entre el proveedor tercero de servicios de TIC y sus subcontratistas contiene los requisitos relativos a los planes de contingencia empresarial a que se refiere el artículo 30, apartado 3, letra c), del Reglamento (UE) 2022/2554 y especifica los niveles de servicio que deben cumplir los subcontratistas de TIC en relación con dichos planes;
i)
que en el acuerdo contractual formalizado entre el proveedor tercero de servicios de TIC y sus subcontratistas se especifican las normas de seguridad de las TIC y los requisitos de seguridad adicionales a que se refiere el artículo 30, apartado 3, letra c), del Reglamento (UE) 2022/2554;
j)
que el subcontratista debe conceder a la entidad financiera y a las autoridades competentes y de resolución pertinentes los mismos derechos de acceso, inspección y auditoría a que se refiere el artículo 30, apartado 3, letra e), del Reglamento (UE) 2022/2554;
k)
que el proveedor tercero de servicios de TIC debe notificar a la entidad financiera cualquier cambio significativo introducido en los acuerdos de subcontratación;
l)
que la entidad financiera tiene derecho a rescindir el contrato con el proveedor tercero de servicios de TIC cuando se cumplan las condiciones establecidas en el artículo 6 del presente Reglamento o las condiciones establecidas en el artículo 28, apartado 7, del Reglamento (UE) 2022/2554.
2. Los cambios relativos a los acuerdos contractuales entre la entidad financiera y los proveedores terceros de servicios de TIC que presten un servicio de TIC que sustente funciones esenciales o importantes, o partes sustanciales de ellas, que sean necesarios para cumplir el presente Reglamento se aplicarán de manera oportuna y tan pronto como sea posible. La entidad financiera documentará el calendario previsto para la aplicación.
Historial de versiones
Este artículo no ha sufrido modificaciones desde su publicación.
Tus anotaciones
Proeli:reg_del:2025:532:oj#art-4