Art. 3 · Diligencia debida y evaluación de riesgos en relación con el uso de subcontratistas que sustenten funciones esenciales o importantes.

Art. 3

Diligencia debida y evaluación de riesgos en relación con el uso de subcontratistas que sustenten funciones esenciales o importantes.

En vigor desde 24 mar 2025
Artículo 3 Diligencia debida y evaluación de riesgos en relación con el uso de subcontratistas que sustenten funciones esenciales o importantes. 1.   Antes de celebrar un acuerdo contractual con un proveedor tercero de servicios de TIC, la entidad financiera decidirá si dicho proveedor puede subcontratar un servicio de TIC que sustente funciones esenciales o importantes, o partes sustanciales de ellas. La entidad financiera solo celebrará dicho acuerdo contractual si considera que se han cumplido todas las condiciones siguientes: a) que los procesos de diligencia debida sobre el proveedor tercero de servicios de TIC garanticen que es capaz de seleccionar y evaluar las capacidades operativas y financieras de los posibles subcontratistas de TIC para prestar los servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas, en particular participando, cuando así lo requiera la entidad financiera, en las pruebas de resiliencia operativa digital a que se refiere el capítulo IV del Reglamento (UE) 2022/2554; b) que el proveedor tercero de servicios de TIC pueda identificar a todos los subcontratistas que presten servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas, así como notificar dichos subcontratistas e informar de ellos a la entidad financiera, y proporcionar a la entidad financiera toda la información que pueda ser necesaria para evaluar las condiciones establecidas en el presente artículo; c) que el proveedor tercero de servicios de TIC garantice que los acuerdos contractuales con los subcontratistas que presten servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas, permiten a la entidad financiera cumplir sus propias obligaciones derivadas del Reglamento (UE) 2022/2554 y de la legislación nacional y de la Unión aplicable; d) que el subcontratista conceda a la entidad financiera y a las autoridades competentes y de resolución los mismos derechos contractuales de acceso e inspección que los concedidos por el proveedor tercero de servicios de TIC; e) que, sin perjuicio de la responsabilidad final de la entidad financiera de cumplir sus obligaciones jurídicas y normativas, el propio proveedor tercero de servicios de TIC disponga de capacidad, conocimientos especializados y recursos financieros, humanos y técnicos suficientes para llevar a cabo un seguimiento de los riesgos de TIC de los subcontratistas, en particular aplicando normas adecuadas de seguridad de la información y estableciendo una estructura organizativa, una gestión de riesgos y controles internos apropiados, así como la notificación de incidentes y la respuesta a ellos; f) que la entidad financiera disponga de capacidades, conocimientos especializados y recursos financieros, humanos y técnicos suficientes para llevar a cabo un seguimiento de los riesgos de TIC relacionados con el servicio que sustente funciones esenciales o importantes, o partes sustanciales de ellas, que se haya subcontratado, en particular aplicando normas adecuadas de seguridad de la información y estableciendo una estructura organizativa y una gestión de riesgos apropiadas, la respuesta a incidentes, un sistema de gestión de la continuidad de las actividades y controles internos; g) que la entidad financiera haya evaluado el impacto en la resiliencia operativa digital y la solidez financiera de la entidad financiera de un posible fallo de un subcontratista que preste servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas; h) que la entidad financiera haya evaluado los riesgos asociados a la ubicación de los posibles subcontratistas en relación con los servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas, prestados por el proveedor tercero de servicios de TIC; i) que la entidad financiera haya evaluado los riesgos de concentración de TIC a nivel de entidad de conformidad con el artículo 29 del Reglamento (UE) 2022/2554; j) que la entidad financiera haya evaluado si existen obstáculos para el ejercicio de los derechos de auditoría, inspección y acceso por parte de las autoridades competentes, las autoridades de resolución o la entidad financiera, incluidas las personas designadas por ellas. 2.   Las entidades financieras que recurran a proveedores terceros de servicios de TIC que subcontraten servicios de TIC que sustenten funciones esenciales o importantes, o partes sustanciales de ellas llevarán a cabo periódicamente la evaluación de riesgos a que se refiere el apartado 1, letras f) a j), frente a posibles cambios en su entorno empresarial, en particular los cambios en las funciones empresariales sustentadas, en las evaluaciones de riesgos que incluyan las amenazas de las TIC, los riesgos de concentración de TIC y los riesgos geopolíticos. 3.   El hecho de que se basen en los resultados de la evaluación de riesgos realizada por sus proveedores terceros de servicios de TIC sobre sus subcontratistas en el cumplimiento de las obligaciones establecidas en el presente artículo no limitará la responsabilidad final de las entidades financieras de cumplir sus obligaciones jurídicas y normativas en virtud del Reglamento (UE) 2022/2554.
Historial de versiones

Este artículo no ha sufrido modificaciones desde su publicación.

Tus anotaciones

Pro

eli:reg_del:2025:532:oj#art-3