Consumenten
Professionelen
search_api_autocomplete
Home

Beheer van de risico’s verbonden aan derde aanbieders van ICT-diensten

DORA strekt ertoe te garanderen dat de financiële entiteiten de risico’s op het gebied van informatie- en communicatietechnologie (ICT) beter beheersen, en dus weerbaarder zijn voor Elke potentiële omstandigheid, gebeurtenis of actie die netwerk- en informatiesystemen, de gebruikers van dergelijke systemen en andere personen kan schaden, verstoren of op andere wijze negatief kan beïnvloeden .

DORA besteedt bijzondere aandacht aan het derdepartijrisico. Ze strekt ertoe het risico zoveel mogelijk te beperken bij alle subcontractanten die ICT-diensten verlenen, en stelt een reeks kernbeginselen vast voor het beheer van ICT-risico’s van derde partijen.

Bepaalde vereisten zullen meer gedetailleerd worden toegelicht in technische reguleringsnormen (Regulatory Technical Standards (RTS)) en technische uitvoeringsnormen (Implementing Technical Standards (ITS)).

Bovendien legt DORA een toezichtsregeling en specifieke verplichtingen op aan de zogenaamde 'kritieke' derde aanbieders van ICT-diensten. Die verplichtingen komen niet aan bod in deze documentatie.

  • 1. Wat zijn de kernbeginselen voor een deugdelijk beheer van de risico’s die verbonden zijn aan derde aanbieders van ICT-diensten?

    De risico’s die verbonden zijn aan derde aanbieders van ICT-diensten, zijn een onderdeel van het ICT-risico. Er moet rekening mee worden gehouden bij het ICT-risicobeheer:

    • financiële entiteiten die contractuele overeenkomsten voor het gebruik van ICT-diensten hebben getroffen voor hun bedrijfsactiviteiten, blijven te allen tijde volledig verantwoordelijk voor de naleving en de verantwoording van alle verplichtingen uit hoofde van DORA;
    • het beheer van het ICT-risico van derde aanbieders door financiële entiteiten wordt uitgevoerd met naleving van het Krachtens het evenredigheidsbeginsel vervat in de DORA-verordening kan een financiële entiteit voor een pragmatische aanpak opteren, die is aangepast aan de grootte en de schaal van haar verrichtingen, met dien verstande dat de toepassing van dat beginsel er niet mag toe leiden dat die entiteit wordt vrijgesteld van de toepassing van de volledige Verordening. .

    Het Krachtens het evenredigheidsbeginsel vervat in de DORA-verordening kan een financiële entiteit voor een pragmatische aanpak opteren, die is aangepast aan de grootte en de schaal van haar verrichtingen, met dien verstande dat de toepassing van dat beginsel er niet mag toe leiden dat die entiteit wordt vrijgesteld van de toepassing van de volledige Verordening. impliceert dat rekening wordt gehouden met:

    • de aard, de schaal, de complexiteit en het belang van ICT-gerelateerde afhankelijkheden;
    • de risico’s die voortvloeien uit contractuele overeenkomsten met derde aanbieders van ICT-diensten inzake het gebruik van ICT-diensten, rekening houdend met de Het kritieke karakter van informatie- en ICT-assets verwijst naar het belang en de gevoeligheid van de informatie binnen een organisatie, gemeten aan de hand van de potentiële impact die het verlies, de aantasting of de onbeschikbaarheid ervan heeft op de activiteiten en de beveiliging van de onderneming. of het belang van de respectieve diensten, processen of functies en met de potentiële gevolgen van die risico’s voor de continuïteit en de De gegevens moeten beschikbaar, toegankelijk en herstelbaar zijn. van financiële diensten en activiteiten, op individueel en, in voorkomend geval, groepsniveau. 

  • 2. Welke strategie moet worden vastgesteld inzake ICT-risico’s van derde aanbieders van ICT-diensten?

    De financiële entiteiten die geen Financiële entiteiten waar minder dan 10 personen werkzaam zijn, en waarvan de jaaromzet en/of het jaarlijkse balanstotaal niet hoger liggen dan 2 miljoen euro. zijn, en de financiële entiteiten waarvoor het vereenvoudigde kader niet geldt, moeten een strategie vaststellen inzake het ICT-risico van derde aanbieders.

    Deze strategie omvat een beleid inzake het gebruik van door derde aanbieders verleende ICT-diensten die Een kritieke of belangrijke functie is een verrichting of een dienst die essentieel is voor de doorlopende en beveiligde werking van een organisatie, en waarvan de uitval mogelijk ernstige verstoringen of aanzienlijke verliezen kan veroorzaken. ondersteunen.

    Technische reguleringsnormen

    Technische reguleringsnormen (RTS) bevatten detailinformatie over de inhoud van de strategie in verband met de contractuele overeenkomsten voor het gebruik van ICT-diensten die door derde aanbieders verleende Een kritieke of belangrijke functie is een verrichting of een dienst die essentieel is voor de doorlopende en beveiligde werking van een organisatie, en waarvan de uitval mogelijk ernstige verstoringen of aanzienlijke verliezen kan veroorzaken. ondersteunen. 

  • 3. Hoe moeten de contractuele overeenkomsten met derde aanbieders van ICT-diensten worden gedocumenteerd?

    Om de conformiteit te garanderen van hun kader voor ICT-risicobeheer, handhaven en actualiseren de financiële entiteiten op het niveau van de entiteit en op gesubconsolideerd en geconsolideerd niveau een informatieregister (register of information of ROI) met betrekking tot alle contractuele overeenkomsten over het gebruik van door derde aanbieders verleende ICT-diensten.

    De contractuele overeenkomsten moeten naar behoren worden gedocumenteerd, waarbij een onderscheid wordt gemaakt tussen die welke van toepassing zijn op ICT-diensten ter ondersteuning van kritieke functies, en die welke daarop niet van toepassing zijn.

    De financiële entiteiten stellen de FSMA op verzoek het volledige informatieregister of desgevraagd specifieke onderdelen daarvan ter beschikking, samen met alle informatie die noodzakelijk wordt geacht om doeltreffend toezicht op de financiële entiteit mogelijk te maken.

    De financiële entiteiten stellen de FSMA in kennis van alle geplande contractuele overeenkomsten inzake het gebruik van ICT-diensten die Een kritieke of belangrijke functie is een verrichting of een dienst die essentieel is voor de doorlopende en beveiligde werking van een organisatie, en waarvan de uitval mogelijk ernstige verstoringen of aanzienlijke verliezen kan veroorzaken. ondersteunen, en van het feit dat een functie cruciaal of belangrijk is geworden.

    Technische uitvoeringsnormen

    Technische uitvoeringsnormen (ITS) voorzien een standaardmodel voor het informatieregister met betrekking tot alle contractuele overeenkomsten.

  • 4. Wat moeten financiële entiteiten doen alvorens ze een contractuele overeenkomst sluiten met een derde aanbieder van ICT-diensten?

    Voor ze een contractuele overeenkomst sluiten inzake het gebruik van ICT-diensten:

    • beoordelen financiële entiteiten of die contractuele overeenkomst betrekking heeft op het gebruik van ICT-diensten die een kritieke of belangrijke functie ondersteunen;
    • beoordelen zij of aan de toezichtsvoorwaarden voor het sluiten van de contractuele overeenkomst is voldaan;
    • identificeren en beoordelen zij alle relevante risico’s met betrekking tot de contractuele overeenkomst, met inbegrip van de mogelijkheid dat deze contractuele overeenkomst tot een versterking van het ICT-concentratierisico kan leiden;
    • verrichten zij due-diligenceonderzoeken over potentiële derde aanbieders van ICT-diensten en waarborgen zij gedurende de gehele selectie- en beoordelingsprocedure dat de derde aanbieders van ICT-diensten geschikt zijn;
    • identificeren en beoordelen zij belangenconflicten die uit de contractuele overeenkomst kunnen voortkomen. 

     

    Soorten belangenconflicten

    Er kunnen verschillende soorten belangenconflicten opduiken in het kader van overeenkomsten met derde aanbieders van ICT-diensten.

    Voorbeeld: wanneer een leider of een aandeelhouder van een aanbieder van ICT-diensten ook financiële of professionele banden heeft met een of meer leden van de financiële entiteit, kunnen die banden de selectieprocedure van de aanbieder van diensten onrechtmatig beïnvloeden.

    Ook familiale of persoonlijke relaties tussen de werknemers van de financiële entiteit en die van de aanbieder van ICT-diensten kunnen meespelen en voor een bias in de selectieprocedure zorgen, die de objectiviteit en de transparantie van die procedure in het gedrang brengt.

    Niet-openbaar gemaakte financiële voordelen, zoals vergoedingen of incentives, die de aanbieder van ICT-diensten aan de personeelsleden van de financiële entiteit toekent, kunnen de beslissing van de financiële entiteit onrechtmatig beïnvloeden.

    Tot slot kan, bij overdreven afhankelijkheid van een aanbieder van ICT-diensten, het vermogen van de financiële entiteit om objectieve beslissingen te nemen in het gedrang komen, met name bij operationele problemen of wijzigingen van de contractuele voorwaarden.

    Het is voor de financiële entiteiten dus cruciaal dat zij die mogelijke conflicten in een vroeg stadium identificeren en evalueren, om te kunnen garanderen dat de contractuele overeenkomsten op transparante wijze en conform de best practices inzake governance worden gesloten. Het proactieve beheer van die belangconflicten draagt bij tot het behoud van de De in een computersysteem opgeslagen, verwerkte en overgelegde (in transit) gegevens blijven correct, coherent en ongewijzigd. van de besluitvormingsprocessen met betrekking tot de derde aanbieders van ICT-diensten. 

  • 5. Hoe kiezen financiële entiteiten hun derde aanbieder(s) van ICT-diensten?

    Financiële entiteiten mogen alleen contractuele overeenkomsten sluiten met derde aanbieders van ICT-diensten die voldoen aan passende normen op het gebied van informatiebeveiliging. Wanneer die contractuele overeenkomsten  Een kritieke of belangrijke functie is een verrichting of een dienst die essentieel is voor de doorlopende en beveiligde werking van een organisatie, en waarvan de uitval mogelijk ernstige verstoringen of aanzienlijke verliezen kan veroorzaken. betreffen, letten financiële entiteiten er vóór het sluiten van de overeenkomsten op dat derde aanbieders van ICT-diensten gebruikmaken van de meest actuele en hoogste normen voor informatiebeveiliging.

    Normen voor informatiebeveiliging

    De vakliteratuur vermeldt onder meer een brede waaier van normen voor informatiebeveiliging. Bepaalde van die normen strekken ertoe een robuust beheersysteem voor informatiebeveiliging (ISMS) te garanderen. Andere normen betreffen de managementsystemen voor gegevensbescherming, de IT-informatiebeveiligingsmaatregelen en het risicobeheer inzake informatiebeveiliging.

    Deze normen strekken er onder meer toe de ondernemingen te beschermen tegen het verlies en het misbruik van vertrouwelijke gegevens, en hen in staat te stellen om potentiële bedreigingen op een betrouwbare wijze te identificeren en te beperken.

  • 6. Hoe en hoe vaak controleren de financiële entiteiten hun aanbieder(s) van ICT-diensten?

    De met de derde aanbieders van ICT-diensten gesloten contractuele overeenkomsten moeten de financiële entiteit voldoende toegangs-, inspectie- en auditrechten toekennen. Die rechten kunnen door eigen personeelsleden van de financiële entiteit of door derden (externe auditors) worden uitgeoefend.

    Bij het uitoefenen van hun toegangs-, inspectie- en auditrechten ten aanzien van de derde aanbieder van ICT-diensten bepalen de financiële entiteiten op basis van een risicogebaseerde benadering vooraf de frequentie van de audits en inspecties alsook de te controleren gebieden, door algemeen aanvaarde auditnormen in acht te nemen en in overeenstemming met de instructies van de toezichthouder inzake het gebruik en de integratie van deze auditnormen. 

    Indien met derde aanbieders van ICT-diensten afgesloten contractuele overeenkomsten een hoog niveau van technische complexiteit inhouden, verifieert de financiële entiteit dat interne of externe auditors, of een pool van auditors, over passende vaardigheden en kennis beschikken om de desbetreffende audits en beoordelingen doeltreffend uit te voeren.

  • 7. In welke gevallen voorzien financiële entiteiten in een exitstrategie?

    Ten aanzien van de derde aanbieders van ICT-diensten voeren de financiële entiteiten exitstrategieën in. In de exitstrategieën wordt rekening gehouden met risico’s die zich op het niveau van derde aanbieders van ICT-diensten kunnen voordoen. 

    De exitstrategieën moeten met name voorzien in:

    • een mogelijk falen van de derde aanbieder;
    • een verslechtering van de kwaliteit van de geleverde ICT-diensten;
    • elke verstoring van de bedrijfsactiviteiten ten gevolge van ongeschikte of falende dienstverlening van ICT-diensten; 
    • elk materieel risico in verband met de passende en permanente inzet van de respectieve ICT-dienst;
    • de beëindiging van contractuele overeenkomsten met derde aanbieders van ICT-diensten onder een van de hieronder opgesomde omstandigheden.

    Financiële entiteiten zorgen ervoor dat contractuele overeenkomsten inzake het gebruik van ICT-diensten in elk van de volgende omstandigheden kunnen worden beëindigd: 

    • bij ernstige overtreding van de toepasselijke wetten, voorschriften of contractuele voorwaarden door de derde aanbieder van ICT-diensten;
    • in omstandigheden die in de loop van de monitoring van het ICT-risico van derde aanbieders worden vastgesteld, waarvan wordt aangenomen dat deze wijzigingen kunnen brengen in de uitvoering van de functies waarin de contractuele overeenkomst voorziet, met inbegrip van materiële wijzigingen die de overeenkomst of de situatie van de derde aanbieder van ICT-diensten nadelig beïnvloeden;
    • bij duidelijke tekortkomingen van de derde aanbieder van ICT-diensten in verband met zijn algemeen beheer van het ICT-risico en in het bijzonder met de manier waarop hij zorgt voor de  De gegevens moeten beschikbaar, toegankelijk en herstelbaar zijn. Het beginsel van de authenticiteit van de gegevens garandeert dat de gegevens afkomstig zijn van gecontroleerde en legitieme bronnen, wat hun herkomst en geldigheid bevestigt. De in een computersysteem opgeslagen, verwerkte en overgelegde (in transit) gegevens blijven correct, coherent en ongewijzigd. en  Het beginsel van de vertrouwelijkheid van de gegevens strekt ertoe de gegevens te beschermen tegen elke ongeoorloofde toegang, ongeoorloofde verspreiding of ongeoorloofd gebruik, waardoor verzekerd is dat die gegevens enkel toegankelijk zijn voor geautoriseerde personen en systemen. van persoonlijke of anderszins gevoelige gegevens of niet-persoonsgebonden gegevens;
    • indien de FSMA niet langer doeltreffend toezicht kan uitoefenen op de financiële entiteit ten gevolge van de voorwaarden van of de omstandigheden in verband met de respectieve contractuele overeenkomst (bv. een aanbieder die het toezicht belemmert, of is gevestigd in een derde land dat geen medewerking verleent).

  • 8. Hoe moeten de financiële entiteiten een exitstrategie invoeren?

    Financiële entiteiten zorgen ervoor dat zij de mogelijkheid hebben om contractuele overeenkomsten te beëindigen zonder:

    • verstoring van hun bedrijfsactiviteiten;
    • dat de naleving van de regelgevingsvereisten wordt beperkt;
    • dat afbreuk wordt gedaan aan de continuïteit en de kwaliteit van de aan klanten geleverde diensten.

    Exitplannen zijn alomvattend en gedocumenteerd en worden, overeenkomstig het Krachtens het evenredigheidsbeginsel vervat in de DORA-verordening kan een financiële entiteit voor een pragmatische aanpak opteren, die is aangepast aan de grootte en de schaal van haar verrichtingen, met dien verstande dat de toepassing van dat beginsel er niet mag toe leiden dat die entiteit wordt vrijgesteld van de toepassing van de volledige Verordening. , voldoende getest en regelmatig geëvalueerd.

    Financiële entiteiten reiken alternatieve oplossingen aan en ontwikkelen overgangsplannen die hen in staat stellen contractueel overeengekomen ICT-diensten en de desbetreffende gegevens van de derde aanbieder van ICT-diensten te verwijderen en deze veilig en integraal over te dragen aan alternatieve aanbieders of deze opnieuw in het eigen bedrijf te integreren.

    Financiële entiteiten beschikken over passende noodmaatregelen om de bedrijfscontinuïteit te handhaven indien omstandigheden zich voordoen die de uitvoering van een exitstrategie vereisen.

    Ontwikkeling van exitstrategieën

    Bij de ontwikkeling van exitstrategieën moeten de financiële entiteiten de doelstellingen van de exitstrategie specifiek definiëren. Daartoe analyseren ze de impact van de exit op hun activiteit die evenredig is aan het risico van de uitbestede processen, diensten of activiteiten. Doelstelling is te bepalen hoeveel menselijke en financiële middelen nodig zijn om het exitplan te implementeren, en hoeveel tijd nodig is om een einde te stellen aan de uitbesteding. 

    De financiële entiteit ziet er ook op toe dat functies, verantwoordelijkheden en voldoende middelen worden toegewezen voor het beheer van de exitplannen en de overgangsactiviteiten. In haar exitplannen definieert zij de criteria voor het welslagen van de re-integratie van de functies en de uitbestede gegevens. 

    Tot slot moet ze de te gebruiken indicatoren definiëren voor de follow-up van het uitbestedingsprogramma, inclusief deze die gebaseerd zijn op onaanvaardbare niveaus van dienstverlening die, in voorkomend geval, aanleiding zouden moeten geven tot de exit.

  • 9. Hoe beoordelen financiële entiteiten vooraf een ICT-concentratierisico op het niveau van de entiteit?

    Bij het identificeren en beoordelen van het ICT-concentratierisico onderzoeken de financiële entiteiten ook of de beoogde sluiting van een contractuele overeenkomst inzake ICT-diensten die Een kritieke of belangrijke functie is een verrichting of een dienst die essentieel is voor de doorlopende en beveiligde werking van een organisatie, en waarvan de uitval mogelijk ernstige verstoringen of aanzienlijke verliezen kan veroorzaken. ondersteunen, tot een van de volgende situaties zou leiden:

    • de situatie waarin zij een overeenkomst sluiten met een derde aanbieder van ICT-diensten die niet gemakkelijk substitueerbaar is, of
    • de situatie waarin zij beschikken over meerdere contractuele overeenkomsten inzake de verlening van ICT-diensten die Een kritieke of belangrijke functie is een verrichting of een dienst die essentieel is voor de doorlopende en beveiligde werking van een organisatie, en waarvan de uitval mogelijk ernstige verstoringen of aanzienlijke verliezen kan veroorzaken. ondersteunen, met dezelfde derde aanbieder van ICT-diensten of met nauw verbonden derde aanbieders van ICT-diensten.

    In zo’n geval wegen de financiële entiteiten de baten en kosten af van alternatieve oplossingen, zoals het gebruik van verschillende derde aanbieders van ICT-diensten, rekening houdend met de vraag of en hoe de voorgenomen oplossingen aansluiten bij de zakelijke behoeften, bij de doelstellingen waarin hun strategie inzake digitale weerbaarheid voorziet, en bij de manier om te garanderen dat zij wel degelijk aansluiten.

    Het risico van concentratie

    Om de systemische impact van het risico van concentratie van ICT-derden te beperken, wordt in DORA een flexibele en geleidelijke aanpak van zulk concentratierisico bepleit. De Europese wetgever heeft immers geoordeeld dat het opleggen van onwrikbare risicoplafonds of strikte beperkingen de bedrijfsvoering zou kunnen belemmeren en de contractvrijheid zou kunnen beperken.

    Financiële entiteiten moeten de contractuele overeenkomsten die zij willen sluiten, grondig onderzoeken om na te gaan hoe groot de kans is dat een dergelijk risico zich zal voordoen, onder meer door overeenkomsten tot onderaanbesteding onder de loep te nemen, met name indien die worden gesloten met derde aanbieders van ICT-diensten die in een derde land zijn gevestigd.

  • 10. Welke beginselen moeten de financiële entiteiten naleven in verband met de ICT-diensten die kritieke of belangrijke functies ondersteunen?

    Wanneer de contractuele overeenkomsten inzake het gebruik van ICT-diensten die Een kritieke of belangrijke functie is een verrichting of een dienst die essentieel is voor de doorlopende en beveiligde werking van een organisatie, en waarvan de uitval mogelijk ernstige verstoringen of aanzienlijke verliezen kan veroorzaken. ondersteunen voorzien in de mogelijkheid om die ICT-diensten aan andere derde aanbieders van ICT-diensten uit te besteden, wegen de financiële entiteiten de baten en risico’s af die uit zo’n uitbesteding kunnen voortkomen, met name in het geval van een in een derde land gevestigde ICT-subcontractant.

    Die risico’s omvatten met name:

    1. de bepalingen van insolventierecht die van toepassing zouden zijn in geval van faillissement van de derde aanbieder van ICT-diensten, alsook alle beperkingen die zich zouden kunnen voordoen met betrekking tot het dringende herstel van de gegevens van de financiële entiteit;
    2. de verplichting tot naleving van de gegevensbeschermingsregels van de Unie en de doeltreffende handhaving van de wet in dat derde land;
    3. de moeilijkheid voor de financiële entiteit om de contractueel overeengekomen functies volledig te monitoren omwille van de potentieel lange of complexe uitbestedingsketens; en 
    4. het vermogen van de bevoegde autoriteit om in dat verband doeltreffend toezicht uit te oefenen op de financiële entiteit.

  • 11. Hoe moeten de respectieve rechten en plichten van de financiële entiteit en van de derde aanbieder van ICT-diensten worden vastgesteld?

    De rechten en plichten van de financiële entiteit en van de derde aanbieder van ICT-diensten worden duidelijk toegewezen en schriftelijk vastgesteld. De volledige overeenkomst omvat de overeenkomsten inzake dienstverleningsniveau en wordt opgenomen in één schriftelijk document dat voor de partijen beschikbaar is op papier, of in een document met een ander, downloadbaar, duurzaam en toegankelijk formaat.

  • 12. Welke contractuele bepalingen moeten steeds aan bod komen in de contractuele overeenkomsten?

    De contractuele overeenkomsten inzake het gebruik van ICT-diensten omvatten ten minste de volgende elementen:

    • beschrijving van de verleende diensten;
    • locaties waar de diensten worden verleend;
    • De gegevens moeten beschikbaar, toegankelijk en herstelbaar zijn. , Het beginsel van de vertrouwelijkheid van de gegevens strekt ertoe de gegevens te beschermen tegen elke ongeoorloofde toegang, ongeoorloofde verspreiding of ongeoorloofd gebruik, waardoor verzekerd is dat die gegevens enkel toegankelijk zijn voor geautoriseerde personen en systemen. en veiligheid van de gegevens;
    • toegang tot en teruggave van de gegevens;
    • dienstverleningsniveaus;
    • verplichting om de klant te assisteren;
    • verplichting om samen te werken met de FSMA;
    • bijdrage tot de bewustmaking en de opleiding van de klant;
    • recht op beëindiging en opzegging.

  • 13. Welke contractuele bepalingen moeten steeds aan bod komen in de contractuele overeenkomsten inzake het gebruik van ICT-diensten die kritieke of belangrijke functies ondersteunen?

    De contractuele overeenkomsten inzake het gebruik van ICT-diensten die Een kritieke of belangrijke functie is een verrichting of een dienst die essentieel is voor de doorlopende en beveiligde werking van een organisatie, en waarvan de uitval mogelijk ernstige verstoringen of aanzienlijke verliezen kan veroorzaken. ondersteunen, omvatten, naast de in punt 12 vermelde elementen, ten minste de volgende elementen:

    • prestatiedoelstellingen van de aanbieder van diensten;
    • opzegtermijnen;
    • uitvoering en tests van de bedrijfsnoodplannen;
    • deelname van de aanbieder aan de uitvoering van penetratietests bij de klant;
    • onbeperkt recht van de klant om documenten op te vragen en te auditen;
    • verduidelijkingen over de draagwijdte en de frequentie van de audits en inspecties;
    • opstelling van een exitstrategie.

    De derde aanbieder van ICT-diensten en de financiële entiteit die een micro-onderneming is, kunnen overeenkomen dat de rechten van toegang, inspectie en audit van de financiële entiteit mogen worden gedelegeerd aan een onafhankelijke derde partij die wordt aangesteld door de derde aanbieder van ICT-diensten, en dat de financiële entiteit de derde partij te allen tijde om informatie en garanties kan verzoeken met betrekking tot de prestaties van de derde aanbieder van ICT-diensten.

    Technische reguleringsnormen

    Technische reguleringsnormen (RTS) verduidelijken de elementen die een financiële entiteit moet bepalen en beoordelen bij de uitbesteding van ICT-diensten die Een kritieke of belangrijke functie is een verrichting of een dienst die essentieel is voor de doorlopende en beveiligde werking van een organisatie, en waarvan de uitval mogelijk ernstige verstoringen of aanzienlijke verliezen kan veroorzaken. ondersteunen.

  • 14. Hoe moeten de financiële entiteiten zorgen voor de monitoring van de overeenkomsten met derde aanbieders van ICT-diensten (korte samenvatting)?
    Analyse voorafgaand aan het sluiten van een overeenkomst
    (art 28.4, 28.5, 29)
    Bepalingen in alle overeenkomsten
    (art 28.7, 30.2)
    Voor de belangrijke functies 
    (art 30.3)
    • IT-beveiligingsnormen die de aanbieder moet naleven;
    • beoordeling van de risico's, inclusief het concentratierisico;
    • eventuele belangenconflicten.
    • beschrijving van de verleende diensten;
    • locaties waar de diensten worden verleend;
    • beschikbaarheid, vertrouwelijkheid en veilgheid van de gegevens;
    • toegang tot en teruggave van de gegevens;
    • dienstverleningsniveaus;
    • verplichting om de klant te assisteren;
    • verplichting om samen te werken met de FSMA;
    • bijdrage tot de bewustmaking en de opleiding van de klant;
    • recht op beëindiging en opzegging.
    • prestatiedoelstellingen van de aanbieder van diensten;
    • opzegtermijnen;
    • bedrijfsnoodplannen uitvoeren en testen;
    • deelname van de aanbieder aan de uitvoering van penetratietests bij de klant;
    • onbeperkt recht van de klant om documenten op te vragen en te auditen;
    • verduidelijkingen over de draagwijdte en de frequentie van de audits en inspecties;
    • opstelling van een exitstrategie.