CELEX:32025R0532: Regulamentul delegat (UE) 2025/532 al Comisiei din 24 martie 2025 de completare a Regulamentului (UE) 2022/2554 al Parlamentului European și al Consiliului în ceea ce privește standardele tehnice de reglementare care precizează elementele pe care o entitate financiară trebuie să le stabilească și să le evalueze atunci când subcontractează servicii TIC care sprijină funcții critice sau importante
|
Redacția Lex24 |
| Publicat in Repertoriu EUR-Lex, 22/07/2025 |
| |
Informatii
Data documentului: 24/03/2025; Data adoptăriiData intrării în vigoare: 22/07/2025; intrare în vigoare data publicării +20 a se vedea articolul 7
Data încetării: No end date
Emitent: Comisia Europeană, Direcția Generală Stabilitate Financiară, Servicii Financiare și Uniunea Piețelor de Capital
Formă: Repertoriu EUR-Lex
 |
Jurnalul Ofícial |
RO Seria L |
|
2025/532 |
2.7.2025 |
REGULAMENTUL DELEGAT (UE) 2025/532 AL COMISIEI
din 24 martie 2025
de completare a Regulamentului (UE) 2022/2554 al Parlamentului European și al Consiliului în ceea ce privește standardele tehnice de reglementare care precizează elementele pe care o entitate financiară trebuie să le stabilească și să le evalueze atunci când subcontractează servicii TIC care sprijină funcții critice sau importante
(Text cu relevanță pentru SEE)
COMISIA EUROPEANĂ,
având în vedere Tratatul privind funcționarea Uniunii Europene,
având în vedere Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1011 (1), în special articolul 30 alineatul (5) al patrulea paragraf,
întrucât:
|
(1) |
Furnizarea de servicii TIC entităților financiare depinde adesea de un lanț complex de subcontractanți TIC, prin care furnizori terți de servicii TIC pot încheia unul sau mai multe acorduri de subcontractare cu alți furnizori terți de servicii TIC. Dependența indirectă de subcontractanți TIC poate avea un impact asupra capacității unei entități financiare de a-și identifica, evalua și gestiona riscurile, inclusiv riscurile legate de lacunele din informațiile furnizate de furnizorii terți de servicii TIC, precum și de capacitatea limitată a unei entități financiare de a obține informații de la subcontractanții TIC care furnizează servicii TIC care sprijină funcții critice sau importante sau părți semnificative ale acestora. În această privință, în cazul în care furnizarea de servicii TIC către entități financiare depinde de un lanț de subcontractanți TIC care are potențialul de a fi lung sau complex, este esențial ca entitățile financiare să identifice lanțul general de subcontractanți care furnizează servicii TIC care sprijină funcții critice sau importante. |
|
(2) |
Printre subcontractanții care furnizează servicii TIC care sprijină funcții critice sau importante, entitățile financiare ar trebui să se concentreze în special și în mod continuu asupra subcontractanților care stau efectiv la baza unui serviciu TIC care sprijină funcții critice sau importante, inclusiv asupra tuturor subcontractanților care furnizează servicii TIC a căror perturbare ar afecta securitatea sau continuitatea serviciului, astfel cum se prevede în registrul de informații menționat la articolul 28 alineatul (3) din Regulamentul (UE) 2022/2554. |
|
(3) |
Există diferențe mari între entitățile financiare în ceea ce privește dimensiunea, structura și organizarea lor internă, precum și în ceea ce privește natura și complexitatea activităților lor. Pentru a asigura proporționalitatea, această diversitate ar trebui să fie luată în considerare atunci când se specifică elementele pe care o entitate financiară ar trebui să le determine și să le evalueze atunci când subcontractează servicii TIC care sprijină funcții critice sau importante. |
|
(4) |
Utilizarea serviciilor TIC subcontractate care sprijină funcții critice sau importante de către furnizorii terți de servicii TIC, atunci când entitățile financiare permit acest lucru în conformitate cu articolul 30 alineatul (2) din Regulamentul (UE) 2022/2554, nu poate reduce responsabilitatea finală a organismelor de conducere ale entităților financiare de a-și gestiona riscurile și de a-și respecta obligațiile legislative și de reglementare. În cazul în care subcontractarea serviciilor TIC care sprijină funcții critice sau importante este permisă, este important ca entitățile financiare să aibă o imagine clară și holistică a riscurilor asociate subcontractării serviciilor care sprijină funcții critice sau importante, astfel încât aceste entități să fie în măsură să monitorizeze, să gestioneze și să atenueze riscurile respective. Prin urmare, aceste entități ar trebui să evalueze riscurile în cauză înainte de a subcontracta serviciile respective. |
|
(5) |
Subcontractanții TIC intragrup care furnizează servicii TIC care sprijină funcții critice sau importante sau părți semnificative ale acestora, inclusiv subcontractanții TIC intragrup care sunt deținuți integral sau colectiv de entități financiare din cadrul aceluiași sistem instituțional de protecție, ar trebui considerați subcontractanți TIC. |
|
(6) |
După caz, în contextul unui grup, întreprinderea-mamă a entităților financiare ar trebui să se asigure că politica privind utilizarea subcontractanților TIC care furnizează servicii TIC care sprijină funcții critice sau importante sau o parte semnificativă a acestora este aplicată în mod consecvent și coerent în cadrul grupului. |
|
(7) |
Este important să se asigure o gestionare cuprinzătoare a riscurilor care pot apărea atunci când sunt subcontractate servicii TIC care sprijină funcții critice sau importante. Din acest motiv, entitățile financiare ar trebui să urmărească etapele ciclului de viață al unui acord contractual pentru utilizarea serviciilor TIC care sprijină funcțiile respective și care sunt furnizate de furnizori terți de servicii TIC, inclusiv pentru acordurile de subcontractare. Prin urmare, este necesar să se stabilească cerințe pentru entitățile financiare care ar trebui să se reflecte în acordurile lor contractuale cu furnizorii terți de servicii TIC în cazul în care este permisă utilizarea serviciilor TIC subcontractate care sprijină funcții critice sau importante. |
|
(8) |
Pentru a atenua riscurile legate de subcontractare, este necesar să se precizeze condițiile în care furnizorii terți de servicii TIC pot utiliza subcontractanți pentru furnizarea de servicii TIC care sprijină funcții critice sau importante. În acest scop, acordurile contractuale TIC dintre entitățile financiare și furnizorii terți de servicii TIC ar trebui să stabilească astfel de condiții, incluzând planificarea acordurilor de subcontractare, evaluările riscurilor, obligația de diligență și procesul de aprobare a noilor acorduri de subcontractare TIC privind serviciile TIC care sprijină funcții critice sau importante sau părți semnificative ale acestora sau privind modificări semnificative ale acordurilor existente efectuate de furnizorul terț de servicii TIC. |
|
(9) |
Pentru ca riscurile care ar putea apărea să fie identificate înainte ca o entitate financiară să încheie un acord cu un subcontractant TIC, furnizorii terți de servicii TIC ar trebui să evalueze, în mod adecvat și proporțional, caracterul adecvat al potențialilor subcontractanți pe baza acordurilor contractuale TIC pe care furnizorul terț de servicii TIC le-a încheiat cu entitatea financiară. Prin urmare, respectivele acorduri contractuale TIC ar trebui să impună obligația ca furnizorul terț de servicii TIC sau direct entitatea financiară, după caz, să evalueze resursele subcontractantului potențial, inclusiv expertiza acestuia și dacă acesta dispune de resursele financiare, umane și tehnice adecvate, securitatea sa a informațiilor și structura sa organizatorică, inclusiv în ceea ce privește gestionarea riscurilor și controalele interne de care subcontractantul ar trebui să dispună. |
|
(10) |
Pentru a atenua orice vulnerabilități și amenințări care pot face să apară riscuri pentru sistemele și operațiunile lor TIC, entitățile financiare ar trebui să fie în măsură să monitorizeze performanța serviciului TIC și să fie informate cu privire la orice modificări relevante din cadrul lanțului lor de subcontractare TIC în cazul în care astfel de modificări vizează funcții critice sau importante. |
|
(11) |
Pentru a permite entităților financiare să evalueze riscurile asociate acordurilor de subcontractare sau modificărilor semnificative ale acestora, furnizorii terți de servicii TIC ar trebui să informeze entitățile financiare cărora le furnizează servicii TIC cu privire la toate aceste noi acorduri sau modificări cu suficient timp înainte ca astfel de acorduri sau modificări să înceapă să se aplice. Din același motiv, entitățile financiare ar trebui să aibă dreptul de a rezilia contractul cu furnizorul terț de servicii TIC în cazul în care rezultatul evaluării riscurilor arată că noile acorduri sau modificări semnificative prezintă un nivel de risc care le depășește toleranța la risc. |
|
(12) |
Autoritățile europene de supraveghere au organizat o consultare publică deschisă privind proiectele de standarde tehnice de reglementare pe care se bazează prezentul regulament, au analizat costurile și beneficiile potențiale aferente și au solicitat avizul Grupului părților interesate ale AES instituit în conformitate cu articolul 37 din Regulamentul (UE) nr. 1093/2010 al Parlamentului European și al Consiliului (2), cu articolul 37 din Regulamentul (UE) nr. 1094/2010 al Parlamentului European și al Consiliului (3) și, respectiv, cu articolul 37 din Regulamentul (UE) nr. 1095/2010 al Parlamentului European și al Consiliului (4). |
|
(13) |
Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (5) și a emis un aviz la 20 august 2024, |
ADOPTĂ PREZENTUL REGULAMENT:
Articolul 1
Profilul general de risc și complexitatea
Entitățile financiare țin seama de propria dimensiune și de propriul profil general de risc, precum și de natura, amploarea și elementele de complexitate sporită sau redusă a serviciilor, a activităților și a operațiunilor lor, inclusiv de elementele referitoare la:
|
(a) |
tipul de servicii TIC care sprijină funcții critice sau importante care fac obiectul acordului contractual dintre entitatea financiară și furnizorul terț de servicii TIC; |
|
(b) |
tipul de servicii TIC care fac obiectul acordului contractual dintre furnizorul terț de servicii TIC și subcontractanții acestuia; |
|
(c) |
localizarea subcontractantului TIC care furnizează servicii TIC care sprijină funcții critice sau importante sau o parte semnificativă a acestora sau localizarea societății-mamă a acestuia; |
|
(d) |
lungimea și complexitatea lanțului de subcontractanți care furnizează servicii TIC care sprijină funcții critice sau importante sau părți semnificative ale acestora utilizat de furnizorul terț de servicii TIC; |
|
(e) |
natura datelor partajate cu subcontractanții TIC care furnizează servicii TIC care sprijină funcții critice sau importante sau părți semnificative ale acestora; |
|
(f) |
dacă serviciile TIC care sprijină funcții critice sau importante sau părți semnificative ale acestora sunt furnizate de subcontractanți situați într-un stat membru sau într-o țară terță, incluzând aici locul din care sunt furnizate efectiv serviciile TIC și locul în care sunt prelucrate și stocate efectiv datele; |
|
(g) |
dacă subcontractanții TIC care furnizează servicii TIC care sprijină funcții critice sau importante sau părți semnificative ale acestora fac parte din același grup ca entitatea financiară căreia îi sunt furnizate serviciile respective; |
|
(h) |
dacă subcontractanții TIC care furnizează servicii TIC care sprijină funcții critice sau importante sau părți semnificative ale acestora sunt autorizați, înregistrați sau supuși supravegherii de către o autoritate competentă dintr-un stat membru sau fac obiectul cadrului de supraveghere prevăzut în capitolul V secțiunea II din Regulamentul (UE) 2022/2554; |
|
(i) |
dacă furnizorii terți de servicii TIC care sprijină funcții critice sau importante sau părți semnificative ale acestora sunt autorizați, înregistrați sau supuși supravegherii de către o autoritate de supraveghere dintr-o țară terță; |
|
(j) |
dacă furnizarea de servicii TIC care sprijină funcții critice sau importante sau părți semnificative ale acestora este concentrată la un singur subcontractant al unui furnizor terț de servicii TIC sau la un număr mic de astfel de subcontractanți; |
|
(k) |
dacă subcontractarea serviciilor TIC care sprijină funcții critice sau importante sau părți semnificative ale acestora ar avea un impact asupra transferabilității serviciilor TIC respective către un alt furnizor terț de servicii TIC; |
|
(l) |
impactul potențial al perturbărilor asupra continuității și disponibilității serviciilor TIC care sprijină funcții critice sau importante sau părți semnificative ale acestora furnizate de furnizorul terț de servicii TIC atunci când utilizează un subcontractant care furnizează servicii TIC care sprijină funcții critice sau importante sau părți semnificative ale acestora. |
Articolul 2
Aplicarea la nivel de grup
În cazul în care prezentul regulament se aplică pe bază subconsolidată sau consolidată, societatea-mamă care este responsabilă cu furnizarea situațiilor financiare consolidate sau subconsolidate ale grupului se asigură că condițiile de subcontractare a utilizării serviciilor TIC care sprijină funcții critice sau importante sau părți semnificative ale acestora, în cazul în care o astfel de subcontractare este permisă în temeiul acordurilor contractuale privind utilizarea serviciilor TIC, sunt puse în aplicare în mod consecvent în toate entitățile financiare care fac parte din grup și sunt adecvate pentru aplicarea efectivă a prezentului regulament la toate nivelurile relevante.
Articolul 3
Obligația de diligență și evaluarea riscurilor în ceea ce privește utilizarea subcontractanților care sprijină funcții critice sau importante
(1) Înainte de a încheia un acord contractual cu un furnizor terț de servicii TIC, o entitate financiară decide dacă respectivul furnizor terț de servicii TIC poate subcontracta un serviciu TIC care sprijină funcții critice sau importante sau părți semnificative ale acestora. Entitatea financiară încheie un astfel de acord contractual numai în cazul în care a concluzionat, în urma unei evaluări, că au fost îndeplinite toate condițiile următoare:
|
(a) |
procesele de diligență cu privire la furnizorul terț de servicii TIC asigură faptul că acesta este în măsură să selecteze și să evalueze capacitățile operaționale și financiare ale potențialilor subcontractanți TIC de a furniza servicii TIC care sprijină funcții critice sau importante sau părți semnificative ale acestora, inclusiv prin participarea, atunci când entitatea financiară solicită acest lucru, la testarea rezilienței operaționale digitale, astfel cum se menționează în capitolul IV din Regulamentul (UE) 2022/2554; |
|
(b) |
furnizorul terț de servicii TIC este în măsură să identifice toți subcontractanții care furnizează servicii TIC care sprijină funcții critice sau importante sau părți semnificative ale acestora, să notifice și să informeze entitatea financiară cu privire la subcontractanții respectivi și să furnizeze entității financiare toate informațiile care pot fi necesare pentru evaluarea condițiilor prevăzute la prezentul articol; |
|
(c) |
furnizorul terț de servicii TIC se asigură că acordurile contractuale cu subcontractanții care furnizează servicii TIC care sprijină funcții critice sau importante sau părți semnificative ale acestora permit entității financiare să își respecte propriile obligații care decurg din Regulamentul (UE) 2022/2554 și din legislația Uniunii și legislația națională aplicabile; |
|
(d) |
subcontractantul acordă entității financiare și autorităților competente și autorităților de rezoluție aceleași drepturi contractuale de acces și de inspecție ca cele acordate de furnizorul terț de servicii TIC; |
|
(e) |
fără a aduce atingere responsabilității finale a entității financiare de a-și respecta obligațiile juridice și de reglementare, furnizorul terț de servicii TIC are el însuși suficientă capacitate, expertiză și resurse financiare, umane și tehnice adecvate pentru a monitoriza riscurile TIC la nivelul subcontractanților, inclusiv prin aplicarea unor standarde adecvate de securitate a informațiilor și prin faptul de a dispune de o structură organizatorică adecvată, de gestionarea riscurilor și controale interne, precum și de raportarea incidentelor și răspunsul la acestea; |
|
(f) |
entitatea financiară dispune de suficiente capacități și expertiză și de resurse financiare, umane și tehnice adecvate pentru a monitoriza riscurile TIC legate de serviciul care sprijină funcții critice sau importante sau părți semnificative ale acestora care a fost subcontractat, inclusiv prin aplicarea unor standarde adecvate de securitate a informațiilor și prin faptul de a dispune de o structură organizatorică adecvată, de gestionarea riscurilor, raportarea incidentelor, de gestionare a continuității activității și de controale interne; |
|
(g) |
entitatea financiară a evaluat impactul asupra rezilienței operaționale digitale și a solidității financiare a entității financiare al unei posibile disfuncționalități apărute la nivelul unui subcontractant care furnizează servicii TIC care sprijină funcții critice sau importante sau o parte semnificativă a acestora; |
|
(h) |
entitatea financiară a evaluat riscurile asociate cu localizarea potențialilor subcontractanți în ceea ce privește serviciile TIC care sprijină funcții critice sau importante sau o parte semnificativă a acestora furnizate de furnizorul terț de servicii TIC; |
|
(i) |
entitatea financiară a evaluat riscurile de concentrare a serviciilor TIC la nivel de entitate în conformitate cu articolul 29 din Regulamentul (UE) 2022/2554; |
|
(j) |
entitatea financiară a evaluat dacă există obstacole în calea exercitării drepturilor de audit, de inspecție și de acces de către autoritățile competente, autoritățile de rezoluție sau entitatea financiară, inclusiv de către persoanele desemnate de acestea. |
(2) Entitățile financiare care utilizează furnizori terți de servicii TIC care subcontractează servicii TIC care sprijină funcții critice sau importante sau părți semnificative ale acestora efectuează periodic evaluarea riscurilor menționată la alineatul (1) literele (f)-(j) în raport cu posibilele modificări ale mediului lor de afaceri, inclusiv în raport cu modificările funcțiilor operaționale sprijinite, în evaluările riscurilor, inclusiv în ceea ce privește amenințările TIC, riscurile de concentrare a TIC și riscurile geopolitice.
(3) Faptul de a se baza pe rezultatele evaluării riscurilor efectuate de furnizorii lor terți de servicii TIC cu privire la subcontractanții lor în contextul respectării obligațiilor prevăzute la prezentul articol nu limitează responsabilitatea finală a entităților financiare de a-și respecta obligațiile juridice și de reglementare care decurg din Regulamentul (UE) 2022/2554.
Articolul 4
Condițiile în care pot fi subcontractate servicii TIC care sprijină funcții critice sau importante sau o parte semnificativă a acestora
(1) Acordul contractual încheiat între entitatea financiară și furnizorul terț de servicii TIC identifică serviciile TIC care sprijină funcții critice sau importante sau părți semnificative ale acestora care sunt eligibile pentru subcontractare, precum și condițiile aplicabile. Contractul respectiv precizează:
|
(a) |
faptul că furnizorul terț de servicii TIC este responsabil cu furnizarea serviciilor furnizate de subcontractanți; |
|
(b) |
faptul că furnizorul terț de servicii TIC are obligația de a monitoriza toate serviciile TIC subcontractate care sprijină funcții critice sau importante sau părți semnificative ale acestora pentru a se asigura că obligațiile sale contractuale față de entitatea financiară sunt îndeplinite în permanență; |
|
(c) |
obligațiile de monitorizare și raportare ale furnizorului terț de servicii TIC față de entitatea financiară în ceea ce privește subcontractanții care furnizează servicii TIC care sprijină funcții critice sau importante sau părți semnificative ale acestora; |
|
(d) |
faptul că furnizorul terț de servicii TIC trebuie să evalueze toate riscurile asociate cu localizarea subcontractanților actuali sau potențiali care furnizează servicii TIC care sprijină funcții critice sau importante sau părți semnificative ale acestora, precum și a societății-mamă a acestora și cu locul de unde este furnizat serviciul TIC în cauză; |
|
(e) |
locul în care se află datele prelucrate sau stocate de subcontractant, după caz; |
|
(f) |
faptul că furnizorul terț de servicii TIC trebuie să specifice în contractul său cu subcontractanții săi obligațiile de monitorizare și de raportare ale subcontractanților respectivi față de furnizorul terț de servicii TIC și, dacă se convine astfel, față de entitatea financiară; |
|
(g) |
faptul că furnizorul terț de servicii TIC trebuie să asigure continuitatea serviciilor TIC care sprijină funcții critice sau importante de-a lungul întregului lanț de subcontractanți în cazul neîndeplinirii de către un subcontractant TIC a obligațiilor sale contractuale; |
|
(h) |
faptul că acordul contractual dintre furnizorul terț de servicii TIC și subcontractanții săi conține cerințele privind planurile pentru situații neprevăzute menționate la articolul 30 alineatul (3) litera (c) din Regulamentul (UE) 2022/2554 și precizează nivelurile serviciilor care trebuie îndeplinite de subcontractanții TIC în legătură cu planurile respective; |
|
(i) |
faptul că acordul contractual dintre furnizorul terț de servicii TIC și subcontractanții săi specifică standardele de securitate TIC și orice cerințe în materie de securitate suplimentare menționate la articolul 30 alineatul (3) litera (c) din Regulamentul (UE) 2022/2554; |
|
(j) |
faptul că subcontractantul trebuie să acorde entității financiare și autorităților competente și de rezoluție relevante aceleași drepturi de acces, inspecție și audit ca cele menționate la articolul 30 alineatul (3) litera (e) din Regulamentul (UE) 2022/2554; |
|
(k) |
faptul că furnizorul terț de servicii TIC trebuie să notifice entității financiare orice modificare semnificativă a acordurilor de subcontractare; |
|
(l) |
faptul că entitatea financiară are dreptul de a rezilia contractul cu furnizorul terț de servicii TIC atunci când sunt îndeplinite condițiile prevăzute la articolul 6 din prezentul regulament sau condițiile prevăzute la articolul 28 alineatul (7) din Regulamentul (UE) 2022/2554. |
(2) Modificările referitoare la acordurile contractuale dintre entitatea financiară și furnizorii terți de servicii TIC care furnizează un serviciu TIC care sprijină funcții critice sau importante sau părți semnificative ale acestora care au fost necesare pentru a se conforma prezentului regulament sunt puse în aplicare în timp util și cât mai curând posibil. Entitatea financiară documentează calendarul planificat pentru punerea în aplicare.
Articolul 5
Modificări semnificative ale acordurilor de subcontractare a serviciilor TIC care sprijină funcții critice sau importante sau părți semnificative ale acestora
(1) Acordul contractual prevede că furnizorul terț de servicii TIC informează cu suficient timp înainte entitatea financiară cu privire la orice modificări semnificative preconizate ale acordurilor sale de subcontractare, astfel încât să permită entității financiare să evalueze:
|
(a) |
impactul asupra riscurilor la care este sau ar putea fi expusă aceasta; |
|
(b) |
dacă astfel de modificări semnificative ar putea afecta capacitatea furnizorului terț de servicii TIC de a-și îndeplini obligațiile contractuale față de entitatea financiară. |
(2) Acordul contractual trebuie să conțină o perioadă de preaviz rezonabilă până la care entitatea financiară trebuie să aprobe modificările sau să formuleze obiecții la modificări.
(3) Furnizorul terț de servicii TIC pune în aplicare modificările semnificative ale acordurilor sale de subcontractare numai dacă entitatea financiară fie a aprobat modificările, fie nu a formulat obiecții cu privire la acestea până la sfârșitul perioadei de preaviz.
(4) În cazul în care entitatea financiară consideră că modificările semnificative menționate la alineatul (1) depășesc toleranța la risc a entității financiare, entitatea financiară trebuie, înainte de sfârșitul perioadei de preaviz:
|
(a) |
să informeze furnizorul terț de servicii TIC în acest sens; |
|
(b) |
să obiecteze la modificări și să solicite revizuiri ale acestor modificări înainte ca acestea să fie puse în aplicare. |
Articolul 6
Rezilierea contractului dintre entitatea financiară și furnizorul terț de servicii TIC
Entitatea financiară are dreptul de a stipula în acordul contractual încheiat cu furnizorul terț de servicii TIC că acordul contractual urmează să fie reziliat în oricare dintre următoarele cazuri:
|
(a) |
entitatea financiară a formulat obiecții cu privire la modificări semnificative ale acordurilor de subcontractare care sprijină funcții critice sau importante și a solicitat modificări ale acordurilor respective, dar furnizorul terț de servicii TIC a pus totuși în aplicare respectivele modificări semnificative; |
|
(b) |
furnizorul terț de servicii TIC a pus în aplicare modificări semnificative ale acordurilor de subcontractare care sprijină funcții critice sau importante sau părți semnificative ale acestora înainte de încheierea perioadei de preaviz, fără aprobarea entității financiare; |
|
(c) |
furnizorul terț de servicii TIC subcontractează un serviciu TIC care sprijină o funcție critică sau importantă sau o parte semnificativă a acesteia a cărei subcontractare nu este permisă în mod explicit prin contractul dintre entitatea financiară și furnizorul terț de servicii TIC. |
Articolul 7
Intrare în vigoare
Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.
Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.
Adoptat la Bruxelles, 24 martie 2025.
Pentru Comisie
Președinta
Ursula VON DER LEYEN
(1)
JO L 333, 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
(2) Regulamentul (UE) nr. 1093/2010 al Parlamentului European și al Consiliului din 24 noiembrie 2010 de instituire a Autorității europene de supraveghere (Autoritatea Bancară Europeană), de modificare a Deciziei nr. 716/2009/CE și de abrogare a Deciziei 2009/78/CE a Comisiei (JO L 331, 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).
(3) Regulamentul (UE) nr. 1094/2010 al Parlamentului European și al Consiliului din 24 noiembrie 2010 de instituire a Autorității europene de supraveghere (Autoritatea Europeană de Asigurări și Pensii Ocupaționale) de modificare a Deciziei nr. 716/2009/CE și de abrogare a Deciziei 2009/79/CE a Comisiei (JO L 331, 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).
(4) Regulamentul (UE) nr. 1095/2010 al Parlamentului European și al Consiliului din 24 noiembrie 2010 de instituire a Autorității europene de supraveghere (Autoritatea Europeană pentru Valori Mobiliare și Piețe), de modificare a Deciziei nr. 716/2009/CE și de abrogare a Deciziei 2009/77/CE a Comisiei (JO L 331, 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
(5) Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).
ELI: http://data.europa.eu/eli/reg_del/2025/532/oj
ISSN 1977-0782 (electronic edition)
