Lov om finansiel virksomhed § 333h

Denne konsoliderede version af lov om finansiel virksomhed er opdateret til i dag, idet vi har implementeret eventuelle senere ændringslove i det omfang, de er trådt i kraft - se mere her.

Lov nr. 453 af 10. juni 2003,
jf. lovbekendtgørelse nr. 1013 af 21. august 2024,
som ændret ved lov nr. 403 af 28. april 2014, lov nr. 1490 af 23. december 2014, lov nr. 1549 af 13. december 2016, lov nr. 481 af 22. maj 2024, lov nr. 1602 af 17. december 2024, lov nr. 1666 af 30. december 2024, lov nr. 1668 af 30. december 2024 og lov nr. 52 af 28. januar 2025

Tredjepartsrisici
§ 333h

En operatør af finansiel digital infrastruktur skal styre sine it- og cyberrisici, der er relateret til brug af it-tjenester fra tredjeparter som en integreret del af sin ramme for it- og cyberrisikostyring, jf. § 333 a.

Stk. 2 En operatør, der har overladt driften af en forretningsfunktion til en leverandør, har til enhver tid det fulde ansvar for at overholde og opfylde alle forpligtelser i henhold til denne lov.

Stk. 3 En operatør skal regelmæssigt gennemgå de risici, der er forbundet med brugen af it-tredjepartsudbydere.

Stk. 4 En operatør skal vedtage og regelmæssigt gennemgå en strategi for sine it-tredjepartsrisici. Strategien for it-tredjepartsrisici skal omfatte en politik for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og som leveres af tredjepartsudbydere.

Stk. 5 En operatør skal opretholde og ajourføre et register over oplysninger om alle ordninger for brugen af it-tjenester, der leveres af tredjepartsudbydere. Operatøren skal underrette Finanstilsynet om enhver planlagt kontraktlig ordning for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, og når en funktion er blevet kritisk eller vigtig.

Stk. 6 Inden en operatør indgår en kontraktlig ordning for brugen af it-tjenester, skal operatøren

  • 1) vurdere, om den kontraktlige ordning omfatter brugen af it-tjenester, der understøtter en kritisk eller vigtig funktion,

  • 2) vurdere, om de tilsynsmæssige betingelser for udlicitering er opfyldt,

  • 3) identificere og vurdere alle relevante risici i forbindelse med den kontraktlige ordning, herunder muligheden for, at sådanne kontraktlige ordninger kan bidrage til at øge it-koncentrationsrisikoen,

  • 4) foretage fornøden due diligence over for potentielle tredjepartsudbydere af it-tjenester og under udvælgelses- og vurderingsprocessen sikre, at den pågældende tredjepartsudbyder af it-tjenester er egnet, og

  • 5) identificere og vurdere interessekonflikter, som den kontraktlige ordning kan give anledning til.

Stk. 7 Når en operatør indgår it-kontrakter, der relaterer sig til kritiske og vigtige funktioner, skal operatøren sikre, at den har passende adgangs-, inspektions- og revisionsrettigheder over for tredjepartsudbyderen af it-tjenester. Operatøren skal på grundlag af en risikobaseret tilgang fastsætte hyppigheden af revisioner og inspektioner og de områder, der skal underkastes revision.

Stk. 8 En operatør skal sikre, at de kontraktlige ordninger for brugen af it-tjenester som minimum kan opsiges i enhver af følgende situationer:

  • 1) Tredjepartsudbyderen begår en væsentlig overtrædelse af gældende lovgivning eller kontraktvilkår.

  • 2) Operatøren identificerer forhold under overvågningen af it-tredjepartsrisici, som kan ændre udførelsen af de funktioner, der er leveret gennem den kontraktlige ordning, herunder væsentlige ændringer, der påvirker ordningen eller situationen for tredjepartsudbyderen af it-tjenester.

  • 3) Operatøren dokumenterer svagheder hos tredjepartsudbyderen af it-tjenester, som vedrører dennes samlede it-risikostyring.

  • 4) Finanstilsynet kan ikke længere føre effektivt tilsyn med operatøren som følge af betingelserne eller omstændighederne vedrørende de respektive kontraktlige ordninger.

Stk. 9 En operatør skal indføre exitstrategier for it-tjenester, der understøtter kritiske eller vigtige funktioner. Exitstrategierne skal tage højde for de risici, der kan opstå hos tredjepartsudbydere af it-tjenester, herunder

  • 1) mulige svigt fra tredjepartsudbyderens side,

  • 2) en forringelse af kvaliteten af de leverede it-tjenester,

  • 3) eventuelle driftsforstyrrelser som følge af uhensigtsmæssig eller manglende levering af it-tjenester,

  • 4) eventuelle væsentlige risici i forbindelse med en passende og løbende anvendelse af de pågældende it-tjenester og

  • 5) opsigelse af kontraktlige ordninger med tredjepartsudbydere af it-tjenester i en af de i stk. 8 anførte situationer.

Stk. 10 En operatør skal indføre passende beredskabsforanstaltninger for at opretholde driftsstabiliteten, i tilfælde af at de omstændigheder, der er nævnt i stk. 9, indtræder.

Stk. 11 En operatør af finansiel digital infrastruktur skal sikre, at den kan opsige kontraktlige ordninger, uden at

  • 1) dens forretningsaktiviteter afbrydes,

  • 2) efterlevelsen af de lovgivningsmæssige krav begrænses og

  • 3) kontinuiteten og kvaliteten af de leverede tjenester til kunder lider skade.

Stk. 12 Exitstrategierne skal være dokumenterede, proportionale, testet i tilstrækkeligt omfang og gennemgået regelmæssigt.

Stk. 13 En operatør skal identificere alternative løsninger og udarbejde overgangsplaner, så den kan fratage tredjepartsudbyderen af it-tjenester de relevante it-tjenester og de relevante data og sikkert og fuldstændigt kan overføre disse til alternative udbydere eller indarbejde dem internt.

1