Rettigheder og forpligtelser for en operatør af finansiel digital infrastruktur og for tredjepartsudbyderen af it-tjenester skal fordeles klart og fastlægges skriftligt. Den samlede kontrakt skal omfatte serviceniveauaftaler og dokumenteres i et samlet dokument, som parterne skal have adgang til i et varigt og tilgængeligt format.
Stk. 2 De kontraktlige ordninger for brugen af it-tjenester skal mindst omfatte følgende elementer:
-
1) En klar og fuldstændig beskrivelse af alle funktioner og it-tjenester, som tredjepartsudbyderen skal levere, med angivelse af, om underentreprise af en it-tjeneste, der understøtter en kritisk eller vigtig funktion eller væsentlige dele heraf, er tilladt, og hvis det er tilfældet, de betingelser, der gælder for en sådan underentreprise.
-
2) En angivelse af de steder, navnlig de regioner eller lande, hvor de udliciterede funktioner og it-tjenester eller funktionerne og it-tjenesterne i underentreprise skal leveres, hvor data skal behandles, herunder lagringsstedet, og krav om, at tredjepartsudbyderen på forhånd skal underrette operatøren, hvis den har planer om at ændre disse steder.
-
3) Bestemmelser om tilgængelighed, autenticitet, integritet og fortrolighed med hensyn til databeskyttelse, herunder personoplysninger.
-
4) Bestemmelser om sikring af adgang, genopretning og tilbagelevering af data i et tilgængeligt format i tilfælde af insolvens, afvikling eller afbrydelse af de forretningsaktiviteter, som tredjepartsudbyderen varetager, eller i tilfælde af opsigelse af kontrakten.
-
5) Beskrivelser af serviceniveauet, herunder ajourføringer og revisioner heraf.
-
6) En forpligtelse for tredjepartsudbyderen til at yde bistand til operatøren uden yderligere omkostninger eller til en omkostning, der fastsættes på forhånd, hvis der opstår en it-hændelse, der vedrører den it-tjeneste, som leveres til operatøren.
-
7) En forpligtelse for tredjepartsudbyderen til at samarbejde fuldt ud med Finanstilsynet og afviklingsmyndigheder, herunder personer, som myndighederne har udpeget.
-
8) Opsigelsesrettigheder og dertil knyttede minimumsfrister for opsigelse af de kontraktlige ordninger.
Stk. 3 De kontraktlige ordninger for brugen af it-tjenester, der understøtter kritiske eller vigtige funktioner, skal ud over de elementer, der er nævnt i stk. 2, mindst omfatte følgende:
-
1) En fuldstændig beskrivelse af serviceniveauer, herunder ajourføringer og revisioner heraf, med præcise kvantitative og kvalitative præstationsmål inden for de aftalte serviceniveauer, så operatøren kan foretage en effektiv overvågning af it-tjenester og uden unødigt ophold træffe passende afhjælpende foranstaltninger, når de aftalte serviceniveauer ikke overholdes.
-
2) Opsigelsesfrister og indberetningsforpligtelser for tredjepartsudbyderen af it-tjenester over for operatøren, herunder underretning om enhver udvikling, som kan have væsentlig indvirkning på, hvorvidt tredjepartsudbyderen har evnen til effektivt at levere it-tjenester, der understøtter kritiske eller vigtige funktioner i overensstemmelse med de aftalte serviceniveauer.
-
3) Krav til tredjepartsudbyderen om at gennemføre og teste beredskabsplaner og indføre it-sikkerhedsforanstaltninger, -værktøjer og -politikker, som giver et passende niveau af sikkerhed, for at operatøren kan levere sine tjenester.
-
4) En forpligtelse for tredjepartsudbyderen til at deltage i og fuldt ud samarbejde om operatørens trusselsbaserede penetrationstest, jf. § 333 g, stk. 3.
-
5) En ret til løbende at overvåge tredjepartsudbyderens opgavevaretagelse og risikostyring, herunder adgangs-, inspektions- og revisionsrettigheder for operatøren, Finanstilsynet eller udpegede tredjeparter og adgang til nødvendig information og dokumentation.
-
6) Exitstrategier, herunder indførelse af en obligatorisk passende overgangsperiode,
-
a) i løbet af hvilken tredjepartsudbyderen fortsat leverer de respektive funktioner eller it-tjenester med henblik på at mindske risikoen for forstyrrelser i operatøren eller sikre en effektiv afvikling eller omstrukturering heraf, og
-
b) som giver operatøren mulighed for at migrere til en anden tredjepartsudbyder eller skifte til interne løsninger, der stemmer overens med den leverede tjenestes kompleksitet.
-