Newsletter
 
 
united kingdom
ukraine
poland
Prawo.pl
  1. Akty Prawne
  2. Dziennik Urzędowy Unii Europejskiej - Seria L
  3. Dz.U.UE.L.2025.532

Rozporządzenie delegowane 2025/532 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych określających elementy, które podmiot finansowy musi określić i ocenić, zlecając podwykonawstwo usług ICT wspierających krytyczne lub istotne funkcje

ROZPORZĄDZENIE DELEGOWANE KOMISJI (UE) 2025/532
z dnia 24 marca 2025 r.
uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych określających elementy, które podmiot finansowy musi określić i ocenić, zlecając podwykonawstwo usług ICT wspierających krytyczne lub istotne funkcje
(Tekst mający znaczenie dla EOG)

KOMISJA EUROPEJSKA,

uwzględniając Traktat o funkcjonowaniu Unii Europejskiej,

uwzględniając rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 z dnia 14 grudnia 2022 r. w sprawie operacyjnej odporności cyfrowej sektora finansowego i zmieniające rozporządzenia (WE) nr 1060/2009, (UE) nr 648/2012, (UE) nr 600/2014, (UE) nr 909/2014 oraz (UE) 2016/1011 1 , w szczególności jego art. 30 ust. 5 akapit czwarty,

a także mając na uwadze, co następuje:

(1) Świadczenie usług ICT na rzecz podmiotów finansowych często opiera się na złożonym łańcuchu podwykonawców usług ICT, w ramach którego zewnętrzni dostawcy usług ICT mogą zawierać jedną lub więcej umów podwykonawstwa z innymi zewnętrznymi dostawcami usług ICT. Pośrednie poleganie na podwykonawcach usług ICT może mieć wpływ na zdolność podmiotu finansowego do identyfikowania i oceny ryzyka oraz zarządzania ryzykiem, w tym ryzykiem związanym z lukami w informacjach dostarczanych przez zewnętrznych dostawców usług ICT, a także ograniczać zdolność podmiotu finansowego do uzyskiwania informacji od tych podwykonawców usług ICT, którzy świadczą usługi ICT wspierające krytyczne lub istotne funkcje lub ich istotne części. W związku z tym, w przypadku gdy świadczenie usług ICT na rzecz podmiotów finansowych opiera się na potencjalnie długim lub złożonym łańcuchu podwykonawców usług ICT, istotne jest, aby podmioty finansowe zidentyfikowały cały łańcuch podwykonawców świadczących usługi ICT wspierające krytyczne lub istotne funkcje.

(2) Podmioty finansowe powinny w szczególności i w sposób ciągły koncentrować się na tych podwykonawcach świadczących usługi ICT wspierające krytyczne lub istotne funkcje, którzy faktycznie wspierają świadczenie usługi ICT wspierającej krytyczne lub istotne funkcje, w tym na wszystkich podwykonawcach świadczących usługi ICT, których zakłócenie mogłoby negatywnie wpłynąć na bezpieczeństwo lub ciągłość usługi, jak określono w rejestrze informacji, o którym mowa w art. 28 ust. 3 rozporządzenia (UE) 2022/2554.

(3) Podmioty finansowe różnią się znacznie pod względem wielkości, struktury, organizacji wewnętrznej oraz charakteru i złożoności działalności. Aby zapewnić proporcjonalność, różnorodność tę należy wziąć pod uwagę przy określaniu elementów, które podmiot finansowy powinien określić i ocenić, zlecając podwykonawstwo usług ICT wspierających krytyczne lub istotne funkcje.

(4) Korzystanie z usług ICT wspierających krytyczne lub istotne funkcje zleconych podwykonawcom przez zewnętrznych dostawców usług ICT - o ile jest dozwolone przez podmioty finansowe zgodnie z art. 30 ust. 2 rozporządzenia (UE) 2022/2554 - nie może ograniczać ostatecznej odpowiedzialności organów zarządzających tych podmiotów finansowych za zarządzanie ich ryzykiem i przestrzeganie ich obowiązków ustawowych i regulacyjnych. W przypadku gdy podwykonawstwo usług ICT wspierających krytyczne lub istotne funkcje jest dozwolone, ważne jest, aby podmioty finansowe miały jasny i całościowy obraz ryzyka związanego z podwykonawstwem usług wspierających krytyczne lub istotne funkcje, tak aby były w stanie to ryzyko monitorować, zarządzać nim i je ograniczać. Podmioty finansowe powinny zatem dokonać oceny takiego ryzyka przed zleceniem tych usług podwykonawcom.

(5) Za podwykonawców usług ICT należy uznać podwykonawców usług ICT wewnątrz grupy, którzy świadczą usługi ICT wspierające krytyczne lub istotne funkcje lub ich istotne części, w tym podwykonawców usług ICT wewnątrz grupy, którzy stanowią wyłączną lub zbiorową własność podmiotów finansowych w ramach tego samego systemu ochrony instytucjonalnej.

(6) W stosownych przypadkach, w kontekście grupy, jednostka dominująca podmiotów finansowych powinna zapewnić, aby polityka dotycząca korzystania z podwykonawców świadczących usługi ICT wspierające krytyczne lub istotne funkcje lub ich istotną część była stosowana w obrębie grupy w sposób konsekwentny i spójny.

(7) Ważne jest, aby zapewnić kompleksowe zarządzanie ryzykiem, które może wystąpić w przypadku zlecania podwykonawcom usług ICT wspierających krytyczne lub istotne funkcje. Z tego powodu podmioty finansowe powinny śledzić etapy cyklu życia ustalenia umownego dotyczącego korzystania z usług ICT wspierających te funkcje i świadczonych przez zewnętrznych dostawców usług ICT, w tym w przypadku umów podwykonawstwa. Konieczne jest zatem ustanowienie wymogów dla podmiotów finansowych, które powinny znaleźć odzwierciedlenie w ich ustaleniach umownych z zewnętrznymi dostawcami usług ICT, w przypadku gdy korzystanie z usług ICT wspierających krytyczne lub istotne funkcje zleconych podwykonawcom jest dozwolone.

(8) Aby ograniczyć ryzyko związane z podwykonawstwem, konieczne jest określenie warunków, na jakich zewnętrzni dostawcy usług ICT mogą korzystać z podwykonawców w celu świadczenia usług ICT wspierających krytyczne lub istotne funkcje. W związku z tym ustalenia umowne dotyczące ICT między podmiotami finansowymi a zewnętrznymi dostawcami usług ICT powinny określać takie warunki, w tym planowanie umów podwykonawstwa, ocenę ryzyka, należytą staranność i proces zatwierdzania nowych umów podwykonawstwa ICT w zakresie usług ICT wspierających krytyczne lub istotne funkcje lub ich istotne części bądź zatwierdzania dokonanych przez zewnętrznego dostawcę usług ICT istotnych zmian w obowiązujących umowach.

(9) Aby zidentyfikować ewentualne ryzyko, które może wystąpić przed zawarciem przez podmiot finansowy umowy podwykonawstwa z podwykonawcą usług ICT, zewnętrzni dostawcy usług ICT powinni ocenić, w odpowiedni i proporcjonalny sposób, odpowiedniość potencjalnych podwykonawców na podstawie ustaleń umownych dotyczących ICT, które zewnętrzny dostawca usług ICT zawarł z podmiotem finansowym. W takich ustaleniach umownych dotyczących ICT należy zatem wprowadzić wymóg, aby zewnętrzny dostawca usług ICT - lub, w stosownych przypadkach, bezpośrednio podmiot finansowy - dokonał oceny zasobów potencjalnego podwykonawcy, w tym jego wiedzy fachowej oraz tego, czy dysponuje on odpowiednimi zasobami finansowymi, ludzkimi i technicznymi, zapewnianego przez niego bezpieczeństwa informacji oraz jego struktury organizacyjnej, w tym mechanizmów zarządzania ryzykiem i kontroli wewnętrznych, które podwykonawca powinien posiadać.

(10) Aby ograniczyć wszelkie podatności i zagrożenia, które mogą stwarzać ryzyko dla ich systemów i operacji ICT, podmioty finansowe powinny być w stanie monitorować świadczenie usług ICT i otrzymywać informacje o wszelkich istotnych zmianach w ich łańcuchu podwykonawstwa usług ICT, jeśli takie zmiany dotyczą krytycznych lub istotnych funkcji.

(11) Aby umożliwić podmiotom finansowym ocenę ryzyka związanego z umowami podwykonawstwa lub istotnymi zmianami w takich umowach, zewnętrzni dostawcy usług ICT powinni informować podmioty finansowe, na rzecz których świadczą usługi ICT, o wszystkich takich nowych umowach lub zmianach na długo przed rozpoczęciem obowiązywania takich umów lub zmian. Z tego samego powodu podmioty finansowe powinny mieć prawo do wypowiedzenia umowy z zewnętrznym dostawcą usług ICT, jeżeli wynik ich oceny ryzyka wskazuje, że nowe umowy lub istotne zmiany wiążą się z poziomem ryzyka przekraczającym ich tolerancję ryzyka.

(12) Europejskie Urzędy Nadzoru przeprowadziły otwarte konsultacje publiczne na temat projektu regulacyjnych standardów technicznych, który stanowi podstawę niniejszego rozporządzenia, dokonały analizy potencjalnych powiązanych kosztów i korzyści oraz zwróciły się o opinię do grup interesariuszy ustanowionych przy poszczególnych EUN zgodnie z art. 37 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1093/2010 2 , art. 37 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1094/2010 3  i art. 37 rozporządzenia Parlamentu Europejskiego i Rady (UE) nr 1095/2010 4 .

(13) Zgodnie z art. 42 ust. 1 rozporządzenia Parlamentu Europejskiego i Rady (UE) 2018/1725 5  skonsultowano się z Europejskim Inspektorem Ochrony Danych, który wydał opinię w dniu 20 sierpnia 2024 r.,

PRZYJMUJE NINIEJSZE ROZPORZĄDZENIE:

Artykuł  1

Ogólny profil ryzyka i stopień złożoności

Podmioty finansowe uwzględniają swoją wielkość i ogólny profil ryzyka oraz charakter, skalę i elementy zwiększonej lub zmniejszonej złożoności ich usług, działań i operacji, w tym elementy związane z:

a)
rodzajem usług ICT wspierających krytyczne lub istotne funkcje objętych ustaleniami umownymi między podmiotem finansowym a zewnętrznym dostawcą usług ICT;
b)
rodzajem usług ICT objętych ustaleniami umownymi między zewnętrznym dostawcą usług ICT a jego podwykonawcami;
c)
lokalizacją podwykonawcy usług ICT świadczącego usługi ICT wspierające krytyczne lub istotne funkcje lub ich istotne części lub lokalizacją jego jednostki dominującej;
d)
długością i złożonością łańcucha podwykonawców świadczących usługi ICT wspierające krytyczne lub istotne funkcje lub ich istotne części, z których to podwykonawców korzysta zewnętrzny dostawca usług ICT;
e)
charakterem danych udostępnianych podwykonawcom usług ICT świadczącym usługi ICT wspierające krytyczne lub istotne funkcje lub ich istotne części;
f)
tym, czy usługi ICT wspierające krytyczne lub istotne funkcje lub ich istotne części są świadczone przez podwykonawców zlokalizowanych w państwie członkowskim czy w państwie trzecim, w tym elementy związane z miejscem, z którego usługi ICT są faktycznie świadczone, oraz miejscem, w którym dane są faktycznie przetwarzane i przechowywane;
g)
tym, czy podwykonawcy ICT świadczący usługi ICT wspierające krytyczne lub istotne funkcje lub ich istotne części należą do tej samej grupy co podmiot finansowy, na rzecz którego świadczone są te usługi;
h)
tym, czy podwykonawcy ICT świadczący usługi ICT wspierające krytyczne lub istotne funkcje lub ich istotne części uzyskali zezwolenie, są zarejestrowani lub podlegają nadzorowi właściwego organu w państwie członkowskim lub czy podlegają ramom nadzoru na podstawie rozdziału V sekcja II rozporządzenia (UE) 2022/2554;
i)
tym, czy zewnętrzni dostawcy usług ICT wspierających krytyczne lub istotne funkcje lub ich istotne części uzyskali zezwolenie, są zarejestrowani lub podlegają nadzorowi właściwego organu w państwie trzecim;
j)
tym, czy świadczenie usług ICT wspierających krytyczne lub istotne funkcje lub ich istotne części ogranicza się do jednego podwykonawcy zewnętrznego dostawcy usług ICT lub niewielkiej liczby takich podwykonawców;
k)
tym, czy podwykonawstwo usług ICT wspierających krytyczne lub istotne funkcje lub ich istotne części miałoby wpływ na możliwość przekazania tych usług ICT innemu zewnętrznemu dostawcy usług ICT;
l)
potencjalnym wpływem zakłóceń na ciągłość i dostępność usług ICT wspierających krytyczne lub istotne funkcje lub ich istotne części świadczonych przez zewnętrznego dostawcę usług ICT w przypadku korzystania z podwykonawcy świadczącego usługi ICT wspierające krytyczne lub istotne funkcje lub ich istotne części.
Artykuł  2

Zastosowanie na poziomie grupy

Jeśli niniejsze rozporządzenie stosuje się na zasadzie subskonsolidowanej lub skonsolidowanej, jednostka dominująca odpowiedzialna za sporządzenie subskonsolidowanego lub skonsolidowanego sprawozdania finansowego grupy zapewnia, aby warunki podwykonawstwa w zakresie korzystania z usług ICT wspierających krytyczne lub istotne funkcje lub ich istotne części - w przypadku gdy takie podwykonawstwo jest dozwolone na mocy ustaleń umownych dotyczących korzystania z usług ICT - były wdrażane w sposób spójny we wszystkich podmiotach finansowych wchodzących w skład grupy i były odpowiednie do skutecznego stosowania niniejszego rozporządzenia na wszystkich właściwych poziomach.

Artykuł  3

Należyta staranność i ocena ryzyka w odniesieniu do korzystania z podwykonawców wspierających krytyczne lub istotne funkcje

1. 
Przed zawarciem ustaleń umownych z zewnętrznym dostawcą usług ICT podmiot finansowy podejmuje decyzję, czy ten zewnętrzny dostawca usług ICT może zlecać podwykonawstwo usługi ICT wspierającej krytyczne lub istotne funkcje lub ich istotne części. Podmiot finansowy zawiera takie ustalenie umowne wyłącznie w przypadku, gdy ocenił, że spełnione zostały wszystkie następujące warunki:
a)
procesy należytej staranności zewnętrznego dostawcy usług ICT gwarantują, że jest on w stanie wybrać potencjalnych podwykonawców usług ICT i ocenić ich zdolności operacyjne i finansowe pod kątem świadczenia usług ICT wspierających krytyczne lub istotne funkcje lub ich istotne części, w tym przez udział, gdy wymaga tego podmiot finansowy, w testowaniu operacyjnej odporności cyfrowej, o którym mowa w rozdziale IV rozporządzenia (UE) 2022/2554;
b)
zewnętrzny dostawca usług ICT jest w stanie wskazać wszystkich podwykonawców, którzy świadczą usługi ICT wspierające krytyczne lub istotne funkcje lub ich istotne części, powiadamiać i informować podmiot finansowy o tych podwykonawcach, a także jest w stanie udzielić podmiotowi finansowemu wszelkich informacji, które mogą być niezbędne do oceny warunków określonych w niniejszym artykule;
c)
zewnętrzny dostawca usług ICT zapewnia, aby ustalenia umowne z podwykonawcami świadczącymi usługi ICT wspierające krytyczne lub istotne funkcje lub ich istotne części umożliwiały podmiotowi finansowemu wywiązanie się z jego własnych obowiązków wynikających z rozporządzenia (UE) 2022/2554 oraz mających zastosowanie przepisów unijnych i krajowych;
d)
podwykonawca przyznaje podmiotowi finansowemu oraz właściwym organom i organom ds. restrukturyzacji i uporządkowanej likwidacji takie same umowne prawa dostępu i kontroli, jak te przyznane przez zewnętrznego dostawcę usług ICT;
e)
bez uszczerbku dla ostatecznej odpowiedzialności podmiotu finansowego za wywiązywanie się ze swoich obowiązków prawnych i regulacyjnych zewnętrzny dostawca usług ICT sam dysponuje wystarczającymi zdolnościami, wiedzą fachową oraz odpowiednimi zasobami finansowymi, ludzkimi i technicznymi, aby monitorować ryzyko związane z ICT na poziomie podwykonawców, w tym przez stosowanie odpowiednich standardów bezpieczeństwa informacji oraz zapewnienie odpowiedniej struktury organizacyjnej, zarządzania ryzykiem i kontroli wewnętrznych, a także zgłaszania incydentów i reagowania na nie;
f)
podmiot finansowy dysponuje wystarczającymi zdolnościami, wiedzą fachową oraz odpowiednimi zasobami finansowymi, ludzkimi i technicznymi, aby monitorować ryzyko związane z ICT w odniesieniu do usługi wspierającej krytyczne lub istotne funkcje lub ich istotne części, która została zlecona podwykonawcy, w tym poprzez stosowanie odpowiednich standardów bezpieczeństwa informacji oraz zapewnienie odpowiedniej struktury organizacyjnej i zarządzania ryzykiem, reagowania na incydenty, zarządzania ciągłością działania i kontroli wewnętrznych;
g)
podmiot finansowy ocenił wpływ ewentualnej awarii podwykonawcy świadczącego usługi ICT wspierające krytyczne lub istotne funkcje lub ich istotną część na operacyjną odporność cyfrową podmiotu finansowego i jego kondycję finansową;
h)
podmiot finansowy ocenił ryzyko związane z lokalizacją potencjalnych podwykonawców w odniesieniu do usług ICT wspierających krytyczne lub istotne funkcje lub ich istotną część świadczonych przez zewnętrznego dostawcę usług ICT;
i)
podmiot finansowy ocenił ryzyko koncentracji w obszarze ICT na poziomie podmiotu zgodnie z art. 29 rozporządzenia (UE) 2022/2554;
j)
podmiot finansowy ocenił, czy istnieją jakiekolwiek przeszkody w wykonywaniu prawa audytu, kontroli i dostępu przez właściwe organy, organy ds. restrukturyzacji i uporządkowanej likwidacji lub podmiot finansowy, w tym osoby przez nie wyznaczone.
2. 
Podmioty finansowe korzystające z zewnętrznych dostawców usług ICT, którzy zlecają podwykonawstwo usług ICT wspierających krytyczne lub istotne funkcje lub ich istotne części, przeprowadzają okresowo ocenę ryzyka, o której mowa w ust. 1 lit. f)-j), pod kątem ewentualnych zmian w ich otoczeniu biznesowym, w tym zmian we wspieranych funkcjach biznesowych oraz w ocenach ryzyka obejmujących zagrożenia ICT, ryzyko koncentracji w obszarze ICT oraz ryzyko geopolityczne.
3. 
Poleganie na wynikach oceny ryzyka przeprowadzonej przez zewnętrznych dostawców usług ICT w odniesieniu do ich podwykonawców w ramach wywiązywania się z obowiązków określonych w niniejszym artykule nie ogranicza ostatecznej odpowiedzialności podmiotów finansowych za wywiązywanie się z ich obowiązków prawnych i regulacyjnych wynikających z rozporządzenia (UE) 2022/2554.
Artykuł  4

Warunki, na jakich usługi ICT wspierające krytyczne lub istotne funkcje lub ich istotną część mogą być zlecane podwykonawcom

1. 
W ustaleniu umownym zawartym między podmiotem finansowym a zewnętrznym dostawcą usług ICT określa się, które usługi ICT wspierające krytyczne lub istotne funkcje lub ich istotne części kwalifikują się do podwykonawstwa i na jakich warunkach. W umowie tej określa się:
a)
że zewnętrzny dostawca usług ICT jest odpowiedzialny za świadczenie usług przez podwykonawców;
b)
że zewnętrzny dostawca usług ICT jest zobowiązany do monitorowania wszystkich zlecanych podwykonawcom usług ICT wspierających krytyczne lub istotne funkcje lub ich istotne części, w celu zapewnienia, by jego zobowiązania umowne wobec podmiotu finansowego były stale wypełniane;
c)
obowiązki zewnętrznego dostawcy usług ICT w zakresie monitorowania i sprawozdawczości wobec podmiotu finansowego w odniesieniu do podwykonawców świadczących usługi ICT wspierające krytyczne lub istotne funkcje lub ich istotne części;
d)
że zewnętrzny dostawca usług ICT ma ocenić wszelkie ryzyko związane z lokalizacją obecnych lub potencjalnych podwykonawców świadczących usługi ICT wspierające krytyczne lub istotne funkcje lub ich istotne części oraz z lokalizacją ich jednostki dominującej, a także z miejscem, z którego świadczona jest dana usługa ICT;
e)
w stosownych przypadkach - miejsce przetwarzania lub przechowywania danych przez podwykonawcę;
f)
że zewnętrzny dostawca usług ICT ma określić w swojej umowie z podwykonawcami obowiązki tych podwykonawców w zakresie monitorowania i sprawozdawczości wobec zewnętrznego dostawcy usług ICT oraz, w stosownych przypadkach, wobec podmiotu finansowego;
g)
że zewnętrzny dostawca usług ICT ma zapewnić ciągłość usług ICT wspierających krytyczne lub istotne funkcje w całym łańcuchu podwykonawców w przypadku niewywiązania się przez podwykonawcę z jego zobowiązań umownych;
h)
że ustalenia umowne między zewnętrznym dostawcą usług ICT a jego podwykonawcami zawierają wymogi dotyczące planów awaryjnych, o których mowa w art. 30 ust. 3 lit. c) rozporządzenia (UE) 2022/2554, oraz określają gwarantowane poziomy usług, które mają zostać osiągnięte przez podwykonawców usług ICT w odniesieniu do tych planów;
i)
że ustalenia umowne między zewnętrznym dostawcą usług ICT a jego podwykonawcami określają standardy bezpieczeństwa ICT i wszelkie dodatkowe wymogi w zakresie bezpieczeństwa, o których mowa w art. 30 ust. 3 lit. c) rozporządzenia (UE) 2022/2554;
j)
że podwykonawca ma przyznać podmiotowi finansowemu oraz odpowiednim właściwym organom i organom ds. restrukturyzacji i uporządkowanej likwidacji takie same prawa dostępu, kontroli i audytu, jak prawa, o których mowa w art. 30 ust. 3 lit. e) rozporządzenia (UE) 2022/2554;
k)
że zewnętrzny dostawca usług ICT ma powiadamiać podmiot finansowy o wszelkich istotnych zmianach w umowach podwykonawstwa;
l)
że podmiot finansowy ma prawo wypowiedzieć umowę z zewnętrznym dostawcą usług ICT, jeżeli spełnione są warunki określone w art. 6 niniejszego rozporządzenia lub warunki określone w art. 28 ust. 7 rozporządzenia (UE) 2022/2554.
2. 
Zmiany w ustaleniach umownych między podmiotem finansowym a zewnętrznymi dostawcami usług ICT świadczącymi usługę ICT wspierającą krytyczne lub istotne funkcje lub ich istotne części, które to zmiany są niezbędne do zapewnienia zgodności z niniejszym rozporządzeniem, wprowadza się w odpowiednim czasie i tak szybko, jak to możliwe. Podmiot finansowy dokumentuje planowany harmonogram wprowadzania tych zmian.
Artykuł  5

Istotne zmiany w umowach podwykonawstwa usług ICT wspierających krytyczne lub istotne funkcje lub ich istotne części

1. 
W ustaleniach umownych przewiduje się, że zewnętrzny dostawca usług ICT informuje podmiot finansowy o wszelkich planowanych istotnych zmianach w umowach podwykonawstwa z odpowiednim wyprzedzeniem, aby umożliwić podmiotowi finansowemu ocenę:
a)
wpływu na ryzyko, na które podmiot ten jest lub może być narażony;
b)
czy takie istotne zmiany mogą wpłynąć na zdolność zewnętrznego dostawcy usług ICT do wypełniania jego zobowiązań umownych wobec podmiotu finansowego.
2. 
Ustalenie umowne zawiera rozsądny termin powiadomienia, przed upływem którego podmiot finansowy ma zatwierdzić zmiany lub zgłosić wobec nich sprzeciw.
3. 
Zewnętrzny dostawca usług ICT wprowadza istotne zmiany w umowach podwykonawstwa wyłącznie wówczas, gdy podmiot finansowy zatwierdzi zmiany lub nie zgłosi wobec nich sprzeciwu do końca okresu powiadomienia.
4. 
W przypadku gdy podmiot finansowy jest zdania, że istotne zmiany, o których mowa w ust. 1, przekraczają tolerancję ryzyka podmiotu finansowego, przed końcem okresu powiadomienia podmiot finansowy:
a)
informuje o tym zewnętrznego dostawcę usług ICT;
b)
zgłasza sprzeciw wobec zmian i żąda modyfikacji tych zmian przed ich wprowadzeniem.
Artykuł  6

Wypowiedzenie umowy między podmiotem finansowym a zewnętrznym dostawcą usług ICT

Podmiot finansowy ma prawo przewidzieć w ustaleniu umownym z zewnętrznym dostawcą usług ICT, że ustalenie umowne zostanie wypowiedziane w każdym z poniższych przypadków:

a)
podmiot finansowy wyraził sprzeciw wobec istotnych zmian w umowach podwykonawstwa usług wspierających krytyczne lub istotne funkcje i zażądał modyfikacji tych umów, ale mimo to zewnętrzny dostawca usług ICT wprowadził te istotne zmiany;
b)
zewnętrzny dostawca usług ICT wprowadził istotne zmiany w umowach podwykonawstwa usług wspierających krytyczne lub istotne funkcje lub ich istotne części przed końcem okresu powiadomienia bez ich zatwierdzenia przez podmiot finansowy;
c)
zewnętrzny dostawca usług ICT zleca podwykonawstwo usługi ICT wspierającej krytyczną lub istotną funkcję lub jej istotną część, a podwykonawstwo tej usługi nie jest wyraźnie dozwolone na podstawie umowy między podmiotem finansowym a zewnętrznym dostawcą usług ICT.
Artykuł  7

Wejście w życie

Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po jego opublikowaniu w Dzienniku Urzędowym Unii Europejskiej.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

Sporządzono w Brukseli dnia 24 marca 2025 r.

1 Dz.U. L 333 z 27.12.2022, s. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
2 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1093/2010 z dnia 24 listopada 2010 r. w sprawie ustanowienia Europejskiego Urzędu Nadzoru (Europejskiego Urzędu Nadzoru Bankowego), zmiany decyzji nr 716/2009/WE oraz uchylenia decyzji Komisji 2009/78/WE (Dz.U. L 331 z 15.12.2010, s. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).
3 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1094/2010 z dnia 24 listopada 2010 r. w sprawie ustanowienia Europejskiego Urzędu Nadzoru (Europejskiego Urzędu Nadzoru Ubezpieczeń i Pracowniczych Programów Emerytalnych), zmiany decyzji nr 716/2009/WE i uchylenia decyzji Komisji 2009/79/WE (Dz.U. L 331 z 15.12.2010, s. 48, ELI: http://data.europa.eu/eli/reg/ 2010/1094/oj).
4 Rozporządzenie Parlamentu Europejskiego i Rady (UE) nr 1095/2010 z dnia 24 listopada 2010 r. w sprawie ustanowienia Europejskiego Urzędu Nadzoru (Europejskiego Urzędu Nadzoru Giełd i Papierów Wartościowych), zmiany decyzji nr 716/2009/WE i uchylenia decyzji Komisji 2009/77/WE (Dz.U. L 331 z 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
5 Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2018/1725 z dnia 23 października 2018 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez instytucje, organy i jednostki organizacyjne Unii i swobodnego przepływu takich danych oraz uchylenia rozporządzenia (WE) nr 45/2001 i decyzji nr 1247/2002/WE (Dz.U. L 295 z 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

Zmiany w prawie

Ważne zmiany w zakresie ZFŚS
Ważne zmiany w zakresie ZFŚS

W piątek, 19 grudnia 2025 roku, Senat przyjął bez poprawek uchwalone na początku grudnia przez Sejm bardzo istotne zmiany w przepisach dla pracodawców obowiązanych do tworzenia Zakładowego Funduszu Świadczeń Socjalnych. Odnoszą się one do tych podmiotów, w których nie działają organizacje związkowe. Ustawa trafi teraz na biurko prezydenta.

Marek Rotkiewicz 19.12.2025
Wymiar urlopu wypoczynkowego po zmianach w stażu pracy
Wymiar urlopu wypoczynkowego po zmianach w stażu pracy

Nowe okresy wliczane do okresu zatrudnienia mogą wpłynąć na wymiar urlopów wypoczynkowych osób, które jeszcze nie mają prawa do 26 dni urlopu rocznie. Pracownicy nie nabywają jednak prawa do rozliczenia urlopu za okres sprzed dnia objęcia pracodawcy obowiązkiem stosowania art. 302(1) Kodeksu pracy, wprowadzającego zaliczalność m.in. okresów prowadzenia działalności gospodarczej czy wykonywania zleceń do stażu pracy.

Marek Rotkiewicz 19.12.2025
To będzie rewolucja u każdego pracodawcy
To będzie rewolucja u każdego pracodawcy

Wszyscy pracodawcy, także ci zatrudniający choćby jednego pracownika, będą musieli dokonać wartościowania stanowisk pracy i określić kryteria służące ustaleniu wynagrodzeń pracowników, poziomów wynagrodzeń i wzrostu wynagrodzeń. Jeszcze więcej obowiązków będą mieli średni i duzi pracodawcy, którzy będą musieli raportować lukę płacową. Zdaniem prawników, dla mikro, małych i średnich firm dostosowanie się do wymogów w zakresie wartościowania pracy czy ustalenia kryteriów poziomu i wzrostu wynagrodzeń wymagać będzie zewnętrznego wsparcia.

Grażyna J. Leśniak 18.12.2025
Są rozporządzenia wykonawcze do KSeF
Są rozporządzenia wykonawcze do KSeF

Minister finansów i gospodarki podpisał cztery rozporządzenia wykonawcze dotyczące funkcjonowania KSeF – potwierdził we wtorek resort finansów. Rozporządzenia określają m.in.: zasady korzystania z KSeF, w tym wzór zawiadomienia ZAW-FA, przypadki, w których nie ma obowiązku wystawiania faktur ustrukturyzowanych, a także zasady wystawiania faktur uproszczonych.

Krzysztof Koślicki 16.12.2025
Od stycznia nowe zasady prowadzenia PKPiR
Od stycznia nowe zasady prowadzenia PKPiR

Od 1 stycznia 2026 r. zasadą będzie prowadzenie podatkowej księgi przychodów i rozchodów przy użyciu programu komputerowego. Nie będzie już można dokumentować zakupów, np. środków czystości lub materiałów biurowych, za pomocą paragonów bez NIP nabywcy. Takie zmiany przewiduje nowe rozporządzenie w sprawie PKPiR.

Marcin Szymankiewicz 15.12.2025
Senat poprawia reformę orzecznictwa lekarskiego w ZUS
Senat poprawia reformę orzecznictwa lekarskiego w ZUS

Senat zgłosił w środę poprawki do reformy orzecznictwa lekarskiego w ZUS. Zaproponował, aby w sprawach szczególnie skomplikowanych możliwe było orzekanie w drugiej instancji przez grupę trzech lekarzy orzeczników. W pozostałych sprawach, zgodnie z ustawą, orzekać będzie jeden. Teraz ustawa wróci do Sejmu.

Grażyna J. Leśniak 10.12.2025
Metryka aktu
Identyfikator:

Dz.U.UE.L.2025.532
Rodzaj: Rozporządzenie
Tytuł: Rozporządzenie delegowane 2025/532 uzupełniające rozporządzenie Parlamentu Europejskiego i Rady (UE) 2022/2554 w odniesieniu do regulacyjnych standardów technicznych określających elementy, które podmiot finansowy musi określić i ocenić, zlecając podwykonawstwo usług ICT wspierających krytyczne lub istotne funkcje
Data aktu: 24/03/2025
Data ogłoszenia: 02/07/2025
Data wejścia w życie: 22/07/2025