Articulo 29 Resiliencia operativa digital del sector financiero

1. Al llevar a cabo la determinación y evaluación de los riesgos a que se refiere el artículo 28, apartado 4, letra c), las entidades financieras también tendrán en cuenta si la celebración prevista de un acuerdo contractual en relación con los servicios de TIC que sustenten funciones esenciales o importantes podría dar lugar a alguna de las siguientes circunstancias:

a) la celebración de un contrato con un proveedor tercero de servicios de TIC que no sea fácilmente sustituible, o

b) la coexistencia de múltiples acuerdos contractuales en relación con la prestación de servicios de TIC que sustenten funciones esenciales o importantes con el mismo proveedor tercero de servicios de TIC o con proveedores terceros de servicios de TIC estrechamente relacionados.

Las entidades financieras ponderarán los beneficios y los costes de soluciones alternativas, como el recurso a distintos proveedores terceros de servicios de TIC, considerando si las soluciones contempladas se ajustan a las necesidades y objetivos empresariales establecidos en su estrategia de resiliencia digital y de qué manera.

2. Cuando el acuerdo contractual sobre el uso de servicios de TIC que sustenten funciones esenciales o importantes incluya la posibilidad de que un proveedor tercero de servicios de TIC subcontrate a su vez servicios de TIC que sustenten una función esencial o importante a otros proveedores terceros de servicios de TIC, las entidades financieras ponderarán los beneficios y los riesgos que puedan derivarse de esa posible subcontratación, en particular cuando se trate de un subcontratista de TIC establecido en un tercer país.

Cuando el acuerdo contractual afecte a servicios de TIC que sustenten funciones esenciales o importantes, las entidades financieras ponderarán debidamente las disposiciones legislativas en materia de insolvencia que se aplicarían en caso de quiebra del proveedor tercero de servicios de TIC, así como cualquier restricción que pueda surgir y que afecte a la recuperación urgente de los datos de la entidad financiera.

Cuando se celebren acuerdos contractuales sobre el uso de servicios de TIC que sustenten funciones esenciales o importantes con un proveedor tercero de servicios de TIC establecido en un tercer país, las entidades financieras tendrán en consideración, además de lo mencionado el párrafo segundo, el cumplimiento de la normativa en materia de protección de datos de la Unión y la aplicación efectiva del Derecho en ese tercer país.

Cuando el acuerdo contractual sobre el uso de servicios de TIC que sustenten funciones esenciales o importantes contemple la subcontratación, las entidades financieras evaluarán si las cadenas de subcontratación potencialmente largas o complejas pueden afectar a su capacidad para efectuar un seguimiento completo de las funciones contratadas y a la capacidad de la autoridad competente para supervisar efectivamente a la entidad financiera a este respecto, y de qué manera.