(1)   Nach der Leitlinie muss vor Abschluss einer vertraglichen Vereinbarung der Geschäftsbedarf des Finanzunternehmens bestimmt werden.

(2)   In der Leitlinie ist vorzusehen, dass auf Ebene des Finanzunternehmens und gegebenenfalls auf konsolidierter und teilkonsolidierter Ebene eine Risikobewertung durchzuführen ist, bevor eine vertragliche Vereinbarung geschlossen wird.

Bei der Risikobewertung werden alle einschlägigen Anforderungen der Verordnung (EU) 2022/2554 sowie die geltenden sektorspezifischen Rechtsvorschriften der Union berücksichtigt. In der Leitlinie werden insbesondere die Auswirkungen der Bereitstellung von IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen durch IKT-Drittdienstleister auf das Finanzunternehmen sowie alle Risiken berücksichtigt, die mit der Bereitstellung dieser IKT-Dienstleistungen zur Unterstützung kritischer oder wichtiger Funktionen durch IKT-Drittdienstleister verbunden sind, darunter

a)	operationelle Risiken,

b)	rechtliche Risiken,

c)	IKT-Risiken,

d)	Reputationsrisiken,

e)	Risiken im Zusammenhang mit dem Schutz vertraulicher oder personenbezogener Daten,

f)	Risiken im Zusammenhang mit der Verfügbarkeit von Daten,

g)	Risiken im Zusammenhang mit dem Standort, an dem die Daten verarbeitet und gespeichert werden,

h)	Risiken im Zusammenhang mit dem Standort des IKT-Drittdienstleisters,

i)	IKT-Konzentrationsrisiken auf Unternehmensebene.