Artikel 33 - Den ledande tillsynsmyndighetens uppgifter
-
Den ledande tillsynsmyndigheten, som utsetts i enlighet med artikel 31.1 b, ska utöva tillsyn över de kritiska tredjepartsleverantörer av IKT-tjänster som den tilldelats och ska, när det gäller alla frågor som rör tillsynen, vara den huvudsakliga kontaktpunkten för dessa kritiska tredjepartsleverantörer av IKT-tjänster.
-
Vid tillämpning av punkt 1 ska den ledande tillsynsmyndigheten bedöma huruvida varje kritisk tredjepartsleverantör av IKT-tjänster har infört heltäckande, sunda och effektiva regler, förfaranden, mekanismer och arrangemang för att hantera den IKT-risk som den kan medföra för finansiella entiteter.
Den bedömning som avses i första stycket ska huvudsakligen inriktas på IKT-tjänster som tillhandahålls av den kritiska tredjepartsleverantör av IKT-tjänster som stöder finansiella entiteters kritiska eller viktiga funktioner. Om det är nödvändigt för att hantera alla relevanta risker ska den bedömningen även omfatta IKT-tjänster som stöder andra funktioner än de som är kritiska eller viktiga.
-
Den bedömning som avses i punkt 2 ska omfatta:
- IKT-krav för att i synnerhet säkerställa säkerhet, tillgänglighet, kontinuitet, skalbarhet och kvalitet hos de tjänster som den kritiska tredjepartsleverantören av IKT-tjänster tillhandahåller finansiella entiteter, samt förmåga att alltid upprätthålla höga standarder för tillgänglighet, äkthet, integritet eller konfidentialitet.
- Den fysiska säkerhet som bidrar till att säkerställa IKT-säkerheten, inbegripet säkerheten i lokaler, anläggningar och datacenter.
- Riskhanteringsprocesser, inbegripet IKT-riskhanteringsstrategier, IKT-kontinuitetspolicy och åtgärds- och återställningsplaner avseende IKT.
- Styrformer, inbegripet en organisationsstruktur med tydliga, transparenta och konsekventa regler för ansvar och ansvarsskyldighet som möjliggör en effektiv IKT-riskhantering.
- Identifiering, övervakning och snabb rapportering av väsentliga IKT-relaterade incidenter till finansiella entiteter, hantering och avhjälpande av dessa incidenter, särskilt cyberangrepp.
- Mekanismer för dataportabilitet, tillämpningsportabilitet och interoperabilitet, som säkerställer att finansiella entiteter effektivt kan utöva sin uppsägningsrätt.
- Testning av IKT-system, IKT-infrastruktur och IKT-kontroller.
- IKT-revisioner.
- Användning av relevanta nationella och internationella standarder som är tillämpliga på tillhandahållandet av leverantörens IKT-tjänster till finansiella entiteter.
-
Baserat på den bedömning som avses i punkt 2, och i samordning med det gemensamma tillsynsnätverk som avses i artikel 34.1, ska den ledande tillsynsmyndigheten anta en tydlig, detaljerad och motiverad individuell tillsynsplan med en beskrivning av de årliga tillsynsmålen och de huvudsakliga tillsynsinsatser som planeras för varje kritisk tredjepartsleverantör av IKT-tjänster. Planen ska varje år meddelas den kritiska tredjepartsleverantören av IKT-tjänster.
Innan tillsynsplanen antas ska den ledande tillsynsmyndigheten överlämna utkastet till tillsynsplan till den kritiska tredjepartsleverantören av IKT-tjänster.
Vid mottagandet av utkastet till tillsynsplan får den kritiska tredjepartsleverantören av IKT-tjänster lämna in ett motiverat uttalande inom 15 kalenderdagar som dels styrker den förväntade inverkan på de kunder som är entiteter som faller utanför denna förordnings tillämpningsområde och dels, i förekommande fall, formulerar lösningar för att minska riskerna.
-
När de årliga tillsynsplaner som avses i punkt 4 har antagits och anmälts till de kritiska tredjepartsleverantörerna av IKT-tjänster får de behöriga myndigheterna vidta åtgärder avseende sådana kritiska tredjepartsleverantörer av IKT-tjänster endast i samförstånd med den ledande tillsynsmyndigheten.