Artikel 42 - Behöriga myndigheters uppföljning
-
Inom 60 kalenderdagar från mottagandet av de rekommendationer som har utfärdats av den ledande tillsynsmyndigheten enligt artikel 35.1 d ska kritiska tredjepartsleverantörer av IKT-tjänster antingen underrätta den ledande tillsynsmyndigheten om sin avsikt att följa rekommendationerna eller lämna en motiverad förklaring till varför de inte följer sådana rekommendationer. Den ledande tillsynsmyndigheten ska omedelbart vidarebefordra denna information till de berörda finansiella entiteternas behöriga myndigheter.
-
Den ledande tillsynsmyndigheten ska offentliggöra fall där en kritisk tredjepartsleverantör av IKT-tjänster underlåter att underrätta den ledande tillsynsmyndigheten i enlighet med punkt 1 eller där den förklaring som lämnats av den kritiska tredjepartsleverantören av IKT-tjänster inte bedöms vara tillräcklig. Den offentliggjorda informationen ska avslöja identiteten på den kritiska tredjepartsleverantören av IKT-tjänster samt information om typen och arten av den bristande efterlevnaden. Sådan information ska begränsas till vad som är relevant och proportionellt för att säkerställa allmänhetens medvetenhet, såvida inte ett sådant offentliggörande skulle kunna orsaka de berörda parterna oproportionellt stor skada eller allvarligt skulle kunna äventyra finansmarknadernas korrekta funktion och integritet eller stabiliteten i hela eller delar av unionens finansiella system.
Den ledande tillsynsmyndigheten ska underrätta tredjepartsleverantören av IKT-tjänster om detta offentliggörande.
-
De behöriga myndigheterna ska informera de berörda finansiella entiteterna om de risker som har identifierats i rekommendationerna till kritiska tredjepartsleverantörer av IKT-tjänster i enlighet med artikel 35.1 d.
Finansiella entiteter ska när de hanterar IKT-tredjepartsrisker ta hänsyn till de risker som avses i första stycket.
-
Om en behörig myndighet bedömer att en finansiell entitet i sin hantering av IKT-tredjepartsrisker inte tar hänsyn till eller i tillräcklig utsträckning hanterar de specifika risker som identifierats i rekommendationerna, ska den underrätta den finansiella entiteten om att det inom 60 kalenderdagar efter mottagandet av en sådan underrättelse kan fattas ett beslut enligt punkt 6 i avsaknad av lämpliga kontraktsmässiga arrangemang för hantering av sådana risker.
-
De behöriga myndigheterna får efter att ha mottagit de rapporter som avses i artikel 35.1 c, och innan de fattar ett beslut som avses i punkt 6 i den här artikeln, på frivillig basis samråda med de behöriga myndigheter som i enlighet med direktiv (EU) 2022/2555 har utsetts eller inrättats till ansvariga för tillsynen av en väsentlig eller viktig entitet om inte annat följer av det direktivet, som har klassificerats som kritisk tredjepartsleverantör av IKT-tjänster.
-
De behöriga myndigheterna får, som en sista utväg efter underrättelsen och i förekommande fall samrådet enligt punkterna 4 och 5 i denna artikel, i enlighet med artikel 50 fatta ett beslut om att finansiella entiteter tillfälligt, helt eller delvis, ska avbryta användningen eller införandet av en tjänst som tillhandahålls av den kritiska tredjepartsleverantörer av IKT-tjänster till dess att de risker som identifieras i rekommendationerna till kritiska tredjepartsleverantörer av IKT-tjänster har åtgärdats. Vid behov får de kräva att finansiella entiteter helt eller delvis ska avsluta de relevanta kontraktsmässiga arrangemang som har ingåtts med de kritiska tredjepartsleverantörerna av IKT-tjänster.
-
Om en kritisk tredjepartsleverantör av IKT-tjänster vägrar att godta rekommendationer baserat på en annan strategi än den som den ledande tillsynsmyndigheten rekommenderar och en sådan annan strategi kan inverka negativt på ett stort antal finansiella entiteter eller en betydande del av den finansiella sektorn, och enskilda varningar från de behöriga myndigheterna inte har lett till konsekventa strategier som minskar den potentiella risken för den finansiella stabiliteten, får den ledande tillsynsmyndigheten efter samråd med tillsynsforumet när så är lämpligt utfärda icke-bindande och icke-offentliga yttranden till behöriga myndigheter för att främja konsekventa och samstämmiga uppföljningsåtgärder avseende tillsyn.
-
Efter att ha mottagit de rapporter som avses i artikel 35.1 c ska de behöriga myndigheterna när de fattar ett beslut som avses i punkt 6 i den här artikeln ta hänsyn till typen och omfattningen av den risk som inte hanteras av den kritiska tredjepartsleverantören av IKT-tjänster, samt hur allvarlig den bristande efterlevnaden är, med beaktande av följande kriterier:
- Den bristande efterlevnadens allvarlighetsgrad och varaktighet.
- Huruvida den bristande efterlevnaden har påvisat allvarliga brister i den kritiska tredjepartsleverantörens förfaranden, ledningssystem, riskhantering eller interna kontroller.
- Huruvida ekonomisk brottslighet har underlättats eller orsakats av eller på annat sätt tillskrivs den bristande efterlevnaden.
- Huruvida den bristande efterlevnaden är uppsåtlig eller beror på oaktsamhet.
- Huruvida det tillfälliga upphävandet eller uppsägningen av de kontraktsmässiga arrangemangen hotar kontinuiteten i den finansiella entitetens affärsverksamhet trots den finansiella entitetens ansträngningar att undvika avbrott i tillhandahållandet av tjänster.
- I tillämpliga fall, det yttrande som på frivillig basis har inhämtats i enlighet med punkt 5 i denna artikel från de behöriga myndigheter som i enlighet med direktiv (EU) 2022/2555 har utsetts eller inrättats till ansvariga för tillsynen av en väsentlig eller viktig entitet om inte annat följer av det direktivet, som har klassificerats som kritisk tredjepartsleverantör av IKT-tjänster.
De behöriga myndigheterna ska ge finansiella entiteter den tid som krävs för att de ska kunna anpassa sina kontraktsmässiga arrangemang med kritiska tredjepartsleverantörer av IKT-tjänster i syfte att undvika negativa effekter på den digitala operativa motståndskraften och för att de ska kunna införa sådana exitstrategier och övergångsplaner som avses i artikel 28.
-
Det beslut som avses i punkt 6 i denna artikel ska meddelas medlemmarna i det tillsynsforum som avses i artikel 32.4 a, b och c och det gemensamma tillsynsnätverket.
De kritiska tredjepartsleverantörer av IKT-tjänster som påverkas av de beslut som avses i punkt 6 ska samarbeta fullt ut med de berörda finansiella entiteterna, särskilt i samband med tillfälligt upphävande eller uppsägning av deras kontraktsmässiga arrangemang.
-
De behöriga myndigheterna ska regelbundet informera den ledande tillsynsmyndigheten om de metoder och åtgärder som de har vidtagit i sina tillsynsuppgifter när det gäller finansiella entiteter samt om de kontraktsmässiga arrangemang som finansiella entiteter har ingått om kritiska tredjepartsleverantörer av IKT-tjänster helt eller delvis inte har godtagit rekommendationerna till dem från den ledande tillsynsmyndigheten.
-
Den ledande tillsynsmyndigheten får på begäran lämna ytterligare klargöranden om de utfärdade rekommendationerna för att ge de behöriga myndigheterna vägledning i uppföljningsåtgärderna.