Articulo 31 Resiliencia operativa digital del sector financiero

1. Las Autoridades Europeas de Supervisión, a través del Comité Mixto y por recomendación del Foro de Supervisión establecido en virtud del artículo 32, apartado 1, deberán:

a) designar a los proveedores terceros de servicios de TIC que sean esenciales para las entidades financieras, tras una evaluación que tenga en cuenta los criterios especificados en el apartado 2;

b) nombrar como supervisor principal para cada proveedor tercero esencial de servicios de TIC a la Autoridad Europea de Supervisión que sea responsable, de conformidad con los Reglamentos (UE) n.º 1093/2010, (UE) n.º 1094/2010 o (UE) n.º 1095/2010, para las entidades financieras que tengan conjuntamente la parte más grande de activos totales del valor de activos totales de todas las entidades financieras que utilizan los servicios del proveedor tercero esencial de servicios de TIC pertinente, según conste en la suma de los balances particulares de dichas entidades financieras.

2. La designación a que se refiere el apartado 1, letra a), se basará en todos los criterios siguientes en relación con los servicios de TIC prestados por el proveedor tercero de servicios de TIC:

a) el impacto sistémico en la estabilidad, la continuidad o la calidad de la prestación de servicios financieros en caso de un posible fallo operativo a gran escala del proveedor tercero de servicios de TIC de que se trate que afecte a la prestación de sus servicios, teniendo en cuenta el número de entidades financieras y el valor total de los activos de las entidades financieras a las que presta servicios el proveedor tercero de servicios de TIC de que se trate;

b) el carácter o la importancia sistémicos de las entidades financieras que dependen del proveedor tercero de servicios de TIC de que se trate, evaluados con arreglo a los parámetros siguientes:

i) el número de entidades de importancia sistémica mundial (EISM) u otras entidades de importancia sistémica (OEIS) que dependen del proveedor tercero de servicios de TIC correspondiente,

ii) la interdependencia entre las EISM u OEIS a que se refiere el inciso i) y otras entidades financieras, incluidas las situaciones en las que las EISM u OEIS prestan servicios de infraestructura financiera a otras entidades financieras;

c) la dependencia de las entidades financieras respecto de los servicios prestados por el proveedor tercero de servicios de TIC pertinente en relación con funciones esenciales o importantes de entidades financieras que, en última instancia, impliquen al mismo proveedor tercero de servicios de TIC, con independencia de que las entidades financieras recurran a dichos servicios directa o indirectamente, a través de acuerdos de subcontratación;

d) el grado de sustituibilidad del proveedor tercero de servicios de TIC, teniendo en cuenta los parámetros siguientes:

i) la falta de alternativas reales, siquiera parciales, debido al número limitado de proveedores terceros de servicios de TIC activos en un mercado específico, o a la cuota de mercado del proveedor tercero de servicios de TIC de que se trate, o a la complejidad o dificultad técnica existente, entre otras cosas en relación con tecnologías protegidas por derechos, o a las características específicas de la organización o la actividad del proveedor tercero de servicios de TIC,

ii) las dificultades relacionadas con la migración parcial o total de los datos y cargas de trabajo pertinentes del proveedor tercero de servicios de TIC en cuestión a otro, al ser considerables los costes financieros, el tiempo u otros recursos que el proceso de migración podría implicar, o debido al aumento del riesgo de TIC o de otros riesgos operativos a los que podría verse expuesta la entidad financiera a través de dicha migración.

3. Cuando el proveedor tercero de servicios de TIC pertenezca a un grupo, los criterios a que se refiere el apartado 2 se tendrán en cuenta en relación con los servicios de TIC prestados por el grupo en su conjunto.

4. Los proveedores terceros esenciales de servicios de TIC que formen parte de un grupo designarán a una persona jurídica como punto de coordinación para garantizar una representación y una comunicación adecuadas con el supervisor principal.

5. El supervisor principal notificará al proveedor tercero de servicios de TIC el resultado de la evaluación previa a la designación a que se refiere el apartado 1, letra a). En el plazo de seis semanas a partir de la fecha de la notificación, el proveedor tercero de servicios de TIC podrá presentar al supervisor principal una declaración motivada con cualquier información pertinente a efectos de la evaluación. El supervisor principal considerará la declaración motivada y podrá solicitar que se presente información adicional en un plazo de treinta días naturales a partir de la recepción de dicha declaración.

Tras designar a un proveedor tercero de servicios de TIC como esencial, las Autoridades Europeas de Supervisión, a través del Comité Mixto, notificarán al proveedor tercero de servicios de TIC dicha designación y la fecha de inicio a partir de la cual será efectivamente objeto de actividades de supervisión. Dicha fecha de inicio no será posterior en más de un mes a la notificación. El proveedor tercero de servicios de TIC notificará a las entidades financieras a las que presta servicios su designación como esencial.

6. Se otorgan a la Comisión los poderes para adoptar un acto delegado, de conformidad con el artículo 57, para completar el presente Reglamento especificando con más detalle los criterios mencionados en el apartado 2 del presente artículo, a más tardar el 17 de julio de 2024.

7. La designación a que se refiere el apartado 1, letra a), no se utilizará hasta que la Comisión haya adoptado un acto delegado de conformidad con el apartado 6.

8. La designación a que se refiere el apartado 1, letra a), no se aplicará a:

i) las entidades financieras que presten servicios de TIC a otras entidades financieras,

ii) los proveedores terceros de servicios de TIC que estén sujetos a marcos de supervisión establecidos en apoyo de las tareas a que se refiere el artículo 127, apartado 2, del TFUE,

iii) los proveedores intragrupo de servicios de TIC,

iv) los proveedores terceros de servicios de TIC que presten servicios de TIC únicamente en un Estado miembro a entidades financieras que operan exclusivamente en ese Estado miembro.

9. Las Autoridades Europeas de Supervisión, a través del Comité Mixto, establecerán, publicarán y actualizarán anualmente la lista de proveedores terceros esenciales de servicios de TIC a escala de la Unión.

10. A efectos de lo dispuesto en el apartado 1, letra a), las autoridades competentes transmitirán anualmente y de forma agregada los informes a que se refiere el artículo 28, apartado 3, párrafo tercero, al Foro de Supervisión establecido en virtud del artículo 32. El Foro de Supervisión evaluará las dependencias de terceros en el ámbito de las TIC de las entidades financieras basándose en la información recibida de las autoridades competentes.

11. Los proveedores terceros de servicios de TIC que no estén incluidos en la lista a que se refiere el apartado 9 podrán solicitar ser designados como esenciales de conformidad con el apartado 1, letra a).

A efectos de lo dispuesto en el párrafo primero, el proveedor tercero de servicios de TIC presentará una solicitud motivada a la ABE, la AEVM o la AESPJ que, a través del Comité Mixto, decidirán si lo designan o no como esencial de conformidad con el apartado 1, letra a).

La decisión a que se refiere el párrafo segundo se adoptará y notificará al proveedor tercero de servicios de TIC en un plazo de seis meses a partir de la recepción de la solicitud.

12. Las entidades financieras solo recurrirán a los servicios de un proveedor tercero de servicios de TIC establecido en un tercer país y que haya sido designado como esencial de conformidad con el apartado 1, letra a), si este último ha establecido una filial en la Unión en los 12 meses siguientes a la designación.

13. El proveedor tercero esencial de servicios de TIC a que se refiere el apartado 12 notificará al supervisor principal cualquier cambio en la estructura de la dirección de la filial establecida en la Unión.