Articulo 32 Resiliencia operativa digital del sector financiero

1. El Comité Mixto, de conformidad con el artículo 57, apartado 1, del Reglamento (UE) n.º 1093/2010, el artículo 57, apartado 1, del Reglamento (UE) n.º 1094/2010 y el artículo 57, apartado 1, del Reglamento (UE) n.º 1095/2010, establecerá el Foro de Supervisión como subcomité encargado de apoyar el trabajo del Comité Mixto y del supervisor principal a que se refiere el artículo 31, apartado 1, letra b), en materia de riesgo relacionado con las TIC derivado de terceros en los distintos sectores financieros. El Foro de Supervisión elaborará los proyectos de posiciones conjuntas y de actos comunes del Comité Mixto en este ámbito.

El Foro de Supervisión debatirá periódicamente las novedades pertinentes en materia de riesgos y vulnerabilidades en materia de TIC y promoverá un enfoque coherente de seguimiento de los riesgos relacionados con las TIC derivados de terceros a escala de la Unión.

2. El Foro de Supervisión llevará a cabo anualmente una evaluación colectiva de los resultados y las conclusiones de las actividades de supervisión realizadas para todos los proveedores terceros esenciales de servicios de TIC y promoverá medidas de coordinación para incrementar la resiliencia operativa digital de las entidades financieras, fomentar buenas prácticas para hacer frente al riesgo de concentración de TIC y estudiar medidas de mitigación de la transferencia de riesgos entre sectores.

3. El Foro de Supervisión presentará índices de referencia exhaustivos para los proveedores terceros esenciales de servicios de TIC, que el Comité Mixto adoptará como posiciones conjuntas de las Autoridades Europeas de Supervisión de conformidad con el artículo 56, apartado 1, del Reglamento (UE) n.º 1093/2010, el artículo 56, apartado 1, del Reglamento (UE) n.º 1094/2010 y el artículo 56, apartado 1, del Reglamento (UE) n.º 1095/2010.

4. El Foro de Supervisión estará integrado por:

a) los presidentes de las Autoridades Europeas de Supervisión;

b) un representante de alto nivel del personal en plantilla de la autoridad competente pertinente a que se refiere el artículo 46 de cada Estado miembro;

c) los respectivos directores ejecutivos de cada Autoridad Europea de Supervisión y un representante de la Comisión, de la JERS, del BCE y de la ENISA en calidad de observadores;

d) en su caso, un representante adicional de una autoridad competente a que se refiere el artículo 46 de cada Estado miembro, en calidad de observador;

e) cuando proceda, un representante de las autoridades competentes designadas o establecidas de conformidad con la Directiva (UE) 2022/2555 responsable, en calidad de observador, de la supervisión de una entidad esencial o importante sujeta a dicha Directiva, que haya sido designada proveedor tercero esencial de servicios de TIC.

Cuando proceda, el Foro de Supervisión podrá solicitar el asesoramiento de expertos independientes nombrados de conformidad con el apartado 6.

5. Cada Estado miembro designará a la autoridad competente pertinente a cuyo personal pertenecerá el representante de alto nivel a que se refiere el apartado 4, párrafo primero, letra b), e informará de ello al supervisor principal.

Las Autoridades Europeas de Supervisión publicarán en su sitio web la lista de representantes de alto nivel del personal en plantilla de la autoridad competente pertinente, designados por los Estados miembros.

6. Los expertos independientes a que se refiere el apartado 4, párrafo segundo, serán nombrados por el Foro de Supervisión, que los elegirá de entre un grupo de expertos seleccionados tras un proceso de presentación de candidaturas público y transparente.

Los expertos independientes serán nombrados en atención a sus conocimientos especializados en materia de estabilidad financiera, resiliencia operativa digital y seguridad de las TIC. Actuarán con independencia y objetividad en interés exclusivo del conjunto de la Unión y no pedirán ni aceptarán instrucción alguna de las instituciones u órganos de la Unión, de ningún Gobierno de un Estado miembro ni de ninguna otra entidad pública o privada.

7. De conformidad con el artículo 16 del Reglamento (UE) n.º 1093/2010, el artículo 16 del Reglamento (UE) n.º 1094/2010 y el artículo 16 del Reglamento (UE) n.º 1095/2010, las Autoridades Europeas de Supervisión emitirán, a más tardar el 17 de julio de 2024, a efectos de lo dispuesto en la presente sección, directrices sobre la cooperación entre ellas y las autoridades competentes que incluyan procedimientos y condiciones detallados de distribución y ejecución de tareas entre las autoridades competentes y las Autoridades Europeas de Supervisión, así como los pormenores sobre los intercambios de información necesarios para que las autoridades competentes garanticen el seguimiento de las recomendaciones formuladas en virtud del artículo 35, apartado 1, letra d), dirigidas a los proveedores terceros esenciales de servicios de TIC.

8. Los requisitos establecidos en la presente sección se entenderán sin perjuicio de la aplicación de la Directiva (UE) 2022/2555 y de otras normas de la Unión sobre supervisión aplicables a los proveedores de servicios de computación en nube.

9. Las Autoridades Europeas de Supervisión, a través del Comité Mixto y basándose en los trabajos preparatorios realizados por el Foro de Supervisión, presentarán anualmente al Parlamento Europeo, al Consejo y a la Comisión un informe sobre la aplicación de la presente sección.