Articulo 35 Resiliencia operativa digital del sector financiero

1. A efectos del desempeño de las funciones establecidas en la presente sección, el supervisor principal dispondrá de las siguientes facultades por lo que respecta a los proveedores terceros esenciales de servicios de TIC:

a) solicitar toda la información y la documentación pertinentes de conformidad con el artículo 37;

b) llevar a cabo investigaciones generales e inspecciones de conformidad con los artículos 38 y 39, respectivamente;

c) una vez finalizadas las actividades de supervisión, solicitar informes en los que se especifiquen las medidas adoptadas o las medidas correctoras aplicadas por los proveedores terceros esenciales de servicios de TIC en relación con las recomendaciones a que se refiere la letra d) del presente apartado;

d) formular recomendaciones sobre los ámbitos a los que se refiere el artículo 33, apartado 3, en particular en relación con lo siguiente:

i) la aplicación de requisitos o procesos específicos de seguridad y calidad de las TIC, en particular en relación con la instalación de parches, actualizaciones, cifrado y otras medidas de seguridad que el supervisor principal considere pertinentes para garantizar la seguridad, desde el punto de vista de las TIC, de los servicios prestados a las entidades financieras,

ii) la aplicación de condiciones, incluida su ejecución técnica, a las que deba ajustarse la prestación de servicios de TIC a las entidades financieras por los proveedores terceros esenciales de servicios de TIC, y que el supervisor principal considere pertinentes para impedir que se generen o se amplíen puntos únicos de fallo, o para minimizar el posible impacto sistémico en el sector financiero de la Unión en caso de riesgo de concentración de TIC,

iii) cualquier subcontratación prevista, en caso de que el supervisor principal considere que toda ulterior subcontratación, incluidos los acuerdos de subcontratación que los proveedores terceros esenciales de servicios de TIC prevean celebrar con proveedores terceros de servicios de TIC o con subcontratistas de TIC establecidos en un tercer país, puede ocasionar riesgos para la prestación de servicios por la entidad financiera, o riesgos para la estabilidad financiera, basándose en el examen de la información recabada de conformidad con los artículos 37 y 38,

iv) abstenerse de celebrar un acuerdo adicional de subcontratación, cuando se cumplan todas las condiciones siguientes:

- que el subcontratista previsto sea un proveedor tercero de servicios de TIC o un subcontratista de TIC establecido en un tercer país,

- que la subcontratación se refiera a las funciones esenciales o importantes de la entidad financiera, y

- que el supervisor principal considere que el recurso a tal subcontratación plantea un riesgo claro y grave para la estabilidad financiera de la Unión o para las entidades financieras, también para la capacidad de estas últimas de cumplir los requisitos de supervisión.

A efectos del inciso iv) de la presente letra, los proveedores terceros de servicios de TIC, utilizando la plantilla a que se refiere el artículo 41, apartado 1, letra b), transmitirán la información relativa a la subcontratación al supervisor principal.

2. En el ejercicio de las facultades a que se refiere el presente artículo, el supervisor principal:

a) garantizará una coordinación periódica en el seno de la Red de Supervisión Conjunta y, en particular, perseguirá enfoques coherentes, según proceda, por lo que respecta a la supervisión de los proveedores terceros esenciales de servicios de TIC;

b) tendrá debidamente en cuenta el marco establecido por la Directiva (UE) 2022/2555 y, cuando sea necesario, consultará a las autoridades competentes pertinentes designadas o establecidas de conformidad con dicha Directiva, con el fin de evitar la duplicación de medidas técnicas y organizativas que podrían aplicarse a los proveedores terceros esenciales de servicios de TIC en virtud de dicha Directiva;

c) tratará de minimizar, en la medida de lo posible, el riesgo de perturbación de los servicios prestados por proveedores terceros esenciales de servicios de TIC a clientes que sean entidades excluidas del ámbito de aplicación del presente Reglamento.

3. El supervisor principal consultará al Foro de Supervisión antes de ejercer las facultades a que se refiere el apartado 1.

Antes de formular recomendaciones de conformidad con el apartado 1, letra d), el supervisor principal brindará al proveedor tercero de servicios de TIC la oportunidad de facilitar, en un plazo de treinta días naturales, información pertinente que exponga el efecto previsto en los clientes que sean entidades excluidas del ámbito de aplicación del presente Reglamento y, cuando proceda, que plantee soluciones para mitigar los riesgos.

4. El supervisor principal informará a la Red de Supervisión Conjunta del resultado del ejercicio de las facultades a que se refiere el apartado 1, letras a) y b). El supervisor principal transmitirá, sin demora indebida, los informes a que se refiere el apartado 1, letra c), a la Red de Supervisión Conjunta y a las autoridades competentes de las entidades financieras que utilicen los servicios de TIC de dicho proveedor tercero esencial de servicios de TIC.

5. Los proveedores terceros esenciales de servicios de TIC cooperarán de buena fe con el supervisor principal y lo asistirán en el desempeño de sus tareas.

6. En caso de incumplimiento total o parcial de las medidas cuya adopción se exigió en virtud del ejercicio de las facultades con arreglo al apartado 1, letras a), b) y c), y tras la expiración de un plazo de al menos treinta días naturales a partir de la fecha en que el proveedor tercero esencial de servicios de TIC haya recibido la notificación de las medidas de que se trate, el supervisor principal adoptará una decisión por la que se imponga una multa coercitiva para empujar al proveedor tercero esencial de servicios de TIC a cumplir dichas medidas.

7. La multa coercitiva a que se refiere el apartado 6 se impondrá diariamente hasta que se logre el cumplimiento y por un período máximo de seis meses a partir de la notificación de la decisión de imponer una multa coercitiva al proveedor tercero esencial de servicios de TIC.

8. El importe de la multa coercitiva, calculado a partir de la fecha establecida en la decisión por la que se imponga dicha multa, será de hasta un 1 % del volumen de negocios diario medio a escala mundial del proveedor tercero esencial de servicios de TIC en el ejercicio precedente. Al determinar el importe de la multa coercitiva, el supervisor principal tendrá en cuenta los siguientes criterios en relación con el incumplimiento de las medidas a que se refiere el apartado 6:

a) la gravedad y la duración del incumplimiento;

b) si el incumplimiento ha sido cometido intencionadamente o por negligencia;

c) el nivel de cooperación del proveedor tercero de servicios de TIC con el supervisor principal.

A efectos del párrafo primero el supervisor principal entablará consultas en el seno de la Red de Supervisión Conjunta a fin de garantizar un enfoque coherente.

9. Las multas coercitivas serán de carácter administrativo y tendrán fuerza ejecutiva. La ejecución forzosa se regirá por las normas de procedimiento civil vigentes en el Estado miembro en cuyo territorio se lleven a cabo las inspecciones y el acceso. Los órganos jurisdiccionales del Estado miembro de que se trate serán competentes para conocer de las denuncias relacionadas con irregularidades en la ejecución. Los importes de las multas coercitivas se asignarán al presupuesto general de la Unión Europea.

10. El supervisor principal hará públicas todas las multas coercitivas que se impongan, a menos que dicha divulgación ponga en grave riesgo los mercados financieros o cause un perjuicio desproporcionado a las partes implicadas.

11. Antes de imponer una multa coercitiva de conformidad con el apartado 6, el supervisor principal ofrecerá a los representantes del proveedor tercero esencial de servicios de TIC objeto del procedimiento la oportunidad de ser oídos en relación con las conclusiones y basará sus decisiones únicamente en las conclusiones acerca de las cuales el proveedor tercero esencial de servicios de TIC objeto del procedimiento haya tenido la oportunidad de formular observaciones.

Los derechos de defensa de las personas objeto del procedimiento estarán garantizados plenamente en el curso del procedimiento. El proveedor tercero esencial de servicios de TIC objeto del procedimiento tendrá derecho a acceder al expediente, a reserva del interés legítimo de otras personas por lo que respecta a la protección de sus secretos comerciales. El derecho de acceso al expediente no se extenderá a la información confidencial ni a los documentos preparatorios internos del supervisor principal.