Articulo 36 Resiliencia operativa digital del sector financiero

1. Cuando los objetivos de supervisión no puedan alcanzarse mediante una interacción con la filial establecida a efectos del artículo 31, apartado 12, o mediante el ejercicio de actividades de supervisión en locales situados en la Unión, el supervisor principal podrá ejercer las facultades a que se refieren las disposiciones siguientes en cualquier local situado en un tercer país que sea propiedad de un proveedor tercero esencial de servicios de TIC o este utilice de cualquier modo para prestar servicios a entidades financieras de la Unión, en relación con sus operaciones, funciones o servicios comerciales, incluidos cualquier oficina, local, terreno, edificio u otra propiedad, de naturaleza administrativa comercial u operativa:

a) el artículo 35, apartado 1, letra a), y

b) el artículo 35, apartado 1, letra b), de conformidad con el artículo 38, apartado 2, letras a), b) y d), y el artículo 39, apartado 1 y apartado 2, letra a).

Las facultades a que se refiere el párrafo primero podrán ejercerse siempre que se cumplan todas las condiciones siguientes:

i) el supervisor principal considera necesaria la realización de una inspección en un tercer país para poder desempeñar plena y eficazmente sus funciones con arreglo al presente Reglamento,

ii) la inspección en un tercer país está directamente relacionada con la prestación de servicios de TIC a entidades financieras de la Unión,

iii) el proveedor tercero esencial de servicios de TIC afectado consiente en que se lleve a cabo una inspección en un tercer país, y

iv) la autoridad pertinente del tercer país de que se trate ha sido oficialmente informada por el supervisor principal y no ha formulado objeciones al respecto.

2. Sin perjuicio de las competencias respectivas de las instituciones de la Unión y de los Estados miembros, a efectos del apartado 1, la ABE, la AEVM o la AESPJ, celebrarán acuerdos de cooperación administrativa con la autoridad pertinente del tercer país a fin de que las inspecciones en el tercer país de que se trate por parte del supervisor principal y su equipo designado para su misión en ese tercer país se puedan realizar de manera fluida. Dichos acuerdos de cooperación no crearán obligaciones jurídicas para la Unión y sus Estados miembros ni impedirán a los Estados miembros y a sus autoridades competentes celebrar acuerdos bilaterales o multilaterales con dichos terceros países y sus autoridades pertinentes.

En dichos acuerdos de cooperación se especificarán, como mínimo, los siguientes elementos:

a) los procedimientos para la coordinación de las actividades de supervisión llevadas a cabo con arreglo al presente Reglamento y de cualquier seguimiento análogo del riesgo de terceros relacionado con las TIC en el sector financiero efectuado por la autoridad pertinente del tercer país de que se trate, incluidos los detalles para transmitir el acuerdo de esta última que permita la realización, por parte del supervisor principal y su equipo designado, de las investigaciones generales y las inspecciones in situ a que se refiere el apartado 1, párrafo primero, en el territorio bajo su jurisdicción;

b) el mecanismo para la transmisión de cualquier información pertinente entre la ABE, la AEVM o la AESPJ y la autoridad pertinente del tercer país de que se trate, en particular en relación con la información que el supervisor principal puede solicitar en virtud del artículo 37;

c) los mecanismos para la rápida notificación, por parte de la autoridad pertinente del tercer país de que se trate, a la ABE, la AEVM o la AESPJ, de los casos en que se considere que un proveedor tercero de servicios de TIC establecido en un tercer país y designado como esencial de conformidad con el artículo 31, apartado 1, letra a), ha incumplido los requisitos que está obligado a cumplir en virtud del Derecho aplicable del tercer país de que se trate a la hora de prestar servicios a entidades financieras de dicho tercer país, así como de las medidas correctoras y las sanciones aplicadas;

d) la transmisión periódica de información actualizada sobre la evolución en materia de regulación o supervisión en relación con el seguimiento del riesgo de terceros relacionado con las TIC de las entidades financieras del tercer país de que se trate;

e) los detalles para permitir, en caso necesario, la participación de un representante de la autoridad pertinente del tercer país en las inspecciones realizadas por el supervisor principal y el equipo designado.

3. Cuando no pueda llevar a cabo fuera de la Unión las actividades de supervisión a que se refieren los apartados 1 y 2, el supervisor principal deberá:

a) ejercer sus facultades con arreglo al artículo 35 basándose en todos los datos y documentos de que disponga;

b) documentar y explicar cualquier consecuencia de su incapacidad para llevar a cabo las actividades de supervisión previstas a que se refiere el presente artículo.

En las recomendaciones del supervisor principal formuladas en virtud del artículo 35, apartado 1, letra d), se tendrán en cuenta las posibles consecuencias a que se refiere la letra b) del presente apartado.