Articulo 37 Resiliencia operativa digital del sector financiero

1. El supervisor principal, mediante simple solicitud o mediante decisión, podrá exigir a los proveedores terceros esenciales de servicios de TIC que faciliten cuanta información le sea necesaria para desempeñar sus funciones con arreglo al presente Reglamento, incluidos todos los documentos comerciales u operativos, contratos, pólizas, documentación, informes de auditorías de seguridad de las TIC e informes sobre incidentes relacionados con las TIC pertinentes, así como cualquier información relativa a las partes a las que el proveedor tercero esencial de servicios de TIC haya externalizado funciones o actividades operativas.

2. Cuando envíe una simple solicitud de información con arreglo al apartado 1, el supervisor principal:

a) hará referencia al presente artículo como base jurídica de la solicitud;

b) indicará el propósito de la solicitud;

c) especificará la información requerida;

d) fijará el plazo en el que habrá de serle facilitada la información;

e) informará al representante del proveedor tercero esencial de servicios de TIC a quien se solicite la información de que, si bien no está obligado a facilitar esa información, en caso de que responda voluntariamente a la solicitud, la información que facilite no deberá ser incorrecta ni engañosa.

3. Cuando exija mediante decisión que se facilite información con arreglo al apartado 1, el supervisor principal:

a) hará referencia al presente artículo como base jurídica de la solicitud;

b) indicará el propósito de la solicitud;

c) especificará la información requerida;

d) fijará el plazo en el que habrá de serle facilitada la información;

e) indicará las multas coercitivas previstas en el artículo 35, apartado 6, en caso de que no se facilite toda la información exigida o de que tal información no se facilite en el plazo a que se refiere la letra d) del presente apartado;

f) hará constar el derecho de recurrir la decisión ante la Sala de Recurso de la Autoridad Europea de Supervisión y ante el Tribunal de Justicia de la Unión Europea (en lo sucesivo, «Tribunal de Justicia»), de conformidad con los artículos 60 y 61 del Reglamento (UE) n.º 1093/2010, los artículos 60 y 61 del Reglamento (UE) n.º 1094/2010 y los artículos 60 y 61 del Reglamento (UE) n.º 1095/2010.

4. Los representantes de los proveedores terceros esenciales de servicios de TIC facilitarán la información solicitada. Los abogados debidamente habilitados podrán facilitar la información en nombre de sus representados. El proveedor tercero esencial de servicios de TIC seguirá siendo plenamente responsable si la información suministrada es incompleta, incorrecta o engañosa.

5. El supervisor principal remitirá sin demora una copia de la decisión de facilitar información a las autoridades competentes de las entidades financieras que utilicen los servicios de los proveedores terceros esenciales de servicios de TIC pertinentes y a la Red de Supervisión Conjunta.