Articulo 42 Resiliencia operativa digital del sector financiero

1. En el plazo de sesenta días naturales a partir de la recepción de las recomendaciones emitidas por el supervisor principal en virtud del artículo 35, apartado 1, letra d), los proveedores terceros esenciales de servicios de TIC notificarán al supervisor principal si tienen intención de seguir dichas recomendaciones o facilitarán una explicación razonada de los motivos por los que no lo van a hacer. El supervisor principal transmitirá inmediatamente esta información a las autoridades competentes de las entidades financieras de que se trate.

2. Cuando un proveedor tercero esencial de servicios de TIC no presente su notificación al supervisor principal de conformidad con el apartado 1 o cuando la explicación facilitada por el proveedor tercero esencial de servicios de TIC no se considere suficiente, el supervisor principal lo divulgará públicamente. La información publicada revelará la identidad del proveedor tercero esencial de servicios de TIC, así como información sobre el tipo y la naturaleza del incumplimiento. Dicha información se limitará a lo que sea pertinente y proporcionado para garantizar la concienciación del público, a menos que dicha divulgación causare un perjuicio desproporcionado a las partes implicadas o pueda comprometer gravemente el correcto funcionamiento y la integridad de los mercados financieros o la estabilidad del conjunto o de una parte del sistema financiero de la Unión.

El supervisor principal notificará dicha divulgación pública al proveedor tercero de servicios de TIC.

3. Las autoridades competentes informarán a las entidades financieras pertinentes acerca de los riesgos señalados en las recomendaciones a los proveedores terceros esenciales de servicios de TIC de conformidad con el artículo 35, apartado 1, letra d).

Al gestionar el riesgo de terceros relacionado con las TIC, las entidades financieras tendrán en cuenta los riesgos a que se refiere el párrafo primero.

4. Cuando una autoridad competente considere que una entidad financiera no tiene en cuenta o no aborda suficientemente en su gestión del riesgo de terceros relacionado con las TIC los riesgos específicos señalados en las recomendaciones, notificará a la entidad financiera la posibilidad de adoptar una decisión, en el plazo de sesenta días naturales a partir de la recepción de dicha notificación, en virtud del apartado 6, en ausencia de disposiciones contractuales adecuadas destinadas a hacer frente a dichos riesgos.

5. Cuando se reciban los informes a que se refiere el artículo 35, apartado 1, letra c), y antes de tomar la decisión a que se refiere el apartado 6 del presente artículo, las autoridades competentes podrán, de forma voluntaria, consultar a las autoridades competentes designadas o establecidas de conformidad con la Directiva (UE) 2022/2555, responsables de la supervisión de una entidad esencial o importante sujeta a dicha Directiva, que haya sido designada como proveedor tercero esencial de servicios de TIC.

6. Como último recurso, tras la notificación y, si procede, tras la consulta establecidas en los apartados 4 y 5 del presente artículo, las autoridades competentes podrán, de conformidad con el artículo 50, tomar la decisión de exigir a las entidades financieras que suspendan temporalmente, de manera parcial o total, el uso o la implantación de un servicio prestado por el proveedor tercero esencial de servicios de TIC hasta que se hayan abordado los riesgos mencionados en las recomendaciones dirigidas a los proveedores terceros esenciales de servicios de TIC. En caso necesario, podrán exigir a las entidades financieras que pongan fin, en parte o en su totalidad, a los acuerdos contractuales pertinentes celebrados con los proveedores terceros esenciales de servicios de TIC.

7. Cuando un proveedor tercero esencial de servicios de TIC se niegue a seguir las recomendaciones sobre la base de un enfoque distinto del recomendado por el supervisor principal y dicho enfoque pueda repercutir negativamente en un gran número de entidades financieras o en una parte considerable del sector financiero, y las advertencias individuales emitidas por las autoridades competentes no hayan dado lugar a enfoques sistemáticos que mitiguen el posible riesgo para la estabilidad financiera, el supervisor principal podrá, previa consulta al Foro de Supervisión, emitir dictámenes no vinculantes y no públicos a las autoridades competentes, a fin de promover medidas de seguimiento en materia de supervisión sistemáticas y convergentes, según proceda.

8. Cuando se reciban los informes a que se refiere el artículo 35, apartado 1, letra c), las autoridades competentes, al tomar la decisión a que se refiere el apartado 6 del presente artículo, tendrán en cuenta el tipo y la magnitud del riesgo no abordado por el proveedor tercero esencial de servicios de TIC, así como la gravedad del incumplimiento, considerando los siguientes criterios:

a) la gravedad y la duración del incumplimiento;

b) si el incumplimiento ha puesto de manifiesto deficiencias graves en los procedimientos, los sistemas de gestión, la gestión de riesgos y los controles internos del proveedor tercero esencial de servicios de TIC;

c) si el incumplimiento ha facilitado o provocado la comisión de un delito financiero o este último le es imputable de cualquier otro modo;

d) si el incumplimiento ha sido cometido intencionadamente o por negligencia;

e) si la suspensión o la terminación de los acuerdos contractuales supone un riesgo para la continuidad de las operaciones comerciales de la entidad financiera, pese a los esfuerzos de esta por evitar perturbaciones en la prestación de sus servicios;

f) cuando proceda, el dictamen, solicitado voluntariamente de conformidad con el apartado 5 del presente artículo, de las autoridades competentes designadas o establecidas de conformidad con la Directiva (UE) 2022/2555, responsables de la supervisión de una entidad esencial o importante sujeta a dicha Directiva, que haya sido designada como proveedor tercero esencial de servicios de TIC.

Las autoridades competentes concederán a las entidades financieras el tiempo necesario para que puedan adaptar los acuerdos contractuales con proveedores terceros esenciales de servicios de TIC a fin de evitar efectos perjudiciales en su resiliencia operativa digital y que puedan implantar las estrategias de salida y los planes de transición a que se refiere el artículo 28.

9. La decisión a que se refiere el apartado 6 del presente artículo se notificará a los miembros del Foro de Supervisión a que se refiere el artículo 32, apartado 4, letras a), b) y c), y a la Red de Supervisión Conjunta.

Los proveedores terceros esenciales de servicios de TIC afectados por las decisiones establecidas en el apartado 6 cooperarán plenamente con las entidades financieras perjudicadas, en particular en el contexto del proceso de suspensión o terminación de sus acuerdos contractuales.

10. Las autoridades competentes informarán periódicamente al supervisor principal sobre los enfoques y las medidas adoptados en el desempeño de sus tareas de supervisión en relación con las entidades financieras, así como sobre los acuerdos contractuales celebrados por las entidades financieras cuando los proveedores terceros esenciales de servicios de TIC no hayan refrendado en parte o en su totalidad las recomendaciones que les hayan sido formuladas por el supervisor principal.

11. El supervisor principal podrá, previa solicitud, proporcionar aclaraciones adicionales acerca de las recomendaciones formuladas para orientar a las autoridades competentes sobre las medidas de seguimiento.