Articulo 58 Resiliencia operativa digital del sector financiero

1. A más tardar el 17 de enero de 2028, la Comisión, previa consulta a las Autoridades Europeas de Supervisión y la JERS, en su caso, llevará a cabo una revisión y presentará al Parlamento Europeo y al Consejo un informe, acompañado, en su caso, de una propuesta legislativa. La revisión incluirá, como mínimo, lo siguiente:

a) los criterios para la designación de proveedores terceros esenciales de servicios de TIC de conformidad con el artículo 31, apartado 2;

b) el carácter voluntario de la notificación de ciberamenazas importantes a que se refiere el artículo 19;

c) el régimen a que se refiere el artículo 31, apartado 12, y las competencias del supervisor principal previstas en el artículo 35, apartado 1, letra d), inciso iv), primer guion, con vistas a evaluar la eficacia de dichas disposiciones en lo que respecta a garantizar una supervisión eficaz de los proveedores terceros esenciales de servicios de TIC establecidos en un tercer país, y la necesidad de establecer una filial en la Unión.

A efectos del párrafo primero de la presente letra, la revisión incluirá un análisis del régimen a que se refiere el artículo 31, apartado 12, también en términos de acceso de las entidades financieras de la Unión a los servicios de terceros países y la disponibilidad de dichos servicios en el mercado de la Unión, y tendrá en cuenta la evolución ulterior de los mercados de los servicios cubiertos por el presente Reglamento, la experiencia práctica de las entidades financieras y los supervisores financieros en relación con la aplicación y, en su caso, la supervisión de dicho régimen, así como cualquier novedad pertinente en materia de regulación y supervisión que se produzca a escala internacional;

d) la conveniencia de incluir en el ámbito de aplicación del presente Reglamento a las entidades financieras a que se refiere el artículo 2, apartado 3, letra e), que hagan uso de sistemas automatizados de venta, a la luz de la futura evolución del mercado en lo relativo al uso de dichos sistemas;

e) el funcionamiento y la eficacia de la Red de Supervisión Conjunta a la hora de apoyar la homogeneidad de la supervisión y la eficiencia del intercambio de información en el marco de supervisión.

2. En el contexto de la revisión de la Directiva (UE) 2015/2366, la Comisión evaluará la necesidad de aumentar la ciberresiliencia de los sistemas de pago y las actividades de procesamiento de pagos, así como la conveniencia de ampliar el ámbito de aplicación del presente Reglamento a los operadores de sistemas de pago y a las entidades que participen en actividades de procesamiento de pagos. A la luz de esta evaluación, la Comisión presentará, como parte de la revisión de la Directiva (UE) 2015/2366, un informe al Parlamento Europeo y al Consejo a más tardar el 17 de julio de 2023.

A partir de dicho informe de revisión, y previa consulta a las Autoridades Europeas de Supervisión, el BCE y la JERS, la Comisión podrá presentar, en su caso y como parte de la propuesta legislativa que podrá adoptar en virtud del artículo 108, párrafo segundo, de la Directiva (UE) 2015/2366, una propuesta para garantizar que todos los operadores de sistemas de pago y entidades que participen en actividades de procesamiento de pagos estén sujetos a una supervisión adecuada, teniendo en cuenta al mismo tiempo la supervisión existente por parte de los bancos centrales.

3. A más tardar el 17 de enero de 2026, la Comisión, previa consulta a las Autoridades Europeas de Supervisión y a la Comisión de Organismos Europeos de Supervisión de Auditores, llevará a cabo una revisión y presentará al Parlamento Europeo y al Consejo un informe, acompañado, en su caso, de una propuesta legislativa, sobre la conveniencia de reforzar los requisitos para los auditores legales y sociedades de auditoría en lo relativo a la resiliencia operativa digital, mediante la inclusión en el ámbito de aplicación del presente Reglamento de los auditores legales y las sociedades de auditoría o mediante la modificación de la Directiva 2006/43/CE del Parlamento Europeo y del Consejo (39).