(1)   Pentru a atinge un nivel comun ridicat de reziliență operațională digitală, prezentul regulament stabilește cerințe uniforme privind securitatea rețelelor și a sistemelor informatice care sprijină procesele operaționale ale entităților financiare, după cum urmează:

(2)   În ceea ce privește entitățile financiare identificate drept entități esențiale sau importante în temeiul normelor naționale care transpun articolul 3 din Directiva (UE) 2022/2555, prezentul regulament este considerat un act juridic sectorial al Uniunii în sensul articolului 4 din directiva respectivă.

(3)   Prezentul regulament nu aduce atingere responsabilității statelor membre în ceea ce privește funcțiile esențiale ale statului cu privire la siguranța publică, apărarea și securitatea națională, în conformitate cu dreptul Uniunii.

(1)   Fără a aduce atingere alineatelor (3) și (4), prezentul regulament se aplică următoarelor entități:

(2)   În sensul prezentului regulament, entitățile menționate la alineatul (1) literele (a)-(t) sunt denumite colectiv „entități financiare”.

(3)   Prezentul regulament nu se aplică următoarelor entități:

(4)   Statele membre pot exclude din domeniul de aplicare al prezentului regulament entitățile menționate la articolul 2 alineatul (5) punctele 4-23 din Directiva 2013/36/UE care sunt situate pe teritoriile lor. În cazul în care un stat membru face uz de această opțiune, acesta informează Comisia cu privire la aceasta, precum și cu privire la orice modificare ulterioară. Comisia pune aceste informații la dispoziția publicului pe site-ul său sau prin alte mijloace ușor accesibile.

(1)   Entitățile financiare pun în aplicare normele prevăzute la capitolul II în conformitate cu principiul proporționalității, luând în considerare dimensiunea și profilul lor general de risc și natura, amploarea și complexitatea serviciilor, activităților și operațiunilor lor.

(2)   În plus, entitățile financiare aplică capitolele III și IV și capitolul V secțiunea I proporțional cu dimensiunea și profilul lor general de risc și cu natura, amploarea și complexitatea serviciilor, activităților și operațiunilor lor, astfel cum se prevede în mod specific în normele relevante din capitolele respective.

(3)   Autoritățile competente iau în considerare aplicarea principiului proporționalității de către entitățile financiare atunci când revizuiesc coerența cadrului de gestionare a riscurilor TIC pe baza rapoartelor prezentate la cererea autorităților competente în temeiul articolului 6 alineatul (5) și al articolului 16 alineatul (2).

(1)   Entitățile financiare dispun de un cadru intern de guvernanță și control care asigură o gestionare eficace și prudentă a riscurilor TIC, în conformitate cu articolul 6 alineatul (4), cu scopul de a obține un nivel ridicat de reziliență operațională digitală.

(2)   Organul de conducere al entității financiare definește, aprobă, supraveghează și este responsabil de punerea în aplicare a tuturor dispozițiilor legate de cadrul de gestionare a riscurilor TIC menționat la articolul 6 alineatul (1).

În scopul aplicării primului paragraf, organul de conducere:

(3)   Entitățile financiare, altele decât microîntreprinderile, stabilesc un rol pentru a monitoriza acordurile încheiate cu furnizorii terți de servicii TIC cu privire la utilizarea serviciilor TIC sau desemnează un membru al conducerii de nivel superior drept responsabil de supravegherea expunerii la risc aferente și a documentației relevante.

(4)   Membrii organului de conducere al entității financiare își actualizează în mod activ cunoștințele și competențele pentru a înțelege și a evalua riscurile TIC și impactul acestora asupra operațiunilor entității financiare, inclusiv prin frecventarea cu regularitate a unor cursuri de formare specifice, pe măsura riscurilor TIC gestionate.

(1)   Entitățile financiare dispun de un cadru solid, cuprinzător și bine documentat de gestionare a riscurilor TIC, ca parte a sistemului lor general de gestionare a riscurilor, care le permite să abordeze riscurile TIC în mod rapid, eficient și cuprinzător și să asigure un nivel ridicat de reziliență operațională digitală.

(2)   Cadrul de gestionare a riscurilor TIC include cel puțin strategii, politici, proceduri, precum și protocoale și instrumente TIC care sunt necesare pentru a proteja în mod corespunzător și adecvat toate activele informaționale și toate activele TIC, inclusiv software pentru calculatoare, hardware și servere, precum și pentru a proteja toate componentele și infrastructurile fizice relevante, precum sediile, centrele de date și zonele desemnate sensibile, pentru a asigura că toate activele informaționale și toate activele TIC sunt protejate în mod adecvat împotriva riscurilor, inclusiv împotriva pagubelor și a accesului sau utilizării neautorizate.

(3)   În conformitate cu cadrul lor de gestionare a riscurilor TIC, entitățile financiare reduc la minimum impactul riscurilor TIC prin utilizarea unor strategii, politici, proceduri, protocoale și instrumente TIC adecvate. Acestea furnizează autorităților competente, la cererea acestora, informații complete și actualizate cu privire la riscurile TIC și la cadrul lor de gestionare a riscurilor TIC.

(4)   Entitățile financiare, altele decât microîntreprinderile, atribuie responsabilitatea pentru gestionarea și supravegherea riscurilor TIC unei funcții de control și asigură independența acestei funcții de control la un nivel adecvat, pentru a evita conflictele de interese. Entitățile financiare asigură în mod adecvat separarea și independența a funcțiilor de gestionare a riscurilor TIC, a funcțiilor de control și a funcțiilor de audit intern, în conformitate cu cele trei linii ale modelului de apărare sau cu un model intern de gestionare și control al riscurilor.

(5)   Cadrul de gestionare a riscurilor TIC se documentează și se revizuiește cel puțin o dată pe an, sau periodic în cazul microîntreprinderilor, precum și în cazul unor incidente majore legate de TIC și în urma instrucțiunilor sau concluziilor în materie de supraveghere care decurg din testarea relevantă a rezilienței operaționale digitale sau din procesele de audit relevante. Acesta este îmbunătățit în permanență, pe baza învățămintelor desprinse în urma punerii în aplicare și a monitorizării. Autorității competente i se prezintă, la cererea sa, un raport privind revizuirea cadrului de gestionare a riscurilor TIC.

(6)   Cadrul de gestionare a riscurilor TIC al entităților financiare, altele decât microîntreprinderile, este supus auditului intern de către auditori în mod regulat, în conformitate cu planul de audit al entităților financiare. Auditorii respectivi dețin suficiente cunoștințe, competențe și expertiză în ceea ce privește riscurile TIC, precum și o independență adecvată. Frecvența și obiectivul auditurilor TIC sunt proporționale cu riscurile TIC ale entităților financiare.

(7)   Pe baza concluziilor evaluării de audit intern, entitățile financiare stabilesc un proces formal de urmărire, care include reguli pentru verificarea și remedierea în timp util a elementelor critice constatate în cadrul auditurilor TIC.

(8)   Cadrul de gestionare a riscurilor TIC include o strategie privind reziliența operațională digitală, care stabilește modul de punere în aplicare a cadrului. În acest scop, strategia privind reziliența operațională digitală include metode de abordare a riscurilor TIC și de realizare a obiectivelor TIC specifice, prin:

(9)   Entitățile financiare pot defini, în contextul strategiei privind reziliența operațională digitală menționate la alineatul (8), o strategie TIC cuprinzătoare privind existența mai multor furnizori, la nivel de grup sau de entitate, care să prezinte principalele dependențe față de furnizorii terți de servicii TIC și să explice raționamentul care stă la baza mixului de achiziții de la furnizori terți de servicii TIC.

(10)   Entitățile financiare pot externaliza, în conformitate cu legislația sectorială a Uniunii și cea națională, sarcinile de verificare a conformității cu cerințele de gestionare a riscurilor TIC către entități intragrup sau externe. În cazul unei astfel de externalizări, entitatea financiară rămâne pe deplin responsabilă de verificarea conformității cu cerințele de gestionare a riscurilor TIC.

(1)   Ca parte a cadrului de gestionare a riscurilor TIC menționat la articolul 6 alineatul (1), entitățile financiare identifică, clasifică și documentează în mod corespunzător toate funcțiile operaționale și toate rolurile și responsabilitățile sprijinite de TIC, activele informaționale și activele TIC care sprijină funcțiile respective, precum și rolurile și dependențele lor în legătură cu riscurile TIC. Entitățile financiare revizuiesc după caz, dar cel puțin anual, caracterul adecvat al acestei clasificări și al oricărei documentări relevante.

(2)   Entitățile financiare identifică în mod constant toate sursele de riscuri TIC, în special expunerea la riscuri față de alte entități financiare și din partea altor entități financiare, și evaluează amenințările cibernetice și vulnerabilitățile TIC relevante pentru funcțiile lor operaționale sprijinite de TIC, activele lor informaționale și activele lor TIC. Entitățile financiare revizuiesc în mod regulat și cel puțin o dată pe an scenariile de risc care au un impact asupra lor.

(3)   Entitățile financiare, altele decât microîntreprinderile, efectuează o evaluare a riscurilor cu ocazia fiecărei modificări majore aduse infrastructurii rețelei și a sistemului informatic și proceselor sau procedurilor care le afectează funcțiile operaționale sprijinite de TIC, activele informaționale sau activele TIC.

(4)   Entitățile financiare identifică toate activele informaționale și activele TIC, inclusiv cele din locații aflate la distanță, resursele de rețea și echipamentele hardware și le inventariază pe cele considerate esențiale. Acestea cartografiază configurația activelor informaționale și a activelor TIC și legăturile și interdependențele dintre diferitele active informaționale și active TIC.

(5)   Entitățile financiare identifică și documentează toate procesele care depind de furnizori terți de servicii TIC și identifică interconexiunile cu furnizori terți de servicii TIC care oferă servicii care sprijină funcții critice sau importante.

(6)   În scopul aplicării alineatelor (1), (4) și (5), entitățile financiare mențin inventarele relevante și le actualizează periodic și de fiecare dată când are loc orice modificare majoră, astfel cum este menționată la alineatul (3).

(7)   Entitățile financiare, altele decât microîntreprinderile, efectuează periodic și cel puțin o dată pe an o evaluare specifică a riscurilor TIC vizând toate sistemele TIC moștenite și, în orice caz, înainte și după conectarea tehnologiilor, aplicațiilor sau sistemelor.

(1)   În scopul protejării adecvate a sistemelor TIC și în vederea organizării măsurilor de răspuns, entitățile financiare monitorizează și controlează în mod continuu securitatea și funcționarea sistemelor și a instrumentelor TIC și reduc la minimum impactul riscurilor TIC asupra sistemelor TIC prin utilizarea unor instrumente, politici și proceduri de securitate TIC adecvate.

(2)   Entitățile financiare concep, achiziționează și pun în aplicare politici, proceduri, protocoale și instrumente în domeniul securității TIC care vizează să asigure reziliența, continuitatea și disponibilitatea sistemelor TIC, în special pentru cele care sprijină funcții critice sau importante, precum și să mențină standarde înalte de disponibilitate, autenticitate, integritate și confidențialitate a datelor, indiferent dacă sunt în repaus, în uz sau în tranzit.

(3)   În vederea realizării obiectivelor menționate la alineatul (2), entitățile financiare utilizează soluții și procese TIC care sunt adecvate în conformitate cu articolul 4. Respectivele soluții și procese TIC:

(4)   Ca parte a cadrului de gestionare a riscurilor TIC menționat la articolul 6 alineatul (1), entitățile financiare:

În scopul aplicării literei (b) de la primul paragraf, entitățile financiare concep infrastructura de conectare a rețelei într-un mod care permite întreruperea sau segmentarea instantanee a acesteia, pentru a reduce la minimum și a preveni contagiunea, în special în cazul proceselor financiare interconectate.

În scopul aplicării literei (e) de la primul paragraf, procesul de gestionare a modificărilor la nivelul TIC este aprobat de liniile de management corespunzătoare și dispune de protocoale specifice.

(1)   Entitățile financiare dispun de mecanisme pentru detectarea rapidă a activităților anormale, în conformitate cu articolul 17, inclusiv a problemelor legate de performanța rețelei TIC și a incidentelor legate de TIC, precum și pentru identificarea posibilelor puncte unice de defecțiune semnificative.

Toate mecanismele de detectare menționate la primul paragraf sunt testate cu regularitate în conformitate cu articolul 25.

(2)   Mecanismele de detectare menționate la alineatul (1) permit niveluri multiple de control, definesc praguri de alertă și criterii de declanșare și inițiere a proceselor de răspuns la incidentele legate de TIC, inclusiv mecanisme de alertă automată pentru personalul relevant responsabil de răspunsul la incidentele legate de TIC.

(3)   Entitățile financiare alocă suficiente resurse și capacități pentru a monitoriza activitatea utilizatorilor, apariția anomaliilor TIC și a incidentelor legate de TIC, în special a atacurilor cibernetice.

(4)   Furnizorii de servicii de raportare a datelor dispun, în plus, de sisteme care pot verifica în mod eficace integralitatea rapoartelor de tranzacționare, pot identifica omisiunile și erorile evidente și pot solicita retransmiterea rapoartelor respective.

(1)   Ca parte a cadrului de gestionare a riscurilor TIC menționat la articolul 6 alineatul (1) și pe baza cerințelor de identificare prevăzute la articolul 8, entitățile financiare instituie o politică cuprinzătoare de continuitate a activității TIC, care poate fi adoptată sub forma unei politici specifice dedicate, ca parte integrantă a politicii generale de continuitate a activității a entității financiare.

(2)   Entitățile financiare pun în aplicare politica de continuitate a activității TIC prin măsuri, planuri, proceduri și mecanisme specifice, adecvate și documentate care vizează:

(3)   Ca parte a cadrului de gestionare a riscurilor TIC menționat la articolul 6 alineatul (1), entitățile financiare pun în aplicare planuri de răspuns și de recuperare în domeniul TIC asociate care, în cazul altor entități financiare decât microîntreprinderile, sunt supuse unor evaluări de audit intern independente.

(4)   Entitățile financiare instituie, mențin și testează periodic planuri de continuitate a activității TIC adecvate, în special în ceea ce privește funcțiile critice sau importante externalizate sau contractate prin acorduri cu furnizori terți de servicii TIC.

(5)   Ca parte a politicii generale de continuitate a activității, entitățile financiare efectuează o analiză a impactului asupra activității (AIA) al expunerilor lor la perturbări grave ale activității. În conformitate cu AIA, entitățile financiare evaluează impactul potențial al perturbărilor grave ale activității cu ajutorul unor criterii cantitative și calitative, utilizând date interne și externe și analize de scenarii, după caz. AIA ia în considerare caracterul critic al funcțiilor operaționale identificate și cartografiate, al proceselor de sprijin, al dependențelor față de terți și al activelor informaționale, precum și interdependențele acestora. Entitățile financiare se asigură că activele TIC și serviciile TIC sunt proiectate și utilizate în deplină conformitate cu AIA, în special în ceea ce privește asigurarea în mod adecvat a redundanței tuturor componentelor critice.

(6)   Ca parte a gestionării lor cuprinzătoare a riscurilor TIC, entitățile financiare:

În scopul aplicării literei (a) de la primul paragraf, entitățile financiare altele decât microîntreprinderile includ în planurile de testare scenarii de atacuri cibernetice și transferuri între infrastructura TIC primară și capacitățile redundante, copiile de rezervă și instalațiile redundante necesare pentru a îndeplini obligațiile prevăzute la articolul 12.

Entitățile financiare își revizuiesc periodic politica de continuitate a activității TIC și planurile de răspuns și de recuperare în domeniul TIC, ținând seama de rezultatele testelor efectuate în conformitate cu primul paragraf, precum și de recomandările care decurg din evaluările de audit sau procesele de supraveghere.

(7)   Entitățile financiare altele decât microîntreprinderile au o funcție de gestionare a crizelor, care, în caz de activare a planurilor lor de continuitate a activității TIC sau a planurilor lor de răspuns și de recuperare în domeniul TIC, stabilește, printre altele, proceduri clare de gestionare a comunicărilor interne și externe în situații de criză, în conformitate cu articolul 14.

(8)   Entitățile financiare păstrează o evidență ușor accesibilă a activităților înainte și în timpul evenimentelor perturbatoare atunci când sunt activate planurile lor de continuitate a activității TIC și planurile lor de răspuns și de recuperare în domeniul TIC.

(9)   Depozitarii centrali de titluri de valoare furnizează autorităților competente copii ale rezultatelor testelor privind continuitatea activității TIC sau ale unor exerciții similare.

(10)   Entitățile financiare, altele decât microîntreprinderile, raportează autorităților competente, la cererea acestora, o estimare a costurilor și a pierderilor anuale agregate cauzate de incidente majore legate de TIC.

(11)   În conformitate cu articolul 16 din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010, AES elaborează, prin intermediul Comitetului comun, până la 17 iulie 2024, orientări comune privind estimarea costurilor și pierderilor anuale agregate menționate la alineatul (10).

(1)   Pentru a asigura restaurarea sistemelor TIC și a datelor cu o perioadă de indisponibilitate minimă și o perturbare și o pierdere limitate, ca parte a cadrului lor de gestionare a riscurilor TIC, entitățile financiare elaborează și documentează:

(2)   Entitățile financiare instituie sisteme de rezervă care pot fi activate în conformitate cu politicile și procedurile privind copiile de rezervă, precum și cu procedurile și metodele de restaurare și recuperare. Activarea sistemelor de rezervă nu pune în pericol securitatea rețelelor și a sistemelor informatice sau disponibilitatea, autenticitatea, integritatea ori confidențialitatea datelor. Periodic se efectuează testarea procedurilor privind copiile de rezervă și a procedurilor și metodelor de restaurare și recuperare.

(3)   Atunci când restaurează date de rezervă pe baza sistemelor proprii, entitățile financiare utilizează sisteme TIC care sunt separate fizic și logic de sistemul TIC sursă. Sistemele TIC sunt securizate împotriva oricărui acces neautorizat sau a deteriorării TIC și permit restaurarea în timp util a serviciilor care utilizează copii de rezervă ale datelor și sistemelor, după caz.

În cazul contrapărților centrale, planurile de recuperare permit recuperarea tuturor tranzacțiilor în momentul perturbării, pentru a permite contrapărții centrale să continue să opereze în condiții de siguranță și să finalizeze decontarea la data stabilită.

În plus, furnizorii de servicii de raportare a datelor mențin resurse adecvate și dispun de instalații pentru copii de rezervă și de restaurare, cu scopul de a-și oferi și a-și menține serviciile viabile în orice moment.

(4)   Entitățile financiare, altele decât microîntreprinderile, mențin capacități TIC redundante dotate cu resurse, capacități și funcții care sunt adecvate pentru a acoperi nevoile operaționale. Microîntreprinderile evaluează necesitatea menținerii unor astfel de capacități TIC redundante pe baza profilului lor de risc.

(5)   Depozitarii centrali de titluri de valoare mențin cel puțin o unitate de prelucrare secundară, dotată cu resurse adecvate, capacități, funcții și resurse umane pentru a acoperi nevoile operaționale.

Unitatea de prelucrare secundară:

(6)   Pentru a stabili obiectivele cu privire la intervalele de timp și momentele de la care se pot recupera datele în urma unei întreruperi și intervalele maxime de recuperare în urma unei întreruperi, pentru fiecare funcție, entitățile financiare iau în considerare dacă este vorba de o funcție critică sau importantă și impactul potențial global asupra eficienței pieței. Aceste obiective temporale asigură că, în scenarii extreme, nivelurile convenite ale serviciilor sunt respectate.

(7)   În cazul recuperării în urma unui incident legat de TIC, entitățile financiare efectuează verificări necesare, inclusiv verificări și reconcilieri multiple, pentru a se asigura că nivelul de integritate a datelor este cel mai ridicat. Aceste verificări se efectuează, de asemenea, atunci când sunt reconstituite date de la părțile interesate externe, pentru a se asigura că toate datele sunt coerente între sisteme.

(1)   Entitățile financiare dispun de capacități și de personal pentru a colecta informații cu privire la vulnerabilități, amenințări cibernetice și incidente legate de TIC, în special atacuri cibernetice, și pentru a analiza impactul pe care acestea l-ar putea avea asupra rezilienței lor operaționale digitale.

(2)   Entitățile financiare instituie verificări ulterioare incidentelor legate de TIC după ce un incident major legat de TIC le perturbă activitățile de bază, analizând cauzele perturbării și identificând îmbunătățirile necesare pentru operațiunile TIC sau în cadrul politicii de continuitate a activității TIC menționate la articolul 11.

Entitățile financiare, altele decât microîntreprinderile, comunică autorităților competente, la cerere, modificările care au fost operate în urma verificărilor ulterioare incidentelor legate de TIC, astfel cum sunt menționate la primul paragraf.

Verificările ulterioare incidentelor legate de TIC menționate la primul paragraf stabilesc dacă procedurile instituite au fost urmate și dacă măsurile luate au fost eficace, inclusiv în ceea ce privește următoarele:

(3)   Învățămintele desprinse în urma testării rezilienței operaționale digitale, efectuată în conformitate cu articolele 26 și 27, precum și în urma incidentelor reale legate de TIC, în special a atacurilor cibernetice, alături de provocările întâmpinate la activarea planurilor de continuitate a activității TIC și a planurilor de răspuns și de recuperare în domeniul TIC, împreună cu informațiile relevante schimbate cu contrapărțile și evaluate în timpul proceselor de supraveghere, sunt încorporate în mod corespunzător și continuu în procesul de evaluare a riscurilor TIC. Constatările respective stau la baza unor revizuiri corespunzătoare ale componentelor relevante ale cadrului de gestionare a riscurilor TIC menționat la articolul 6 alineatul (1).

(4)   Entitățile financiare monitorizează eficacitatea punerii în aplicare a strategiei lor privind reziliența operațională digitală menționate la articolul 6 alineatul (8). Acestea cartografiază evoluția riscurilor TIC de-a lungul timpului, analizează frecvența, tipurile, magnitudinea și evoluția incidentelor legate de TIC, în special a atacurilor cibernetice și a modelelor lor, în vederea înțelegerii nivelului expunerii la riscurile TIC, în special în legătură cu funcțiile critice sau importante, și a consolidării gradului de maturitate și de pregătire cibernetică a entității financiare.

(5)   Personalul de nivel superior din domeniul TIC raportează cel puțin o dată pe an către organul de conducere cu privire la rezultatele menționate la alineatul (3) și propune recomandări.

(6)   Entitățile financiare elaborează programe de conștientizare cu privire la securitatea TIC și cursuri de formare în domeniul rezilienței operaționale digitale ca module obligatorii în cadrul programelor lor de formare a personalului. Respectivele programe și cursuri de formare se aplică tuturor angajaților și personalului de conducere de nivel superior și au un nivel de complexitate proporțional cu sfera de competență a funcțiilor lor. După caz, entitățile financiare includ, de asemenea, furnizorii terți de servicii TIC în programele lor de formare relevante, în conformitate cu articolul 30 alineatul (2) litera (i).

(7)   Entitățile financiare altele decât microîntreprinderile monitorizează evoluțiile tehnologice relevante în mod continuu, inclusiv pentru a înțelege posibilul impact al implementării unor astfel de noi tehnologii asupra cerințelor în materie de securitate TIC și a rezilienței operaționale digitale. Acestea trebuie să aibă informații actualizate cu privire la cele mai recente procese de gestionare a riscurilor TIC, cu scopul de a contracara cu eficacitate formele existente sau noi de atacuri cibernetice.

(1)   Ca parte a cadrului de gestionare a riscurilor TIC menționat la articolul 6 alineatul (1), entitățile financiare instituie planuri de comunicare în situații de criză care permit o informare responsabilă a clienților și a contrapărților, precum și a publicului, după caz, cu privire la, cel puțin, incidentele majore sau vulnerabilitățile legate de TIC.

(2)   Ca parte a cadrului de gestionare a riscurilor TIC, entitățile financiare pun în aplicare politici de comunicare pentru personalul intern și pentru părțile interesate externe. Politicile de comunicare pentru personal țin seama de necesitatea de a face distincția între personalul implicat în gestionarea riscurilor TIC, în special personalul responsabil pentru răspuns și recuperare, și personalul care trebuie să fie informat.

(3)   Cel puțin o persoană din entitatea financiară este însărcinată cu punerea în aplicare a strategiei de comunicare pentru incidentele legate de TIC și îndeplinește în acest scop funcția de legătură cu publicul și mass-media.

(1)   Articolele 5-15 din prezentul regulament nu se aplică firmelor de investiții mici și neinterconectate, instituțiilor de plată exceptate în temeiul Directivei (UE) 2015/2366; instituțiilor exceptate în temeiul Directivei 2013/36/UE în cazul cărora statele membre au decis să nu aplice opțiunea menționată la articolul 2 alineatul (4) din prezentul regulament; instituțiilor emitente de monedă electronică exceptate în temeiul Directivei 2009/110/CE; și nici instituțiilor mici pentru furnizarea de pensii ocupaționale.

Fără a aduce atingere primului paragraf, entitățile menționate la primul paragraf:

(2)   Cadrul de gestionare a riscurilor TIC menționat la alineatul (1) al doilea paragraf litera (a) se documentează și se revizuiește periodic, precum și în momentul producerii unor incidente majore legate de TIC, în conformitate cu instrucțiunile de supraveghere. Acesta este îmbunătățit în permanență, pe baza învățămintelor desprinse în urma punerii în aplicare și a monitorizării. Autorității competente i se prezintă, la cererea sa, un raport privind revizuirea cadrului de gestionare a riscurilor TIC.

(3)   AES elaborează, prin intermediul Comitetului comun, în consultare cu ENISA, proiecte comune de standarde tehnice de reglementare în următoarele scopuri:

Atunci când elaborează proiectele respective de standarde tehnice de reglementare, AES iau în considerare dimensiunea și profilul general de risc al entității financiare, precum și natura, amploarea și complexitatea serviciilor, activităților și operațiunilor sale.

AES transmit Comisiei aceste proiecte de standarde tehnice de reglementare până la 17 ianuarie 2024.

Se deleagă Comisiei competența de a completa prezentul regulament prin adoptarea standardelor tehnice de reglementare menționate la primul paragraf, în conformitate cu articolele 10-14 din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010.

(1)   Entitățile financiare definesc, instituie și pun în aplicare un proces de gestionare a incidentelor legate de TIC pentru a detecta, a gestiona și a notifica incidentele legate de TIC.

(2)   Entitățile financiare înregistrează toate incidentele legate de TIC și amenințările cibernetice semnificative. Entitățile financiare instituie proceduri și procese adecvate pentru a garanta monitorizarea, tratarea și urmărirea consecventă și integrată a incidentelor legate de TIC, pentru a asigura identificarea, documentarea și abordarea cauzelor lor principale, astfel încât să se prevină apariția unor astfel de incidente.

(3)   Procesul de gestionare a incidentelor legate de TIC menționat la alineatul (1):

(1)   Entitățile financiare clasifică incidentele legate de TIC și determină impactul acestora pe baza următoarelor criterii:

(2)   Entitățile financiare clasifică amenințările cibernetice ca fiind semnificative pe baza caracterului critic al serviciilor expuse riscului, inclusiv al tranzacțiilor și operațiunilor entității financiare, precum și pe baza numărului și/sau relevanței clienților sau a contrapărților financiare vizate și a întinderii geografice a zonelor expuse riscului.

(3)   AES elaborează, prin intermediul Comitetului comun și în consultare cu BCE și ENISA, proiecte comune de standarde tehnice de reglementare pentru a aduce precizări suplimentare privind următoarele:

(4)   Atunci când elaborează proiectele comune de standarde tehnice de reglementare menționate la alineatul (3) de la prezentul articol, AES țin seama de criteriile stabilite la articolul 4 alineatul (2), precum și de standardele internaționale și de orientările și specificațiile elaborate și publicate de ENISA, inclusiv, după caz, de specificațiile pentru alte sectoare economice. În scopul aplicării criteriilor prevăzute la articolul 4 alineatul (2), AES iau în considerare în mod corespunzător necesitatea ca microîntreprinderile și întreprinderile mici și mijlocii să mobilizeze resurse și capacități suficiente pentru a se asigura că incidentele legate de TIC sunt gestionate rapid.

AES transmit Comisiei aceste proiecte comune de standarde tehnice de reglementare până la 17 ianuarie 2024.

Se deleagă Comisiei competența de a completa prezentul regulament prin adoptarea standardelor tehnice de reglementare menționate la alineatul (3), în conformitate cu articolele 10-14 din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010.

(1)   Entitățile financiare raportează incidentele majore legate de TIC autorității competente relevante menționate la articolul 46 în conformitate cu alineatul (4) de la prezentul articol.

În cazul în care o entitate financiară face obiectul supravegherii de către mai mult de o autoritate națională competentă astfel cum este menționată la articolul 46, statele membre desemnează o autoritate competentă unică drept autoritate competentă relevantă responsabilă cu îndeplinirea funcțiilor și a sarcinilor prevăzute la prezentul articol.

Instituțiile de credit clasificate drept semnificative, în conformitate cu articolul 6 alineatul (4) din Regulamentul (UE) nr. 1024/2013, prezintă un raport referitor la incidentele majore legate de TIC autorității naționale competente relevante desemnate în conformitate cu articolul 4 din Directiva 2013/36/UE, care transmite imediat raportul respectiv către BCE.

În sensul primului paragraf, după colectarea și analizarea tuturor informațiilor relevante, entitățile financiare efectuează notificarea inițială și elaborează rapoartele menționate la alineatul (4) de la prezentul articol, utilizând modelele menționate la articolul 20, și le transmit autorității competente. În cazul în care o imposibilitate tehnică împiedică transmiterea notificării inițiale utilizând modelul, entitățile financiare informează autoritatea competentă cu privire la aceasta prin mijloace alternative.

Notificarea inițială și rapoartele menționate la alineatul (4) includ toate informațiile necesare autorității competente pentru a determina semnificația incidentului major legat de TIC și a evalua posibilele efecte transfrontaliere.

Fără a aduce atingere raportării prevăzute la primul paragraf de către entitățile financiare către autoritatea competentă relevantă, statele membre pot stabili în plus ca unele entități financiare sau toate aceste entități să transmită, de asemenea, notificarea inițială și fiecare raport menționat la alineatul (4) de la prezentul articol, folosind modelele menționate la articolul 20, autorităților competente sau echipelor de intervenție în caz de incidente de securitate informatică (echipe CSIRT) desemnate sau instituite în conformitate cu Directiva (UE) 2022/2555.

(2)   Entitățile financiare pot notifica, în mod voluntar, amenințările cibernetice semnificative către autoritatea competentă relevantă atunci când consideră că amenințarea este relevantă pentru sistemul financiar, pentru utilizatorii serviciilor sau pentru clienți. Autoritatea competentă relevantă poate furniza astfel de informații și altor autorități relevante, menționate la alineatul (6).

Instituțiile de credit clasificate drept semnificative, în conformitate cu articolul 6 alineatul (4) din Regulamentul (UE) nr. 1024/2013, pot notifica, în mod voluntar, amenințările cibernetice semnificative către autoritatea națională competentă relevantă, desemnată în conformitate cu articolul 4 din Directiva 2013/36/UE, care transmite imediat notificarea către BCE.

Statele membre pot stabili că entitățile financiare care fac în mod voluntar o notificare în conformitate cu primul paragraf pot transmite, de asemenea, notificarea respectivă către echipele CSIRT desemnate sau instituite în conformitate cu Directiva (UE) 2022/2555.

(3)   În cazul în care are loc un incident major legat de TIC care are un impact asupra intereselor financiare ale clienților lor, entitățile financiare îi informează pe aceștia, fără întârzieri nejustificate, de îndată ce află despre incidentul major legat de TIC, cu privire la incidentul respectiv și la măsurile care au fost luate pentru a atenua efectele negative ale unui astfel de incident.

În cazul unei amenințări cibernetice semnificative, entitățile financiare își informează, după caz, clienții care ar putea fi afectați cu privire la eventualele măsuri de protecție adecvate pe care aceștia din urmă ar putea dori să le ia.

(4)   Până la termenele care urmează să fie stabilite în conformitate cu articolul 20 primul paragraf litera (a) punctul (ii), entitățile financiare transmit autorității competente relevante următoarele:

(5)   Entitățile financiare pot externaliza, în conformitate cu legislația sectorială a Uniunii și cu cea națională, obligațiile de raportare prevăzute la prezentul articol către un furnizor terț de servicii. În cazul unei astfel de externalizări, entitatea financiară rămâne pe deplin responsabilă de îndeplinirea cerințelor legate de raportarea incidentului.

(6)   La primirea notificării inițiale și a fiecărui raport menționat la alineatul (4), autoritatea competentă furnizează, în timp util, detalii privind incidentul major legat de TIC următorilor destinatari, pe baza, după caz, a competențelor lor respective:

(7)   După primirea informațiilor în conformitate cu alineatul (6), ABE, ESMA sau EIOPA și BCE, în consultare cu ENISA și în cooperare cu autoritatea competentă relevantă, evaluează dacă incidentul major legat de TIC este relevant pentru autoritățile competente din alte state membre. În urma acestei evaluări, ABE, ESMA sau EIOPA notifică în consecință, cât mai curând posibil, autoritățile competente relevante din alte state membre. BCE notifică membrilor Sistemului European al Băncilor Centrale aspectele relevante pentru sistemul de plată. Pe baza notificării respective, autoritățile competente iau, după caz, toate măsurile necesare pentru protejarea stabilității imediate a sistemului financiar.

(8)   Notificarea care trebuie efectuată de ESMA în temeiul alineatului (7) de la prezentul articol nu aduce atingere responsabilității autorității competente de a transmite de urgență detaliile incidentului major legat de TIC autorității relevante din statul membru gazdă, în cazul în care un depozitar central de titluri de valoare desfășoară o activitate transfrontalieră semnificativă în statul membru gazdă, în cazul în care incidentul major legat de TIC este susceptibil să genereze consecințe grave pentru piețele financiare din statul membru gazdă și în cazul în care există acorduri de cooperare între autoritățile competente în ceea ce privește supravegherea entităților financiare.

(1)   AES elaborează, prin intermediul Comitetului comun și în consultare cu BCE și ENISA, un raport comun de evaluare a fezabilității centralizării suplimentare a raportării incidentelor prin crearea unei platforme unice la nivelul UE pentru raportarea incidentelor majore legate de TIC de către entitățile financiare. Raportul comun analizează modalitățile de facilitare a fluxului raportării incidentelor legate de TIC, de reducere a costurilor asociate și de susținere a analizelor tematice în vederea consolidării convergenței în materie de supraveghere.

(2)   Raportul comun menționat la alineatul (1) cuprinde cel puțin următoarele elemente:

(3)   AES transmit raportul menționat la alineatul (1) Parlamentului European, Consiliului și Comisiei până la 17 ianuarie 2025.

(1)   Fără a aduce atingere contribuției, consultanței sau soluțiilor tehnice și urmăririi ulterioare care pot fi oferite, după caz, în conformitate cu dreptul intern, de către echipele CSIRT în temeiul Directivei (UE) 2022/2555, autoritatea competentă, la primirea notificării inițiale și a fiecărui raport menționate la articolul 19 alineatul (4), confirmă primirea și poate furniza autorității financiare, acolo unde este posibil, în timp util, feedback relevant și proporțional sau îndrumări la nivel înalt, în special prin punerea la dispoziție a oricăror informații și date operative relevante anonimizate cu privire la amenințări similare și poate discuta măsurile de remediere aplicate la nivelul entității financiare și modalități de reducere la minimum și de atenuare a impactului negativ la nivelul sectorului financiar. Fără a aduce atingere feedbackului privind supravegherea primit, entitățile financiare rămân pe deplin responsabile de gestionarea incidentelor legate de TIC raportate în temeiul articolului 19 alineatul (1) și de consecințele acestora.

(2)   Prin intermediul Comitetului comun, AES raportează anual, în mod anonim și agregat, cu privire la incidentele majore legate de TIC, ale căror detalii sunt furnizate de autoritățile competente în conformitate cu articolul 19 alineatul (6), menționând cel puțin numărul incidentelor majore legate de TIC, natura acestora și impactul lor asupra operațiunilor entităților financiare sau ale clienților, măsurile de remediere luate și costurile suportate.

AES emit avertismente și elaborează statistici la nivel înalt pentru a sprijini evaluările privind amenințările și vulnerabilitățile din perspectiva TIC.

(1)   În scopul evaluării nivelului de pregătire pentru gestionarea incidentelor legate de TIC, al identificării punctelor slabe, a deficiențelor și a lacunelor în ceea ce privește reziliența operațională digitală și al punerii în aplicare prompte a măsurilor corective, entitățile financiare, altele decât microîntreprinderile, stabilesc, mențin și revizuiesc, ținând seama de criteriile prevăzute la articolul 4 alineatul (2), un program solid și cuprinzător de testare a rezilienței operaționale digitale ca parte integrantă a cadrului de gestionare a riscurilor TIC menționat la articolul 6.

(2)   Programul de testare a rezilienței operaționale digitale include o serie de evaluări, teste, metodologii, practici și instrumente care trebuie aplicate în conformitate cu articolele 25 și 26.

(3)   Atunci când desfășoară programul de testare a rezilienței operaționale digitale menționat la alineatul (1) de la prezentul articol, entitățile financiare, altele decât microîntreprinderile, urmează o abordare bazată pe riscuri, ținând seama de criteriile prevăzute la articolul 4 alineatul (2) și luând în considerare în mod corespunzător evoluția peisajului riscurilor TIC, orice riscuri specifice la care entitatea financiară în cauză este sau ar putea fi expusă, caracterul critic al activelor informaționale și al serviciilor furnizate, precum și orice alt factor pe care entitatea financiară îl consideră adecvat.

(4)   Entitățile financiare, altele decât microîntreprinderile, se asigură că testele sunt efectuate de părți independente, indiferent dacă sunt interne sau externe. Atunci când testele sunt efectuate de o entitate internă, entitățile financiare alocă resurse suficiente și se asigură că sunt evitate conflictele de interese pe parcursul fazelor de proiectare și execuție ale testului.

(5)   Entitățile financiare, altele decât întreprinderile, stabilesc proceduri și politici care să prioritizeze, să clasifice și să remedieze toate chestiunile identificate pe parcursul desfășurării testelor și stabilesc metodologii de validare internă pentru a se asigura că toate punctele slabe, deficiențele sau lacunele identificate sunt abordate integral.

(6)   Entitățile financiare, altele decât microîntreprinderile, se asigură că se efectuează teste adecvate cel puțin o dată pe an asupra tuturor sistemelor și aplicațiilor TIC care sprijină funcții critice sau importante.

(1)   Programul de testare a rezilienței operaționale digitale menționat la articolul 24 asigură, în conformitate cu criteriile prevăzute la articolul 4 alineatul (2), efectuarea de teste adecvate, precum evaluări și examinări ale vulnerabilității, analize ale surselor deschise, evaluări ale securității rețelei, analize ale lacunelor, verificări ale securității fizice, chestionare și soluții de analiză de tip software, evaluări ale codului sursă acolo unde este posibil, teste bazate pe scenarii, teste de compatibilitate, teste de performanță, teste de la un capăt la altul (end-to-end) sau teste de penetrare.

(2)   Depozitarii centrali de titluri de valoare și contrapărțile centrale efectuează evaluări ale vulnerabilității înainte de utilizarea sau reutilizarea unor aplicații și componente de infrastructură noi sau existente și servicii TIC care sprijină funcții critice sau importante ale entității financiare.

(3)   Microîntreprinderile efectuează testele menționate la alineatul (1) combinând o abordare bazată pe riscuri cu o planificare strategică a testării TIC și luând în considerare în mod corespunzător necesitatea de a menține o abordare echilibrată între amploarea resurselor și timpul care urmează să fie alocat testării TIC prevăzute la prezentul articol, pe de o parte, și urgența, tipul de risc, caracterul critic al activelor informaționale și al serviciilor furnizate, precum și orice alt factor relevant, inclusiv capacitatea entității financiare de a-și asuma riscuri calculate, pe de altă parte.

(1)   Entitățile financiare, altele decât entitățile menționate la articolul 16 alineatul (1) primul paragraf și altele decât microîntreprinderile, care sunt identificate în conformitate cu alineatul (8) al treilea paragraf de la prezentul articol, efectuează, cel puțin o dată la trei ani, testări avansate prin intermediul TLPT. Pe baza profilului de risc al entității financiare și ținând seama de circumstanțele operaționale, autoritatea competentă poate să solicite entității financiare, dacă este necesar, să reducă sau să mărească această frecvență.

(2)   Fiecare test de penetrare bazat pe amenințări acoperă unele sau toate funcțiile critice sau importante ale unei entități financiare și este realizat pe sistemele de producție în timp real care sprijină astfel de funcții.

Entitățile financiare identifică toate sistemele, procesele și tehnologiile TIC subiacente relevante care sprijină funcțiile critice sau importante și serviciile TIC, inclusiv pe cele care sprijină funcțiile critice sau importante care au fost externalizate sau contractate unor furnizori terți de servicii TIC.

Entitățile financiare evaluează ce funcții critice sau importante trebuie să fie acoperite de TLPT. Rezultatul acestei evaluări determină sfera de aplicare exactă a TLPT și este validat de autoritățile competente.

(3)   În cazul în care furnizorii terți de servicii TIC sunt incluși în sfera de aplicare a TLPT, entitatea financiară ia măsurile și garanțiile necesare pentru a asigura participarea acestor furnizori terți de servicii TIC la TLPT și rămân în orice moment pe deplin responsabile de asigurarea respectării prezentului regulament.

(4)   Fără a aduce atingere primului și celui de al doilea paragraf de la alineatul (2), în cazul în care se preconizează în mod rezonabil că participarea unui furnizor terț de servicii TIC la TLPT, astfel cum se menționează la alineatul (3), va avea un impact negativ asupra calității sau securității serviciilor oferite de către furnizorul terț de servicii TIC către clienți care sunt entități ce nu intră în domeniul de aplicare al prezentului regulament, sau asupra confidențialității datelor legate de astfel de servicii, entitatea financiară și furnizorul terț de servicii TIC pot conveni în scris ca furnizorul terț de servicii TIC să încheie în mod direct acorduri contractuale cu o entitate externă de testare în scopul desfășurării, sub conducerea unei entități financiare desemnate unice, a unei TLPT grupate, în care să fie implicate mai multe entități financiare (testare grupată) pentru care furnizorul terț de servicii TIC oferă servicii TIC.

Testarea grupată respectivă acoperă gama relevantă de servicii TIC care sprijină funcțiile critice sau importante contractate de către entitățile financiare respectivului furnizor terț de servicii TIC. Testarea grupată este considerată TLPT efectuată de entitățile financiare care participă la testarea grupată.

Numărul entităților financiare care participă la testarea grupată este calibrat în mod corespunzător, ținând seama de complexitatea și de tipurile serviciilor implicate.

(5)   Entitățile financiare efectuează, cu cooperarea furnizorilor terți de servicii TIC și a altor părți implicate, inclusiv a entităților de testare, dar excluzând autoritățile competente, controale eficace ale gestionării riscurilor pentru a atenua riscurile unui potențial impact asupra datelor și riscurile de deteriorare a activelor și de perturbare a funcțiilor, a serviciilor sau a operațiunilor critice sau importante la nivelul entității financiare înseși, al contrapărților acesteia sau al sectorului financiar.

(6)   La sfârșitul testării, după ce s-a convenit cu privire la rapoarte și la planurile de remediere, entitatea financiară și, după caz, entitățile externe de testare furnizează autorității desemnate în conformitate cu alineatul (9) sau (10) un rezumat al constatărilor relevante, planurile de remediere și documentația care demonstrează că TLPT a fost efectuată în conformitate cu cerințele.

(7)   Autoritățile furnizează entităților financiare o adeverință prin care se confirmă faptul că testul a fost efectuat în conformitate cu cerințele evidențiate în documentație, pentru a permite recunoașterea reciprocă între autoritățile competente a testelor de penetrare bazate pe amenințări. Entitatea financiară notifică autorității competente relevante adeverința, rezumatul constatărilor relevante și planurile de remediere.

Fără a aduce atingere unei astfel de adeverințe, entitățile financiare rămân în orice moment pe deplin responsabile pentru impactul testelor menționate la alineatul (4).

(8)   Entitățile financiare contractează entități de testare în scopul efectuării TLPT în conformitate cu articolul 27. Atunci când entitățile financiare utilizează entități interne de testare în scopul efectuării TLPT, acestea contractează entități externe de testare la fiecare trei teste.

Instituțiile de credit care sunt clasificate drept semnificative în conformitate cu articolul 6 alineatul (4) din Regulamentul (UE) nr. 1024/2013, utilizează numai entități externe de testare în conformitate cu articolul 27 alineatul (1) literele (a)-(e).

Autoritățile competente identifică entitățile financiare care sunt obligate să efectueze TLPT ținând seama de criteriile prevăzute la articolul 4 alineatul (2), pe baza unei evaluări a următoarelor elemente:

(9)   Statele membre pot desemna o autoritate publică unică în sectorul financiar care să fie responsabilă de aspectele legate de TLPT în sectorul financiar la nivel național și îi încredințează acesteia toate competențele și sarcinile în acest sens.

(10)   În absența unei desemnări în conformitate cu alineatul (9) de la prezentul articol și fără a aduce atingere competenței de a identifica entitățile financiare care trebuie să efectueze TLPT, o autoritate competentă poate delega exercitarea unora sau a tuturor sarcinilor menționate la prezentul articol și la articolul 27 unei alte autorități naționale din sectorul financiar.

(11)   AES elaborează, în acord cu BCE, proiecte comune de standarde tehnice de reglementare în conformitate cu cadrul TIBER–EU pentru a aduce precizări suplimentare privind:

Atunci când elaborează proiectele respective de standarde tehnice de reglementare, AES țin seama în mod corespunzător de orice caracteristică specifică care decurge din natura distinctă a activităților din diferite sectoare de servicii financiare.

AES transmit Comisiei aceste proiecte de standarde tehnice de reglementare până la 17 iulie 2024.

Se deleagă Comisiei competența de a completa prezentul regulament prin adoptarea standardelor tehnice de reglementare menționate la primul paragraf, în conformitate cu articolele 10-14 din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010.

(1)   Entitățile financiare utilizează, în scopul efectuării TLPT, numai entități de testare care:

(2)   În cazul utilizării entităților interne de testare, entitățile financiare se asigură că, în plus față de cerințele de la alineatul (1), se respectă toate condițiile următoare:

(3)   Entitățile financiare se asigură că contractele încheiate cu entități externe de testare impun o gestionare solidă a rezultatelor TLPT și că orice prelucrare de date de către acestea, inclusiv orice generare, stocare, agregare, elaborare, raportare, comunicare sau distrugere, nu creează riscuri pentru entitatea financiară.

(1)   Entitățile financiare gestionează riscurile TIC generate de părți terțe ca parte integrantă a riscurilor TIC în cadrul lor de gestionare a riscurilor TIC astfel cum este menționat la articolul 6 alineatul (1) și în conformitate cu următoarele principii:

(2)   Ca parte a cadrului lor de gestionare a riscurilor TIC, entitățile financiare, altele decât entitățile menționate la articolul 16 alineatul (1) primul paragraf și altele decât microîntreprinderile, adoptă și revizuiesc periodic o strategie privind riscurile TIC generate de părți terțe, ținând seama de strategia privind existența mai multor furnizori menționată la articolul 6 alineatul (9), după caz. Această strategie privind riscurile TIC generate de părți terțe include o politică privind utilizarea serviciilor TIC care sprijină funcții critice sau importante oferite de furnizori terți de servicii TIC și se aplică pe o bază individuală și, după caz, pe o bază subconsolidată și consolidată. Pe baza unei evaluări a profilului general de risc al entității financiare și a amplorii și complexității serviciilor comerciale, organul de conducere examinează periodic riscurile identificate în ceea ce privește acordurile contractuale privind utilizarea serviciilor TIC care sprijină funcții critice sau importante.

(3)   Ca parte a cadrului lor de gestionare a riscurilor TIC, entitățile financiare mențin și actualizează la nivel de entitate și la nivel subconsolidat și consolidat un registru de informații în legătură cu toate acordurile contractuale privind utilizarea serviciilor TIC oferite de furnizori terți de servicii TIC.

Acordurile contractuale menționate la primul paragraf sunt documentate în mod corespunzător, făcându-se distincția între cele care acoperă servicii TIC de sprijinire a funcțiilor critice sau importante și cele care nu le acoperă.

Entitățile financiare raportează cel puțin o dată pe an autorităților competente cu privire la numărul de noi acorduri privind utilizarea serviciilor TIC, categoriile de furnizori terți de servicii TIC, tipurile de acorduri contractuale și serviciile și funcțiile TIC care sunt oferite.

Entitățile financiare pun la dispoziția autorității competente, la cererea acesteia, registrul complet de informații sau, după caz, secțiuni specifice din acesta, împreună cu orice informații considerate necesare pentru a permite supravegherea eficace a entității financiare.

Entitățile financiare informează autoritatea competentă în timp util cu privire la orice acord contractual planificat privind utilizarea unor servicii TIC care sprijină funcții critice sau importante, precum și atunci când o funcție a devenit critică sau importantă.

(4)   Înainte de a încheia un acord contractual privind utilizarea serviciilor TIC, entitățile financiare:

(5)   Entitățile financiare pot încheia acorduri contractuale numai cu furnizori terți de servicii TIC care respectă standarde adecvate de securitate a informațiilor. În cazul în care acordurile contractuale respective se referă la funcții critice sau importante, entitățile financiare, înainte de încheierea acordurilor, țin seama în mod corespunzător de utilizarea de către furnizorii terți de servicii TIC a celor mai recente și de cea mai înaltă calitate standarde de securitate a informațiilor.

(6)   În exercitarea drepturilor de acces, de inspecție și de audit cu privire la furnizorul terț de servicii TIC, entitățile financiare stabilesc în prealabil, utilizând o abordare bazată pe riscuri, frecvența auditurilor și a inspecțiilor, precum și domeniile care urmează să fie auditate prin aderarea la standardele de audit acceptate de comun acord, în concordanță cu instrucțiunile de supraveghere privind utilizarea și integrarea unor astfel de standarde de audit.

În cazul în care acordurile contractuale încheiate cu furnizori terți de servicii TIC privind utilizarea unor servicii TIC prezintă o complexitate tehnică ridicată, entitatea financiară verifică dacă auditorii, atât cei interni, cât și cei externi, sau un grup de auditori, dețin competențele și cunoștințele corespunzătoare pentru a efectua în mod eficace auditurile și evaluările relevante.

(7)   Entitățile financiare se asigură că acordurile contractuale privind utilizarea serviciilor TIC pot fi reziliate în oricare dintre următoarele circumstanțe:

(8)   Pentru serviciile TIC care sprijină funcții critice sau importante, entitățile financiare instituie strategii de ieșire. Strategiile de ieșire țin seama de riscurile care pot apărea la nivelul furnizorilor terți de servicii TIC, în special o posibilă deficiență din partea acestora, o deteriorare a calității serviciilor TIC oferite, orice perturbare a activității cauzată de furnizarea necorespunzătoare sau defectuoasă a serviciilor TIC sau orice riscuri semnificative care decurg din utilizarea adecvată și continuă a serviciului TIC respectiv ori încetarea acordurilor contractuale cu furnizorii terți de servicii TIC în oricare dintre situațiile enumerate la alineatul (7).

Entitățile financiare se asigură că pot să se retragă din acordurile contractuale fără:

Planurile de ieșire trebuie să fie cuprinzătoare, documentate și, în conformitate cu criteriile stabilite la articolul 4 alineatul (2), trebuie să fie testate în mod suficient și revizuite periodic.

Entitățile financiare identifică soluții alternative și dezvoltă planuri de tranziție care să le permită să elimine serviciile TIC contractate și datele relevante de la furnizorul terț de servicii TIC și să le transfere în condiții de siguranță și în integralitatea lor către furnizori alternativi sau să le reintegreze în sistemul propriu.

Entitățile financiare instituie măsuri adecvate pentru situații neprevăzute astfel încât să păstreze continuitatea activității în cazul apariției situațiilor menționate la primul paragraf.

(9)   AES elaborează, prin intermediul Comitetului comun, proiecte de standarde tehnice de punere în aplicare pentru a stabili modelele standard pentru registrul de informații menționat la alineatul (3), inclusiv informații care sunt comune tuturor acordurilor contractuale privind utilizarea serviciilor TIC. AES transmit Comisiei aceste proiecte de standarde tehnice de punere în aplicare până la 17 ianuarie 2024.

Se conferă Comisiei competența de a adopta standardele tehnice de punere în aplicare menționate la primul paragraf în conformitate cu articolul 15 din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010.

(10)   AES elaborează, prin intermediul Comitetului comun, proiecte de standarde tehnice de reglementare pentru a aduce precizări suplimentare privind conținutul detaliat al politicii menționate la alineatul (2) în legătură cu acordurile contractuale privind utilizarea serviciilor TIC care sprijină funcții critice sau importante oferite de furnizori terți de servicii TIC.

Atunci când elaborează proiectele respective de standarde tehnice de reglementare, AES iau în considerare dimensiunea și profilul general de risc al entității financiare, precum și natura, amploarea și complexitatea serviciilor, activităților și operațiunilor sale. AES transmit Comisiei aceste proiecte de standarde tehnice de reglementare până la 17 ianuarie 2024.

Se deleagă Comisiei competența de a completa prezentul regulament prin adoptarea standardelor tehnice de reglementare menționate la primul paragraf, în conformitate cu articolele 10-14 din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010.

(1)   La identificarea și evaluarea riscurilor menționate la articolul 28 alineatul (4) litera (c), entitățile financiare iau în considerare, de asemenea, dacă încheierea preconizată a unui acord contractual în legătură cu servicii TIC care sprijină funcții critice sau importante ar conduce la oricare dintre următoarele situații:

Entitățile financiare evaluează beneficiile și costurile soluțiilor alternative, cum ar fi utilizarea unor furnizori terți de servicii TIC diferiți, luând în considerare dacă și în ce mod soluțiile avute în vedere corespund nevoilor și obiectivelor operaționale stabilite în strategia lor privind reziliența digitală.

(2)   În cazul în care acordurile contractuale privind utilizarea de servicii TIC care sprijină funcții critice sau importante includ posibilitatea ca un furnizor terț de servicii TIC să subcontracteze în continuare servicii TIC care sprijină o funcție critică sau importantă către alți furnizori terți de servicii TIC, entitățile financiare evaluează beneficiile și riscurile care pot apărea în legătură cu o astfel de subcontractare, în special în cazul unui subcontractant TIC stabilit într-o țară terță.

În cazul în care acordurile contractuale privesc servicii TIC care sprijină funcții critice sau importante, entitățile financiare iau în considerare în mod corespunzător dispozițiile din legislația privind insolvența care s-ar aplica în eventualitatea falimentului furnizorului terț de servicii TIC, precum și orice constrângere care ar putea apărea în legătură cu recuperarea urgentă a datelor entității financiare.

Atunci când acordurile contractuale privind utilizarea serviciilor TIC care sprijină funcții critice sau importante sunt încheiate cu un furnizor terț de servicii TIC stabilit într-o țară terță, entitățile financiare iau în considerare, în afară de aspectele menționate la al doilea paragraf, și conformitatea cu normele Uniunii privind protecția datelor și asigurarea efectivă a respectării legii în respectiva țară terță.

Atunci când acordurile contractuale privind utilizarea serviciilor TIC care sprijină funcții critice sau importante prevăd subcontractarea, entitățile financiare evaluează dacă și în ce mod lanțurile de subcontractare potențial lungi sau complexe pot avea un impact asupra capacității lor de a monitoriza pe deplin funcțiile contractate și asupra capacității autorității competente de a supraveghea efectiv entitatea financiară din acest punct de vedere.

(1)   Drepturile și obligațiile care revin entității financiare și furnizorului terț de servicii TIC sunt clar atribuite și definite în scris. Contractul complet include acordurile privind nivelul serviciilor și este consemnat într-un document scris care se află la dispoziția părților pe suport de hârtie sau într-un document având un alt format durabil, accesibil și care poate fi descărcat.

(2)   Acordurile contractuale privind utilizarea serviciilor TIC includ cel puțin următoarele elemente:

(3)   Acordurile contractuale privind utilizarea serviciilor TIC care sprijină funcții critice sau importante includ, în plus față de elementele menționate la alineatul (2), cel puțin următoarele:

Prin derogare de la litera (e), furnizorul terț de servicii TIC și entitatea financiară care este o microîntreprindere pot conveni ca drepturile de acces, de inspecție și de audit ale entității financiare să poată fi delegate unui terț independent, numit de furnizorul terț de servicii TIC, și ca entitatea financiară să poată solicita în orice moment din partea terțului informații și asigurări cu privire la performanța furnizorului terț de servicii TIC.

(4)   La negocierea acordurilor contractuale, entitățile financiare și furnizorii terți de servicii TIC țin seama de utilizarea clauzelor contractuale standard elaborate de autoritățile publice pentru servicii specifice.

(5)   AES elaborează, prin intermediul Comitetului comun, proiecte de standarde tehnice de reglementare pentru a aduce precizări suplimentare cu privire la elementele menționate la alineatul (2) litera (a), pe care o entitate financiară trebuie să le stabilească și să le evalueze atunci când subcontractează servicii TIC care sprijină funcții critice sau importante.

Atunci când elaborează aceste proiecte de standarde tehnice de reglementare, AES țin seama de dimensiunea și de profilul general de risc al entității financiare, precum și de natura, amploarea și complexitatea serviciilor, activităților și operațiunilor sale.

AES transmit Comisiei aceste proiecte de standarde tehnice de reglementare până la 17 iulie 2024.

Se deleagă Comisiei competența de a completa prezentul regulament prin adoptarea standardelor tehnice de reglementare menționate la primul paragraf, în conformitate cu articolele 10-14 din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010.

(1)   AES, prin intermediul Comitetului comun și la recomandarea Forumului de supraveghere instituit în temeiul articolului 32 alineatul (1):

(2)   Desemnarea prevăzută la alineatul (1) litera (a) se bazează pe toate criteriile următoare în ceea ce privește serviciile TIC furnizate de furnizorul terț de servicii TIC:

(3)   În cazul în care furnizorul terț de servicii TIC face parte dintr-un grup, criteriile menționate la alineatul (2) sunt examinate în raport cu serviciile TIC furnizate de grup în ansamblul său.

(4)   Furnizorii terți esențiali de servicii TIC care fac parte dintr-un grup desemnează o persoană juridică drept punct de coordonare pentru a asigura în mod adecvat reprezentarea și comunicarea cu supraveghetorul principal.

(5)   Supraveghetorul principal notifică furnizorului terț de servicii TIC rezultatul evaluării care a dus la desemnarea menționată la alineatul (1) litera (a). În termen de șase săptămâni de la data notificării, furnizorul terț de servicii TIC îi poate transmite supraveghetorului principal o declarație motivată conținând orice informații relevante în scopul evaluării. Supraveghetorul principal analizează declarația motivată și poate solicita să îi fie furnizate informații suplimentare în termen de 30 de zile calendaristice de la primirea unei astfel de declarații.

După ce a desemnat un furnizor terț de servicii TIC ca fiind esențial, AES, prin intermediul Comitetului comun, informează furnizorul terț de servicii TIC cu privire la această desemnare și cu privire la data de la care va începe să facă efectiv obiectul activităților de supraveghere. Data respectivă trebuie să fie la cel mult o lună de la momentul notificării. Furnizorul terț de servicii TIC informează entitățile financiare cărora le furnizează servicii cu privire la desemnarea sa drept esențial.

(6)   Comisia este împuternicită să adopte un act delegat în conformitate cu articolul 57 pentru a completa prezentul regulament prin precizarea mai în detaliu a criteriilor menționate la alineatul (2) de la prezentul articol, până la 17 iulie 2024.

(7)   Nu se recurge la desemnarea menționată la alineatul (1) litera (a) decât după ce Comisia a adoptat un act delegat în conformitate cu alineatul (6).

(8)   Desemnarea menționată la alineatul (1) litera (a) nu se aplică în ceea ce privește:

(9)   AES, prin intermediul Comitetului comun, elaborează, publică și actualizează anual lista furnizorilor terți esențiali de servicii TIC la nivelul Uniunii.

(10)   În sensul alineatului (1) litera (a), autoritățile competente transmit, anual și agregat, Forumului de supraveghere instituit în temeiul articolului 32 rapoartele menționate la articolul 28 alineatul (3) al treilea paragraf. Forumul de supraveghere evaluează dependențele entităților financiare față de furnizorii terți de servicii TIC pe baza informațiilor primite de la autoritățile competente.

(11)   Furnizorii terți de servicii TIC care nu sunt incluși în lista menționată la alineatul (9) pot solicita să fie desemnați ca fiind esențiali în conformitate cu alineatul (1) litera (a).

În scopul aplicării primului paragraf, furnizorul terț de servicii TIC transmite o cerere motivată către ABE, ESMA sau EIOPA care, prin intermediul Comitetului comun, decide dacă să desemneze respectivul furnizor terț de servicii TIC ca fiind esențial în conformitate cu alineatul (1) litera (a).

Decizia menționată la al doilea paragraf se adoptă și se notifică furnizorului terț de servicii TIC în termen de șase luni de la primirea cererii.

(12)   Entitățile financiare utilizează serviciile unui furnizor terț de servicii TIC stabilit într-o țară terță și care a fost desemnat ca fiind esențial în conformitate cu alineatul (1) litera (a) numai în cazul în care acesta din urmă a înființat o filială în Uniune în termen de 12 luni de la desemnare.

(13)   Furnizorul terț esențial de servicii TIC menționat la alineatul (12) informează supraveghetorul principal cu privire la orice modificare a structurii conducerii filialei înființate în Uniune.

(1)   Comitetul comun, în conformitate cu articolul 57 alineatul (1) din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010, instituie Forumul de supraveghere ca subcomitet în scopul sprijinirii activității Comitetului comun și a supraveghetorului principal menționat la articolul 31 alineatul (1) litera (b) în domeniul riscurilor TIC generate de părți terțe în toate sectoarele financiare. Forumul de supraveghere pregătește proiectele de poziții comune și de acte comune ale Comitetului comun în acest domeniu.

Forumul de supraveghere discută periodic despre evoluțiile relevante cu privire la riscurile și vulnerabilitățile TIC și promovează o abordare consecventă în ceea ce privește monitorizarea riscurilor TIC generate de părți terțe la nivelul Uniunii.

(2)   Forumul de supraveghere efectuează anual o evaluare colectivă a rezultatelor și a constatărilor activităților de supraveghere desfășurate pentru toți furnizorii terți esențiali de servicii TIC și promovează măsuri de coordonare pentru a spori reziliența operațională digitală a entităților financiare, a încuraja cele mai bune practici în ceea ce privește abordarea riscurilor de concentrare a serviciilor TIC și a studia factorii de diminuare în cazul transferurilor riscurilor la nivel transsectorial.

(3)   Forumul de supraveghere prezintă criterii de referință cuprinzătoare pentru furnizorii terți esențiali de servicii TIC, care urmează să fie adoptate de Comitetul comun ca poziții comune ale AES în conformitate cu articolul 56 alineatul (1) din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010.

(4)   Forumul de supraveghere este compus din:

Forumul de supraveghere poate, după caz, să solicite avizul unor experți independenți numiți în conformitate cu alineatul (6).

(5)   Fiecare stat membru desemnează autoritatea competentă relevantă din cadrul personalului căreia este numit reprezentantul la nivel înalt menționat la alineatul (4) primul paragraf litera (b) și informează supraveghetorul principal în acest sens.

AES publică pe site-ul lor lista reprezentanților la nivel înalt, provenind din personalul actual al autorității competente relevante, desemnați de statele membre.

(6)   Experții independenți menționați la alineatul (4) al doilea paragraf sunt numiți de Forumul de supraveghere dintr-un grup de rezervă de experți selectați în urma unui proces de candidatură public și transparent.

Experții independenți sunt numiți pe baza cunoștințelor și experienței lor în materie de stabilitate financiară, reziliență operațională digitală și securitate TIC. Aceștia acționează independent și obiectiv în interesul exclusiv al Uniunii în ansamblul său și nu solicită și nu primesc instrucțiuni din partea instituțiilor sau a organelor Uniunii, din partea vreunui guvern al unui stat membru sau din partea vreunui alt organism public sau privat.

(7)   În conformitate cu articolul 16 din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010, AES emit, până la 17 iulie 2024, în scopul aplicării prezentei secțiuni, orientări privind cooperarea dintre AES și autoritățile competente cuprinzând procedurile și condițiile detaliate pentru alocarea și executarea sarcinilor între autoritățile competente și AES, precum și detaliile privind schimburile de informații care sunt necesare pentru ca autoritățile competente să se asigure că recomandările adresate furnizorilor terți esențiali de servicii TIC în temeiul articolului 35 alineatul (1) litera (d) sunt urmate.

(8)   Cerințele prevăzute în prezenta secțiune nu aduc atingere aplicării Directivei (UE) 2022/2555 și a altor norme ale Uniunii privind supravegherea aplicabilă furnizorilor de servicii de cloud computing.

(9)   AES, prin intermediul Comitetului comun și pe baza lucrărilor pregătitoare desfășurate de Forumul de supraveghere, prezintă anual Parlamentului European, Consiliului și Comisiei un raport privind aplicarea prezentei secțiuni.

(1)   Supraveghetorul principal, numit în conformitate cu articolul 31 alineatul (1) litera (b), efectuează supravegherea furnizorilor terți esențiali de servicii TIC atribuiți și este, cu privire la toate aspectele legate de supraveghere, punctul de contact principal pentru respectivii furnizori terți esențiali de servicii TIC.

(2)   În scopul aplicării alineatului (1), supraveghetorul principal evaluează dacă fiecare furnizor terț esențial de servicii TIC a instituit norme, proceduri, mecanisme și măsuri cuprinzătoare, solide și eficace de gestionare a riscurilor TIC pe care le poate genera pentru entitățile financiare.

Evaluarea menționată la primul paragraf se axează în principal pe serviciile TIC furnizate de furnizorul terț esențial de servicii TIC care sprijină funcțiile critice sau importante ale entităților financiare. Atunci când este necesar pentru a aborda toate riscurile relevante, evaluarea respectivă se extinde la serviciile TIC care sprijină alte funcții decât cele critice sau importante.

(3)   Evaluarea prevăzută la alineatul (2) cuprinde:

(4)   Pe baza evaluării prevăzute la alineatul (2) și în coordonare cu Rețeaua de supraveghere comună (RSC) menționată la articolul 34 alineatul (1), supraveghetorul principal adoptă un plan de supraveghere individual clar, detaliat și motivat care descrie obiectivele anuale de supraveghere și principalele acțiuni de supraveghere planificate pentru fiecare furnizor terț esențial de servicii TIC. Planul respectiv este comunicat în fiecare an furnizorului terț esențial de servicii TIC.

Înainte de adoptarea planului de supraveghere, supraveghetorul principal comunică proiectul planului de supraveghere furnizorului terț esențial de servicii TIC.

La primirea proiectului de plan de supraveghere, furnizorul terț esențial de servicii TIC poate prezenta, în termen de 15 zile calendaristice, o declarație motivată prin care să demonstreze impactul preconizat asupra clienților care sunt entități ce nu se încadrează în domeniul de aplicare al prezentului regulament și, după caz, să formuleze soluții pentru atenuarea riscurilor.

(5)   Odată ce planurile de supraveghere anuale menționate la alineatul (4) au fost adoptate și notificate furnizorilor terți esențiali de servicii TIC, autoritățile competente pot lua măsuri privind acești furnizori terți esențiali de servicii TIC numai în acord cu supraveghetorul principal.

(1)   Pentru a asigura o abordare coerentă a activităților de supraveghere și a permite coordonarea strategiilor generale de supraveghere și coeziunea abordărilor operaționale și a metodologiilor de lucru, cei trei supraveghetori principali numiți în conformitate cu articolul 31 alineatul (1) litera (b) instituie o RSC pentru a-și coordona acțiunile în cursul etapelor pregătitoare și al desfășurării activităților de supraveghere a furnizorilor terți esențiali de servicii TIC pe care îi supraveghează fiecare dintre ei, precum și în cursul oricărei acțiuni care ar putea fi necesară în temeiul articolului 42.

(2)   În scopul aplicării alineatului (1), supraveghetorii principali elaborează un protocol de supraveghere comun în care precizează procedurile detaliate care trebuie urmate pentru realizarea coordonării curente și pentru asigurarea unor schimburi și reacții rapide. Protocolul este revizuit periodic pentru a reflecta nevoile operaționale, în special evoluția modalităților practice de supraveghere.

(3)   Supraveghetorii principali pot solicita ad-hoc BCE și ENISA să ofere consiliere tehnică, să facă schimb de experiență practică sau să participe la anumite reuniuni de coordonare ale RSC.

(1)   În scopul îndeplinirii atribuțiilor care îi revin în temeiul prezentei secțiuni, supraveghetorul principal are următoarele competențe în ceea ce privește furnizorii terți esențiali de servicii TIC:

(2)   Atunci când exercită competențele prevăzute la prezentul articol, supraveghetorul principal:

(3)   Supraveghetorul principal consultă Forumul de supraveghere înainte de a exercita competențele menționate la alineatul (1).

Înainte de a emite recomandări în conformitate cu alineatul (1) litera (d), supraveghetorul principal îi oferă furnizorului terț de servicii TIC posibilitatea de a prezenta, în termen de 30 de zile calendaristice, informații relevante care să demonstreze impactul preconizat asupra clienților care sunt entități ce nu se încadrează în domeniul de aplicare al prezentului regulament și, după caz, să formuleze soluții pentru atenuarea riscurilor.

(4)   Supraveghetorul principal informează RSC cu privire la rezultatul exercitării competențelor prevăzute la alineatul (1) literele (a) și (b). Supraveghetorul principal transmite fără întârzieri nejustificate rapoartele menționate la alineatul (1) litera (c) către RSC și către autoritățile competente ale entităților financiare care utilizează serviciile TIC ale respectivului furnizor terț esențial de servicii TIC.

(5)   Furnizorii terți esențiali de servicii TIC cooperează cu bună credință cu supraveghetorul principal și îl asistă pe acesta în îndeplinirea sarcinilor sale.

(6)   În cazul nerespectării totale sau parțiale a măsurilor care trebuie luate ca urmare a exercitării competențelor prevăzute la alineatul (1) literele (a), (b) și (c) și după expirarea unui termen de cel puțin 30 de zile calendaristice de la data la care furnizorul terț esențial de servicii TIC a fost notificat cu privire la măsurile respective, supraveghetorul principal adoptă o decizie prin care impune o penalitate cu titlu cominatoriu pentru a obliga furnizorul terț esențial de servicii TIC să se conformeze măsurilor respective.

(7)   Penalitățile cu titlu cominatoriu prevăzute la alineatul (6) se impun pe zi de întârziere până când conformitatea este asigurată și pe o perioadă de maximum șase luni de la data notificării deciziei de impunere a unei penalități cu titlu cominatoriu furnizorului terț esențial de servicii TIC.

(8)   Cuantumul penalității cu titlu cominatoriu, calculat de la data prevăzută în decizia de impunere a penalității cu titlu cominatoriu, este de până la 1 % din cifra de afaceri zilnică medie globală a furnizorului terț esențial de servicii TIC din exercițiul financiar precedent. La stabilirea cuantumului penalității cu titlu cominatoriu, supraveghetorul principal ține seama de următoarele criterii referitoare la nerespectarea măsurilor prevăzute la alineatul (6):

În scopul aplicării primului paragraf, pentru a asigura o abordare coerentă, supraveghetorul principal efectuează consultări în cadrul RSC.

(9)   Penalitățile cu titlu cominatoriu sunt de natură administrativă și sunt executorii. Executarea este reglementată de normele de procedură civilă în vigoare în statul membru pe teritoriul căruia au loc inspecțiile și este acordat accesul. Plângerile legate de neregulile survenite în cursul executării sunt de competența instanțelor judecătorești ale statului membru în cauză. Sumele aferente penalităților se alocă bugetului general al Uniunii Europene.

(10)   Supraveghetorul principal face publice toate penalitățile cu titlu cominatoriu aplicate, cu excepția cazurilor în care publicarea lor ar perturba grav piețele financiare sau ar aduce un prejudiciu disproporționat părților implicate.

(11)   Înainte de a impune o penalitate cu titlu cominatoriu în temeiul alineatului (6), supraveghetorul principal oferă reprezentanților furnizorului terț esențial de servicii TIC care face obiectul procedurii posibilitatea de a fi audiat cu privire la constatări și își întemeiază deciziile numai pe constatările asupra cărora furnizorul terț esențial de servicii TIC care face obiectul procedurii a avut ocazia să își prezinte observațiile.

Dreptul la apărare al persoanelor care fac obiectul procedurii se respectă pe deplin pe durata acesteia. Furnizorul terț esențial de servicii TIC care face obiectul procedurii are dreptul de a avea acces la dosar, sub rezerva interesului legitim al altor persoane de a-și proteja secretele comerciale. Dreptul de acces la dosar nu se extinde și la informațiile confidențiale sau la documentele interne de lucru ale supraveghetorului principal.

(1)   Atunci când obiectivele de supraveghere nu pot fi atinse prin intermediul interacțiunii cu filiala înființată potrivit dispozițiilor articolului 31 alineatul (12) sau prin exercitarea de activități de supraveghere la sedii situate în Uniune, supraveghetorul principal poate exercita competențele menționate la următoarele dispoziții, cu privire la orice sediu situat într-o țară terță care este deținut sau utilizat în orice mod în scopul furnizării de servicii către entități financiare din Uniune de către un furnizor terț esențial de servicii TIC, în legătură cu operațiunile, funcțiile sau serviciile sale comerciale, inclusiv orice birou, sediu, teren, clădire sau altă proprietate folosită cu scop administrativ, comercial sau operațional:

Competențele menționate la primul paragraf pot fi exercitate sub rezerva îndeplinirii tuturor condițiilor următoare:

(2)   Fără a aduce atingere competențelor instituțiilor Uniunii și, respectiv, ale statelor membre, în scopul aplicării alineatului (1), ABE, ESMA sau EIOPA încheie acorduri de cooperare administrativă cu autoritatea relevantă din țara terță pentru a permite buna desfășurare a inspecțiilor în țara terță în cauză de către supraveghetorul principal și echipa desemnată de acesta pentru misiunea sa în țara terță respectivă. Aceste acorduri de cooperare nu creează obligații juridice pentru Uniune și statele sale membre și nu împiedică statele membre și autoritățile lor competente să încheie acorduri bilaterale sau multilaterale cu țările terțe respective și cu autoritățile competente ale acestora.

Aceste acorduri de cooperare specifică cel puțin următoarele elemente:

(3)   În cazul în care supraveghetorul principal nu este în măsură să desfășoare activitățile de supraveghere în afara Uniunii menționate la alineatele (1) și (2), supraveghetorul principal:

Consecințele potențiale menționate la litera (b) de la prezentul alineat sunt luate în considerare în cadrul recomandărilor emise de supraveghetorul principal în temeiul articolului 35 alineatul (1) litera (d).

(1)   Supraveghetorul principal poate, printr-o simplă cerere sau printr-o decizie, să solicite furnizorilor terți esențiali de servicii TIC să furnizeze toate informațiile necesare pentru ca supraveghetorul principal să își îndeplinească sarcinile care îi revin în temeiul prezentului regulament, inclusiv toate documentele comerciale sau operaționale relevante, contractele, documentele de politică, rapoartele de audit privind securitatea TIC, rapoartele privind incidentele legate de TIC, precum și orice informații legate de părțile cărora furnizorul terț esențial de servicii TIC le-a externalizat funcții sau activități operaționale.

(2)   Atunci când trimite o simplă solicitare de informații în temeiul alineatului (1), supraveghetorul principal:

(3)   Atunci când solicită printr-o decizie furnizarea de informații în temeiul alineatului (1), supraveghetorul principal:

(4)   Reprezentanții furnizorilor terți esențiali de servicii TIC furnizează informațiile solicitate. Avocații autorizați în mod corespunzător să acționeze pot furniza informațiile în numele clienților lor. Furnizorii terți esențiali de servicii TIC au în continuare întreaga responsabilitate în cazul în care informațiile furnizate sunt incomplete, incorecte sau induc în eroare.

(5)   Supraveghetorul principal transmite fără întârziere o copie a deciziei prin care se solicită furnizarea de informații autorităților competente ale entităților financiare care folosesc serviciile furnizorilor terți esențiali de servicii TIC relevanți și RSC.

(1)   Pentru a-și îndeplini sarcinile care îi revin în temeiul prezentului regulament, supraveghetorul principal, asistat de echipa de examinare comună menționată la articolul 40 alineatul (1), poate, atunci când este necesar, să efectueze investigații cu privire la furnizorii terți esențiali de servicii TIC.

(2)   Supraveghetorul principal este abilitat:

(3)   Funcționarii și celelalte persoane autorizate de supraveghetorul principal în scopul efectuării investigației menționate la alineatul (1) își exercită competențele pe baza prezentării unei autorizații scrise în care se specifică obiectul și scopul investigației.

Autorizația respectivă indică, de asemenea, penalitățile cu titlu cominatoriu prevăzute la articolul 35 alineatul (6) aplicabile în cazul în care evidențele, datele, documentele care prevăd proceduri sau orice alte materiale solicitate sau răspunsurile la întrebările adresate reprezentanților furnizorului terț de servicii TIC nu sunt furnizate sau sunt incomplete.

(4)   Reprezentanții furnizorilor terți esențiali de servicii TIC sunt obligați să se supună investigațiilor pe baza unei decizii a supraveghetorului principal. Decizia specifică obiectul și scopul investigației, penalitățile cu titlu cominatoriu prevăzute la articolul 35 alineatul (6), căile de atac disponibile în temeiul Regulamentelor (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010, precum și dreptul de a solicita controlul legalității deciziei de către Curtea de Justiție.

(5)   În timp util înainte de începerea investigației, supraveghetorul principal informează autoritățile competente ale entităților financiare care utilizează serviciile TIC ale respectivului furnizor terț esențial de servicii TIC cu privire la investigația preconizată și la identitatea persoanelor autorizate.

Supraveghetorul principal comunică RSC toate informațiile primite în temeiul primului paragraf.

(1)   Pentru a-și îndeplini sarcinile care îi revin în temeiul prezentului regulament, supraveghetorul principal, asistat de echipele de examinare comună menționate la articolul 40 alineatul (1), poate să aibă acces la orice sediu comercial, teren sau proprietate a furnizorilor terți de servicii TIC, cum ar fi sediile sociale, centrele de operațiuni sau sediile secundare, și poate să efectueze toate inspecțiile la fața locului necesare, precum și să efectueze inspecții la distanță.

În scopul exercitării competențelor menționate la primul paragraf, supraveghetorul principal consultă RSC.

(2)   Funcționarii și celelalte persoane autorizate de supraveghetorul principal să efectueze o inspecție la fața locului sunt abilitați:

Funcționarii și celelalte persoane autorizate de supraveghetorul principal își exercită competențele pe baza prezentării unei autorizații scrise în care se specifică obiectul și scopul inspecției, precum și penalitățile cu titlu cominatoriu prevăzute la articolul 35 alineatul (6) în cazul în care reprezentanții furnizorilor terți esențiali de servicii TIC în cauză nu se supun inspecției.

(3)   În timp util înainte de începerea inspecției, supraveghetorul principal informează autoritățile competente ale entităților financiare care utilizează respectivul furnizor terț de servicii TIC.

(4)   Inspecțiile acoperă întreaga gamă de sisteme TIC, rețele, dispozitive, informații și date relevante care sunt utilizate sau contribuie la furnizarea de servicii TIC către entități financiare.

(5)   Înainte de orice inspecție la fața locului planificată, supraveghetorul principal le dă un preaviz rezonabil furnizorilor terți esențiali de servicii TIC, cu excepția cazului în care un astfel de preaviz nu este posibil din cauza unei situații de urgență sau de criză sau în cazul în care acesta ar conduce la o situație în care inspecția sau auditul nu ar mai fi eficace.

(6)   Furnizorul terț esențial de servicii TIC se supune inspecțiilor la fața locului dispuse prin decizia supraveghetorului principal. Decizia specifică obiectul și scopul inspecției, stabilește data la care va începe inspecția și indică penalitățile cu titlu cominatoriu prevăzute la articolul 35 alineatul (6), căile de atac disponibile în temeiul Regulamentelor (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010, precum și dreptul de a solicita controlul legalității deciziei de către Curtea de Justiție.

(7)   În cazul în care funcționarii și celelalte persoane autorizate de supraveghetorul principal constată că un furnizor terț esențial de servicii TIC se opune unei inspecții dispuse în temeiul prezentului articol, supraveghetorul principal informează furnizorul terț esențial de servicii TIC cu privire la consecințele unei astfel de opoziții, inclusiv cu privire la posibilitatea ca autoritățile competente ale entităților financiare relevante să solicite entităților financiare să înceteze acordurile contractuale încheiate cu respectivul furnizor terț esențial de servicii TIC.

(1)   Atunci când desfășoară activități de supraveghere, în special investigații generale sau inspecții, supraveghetorul principal este asistat de o echipă de examinare comună, instituită pentru fiecare furnizor terț esențial de servicii TIC.

(2)   Echipa de examinare comună menționată la alineatul (1) este formată din membri ai personalului:

Membrii echipei de examinare comună au cunoștințe de specialitate în domeniul TIC și în ceea ce privește riscurile operaționale. Echipa de examinare comună lucrează sub coordonarea unui membru desemnat al personalului supraveghetorului principal („coordonatorul supraveghetorului principal”).

(3)   În termen de trei luni de la încheierea unei investigații sau a unei inspecții, supraveghetorul principal, după consultarea Forumului de supraveghere, adoptă recomandări care urmează a fi adresate furnizorului terț esențial de servicii TIC în temeiul competențelor menționate la articolul 35.

(4)   Recomandările menționate la alineatul (3) se comunică imediat furnizorului terț esențial de servicii TIC și autorităților competente ale entităților financiare cărora acesta le furnizează servicii TIC.

În scopul executării activităților de supraveghere, supraveghetorul principal poate lua în considerare certificările relevante ale unei părți terțe și rapoartele de audit TIC intern sau extern ale unei părți terțe puse la dispoziție de furnizorul terț esențial de servicii TIC.

(1)   AES elaborează, prin intermediul Comitetului comun, proiecte de standarde tehnice de reglementare pentru a preciza:

(2)   AES transmit Comisiei aceste proiecte de standarde tehnice de reglementare până la 17 iulie 2024.

Se deleagă Comisiei competența de a completa prezentul regulament prin adoptarea standardelor tehnice de reglementare menționate la alineatul (1), în conformitate cu procedura prevăzută la articolele 10-14 din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1094/2010 și (UE) nr. 1095/2010.

(1)   În termen de 60 de zile calendaristice de la primirea recomandărilor emise de supraveghetorul principal în temeiul articolului 35 alineatul (1) litera (d), furnizorii terți esențiali de servicii TIC fie informează supraveghetorul principal cu privire la intenția lor de a urma recomandările, fie oferă o explicație cu privire la motivele pentru care nu vor urma recomandările respective. Supraveghetorul principal transmite imediat aceste informații autorităților competente ale entităților financiare în cauză.

(2)   Supraveghetorul principal face publice cazurile în care un furnizor terț esențial de servicii TIC nu informează supraveghetorul principal în conformitate cu alineatul (1) sau cazurile în care explicația furnizată de furnizorul terț esențial de servicii TIC nu este considerată suficientă. Informațiile publicate dezvăluie identitatea furnizorului terț esențial de servicii TIC, precum și informații privind tipul și natura neconformității. Aceste informații se limitează la ceea ce este pertinent și proporțional în scopul asigurării informării publicului, cu excepția cazului în care această publicare ar cauza prejudicii disproporționate părților implicate sau ar putea periclita grav buna funcționare și integritatea piețelor financiare sau stabilitatea întregului sistem financiar al Uniunii sau a unei părți a acestuia.

Supraveghetorul principal informează furnizorul terț de servicii TIC cu privire la respectiva informare publică.

(3)   Autoritățile competente informează entitățile financiare relevante cu privire la riscurile identificate în cadrul recomandărilor adresate furnizorilor terți esențiali de servicii TIC în conformitate cu articolul 35 alineatul (1) litera (d).

Atunci când gestionează riscuri TIC generate de părți terțe, entitățile financiare țin seama de riscurile menționate la primul paragraf.

(4)   În cazul în care o autoritate competentă consideră că o entitate financiară, în cadrul activității sale de gestionare a riscurilor TIC generate de părți terțe, nu ține seama de riscurile specifice identificate în cadrul recomandărilor sau nu le contracarează suficient, aceasta notifică entitatea financiară cu privire la posibilitatea adoptării unei decizii, în termen de 60 de zile calendaristice de la primirea unei astfel de notificări, în temeiul alineatului (6), în lipsa unor acorduri contractuale adecvate care să aibă drept scop contracararea acestor riscuri.

(5)   La primirea rapoartelor menționate la articolul 35 alineatul (1) litera (c) și înainte de a lua o decizie astfel cum se menționează la alineatul (6) de la prezentul articol, autoritățile competente pot, în mod voluntar, să consulte autoritățile competente desemnate sau instituite în conformitate cu Directiva (UE) 2022/2555 responsabile de supravegherea unei entități esențiale sau importante căreia i se aplică directiva respectivă și care a fost desemnată drept furnizor terț esențial de servicii TIC.

(6)   Autoritățile competente pot, ca măsură de ultimă instanță, în urma informării și, dacă este cazul, a consultării prevăzute la alineatele (4) și (5) din prezentul articol, în conformitate cu articolul 50, să adopte o decizie prin care să solicite entităților financiare să suspende temporar, parțial sau integral, utilizarea sau implementarea unui serviciu furnizat de furnizorul terț esențial de servicii TIC până la contracararea riscurilor identificate în cadrul recomandărilor adresate furnizorilor terți esențiali de servicii TIC. În cazul în care este necesar, acestea pot solicita entităților financiare să rezilieze parțial sau integral acordurile contractuale relevante încheiate cu furnizorii terți esențiali de servicii TIC.

(7)   În cazul în care un furnizor terț esențial de servicii TIC refuză să accepte recomandările în baza unei abordări divergente față de cea recomandată de supraveghetorul principal, și o astfel de abordare divergentă ar putea avea un impact negativ asupra unui număr mare de entități financiare sau asupra unei părți semnificative a sectorului financiar, iar avertismentele individuale emise de autoritățile competente nu au avut drept rezultat abordări coerente care să atenueze riscul potențial la adresa stabilității financiare, supraveghetorul principal poate, după consultarea Forumului de supraveghere, să emită avize neobligatorii și fără caracter public adresate autorităților competente, pentru a promova măsuri ulterioare de supraveghere coerente și convergente, după caz.

(8)   La primirea rapoartelor menționate la articolul 35 alineatul (1) litera (c), autoritățile competente, atunci când iau o decizie în conformitate cu alineatul (6) de la prezentul articol, țin seama de tipul și de amploarea riscului care nu a fost contracarat de furnizorul terț esențial de servicii TIC, precum și de gravitatea neconformității, având în vedere următoarele criterii:

Autoritățile competente le acordă entităților financiare perioada de timp necesară pentru a le permite să adapteze acordurile contractuale cu furnizorii terți esențiali de servicii TIC pentru a evita apariția unor efecte negative asupra rezilienței lor operaționale digitale și pentru a le permite să implementeze strategiile de ieșire și planurile de tranziție, astfel cum sunt menționate la articolul 28.

(9)   Decizia menționată la alineatul (6) de la prezentul articol se notifică membrilor Forumului de supraveghere menționat la articolul 32 alineatul (4) literele (a), (b) și (c) și RSC.

Furnizorii terți esențiali de servicii TIC vizați de deciziile prevăzute la alineatul (6) cooperează pe deplin cu entitățile financiare afectate, în special în contextul procesului de suspendare sau de încetare a acordurilor lor contractuale.

(10)   Autoritățile competente informează periodic supraveghetorul principal cu privire la abordările urmate și măsurile luate în cadrul atribuțiilor lor de supraveghere în ceea ce privește entitățile financiare, precum și cu privire la acordurile contractuale încheiate de entitățile financiare în cazul în care furnizorii terți esențiali de servicii TIC nu au acceptat, parțial sau în întregime, recomandările adresate de supraveghetorul principal.

(11)   Supraveghetorul principal poate, la cerere, să furnizeze clarificări suplimentare cu privire la recomandările emise pentru a îndruma autoritățile competente cu privire la măsurile ulterioare.

(1)   În conformitate cu actul delegat menționat la alineatul (2) de la prezentul articol, supraveghetorul principal percepe de la furnizorii terți esențiali de servicii TIC taxe care acoperă integral cheltuielile necesare ale supraveghetorului principal în legătură cu îndeplinirea atribuțiilor de supraveghere în temeiul prezentului regulament, inclusiv rambursarea oricăror costuri care ar putea fi suportate ca urmare a activității desfășurate de echipa de examinare comună prevăzută la articolul 40, precum și a costurilor aferente consultanței furnizate de experții independenți menționați la articolul 32 alineatul (4) al doilea paragraf, în legătură cu aspecte care intră în sfera activităților de supraveghere directă.

Cuantumul unei taxe percepute de la un furnizor terț esențial de servicii TIC acoperă toate costurile care decurg din efectuarea sarcinilor stabilite în prezenta secțiune și este proporțional cu cifra sa de afaceri.

(2)   Comisia este împuternicită să adopte un act delegat în conformitate cu articolul 57 pentru a completa prezentul regulament prin stabilirea cuantumului taxelor și a modalității de plată a acestora, până la 17 iulie 2024.

(1)   Fără a aduce atingere articolului 36, ABE, ESMA și EIOPA pot, în conformitate cu articolul 33 din Regulamentele (UE) nr. 1093/2010, (UE) nr. 1095/2010 și, respectiv, (UE) nr. 1094/2010, să încheie acorduri administrative cu autorități de reglementare și de supraveghere din țări terțe pentru a încuraja cooperarea internațională cu privire la riscurile TIC generate de părți terțe în diferite sectoare financiare, în special prin elaborarea de bune practici pentru revizuirea practicilor de gestionare a riscurilor TIC și a controalelor aferente, a măsurilor de atenuare și a răspunsurilor la incidente.

(2)   AES transmit, prin intermediul Comitetului comun, o dată la cinci ani, un raport confidențial comun Parlamentului European, Consiliului și Comisiei, în care sintetizează constatările discuțiilor relevante purtate cu autoritățile țărilor terțe menționate la alineatul (1), axându-se pe evoluția riscurilor TIC generate de părți terțe și pe implicațiile pentru stabilitatea financiară, integritatea pieței, protecția investitorilor și funcționarea pieței interne.

(1)   Entitățile financiare pot face schimb reciproc de informații și date operative privind amenințările cibernetice, inclusiv de indicatori de compromitere, tactici, tehnici și proceduri, alerte de securitate cibernetică și instrumente de configurare, în măsura în care aceste schimburi de informații și date operative:

(2)   În scopul aplicării alineatului (1) litera (c), acordurile privind schimbul de informații definesc condițiile de participare și, după caz, stabilesc detaliile privind implicarea autorităților publice și calitatea în care acestea pot fi asociate la acordurile privind schimbul de informații, implicarea furnizorilor terți de servicii TIC și elementele operaționale, inclusiv utilizarea platformelor informatice specifice.

(3)   Entitățile financiare informează autoritățile competente cu privire la participarea lor la acordurile privind schimbul de informații menționate la alineatul (1), în momentul validării sau, după caz, al încetării participării lor, odată ce aceasta începe să producă efecte.

(1)   Pentru a încuraja cooperarea și a permite schimburile de informații în scopuri de supraveghere între autoritățile competente desemnate în temeiul prezentului regulament și Grupul de cooperare instituit prin articolul 14 din Directiva (UE) 2022/2555, AES și autoritățile competente pot participa la activitățile Grupului de cooperare în ceea ce privește chestiuni care privesc activitățile lor de supraveghere în legătură cu entitățile financiare. AES și autoritățile competente pot solicita să fie invitate să participe la activitățile Grupului de cooperare cu privire la chestiuni legate de entitățile esențiale sau importante cărora li se aplică Directiva (UE) 2022/2555 și care au fost, de asemenea, desemnate drept furnizori terți esențiali de servicii TIC în temeiul articolului 31 din prezentul regulament.

(2)   După caz, autoritățile competente se pot consulta și pot face schimb de informații cu punctele unice de contact și cu echipele CSIRT desemnate sau instituite în conformitate cu Directiva (UE) 2022/2555.

(3)   După caz, autoritățile competente pot solicita orice tip de consultanță și asistență tehnică relevantă din partea autorităților competente desemnate sau stabilite în conformitate cu Directiva (UE) 2022/2555 și pot stabili acorduri de cooperare pentru a permite crearea unor mecanisme de coordonare eficace și rapide.

(4)   Acordurile menționate la alineatul (3) de la prezentul articol pot specifica, printre altele, procedurile pentru coordonarea activităților de supraveghere și, respectiv, de control în ceea ce privește entitățile esențiale sau importante cărora li se aplică Directiva (UE) 2022/2555 și care au fost desemnate drept furnizori terți esențiali de servicii TIC în temeiul articolului 31 din prezentul regulament, inclusiv pentru efectuarea, în conformitate cu dreptul intern, a investigațiilor și a inspecțiilor la fața locului, precum și pentru mecanismele privind schimbul de informații dintre autoritățile competente în temeiul prezentului regulament și autoritățile competente desemnate sau stabilite în conformitate cu directiva respectivă, care include accesul la informațiile solicitate de autoritățile din urmă.

(1)   Autoritățile competente cooperează îndeaproape între ele și, după caz, cu supraveghetorul principal.

(2)   Autoritățile competente și supraveghetorul principal își transmit reciproc, în timp util, toate informațiile relevante privind furnizorii terți esențiali de servicii TIC care sunt necesare pentru îndeplinirea sarcinilor care le revin în temeiul prezentului regulament, în special în legătură cu riscurile identificate, cu abordările și cu măsurile adoptate în cadrul sarcinilor de supraveghere ale supraveghetorului principal.

(1)   AES, prin intermediul Comitetului comun și în colaborare cu autoritățile competente, cu autoritățile de rezoluție menționate la articolul 3 din Directiva 2014/59/UE, cu BCE, cu Comitetul unic de rezoluție în ceea ce privește informațiile referitoare la entitățile care intră sub incidența Regulamentului (UE) nr. 806/2014, cu CERS și cu ENISA, după caz, pot stabili mecanisme care să permită schimbul de practici eficace între sectoarele financiare în vederea îmbunătățirii gradului de conștientizare a situației și a identificării vulnerabilităților și riscurilor cibernetice comune la nivelul tuturor sectoarelor.

Acestea pot elabora exerciții de gestionare a crizelor și pentru situații neprevăzute care implică scenarii de atacuri cibernetice, cu scopul de a dezvolta canale de comunicare și de a permite treptat un răspuns coordonat eficace la nivelul UE în cazul unui incident transfrontalier major legat de TIC sau al unei amenințări conexe cu un impact sistemic asupra sectorului financiar al Uniunii în ansamblu.

Exercițiile respective pot, după caz, să testeze și dependențele sectorului financiar de alte sectoare economice.

(2)   Autoritățile competente, AES și BCE cooperează strâns și fac schimb de informații pentru a-și îndeplini atribuțiile prevăzute la articolele 47-54. Acestea își coordonează îndeaproape activitățile de supraveghere pentru a identifica și a remedia cazurile de nerespectare a prezentului regulament, pentru a elabora și a promova bune practici, a facilita colaborarea, a stimula consecvența interpretării și a furniza evaluări interjurisdicționale în cazul oricăror neînțelegeri.

(1)   Autoritățile competente dispun de toate competențele de supraveghere, de investigare și de sancționare necesare pentru a-și îndeplini atribuțiile în conformitate cu prezentul regulament.

(2)   Competențele menționate la alineatul (1) includ cel puțin următoarele:

(3)   Fără a aduce atingere dreptului statelor membre de a impune sancțiuni penale în conformitate cu articolul 52, statele membre prevăd norme de stabilire a sancțiunilor administrative și a măsurilor de remediere corespunzătoare pentru încălcările prezentului regulament și asigură punerea lor efectivă în aplicare.

Aceste sancțiuni și măsuri sunt eficace, proporționale și disuasive.

(4)   Statele membre conferă autorităților competente competența de a aplica cel puțin următoarele sancțiuni administrative sau măsuri de remediere în cazul încălcării prezentului regulament:

(5)   Atunci când alineatul (2) litera (c) și alineatul (4) se aplică unor persoane juridice, statele membre conferă autorităților competente competența de a aplica sancțiunile administrative și măsurile de remediere, sub rezerva condițiilor prevăzute în dreptul intern, membrilor organului de conducere, precum și altor persoane care, în temeiul dreptului intern, sunt responsabile de încălcare.

(6)   Statele membre se asigură că orice decizie de impunere a unor sancțiuni administrative sau a unor măsuri de remediere prevăzute la alineatul (2) litera (c) este justificată în mod corespunzător și face obiectul unei căi de atac.

(1)   Autoritățile competente își exercită competențele de a impune sancțiunile administrative și măsurile de remediere menționate la articolul 50 în conformitate cu cadrele lor juridice naționale, dacă este cazul, după cum urmează:

(2)   La stabilirea tipului și a nivelului unei sancțiuni administrative sau al unei măsuri de remediere care urmează să fie impuse în temeiul articolului 50, autoritățile competente iau în considerare măsura în care încălcarea este intenționată sau rezultă din neglijență și toate celelalte circumstanțe relevante, inclusiv, după caz, următoarele elemente:

(1)   Statele membre pot decide să nu stabilească norme privind sancțiunile administrative sau măsurile de remediere în cazul încălcărilor care fac obiectul sancțiunilor penale în dreptul lor intern.

(2)   În cazul în care statele membre au ales să prevadă sancțiuni penale pentru încălcările prezentului regulament, acestea se asigură că sunt instituite măsuri adecvate astfel încât autoritățile competente să dispună de toate competențele necesare pentru a asigura legătura cu autoritățile judiciare, de urmărire penală sau autoritățile judiciare penale din jurisdicția lor pentru a primi informații specifice referitoare la anchete sau proceduri penale inițiate pentru încălcarea prezentului regulament, precum și pentru a furniza aceleași informații altor autorități competente, precum și ABE, ESMA sau EIOPA astfel încât să își îndeplinească obligațiile de cooperare în scopul aplicării prezentului regulament.

(1)   Autoritățile competente publică pe site-urile lor internet oficiale, fără întârzieri nejustificate, orice decizie de impunere a unei sancțiuni administrative care nu face obiectul niciunei căi de atac după notificarea destinatarului sancțiunii cu privire la decizia respectivă.

(2)   Publicarea menționată la alineatul (1) include informații privind tipul și natura încălcării, identitatea persoanelor responsabile și sancțiunile impuse.

(3)   În cazul în care autoritatea competentă, în urma unei evaluări de la caz la caz, consideră că publicarea identității, în cazul persoanelor juridice, sau a identității și a datelor cu caracter personal, în cazul persoanelor fizice, ar fi disproporționată, comportând riscuri cu privire la protecția datelor cu caracter personal, ar pune în pericol stabilitatea piețelor financiare sau desfășurarea unei anchete penale în curs sau ar cauza, în măsura în care acestea pot fi determinate, prejudicii disproporționate persoanei implicate, aceasta adoptă una dintre următoarele soluții în ceea ce privește decizia de impunere a unei sancțiuni administrative:

(4)   În cazul unei decizii de a publica sancțiunea administrativă menținând anonimatul persoanei în cauză în conformitate cu alineatul (3) litera (b), publicarea datelor relevante poate fi amânată.

(5)   Dacă o autoritate competentă publică o decizie de impunere a unei sancțiuni administrative care face obiectul unei căi de atac în fața autorităților judiciare relevante, autoritățile competente includ imediat pe site-ul lor internet oficial această informație și, ulterior, orice informații conexe ulterioare cu privire la rezultatul căii de atac. Se publică, de asemenea, hotărârile judecătorești care anulează deciziile de impunere a unei sancțiuni administrative.

(6)   Autoritățile competente se asigură că orice publicare menționată la alineatele (1)-(4) rămâne pe site-ul lor internet oficial numai pe perioada care este necesară pentru ca prezentul articol să își producă efectele. Această perioadă nu poate depăși cinci ani de la data publicării.

(1)   Informațiile confidențiale primite, schimbate sau transmise în temeiul prezentului regulament fac obiectul condițiilor privind respectarea secretului profesional prevăzute la alineatul (2).

(2)   Obligația de păstrare a secretului profesional se aplică tuturor persoanelor care lucrează sau care au lucrat pentru autoritățile competente în temeiul prezentului regulament sau pentru orice autoritate, întreprindere de pe piață sau persoană fizică ori juridică căreia respectivele autorități competente i-au delegat competențele lor, inclusiv auditorilor și experților contractați de acestea.

(3)   Informațiile care fac obiectul secretului profesional, inclusiv schimbul de informații între autoritățile competente în temeiul prezentului regulament și autoritățile competente desemnate sau instituite în conformitate cu Directiva (UE) 2022/2555, nu se comunică niciunei alte persoane sau autorități, cu excepția cazului în care acest lucru este prevăzut de dreptul Uniunii sau de dreptul intern.

(4)   Toate informațiile care fac obiectul unor schimburi între autoritățile competente în temeiul prezentului regulament și care privesc condițiile comerciale sau operaționale și alte chestiuni economice sau personale sunt considerate confidențiale și intră sub incidența obligației referitoare la secretul profesional, cu excepția cazului în care autoritatea competentă precizează, la momentul comunicării, că informațiile respective pot fi divulgate sau a cazului în care divulgarea acestora este necesară pentru desfășurarea unei proceduri judiciare.

(1)   AES și autoritățile competente sunt autorizate să prelucreze date cu caracter personal numai în cazul în care acest lucru este necesar în scopul îndeplinirii obligațiilor și sarcinilor care le revin în temeiul prezentului regulament, în special în ceea ce privește investigarea, realizarea de inspecții, solicitarea de informații, comunicarea, publicarea, evaluarea, verificarea, evaluarea și elaborarea de planuri de supraveghere. Datele cu caracter personal se prelucrează în conformitate cu Regulamentul (UE) 2016/679 sau cu Regulamentul (UE) 2018/1725, în funcție de care dintre acestea este aplicabil.

(2)   Cu excepția cazului în care se prevede altfel în alte acte sectoriale, datele cu caracter personal menționate la alineatul (1) se păstrează până la îndeplinirea atribuțiilor de supraveghere aplicabile și, în orice caz, pentru o perioadă maximă de 15 ani, cu excepția cazului în care o procedură judiciară în curs necesită păstrarea acestor date pentru o perioadă mai lungă.

(1)   Se conferă Comisiei competența de a adopta acte delegate, cu respectarea condițiilor stabilite la prezentul articol.

(2)   Competența de a adopta acte delegate menționată la articolul 31 alineatul (6) și la articolul 43 alineatul (2) se conferă Comisiei pe o perioadă de cinci ani de la 17 ianuarie 2024. Comisia elaborează un raport privind delegarea de competențe cu cel puțin nouă luni înainte de încheierea perioadei de cinci ani. Delegarea de competențe se prelungește tacit cu perioade de timp identice, cu excepția cazului în care Parlamentul European sau Consiliul se opune prelungirii respective cu cel puțin trei luni înainte de încheierea fiecărei perioade.

(3)   Delegarea de competențe menționată la articolul 31 alineatul (6) și la articolul 43 alineatul (2) poate fi revocată oricând de Parlamentul European sau de Consiliu. O decizie de revocare pune capăt delegării competenței specificate în decizia respectivă. Decizia produce efecte din ziua care urmează datei publicării acesteia în Jurnalul Oficial al Uniunii Europene sau de la o dată ulterioară menționată în decizie. Decizia nu aduce atingere actelor delegate care sunt deja în vigoare.

(4)   Înainte de adoptarea unui act delegat, Comisia consultă experții desemnați de fiecare stat membru în conformitate cu principiile prevăzute în Acordul interinstituțional din 13 aprilie 2016 privind o mai bună legiferare.

(5)   De îndată ce adoptă un act delegat, Comisia îl notifică simultan Parlamentului European și Consiliului.

(6)   Un act delegat adoptat în temeiul articolului 31 alineatul (6) și al articolului 43 alineatul (2) intră în vigoare numai în cazul în care nici Parlamentul European și nici Consiliul nu au formulat obiecții în termen de trei luni de la notificarea acestuia către Parlamentul European și Consiliu sau în cazul în care, înaintea expirării termenului respectiv, Parlamentul European și Consiliul au informat Comisia că nu vor formula obiecții. Respectivul termen se prelungește cu trei luni la inițiativa Parlamentului European sau a Consiliului.

(1)   Până la 17 ianuarie 2028, după ce se consultă cu AES și CERS, după caz, Comisia efectuează o reexaminare și prezintă un raport Parlamentului European și Consiliului, însoțit, dacă este cazul, de o propunere legislativă. Reexaminarea include cel puțin următoarele aspecte:

(2)   În contextul reexaminării Directivei (UE) 2015/2366, Comisia evaluează necesitatea unei mai mari reziliențe cibernetice a sistemelor de plăți și a activităților de prelucrare a plăților, precum și oportunitatea extinderii domeniului de aplicare al prezentului regulament la operatorii sistemelor de plată și la entitățile implicate în activitățile de prelucrare a plăților. În lumina acestei evaluări, Comisia prezintă Parlamentului European și Consiliului, în cadrul reexaminării Directivei (UE) 2015/2366, un raport până cel târziu la 17 iulie 2023.

Pe baza respectivului raport de reexaminare și după consultarea AES, BCE și CERS, Comisia poate prezenta, dacă este cazul și ca parte a propunerii legislative pe care o poate adopta în temeiul articolului 108 al doilea paragraf din Directiva (UE) 2015/2366, o propunere urmărind să asigure faptul că toți operatorii sistemelor de plată și entitățile implicate în activitățile de prelucrare a plăților fac obiectul unei supravegheri adecvate, ținând seama în același timp de supravegherea existentă din partea băncilor centrale.

(3)   Până la 17 ianuarie 2026, după consultarea AES și a Comitetului Organismelor Europene de Supraveghere a Auditului, Comisia efectuează o reexaminare și prezintă Parlamentului European și Consiliului un raport, însoțit, după caz, de o propunere legislativă, cu privire la oportunitatea unor cerințe mai stricte pentru auditorii statutari și firmele de audit în ceea ce privește reziliența operațională digitală, prin includerea auditorilor statutari și a firmelor de audit în domeniul de aplicare al prezentului regulament sau prin intermediul unor modificări ale Directivei 2006/43/CE a Parlamentului European și a Consiliului (39).