Член 33

Задачи на водещия надзорник

1. Водещият надзорник, определен в съответствие с член 31, параграф 1, буква б), осъществява надзор над определените трети страни критични доставчици на услуги в областта на ИКТ, и за целите на всички въпроси, свързани с надзора, е основното звено за контакт за тези трети страни критични доставчици на услуги в областта на ИКТ.

2. За целите на параграф 1 водещият надзорник оценява дали всяка трета страна критичен доставчик на услуги в областта на ИКТ разполага с подробни, надеждни и ефективни правила, процедури, механизми и договорености за управление на риска в областта на ИКТ, който може да породи за финансовите субекти.

Оценката, посочена в първа алинея, е насочена главно към услугите в областта на ИКТ, предоставяни от третата страна критичен доставчик на услуги в областта на ИКТ, поддържащи критичните или важните функции на финансовите субекти. Когато е необходимо за справяне с всички съответни рискове, тази оценка обхваща и услуги в областта на ИКТ, поддържащи функции, които не са критични или важни.

3. Оценката, посочена в параграф 2, обхваща:

а) изискванията във връзка с ИКТ за гарантиране по-специално на сигурността, наличността, непрекъснатостта, капацитета за увеличаване и качеството на услугите, предоставяни на финансовите субекти от третата страна критичен доставчик на услуги в областта на ИКТ, както и способността неотклонно да се спазват високи стандарти за наличност, автентичност, цялостност или поверителност на данните;

б) физическата сигурност, която допринася за гарантиране на сигурността на ИКТ, включително сигурността на помещенията, оборудването, центровете за данни);

в) процесите по управление на риска, включително политиките за управление на риска в областта на ИКТ, политиката за непрекъснатост на дейността на ИКТ и плановете за реакция и възстановяване на ИКТ;

г) управленските механизми за ефективно управление на риска в областта на ИКТ, включително организационна структура с ясни, прозрачни и последователни области на отговорност и правила за отчетността;

д) идентифицирането, наблюдаването и своевременното уведомяване на финансовите субекти за съществените инциденти с ИКТ, управлението и отстраняването на такива инциденти, в частност — на кибератаките;

е) механизмите за преносимост на данните, за преносимост на приложенията и за оперативна съвместимост, чрез които се осигурява ефективно упражняване от финансовите субекти на правото на прекратяване на деловите взаимоотношения;

ж) тестването на системите, инфраструктурата и контролните механизми на ИКТ;

з) одитите на ИКТ;

и) използването на съответни национални и международни стандарти, приложими за предоставянето на услугите в областта на ИКТ на финансовите субекти.

4. Въз основа на оценката, посочена в параграф 2, и в координация със съвместната мрежа за надзор (СМН), посочена в член 34, параграф 1, водещият надзорник приема ясен, подробен и обоснован индивидуален план за надзор, в който се описват годишните цели на надзора и основните действия по надзора, планирани за всяко трета страна критичен доставчик на услуги в областта на ИКТ. Този план се предава всяка година на третата страна критичен доставчик на услуги в областта на ИКТ.

Преди приемането на плана за надзор водещият надзорник предава проекта на плана за надзор на третата страна критичен доставчик на услуги в областта на ИКТ.

При получаване на проекта на плана за надзор третата страна критичен доставчик на услуги в областта на ИКТ, може в срок от 15 календарни дни да представи мотивирано становище, в което да докаже очакваното въздействие върху клиентите, които са субекти извън обхвата на настоящия регламент, и когато е целесъобразно, да формулира решения за смекчаване на рисковете.

5. След приемането на годишните планове за надзор, посочени параграф 4, и предаването им на третите страни критични доставчици на услуги в областта на ИКТ, компетентните органи могат да приемат мерки спрямо тези критични доставчици само в съгласие с водещия надзорник.