Член 35

Правомощия на водещия надзорник

1. За изпълнението на предвидените в настоящия раздел задачи водещият надзорник разполага със следните правомощия по отношение на критичните трети страни доставчици на услуги в областта на ИКТ:

а) да изисква цялата имаща отношение информация и документация съгласно член 37;

б) да провежда общи разследвания и проверки съгласно съответно членове 38 и 39;

в) да изисква след приключване на надзорните действия доклади, в които да са посочени предприетите от третите страни критични доставчици на услуги в областта на ИКТ, действия или корективни мерки по посочените в буква г) от настоящия параграф препоръки;

г) да издава препоръки в областите, посочени в член 33, параграф 3, по-специално за следното:

i) използване на специфични изисквания или процеси за сигурност и качество на ИКТ, по-специално за въвеждане на софтуерни пачове, актуализиране, криптиране и други мерки за защита, които водещият надзорник счита за необходими с оглед на сигурността на услугите в областта на ИКТ, предоставяни на финансовите субекти;

ii) използване на условия и изисквания — като се отчита и техническото им изпълнение, които третите страни критични доставчици на услуги в областта на ИКТ трябва да съблюдават, когато предоставят такива услуги на финансовите субекти, и които водещият надзорник смята, че са необходими, за да се предотврати появата или разрастването на точки, повредата в които може да доведе до общ отказ на системата, или за да се сведе до минимум възможното системно въздействие върху финансовия сектор на Съюза на материализирал се риск от концентрация на ИКТ;

iii)

всяко планирано възлагане на подизпълнители, когато водещият надзорник прецени, че възлагането на подизпълнители, включително споразуменията за възлагане на подизпълнители, които третата страна критичен доставчик на услуги в областта на ИКТ възнамерява да сключи с трети страни доставчици на услуги в областта на ИКТ, или с поддоставчици на ИКТ, установени в трета държава, може да породи рискове за предоставянето на услуги от финансовия субект или рискове за финансовата стабилност въз основа на прегледа на събраната в съответствие с членове 37 и 38 информация;

iv) въздържане от възлагане на подизпълнители, ако са изпълнени кумулативно следните условия:

— предвиденият подизпълнител е трета страна доставчик на услуги в областта на ИКТ, или поддоставчик на ИКТ, установен в трета държава;

— възлагането на подизпълнители се отнася до критични или важни функции на финансовия субект; както и

— водещият надзорник счита, че използването на такова възлагане на подизпълнители представлява ясен и сериозен риск за финансовата стабилност на Съюза или за финансовите субекти, включително за способността на финансовите субекти да спазват надзорните изисквания.

За целите на точка iv) от настоящата буква третите страни доставчици на услуги в областта на ИКТ, като използват образеца, посочен в член 41, параграф 1, буква б), предават на водещия надзорник информацията относно възлагането на подизпълнители.

2. При упражняване на правомощията, посочени в настоящия член, водещият надзорник:

а) осигурява редовна координация в рамките на СМН и по-специално търси съгласувани подходи, когато е целесъобразно, по отношение на надзора над третите страни критичните доставчици на услуги в областта на ИКТ;

б) взема надлежно предвид рамката, установена с Директива (ЕС) 2022/2555, и при необходимост се консултира със съответните компетентни органи, определени и установени в съответствие с посочената директива, с цел избягване на дублиране на технически и организационни мерки, които биха могли да са приложими за третите страни критични доставчици на услуги в областта на ИКТ, съгласно посочената директива;

в) се стреми да сведе до минимум, доколкото е възможно, риска от смущение в услугите, предоставяни от третите страни критични доставчици на услуги в областта на ИКТ, на клиенти, които са субекти извън обхвата на настоящия регламент.

3. Преди да упражни свое посочено в параграф 1 правомощие водещият надзорник се допитва до надзорния форум.

Преди да издаде препоръките в съответствие с параграф 1, буква г), водещият надзорник дава възможност на третата страна доставчик на услуги в областта на ИКТ да предостави в срок от 30 календарни дни съответната информация, доказваща очакваното въздействие върху клиентите, които са субекти извън обхвата на настоящия регламент, и когато е целесъобразно, да формулира решения за намаляване на рисковете.

4. Водещият надзорник информира СМН за резултатите от упражняването на правомощията, посочени в параграф 1, букви а) и б). Водещият надзорник предава без ненужно забавяне докладите по параграф 1, буква в) на СМН и на компетентните органи на финансовите субекти, използващи услугите в областта на ИКТ на тази трета страна критичен доставчик на услуги в областта на ИКТ.

5. Третите страни критични доставчици на услуги в областта на ИКТ, сътрудничат добросъвестно на водещия надзорник и му съдействат в изпълнението на задачите му.

6. В случай на пълно или частично неспазване на мерките, които се изисква да бъдат предприети във връзка с изпълнение на правомощията по параграф 1, букви а), б) и в), и след изтичането на срок от най-малко 30 календарни дни, считано от датата, на която третата страна критичен доставчик на услуги в областта на ИКТ, е получила уведомление за съответните мерки, водещият надзорник взема решение за налагане на периодични наказателни плащания, за да принуди третата страна критичен доставчик на услуги в областта на ИКТ, да започне да спазва тези мерки.

7. Периодичните наказателни плащания, посочени в параграф 6, се начисляват ежедневно, докато разпоредбите не започнат да се спазват, но не по-дълго от шест месеца, след като дадената трета страна критичен доставчик на услуги в областта на ИКТ, е бил уведомено за решението за налагането на периодичните наказателни плащания.

8. Размерът на периодичните наказателни плащания се изчислява от датата, посочена в решението за налагането им, и представлява до 1 % от средния дневен световен оборот на третата страна критичен доставчик на услуги в областта на ИКТ, през предходната финансова година. При определяне на размера на наказателното плащане водещият надзорник взема предвид следните критерии относно неспазването на мерките, посочени в параграф 6:

а) тежестта и продължителността на неспазването;

б) дали неспазването е било умишлено или поради небрежност;

в) степента на сътрудничество на третата страна доставчик на услуги в областта на ИКТ с водещия надзорник;

За целите на първа алинея, за да се гарантира последователен подход, водещият надзорник участва в консултации в рамките на СМН.

9. Наказателните плащания са административна мярка и подлежат на принудително изпълнение. Принудителното изпълнение се урежда от действащите гражданскопроцесуални норми на държавата членка, на чиято територия се извършват проверките и достъпът. Съдилищата на съответната държава членка са компетентни да разглеждат жалбите за неправомерно правоприлагане. Събраните периодични наказателни плащания се внасят в общия бюджет на Европейския съюз.

10. Водещият надзорник оповестява публично всички периодични наказателни плащания, стига такова оповестяване да не застрашава сериозно финансовите пазари, нито да причинява несъразмерно голяма вреда на засегнатите страни.

11. Преди да наложи периодичните наказателни плащания по параграф 6, водещият надзорник дава възможност на представителите на третата страна критичен доставчик на услуги в областта на ИКТ, срещу когото е възбудено дело, да бъдат изслушани във връзка с констатациите и основава решението си само на тези констатации, които въпросният доставчик е имал възможност да коментира.

Правото на защита на страната, срещу която е възбудено дело, се съблюдава строго в хода на производството. Третата страна критичен доставчик на услуги в областта на ИКТ, срещу която е възбудено дело, има право на достъп до преписката по делото при зачитане на законния интерес на други лица от опазване на търговските им тайни. Правото на достъп до преписката не се отнася до поверителната информация, нито до вътрешните подготвителни документи на водещия надзорник.