Член 42

Последващи действия на компетентните органи

1. В рамките на 60 календарни дни от получаването на отправените от водещия надзорник по силата на член 35, параграф 1, буква г) препоръки трети страни критични доставчици на услуги в областта на ИКТ, го уведомяват за намерението си да последват въпросните препоръки или представят аргументирано обяснение защо няма да ги последват. Водещият надзорник незабавно предава тази информация на компетентните органи на заинтересованите финансови субекти.

2. Водещият надзорник оповестява публично случаите, когато трета страна критичен доставчик на услуги в областта на ИКТ, не уведоми водещия надзорник в съответствие с параграф 1 или когато предоставеното от третата страна критичен доставчик на услуги в областта на ИКТ, обяснение бъде сметнато за недостатъчно. В публикуваната информация се разкрива самоличността на третата страна критичен доставчик на услуги в областта на ИКТ, както и видът и естеството на неспазването. Тази информация се ограничава до това, което е съществено и пропорционално за целта да се гарантира обществената осведоменост, освен в случаите, когато такова публикуване би могло да причини несъразмерна вреда на засегнатите страни или да застраши сериозно правилното функциониране и целостта на финансовите пазари или стабилността на цялата финансова система на Съюза или на част от нея.

Водещият надзорник уведомява за това публично оповестяване третата страна доставчик на услуги в областта на ИКТ.

3. Компетентните органи информират съответните финансови субекти за рисковете, установени в препоръките, отправени към третите страни критични доставчици на услуги в областта на ИКТ в съответствие с член 35, параграф 1, буква г).

При управлението на риска при ИКТ, пораждан от трета страна финансовите субекти вземат предвид рисковете, посочени в първа алинея.

4. Когато компетентен орган прецени, че даден финансов субект не отчита или не се справя в рамките на управлението на риска при ИКТ, пораждан от трети страни в достатъчна степен със специфичните рискове, посочени в препоръките, той уведомява финансовия субект за възможността да вземе решение в срок от 60 календарни дни от получаването на уведомлението съгласно параграф 6 при липсата на подходящи договорни споразумения, насочени към преодоляване на тези рискове.

5. След получаване на докладите, посочени в член 35, параграф 1, буква в), и преди да вземат решение по параграф 6 от настоящия член, компетентните органи могат доброволно да се консултират с националните компетентни органи, определени или установени в съответствие с Директива (ЕС) 2022/2555, отговарящи за надзора на съществен или важен субект, попадащ в обхвата на посочената директива, който е определен за трета страна критичен доставчик на услуги в областта на ИКТ.

6. Компетентен орган може, като последна мярка, след уведомлението, и ако е приложимо — след консултацията, както е посочено в параграфи 4 и 5 от настоящия член, по силата на член 50 да вземе решение, с което да изиска от финансов субект временно да престане, частично или изцяло, да използва или да внедрява услуга, предоставяна от дадена трета страна критичен доставчик на услуги в областта на ИКТ, докато не бъдат отстранени рисковете, установени в отправените към същия доставчик препоръки. Когато е необходимо, той може да изиска от финансовия субект да прекрати, частично или изцяло, съответните договорни споразумения, сключени с третата страна критичен доставчик на услуги в областта на ИКТ.

7. Ако трета страна критичен доставчик на услуги в областта на ИКТ откаже да приеме препоръките, като се опира на подход, различен от препоръчания от водещия надзорник, и този различен подход може да окаже неблагоприятно въздействие върху голям брой финансови субекти или значителна част от финансовия сектор, изпълняващи критични или важни функции, и ако индивидуалните предупреждения, отправени от компетентните органи, не са довели до последователни подходи за намаляване на потенциалния риск за финансовата стабилност, водещият надзорник може, след консултация с надзорния форум, да излезе по целесъобразност с необвързващи и непублични становища към компетентните органи, за да насърчи съгласувани и конвергентни мерки, свързани с последващи надзорни действия.

8. След получаването на докладите, посочени в член 35, параграф 1, буква в), когато вземат решение съгласно параграф 6 от настоящия член, компетентните органи отчитат вида и размера на риска, на който третата страна критичен доставчик на услуги в областта на ИКТ, не е обърнала внимание, както и доколко сериозно е неспазването, като се отчитат следните критерии:

а) тежестта и продължителността на неспазването;

б) дали неспазването е разкрило сериозни слабости в процедурите, системите за управление, управлението на риска и вътрешния контрол на третата страна критичен доставчик на услуги в областта на ИКТ;

в) дали неспазването е благоприятствало, предизвикало или по друг начин довело до финансово престъпление;

г) дали неспазването е било умишлено или поради небрежност;

д) дали спирането или прекратяването на договорните споразумения поражда риск за непрекъснатостта на стопанската дейност на финансовия субект, независимо от усилията на финансовия субект да избегне смущения в предоставянето на своите услуги;

е) ако е приложимо, поисканото на доброволен принцип в съответствие с параграф 5 от настоящия член становище на компетентните органи, определени или установени в съответствие с Директива (ЕС) 2022/2555, отговарящи за съществен или важен субект, попадащ в обхвата на посочената директива, който е определен за трета страна критичен доставчик на услуги в областта на ИКТ.

Компетентните органи предоставят на финансовите субекти необходимия срок, за да могат те да адаптират договорните споразумения с третите страни критични доставчици на услуги в областта на ИКТ, за да се избегнат неблагоприятните последици за тяхната оперативна устойчивост на цифровите технологии и да им се даде възможност да приложат изходните стратегии и преходните планове, посочени в член 28.

9. Решението, посочено в параграф 6 от настоящия член, се съобщава на членовете на надзорния форум, посочен в член 32, параграф 4, букви а), б) и в), и на СМН.

Третите страни критични доставчици на услуги в областта на ИКТ, засегнати от решенията по параграф 6, оказват пълно съдействие на засегнатите финансови субекти, по-специално в процеса на спиране на действието или прекратяване на договорните им споразумения.

10. Компетентните органи редовно осведомяват водещия надзорник за предприетите в хода на надзора върху финансовите субекти подходи и мерки, както и за договорните споразумения, сключени от финансовите субекти в случай на частично или цялостно пренебрегване от страна на трети страни, които са критични доставчици на услуги в областта на ИКТ, на отправените от водещия надзорник препоръки.

11. При поискване водещият надзорник може да предостави допълнителни разяснения относно издадените препоръки, за да даде насоки на компетентните органи във връзка с последващите мерки.