Articolo 35 – Poteri dell’autorità di sorveglianza capofila

Sintesi Articolo 35

L’Autorità di Sorveglianza Capofila nell’ambito di DORA ha specifici poteri per supervisionare i fornitori di servizi TIC di terze parti. Questi poteri includono la richiesta di informazioni, la conduzione di indagini e l’emissione di raccomandazioni in materia di sicurezza e requisiti di qualità TIC. L’Autorità di Sorveglianza Capofila può anche imporre sanzioni per la mancata conformità, calcolate come percentuale del fatturato medio giornaliero a livello mondiale del fornitore di servizi. Il processo di sorveglianza prevede un regolare coordinamento all’interno della Rete congiunta di sorveglianza (JON) e la consultazione con il Forum di sorveglianza. L’Autorità di Sorveglianza Capofila mira a ridurre al minimo le interruzioni del servizio e tiene conto del quadro stabilito dalla Direttiva (UE) 2022/2555 per evitare la duplicazione delle misure.

  1. Ai fini dello svolgimento dei compiti previsti dalla presente sezione, all’autorità di sorveglianza capofila sono conferiti i poteri indicati di seguito riguardo ai fornitori terzi critici di servizi TIC:
    • a) richiedere tutte le informazioni e la documentazione pertinenti ai sensi dell’articolo 37;
    • b) condurre indagini e ispezioni di carattere generale ai sensi degli articoli 38 e 39 rispettivamente;
    • c) richiedere, dopo il completamento delle attività di sorveglianza, relazioni in cui si specifichino le azioni adottate o i rimedi applicati da parte dei fornitori terzi critici di servizi TIC in relazione alle raccomandazioni di cui alla lettera d) del presente paragrafo;
    • d) formulare raccomandazioni concernenti i settori di cui all’articolo 33, paragrafo 3, in particolare per quanto riguarda gli elementi indicati di seguito:
      • i) l’impiego di specifici processi o requisiti di sicurezza e qualità delle TIC, segnatamente per il rilascio di correzioni, aggiornamenti, cifratura e altre misure di sicurezza che l’autorità di sorveglianza capofila giudichi pertinenti per garantire la sicurezza delle TIC dei servizi forniti alle entità finanziarie;
      • ii) l’uso di termini e condizioni, compresa la relativa attuazione tecnica, in base ai quali i fornitori terzi critici di servizi TIC prestano servizi TIC alle entità finanziarie, che l’autorità di sorveglianza capofila giudichi importanti per prevenire il prodursi di singoli punti di vulnerabilità (points of failure), l’amplificazione degli stessi, oppure per ridurre al minimo il possibile impatto sistemico in tutto il settore finanziario dell’Unione in caso di rischio di concentrazione delle TIC;
      • iii) eventuali subappalti previsti, ove l’autorità di sorveglianza capofila ritenga che ulteriori subappalti, compresi gli accordi di subappalto che i fornitori terzi critici di servizi TIC intendano stipulare con fornitori terzi di servizi TIC o con subappaltatori di TIC stabiliti in un paese terzo, possano produrre rischi per la fornitura di servizi da parte dell’entità finanziaria o rischi per la stabilità finanziaria, sulla base dell’esame delle informazioni raccolte a norma degli articoli 37 e 38;
      • iv) la rinuncia a stipulare un ulteriore accordo di subappalto qualora siano soddisfatte le condizioni cumulative seguenti:

— il subappaltatore designato è un fornitore terzo di servizi TIC oppure un subappaltatore di TIC stabilito in un paese terzo;

— il subappalto riguarda funzioni essenziali o importanti dell’entità finanziaria; nonché

— l’autorità di sorveglianza capofila ritiene che il ricorso a tale subappalto rappresenti un rischio grave e chiaro per la stabilità finanziaria dell’Unione o per le entità finanziarie, anche per quanto riguarda la capacità delle entità finanziarie di rispettare i requisiti in materia di sorveglianza. Ai fini del punto iv) della presente lettera, i fornitori terzi di servizi TIC trasmettono all’autorità di sorveglianza capofila, utilizzando il modello di cui all’articolo 41, paragrafo 1, lettera b), le informazioni relative al subappalto.

  1. Nell’esercizio dei poteri di cui al presente articolo, l’autorità di sorveglianza capofila:
    • a) assicura un coordinamento regolare all’interno della rete di sorveglianza comune e, in particolare, persegue approcci coerenti, se del caso, per quanto riguarda la sorveglianza dei fornitori terzi critici di servizi TIC;
    • b) tiene debitamente conto del quadro istituito dalla direttiva (UE) 2022/2555 e, se necessario, consulta le autorità competenti interessate designate o istituite in conformità di tale direttiva, al fine di evitare duplicazioni delle misure tecniche e organizzative che potrebbero applicarsi ai fornitori terzi critici di servizi TIC ai sensi di tale direttiva;
    • c) si adopera per ridurre al minimo, nella misura del possibile, il rischio di perturbazione dei servizi forniti da fornitori terzi critici di servizi TIC a clienti che sono entità non rientranti nell’ambito di applicazione del presente regolamento.
  1. L’autorità di sorveglianza capofila consulta il forum di sorveglianza prima di esercitare i poteri di cui al paragrafo 1. Prima di formulare raccomandazioni a norma del paragrafo 1, lettera d), l’autorità di sorveglianza capofila dà al fornitore terzo di servizi TIC la possibilità di fornire entro 30 giorni di calendario informazioni pertinenti che dimostrino l’impatto previsto sui clienti che sono entità che non rientrano nell’ambito di applicazione del presente regolamento e, se del caso, formulino soluzioni per attenuare i rischi.
  2. L’autorità di sorveglianza capofila informa la rete di sorveglianza comune dell’esito dell’esercizio dei poteri di cui al paragrafo 1, lettere a) e b). L’autorità di sorveglianza capofila trasmette, senza indebito ritardo, le relazioni di cui al paragrafo 1, lettera c), alla rete di sorveglianza comune e alle autorità competenti delle entità finanziarie che utilizzano i servizi TIC di tale fornitore terzo critico di servizi TIC.
  3. I fornitori terzi critici di servizi TIC cooperano in buona fede con l’autorità di sorveglianza capofila e la coadiuvano nell’adempimento dei suoi compiti.
  4. In caso di inosservanza totale o parziale delle misure che devono essere adottate ai sensi dell’esercizio dei poteri di cui al paragrafo 1, lettere a), b) e c), e dopo la scadenza di un periodo di almeno 30 giorni di calendario dalla data in cui il fornitore terzo critico di servizi TIC ha ricevuto la notifica delle rispettive misure, l’autorità di sorveglianza capofila adotta una decisione che impone una penalità di mora al fine di costringere il fornitore terzo critico di servizi TIC a conformarsi a tali misure.
  5. La penalità di mora, di cui al paragrafo 6, è imposta su base giornaliera fino al conseguimento della conformità e per un periodo non superiore a sei mesi dalla notifica della decisione che impone una penalità di mora al fornitore terzo critico di servizi TIC.
  6. L’importo della penalità di mora, calcolato a partire dalla data indicata nella decisione che la impone, è fino all’1 % del fatturato medio quotidiano realizzato a livello mondiale dal fornitore terzo critico di servizi TIC nel precedente esercizio. Nel determinare l’importo della penalità, l’autorità di sorveglianza capofila tiene conto dei seguenti criteri per quanto riguarda l’inosservanza delle misure di cui al paragrafo 6:
    • a) la gravità e la durata dell’inosservanza;
    • b) se l’inosservanza sia stata commessa intenzionalmente o per negligenza;
    • c) il livello di cooperazione del fornitore terzo di servizi TIC con l’autorità di sorveglianza capofila. Ai fini del primo comma, per garantire un approccio coerente, l’autorità di sorveglianza capofila avvia consultazioni nell’ambito della rete di sorveglianza comune.
  7. Le penalità sono di natura amministrativa e sono esecutive. L’applicazione delle penalità è regolata dalle norme di procedura civile vigenti nello Stato membro sul cui territorio si svolgono le ispezioni e l’accesso. I giudici dello Stato membro interessato esercitano la giurisdizione sui reclami concernenti l’irregolarità dell’applicazione delle penalità. Gli importi delle penalità sono assegnati al bilancio generale dell’Unione europea.
  8. L’autorità di sorveglianza capofila comunica al pubblico ogni penalità di mora inflitta, salvo il caso in cui tale comunicazione possa mettere gravemente a rischio i mercati finanziari o possa arrecare un danno sproporzionato alle parti coinvolte.
  9. Prima di imporre una penalità di mora ai sensi del paragrafo 6, l’autorità di sorveglianza capofila concede ai rappresentanti del fornitore terzo critico di servizi TIC oggetto del procedimento l’opportunità di essere sentiti in merito alle risultanze, e fonda le proprie decisioni unicamente sulle risultanze in merito alle quali il fornitore terzo critico di servizi TIC oggetto del procedimento ha avuto la possibilità di esporre le proprie osservazioni.

Nel corso del procedimento sono pienamente garantiti i diritti della difesa delle persone interessate dal procedimento. Il fornitore terzo critico di servizi TIC oggetto del procedimento ha diritto di accesso al fascicolo, fermo restando il legittimo interesse di altre persone alla tutela dei propri segreti aziendali. Il diritto di accesso al fascicolo non si estende alle informazioni riservate o ai documenti preparatori interni dell’autorità di sorveglianza capofila.

Tutti gli articoli