Articolo 36 – Esercizio dei poteri dell’autorità di sorveglianza capofila al di fuori dell’Unione

Sintesi Articolo 36

La sezione delinea le condizioni in cui l’Autorità di Sorveglianza Capofila può esercitare i poteri di sorveglianza sui fornitori di servizi di tecnologie dell’informazione e della comunicazione (TIC) critici situati in paesi terzi. Questi poteri possono essere esercitati se l’ispezione è ritenuta necessaria per gli obblighi dell’Autorità di Sorveglianza Capofila, è direttamente correlata ai servizi TIC forniti alle entità finanziarie dell’UE e se sia il fornitore di servizi che l’autorità competente del paese terzo acconsentono. Saranno stipulate disposizioni di cooperazione amministrativa con l’autorità del paese terzo per agevolare le ispezioni. Se l’Autorità di Sorveglianza Capofila non può svolgere attività di sorveglianza al di fuori dell’UE, baserà le sue azioni sui fatti e documenti disponibili e documenterà eventuali limitazioni che ciò potrebbe imporre.

  1. Qualora gli obiettivi di sorveglianza non possano essere conseguiti interagendo con l’impresa figlia istituita ai fini dell’articolo 31, paragrafo 12, o esercitando attività di sorveglianza in locali situati nell’Unione, l’autorità di sorveglianza capofila può esercitare i poteri, di cui alle disposizioni seguenti, in qualsiasi locale situato in un paese terzo che sia posseduto, o utilizzato in qualsiasi modo, ai fini della fornitura di servizi a entità finanziarie dell’Unione da parte di un fornitore terzo critico di servizi di TIC, riguardo alle relative operazioni commerciali, funzioni o servizi, compresi eventuali uffici amministrativi, commerciali o operativi, locali, terreni, edifici o altre proprietà:
    • a) articolo 35, paragrafo 1, lettera a); e
    • b) articolo 35, paragrafo 1, lettera b), conformemente all’articolo 38, paragrafo 2, lettere a), b) e d), e all’articolo 39, paragrafi 1 e 2, lettera a). I poteri di cui al primo comma possono essere esercitati alle condizioni seguenti:
      • i) lo svolgimento di un’ispezione in un paese terzo è ritenuto necessario dall’autorità di sorveglianza capofila per consentirle di svolgere pienamente ed efficacemente i propri compiti ai sensi del presente regolamento;
      • ii) l’ispezione in un paese terzo è direttamente connessa alla fornitura di servizi TIC a entità finanziarie nell’Unione;
      • iii) il fornitore terzo critico di servizi TIC interessato acconsente allo svolgimento di un’ispezione in un paese terzo; nonché
      • iv) l’autorità pertinente del paese terzo interessato è stata ufficialmente informata dall’autorità di sorveglianza capofila e non ha sollevato obiezioni al riguardo.
  2. Fatte salve le rispettive competenze delle istituzioni dell’Unione e degli Stati membri, ai fini del paragrafo 1, l’ABE, l’ESMA o l’EIOPA concludono accordi di cooperazione amministrativa con l’autorità pertinente del paese terzo al fine di consentire il regolare svolgimento delle ispezioni nel paese terzo interessato da parte dell’autorità di sorveglianza capofila e del gruppo designato per la sua missione in tale paese terzo. Tali accordi di cooperazione non creano obblighi giuridici per l’Unione e i suoi Stati membri, né impediscono agli Stati membri e alle loro autorità competenti di concludere accordi bilaterali o multilaterali con tali paesi terzi e le loro autorità pertinenti. Tali accordi di cooperazione specificano almeno gli elementi seguenti:
    • a) le procedure per il coordinamento delle attività di sorveglianza svolte a norma del presente regolamento e qualsiasi analogo monitoraggio dei rischi informatici derivanti da terzi nel settore finanziario esercitato dall’autorità pertinente del paese terzo interessato, comprese le modalità di trasmissione dell’accordo di quest’ultimo al fine di consentire all’autorità di sorveglianza capofila e al suo gruppo designato di svolgere le indagini generali e le ispezioni in loco di cui al paragrafo 1, primo comma, nel territorio sotto la sua giurisdizione;
    • b) il meccanismo per la trasmissione di tutte le informazioni pertinenti tra l’ABE, l’ESMA o l’EIOPA e l’autorità pertinente del paese terzo interessato, in particolare in relazione alle informazioni che possono essere richieste dall’autorità di sorveglianza capofila a norma dell’articolo 37;
    • c) i meccanismi per la tempestiva notifica, da parte dell’autorità pertinente del paese terzo interessato all’ABE, all’ESMA o all’EIOPA, dei casi in cui si ritiene che un fornitore terzo di servizi TIC stabilito in un paese terzo e designato come critico ai sensi dell’articolo 31, paragrafo 1, lettera a), abbia violato gli obblighi ai quali è tenuto a norma del diritto applicabile del paese terzo interessato quando fornisce servizi a enti finanziari in tale paese terzo, nonché i mezzi di ricorso e le penalità applicate;
    • d) la trasmissione periodica di aggiornamenti sugli sviluppi normativi o di vigilanza sul monitoraggio dei rischi informatici derivanti da terzi degli enti finanziari nel paese terzo interessato;
    • e) i dettagli per consentire, se necessario, la partecipazione di un rappresentante dell’autorità pertinente del paese terzo alle ispezioni condotte dall’autorità di sorveglianza capofila e dal gruppo designato.
  3. Quando l’autorità di sorveglianza capofila non è in grado di svolgere le attività di sorveglianza, al di fuori dell’Unione, di cui ai paragrafi 1 e 2, l’autorità di sorveglianza capofila:
    • a) esercita i poteri di cui all’articolo 35 sulla base di tutti i fatti e di tutti i documenti di cui dispone;
    • b) documenta e spiega le eventuali conseguenze della sua incapacità di svolgere le attività di sorveglianza previste di cui al presente articolo. Le potenziali conseguenze di cui alla lettera b) del presente comma sono prese in considerazione nelle raccomandazioni dell’autorità di sorveglianza capofila emesse a norma dell’articolo 35, paragrafo 1, lettera d).

Tutti gli articoli