Sintesi Articolo 37
L’Autorità di Sorveglianza Capofila ha l’autorità di richiedere le informazioni necessarie dai fornitori di servizi di terze parti TIC critici per la conformità normativa. Tali richieste possono essere fatte informalmente o attraverso una decisione formale. Entrambi i tipi di richieste devono specificare la base legale, lo scopo, le informazioni richieste e il limite di tempo per la conformità. Le decisioni formali delineano anche le possibili sanzioni per la mancata conformità e il diritto di appello. Il fornitore di servizi è responsabile dell’accuratezza e della completezza delle informazioni fornite. L’Autorità di Sorveglianza Capofila deve condividere prontamente la decisione con le entità finanziarie rilevanti e gli organi di vigilanza.
- L’autorità di sorveglianza capofila può, con semplice richiesta o mediante decisione, imporre ai fornitori terzi critici di servizi TIC di trasmettere tutte le informazioni necessarie all’autorità di sorveglianza capofila per adempiere i propri compiti ai sensi del presente regolamento, tra cui tutti i pertinenti documenti aziendali od operativi, contratti, documentazione strategica, relazioni di audit sulla sicurezza delle TIC, segnalazioni di incidenti informatici, nonché qualsiasi informazione relativa ai soggetti cui il fornitore terzo critico di servizi TIC ha esternalizzato attività o funzioni operative.
- Quando invia una semplice richiesta di informazioni a norma del paragrafo 1, l’autorità di sorveglianza capofila:
- a) fa riferimento al presente articolo quale base giuridica della richiesta;
- b) dichiara la finalità della richiesta;
- c) specifica le informazioni richieste;
- d) stabilisce un termine entro il quale tali informazioni devono pervenirle;
- e) informa il rappresentante critico del fornitore terzo di servizi TIC cui sono richieste le informazioni che non è tenuto a fornirle, ma in caso di risposta volontaria alla richiesta di informazioni, tali informazioni non devono essere inesatte né fuorvianti.
- Quando impone mediante decisione la comunicazione di informazioni a norma del paragrafo 1, l’autorità di sorveglianza capofila:
- a) fa riferimento al presente articolo quale base giuridica della richiesta;
- b) dichiara la finalità della richiesta;
- c) specifica le informazioni richieste;
- d) stabilisce un termine entro il quale tali informazioni devono pervenirle;
- e) indica le penalità di mora di cui all’articolo 35, paragrafo 6, laddove le informazioni fornite siano incomplete o quando tali informazioni non siano fornite entro il termine indicato alla lettera d) del presente paragrafo;
- f) indica il diritto di presentare ricorso contro la decisione dinanzi alla commissione di ricorso dell’AEV e di adire la Corte di giustizia dell’Unione europea («Corte di giustizia») in conformità degli articoli 60 e 61 dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 e (UE) n. 1095/2010.
- I rappresentanti dei fornitori terzi critici di servizi TIC forniscono le informazioni richieste. Gli avvocati debitamente incaricati possono fornire le informazioni richieste a nome dei loro clienti. I fornitori terzi critici di servizi TIC sono pienamente responsabili qualora le informazioni fornite siano incomplete, inesatte o fuorvianti.
- L’autorità di sorveglianza capofila trasmette senza ritardo copia della decisione di fornire informazioni alle autorità competenti delle entità finanziarie che utilizzano i servizi dei fornitori terzi interessati di servizi TIC critici e alla rete di sorveglianza comune.