Articolo 39 – Ispezioni

Sintesi Articolo 39

L’Autorità di Sorveglianza Capofila, con l’assistenza di team di ispezione congiunta, ha l’autorità per condurre ispezioni sia in loco che a distanza presso le sedi dei fornitori di servizi di terze parti TIC. Queste ispezioni possono includere una revisione completa dei sistemi TIC, delle reti e dei dati. Gli ufficiali autorizzati devono presentare un’autorizzazione scritta per l’ispezione, che specifica anche le possibili sanzioni per la mancata conformità. In genere, ai fornitori viene fornito un preavviso ragionevole prima di un’ispezione a meno che non si tratti di un’emergenza. La mancata conformità a un’ispezione potrebbe comportare gravi conseguenze, tra cui la risoluzione dei contratti con entità finanziarie.

  1. Per adempiere i propri compiti ai sensi del presente regolamento, l’autorità di sorveglianza capofila può, coadiuvata dai gruppi di esaminatori congiunti di cui all’articolo 40, paragrafo 1, accedere a locali commerciali, immobili o proprietà dei fornitori terzi di servizi TIC, come sedi centrali, centri operativi, sedi secondarie, per condurvi tutte le necessarie ispezioni in loco; può inoltre effettuare ispezioni extra loco.Ai fini dell’esercizio dei poteri di cui al primo comma, l’autorità di sorveglianza capofila consulta la rete di sorveglianza comune.
  2. I funzionari e altre persone autorizzate dall’autorità di sorveglianza capofila a effettuare l’ispezione in loco hanno il potere di:
    • a) accedere ai suddetti locali commerciali, immobili o proprietà; e
    • b) sigillare i suddetti locali, libri o registri, per il periodo dell’ispezione e nella misura necessaria per effettuarla.
    • I funzionari e altre persone autorizzate dall’autorità di sorveglianza capofila esercitano i loro poteri dietro esibizione di un’autorizzazione scritta che specifichi l’oggetto e le finalità dell’ispezione, nonché le penalità di mora di cui all’articolo 35, paragrafo 6, qualora i rappresentanti dei fornitori terzi critici di servizi TIC interessati non si sottopongano all’ispezione.
  3. In tempo utile prima dell’avvio dell’ispezione, l’autorità di sorveglianza capofila informa le autorità competenti delle entità finanziarie che si avvalgono di quel fornitore terzo di servizi TIC.
  4. Le ispezioni si estendono all’intera gamma di sistemi, reti, dispositivi, informazioni e dati in materia di TIC utilizzati per la fornitura di servizi TIC alle entità finanziarie, o che vi contribuiscono.
  5. Prima di qualsiasi ispezione in loco programmata, l’autorità di sorveglianza capofila concede un ragionevole preavviso ai fornitori terzi critici di servizi TIC, a meno che tale preavviso si riveli impossibile per una situazione di emergenza o di crisi, o qualora il preavviso rischi di provocare una situazione in cui l’ispezione o l’audit non sarebbero più efficaci.
  6. Il fornitore terzo critico di servizi TIC si sottopone alle ispezioni in loco ordinate con decisione dell’autorità di sorveglianza capofila. La decisione specifica l’oggetto e le finalità dell’ispezione, fissa la data d’inizio dell’ispezione indica le penalità di mora di cui all’articolo 35, paragrafo 6, i mezzi di ricorso disponibili a norma dei regolamenti (UE) n. 1093/2010, (UE) n. 1094/2010 o (UE) n. 1095/2010, nonché il diritto di presentare ricorso dinanzi alla Corte di giustizia avverso la decisione.
  7. Qualora i funzionari e altre persone autorizzate dall’autorità di sorveglianza capofila constatino che il fornitore terzo critico di servizi TIC si oppone all’ispezione ordinata ai sensi del presente articolo, l’autorità di sorveglianza capofila informa il fornitore terzo critico di servizi TIC delle conseguenze di tale opposizione, compresa la possibilità per le autorità competenti delle entità finanziarie interessate di imporre alle entità finanziarie di risolvere gli accordi contrattuali stipulati con il fornitore terzo critico di servizi TIC.

Tutti gli articoli