Sintesi Articolo 40
L’Autorità di Sorveglianza Capofila, responsabile delle attività di vigilanza come indagini o ispezioni, è supportata da un team congiunto di esame. Questo team è composto da esperti in TIC e rischi operativi provenienti da varie autorità, comprese le Autorità Europee di Vigilanza (AEV) e le autorità nazionali competenti. Entro tre mesi dal completamento di un’indagine, l’Autorità di Sorveglianza Capofila emette raccomandazioni, che vengono poi comunicate al fornitore di servizi TIC e alle entità finanziarie pertinenti. Queste raccomandazioni possono essere informate da certificazioni di terze parti e relazioni di audit fornite dal fornitore di servizi TIC.
- Nello svolgimento di attività di sorveglianza, in particolare indagini generali o ispezioni, l’autorità di sorveglianza capofila è coadiuvata da un gruppo di esaminatori congiunto istituito per ciascun fornitore terzo critico di servizi TIC.
- Il gruppo di esaminatori congiunto di cui al paragrafo 1 è composto da membri del personale appartenenti:
- a) alle AEV;
- b) alle autorità competenti interessate che vigilano sulle entità finanziarie cui il fornitore terzo critico di servizi TIC presta servizi TIC;
- c) all’autorità nazionale competente di cui all’articolo 32, paragrafo 4, lettera e), su base volontaria;
- d) a un’autorità nazionale competente dello Stato membro in cui è stabilito il fornitore terzo critico di servizi TIC, su base volontaria.
- I membri del gruppo di esaminatori congiunto possiedono competenze in materia di TIC e rischi operativi. Il gruppo di esaminatori congiunto è coordinato da un membro del personale dell’autorità di sorveglianza capofila designato a tale scopo («coordinatore dell’autorità di sorveglianza capofila»).
- Entro tre mesi dal completamento dell’indagine o dell’ispezione, l’autorità di sorveglianza capofila, dopo essersi consultata con il forum di sorveglianza, adotta le raccomandazioni da inviare al fornitore terzo critico di servizi TIC in forza dei poteri che le sono stati conferiti ai sensi dell’articolo 35.
- Le raccomandazioni di cui al paragrafo 3 sono comunicate immediatamente al fornitore terzo critico di servizi TIC e alle autorità competenti delle entità finanziarie cui il fornitore in questione presta i suoi servizi TIC. Per l’espletamento delle attività di sorveglianza, l’autorità di sorveglianza capofila può tener conto di qualsiasi pertinente certificazione fornita da terzi e di relazioni di audit interni o esterni effettuati da terzi in materia di TIC messe a disposizione dal fornitore terzo critico di servizi TIC.