Art. 36 · Esercizio dei poteri dell’autorità di sorveglianza capofila al di fuori dell’Unione

Art. 36

Esercizio dei poteri dell’autorità di sorveglianza capofila al di fuori dell’Unione

In vigore dal 14 dic 2022
Esercizio dei poteri dell’autorità di sorveglianza capofila al di fuori dell’Unione 1.   Qualora gli obiettivi di sorveglianza non possano essere conseguiti interagendo con l’impresa figlia istituita ai fini dell’, paragrafo 12, o esercitando attività di sorveglianza in locali situati nell’Unione, l’autorità di sorveglianza capofila può esercitare i poteri, di cui alle disposizioni seguenti, in qualsiasi locale situato in un paese terzo che sia posseduto, o utilizzato in qualsiasi modo, ai fini della fornitura di servizi a entità finanziarie dell’Unione da parte di un fornitore terzo critico di servizi di TIC, riguardo alle relative operazioni commerciali, funzioni o servizi, compresi eventuali uffici amministrativi, commerciali o operativi, locali, terreni, edifici o altre proprietà: a) , paragrafo 1, lettera a); e b) , paragrafo 1, lettera b), conformemente all’, paragrafo 2, lettere a), b) e d), e all’, paragrafi 1 e 2, lettera a). I poteri di cui al primo comma possono essere esercitati alle condizioni seguenti: i) lo svolgimento di un’ispezione in un paese terzo è ritenuto necessario dall’autorità di sorveglianza capofila per consentirle di svolgere pienamente ed efficacemente i propri compiti ai sensi del presente regolamento; ii) l’ispezione in un paese terzo è direttamente connessa alla fornitura di servizi TIC a entità finanziarie nell’Unione; iii) il fornitore terzo critico di servizi TIC interessato acconsente allo svolgimento di un’ispezione in un paese terzo; nonché iv) l’autorità pertinente del paese terzo interessato è stata ufficialmente informata dall’autorità di sorveglianza capofila e non ha sollevato obiezioni al riguardo. 2.   Fatte salve le rispettive competenze delle istituzioni dell’Unione e degli Stati membri, ai fini del paragrafo 1, l’ABE, l’ESMA o l’EIOPA concludono accordi di cooperazione amministrativa con l’autorità pertinente del paese terzo al fine di consentire il regolare svolgimento delle ispezioni nel paese terzo interessato da parte dell’autorità di sorveglianza capofila e del gruppo designato per la sua missione in tale paese terzo. Tali accordi di cooperazione non creano obblighi giuridici per l’Unione e i suoi Stati membri, né impediscono agli Stati membri e alle loro autorità competenti di concludere accordi bilaterali o multilaterali con tali paesi terzi e le loro autorità pertinenti. Tali accordi di cooperazione specificano almeno gli elementi seguenti: a) le procedure per il coordinamento delle attività di sorveglianza svolte a norma del presente regolamento e qualsiasi analogo monitoraggio dei rischi informatici derivanti da terzi nel settore finanziario esercitato dall’autorità pertinente del paese terzo interessato, comprese le modalità di trasmissione dell’accordo di quest’ultimo al fine di consentire all’autorità di sorveglianza capofila e al suo gruppo designato di svolgere le indagini generali e le ispezioni in loco di cui al paragrafo 1, primo comma, nel territorio sotto la sua giurisdizione; b) il meccanismo per la trasmissione di tutte le informazioni pertinenti tra l’ABE, l’ESMA o l’EIOPA e l’autorità pertinente del paese terzo interessato, in particolare in relazione alle informazioni che possono essere richieste dall’autorità di sorveglianza capofila a norma dell’; c) i meccanismi per la tempestiva notifica, da parte dell’autorità pertinente del paese terzo interessato all’ABE, all’ESMA o all’EIOPA, dei casi in cui si ritiene che un fornitore terzo di servizi TIC stabilito in un paese terzo e designato come critico ai sensi dell’, paragrafo 1, lettera a), abbia violato gli obblighi ai quali è tenuto a norma del diritto applicabile del paese terzo interessato quando fornisce servizi a enti finanziari in tale paese terzo, nonché i mezzi di ricorso e le penalità applicate; d) la trasmissione periodica di aggiornamenti sugli sviluppi normativi o di vigilanza sul monitoraggio dei rischi informatici derivanti da terzi degli enti finanziari nel paese terzo interessato; e) i dettagli per consentire, se necessario, la partecipazione di un rappresentante dell’autorità pertinente del paese terzo alle ispezioni condotte dall’autorità di sorveglianza capofila e dal gruppo designato. 3.   Quando l’autorità di sorveglianza capofila non è in grado di svolgere le attività di sorveglianza, al di fuori dell’Unione, di cui ai paragrafi 1 e 2, l’autorità di sorveglianza capofila: a) esercita i poteri di cui all’ sulla base di tutti i fatti e di tutti i documenti di cui dispone; b) documenta e spiega le eventuali conseguenze della sua incapacità di svolgere le attività di sorveglianza previste di cui al presente articolo. Le potenziali conseguenze di cui alla lettera b) del presente comma sono prese in considerazione nelle raccomandazioni dell’autorità di sorveglianza capofila emesse a norma dell’, paragrafo 1, lettera d).
Storico versioni

Questo articolo non ha mai subito modificazioni dalla sua pubblicazione.

Le tue annotazioni

Pro

eli:reg:2022:2554:oj#art-36