Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011
- Глава V. Управление ICT-рисками третьих сторон
- Раздел II. Система надзора стратегических сторонних поставщиков услуг ICT
- Статья 42. Последующие мероприятия со стороны компетентных органов
Статья 42. Последующие мероприятия со стороны компетентных органов
Статья 42
Последующие мероприятия со стороны компетентных органов
1. В течение 60 календарных дней с момента получения рекомендаций Ведущего контролера в соответствии с пунктом (d) Статьи 35(1) настоящего Регламента, стратегические сторонние поставщики услуг ICT должны уведомить Ведущего контролера о своем намерении следовать рекомендациям или предоставить аргументированный отказ от следования таким рекомендациям. Ведущий контролер незамедлительно передает эту информацию компетентным органам соответствующих финансовых организаций.
2. Ведущий контролер публично раскрывает информацию о случаях, когда стратегический сторонний поставщик услуг ICT не уведомил Ведущего контролера в соответствии с параграфом 1 настоящей Статьи или когда пояснения, предоставленные стратегическим сторонним поставщиком услуг ICT, считаются недостаточными. Публикуемая информация должна идентифицировать стратегического стороннего поставщика услуг ICT, а также содержать сведения о типе и характере нарушения. Такая информация должна быть ограничена теми сведениями, которые являются необходимыми и соразмерными для целей осведомления общественности, за исключением случаев, когда такая публикация нанесет несоразмерный ущерб вовлеченным сторонам или может поставить под серьезную угрозу нормальное функционирование и целостность финансовых рынков или стабильность всей или части финансовой системы Европейского Союза.
Ведущий контролер должен уведомить стратегического стороннего поставщика услуг ICT о таком публичном раскрытии информации.
3. Компетентные органы должны информировать соответствующие финансовые организации о рисках, выявленных в рекомендациях, адресованных стратегическим сторонним поставщикам услуг ICT в соответствии с пунктом (d) Статьи 35(1) настоящего Регламента.
При управлении ICT-рисками третьих сторон финансовые организации должны учитывать риски, указанные в первом подпараграфе.
4. Если компетентный орган считает, что финансовая организация не принимает во внимание или в недостаточной степени учитывает в рамках своей системы управления ICT-рисками третьих сторон конкретные риски, указанные в рекомендациях, он должен уведомить финансовую организацию о возможности принятия решения, как указано в параграфе 6 настоящей Статьи, в течение 60 календарных дней с момента получения такого уведомления в отсутствие соответствующих соглашений, направленных на устранение таких рисков.
5. После получения отчетов, указанных в пункте (с) Статьи 35(1) настоящего Регламента, и до принятия решения, указанного в параграфе 6 настоящей Статьи, компетентные органы могут в добровольном порядке проводить консультации с компетентными органами, назначенными или учрежденными в соответствии с Директивой (ЕС) 2022/2555, которые отвечают за надзор за важными или значимыми организациями, подпадающими под действие указанной Директивы, которым был присвоен статус стратегического стороннего поставщика услуг ICT.
6. Компетентные органы после уведомления и, при необходимости, после консультаций, как указано в параграфах 4 и 5 настоящей Статьи, в качестве крайней меры в соответствии со Статьей 50 настоящего Регламента могут принять решение, требующее от финансовых организаций временно приостановить частичное или полное использование или внедрение услуг, предоставляемых стратегическим сторонним поставщиком услуг ICT, до устранения рисков, которые указаны в рекомендациях, адресованных стратегическим сторонним поставщикам услуг ICT. При необходимости они могут потребовать от финансовых организаций частичного или полного расторжения соответствующих соглашений, заключенных со стратегическими сторонними поставщиками услуг ICT.
7. Если стратегический сторонний поставщик услуг ICT отказывается утвердить рекомендации, основанные на подходе, который отличается от подхода, рекомендованного Ведущим контролером, и такой нестандартный подход может неблагоприятно повлиять на значительное число финансовых организаций или на значительную часть финансового секторе, и при этом отдельные предупреждения, вынесенные компетентными органами, не привели к выработке согласованных подходов к снижению потенциального риска для финансовой стабильности, Ведущий контролер может после консультации с Форумом по надзору вынести в адрес компетентных органов необязательные и не подлежащие разглашению заключения в целях продвижения последовательных и согласованных последующих мероприятий по необходимости.
8. После получения отчетов, указанных в пункте (c) Статьи 35(1) настоящего Регламента, компетентные органы при принятии решения, указанного в параграфе 6 настоящей Статьи, должны учитывать вид и значимость рисков, которые не устранены стратегическим сторонним поставщиком услуг ICT, а также серьезность нарушения с учетом следующих критериев:
(a) степень тяжести и продолжительность нарушения;
(b) выявило ли нарушение серьезные недостатки в процедурах, системах управления, механизмах управления рисками и механизмах внутреннего контроля стратегического стороннего поставщика услуг ICT;
(c) способствовало ли нарушение финансовому преступлению, послужило ли оно причиной для финансового преступления или связано ли оно иным образом с финансовым преступлением;
(d) являлось ли нарушение преднамеренным или совершенным по небрежности;
(e) создает ли приостановление или прекращение договорных отношений риск для непрерывности хозяйственной деятельности финансовой организации, несмотря на усилия последней по предотвращению перебоев в оказании услуг;
(f) если применимо, заключение компетентных органов, назначенных или учрежденных в соответствии с Директивой (ЕС) 2022/2555, которые отвечают за надзор за важными или значимыми организациями, подпадающими под действие указанной Директивы, которым был присвоен статус стратегического стороннего поставщика услуг ICT, запрашиваемое в добровольном порядке в соответствии с параграфом 5 настоящей Статьи.
Компетентные органы должны предоставить финансовым организациям необходимый период времени, чтобы они могли упорядочить свои договорные отношения со стратегическими сторонними поставщиками услуг ICT во избежание неблагоприятного воздействия на их цифровую операционную устойчивость, а также чтобы они могли применить стратегии прекращения договорных отношений и планы на переходный период, как указано в Статье 28 настоящего Регламента.
9. Информация о решении, указанном в параграфе 6 настоящей Статьи, доводится до сведения членов Форума по надзору, указанных в пунктах (a), (b) и (c) Статьи 32(4) настоящего Регламента, а также до сведения JON.
Стратегические сторонние поставщики услуг ICT, затронутые решениями, указанными в параграфе 6 настоящей Статьи, должны в полной мере сотрудничать с затронутыми финансовыми организациями, в частности в рамках процесса приостановления или прекращения их договорных отношений.
10. Компетентные органы должны регулярно информировать Ведущего контролера о подходах и мерах, принятых в рамках их надзорных задач в отношении финансовых организаций, а также о договорах, заключенных финансовыми организациями, если стратегические сторонние поставщики услуг ICT полностью или частично не утвердили адресованные им рекомендации Ведущего контролера.
11. Ведущий контролер по запросу может предоставить дополнительные разъяснения в связи с рекомендациями, выданными компетентным органам в качестве руководства для проведения последующих мероприятий.