Откройте актуальную версию документа прямо сейчас
Если вы являетесь пользователем интернет-версии системы ГАРАНТ, вы можете открыть этот документ прямо сейчас или запросить по Горячей линии в системе.
Вход
Купить систему ГАРАНТ
Получить демо-доступ
Узнать стоимость
Информационный банк
Подобрать комплект
Семинары
- Главная
- Регламент Европейского Парламента и Совета Европейского Союза 2022/2554 от 14 декабря 2022 г. о цифровой операционной устойчивости финансового сектора, а также об изменении Регламентов (EC) 1060/2009, (ЕС) 648/2012, (ЕС) 600/2014, (ЕС) 909/2014 и (ЕС) 2016/1011
- Глава V. Управление ICT-рисками третьих сторон
- Раздел II. Система надзора стратегических сторонних поставщиков услуг ICT
- Статья 35. Полномочия Ведущего контролера
Статья 35. Полномочия Ведущего контролера
Статья 35
Полномочия Ведущего контролера
1. В целях выполнения обязанностей, изложенных в настоящем Разделе, Ведущий контролер должен иметь следующие полномочия в отношении стратегических сторонних поставщиков услуг ICT:
(a) запрашивать всю релевантную информацию и документацию в соответствии со Статьей 37 настоящего Регламента;
(b) проводить общие расследования и проверки в соответствии со Статьями 38 и 39 настоящего Регламента соответственно;
(c) после завершения надзорной деятельности запрашивать отчеты с указанием принятых мер или средств устранения недостатков, которые были реализованы стратегическими сторонними поставщиками услуг ICT в связи с рекомендациями, указанными в пункте (d) настоящего параграфа;
(d) выдавать рекомендации в областях, указанных в Статье 33(3) настоящего Регламента, в частности, в отношении:
(i) применения конкретных требований или процессов в области безопасности и качества ICT, в частности, в отношении реализации корректировок, обновлений, шифрования и других мер безопасности, которые Ведущий контролер считает значимыми для обеспечения безопасности услуг ICT, предоставляемых финансовым организациям;
(ii) использования условий и положений, включая их техническую реализацию, в соответствии с которыми стратегические сторонние поставщики услуг ICT оказывают услуги ICT финансовым организациям и которые Ведущий контролер считает надлежащими для предотвращения появления единых точек отказа, их усиления или для минимизации возможного системного воздействия на финансовый сектор Европейского Союза в случае риска концентрации ICT;
(iii) любых предполагаемых договоров субподряда, если Ведущий контролер на основе изучения информации, полученной в соответствии со Статьями 37 и 38 настоящего Регламента, сочтет, что дальнейшие договоры субподряда, в том числе договоры субподряда, которые стратегические сторонние поставщики услуг ICT планируют заключить со сторонними поставщиками услуг ICT или с субподрядчиками по услугам ICT, учрежденными в третьей стране, могут создать риски для оказания услуг финансовой организацией или риски для финансовой стабильности;
(iv) воздержания от заключения дальнейших договоров субподряда, если выполняются следующие условия в совокупности:
- предполагаемый субподрядчик является сторонним поставщиком услуг ICT или субподрядчиком по услугам ICT, учрежденным в третьей стране;
- договор субподряда касается критических или важных функций финансовой организации; и
- Ведущий контролер полагает, что использование таких договоров субподряда представляет явный и серьезный риск для финансовой стабильности Европейского Союза или финансовых организаций, в том числе для способности финансовых организаций соблюдать надзорные требования.
В целях подпункта (iv) настоящего пункта сторонние поставщики услуг ICT должны передавать Ведущему контролеру информацию о договорах субподряда, используя форму, указанную в пункте (b) Статьи 41(1) настоящего Регламента.
2. При осуществлении полномочий, указанных в настоящей Статье, Ведущий контролер должен:
(a) обеспечивать регулярную координацию в рамках JON и, в частности, стремиться к применению согласованных подходов, при необходимости, в отношении надзора за стратегическими сторонними поставщиками услуг ICT;
(b) должным образом учитывать правовые рамки, установленные Директивой (ЕС) 2022/2555, и, при необходимости, консультироваться с соответствующими компетентными органами, назначенными или учрежденными в соответствии с указанной Директивой, во избежание дублирования технических и организационных мер, которые могут применяться к стратегическим сторонним поставщикам услуг ICT в соответствии с указанной Директивой;
(c) стремиться сводить к минимуму, насколько это возможно, риск перебоев в оказании услуг, предоставляемых стратегическими сторонними поставщиками услуг ICT клиентам, которые не подпадают под действие настоящего Регламента.
3. До осуществления полномочий, указанных в параграфе 1 настоящей Статьи, Ведущий контролер должен консультироваться с Форумом по надзору.
До выдачи рекомендаций в соответствии с пунктом (d) параграфа 1 настоящей Статьи Ведущий контролер должен дать стратегическому стороннему поставщику услуг ICT возможность в течение 30 календарных дней представить релевантную информацию, свидетельствующую об ожидаемом воздействии на клиентов, которые не подпадают под действие настоящего Регламента, и, если это целесообразно, предложить решения по снижению рисков.
4. Ведущий контролер информирует JON о результатах осуществления полномочий, указанных в пунктах (а) и (b) параграфа 1 настоящей Статьи. Ведущий контролер должен без лишнего промедления передавать отчеты, указанные в пункте (c) параграфа 1 настоящей Статьи, JON и компетентным органам финансовых организаций, пользующихся услугами ICT таких стратегических сторонних поставщиков услуг ICT.
5. Стратегические сторонние поставщики услуг ICT должны добросовестно сотрудничать с Ведущим контролером и содействовать ему в выполнении его задач.
6. В случае полного или частичного несоблюдения мер, которые должны быть приняты во исполнение полномочий в соответствии с пунктами (a), (b) и (c) параграфа 1 настоящей Статьи, и по истечении срока, составляющего как минимум 30 календарных дней с даты получения стратегическим сторонним поставщиком услуг ICT уведомления о соответствующих мерах, Ведущий контролер принимает решение о введении периодических штрафных платежей для принуждения стратегического стороннего поставщика услуг ICT к соблюдению указанных мер.
7. Периодический штрафной платеж, указанный в параграфе 6 настоящей Статьи, должен начисляться до обеспечения соблюдения мер и не более чем в течение шести месяцев после уведомления стратегического стороннего поставщика услуг ICT о решении ввести периодический штрафной платеж.
8. Размер периодического штрафного платежа, исчисляемого с даты, указанной в решении о введении периодического штрафного платежа, составляет до 1% от среднесуточного мирового оборота стратегического стороннего поставщика услуг ICT за предыдущий финансовый год. При определении размера штрафного платежа Ведущий контролер учитывает следующие критерии, касающиеся несоблюдения мер, указанных в параграфе 6 настоящей Статьи:
(a) степень тяжести и продолжительность нарушения;
(b) допущено ли нарушение умышленно или по неосторожности;
(c) степень сотрудничества стратегического стороннего поставщика услуг ICT с Ведущим контролером.
В целях первого подпараграфа для обеспечения последовательного подхода Ведущий контролер должен участвовать в консультациях в рамках JON.
9. Штрафные платежи носят административный характер и подлежат принудительному исполнению. Принудительное исполнение регулируется гражданскими процессуальными нормами, действующими в государстве-члене ЕС, на территории которого проводятся проверки и осуществляется право на доступ. Суды соответствующего государства-члена ЕС обладают юрисдикцией в отношении жалоб, связанных с ненадлежащей реализацией принудительного исполнения. Суммы штрафных платежей поступают в общий бюджет Европейского Союза.
10. Ведущий контролер должен доводить до сведения общественности информацию обо всех введенных периодических штрафных платежах за исключением случаев, когда такое раскрытие информации ставит под серьезную угрозу финансовые рынки или наносит несоразмерный ущерб затронутым сторонам.
11. До введения периодического штрафного платежа в соответствии с параграфом 6 настоящей Статьи Ведущий контролер должен предоставить представителям стратегического стороннего поставщика услуг ICT, в отношении которого проводится разбирательство, возможность быть заслушанными в связи с выводами и должен основывать свои решения только на тех выводах, которые стратегический сторонний поставщик услуг ICT, в отношении которого проводится разбирательство, имел возможность прокомментировать.
В ходе разбирательства необходимо в полной мере соблюдать права на защиту лиц, в отношении которых проводится разбирательство. Стратегический сторонний поставщик услуг ICT, в отношении которого проводится разбирательство, имеет право на доступ к материалам дела с учетом законного интереса других лиц в защите их коммерческой тайны. Право на доступ к материалам дела не распространяется на конфиденциальную информацию или внутренние подготовительные документы Ведущего контролера.