Artikel 42 Vervolgmaatregelen van de bevoegde autoriteiten

Binnen 60 kalenderdagen na ontvangst van de aanbevelingen die de lead overseer overeenkomstig artikel 35, lid 1, punt d), heeft gedaan, stelt de kritieke derde aanbieder van ICT-diensten de lead overseer in kennis van zijn voornemen om de aanbevelingen op te volgen of geeft hij een gemotiveerde verklaring, waarom hij geen gevolg geeft aan de aanbevelingen. De lead overseer stelt de bevoegde autoriteiten van de betrokken financiële entiteit onverwijld in kennis van deze informatie.

Indien een kritieke derde aanbieder van ICT-diensten verzuimt de lead overseer overeenkomstig lid 1 in kennis te stellen van zijn voornemens met betrekking tot de aanbeveling of indien de in lid 1 bedoelde verklaring niet toereikend wordt geacht, maakt de lead overseer dit verzuim of deze ontoereikendheid openbaar. Deze openbare informatie omvat de identiteit van de kritieke derde aanbieder van ICT-diensten en informatie over het type en de aard van de niet-naleving. Deze informatie is beperkt tot hetgeen relevant en voldoende is om het publiek op de hoogte te brengen, tenzij de bekendmaking de betrokken partijen onevenredige schade zou berokkenen of de ordelijke werking en de integriteit van de financiële markten of de stabiliteit van het gehele financiële stelsel van de Unie of een deel daarvan ernstig in gevaar zou kunnen brengen.

De lead overseer stelt de kritieke derde aanbieder van ICT-diensten in kennis van die openbaarmaking.

De bevoegde autoriteiten stellen de relevante financiële entiteit in kennis van de risico's die zijn geconstateerd in de aanbevelingen aan de kritieke derde aanbieder van ICT-diensten overeenkomstig artikel 35, lid 1, punt d).

Bij het beheer van ICT-risico's van derden houdt een financiële entiteit rekening met de in de eerste alinea bedoelde risico's.

Indien een bevoegde autoriteit van oordeel is dat een financiële entiteit bij het beheer van derde ICT-risico's de in de aanbevelingen geconstateerde risico's niet of niet voldoende in aanmerking neemt of onvoldoende in het werk stelt om deze te verhelpen, stelt de autoriteit de financiële entiteit in kennis van de mogelijkheid dat binnen 60 kalenderdagen na de ontvangst van deze kennisgeving een besluit als bedoeld in lid 6 kan worden genomen indien er geen passende contractuele overeenkomsten zijn om deze risico's te verhelpen.

Na ontvangst van de in artikel 35, lid 1, punt c), bedoelde meldingen en voordat een besluit als bedoeld in lid 6 van dit artikel wordt genomen, kunnen de bevoegde autoriteiten op vrijwillige basis de overeenkomstig Richtlijn (EU) 2022/2555 aangewezen of ingestelde bevoegde autoriteiten raadplegen die verantwoordelijk zijn voor het toezicht op een essentiële of belangrijke entiteit die onder die richtlijn valt en die is aangewezen als een kritieke derde aanbieder van ICT-diensten.

De bevoegde autoriteiten kunnen bij wijze van laatste redmiddel, na de kennisgeving en, in voorkomend geval, de raadpleging als bedoeld in de leden 4 en 5 van dit artikel, overeenkomstig artikel 50 een besluit nemen waarbij een financiële entiteit wordt verplicht het gebruik of de inzet van een door een kritieke derde aanbieder van ICT-diensten verleende dienst geheel of gedeeltelijk tijdelijk te staken, en wel totdat de in de aanbevelingen aan de kritieke derde aanbieder van ICT-diensten geconstateerde risico's zijn verholpen. Indien nodig kunnen de autoriteiten een financiële entiteit ertoe verplichten de contractuele overeenkomsten met de kritieke derde aanbieder van ICT-diensten geheel of gedeeltelijk te beëindigen.

Indien een kritieke derde aanbieder van ICT-diensten weigert de aanbevelingen op te volgen door voor een andere aanpak te kiezen dan die welke door de lead overseer wordt aanbevolen, en indien deze afwijkende keus negatieve gevolgen kan hebben voor een groot aantal financiële entiteiten of voor een aanzienlijk deel van de financiële sector, en indien afzonderlijke waarschuwingen van bevoegde autoriteiten niet hebben geleid tot een consistente aanpak om het potentiële risico voor de financiële stabiliteit te beperken, kan de lead overseer, na raadpleging van het oversightforum, niet-bindende en niet-openbare adviezen aan de bevoegde autoriteiten uitbrengen om consistente en convergente vervolgmaatregelen voor het toezicht te bevorderen, naargelang het geval.

De bevoegde autoriteiten nemen na het ontvangen van de in artikel 35, lid 1, punt c), bedoelde meldingen bij het nemen van het in lid 6 van dit artikel bedoelde besluit het soort en de omvang van het risico dat of de risico's die de kritieke derde aanbieder van ICT-diensten niet heeft verholpen, in aanmerking, alsook de ernst van de niet-naleving, en wel op basis van de volgende criteria:

De bevoegde autoriteiten geven een financiële entiteit de nodige tijd om de contractuele overeenkomsten met de kritieke derde aanbieder van ICT-diensten aan te passen teneinde nadelige gevolgen voor de digitale operationele weerbaarheid van de entiteit te voorkomen en deze in staat te stellen exitstrategieën en transitieplannen als bedoeld in artikel 28 in te zetten.

De in artikel 32, lid 4, punten a), b) en c), bedoelde leden van het oversightforum en het JON worden in kennis gesteld van het in lid 6 van dit artikel bedoelde besluit.

De kritieke derde aanbieder van ICT-diensten die gevolgen ondervindt van een in lid 6 bedoeld besluit, werkt volledig samen met de getroffen financiële entiteit, met name bij het tijdelijk staken of beëindigen van hun contractuele overeenkomsten.

De bevoegde autoriteiten stellen de lead overseer regelmatig in kennis van de aanpak en de maatregelen die zij in het kader van hun toezichttaken ten aanzien van financiële entiteiten hebben gehanteerd, alsmede van de contractuele overeenkomsten die deze entiteiten hebben gesloten met kritieke derde aanbieders van ICT-diensten die niet of slechts gedeeltelijk zijn ingegaan op de aan hen gerichte aanbevelingen van de lead overseer.

De lead overseer kan op verzoek nadere toelichtingen geven op de gedane aanbevelingen om zo de bevoegde autoriteiten te helpen bij vervolgmaatregelen.