Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011:Artikel 36 Uitoefening van de bevoegdheden van de lead overseer buiten de Unie

Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011

Artikel 36 Uitoefening van de bevoegdheden van de lead overseer buiten de Unie

Geldend

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

1.

Wanneer de oversightdoelstellingen niet kunnen worden bereikt via interactie met de voor de toepassing van artikel 31, lid 12, opgerichte dochteronderneming, of via oversightactiviteiten in bedrijfsruimten die zich in de Unie bevinden, kan de lead overseer de in de volgende bepalingen bedoelde bevoegdheden uitoefenen in alle bedrijfsruimten in een derde land die eigendom zijn van, of gebruikt worden door een kritieke derde aanbieder van ICT-diensten bij het verlenen van diensten aan financiële entiteiten in de Unie, in verband met de bedrijfsactiviteiten, functies of diensten — inclusief administratieve, commerciële of operationele kantoren, bedrijfsruimten, gronden, gebouwen of andere eigendommen:

a)

in artikel 35, lid 1, punt a), en

b)

in artikel 35, lid 1, punt b), overeenkomstig artikel 38, lid 2, punten a), b), en d), en in artikel 39, lid 1, en lid 2, punt a).

De uitoefening van de in de eerste alinea bedoelde bevoegdheden is onderworpen aan alle volgende voorwaarden:

i)

de lead overseer is van mening dat een inspectie in een derde land noodzakelijk is om hem in staat te stellen zijn taken uit hoofde van deze verordening volledig en doeltreffend uit te voeren;

ii)

de inspectie in een derde land houdt rechtstreeks verband met het verlenen van ICT-diensten aan financiële entiteiten in de Unie;

iii)

de betrokken kritieke derde aanbieder van ICT-diensten stemt in met het uitvoeren van een inspectie in een derde land, en

iv)

de betrokken autoriteit van het derde land is door de lead overseer officieel in kennis gesteld en heeft geen bezwaar gemaakt.

2.

Onverminderd de respectieve bevoegdheden van de instellingen van de Unie en van de lidstaten, sluiten de EBA, de ESMA of de Eiopa voor de toepassing van lid 1 regelingen voor administratieve samenwerking met de betrokken autoriteit van het derde land teneinde de inspecties in het betrokken derde land door de lead overseer en zijn voor die missie in dat derde land aangewezen team, vlot te laten verlopen. Deze samenwerkingsregelingen scheppen geen wettelijke verplichtingen voor de Unie en haar lidstaten en beletten de lidstaten en hun bevoegde autoriteiten niet om bilaterale of multilaterale regelingen met die derde landen en hun betrokken autoriteiten te sluiten.

In die samenwerkingsregelingen worden ten minste de volgende elementen gespecificeerd:

a)

de procedures voor de coördinatie van uit hoofde van deze verordening uitgevoerde oversightactiviteiten en elke overeenkomstige door de betrokken autoriteit van het derde land in kwestie uitgevoerde monitoring van het ICT-risico van derde aanbieders in de financiële sector, met inbegrip van details over het toezenden door de lead overseer en zijn team, van de toestemming van de betrokken autoriteit van het derde land in kwestie om algemene onderzoeken en inspecties ter plaatse uit te voeren, zoals bedoeld in lid 1, eerste alinea, op het grondgebied dat onder de jurisdictie van de betrokken autoriteit van het derde land valt;

b)

het mechanisme voor het doorgeven van relevante informatie tussen de EBA, de ESMA of de Eiopa, en de betrokken autoriteit van het derde land in kwestie, met name in verband met informatie waar de lead overseer uit hoofde van artikel 37 om kan verzoeken;

c)

de mechanismen voor snelle kennisgeving door de betrokken autoriteit van het derde land in kwestie aan de EBA, de ESMA of de Eiopa, van gevallen waarbij vermoed wordt dat een in een derde land gevestigde derde aanbieder van ICT-diensten die overeenkomstig artikel 31, lid 1, punt a), als cruciaal is aangewezen, de vereisten heeft overtreden die hij krachtens het toepasselijke recht van het derde land in kwestie moet naleven bij het verlenen van diensten aan financiële instellingen in dat derde land, evenals de toegepaste rechtsmiddelen en sancties;

d)

het regelmatig doorgeven van updates over ontwikkelingen op het gebied van regelgeving en toezicht inzake de monitoring van het ICT-risico van derde aanbieders van financiële instellingen in het derde land in kwestie;

e)

de details om indien nodig de deelname van een vertegenwoordiger van de betrokken autoriteit van het derde land aan de door de lead overseer en het aangewezen team uitgevoerde inspecties, mogelijk te maken.

3.

Wanneer de lead overseer niet in staat is om buiten de Unie oversightactiviteiten zoals bedoeld in de leden 1 en 2, uit te voeren:

a)

oefent hij zijn bevoegdheden uit hoofde van artikel 35 uit op basis van alle feiten en documenten waarover hij beschikt;

b)

documenteert hij en licht hij de gevolgen toe van zijn onvermogen om de in dit artikel bedoelde beoogde oversightactiviteiten uit te voeren.

De in punt b) van dit lid bedoelde mogelijke gevolgen worden in aanmerking genomen in de aanbevelingen die de lead overseer overeenkomstig artikel 35, lid 1, punt d), uitvaardigt.

Deze functie is alleen te gebruiken als je bent ingelogd.