Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011:artikel 35

Verordening (EU) 2022/2554 betreffende digitale operationele weerbaarheid voor de financiële sector en tot wijziging van Verordeningen (EG) nr. 1060/2009, (EU) nr. 648/2012, (EU) nr. 600/2014, (EU) nr. 909/2014 en (EU) 2016/1011

Artikel 35 Bevoegdheden van de lead overseer

Geldend

Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.Deze functie is alleen te gebruiken als je bent ingelogd.

1.

Voor de uitvoering van de in deze afdeling omschreven taken beschikt de lead overseer ten aanzien van de kritieke derde aanbieders van ICT-diensten over de bevoegdheid om:

a)

alle relevante informatie en documentatie overeenkomstig artikel 37 op te vragen;

b)

algemene onderzoeken en inspecties te verrichten overeenkomstig respectievelijk de artikelen 38 en 39;

c)

na afloop van de oversightactiviteiten te verzoeken om verslagen met vermelding van de ondernomen acties of de corrigerende maatregelen die door de kritieke derde aanbieders van ICT-diensten zijn genomen met betrekking tot de in punt d) bedoelde aanbevelingen;

d)

aanbevelingen uit te vaardigen met betrekking tot de in artikel 33, lid 3, bedoelde gebieden, met name over:

i)

het gebruik van specifieke ICT-beveiligings- en kwaliteitsvereisten of -processen, met name met betrekking tot de uitrol van patches, updates, encryptie en andere beveiligingsmaatregelen die de lead overseer relevant acht om de ICT-beveiliging van diensten voor financiële entiteiten te waarborgen;

ii)

het gebruik van voorwaarden, met inbegrip van de technische uitvoering ervan, voor het verlenen van ICT-diensten aan financiële entiteiten door derde aanbieders van ICT-diensten, die de lead overseer relevant acht om het ontstaan van zwakke punten (‘single points of failure’), de uitbreiding daarvan te voorkomen, of om mogelijke systemische effecten in de hele financiële sector van de Unie te beperken in geval van ICT-concentratierisico;

iii)

geplande uitbestedingen waarbij de lead overseer van oordeel is dat verdere uitbesteding — inclusief uitbestedingsregelingen die de kritieke derde aanbieders van ICT-diensten voornemens zijn te treffen met derde aanbieders van ICT-diensten of met in een derde land gevestigde ICT-subcontractanten — risico's voor de levering van diensten door de financiële entiteit of risico's voor de financiële stabiliteit met zich mee kan brengen, op basis van onderzoek van de overeenkomstig de artikelen 37 en 38 verzamelde informatie;

iv)

het stopzetten van verdere uitbestedingsregelingen, wanneer aan de volgende cumulatieve voorwaarden is voldaan:

de beoogde subcontractant is een in een derde land gevestigde derde aanbieder van ICT-diensten of een in een derde land gevestigde ICT-subcontractant;

de uitbesteding heeft betrekking op kritieke of belangrijke functies van de financiële entiteit, en

de lead overseer is van oordeel dat dit soort uitbesteding een duidelijk en ernstig risico vormt voor de financiële stabiliteit van de Unie of voor financiële entiteiten, inclusief voor het vermogen van financiële entiteiten om aan toezichtvereisten te voldoen.

Voor de toepassing van punt iv) van dit punt zenden derde aanbieders van ICT-diensten de informatie inzake uitbesteding aan de lead overseer toe, en gebruiken daarbij het in artikel 41, lid 1, punt b), bedoelde model.

2.

Wanneer de lead overseer de in dit artikel bedoelde bevoegdheden uitoefent:

a)

zorgt hij voor regelmatige coördinatie binnen het JON, en met name consistente benaderingen, voor zover nodig, met betrekking tot het oversight van kritieke derde aanbieders van ICT-diensten;

b)

houdt hij terdege rekening met het bij Richtlijn (EU) 2022/2555 vastgestelde kader en raadpleegt indien nodig de relevante bevoegde autoriteiten die overeenkomstig die richtlijn zijn aangewezen of ingesteld, om overlappingen te voorkomen van technische en organisatorische maatregelen die op grond van die richtlijn van toepassing kunnen zijn op kritieke derde aanbieders van ICT-diensten;

c)

beperkt hij zo veel mogelijk het risico van verstoring van diensten die kritieke derde aanbieders van ICT-diensten verlenen aan klanten die entiteiten zijn die buiten het toepassingsgebied van deze verordening vallen.

3.

De lead overseer overlegt met het oversightforum vooraleer hij de in lid 1 bedoelde bevoegdheden uitoefent.

Alvorens aanbevelingen uit te vaardigen overeenkomstig lid 1, punt d), stelt de lead overseer de derde aanbieder van ICT-diensten in de gelegenheid om binnen 30 kalenderdagen relevante informatie te verstrekken waaruit de verwachte gevolgen blijken voor klanten die entiteiten zijn die buiten het toepassingsgebied van deze verordening vallen en formuleren daarbij, voor zover van toepassing, oplossingen om de risico's te mitigeren.

4.

De lead overseer stelt het JON in kennis van het resultaat van de uitoefening van de in lid 1, punten a) en b), bedoelde bevoegdheden. De lead overseer zendt de in lid 1, punt c), bedoelde verslagen onverwijld toe aan het JON en aan de bevoegde autoriteiten van de financiële entiteiten die gebruikmaken van de ICT-diensten van die kritieke derde aanbieder van ICT-diensten.

5.

Kritieke derde aanbieders van ICT-diensten werken te goeder trouw samen met de lead overseer en ondersteunen hem bij de uitvoering van zijn taken.

6.

In geval van gehele of gedeeltelijke niet-naleving van de krachtens de uitoefening van de bevoegdheden uit hoofde van lid 1, punten a), b) en c), te nemen maatregelen, en na het verstrijken van een termijn van ten minste 30 kalenderdagen vanaf de datum waarop de kritieke derde aanbieder van ICT-diensten een kennisgeving van de respectieve maatregelen heeft ontvangen, neemt de lead overseer een besluit aan waarmee een dwangsom wordt opgelegd om de kritieke derde aanbieder van ICT-diensten tot nakoming van die maatregelen te dwingen.

7.

De in lid 6 bedoelde dwangsom wordt dagelijks opgelegd tot aan de verplichtingen is voldaan, gedurende een termijn van ten hoogste zes maanden volgend op de kennisgeving van het besluit een dwangsom op te leggen aan de kritieke derde aanbieder van ICT-diensten.

8.

Het bedrag van de dwangsom, berekend vanaf de datum die is vastgesteld in het besluit tot oplegging van de dwangsom, bedraagt maximaal 1 % van de wereldwijde gemiddelde dagomzet van de kritieke derde aanbieder van ICT-diensten in het voorafgaande boekjaar. De lead overseer houdt bij de vaststelling van het bedrag van de dwangsom rekening met de volgende criteria inzake niet-naleving van de in lid 6 bedoelde maatregelen:

a)

de ernst en de duur van niet-naleving;

b)

de vraag of niet-naleving opzettelijk dan wel uit onachtzaamheid is gepleegd;

c)

de mate van medewerking van de derde aanbieder van ICT-diensten met de lead overseer.

Voor de toepassing van de eerste alinea, en met het oog op een consistente benadering, overlegt de lead overseer binnen het JON.

9.

Dwangsommen hebben een administratief karakter en zijn afdwingbaar. De tenuitvoerlegging geschiedt volgens de bepalingen van burgerlijk procesrecht die van kracht zijn in de lidstaat op het grondgebied waar de inspecties worden verricht en de toegang wordt gevraagd. Klachten over de regelmatigheid van de tenuitvoerlegging behoren tot de bevoegdheid van de rechterlijke instanties van de betrokken lidstaat. De bedragen van dwangsommen worden toegewezen aan de algemene begroting van de Europese Unie.

10.

De lead overseer maakt alle opgelegde dwangsommen openbaar, tenzij die openbaarmaking de financiële markten ernstig in gevaar zou brengen of onevenredige schade zou toebrengen aan de betrokken partijen.

11.

Alvorens een dwangsom op grond van lid 6 op te leggen, stelt de lead overseer de vertegenwoordigers van de kritieke derde aanbieder van ICT-diensten die aan de procedure is onderworpen, in de gelegenheid te worden gehoord over de bevindingen, en hij baseert zijn besluiten uitsluitend op bevindingen waarover de aan de procedure onderworpen kritieke derde aanbieder van ICT-diensten opmerkingen heeft kunnen maken.

Het recht van verweer van de aan de procedure onderworpen personen wordt tijdens de procedure ten volle geëerbiedigd. De kritieke derde aanbieder van ICT-diensten die aan de procedure is onderworpen, is gerechtigd toegang te krijgen tot het dossier, onder voorbehoud van het rechtmatige belang van andere personen bij de bescherming van hun zakengeheimen. Het recht van toegang tot het dossier is niet van toepassing op vertrouwelijke informatie of op interne voorbereidende documenten van de lead overseer.

Deze functie is alleen te gebruiken als je bent ingelogd.