CELEX:32025R0295: Regulamentul delegat (UE) 2025/295 al Comisiei din 24 octombrie 2024 de completare a Regulamentului (UE) 2022/2554 al Parlamentului European și al Consiliului în ceea ce privește standardele tehnice de reglementare privind armonizarea condițiilor care permit desfășurarea activităților de supraveghere

Vă rugăm să vă conectați la marcaj

Informatii

Data documentului: 24/10/2024; Data adoptării
Data intrării în vigoare: 05/03/2025; intrare în vigoare data publicării +20 a se vedea articolul 7
Data încetării: No end date
Emitent: Comisia Europeană, Direcția Generală Stabilitate Financiară, Servicii Financiare și Uniunea Piețelor de Capital
Formă: Repertoriu EUR-Lex

Jurnalul Ofícial
al Uniunii Europene

Seria L

2025/295

13.2.2025

REGULAMENTUL DELEGAT (UE) 2025/295 AL COMISIEI

din 24 octombrie 2024

de completare a Regulamentului (UE) 2022/2554 al Parlamentului European și al Consiliului în ceea ce privește standardele tehnice de reglementare privind armonizarea condițiilor care permit desfășurarea activităților de supraveghere

(Text cu relevanță pentru SEE)

COMISIA EUROPEANĂ,

având în vedere Tratatul privind funcționarea Uniunii Europene,

având în vedere Regulamentul (UE) 2022/2554 al Parlamentului European și al Consiliului din 14 decembrie 2022 privind reziliența operațională digitală a sectorului financiar și de modificare a Regulamentelor (CE) nr. 1060/2009, (UE) nr. 648/2012, (UE) nr. 600/2014, (UE) nr. 909/2014 și (UE) 2016/1011 (1), în special articolul 41 alineatul (2) al doilea paragraf,

întrucât:

(1)

Cadrul privind reziliența operațională digitală a sectorului financiar instituit prin Regulamentul (UE) 2022/2554 introduce un cadru de supraveghere al Uniunii pentru furnizorii terți de servicii de tehnologie a informației și comunicațiilor (TIC) către sectorul financiar care au fost desemnați ca fiind esențiali în conformitate cu articolul 31 din regulamentul respectiv.

(2)

Un furnizor terț de servicii TIC care decide să depună în mod voluntar o cerere prin care solicită să fie desemnat ca fiind esențial ar trebui să furnizeze autorității europene de supraveghere (AES) destinatare toate informațiile necesare pentru a demonstra faptul că este esențial în conformitate cu principiile și criteriile stabilite în Regulamentul (UE) 2022/2554. Din acest motiv, informațiile care trebuie incluse în cererea depusă în mod voluntar ar trebui să fie suficient de detaliate și de complete pentru a permite o evaluare clară și completă a caracterului lor esențial în temeiul articolului 31 alineatul (11) din regulamentul respectiv. AES relevantă ar trebui să respingă orice cerere incompletă și să solicite informațiile lipsă.

(3)

Identificarea juridică a furnizorilor terți de servicii TIC care intră în domeniul de aplicare al prezentului standard tehnic de reglementare ar trebui să fie aliniată la codul de identificare prevăzut în Regulamentul de punere în aplicare al Comisiei adoptat în conformitate cu articolul 28 alineatul (9) din Regulamentul (UE) 2022/2554.

(4)

Supraveghetorul principal adresează recomandări furnizorilor terți esențiali de servicii TIC și, ca o măsură subsecventă, ar trebui să monitorizeze respectarea de către aceștia a recomandărilor respective. În vederea asigurării unei monitorizări eficiente și eficace a acțiunilor care au fost întreprinse sau a măsurilor de remediere care au fost puse în aplicare de furnizorii terți esențiali de servicii TIC în lumina acestor recomandări, supraveghetorul principal ar trebui să poată solicita rapoartele menționate la articolul 35 alineatul (1) litera (c) din Regulamentul (UE) 2022/2554, care ar trebui să fie considerate rapoarte intermediare privind progresele înregistrate și rapoarte finale.

(5)

În scopul evaluării menționate la articolul 42 alineatul (1) din Regulamentul (UE) 2022/2554, conform căruia supraveghetorul principal este obligat să evalueze dacă explicația furnizată de furnizorul terț esențial de servicii TIC este suficientă, notificarea supraveghetorului principal de către furnizorul terț esențial de servicii TIC cu privire la intenția sa de a da curs recomandărilor primite ar trebui să fie completată de o descriere a acțiunilor și a măsurilor care au fost luate pentru a atenua riscurile prezentate în recomandări, împreună cu termenele aferente. O astfel de explicație ar trebui să ia forma unui plan de remediere.

(6)

Întrucât se preconizează că supraveghetorul principal va evalua acordurile de subcontractare ale furnizorului terț esențial de servicii TIC, trebuie elaborat un model pentru furnizarea de informații cu privire la acordurile respective. Modelul ar trebui să țină seama de faptul că furnizorii terți esențiali de servicii TIC au structuri organizatorice diferite de entitățile financiare.

(7)

Odată ce supraveghetorul principal a adresat recomandări unui furnizor terț esențial de servicii TIC, iar autoritățile competente au informat entitățile financiare relevante cu privire la riscurile identificate în recomandările respective, supraveghetorul principal ar trebui să monitorizeze și să evalueze punerea în aplicare de către furnizorul terț esențial de servicii TIC a acțiunilor și a măsurilor de remediere necesare pentru asigurarea conformității sale cu recomandările. Autoritățile competente ar trebui să monitorizeze și să evalueze măsura în care entitățile financiare sunt expuse riscurilor identificate în aceste recomandări. În vederea menținerii unor condiții de concurență echitabile și a îndeplinirii în continuare a atribuțiilor care le revin, în special atunci când riscurile identificate în recomandări sunt grave și sunt împărtășite de un număr mare de entități financiare din mai multe state membre, atât autoritățile competente, cât și supraveghetorul principal ar trebui să își comunice reciproc toate constatările relevante care le sunt necesare pentru a-și îndeplini atribuțiile. Obiectivul schimbului de informații este de a se asigura faptul că feedbackul dat de supraveghetorul principal furnizorului terț esențial de servicii TIC în legătură cu acțiunile și măsurile de remediere pe care acesta din urmă le pune în aplicare ține seama de impactul lor asupra riscurilor la care sunt expuse entitățile financiare și că activitățile de supraveghere desfășurate de autoritățile competente sunt fundamentate pe evaluarea efectuată de supraveghetorul principal.

(8)

Pentru a permite un schimb eficient și eficace de informații, autoritățile competente ar trebui să evalueze, în cadrul activităților lor de supraveghere, măsura în care entitățile financiare supravegheate de acestea sunt expuse riscurilor identificate în recomandări. Această evaluare ar trebui să fie efectuată în mod proporțional și să se bazeze pe riscuri. Supraveghetorul principal ar trebui să solicite autorităților competente să îi comunice rezultatele acestei evaluări în cazurile specifice în care riscurile identificate în recomandări sunt grave și sunt împărtășite de un număr mare de entități financiare din mai multe state membre. Pentru a utiliza în mod optim resursele autorităților competente, atunci când solicită furnizarea rezultatelor acestei evaluări, supraveghetorul principal ar trebui să țină întotdeauna seama de faptul că obiectivul acestor cereri este de a evalua punerea în aplicare de către furnizorii terți esențiali de servicii TIC a acțiunilor și a măsurilor de remediere.

(9)	Autoritatea Europeană pentru Protecția Datelor a fost consultată în conformitate cu articolul 42 alineatul (1) din Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului (2) și a emis un aviz la 22 iulie 2024.

(10)	Prezentul regulament are la bază proiectele de standarde tehnice de reglementare transmise Comisiei de către AES.

(11)

Comitetul comun al AES a desfășurat consultări publice deschise cu privire la proiectele de standarde tehnice de reglementare pe care se bazează prezentul regulament, a analizat costurile și beneficiile potențiale aferente și a solicitat avizul Grupului părților interesate din domeniul bancar, instituit în conformitate cu articolul 37 din Regulamentul (UE) nr. 1093/2010 al Parlamentului European și al Consiliului (3), al Grupului părților interesate din domeniul asigurărilor și reasigurărilor și al Grupului părților interesate din domeniul pensiilor ocupaționale, instituite în conformitate cu articolul 37 din Regulamentul (UE) nr. 1094/2010 al Parlamentului European și al Consiliului (4) și al Grupului părților interesate din domeniul valorilor mobiliare și piețelor, instituit în conformitate cu articolul 37 din Regulamentul (UE) nr. 1095/2010 al Parlamentului European și al Consiliului (5),

ADOPTĂ PREZENTUL REGULAMENT:

Articolul 1

Informații care trebuie furnizate de un furnizor terț de servicii TIC în cererea prin care solicită să fie desemnat ca fiind esențial

(1) Furnizorul terț de servicii de tehnologie a informației și comunicațiilor (TIC) prezintă următoarele informații în cererea motivată aferentă cererii depuse în temeiul articolului 31 alineatul (11) din Regulamentul (UE) 2022/2554 prin care solicită în mod voluntar să fie desemnat ca fiind esențial în temeiul articolului 31 alineatul (1) litera (a) din Regulamentul (UE) 2022/2554:

(a)	numele entității juridice;

(b)	codul de identificare al entității juridice;

(c)	numele persoanei de contact și datele de contact ale furnizorului terț esențial de servicii TIC;

(d)	țara în care entitatea juridică își are sediul social;

(e)

descrierea structurii corporative, care include cel puțin informații privind societatea-mamă și alte întreprinderi afiliate care furnizează servicii TIC entităților financiare din Uniune. Aceste informații includ, după caz:

(i)	numele entităților juridice;

(ii)	codul de identificare al entității juridice;

(iii)

țara în care entitatea juridică își are sediul social;

(f)

o estimare a cotei de piață a furnizorului terț de servicii TIC în sectorul financiar al Uniunii și o estimare a cotei de piață pentru fiecare tip de entitate financiară, astfel cum sunt menționate la articolul 2 alineatul (1) din Regulamentul (UE) 2022/2554, din anul depunerii cererii prin care acesta solicită să fie desemnat ca fiind esențial și din anul anterior cererii respective;

(g)

o descriere a fiecărui serviciu TIC furnizat entităților financiare din Uniune, inclusiv:

(i)	o descriere a naturii activității și a tipului de servicii TIC furnizate entităților financiare;

(ii)	o listă a funcțiilor entităților financiare sprijinite de serviciile TIC furnizate, dacă este disponibilă;

(iii)

informații din care să reiasă dacă serviciile TIC furnizate entităților financiare sprijină funcții critice sau importante, dacă sunt disponibile;

(h)

o listă a entităților financiare care utilizează serviciile TIC furnizate de furnizorul terț de servicii TIC, inclusiv următoarele informații pentru fiecare dintre entitățile financiare care beneficiază de serviciile respective, dacă este disponibilă:

(i)	numele entității juridice;

(ii)	codul de identificare al entității juridice, în cazul în care acesta este cunoscut de furnizorul terț de servicii TIC;

(iii)

tipul de entitate financiară, astfel cum este menționat la articolul 2 alineatul (1) din Regulamentul (UE) 2022/2554;

(iv)	locația geografică din care sunt furnizate serviciile TIC respectivei entități juridice;

(i)	o listă a furnizorilor terți esențiali de servicii TIC incluși în cea mai recentă listă disponibilă a acestor furnizori publicată de AES în temeiul articolului 31 alineatul (9) din Regulamentul (UE) 2022/2554 care se bazează pe serviciile furnizate de solicitant, dacă este disponibilă;

(j)

o autoevaluare a următoarelor aspecte:

(i)

gradul de substituibilitate pentru fiecare serviciu TIC furnizat de solicitant, ținând cont de următoarele aspecte:

—	cota de piață a furnizorului terț de servicii TIC în sectorul financiar al Uniunii;

—	numărul de concurenți relevanți cunoscuți pentru fiecare tip de servicii TIC sau grup de servicii TIC;

—	descrierea particularităților legate de serviciile TIC oferite, inclusiv în legătură cu orice tehnologie protejată, sau a caracteristicilor specifice ale organizării sau activității furnizorului terț de servicii TIC;

(ii)	cunoștințe cu privire la disponibilitatea unor furnizori terți alternativi de servicii TIC de a furniza aceleași servicii TIC ca furnizorul terț de servicii TIC care depune cererea;

(k)	informații cu privire la o strategie de afaceri viitoare în ceea ce privește furnizarea de servicii și infrastructuri TIC entităților financiare din Uniune, inclusiv orice modificări planificate ale grupului sau ale structurii de conducere, intrarea pe noi piețe sau demararea de noi activități;

(l)	identificarea subcontractanților furnizorului terț de servicii TIC care au fost desemnați drept furnizori terți esențiali de servicii TIC;

(m)	orice alte motive relevante pentru cererea depusă de furnizorul terț de servicii TIC prin care acesta solicită să fie desemnat ca fiind esențial.

(2) În cazul în care furnizorul terț de servicii TIC face parte dintr-un grup, informațiile menționate la alineatul (1) se furnizează în legătură cu serviciile TIC furnizate de grup în ansamblul său.

Articolul 2

Conținutul, structura și formatul informațiilor care trebuie transmise, comunicate sau raportate de furnizorii terți esențiali de servicii TIC

(1) Furnizorii terți esențiali de servicii TIC furnizează supraveghetorului principal, la cererea acestuia, orice informații necesare pentru ca supraveghetorul principal să își îndeplinească atribuțiile de supraveghere în conformitate cu cerințele Regulamentului (UE) 2022/2554.

(2) Informațiile menționate la alineatul (1) includ, printre altele, următoarele:

(a)

informații cu privire la acordurile și copiile după documentele contractuale încheiate între:

(i)	furnizorul terț esențial de servicii TIC și entitățile financiare menționate la articolul 2 alineatul (1) din Regulamentul (UE) 2022/2554;

(ii)	furnizorul terț esențial de servicii TIC și subcontractanții acestuia, cu scopul de a capta lanțul valoric tehnologic al serviciilor TIC furnizate entităților financiare din Uniune;

(b)	informații cu privire la structura organizatorică și de grup a furnizorului terț esențial de servicii TIC, inclusiv informații de identificare a tuturor entităților aparținând aceluiași grup care furnizează în mod direct sau indirect servicii TIC entităților financiare din Uniune;

(c)

informații cu privire la acționarii principali, inclusiv structura și distribuția lor geografică, ai oricărora dintre următoarele:

(i)	entitățile care dețin, exclusiv sau în comun cu entitățile lor afiliate, 25 % sau mai mult din capitalul sau din drepturile de vot ale furnizorului terț esențial de servicii TIC;

(ii)	entitățile care au dreptul de a numi sau a demite majoritatea membrilor organului administrativ, de conducere sau de supraveghere al furnizorului terț esențial de servicii TIC;

(iii)

entitățile care controlează, în temeiul unui acord, majoritatea drepturilor de vot ale acționarilor sau ale membrilor furnizorului terț esențial de servicii TIC;

(d)	informații cu privire la cota de piață a furnizorului terț esențial de servicii TIC, pentru fiecare tip de servicii, pe piețele relevante pe care își desfășoară activitatea;

(e)	informații cu privire la cadrul de guvernanță intern al furnizorului terț esențial de servicii TIC, inclusiv structura cu liniile de responsabilitate în materie de guvernanță și normele în materie de răspundere;

(f)

procesele-verbale ale reuniunilor organului de conducere al furnizorului terț esențial de servicii TIC și ale oricăror alte comitete interne relevante, care se referă în orice fel la activitățile și riscurile legate de serviciile TIC furnizate de terți care sprijină funcțiile entităților financiare din Uniune;

(g)

informații cu privire la securitatea TIC a furnizorului terț esențial de servicii TIC, inclusiv strategiile, obiectivele, politicile, procedurile, protocoalele, procesele, măsurile de control pentru protecția datelor sensibile, controalele accesului, practicile de criptare, planurile de răspuns la incidente relevante și informații cu privire la respectarea tuturor reglementărilor relevante și a standardelor naționale și internaționale, după caz;

(h)

informații cu privire la măsurile tehnice și organizatorice de asigurare a protecției datelor și a confidențialității datelor, inclusiv a datelor cu caracter personal și a celor fără caracter personal, cu privire la măsurile de control puse în aplicare pentru protejarea datelor sensibile, controlul accesului, practicile de criptare și planul de răspuns în caz de încălcare a securității datelor; atunci când, în ceea ce privește prelucrarea datelor cu caracter personal, furnizorul terț de servicii TIC este supus legilor unei țări terțe, inclusiv unor cereri de acces din partea guvernului unei țări terțe, lista țărilor respective și a legilor aplicabile;

(i)	informații cu privire la mecanismele pe care furnizorul terț esențial de servicii TIC le oferă entităților financiare din Uniune pentru portabilitatea datelor, portabilitatea aplicațiilor și interoperabilitate;

(j)

informații cu privire la localizarea centrelor de date și a centrelor de producție TIC utilizate în scopul furnizării de servicii entităților financiare, inclusiv o listă a tuturor sediilor și instalațiilor relevante ale furnizorului terț esențial de servicii TIC, inclusiv a celor din afara Uniunii;

(k)	informații cu privire la furnizarea de servicii de către furnizorul terț esențial de servicii TIC din țări terțe, inclusiv informații privind dispozițiile legale relevante aplicabile datelor cu caracter personal și fără caracter personal prelucrate de furnizorul terț de servicii TIC;

(l)	informații cu privire la măsurile luate pentru a aborda riscurile care decurg din furnizarea de servicii TIC de către furnizorul terț esențial de servicii TIC și subcontractanții acestuia din țări terțe;

(m)

informații cu privire la cadrul de gestionare a riscurilor și la cadrul de gestionare a incidentelor, inclusiv cu privire la politicile, procedurile, instrumentele, mecanismele și cadrul de guvernanță ale furnizorului terț esențial de servicii TIC și ale subcontractanților acestuia, inclusiv lista și descrierea incidentelor majore cu impact direct sau indirect asupra entităților financiare din Uniune, inclusiv detaliile relevante pentru stabilirea importanței incidentului asupra entităților financiare și pentru evaluarea posibilelor impacturi transfrontaliere ale incidentului respectiv;

(n)	informații cu privire la cadrul de gestionare a modificărilor, inclusiv politicile, procedurile și controalele puse în practică de furnizorul terț esențial de servicii TIC și de subcontractanții acestuia;

(o)

informații cu privire la cadrul general de răspuns și de recuperare al furnizorului terț esențial de servicii TIC, inclusiv planurile de continuitate a activității și mecanismele și procedurile aferente, politica privind ciclul de viață al dezvoltării de software, planurile de răspuns și de recuperare și mecanismele și procedurile aferente, politicile și procedurile privind copiile de rezervă;

(p)

informații cu privire la monitorizarea performanței, monitorizarea securității și urmărirea incidentelor, precum și informații cu privire la mecanismele de raportare legate de performanța serviciilor, incidente și respectarea acordurilor privind nivelul serviciilor (SLA) și a obiectivelor privind nivelul serviciilor (SLO) convenite sau a acordurilor similare încheiate între furnizorii terți esențiali de servicii TIC și entitățile financiare din Uniune;

(q)

informații cu privire la cadrul de gestionare a serviciilor TIC furnizate de către terți al furnizorului terț esențial de servicii TIC, inclusiv strategiile, politicile, procedurile, procesele și controalele instituite, inclusiv detalii privind obligația de diligență și evaluarea de către furnizorul terț esențial de servicii TIC a riscurilor legate de subcontractanții săi înainte de momentul încheierii unui acord cu aceștia și pentru a monitoriza relația cu aceștia, incluzând toate riscurile TIC și de contraparte relevante;

(r)

extrase din sistemele de monitorizare și scanare ale furnizorului terț esențial de servicii TIC și ale subcontractanților acestuia, referitoare la monitorizarea rețelei, monitorizarea serverelor, monitorizarea aplicațiilor, monitorizarea securității, scanarea vulnerabilităților, gestionarea jurnalelor, monitorizarea performanței, gestionarea incidentelor și măsurătorile în raport cu obiectivele de fiabilitate, cum ar fi obiectivele privind nivelul serviciilor (SLO), fără a se limita însă doar la acestea;

(s)	extrase din orice sistem sau aplicație de producție, de preproducție și de testare utilizat(ă) de furnizorul terț esențial de servicii TIC și de subcontractanții săi pentru a furniza în mod direct sau indirect servicii entităților financiare din Uniune.

(t)

rapoarte de audit de conformitate și rapoartele de audit disponibile, precum și orice constatări de audit relevante, inclusiv ale auditurilor efectuate de autoritățile naționale din Uniune și din afara Uniunii, în cazul în care acordurile de cooperare cu autoritățile relevante prevăd un astfel de schimb de informații, sau certificări obținute de furnizorul terț esențial de servicii TIC ori de subcontractanții acestuia, inclusiv rapoarte ale auditorilor interni și externi, certificări sau evaluări ale conformității cu standardele specifice sectorului. Acestea includ informații cu privire la orice tip de testare independentă disponibilă a rezilienței sistemelor TIC ale furnizorului terț esențial de servicii TIC, inclusiv orice tip de test de penetrare bazat pe amenințări efectuat de furnizorul terț de servicii TIC;

(u)	informații cu privire la orice evaluări efectuate de furnizorul terț esențial de servicii TIC la cererea acestuia sau în numele acestuia, care evaluează caracterul adecvat și integritatea persoanelor ce dețin poziții-cheie în cadrul furnizorului terț esențial de servicii TIC;

(v)	informații cu privire la orice plan de remediere menit să dea curs recomandărilor în temeiul articolului 3 și informații conexe relevante menite să confirme faptul că măsurile de remediere respective au fost implementate;

(w)

informații cu privire la programele disponibile de formare a angajaților și la programele de sensibilizare în materie de securitate, inclusiv, după caz, informații privind investițiile, resursele și metodele adoptate de furnizorul terț esențial de servicii TIC pentru a-și forma personalul să gestioneze date financiare sensibile și să mențină niveluri ridicate de securitate;

(x)	informații cu privire la activitățile furnizorului terț esențial de servicii TIC și situațiile financiare, inclusiv informații privind bugetul și resursele legate de TIC și de securitate.

Articolul 3

Informații furnizate de furnizorii terți esențiali de servicii TIC după emiterea recomandărilor

(1) Furnizorul terț esențial de servicii TIC prezintă supraveghetorului principal un raport care conține un plan de remediere în legătură cu recomandările și măsurile de remediere pe care furnizorul terț esențial de servicii TIC intenționează să le pună în aplicare pentru a atenua riscurile identificate în recomandările menționate la articolul 35 alineatul (1) litera (d) din Regulamentul (UE) 2022/2254. Raportul trebuie să respecte calendarul stabilit de supraveghetorul principal pentru fiecare recomandare.

(2) Pentru a permite monitorizarea punerii în aplicare a acțiunilor care au fost întreprinse sau a măsurilor de remediere care au fost puse în aplicare de furnizorul terț esențial de servicii TIC în legătură cu recomandările primite, furnizorul terț esențial de servicii TIC comunică supraveghetorului principal, la cererea acestuia:

(a)

rapoarte intermediare privind progresele înregistrate și documentele justificative conexe în care precizează progresele înregistrate în ceea ce privește punerea în aplicare a acțiunilor și a măsurilor prevăzute în raportul furnizat supraveghetorului principal de către furnizorul esențial de servicii TIC în termenul stabilit de supraveghetorul principal;

(b)	rapoarte finale și documentele justificative conexe în care precizează acțiunile care au fost întreprinse sau măsurile de remediere care au fost puse în aplicare de furnizorul terț esențial de servicii TIC pentru a atenua riscurile identificate în recomandările primite.

Articolul 4

Structura și formatul informațiilor furnizate de furnizorii terți esențiali de servicii TIC

(1) Furnizorul terț esențial de servicii TIC furnizează supraveghetorului principal informațiile solicitate prin intermediul canalelor electronice securizate special prevăzute în acest sens, indicate de supraveghetorul principal în cererea sa, și în formatul stabilit de supraveghetorul principal.

(2) Atunci când furnizează informații supraveghetorului principal, furnizorii terți esențiali de servicii TIC:

(a)	urmează structura indicată de supraveghetorul principal în cererea sa de informații;

(b)	identifică clar unde se află informațiile relevante în documentația prezentată.

(3) Informațiile transmise, comunicate sau raportate supraveghetorului principal de către furnizorul terț esențial de servicii TIC trebuie să fie într-o limbă uzuală în domeniul finanțelor internaționale.

Articolul 5

Model pentru furnizarea de informații privind acordurile de subcontractare

Un furnizor terț esențial de servicii TIC care are obligația de a face schimb de informații privind acordurile de subcontractare furnizează informațiile respective supraveghetorului principal în conformitate cu modelul prevăzut în anexă.

Articolul 6

Evaluarea de către autoritățile competente a riscurilor abordate în recomandările formulate de supraveghetorul principal

(1) Ca parte a supravegherii entităților financiare, autoritatea competentă evaluează impactul asupra entităților financiare al măsurilor luate de furnizorul terț esențial de servicii TIC pe baza recomandărilor supraveghetorului principal, în conformitate cu principiul proporționalității.

(2) Atunci când efectuează evaluarea menționată la alineatul (1), autoritatea competentă ia în considerare toate elementele următoare:

(a)	caracterul adecvat și coerența măsurilor corective și de remediere puse în aplicare de entitățile financiare pentru a atenua riscurile identificate în recomandări;

(b)

evaluarea efectuată de supraveghetorul principal cu privire la respectarea de către furnizorul terț esențial de servicii TIC a măsurilor și a acțiunilor incluse în raport, în cazul în care evaluarea are un impact asupra expunerii entităților financiare care intră în sfera sa de competență la riscurile identificate în recomandări;

(c)	punctul de vedere al oricăror altor autorități competente care au fost consultate în conformitate cu articolul 42 alineatul (5) din Regulamentul (UE) 2022/2554;

(d)	dacă supraveghetorul principal a considerat că acțiunile și măsurile de remediere puse în aplicare de furnizorul terț esențial de servicii TIC sunt adecvate pentru a atenua expunerea entităților financiare care intră în sfera sa de competență la riscurile identificate în recomandări.

(3) La cererea supraveghetorului principal, autoritatea competentă furnizează rezultatele evaluării prevăzute la alineatul (1) într-un termen rezonabil. Atunci când solicită rezultatele acestei evaluări, supraveghetorul principal ține seama de principiul proporționalității și de amploarea riscurilor identificate în recomandări, inclusiv de impactul transfrontalier al acestor riscuri atunci când afectează entități financiare care își desfășoară activitatea în mai multe state membre.

(4) Dacă este cazul, autoritatea competentă solicită entităților financiare să furnizeze orice informații necesare pentru efectuarea evaluării menționate la alineatul (1).

Articolul 7

Intrarea în vigoare

Prezentul regulament intră în vigoare în a douăzecea zi de la data publicării în Jurnalul Oficial al Uniunii Europene.

Prezentul regulament este obligatoriu în toate elementele sale și se aplică direct în toate statele membre.

Adoptat la Bruxelles, 24 octombrie 2024.

Pentru Comisie

Președinta

Ursula VON DER LEYEN

(1)
JO L 333, 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.

(2) Regulamentul (UE) 2018/1725 al Parlamentului European și al Consiliului din 23 octombrie 2018 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal de către instituțiile, organele, oficiile și agențiile Uniunii și privind libera circulație a acestor date și de abrogare a Regulamentului (CE) nr. 45/2001 și a Deciziei nr. 1247/2002/CE (JO L 295, 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(3) Regulamentul (UE) nr. 1093/2010 al Parlamentului European și al Consiliului din 24 noiembrie 2010 de instituire a Autorității europene de supraveghere (Autoritatea bancară europeană), de modificare a Deciziei nr. 716/2009/CE și de abrogare a Deciziei 2009/78/CE a Comisiei (JO L 331, 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).

(4) Regulamentul (UE) nr. 1094/2010 al Parlamentului European și al Consiliului din 24 noiembrie 2010 de instituire a Autorității europene de supraveghere (Autoritatea europeană de asigurări și pensii ocupaționale), de modificare a Deciziei nr. 716/2009/CE și de abrogare a Deciziei 2009/79/CE a Comisiei (JO L 331, 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).

(5) Regulamentul (UE) nr. 1095/2010 al Parlamentului European și al Consiliului din 24 noiembrie 2010 de instituire a Autorității europene de supraveghere (Autoritatea europeană pentru valori mobiliare și piețe), de modificare a Deciziei nr. 716/2009/CE și de abrogare a Deciziei 2009/77/CE a Comisiei (JO L 331, 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).

ANEXĂ

MODEL PENTRU COMUNICAREA DE INFORMAȚII PRIVIND ACORDURILE DE SUBCONTRACTARE

Categorie de informații

Informații esențiale

Informații generale

—	Numele furnizorului terț esențial de servicii TIC.

—	Codul de identificare al furnizorului terț esențial de servicii TIC.

—	Numele persoanei de contact și datele de contact ale furnizorului terț esențial de servicii TIC.

—	Data depunerii modelului.

Prezentare generală a acordurilor de subcontractare

—	Cartografierea acordurilor de subcontractare, inclusiv o scurtă descriere a scopului și a domeniului de aplicare al relațiilor de subcontractare (inclusiv o indicație privind caracterul critic sau importanța acordurilor de subcontractare pentru furnizorul terț esențial de servicii TIC).

—	Specificarea și descrierea tipurilor de servicii TIC subcontractate și a importanței acestora pentru serviciile TIC furnizate entităților financiare, în concordanță cu standardele tehnice de punere în aplicare adoptate în temeiul articolului 28 alineatul (9) din Regulamentul (UE) 2022/2554.

—	Atunci când precizați tipurile de servicii TIC, vă rugăm să consultați lista din anexa IV la standardele tehnice de punere în aplicare adoptate în temeiul articolului 28 alineatul (9) din Regulamentul (UE) 2022/2554.

Informații privind subcontractanții

—	Numele și detaliile entității juridice (inclusiv codul de identificare) ale fiecărui subcontractant.

—	Datele de contact ale membrilor personalului responsabili pentru fiecare dintre relațiile de subcontractare din structura de management a furnizorilor terți esențiali de servicii TIC.

—	Prezentare generală, pentru fiecare subcontractant, a cunoștințelor de specialitate, a experienței și a calificărilor deținute legate de serviciile TIC contractate.

Descrierea serviciilor furnizate de subcontractanți

—	Descrierea detaliată a serviciilor TIC specifice furnizate de fiecare subcontractant.

—	Defalcarea responsabilităților și a sarcinilor atribuite subcontractanților prin detalierea diferitelor roluri ale acestora în diferitele etape ale proceselor TIC.

—	Informații privind nivelul de acces pe care îl au subcontractanții la date sau sisteme cu caracter personal sau sensibile din alt punct de vedere referitoare la serviciile TIC furnizate entităților financiare.

—	Informații privind locațiile din care sunt furnizate serviciile subcontractanților și privind măsurile luate pentru a contracara riscurile care decurg din serviciile furnizate din afara Uniunii.

Cadrul de guvernanță și supraveghere în relația de subcontractare

—	Descrierea cadrului contractual și de guvernanță instituit pentru gestionarea relațiilor de subcontractare, inclusiv clauzele care restricționează utilizarea datelor sensibile.

—	Explicarea proceselor de selectare, angajare și monitorizare a subcontractanților.

—	Prezentare generală a indicatorilor de performanță, a obiectivelor și a acordurilor privind nivelul serviciilor, precum și a indicatorilor-cheie de performanță utilizați pentru evaluarea performanței și a monitorizării fiabilității subcontractanților.

Gestionarea riscurilor și asigurarea conformității

—	Evaluarea profilurilor de risc ale subcontractanților și a impactului potențial asupra serviciilor TIC furnizate entităților financiare.

—	Explicarea măsurilor de atenuare a riscurilor puse în aplicare pentru a aborda riscurile legate de subcontractare.

—	Detalii privind respectarea de către subcontractant a reglementărilor relevante, inclusiv în ceea ce privește protecția datelor și standardele sectoriale.

Planurile de continuitate a activității și pentru situații neprevăzute

—	Prezentare generală a planurilor de continuitate a activității și a planurilor de răspuns și de recuperare elaborate de subcontractant.

—	Descrierea măsurilor instituite pentru a asigura continuitatea serviciului în cazul perturbărilor sau al rezilierii de către subcontractant.

—

Frecvența testelor realizate de către subcontractanți ale planurilor de continuitate a activității și ale planurilor de răspuns și de recuperare, datele testelor realizate în ultimii 3 ani și precizarea faptului dacă furnizorul terț esențial de servicii TIC a fost sau nu implicat în testele respective.

Raportare

—	Descrierea mecanismelor de raportare și a frecvenței raportării între furnizorul terț esențial de servicii TIC și subcontractanții acestuia.

Remedierea și gestionarea incidentelor

—	Prezentarea procedurilor de abordare a incidentelor legate de subcontractanți, a cazurilor în care subcontractanții nu își îndeplinesc obligațiile sau a neconformării subcontractanților.

Certificări și audituri

—	Informații privind certificările, auditurile independente sau evaluările la care au fost supuși subcontractanții în vederea validării controalelor de securitate, a standardelor de calitate sau a conformității cu reglementările aplicabile a acestora.

—	Data și frecvența auditurilor la care au fost supuși subcontractanții și care au fost efectuate de furnizorul terț esențial de servicii TIC.

ELI: http://data.europa.eu/eli/reg_del/2025/295/oj

ISSN 1977-0782 (electronic edition)

Top

	Redacția Lex24 Drept la Sursa!
	Articole Urmărește

	Redacția Lex24
	Publicat in Repertoriu EUR-Lex, 06/03/2025