EUR-Lex Access to European Union law
This document is an excerpt from the EUR-Lex website
Document 32024R1502
Commission Delegated Regulation (EU) 2024/1502 of 22 February 2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council by specifying the criteria for the designation of ICT third-party service providers as critical for financial entities
Regulamento Delegado (UE) 2024/1502 da Comissão, de 22 de fevereiro de 2024, que complementa o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho especificando os critérios para a designação dos terceiros prestadores de serviços de TIC críticos para as entidades financeiras
Regulamento Delegado (UE) 2024/1502 da Comissão, de 22 de fevereiro de 2024, que complementa o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho especificando os critérios para a designação dos terceiros prestadores de serviços de TIC críticos para as entidades financeiras
C/2024/896
JO L, 2024/1502, 30.5.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1502/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)
In force
|
Jornal Oficial |
PT Série L |
|
2024/1502 |
30.5.2024 |
REGULAMENTO DELEGADO (UE) 2024/1502 DA COMISSÃO
de 22 de fevereiro de 2024
que complementa o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho especificando os critérios para a designação dos terceiros prestadores de serviços de TIC críticos para as entidades financeiras
(Texto relevante para efeitos do EEE)
A COMISSÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia,
Tendo em conta o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativo à resiliência operacional digital do setor financeiro e que altera os Regulamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 e (UE) 2016/1011 (1), nomeadamente o artigo 31.o, n.o 6,
Considerando o seguinte:
|
(1) |
Para avaliar se um terceiro prestador de serviços de TIC é crítico para as entidades financeiras, e tendo em conta os critérios estabelecidos no artigo 31.o, n.o 2, do Regulamento (UE) 2022/2554, as Autoridades Europeias de Supervisão (AES) devem utilizar subcritérios numa avaliação em duas fases. Tendo em conta o número importante de serviços de TIC e a diversidade e o número de instituições financeiras que utilizam esses serviços, essa abordagem em duas fases deve ser adotada para filtrar a população de terceiros prestadores de serviços de TIC e identificar os prestadores de serviços de TIC mais críticos. Os subcritérios quantitativos que devem ser considerados no âmbito da primeira fase da avaliação são necessários para efetuar uma primeira seleção da população de terceiros prestadores de serviços de TIC para a qual será relevante efetuar uma análise mais aprofundada tendo em conta os subcritérios qualitativos que devem ser considerados parte da segunda fase da avaliação. |
|
(2) |
A medida em que o serviço de TIC prestado por um terceiro prestador de serviços de TIC apoia funções críticas ou importantes da entidade financeira é considerada em geral um elemento crucial da avaliação do caráter crítico. Por conseguinte, a importância das atividades das entidades financeiras que são apoiadas pelos serviços de TIC deve ser integrada em todos os subcritérios considerados no âmbito da primeira fase. Por conseguinte, não deve haver uma avaliação quantitativa distinta relacionada com o caráter crítico das funções das entidades financeiras no âmbito da primeira fase da avaliação. Em vez disso, é conveniente que as AES tenham em conta o caráter crítico e a importância das funções das entidades financeiras apoiadas por serviços de TIC no âmbito da segunda fase, qualitativa, da avaliação. |
|
(3) |
A avaliação deve ser efetuada por cada terceiro prestador de serviços de TIC ou, se for caso disso, por grupo de terceiros prestadores de serviços de TIC, caso o terceiro prestador de serviços de TIC pertença a um grupo, em conformidade com o artigo 31.o, n.o 3, do Regulamento (UE) 2022/2554. A fim de permitir uma avaliação exaustiva do potencial impacto sistémico no setor financeiro da União, os subcontratantes de TIC de terceiros prestadores de serviços de TIC deverão também ser sujeitos à avaliação pelas AES e, se for caso disso, designados como terceiros prestadores de serviços de TIC críticos. |
|
(4) |
A fim de determinar o impacto sistémico do terceiro prestador de serviços de TIC na estabilidade, na continuidade ou na qualidade da prestação de serviços financeiros, é da maior importância compreender claramente a extensão e a natureza do impacto sistémico que uma falha operacional em grande escala de um terceiro prestador de serviços de TIC teria nas entidades financeiras, que dependem dos serviços prestados por um terceiro prestador de serviços de TIC, bem como no sistema financeiro. Por conseguinte, é conveniente considerar o número de entidades financeiras de uma determinada categoria que utilizam os mesmos serviços de TIC, bem como o valor dos seus ativos, a fim de avaliar se é relevante considerar crítico o terceiro que presta esses serviços de TIC. Além disso, deverá ser realizada uma avaliação qualitativa da importância sistémica e da interligação dos terceiros prestadores de serviços de TIC, bem como da importância dos serviços prestados por um terceiro prestador de serviços de TIC na prestação de serviços financeiros pelas entidades financeiras, tendo em conta a estabilidade e a continuidade desses mesmos serviços, a fim de determinar o impacto sistémico do terceiro prestador de serviços de TIC nas atividades das entidades financeiras. |
|
(5) |
Para determinar o caráter sistémico e a importância das entidades financeiras que dependem dos serviços de TIC, é necessário ter em conta a natureza dessas entidades financeiras. Quando entidades financeiras classificadas como G-SII e O-SII ou identificadas como «sistémicas» dependem dos mesmos serviços de TIC para apoiar funções críticas ou importantes, é conveniente que o terceiro prestador de serviços de TIC que presta esses serviços seja considerado crítico para o setor financeiro da União. A interligação entre as entidades financeiras do setor financeiro da União que dependem de serviços de TIC prestados pelo mesmo terceiro prestador de serviços de TIC deverá também ser avaliada para determinar a dependência das entidades financeiras em relação a esse terceiro prestador de serviços de TIC. |
|
(6) |
Os serviços de TIC de apoio a funções críticas ou importantes das entidades financeiras devem ser avaliados em função do seu tipo e caráter crítico, que fazem com que sejam necessários para que as entidades financeiras exerçam as suas atividades sem perturbações. |
|
(7) |
Para determinar o grau de substituibilidade do prestador terceiro de serviços de TIC, é necessário ter em conta o número de terceiros prestadores de serviços de TIC ativos num determinado mercado, a existência de soluções alternativas para o mesmo serviço de TIC, bem como os custos da migração de dados e do trabalho envolvido no domínio das TIC para outros terceiros prestadores de serviços de TIC, no âmbito da avaliação a realizar pelas AES. |
|
(8) |
A fim de assegurar a solidez do processo de avaliação, é importante que as AES se baseiem nos dados dos registos de informações a que se refere o artigo 28.o, n.o 3, do Regulamento (UE) 2022/2554 para avaliar se os terceiros prestadores de serviços de TIC devem ser designados como críticos, |
ADOTOU O PRESENTE REGULAMENTO:
Artigo 1.o
Abordagem da avaliação
1. Ao considerar os critérios estabelecidos no artigo 31.o, n.o 2, do Regulamento (UE) 2022/2554 para designar um terceiro prestador de serviços de TIC que seja crítico para as entidades financeiras, as AES devem aplicar a seguinte abordagem:
|
a) |
Numa primeira fase, as AES devem avaliar se o terceiro prestador de serviços de TIC cumpre todos os subcritérios da «fase 1» definidos no artigo 2.o, n.o 1, artigo 3.o, n.o 1, e artigo 5.o, n.o 1; |
|
b) |
Numa segunda fase, relativamente aos terceiros prestadores de serviços de TIC que cumpram todos os subcritérios da «fase 1» a que se refere a alínea a), as AES devem realizar a sua avaliação à luz dos subcritérios da «fase 2» referidos no artigo 2.o, n.o 5, artigo 3.o, n.o 4, artigo 4.o, n.o 1, e artigo 5.o, n.o 5. |
Em derrogação do primeiro parágrafo, relativamente à avaliação do «critério c» do artigo 31.o, n.o 2, do Regulamento (UE) 2022/2554, a primeira fase deve ser abrangida pela avaliação a efetuar no respeitante aos «critérios a, b e d» do artigo 31.o, n.o 2, do Regulamento (UE) 2022/2554.
2. Após o termo do prazo para a apresentação da declaração fundamentada a que se refere o artigo 31.o, n.o 5, primeiro parágrafo, do Regulamento (UE) 2022/2554, as AES, através do Comité Conjunto e sob recomendação do fórum de superintendência, devem designar um terceiro prestador de serviços de TIC como crítico para as entidades financeiras se cumprir todos os subcritérios da «fase 1» a que se refere o n.o 1, alínea a), e na sequência de um resultado positivo da avaliação realizada em relação aos subcritérios da «fase 2» a que se refere o n.o 1, alínea b).
Artigo 2.o
Impacto sistémico dos terceiros prestadores de serviços de TIC na estabilidade, na continuidade ou na qualidade da prestação de serviços financeiros
1. Ao considerar o critério estabelecido no artigo 31.o, n.o 2, alínea a), do Regulamento (UE) 2022/2554, as AES devem avaliar se o terceiro prestador de serviços de TIC cumpre os seguintes subcritérios da «fase 1»:
|
a) |
Subcritério 1.1: percentagem do número de entidades financeiras, discriminado por categorias de entidades financeiras enumeradas no artigo 2.o, n.o 1, do Regulamento (UE) 2022/2554, às quais são prestados serviços de TIC pelo mesmo terceiro prestador de serviços de TIC, caso os serviços de TIC apoiem funções críticas ou importantes; |
|
b) |
Subcritério 1.2: percentagem do valor total dos ativos das entidades financeiras, discriminado por categorias de entidades financeiras enumeradas no artigo 2.o, n.o 1, do Regulamento (UE) 2022/2554, no âmbito dos quais são prestados serviços de TIC pelo mesmo terceiro prestador de serviços de TIC, caso os serviços de TIC apoiem funções críticas ou importantes de entidades financeiras. |
2. O subcritério 1.1 estabelecido no n.o 1, alínea a), é calculado do seguinte modo:
|
número de entidades financeiras de uma categoria de entidades financeiras referida no artigo 2.o,n.o 1,do Regulamento (UE) 2022/2554, a quem são prestados serviços de TIC pelo mesmo terceiro prestador de serviços de TIC em que os serviços de TIC apoiam funções críticas ou importantes das entidades financeiras |
|
número total de entidades financeiras de uma categoria de entidades financeiras referida no artigo 2.o,n.o 1,do Regulamento (UE) 2022/2554 |
3. O subcritério 1.2 estabelecido no n.o 1, alínea b), é calculado do seguinte modo:
|
valor total dos ativos das entidades financeiras de uma categoria de entidades financeiras, referida no artigo 2.o,n.o 1,do Regulamento (UE) 2022/2554, a quem são prestados serviços de TIC pelo mesmo terceiro prestador de serviços de TIC em que os serviços de TIC apoiam funções críticas ou importantes das entidades financeiras |
|
valor total dos ativos de todas as entidades financeiras da UE da mesma categoria referida no artigo 2.o,n.o 1,do Regulamento (UE) 2022/2554 |
4. Considera-se que um terceiro prestador de serviços de TIC cumpriu os subcritérios da «fase 1» a que se refere o n.o 1 se ambas as percentagens, calculadas em conformidade com os n.os 2 e 3, forem, no mínimo, de 10 % do número total de, pelo menos, uma categoria de entidades financeiras, como estabelecido no artigo 2.o, n.o 1, do Regulamento (UE) 2022/2554.
5. Ao considerar o critério estabelecido no artigo 31.o, n.o 2, alínea a), do Regulamento (UE) 2022/2554, e se o terceiro prestador de serviços de TIC cumprir os subcritérios da «fase 1» a que se refere o n.o 1 do presente artigo, as AES devem realizar a sua avaliação à luz dos seguintes subcritérios da «fase 2»:
|
a) |
Subcritério 1.3: a intensidade do impacto da interrupção dos serviços de TIC prestados pelo terceiro prestador de serviços de TIC nas atividades e operações das entidades financeiras identificadas nos subcritérios da «fase 1» a que se refere o n.o 1 do presente artigo e o número dessas entidades financeiras afetadas; |
|
b) |
Subcritério 1.4: a dependência do terceiro prestador de serviços de TIC crítico em relação aos mesmos subcontratantes que prestam serviços de TIC que apoiam funções críticas ou importantes de entidades financeiras. |
Artigo 3.o
Caráter sistémico e importância dos serviços de TIC prestados a entidades financeiras
1. Ao considerar o critério estabelecido no artigo 31.o, n.o 2, alínea b), do Regulamento (UE) 2022/2554, as AES devem avaliar se o terceiro prestador de serviços de TIC cumpre os seguintes subcritérios da «fase 1»:
|
a) |
Subcritério 2.1: número de instituições de importância sistémica global (G-SII) e outras instituições de importância sistémica (O-SII) que sejam instituições de crédito às quais são prestados serviços de TIC pelo mesmo terceiro prestador de serviços de TIC, caso os serviços de TIC apoiem funções críticas ou importantes; |
|
b) |
Subcritério 2.2: número de instituições financeiras, exceto instituições de crédito, G-SII e O-SII a que se refere a alínea a), identificadas como sistémicas pelas autoridades competentes referidas no artigo 46.o do Regulamento (UE) 2022/2554, às quais são prestados serviços de TIC pelo mesmo terceiro prestador de serviços de TIC, caso os serviços de TIC apoiem funções críticas ou importantes. |
2. Considera-se que um terceiro prestador de serviços de TIC cumpriu o subcritério estabelecido no n.o 1, alínea a), se os serviços de TIC que presta forem utilizados, pelo menos, por um dos seguintes:
|
a) |
Uma G-SII; |
|
b) |
Pelo menos três O-SII; |
|
c) |
Pelo menos uma O-SII com uma pontuação de O-SII superior a 3 000 calculada em conformidade com o artigo 131.o, n.o 3, da Diretiva 2013/36/UE do Parlamento Europeu e do Conselho (2). |
3. Considera-se que um terceiro prestador de serviços de TIC cumpriu o subcritério estabelecido no n.o 1, alínea b), se os serviços de TIC que presta forem utilizados, pelo menos, por um dos seguintes:
|
a) |
Uma entidade financeira que seja uma entidade financeira na aceção do artigo 2.o, n.o 1, alíneas g), h), i) ou j), do Regulamento (UE) 2022/2554 e que seja identificada como «sistémica» pelas autoridades competentes; |
|
b) |
Pelo menos três entidades financeiras, exceto instituições de crédito e entidades financeiras a que se refere o artigo 2.o, n.o 1, alíneas g), h), i) ou j), do Regulamento (UE) 2022/2554 que sejam identificadas como «sistémicas» pelas autoridades competentes. |
4. Ao considerar o critério estabelecido no artigo 31.o, n.o 2, alínea b), do Regulamento (UE) 2022/2554 e se o terceiro prestador de serviços de TIC cumprir os subcritérios da «fase 1» a que se refere o n.o 1 do presente artigo, as AES devem realizar a sua avaliação à luz do seguinte subcritério da «fase 2»:
|
— |
Subcritério 2.3: interdependência entre G-SII ou O-SII e outras entidades financeiras incluídas na avaliação dos subcritérios da «fase 1» a que se refere o n.o 1 do presente artigo, incluindo nos casos em que essas G-SII ou O-SII prestam serviços de infraestrutura financeira a outras entidades financeiras, dependendo de um serviço de TIC prestado pelo mesmo terceiro prestador de serviços de TIC. |
Artigo 4.o
Importância ou caráter crítico das funções
Ao considerar o critério estabelecido no artigo 31.o, n.o 2, alínea c), do Regulamento (UE) 2022/2554, as AES devem proceder à avaliação tendo em conta o seguinte subcritério da «fase 2»:
|
— |
Subcritério 3.1: o serviço de TIC prestado, em última instância, pelo mesmo terceiro prestador de serviços de TIC que apoia funções críticas ou importantes de entidades financeiras assume caráter crítico para as atividades das entidades financeiras. |
Artigo 5.o
Grau de substituibilidade
1. Ao considerar o critério estabelecido no artigo 31.o, n.o 2, alínea d), do Regulamento (UE) 2022/2554, as AES devem avaliar se o terceiro prestador de serviços de TIC cumpre os seguintes subcritérios da «fase 1»:
|
a) |
Subcritério 4.1: percentagem do número total de entidades financeiras, discriminado pelas categorias de entidades financeiras enumeradas no artigo 2.o, n.o 1, do Regulamento (UE) 2022/2554, relativamente às quais não se encontra disponível qualquer terceiro prestador de serviços de TIC alternativo com a capacidade necessária para prestar os mesmos serviços de TIC que apoiam funções críticas ou importantes de entidades financeiras como as prestadas pelo terceiro prestador de serviços de TIC em causa; |
|
b) |
Subcritério 4.2: percentagem do número total de entidades financeiras, discriminado pelas categorias de entidades financeiras enumeradas no artigo 2.o, n.o 1, do Regulamento (UE) 2022/2554, relativamente às quais é extremamente difícil migrar para outro terceiro prestador de serviços de TIC um serviço de TIC prestado pelo terceiro prestador de serviços de TIC em causa que apoiam funções críticas ou importantes de entidades financeiras. |
2. O subcritério 4.1 estabelecido no n.o 1, alínea a), é calculado do seguinte modo:
|
número de entidades financeiras de uma categoria de entidades financeiras,referida no artigo 2.o,n.o 1,do Regulamento (UE) 2022/2554, relativamente às quais não se encontra disponível qualquer terceiro prestador de serviços de TIC alternativo com a capacidade necessária para prestar os mesmos serviços de TIC que apoiam funções críticas ou importantes de entidades como as prestadas pelo terceiro prestador de serviços de TIC em causa |
|
número total de entidades financeiras dessa categoria de entidades financeiras referida no artigo 2.o,n.o 1,do Regulamento (UE) 2022/2554 |
3. O subcritério estabelecido no n.o 1, alínea b), é calculado do seguinte modo:
|
(número de entidades financeiras de uma categoria de entidades financeiras,referida no artigo 2.o,n.o 1,do Regulamento (UE) 2022/2554, relativamente às quais é extremamente difícil migrar,ou reintegrar,um serviço de TIC prestado pelo terceiro prestador de serviços de TIC que apoia funcões críticas ou importantes para outro terceiro prestador de serviços de TIC) |
|
(número total de entidades financeiras da UE dessa categoria de entidades financeiras referida no artigo 2.o,n.o 1,do Regulamento (UE) 2022/2554) |
4. Considera-se que um terceiro prestador de serviços de TIC cumpriu ambos os subcritérios 4.1 e 4.2 se tiver cumprido, pelo menos, uma das seguintes condições:
|
a) |
A percentagem do número total de entidades financeiras a que se refere o n.o 1, alínea a), é de, pelo menos, 10 % do número total de entidades financeiras de uma categoria de entidades financeiras, como estabelecido no artigo 2.o, n.o 1, do Regulamento (UE) 2022/2554; |
|
b) |
A percentagem do número total de entidades financeiras a que se refere o n.o 1, alínea b), é de, pelo menos, 10 % do número total de entidades financeiras ou de uma categoria de entidades financeiras, como estabelecido no artigo 2.o, n.o 1, do Regulamento (UE) 2022/2554. |
5. Ao considerar o critério estabelecido no artigo 31.o, n.o 2, alínea d), do Regulamento (UE) 2022/2554 e se o terceiro prestador de serviços de TIC cumprir os subcritérios da «fase 1» a que se refere o n.o 1 do presente artigo, as AES devem realizar a sua avaliação tendo em conta o subcritério da «fase 2» especificado no artigo 31.o, n.o 2, alínea d), subalínea i), do Regulamento (UE) 2022/2554.
Artigo 6.o
Fontes de informação subjacentes a uma avaliação do caráter crítico
1. As AES devem utilizar os dados fornecidos pelos registos de informações a que se refere o artigo 28.o, n.o 3, do Regulamento (UE) 2022/2554 relativamente à avaliação dos subcritérios enumerados nos artigos 2.o a 5.°. As AES podem também utilizar dados adicionais disponíveis, provenientes de todas as fontes de informação, para realizar a avaliação do caráter crítico.
2. As AES devem ter em conta os dados mais recentes à sua disposição durante o ano de avaliação ou, se for caso disso, os dados que lhes foram disponibilizados até 31 de dezembro do ano anterior à avaliação do caráter crítico.
Artigo 7.o
Entrada em vigor e aplicação
O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
No entanto, a autoridade fiscalizadora principal deve aplicar o subcritério 1.4 referido no artigo 2.o, n.o 5, alínea b), a partir de 16 de janeiro de 2025.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.
Feito em Bruxelas, em 22 de fevereiro de 2024.
Pela Comissão
A Presidente
Ursula VON DER LEYEN
(1) JO L 333 de 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
(2) Diretiva 2013/36/UE do Parlamento Europeu e do Conselho, de 26 de junho de 2013, relativa ao acesso à atividade das instituições de crédito e à supervisão prudencial das instituições de crédito e empresas de investimento, que altera a Diretiva 2002/87/CE e revoga as Diretivas 2006/48/CE e 2006/49/CE (JO L 176 de 27.6.2013, p. 338, ELI: http://data.europa.eu/eli/dir/2013/36/oj).
ELI: http://data.europa.eu/eli/reg_del/2024/1502/oj
ISSN 1977-0774 (electronic edition)