1.   A fim de alcançar um elevado nível de resiliência operacional digital, o presente regulamento estabelece requisitos uniformes no que respeita à segurança dos sistemas de rede e informação que apoiam os processos operacionais das entidades financeiras, como se segue:

2.   Quanto às entidades financeiras identificadas como entidades essenciais ou importantes nos termos das regras nacionais que transpõem o artigo 3.o da Diretiva (UE) 2022/2555, considera-se que o presente regulamento constitui um ato jurídico setorial da União para efeitos do artigo 4.o da referida diretiva.

3.   O presente regulamento não prejudica a responsabilidade dos Estados-Membros no que diz respeito às funções essenciais do Estado respeitantes à segurança pública, à defesa e à segurança nacional, em conformidade com o direito da União.

1.   Sem prejuízo no disposto nos n.os 3 e 4, o presente regulamento é aplicável às seguintes entidades:

2.   Para efeitos do presente regulamento, as entidades a que se refere o n.o 1, alíneas a) a t), são coletivamente referidas como «entidades financeiras».

3.   O presente regulamento não se aplica a:

4.   Os Estados-Membros podem excluir do âmbito de aplicação do presente regulamento as entidades a que se refere o artigo 2.o, n.o 5, pontos 4 a 23, da Diretiva 2013/36/UE que estejam situadas nos respetivos territórios. Sempre que um Estado-Membro recorrer a essa opção, informa do facto a Comissão, bem como de quaisquer alterações subsequentes. A Comissão disponibiliza essas informações ao público no seu sítio Web ou noutros meios facilmente acessíveis.

1.   As entidades financeiras aplicam as regras estabelecidas no capítulo II em conformidade com o princípio da proporcionalidade, tendo em conta a respetiva dimensão e o seu perfil de risco global, a natureza, a escala e a complexidade dos seus serviços, atividades e operações.

2.   Além disso, a aplicação pelas entidades financeiras dos capítulos III, IV e V, secção I, é proporcional à sua dimensão e perfil de risco global, bem como à natureza, escala e complexidade dos seus serviços, atividades e operações, tal como especificamente previsto nas regras pertinentes desses capítulos.

3.   As autoridades competentes têm em conta a aplicação do princípio da proporcionalidade pelas entidades financeiras ao analisarem a coerência do quadro de gestão do risco associado às TIC com base nos relatórios apresentados a pedido das autoridades competentes nos termos do artigo 6.o, n.o 5, e do artigo 16.o, n.o 2.

1.   As entidades financeiras implantam um quadro de governação interna e de controlo que garanta uma gestão eficaz e prudente do risco associado às TIC, em consonância com o artigo 6.o, n.o 4, a fim de alcançar um elevado nível de resiliência operacional digital.

2.   O órgão de administração da entidade financeira define, aprova, fiscaliza e é responsável pela aplicação de todas as disposições relacionadas com o quadro de gestão do risco associado às TIC a que se refere o artigo 6.o, n.o 1.

Para efeitos do primeiro parágrafo, o órgão de administração:

3.   As entidades financeiras, salvo as microempresas, criam um cargo para monitorizar os acordos celebrados com terceiros prestadores de serviços de TIC relativos à utilização de serviços de TIC ou designam um membro da direção de topo incumbido de fiscalizar a exposição ao risco conexo e a documentação pertinente.

4.   Os membros do órgão de administração da entidade financeira atualizam ativamente os seus conhecimentos e competências para poderem compreender e avaliar o risco associado às TIC e o respetivo impacto no funcionamento da entidade financeira, inclusive frequentando regularmente formações específicas, adequadas ao risco associado às TIC que são chamados a gerir.

1.   As entidades financeiras dispõem de um quadro de gestão do risco associado às TIC sólido, abrangente e bem documentado, que faz parte do seu sistema global de gestão do risco, e que lhes permite dar resposta ao risco associado às TIC de uma forma rápida, eficiente e abrangente, e assegurar um nível elevado de resiliência operacional digital.

2.   O quadro de gestão do risco associado às TIC inclui, pelo menos, as estratégias, políticas, procedimentos, protocolos e ferramentas de TIC que sejam necessários para proteger devida e adequadamente todos os ativos de informação e de TIC, designadamente programas informáticos, equipamentos informáticos e servidores, bem como todos os componentes físicos e infraestruturas pertinentes, como instalações físicas, centros de dados e áreas consideradas sensíveis, por forma a assegurar que todos os ativos de informação ou de TIC estão devidamente protegidos contra riscos, nomeadamente no que diz respeito a danos e ao acesso ou utilização não autorizados.

3.   Em consonância com o respetivo quadro de gestão do risco associado às TIC, as entidades financeiras minimizam o impacto do risco associado às TIC implementando as estratégias, políticas, procedimentos, protocolos e ferramentas adequados. Fornecem igualmente às autoridades competentes, a pedido destes, informações completas e atualizadas sobre o risco associado às TIC e sobre o respetivo quadro de gestão do risco associado às TIC.

4.   As entidades financeiras que não sejam microempresas atribuem a responsabilidade pela gestão e supervisão do risco associado às TIC a uma função de controlo e asseguram um nível adequado de independência dessa função de controlo, a fim de evitar conflitos de interesses. As entidades financeiras asseguram a segregação e independência adequadas entre as funções de gestão, de controlo e de auditoria interna do risco associado às TIC, de acordo com o modelo das três linhas de defesa ou com um modelo interno de controlo e gestão do risco.

5.   O quadro de gestão do risco associado às TIC a que se refere o n.o 1 é documentado e revisto pelo menos uma vez por ano, ou periodicamente, no caso das microempresas, bem como quando ocorrerem incidentes de caráter severo relacionados com as TIC, de acordo com as instruções ou conclusões de supervisão decorrentes dos processos de auditoria ou dos testes de resiliência operacional digital pertinentes. O quadro é continuamente aperfeiçoado com base nas lições retiradas da implementação e monitorização. É apresentado à autoridade competente, a pedido desta, um relatório de análise do quadro de gestão do risco associado às TIC.

6.   O quadro de gestão do risco associado às TIC das entidades financeiras, que não sejam microempresas, é periodicamente sujeito a auditorias internas efetuadas por auditores em conformidade com o plano de auditoria das entidades financeiras. Estes auditores dispõem de conhecimentos gerais, competências e conhecimentos especializados suficientes sobre o risco associado às TIC, bem como de independência adequada. A frequência e a ênfase das auditorias às TIC são proporcionais ao risco associado às TIC da entidade financeira.

7.   Com base nas conclusões da análise da auditoria interna, as entidades financeiras estabelecem um processo formal de acompanhamento, incluindo regras para a verificação e correção atempadas dos resultados críticos das auditorias às TIC.

8.   O quadro de gestão do risco associado às TIC inclui uma estratégia de resiliência operacional digital que defina as modalidades da sua implementação. Para esse fim, a estratégia de resiliência operacional digital inclui os métodos para dar resposta ao risco associado às TIC e alcançar os objetivos específicos em matéria de TIC, devendo para tal:

9.   As entidades financeiras podem, no contexto da estratégia de resiliência operacional digital a que se refere o n.o 8, definir uma estratégia holística com múltiplos fornecedores no domínio das TIC, ao nível do grupo ou da entidade, mostrando as principais dependências de terceiros prestadores de serviços de TIC e explicando a lógica subjacente à contratação de vários terceiros prestadores de serviços de TIC.

10.   As entidades financeiras podem, nos termos do direito setorial da União e nacional, subcontratar as tarefas de verificação do cumprimento dos requisitos de gestão do risco associado às TIC a empresas pertencentes ao grupo ou a empresas externas. Nesse caso, a entidade financeira continua a ser plenamente responsável pela verificação do cumprimento dos requisitos de gestão do risco associado às TIC.

1.   Para efeitos do quadro de gestão do risco associado às TIC referido no artigo 6.o, n.o 1, as entidades financeiras identificam, classificam e documentam adequadamente todas as funções operacionais apoiadas pelas TIC, os papéis e as responsabilidades, os ativos de informação e os ativos de TIC que apoiam essas funções, bem como os respetivos papéis e dependências em relação com o risco associado às TIC. As entidades financeiras reveem na medida do necessário, e pelo menos uma vez por ano, a adequação desta classificação e de toda a documentação pertinente.

2.   As entidades financeiras identificam de forma contínua todas as fontes de risco associado às TIC, em especial a exposição ao risco face a outras entidades financeiras e decorrente de outras entidades financeiras, e avaliam as ciberameaças e as vulnerabilidades das TIC pertinentes para as suas funções operacionais apoiadas pelas TIC, os seus ativos de informação e ativos de TIC. As entidades financeiras reveem periodicamente e pelo menos uma vez por ano os cenários de risco suscetíveis de as afetar.

3.   As entidades financeiras, que não sejam microempresas, efetuam uma avaliação do risco aquando de qualquer grande alteração na infraestrutura dos sistemas de rede e informação, nos processos ou nos procedimentos que afetem as suas funções operacionais apoiadas pelas TIC, nos ativos de informação ou nos ativos de TIC.

4.   As entidades financeiras identificam todos os ativos de informação e os ativos de TIC, nomeadamente os localizados à distância, os recursos de rede e os equipamentos informáticos, e fazem um levantamento dos considerados críticos. Descrevem igualmente a configuração dos ativos de informação e dos ativos de TIC e das ligações e interdependências entre os diferentes ativos de informação e ativos de TIC.

5.   As entidades financeiras identificam e documentam todos os processos que dependem de terceiros prestadores de serviços de TIC e identificam as interconexões com os terceiros prestadores de serviços de TIC que prestam serviços de apoio a funções críticas ou importantes.

6.   Para efeitos dos n.os 1, 4 e 5, as entidades financeiras elaboram os inventários relevantes e atualizam-nos periodicamente e sempre que ocorra qualquer alteração importante a que se refere o n.o 3.

7.   As entidades financeiras que não sejam microempresas realizam periodicamente e pelo menos uma vez por ano uma avaliação do risco associado às TIC específica em todos os sistemas de TIC legados, e, em todo o caso, antes e depois de conectarem tecnologias, aplicações ou sistemas.

1.   No intuito de proteger adequadamente os sistemas TIC e de organizar medidas de resposta, as entidades financeiras monitorizam e controlam continuamente a segurança e o funcionamento dos sistemas e das ferramentas de TIC e minimizam o impacto de risco associado às TIC nos sistemas de TIC através da implementação de ferramentas, políticas e procedimentos de segurança adequados no domínio das TIC.

2.   As entidades financeiras concebem, adquirem e executam políticas, procedimentos, protocolos e ferramentas de segurança no domínio das TIC que visem assegurar a resiliência, a continuidade e a disponibilidade dos sistemas de TIC, em especial os sistemas que apoiem funções críticas ou importantes e manter elevados níveis de disponibilidade, autenticidade, integridade e confidencialidade dos dados conservados, em uso ou em trânsito.

3.   A fim de alcançar os objetivos referidos no n.o 2, as entidades financeiras recorrem a soluções e processos de TIC adequados nos termos do artigo 4.o. Essas soluções e processos de TIC:

4.   Para efeitos do quadro de gestão do risco associado às TIC referido no artigo 6.o, n.o 1, as entidades financeiras:

Para efeitos do primeiro parágrafo, alínea b), as entidades financeiras configuram a infraestrutura de conexão das redes por forma a que essas conexões possam ser instantaneamente cortadas ou segmentadas, com vista a minimizar e evitar o contágio, em especial em processos financeiros interligados.

Para efeitos do primeiro parágrafo, alínea e), o processo de gestão de alteração das TIC é aprovado pelas linhas hierárquicas adequadas e dispõe de protocolos específicos.

1.   As entidades financeiras dispõem de mecanismos que detetem rapidamente atividades anómalas nos termos do artigo 17.o, nomeadamente questões relacionadas com o desempenho das redes e incidentes relacionados com as TIC, identificando as potenciais falhas pontuais significativas.

Todos os mecanismos de deteção referidos no primeiro parágrafo são periodicamente testados nos termos do artigo 25.o.

2.   Os mecanismos de deteção referidos no n.o 1 permitem que o controlo se faça em etapas múltiplas, definem limiares de alerta e critérios que desencadeiem e iniciem processos de resposta a incidentes relacionados com as TIC, incluindo mecanismos automáticos de alerta do pessoal competente responsável pela resposta aos incidentes relacionados com as TIC.

3.   As entidades financeiras canalizam recursos e capacidades suficientes para monitorizar a atividade dos utilizadores, a ocorrência de anomalias e incidentes relacionados com as TIC, em especial ciberataques.

4.   Os prestadores de serviços de comunicação de dados dispõem também de sistemas que permitam verificar de forma eficaz as comunicações de transações, identificar as omissões e os erros manifestos e solicitar a retransmissão dessas comunicações.

1.   Para efeitos do quadro de gestão do risco associado às TIC referido no artigo 6.o, n.o 1, e com base nos requisitos de identificação definidos no artigo 8.o, as entidades financeiras implementam uma política abrangente para assegurar a continuidade das atividades, que pode ser aprovada enquanto política distinta específica e ser parte integrante da política global de continuidade das atividades da entidade financeira.

2.   As entidades financeiras aplicam a política de continuidade das atividades no domínio das TIC através de medidas, planos, procedimentos e mecanismos dedicados, adequados e documentados que visem:

3.   Para efeitos do quadro de gestão do risco associado às TIC referido no artigo 6.o, n.o 1, as entidades financeiras executam planos de resposta e recuperação em matéria de TIC que, no caso das entidades financeiras que não sejam microempresas, são sujeitos a auditorias internas independentes.

4.   As entidades financeiras dispõem, mantêm e testam periodicamente planos de continuidade das atividades no domínio das TIC adequados, designadamente em relação a funções críticas ou importantes externalizadas ou subcontratadas através de acordos com terceiros prestadores de serviços de TIC.

5.   No âmbito da política global de continuidade das atividades, as entidades financeiras realizam uma análise do impacto na atividade (BIA, do inglês business impact analysis) das suas exposições a perturbações graves. No âmbito da BIA, as entidades financeiras avaliam o impacto potencial de perturbações graves das atividades em função de critérios quantitativos e qualitativos, utilizando dados internos e externos e análises de cenários, conforme adequado. A BIA atende à importância crítica das funções operacionais identificadas e mapeadas, dos processos de apoio, das dependências de terceiros e dos ativos de informação, bem como às suas interdependências. As entidades financeiras asseguram que os ativos e serviços de TIC são concebidos e utilizados em plena articulação com a BIA, em especial no que diz respeito a assegurar adequadamente a redundância de todos os componentes críticos.

6.   Para efeitos da gestão abrangente do risco associado às TIC, as entidades financeiras:

Para efeitos do primeiro parágrafo, alínea a), as entidades financeiras que não sejam microempresas incluem nos planos de testagem cenários de ciberataques e de passagem entre a infraestrutura primária de TIC e a capacidade redundante, cópias de segurança e equipamentos redundantes necessários ao cumprimento das obrigações definidas no artigo 12.o.

As entidades financeiras reveem periodicamente a sua política de continuidade das atividades no domínio das TIC e os planos de resposta e recuperação em matéria de TIC tendo em conta os resultados dos testes realizados nos termos do primeiro parágrafo e as recomendações decorrentes das auditorias ou das avaliações de supervisão.

7.   As entidades financeiras que não sejam microempresas têm uma função de gestão de crises que, em caso de ativação dos seus planos de continuidade das atividades no domínio das TIC ou dos seus planos de resposta e recuperação em matéria de TIC, preveja, nomeadamente, procedimentos claros para gerir as comunicações internas e externas em caso de crise nos termos do artigo 14.o.

8.   As entidades financeiras mantêm registos prontamente acessíveis das atividades antes e durante a ocorrência de perturbações aquando da ativação dos seus planos de continuidade das atividades no domínio das TIC ou dos seus planos de resposta e recuperação em matéria de TIC.

9.   As centrais de valores mobiliários fornecem às autoridades competentes cópias dos resultados dos testes de continuidade das atividades no domínio das TIC ou de exercícios semelhantes.

10.   As entidades financeiras que não sejam microempresas comunicam às autoridades competentes, a pedido destas, uma estimativa dos custos e perdas anuais agregados causados por incidentes de caráter severo relacionados com as TIC.

11.   Nos termos do artigo 16.o dos Regulamentos (UE) n.o 1093/2010, (UE) n.o 1094/2010 e (UE) n.o 1095/2010, as AES, através do Comité Conjunto, elaboram, até 17 de julho de 2024, orientações comuns para a estimativa dos custos e perdas anuais agregados a que se refere o n.o 10.

1.   A fim de assegurar a restauração dos sistemas de TIC e de dados limitando ao mínimo o tempo de indisponibilidade, as perturbações e as perdas, as entidades financeiras desenvolvem e documentam, para efeitos do seu quadro de gestão do risco associado às TIC:

2.   As entidades financeiras criam sistemas de salvaguarda que possam ser ativados de acordo com as políticas e procedimentos de salvaguarda, bem como procedimentos e métodos de restauração e recuperação. A ativação dos sistemas de salvaguarda não pode pôr em perigo a segurança dos sistemas de rede e informação nem a disponibilidade, autenticidade, integridade ou confidencialidade dos dados. São realizados periodicamente testes dos procedimentos de salvaguarda e dos procedimentos e métodos de restauração e recuperação.

3.   Quando restauram dados das cópias de segurança utilizando sistemas próprios, as entidades financeiras utilizam sistemas de TIC que estejam física e logicamente separados do sistema de TIC de origem. Os sistemas de TIC estão devidamente protegidos contra todo o acesso não autorizado ou corrupção ao nível das TIC e permitem a restauração atempada dos serviços utilizando dados e cópias de salvaguarda do sistema, conforme necessário.

Em relação às contrapartes centrais, os planos de recuperação permitem a recuperação de todas as transações em curso no momento da perturbação, para permitir que a contraparte central continue a funcionar de forma fiável e conclua as liquidações nas datas previstas.

Os prestadores de serviços de comunicação de dados mantêm além disso recursos adequados e dispõem de equipamentos de salvaguarda e de restauração, a fim de poderem oferecer e manter os seus serviços em qualquer momento.

4.   As entidades financeiras que não sejam microempresas mantêm capacidades de TIC redundantes equipadas com recursos, capacidade e funções suficientes e adequados para acautelar as necessidades operacionais. As microempresas avaliam a necessidade de manter essas capacidades de TIC redundantes com base no seu perfil de risco.

5.   As Centrais de valores mobiliários mantêm pelo menos um local de tratamento de dados secundário, dotado de recursos, capacidades, funções e efetivos adequados para acautelar as necessidades operacionais.

O local de tratamento de dados secundário deve:

6.   Ao determinar o tempo de recuperação e os objetivos concretos de recuperação para cada função, as entidades financeiras têm em conta se a função é crítica ou importante, bem como o potencial impacto global na eficiência do mercado. Os referidos objetivos temporais garantem que, em cenários extremos, os níveis de serviço acordados são cumpridos.

7.   Aquando da recuperação de um incidente relacionado com as TIC, as entidades financeiras realizam as verificações necessárias, incluindo verificações múltiplas, e reconciliações de dados, por forma a assegurar a manutenção do mais alto nível de integridade dos dados. Estas verificações também são realizadas aquando da reconstrução de dados de partes interessadas externas, por forma a assegurar a coerência de todos os dados nos diferentes sistemas.

1.   As entidades financeiras dispõem de capacidades e de pessoal para recolherem informações sobre as vulnerabilidades e as ciberameaças, os incidentes relacionados com as TIC, em especial ciberataques, e analisarem os potenciais impactos dos mesmos na sua resiliência operacional digital.

2.   As entidades financeiras realizam avaliações pós-incidentes relacionados com as TIC após a ocorrência de um incidente de caráter severo relacionado com as TIC que perturbe as suas atividades principais, analisando as causas das perturbações e identificando as melhorias necessárias a nível do funcionamento das TIC ou da política de continuidade das atividades no domínio das TIC a que se refere o artigo 11.o.

As entidades financeiras que não sejam microempresas comunicam, a pedido, às autoridades competentes as alterações introduzidas na sequência de avaliações pós-incidentes relacionados com as TIC a que se refere o primeiro parágrafo.

As avaliações pós-incidentes relacionados com as TIC a que se refere o primeiro parágrafo averiguam se os procedimentos estabelecidos foram seguidos e se as medidas adotadas foram eficazes, nomeadamente em relação à:

3.   Os ensinamentos retirados dos testes de resiliência operacional digital realizados nos termos dos artigos 26.o e 27.° e a partir de incidentes reais relacionados com as TIC, em especial de ciberataques, a par dos desafios enfrentados aquando da ativação dos planos de continuidade das atividades no domínio das TIC e dos planos de resposta e recuperação em matéria de TIC, juntamente com as informações relevantes trocadas com as contrapartes e avaliadas durante as avaliações de supervisão, são devidamente incorporados de forma contínua no processo de avaliação do risco associado às TIC. Esses resultados constituem a base para exames adequados dos componentes relevantes do quadro de gestão do risco associado às TIC a que se refere o artigo 6.o, n.o 1.

4.   As entidades financeiras monitorizam a eficácia da execução da sua estratégia de resiliência operacional digital definida no artigo 6.o, n.o 8. Fazem também um levantamento da evolução do risco associado às TIC ao longo do tempo, analisam a frequência, os tipos, a dimensão e a evolução dos incidentes relacionados com as TIC, em especial os ciberataques e respetivos padrões, com vista a compreender o nível de exposição ao risco associado às TIC, em particular no que diz respeito às funções críticas ou importantes, e melhoram a cibercomunidade e o grau de preparação da entidade financeira.

5.   Os quadros superiores responsáveis pelas TIC comunicam, pelo menos uma vez por ano, informações ao órgão de gestão sobre os resultados a que se refere o n.o 3 e fazem recomendações.

6.   As entidades financeiras desenvolvem programas de sensibilização para a segurança das TIC e a formação em matéria de resiliência operacional digital como módulos obrigatórios nos planos de formação do seu pessoal. Esses programas e formação são aplicáveis a todos os trabalhadores e aos membros da direção de topo e têm um nível de complexidade proporcional às suas funções. Se for caso disso, as entidades financeiras incluem também terceiros prestadores de serviços de TIC nos seus programas de formação pertinentes, nos termos do artigo 30.o, n.o 2, alínea i).

7.   As entidades financeiras que não sejam microempresas monitorizam continuamente os desenvolvimentos tecnológicos mais importantes, também com vista a compreender o possível impacto da implantação dessas novas tecnologias nos requisitos de segurança no domínio das TIC e na resiliência operacional digital. Mantêm-se a par dos mais recentes processos de gestão do risco associado às TIC, a fim de combater eficazmente os ciberataques nas suas formas atuais ou futuras.

1.   Para efeitos do quadro de gestão do risco associado às TIC a que se refere o artigo 6.o, n.o 1, as entidades financeiras dispõem de planos de comunicação de crises que permitam divulgar de forma responsável, pelo menos, os incidentes de caráter severo relacionados com as TIC ou as vulnerabilidades aos clientes e às contrapartes, bem como ao público, se for caso disso.

2.   Para efeitos do quadro de gestão do risco associado às TIC, as entidades financeiras aplicam políticas de comunicação destinadas ao seu pessoal interno e às partes interessadas externas. As políticas de comunicação destinadas ao pessoal têm em conta a necessidade de diferenciar entre o pessoal envolvido na gestão do risco associado às TIC, em especial, o pessoal responsável pela resposta e recuperação, e o pessoal que precisa de ser informado.

3.   Pelo menos uma pessoa na entidade financeira é responsável pela execução da estratégia de comunicação em caso de incidentes relacionados com as TIC e desempenha essa função perante o público e os média para o efeito.

1.   Os artigos 5.o a 15.° do presente regulamento não se aplicam às empresas de investimento de pequena dimensão e não interligadas, nem às instituições de pagamento isentas nos termos da Diretiva (UE) 2015/2366; às instituições isentas nos termos da Diretiva 2013/36/UE relativamente às quais os Estados-Membros tenham decidido não aplicar a opção a que se refere o artigo 2.o, n.o 4, do presente regulamento; às instituições de moeda eletrónica isentas nos termos da Diretiva 2009/110/CE; nem às pequenas instituições de realização de planos de pensões profissionais.

Sem prejuízo do disposto no primeiro parágrafo, as entidades enumeradas no primeiro parágrafo:

2.   O quadro de gestão do risco associado às TIC a que se refere o n.o 1, segundo parágrafo, alínea a), é documentado e revisto periodicamente e aquando da ocorrência de incidentes de caráter severo relacionados com as TIC, em conformidade com as instruções de supervisão. O quadro é continuamente aperfeiçoado com base nas lições retiradas da implementação e monitorização. Deve ser apresentado anualmente à autoridade competente, a seu pedido, um relatório de análise do quadro de gestão do risco associado às TIC.

3.   As AES desenvolvem, através do Comité Conjunto, em consulta com a ENISA, projetos de normas técnicas de regulamentação comuns a fim de:

Ao elaborarem esses projetos de normas técnicas de regulamentação, as AES têm em conta a dimensão e o perfil de risco global da entidade financeira, bem como a natureza, a escala e a complexidade dos seus serviços, atividades e operações.

As AES apresentam esses projetos de normas técnicas de regulamentação à Comissão até 17 de janeiro de 2024.

A Comissão fica habilitada a completar o presente regulamento através da adoção das normas técnicas de regulamentação a que se refere o primeiro parágrafo, nos termos dos artigos 10.o a 14.o dos Regulamentos (UE) n.o 1093/2010, (UE) n.o 1094/2010 e (UE) n.o 1095/2010.

1.   As entidades financeiras definem, estabelecem e aplicam um processo de gestão de incidentes relacionados com as TIC para detetar, gerir e notificar esses incidentes.

2.   As entidades financeiras registam todos os incidentes relacionados com as TIC, bem como as ciberameaças significativas. As entidades financeiras estabelecem procedimentos e processos adequados para assegurar a monitorização, o tratamento e acompanhamento coerente e integrado dos incidentes relacionados com as TIC, por forma a assegurar que as causas profundas são identificadas, documentadas e resolvidas a fim de evitar a ocorrência desses incidentes.

3.   O processo de gestão de incidentes relacionados com as TIC a que se refere o n.o 1:

1.   As entidades financeiras classificam os incidentes relacionados com as TIC e determinam o respetivo impacto com base nos seguintes critérios:

2.   As entidades financeiras classificam as ciberameaças como significativas com base na criticalidade dos serviços em risco, incluindo as transações e operações da entidade financeira, o número e/ou relevância dos clientes ou contrapartes financeiras visados e a distribuição geográfica das áreas em risco.

3.   As AES desenvolvem, através do Comité Conjunto, e em consulta com o BCE e a ENISA, projetos de normas técnicas de regulamentação comuns a fim de especificar mais pormenorizadamente:

4.   Aquando da elaboração dos projetos de normas técnicas de regulamentação comuns a que se refere o n.o 3 do presente artigo, as AES têm em conta os critérios estabelecidos no artigo 4.o, n.o 2, as normas internacionais, bem como as orientações e as especificações elaboradas e publicadas pela ENISA, incluindo, quando adequado, especificações para outros setores económicos. Para efeitos da aplicação dos critérios estabelecidos no artigo 4.o, n.o 2, as AES têm devidamente em conta a necessidade de as microempresas e as pequenas e médias empresas mobilizarem recursos e capacidades suficientes para assegurar uma gestão rápida dos incidentes relacionados com as TIC.

As AES apresentam esses projetos comuns de normas técnicas de regulamentação à Comissão até 17 de janeiro de 2024.

A Comissão fica habilitada a completar o presente regulamento através da adoção das normas técnicas de regulamentação a que se refere o n.o 3, nos termos dos artigos 10.o a 14.o dos Regulamentos (UE) n.o 1093/2010, (UE) n.o 1094/2010 e (UE) n.o 1095/2010.

1.   As entidades financeiras comunicam os incidentes de caráter severo relacionados com as TIC à autoridade competente pertinente, tal como referido no artigo 46.o, nos termos do n.o 4 do presente artigo.

Caso uma entidade financeira esteja sujeita à supervisão de mais do que uma autoridade nacional competente a que se refere o artigo 46.o, os Estados-Membros designam uma única autoridade competente como entidade competente pertinente responsável pelo desempenho das funções e deveres previstos no presente artigo.

As instituições de crédito classificadas como significativas, de acordo com o artigo 6.o, n.o 4, do Regulamento (UE) n.o 1024/2013, comunicam incidentes de caráter severo relacionados com as TIC à autoridade nacional competente designada nos termos do artigo 4.o da Diretiva 2013/36/UE, que transmite imediatamente esse relatório ao BCE.

Para efeitos do primeiro parágrafo, as entidades financeiras elaboram, após recolha e análise de todas as informações relevantes, a notificação inicial e os relatórios a que se refere o n.o 4 do presente artigo, por meio dos modelos a que se refere o artigo 20.o, e apresentam-nos à autoridade competente. Caso uma impossibilidade técnica impeça a apresentação da notificação inicial por meio do modelo, as entidades financeiras notificam do facto a autoridade competente por meios alternativos.

A notificação inicial e os relatórios a que se refere o n.o 4 incluem todas as informações necessárias que permitam à autoridade competente determinar o grau de importância do incidente de caráter severo relacionado com as TIC e avaliar os possíveis impactos transfronteiriços.

Sem prejuízo da comunicação de informações nos termos do primeiro parágrafo pela entidade financeira à autoridade competente relevante, os Estados-Membros podem ainda determinar que algumas ou todas as entidades financeiras devem também transmitir a notificação inicial e cada relatório a que se refere o n.o 4 do presente artigo, por meio dos modelos a que se refere o artigo 20.o, às autoridades competentes ou às equipas de resposta a incidentes de segurança informática (CSIRT) designadas ou criadas nos termos da Diretiva (UE) 2022/2555.

2.   As entidades financeiras podem, a título voluntário, notificar ciberameaças significativas à autoridade competente pertinente sempre que considerem essas ameaças relevantes para o sistema financeiro, os utilizadores ou os clientes do serviço. A autoridade competente pertinente pode transmitir essas informações a outras autoridades pertinentes a que se refere o n.o 6.

As instituições de crédito avaliadas como significativas, nos termos do artigo 6.o, n.o 4, do Regulamento (UE) n.o 1024/2013, podem, a título voluntário, notificar ciberameaças significativas à autoridade nacional competente designada nos termos do artigo 4.o da Diretiva 2013/36/UE, que transmite imediatamente essa notificação ao BCE.

Os Estados-Membros podem determinar que as entidades financeiras que, a título voluntário, apresentem uma notificação nos termos do primeiro parágrafo possam também transmitir essa notificação às CSIRT designadas ou criadas nos termos da Diretiva (UE) 2022/2555.

3.   Em caso de incidente de caráter severo relacionado com as TIC que tenha impacto nos interesses financeiros dos clientes, as entidades financeiras informam, sem demora indevida e logo que tenham tomado conhecimento do incidente, os seus clientes acerca do incidente de caráter severo relacionado com as TIC e das medidas que foram tomadas para atenuar os efeitos adversos desse incidente.

Em caso de ciberameaça significativa, as entidades financeiras informam, se for caso disso, os seus clientes potencialmente afetados de todas as medidas de proteção adequadas que estes possam ponderar tomar.

4.   As entidades financeiras apresentam à autoridade competente pertinente, nos prazos a fixar nos termos do artigo 20.o, primeiro parágrafo, alínea a), subalínea ii), os seguintes elementos:

5.   As entidades financeiras podem subcontratar, em conformidade com o direito setorial nacional e da União, as obrigações de notificação previstas no presente artigo a um terceiro prestador de serviços. Em caso de subcontratação, a entidade financeira continua a ser plenamente responsável pelo cumprimento dos requisitos de notificação de incidentes.

6.   Aquando da receção da notificação inicial e de cada relatório a que se refere o n.o 4, a autoridade competente comunica, em tempo útil, pormenores sobre o incidente de caráter severo relacionado com as TIC aos seguintes destinatários, com base, se for caso disso, nas respetivas competências:

7.   Após a receção de informações nos termos do n.o 6, a EBA, a ESMA ou a EIOPA e o BCE, em consulta com a ENISA e em cooperação com a autoridade competente relevante, avaliam a relevância do incidente de caráter severo relacionado com as TIC para as autoridades competentes de outros Estados-Membros. Na sequência dessa avaliação, a EBA, a ESMA ou a EIOPA notificam, o mais rapidamente possível, as autoridades competentes relevantes de outros Estados-Membros em conformidade. O BCE notifica os membros do Sistema Europeu de Bancos Centrais das questões relevantes para o sistema de pagamentos. Com base nessa notificação as autoridades competentes tomam, se for caso disso, todas as medidas necessárias para proteger a estabilidade imediata do sistema financeiro.

8.   A notificação a efetuar pela ESMA nos termos do n.o 7 do presente artigo não prejudica a responsabilidade da autoridade competente de transmitir com urgência os pormenores do incidente de caráter severo relacionado com as TIC à autoridade relevante do Estado-Membro de acolhimento, caso uma central de valores mobiliários tenha atividades transfronteiriças significativas no Estado-Membro de acolhimento, o incidente de caráter severo relacionado com as TIC seja suscetível de ter consequências graves para os mercados financeiros do Estado-Membro de acolhimento e caso existam acordos de cooperação entre as autoridades competentes relacionados com a supervisão das entidades financeiras.

1.   As AES preparam, através do Comité Conjunto e em consulta com o BCE e a ENISA, um relatório conjunto que avalie a viabilidade de reforçar a centralização da notificação de incidentes através da criação de uma plataforma única na UE para a notificação de incidentes de caráter severo relacionados com as TIC pelas entidades financeiras. O relatório conjunto explora formas de facilitar o fluxo de notificações de incidentes relacionados com as TIC, reduz os custos associados e sustenta análises temáticas com vista a melhorar a convergência em termos de supervisão.

2.   O relatório conjunto referido no n.o 1 inclui, pelo menos, os seguintes elementos:

3.   As AES apresentam o relatório referido no n.o 1 ao Parlamento Europeu, ao Conselho e à Comissão até 17 de janeiro de 2025.

1.   Sem prejuízo dos contributos técnicos, do aconselhamento ou das medidas corretivas e do seguimento subsequente que podem ser prestados, se for caso disso, em conformidade com o direito nacional, pelas CSIRTs ao abrigo da Diretiva (UE) 2022/2555, a autoridade competente, acusa a receção da notificação inicial e de cada relatório a que se refere o artigo 19.o, n.o 4, e pode, sempre que exequível, fornecer em tempo útil observações ou orientações de alto nível pertinentes e proporcionadas à entidade financeira, em especial para disponibilizar quaisquer informações anonimizadas sobre ameaças semelhantes, e pode debater as correções aplicadas ao nível da entidade financeira e formas de minimizar e atenuar os impactos adversos no setor financeiro. Sem prejuízo das observações recebidas das autoridades de supervisão, as entidades financeiras continuam a ser plenamente responsáveis pelo tratamento e pelas consequências dos incidentes relacionados com as TIC notificados nos termos do artigo 19.o, n.o 1.

2.   As AES, através do Comité Conjunto, comunicam anualmente informações, numa base anónima e agregada, sobre os incidentes de caráter severo relacionados com as TIC, cujos pormenores são fornecidos pelas autoridades competentes, nos termos do artigo 19.o, n.o 6, indicando no mínimo o número de incidentes de caráter severo relacionados com as TIC, a sua natureza, o impacto nas operações das entidades financeiras ou nos clientes, as medidas corretivas adotadas e os custos suportados.

As AES emitem alertas e elaboram estatísticas de alto nível para apoiar as avaliações das ameaças e das vulnerabilidades no domínio das TIC.

1.   Com o intuito de avaliar a preparação para o tratamento de incidentes relacionados com as TIC, identificar pontos fracos, deficiências ou lacunas na resiliência operacional digital e adotar rapidamente medidas corretivas, as entidades financeiras que não sejam microempresas e tendo em consideração os critérios estabelecidos no artigo 4.o, n.o 2, estabelecem, mantêm e revêm um programa sólido e abrangente de testes de resiliência operacional digital para efeitos do quadro de gestão do risco associado às TIC a que se refere o artigo 6.o.

2.   O programa de testes de resiliência operacional digital inclui um leque de avaliações, testes, metodologias, práticas e ferramentas a aplicar nos termos dos artigos 25.o e 26.°.

3.   Aquando da execução do programa de testes de resiliência operacional digital a que se refere o n.o 1 do presente artigo, as entidades financeiras, que não sejam microempresas, adotam uma abordagem baseada no risco, tendo em conta os critérios estabelecidos no artigo 4.o, n.o 2, atendendo devidamente ao contexto evolutivo do risco associado às TIC, a quaisquer riscos específicos a que a entidade financeira em causa esteja ou possa vir a estar exposta, à criticalidade dos ativos de informação e dos serviços prestados, bem como a qualquer outro fator que a entidade financeira considere adequado.

4.   As entidades financeiras que não sejam microempresas asseguram que os testes são realizados por partes independentes, sejam elas internas ou externas. Se os testes forem realizados por um testador interno, as entidades financeiras afetam recursos suficientes e garantem que são evitados conflitos de interesses ao longo das fases de conceção e execução dos testes.

5.   As entidades financeiras, que não sejam microempresas, estabelecem procedimentos e políticas para priorizar, classificar e corrigir todas as questões reveladas aquando da realização dos testes e estabelecem metodologias internas de validação para confirmar que é dada uma resposta cabal a todos os pontos fracos, deficiências ou lacunas.

6.   As entidades financeiras, que não sejam microempresas, asseguram que são realizados testes adequados, pelo menos uma vez por ano, a todos os sistemas e aplicações que apoiem funções importantes ou críticas no domínio das TIC.

1.   O programa de testes de resiliência operacional digital a que se refere o artigo 24.o prevê, em conformidade com os critérios estabelecidos no artigo 4.o, n.o 2, a execução de testes apropriados, como avaliações e rastreamento de vulnerabilidades, análises de fonte aberta, avaliações da segurança das redes, análises das lacunas, análises da segurança física, questionários e soluções de rastreamento com programas informáticos, revisões do código fonte quando tal for exequível, testes baseados em cenários, testes de compatibilidade, testes de desempenho, testes de extremo a extremo e testes de penetração.

2.   As centrais de valores mobiliários e as contrapartes centrais realizam avaliações das vulnerabilidades antes de lançarem ou relançarem serviços novos ou existentes de aplicações e componentes da infraestrutura, e de serviços TIC de apoio às funções críticas ou importantes da entidade financeira.

3.   As microempresas realizam os testes a que se refere o n.o 1 combinando uma abordagem baseada no risco com um planeamento estratégico dos testes de TIC, tendo devidamente em conta a necessidade de assegurar o equilíbrio entre a escala dos recursos e o tempo a dedicar aos testes de TIC previstos no presente artigo, por um lado, e a urgência, o tipo de risco, a criticalidade dos ativos de informação e dos serviços prestados, bem como qualquer outro fator relevante, incluindo a capacidade da entidade financeira para assumir riscos calculados, por outro.

1.   As entidades financeiras que não sejam as entidades a que se refere o artigo 16.o, n.o 1, primeiro parágrafo, nem microempresas, identificadas nos termos do n.o 8, terceiro parágrafo, do presente artigo, realizam, pelo menos de três em três anos, testes avançados através da realização de TLPT. Em função do perfil de risco da entidade financeira e tendo em conta as circunstâncias operacionais, a autoridade competente pode, se necessário, obrigar a entidade financeira a reduzir ou aumentar essa frequência.

2.   Cada teste de penetração baseado em ameaças abrange várias ou todas as funções críticas ou importantes de uma entidade financeira e é realizado em sistemas de produção «ao vivo» que apoiem essas funções.

As entidades financeiras identificam todos os sistemas, processos e tecnologias pertinentes de TIC subjacentes de apoio às funções e aos serviços de TIC relevantes que sejam críticos ou importantes, incluindo os que apoiam funções e serviços críticos ou importantes externalizados ou subcontratados a terceiros prestadores de serviços de TIC.

As entidades financeiras avaliam quais as funções críticas ou importantes que devem ser abrangidas pelo TLPT. O resultado desta avaliação determina o âmbito exato do TLPT e é validado pelas autoridades competentes.

3.   Quando terceiros prestadores de serviços de TIC estiverem incluídos no âmbito dos TLPT, a entidade financeira toma as medidas e salvaguardas necessárias para assegurar a participação desses terceiros prestadores de serviços de TIC nos TLPT e continua a ser plenamente responsável pelo cumprimento do presente regulamento em qualquer momento.

4.   Sem prejuízo do disposto no n.o 2, primeiro e segundo parágrafos, caso seja razoável esperar que a participação de um terceiro prestador de serviços de TIC no TLPT referido no n.o 3, tenha um impacto adverso na qualidade ou na segurança dos serviços fornecidos pelo terceiro prestador de serviços de TIC a clientes que sejam entidades não abrangidas pelo âmbito de aplicação do presente regulamento, ou na confidencialidade dos dados relacionados com esses serviços, a entidade financeira e o terceiro prestador de serviços de TIC podem acordar por escrito que o terceiro prestador de serviços de TIC celebra diretamente acordos contratuais com um testador externo, com o objetivo de realizar, sob a direção de uma entidade financeira designada, um TLPT agrupado que envolva várias entidades financeiras (testes agrupados) às quais o terceiro prestador de serviços de TIC presta serviços de TIC.

Estes testes agrupados abrangem a gama relevante de serviços de TIC que apoiam as funções críticas ou importantes contratadas ao respetivo terceiro prestador de serviços de TIC pelas entidades financeiras. Os testes agrupados são considerados TLPT realizados pelas entidades financeiras que neles participam.

O número de entidades financeiras que participam nos testes agrupados deve ser devidamente ajustado em função da complexidade e dos tipos de serviços envolvidos.

5.   As entidades financeiras aplicam, com a cooperação de terceiros prestadores de serviços de TIC e outras partes envolvidas, incluindo os testadores mas excluindo as autoridades competentes, controlos eficazes de gestão do risco para atenuar os riscos de quaisquer potenciais impactos nos dados, danos nos ativos e perturbações nos serviços, operações ou funções críticas ou importantes da própria entidade financeira, das suas contrapartes ou do setor financeiro.

6.   No final dos testes, depois de chegarem a acordo sobre os relatórios e os planos corretivos, a entidade financeira e, se for caso disso, os testadores externos fornecem à autoridade designada nos termos dos n.os 9 ou 10, um resumo dos resultados relevantes, dos planos corretivos e da documentação que comprova que os TLPT foram realizados em conformidade com os requisitos.

7.   As autoridades fornecem às entidades financeiras um comprovativo que certifique que o teste foi realizado em conformidade com os requisitos tal como comprovados na documentação, a fim de permitir o reconhecimento mútuo, por parte das autoridades competentes, dos testes de penetração baseados em ameaças. A entidade financeira notifica a autoridade competente relevante do comprovativo, do resumo das constatações relevantes e dos planos corretivos.

Sem prejuízo deste comprovativo, as entidades financeiras continuam a ser plenamente responsáveis pelo impacto dos testes a que se refere o n.o 4.

8.   As entidades financeiras contratam testadores externos nos termos do artigo 27.o para efeitos da realização dos TLPT. Quando as entidades financeiras recorrem a testadores internos para efeitos da realização dos TLPT, contratam um testador externo de três em três testes.

As instituições de crédito que estejam avaliadas como significativas nos termos do artigo 6.o, n.o 4, do Regulamento (UE) n.o 1024/2013, só podem recorrer a testadores externos nos termos do artigo 27.o, n.o 1, alíneas a) a e).

As autoridades competentes identificam as entidades financeiras que devem realizar TLPT tendo em conta os critérios estabelecidos no artigo 4.o, n.o 2, com base numa avaliação dos seguintes elementos:

9.   Os Estados-Membros podem designar uma única autoridade pública do setor financeiro responsável pelas questões relacionadas com os TLPT no setor financeiro a nível nacional e atribuir-lhe todas as competências e tarefas para o efeito.

10.   Na ausência de uma designação nos termos do n.o 9 do presente artigo, e sem prejuízo do poder de identificar as entidades financeiras que devem realizar TLPT, as autoridades competentes podem delegar o exercício de algumas ou de todas as funções a que se referem o presente artigo e o artigo 27.o noutra autoridade nacional do setor financeiro.

11.   As AES desenvolvem, em concertação com o BCE, projetos de normas técnicas de regulamentação, em conformidade com o quadro TIBER–EU, a fim de especificar mais pormenorizadamente:

Ao elaborar estes projetos de normas técnicas de regulamentação, as AES têm devidamente em conta todas as características específicas decorrentes da natureza distinta das atividades nos diferentes setores dos serviços financeiros.

As AES apresentam estes projetos de normas técnicas de regulamentação à Comissão até 17 de julho de 2024.

A Comissão fica habilitada a completar o presente regulamento através da adoção das normas técnicas de regulamentação a que se refere o primeiro parágrafo, nos termos dos artigos 10.o a 14.o dos Regulamentos (UE) n.o 1093/2010, (UE) n.o 1094/2010 e (UE) n.o 1095/2010.

1.   As entidades financeiras só recorrem à realização dos TLPT a testadores que:

2.   Ao usarem testadores internos, as entidades financeiras devem garantir que, além das condições referidas no n.o 1, são preenchidas as seguintes condições:

3.   As entidades financeiras asseguram que os contratos celebrados com testadores externos exijam uma boa gestão dos resultados dos TLPT e que qualquer tratamento de dados, nomeadamente qualquer produção, conservação, agregação, projeto, relatório, comunicação ou destruição de dados, não acarrete riscos para a entidade financeira.

1.   As entidades financeiras gerem o risco associado às TIC devido a terceiros como componente integrante do risco associado às TIC no âmbito do seu quadro de gestão do risco associado às TIC, tal como referido no artigo 6.o, n.o 1, e de acordo com os seguintes princípios:

2.   Para efeitos do seu quadro de gestão do risco associado às TIC, as entidades financeiras que não sejam as entidades a que se refere o artigo 16.o, n.o 1, primeiro parágrafo, nem microempresas adotam e revêm periodicamente uma estratégia em matéria de risco associado às TIC devido a terceiros, tendo em conta a estratégia com múltiplos fornecedores a que se refere o artigo 6.o, n.o 9, se for caso disso. A estratégia relativa ao risco associado às TIC devido a terceiros inclui uma política de utilização dos serviços de TIC, que apoiem funções críticas ou importantes, prestados por terceiros prestadores de serviços de TIC, e é aplicada numa base individual e, quando necessário, numa base subconsolidada e consolidada. O órgão de administração revê, com base numa avaliação do perfil de risco global da entidade financeira e da escala e complexidade dos serviços operacionais, periodicamente os riscos identificados no que diz respeito aos acordos contratuais relativas à utilização de serviços de TIC que apoiem funções críticas ou importantes.

3.   Para efeitos do seu quadro de gestão do risco associado às TIC, as entidades financeiras mantêm e atualizam, ao nível da entidade e aos níveis subconsolidado e consolidado, um registo de informações em relação a todos os acordos contratuais relativos à utilização dos serviços TIC prestados por terceiros prestadores de serviços de TIC.

Os acordos contratuais referidos no primeiro parágrafo são devidamente documentados, estabelecendo uma distinção entre os que abrangem serviços TIC que apoiem funções críticas ou importantes e os que não abrangem esses tipos de funções.

As entidades financeiras comunicam pelo menos uma vez por ano às autoridades competentes o número de novos acordos contratuais relativos à utilização de serviços de TIC, as categorias de terceiros prestadores de serviços de TIC, o tipo de acordos contratuais, assim como os serviços de TIC que estão a ser prestados e as funções que estão a ser realizadas.

As entidades financeiras disponibilizam à autoridade competente, a pedido desta, o registo de informações completo ou, se solicitado, secções desse registo, juntamente com as informações consideradas necessárias para permitir uma supervisão eficaz da entidade financeira.

As entidades financeiras informam atempadamente a autoridade competente sobre qualquer acordo contratual planeado para a utilização de serviços de TIC que apoiem funções críticas ou importantes, bem como quando uma determinada função passar a ser crítica ou importante.

4.   Antes de celebrar um acordo contratual relativo à utilização de serviços de TIC, as entidades financeiras:

5.   As entidades financeiras só podem celebrar acordos contratuais com terceiros prestadores de serviços de TIC que cumpram normas de segurança da informação adequadas. Quando os acordos contratuais dizem respeito a funções críticas ou importantes, as entidades financeiras atendem, antes da celebração dos acordos, devidamente ao respeito, pelos terceiros prestadores de serviços de TIC, das normas mais atualizadas e mais rigorosas em matéria de segurança da informação.

6.   Ao exercer direitos de acesso, inspeção e auditoria sobre o terceiro prestador de serviços de TIC, as entidades financeiras predeterminam, em função de uma abordagem baseada no risco, a frequência das auditorias e das inspeções e as áreas a auditar, aderindo a normas de auditoria comummente aceites em consonância com qualquer instrução de supervisão sobre a utilização e incorporação dessas normas de auditoria.

Quando os acordos contratuais celebrados com terceiros prestadores de serviços de TIC para a utilização de serviços de TIC impliquem um nível elevado de complexidade técnica, a entidade financeira verifica se os auditores, sejam eles internos ou externos, ou um grupo de auditores, possuem as aptidões e os conhecimentos adequados para realizar eficazmente as auditorias e as avaliações pertinentes.

7.   As entidades financeiras asseguram que os acordos contratuais relativos à utilização de serviços de TIC possam ser rescindidos em qualquer uma das seguintes circunstâncias:

8.   No que respeita aos serviços de TIC que apoiem funções críticas ou importantes, as entidades financeiras preveem estratégias de saída. As estratégias de saída têm em conta riscos que possam surgir a nível dos terceiros prestadores de serviços de TIC, em especial uma possível falha destes, uma deterioração da qualidade dos serviços de TIC prestados, qualquer perturbação das atividades devido a falha ou desadequação da prestação dos serviços de TIC ou qualquer risco material relacionado com o desempenho adequado e contínuo do respetivo serviço de TIC, ou em caso de rescisão dos acordos contratuais com os terceiros prestadores de serviços de TIC em qualquer das circunstâncias enumeradas no n.o 7.

As entidades financeiras asseguram poder rescindir acordos contratuais sem:

Os planos de saída devem ser abrangentes, documentados e, em conformidade com os critérios estabelecidos no artigo 4.o, n.o 2, devem ser suficientemente testados e regularmente revistos.

As entidades financeiras identificam soluções alternativas e desenvolvem planos de transição que lhes permitam eliminar os serviços de TIC subcontratados e os dados pertinentes junto do terceiro prestador de serviços de TIC e transferi-los em segurança e na íntegra para prestadores de serviços alternativos ou reincorporá-los internamente.

As entidades financeiras preveem medidas de contingência adequadas para manter a continuidade do negócio caso ocorram as circunstâncias a que se refere o primeiro parágrafo.

9.   As AES desenvolvem, através do Comité Conjunto, projetos de normas técnicas de execução por forma a criar modelos normalizados para fins do registo de informações a que se refere o n.o 3, incluindo informações que sejam comuns a todos os acordos contratuais relativos à utilização de serviços de TIC. As AES apresentam esses projetos de normas técnicas de execução à Comissão até 17 de janeiro de 2024.

É conferido à Comissão o poder de adotar as normas técnicas de execução a que se refere o primeiro parágrafo, nos termos do artigo 15.o dos Regulamentos (UE) n.o 1093/2010, (UE) n.o 1094/2010 e (UE) n.o 1095/2010.

10.   As AES elaboram, através do Comité Conjunto, projetos de normas técnicas de regulamentação para especificar mais pormenorizadamente o conteúdo detalhado da política a que se refere o n.o 2 em relação aos acordos contratuais relativos à utilização de serviços de TIC que apoiem funções críticas ou importantes prestados por terceiros prestadores de serviços de TIC.

Ao elaborarem esses projetos de normas técnicas de regulamentação, as AES têm em conta a dimensão e o perfil de risco global da entidade financeira, bem como a natureza, a escala e a complexidade dos seus serviços, atividades e operações. As AES apresentam esses projetos de normas técnicas de regulamentação à Comissão até 17 de janeiro de 2024.

A Comissão fica habilitada a completar o presente regulamento através da adoção das normas técnicas de regulamentação a que se refere o primeiro parágrafo, nos termos dos artigos 10.o a 14.o dos Regulamentos (UE) n.o 1093/2010, (UE) n.o 1094/2010 e (UE) n.o 1095/2010.

1.   Quando procedem à identificação e avaliação do risco de concentração no domínio das TIC a que se refere o artigo 28.o, n.o 4, alínea c), as entidades financeiras têm também em conta se a celebração prevista de um acordo contratual em relação a serviços de TIC que apoiem funções críticas ou importantes pode conduzir a qualquer uma das situações seguintes:

As entidades financeiras ponderam os benefícios e os custos de soluções alternativas como a utilização de terceiros prestadores de serviços de TIC diferentes, tendo em conta se e como as soluções previstas satisfazem as necessidades operacionais e os objetivos definidos na sua estratégia de resiliência digital.

2.   Quando os acordos contratuais relativos à utilização de serviços de TIC que apoiem funções críticas ou importantes incluem a possibilidade de um terceiro prestador de serviços de TIC subcontratar serviços TIC que apoiem uma função crítica ou importante a outro terceiro prestador de serviços de TIC, as entidades financeiras ponderam os benefícios e os riscos que podem surgir associados a essa possível subcontratação, em especial no caso de um subcontratante de TIC estabelecido num país terceiro.

Quando os contratos dizem respeito a serviços de TIC que apoiem funções críticas ou importantes, as entidades financeiras consideram devidamente as disposições jurídicas relativas à insolvência aplicáveis em caso de falência do terceiro prestador de serviços de TIC, bem como quaisquer constrangimentos que possam surgir em relação à recuperação urgente dos dados da entidade financeira.

Quando os acordos contratuais relativos à utilização de serviços de TIC que apoiem funções críticas ou importantes são celebrados com um terceiro prestador de serviços de TIC estabelecido num país terceiro, as entidades financeiras têm igualmente em conta, para além das considerações referidas no segundo parágrafo, o cumprimento das regras da União em matéria de proteção de dados e a aplicação efetiva da lei nesse país terceiro.

Quando os acordos contratuais para a utilização de serviços de TIC que apoiem funções críticas ou importantes preveem a subcontratação; as entidades financeiras avaliam se e de que forma as cadeias de subcontratação potencialmente longas e complexas podem afetar a sua capacidade de monitorizar cabalmente as funções subcontratadas e a capacidade da autoridade competente para supervisionar eficazmente a entidade financeira nesse aspeto.

1.   Os direitos e obrigações da entidade financeira e do terceiro prestador de serviços de TIC são claramente identificados e especificados por escrito. O contrato na sua totalidade inclui os acordos de nível de serviço e consta de um documento escrito disponível para as partes em papel ou num documento com outro formato descarregável, duradouro e acessível.

2.   Os acordos contratuais relativos à utilização de serviços de TIC incluem, pelo menos, os seguintes elementos:

3.   Os acordos contratuais relativos à utilização de serviços de TIC de apoio a funções críticas ou importantes incluem, para além dos elementos referidos no n.o 2, pelo menos, o seguinte:

Em derrogação da alínea e), o terceiro prestador de serviços de TIC e a entidade financeira, que seja uma microempresa, podem decidir que os direitos de acesso, inspeção e auditoria da entidade financeira possam ser delegados numa entidade terceira independente, nomeada pelo terceiro prestador de serviços de TIC, e que a entidade financeira possa requerer, a qualquer momento, informações e garantias sobre o desempenho do terceiro prestador de serviços de TIC.

4.   Aquando da negociação dos acordos contratuais, as entidades financeiras e os terceiros prestadores de serviços de TIC preveem a utilização de cláusulas contratuais normalizadas desenvolvidas pelas autoridades públicas para serviços específicos.

5.   As AES desenvolvem, através do Comité Conjunto, projetos de normas técnicas de regulamentação que especifiquem mais pormenorizadamente os elementos a que se refere o n.o 2, alínea a), que permitam à entidade financeira determinar e avaliar quando proceder à subcontratação de serviços de TIC de apoio a funções críticas ou importantes.

Ao elaborarem esses projetos de normas técnicas de regulamentação, as AES têm em conta a dimensão e o perfil de risco global da entidade financeira, bem como a natureza, a escala e a complexidade dos seus serviços, atividades e operações.

As AES apresentam esses projetos de normas técnicas de regulamentação à Comissão até 17 de julho de 2024.

A Comissão fica habilitada a completar o presente regulamento através da adoção das normas técnicas de regulamentação a que se refere o primeiro parágrafo, nos termos dos artigos 10.o a 14.o dos Regulamentos (UE) n.o 1093/2010, (UE) n.o 1094/2010 e (UE) n.o 1095/2010.

1.   As AES, através do Comité Conjunto e mediante recomendação do fórum de superintendência criado nos termos do artigo 32.o, n.o 1:

2.   A designação a que se refere o n.o 1, alínea a), baseia-se em todos os critérios seguintes no tocante aos serviços de TIC prestados por um terceiro prestador de serviços de TIC:

3.   Se o terceiro prestador de serviços de TIC pertencer a um grupo, são tidos em conta os critérios a que se refere o n.o 2 em relação aos serviços de TIC prestados pelo grupo no seu conjunto.

4.   Os terceiros prestadores de serviços de TIC críticos que façam parte de um grupo designam uma pessoa coletiva como ponto de coordenação, a fim de assegurar uma representação e comunicação adequadas com a autoridade fiscalizadora principal.

5.   A autoridade fiscalizadora principal notifica o terceiro prestador de serviços de TIC do resultado da avaliação que conduziu à designação a que se refere o n.o 1, alínea a). No prazo de seis semanas a contar da data de notificação, o terceiro prestador de serviços de TIC pode apresentar à autoridade fiscalizadora principal uma declaração fundamentada com todas as informações pertinentes para efeitos da avaliação. A autoridade fiscalizadora principal tem em consideração a declaração fundamentada e pode solicitar a apresentação de informações adicionais no prazo de 30 dias de calendário a contar da receção dessa declaração.

Após a designação de um terceiro prestador de serviços de TIC como crítico, as AES, através do Comité Conjunto, notificam o terceiro prestador de serviços de TIC dessa designação e da data a partir da qual será efetivamente sujeito a atividades de superintendência. Essa data de início não pode ser posterior a um mês após a notificação. Os terceiros prestadores de serviços de TIC notificam as entidades financeiras às quais prestam serviços da sua designação como críticos.

6.   A Comissão fica habilitada a adotar um ato delegado, nos termos do artigo 57.o, a fim de completar o presente regulamento especificando mais pormenorizadamente os critérios referidos no n.o 2 do presente artigo, até 17 de julho de 2024.

7.   A designação referida no n.o 1, alínea a), não pode ser utilizada até que a Comissão adote um ato delegado nos termos do n.o 6.

8.   A designação a que se refere o n.o 1, alínea a), não é aplicável:

9.   As AES, através do Comité Conjunto, estabelecem, publicam e atualizam anualmente a lista de terceiros prestadores de serviços de TIC críticos a nível da União.

10.   Para efeitos do n.o 1, alínea a), as autoridades competentes transmitem, anualmente e numa base agregada, os relatórios referidos no artigo 28.o, n.o 3, terceiro parágrafo, ao fórum de superintendência criado nos termos do artigo 32.o. O fórum de superintendência avalia as dependências das entidades financeiras em relação a terceiros no domínio das TIC com base nas informações recebidas das autoridades competentes.

11.   Os terceiros prestadores de serviços de TIC que não estejam incluídos na lista referida no n.o 9 podem solicitar a sua designação como críticos, nos termos do n.o 1, alínea a).

Para efeitos do primeiro parágrafo, o terceiro prestador de serviços de TIC apresenta uma candidatura fundamentada à EBA, à ESMA ou à EIOPA, que, através do Comité Conjunto, decide designar ou não esse terceiro prestador de serviços de TIC como crítico, nos termos do n.o 1, alínea a).

A decisão a que se refere o segundo parágrafo é adotada e notificada ao terceiro prestador de serviços de TIC no prazo de seis meses a contar da receção da candidatura.

12.   As entidades financeiras apenas recorrem aos serviços de um terceiro prestador de serviços de TIC estabelecido num país terceiro e que tenha sido designado como crítico nos termos do n.o 1, alínea a), caso este último tenha estabelecido uma filial na União no prazo de 12 meses a contar da designação.

13.   O terceiro prestador de serviços de TIC crítico a que se refere o n.o 12 notifica a autoridade fiscalizadora principal de quaisquer alterações à estrutura de gestão da filial estabelecida na União.

1.   O Comité Conjunto, nos termos do artigo 57.o, n.o 1, dos Regulamentos (UE) n.o 1093/2010, (UE) n.o 1094/2010 e (UE) n.o 1095/2010, cria o fórum de superintendência, enquanto subcomité, com a finalidade de apoiar o trabalho do Comité Conjunto e da autoridade fiscalizadora principal a que se refere o artigo 31.o, n.o 1, alínea b), no domínio do risco associado às TIC devido a terceiros em todos os setores financeiros. O fórum de superintendência elabora os projetos das posições comuns e os projetos dos atos comuns do Comité Conjunto nesse domínio.

O fórum de superintendência debate periodicamente os desenvolvimentos mais importantes no que diz respeito aos riscos e às vulnerabilidades associados às TIC e promove uma abordagem coerente da monitorização do risco associado às TIC devido a terceiros a nível da União.

2.   O fórum de superintendência realiza anualmente uma avaliação coletiva dos resultados e das conclusões das atividades de superintendência desenvolvidas em relação a todos os terceiros prestadores de serviços de TIC críticos e promove medidas de coordenação para aumentar a resiliência operacional digital das entidades financeiras, fomentar as boas práticas em matéria de gestão do risco de concentração no domínio das TIC e explora fatores para atenuar a transferência intersetorial dos riscos.

3.   O fórum de superintendência apresenta indicadores de referência abrangentes para os terceiros prestadores de serviços de TIC críticos, a adotar pelo Comité Conjunto enquanto posições comuns das AES nos termos do artigo 56.o, n.o 1, dos Regulamentos (UE) n.o 1093/2010, (UE) n.o 1094/2010 e (UE) n.o 1095/2010.

4.   O fórum de superintendência é composto:

O fórum de superintendência pode, se for caso disso, solicitar o parecer de peritos independentes nomeados nos termos do n.o 6.

5.   Cada Estado-Membro designa a autoridade competente pertinente cujo membro do pessoal desempenha a função de representante de alto nível a que se refere o n.o 4, primeiro parágrafo, alínea b), e informa desse facto a autoridade fiscalizadora principal.

As AES publicam no seu sítio Web a lista dos representantes de alto nível do pessoal em funções da autoridade competente pertinente, designados pelos Estados-Membros.

6.   Os peritos independentes referidos no n.o 4, segundo parágrafo, são nomeados pelo fórum de superintendência de entre um grupo de peritos selecionados na sequência de um processo de candidatura público e transparente.

Os peritos independentes são nomeados com base nos seus conhecimentos especializados em matéria de estabilidade financeira, resiliência operacional digital e segurança das TIC. Agem de forma independente e objetiva no interesse exclusivo da União no seu conjunto e não procuram obter nem recebem instruções das instituições ou órgãos da União, dos governos dos Estados-Membros nem de qualquer outro organismo público ou privado.

7.   Nos termos do artigo 16.o dos Regulamentos (UE) n.o 1093/2010, (UE) n.o 1094/2010 e (UE) n.o 1095/2010, até 17 de julho de 2024, as AES emitem, para efeitos da presente secção, orientações sobre a cooperação entre as AES e as autoridades competentes que abrangem os procedimentos pormenorizados e as condições para a repartição e exercício das atribuições das autoridades competentes e das AES, bem como os pormenores relativos ao intercâmbio de informações que são necessários para que as autoridades competentes possam assegurar o acompanhamento das recomendações nos termos do artigo 35.o, n.o 1, alínea d), dirigidas aos terceiros prestadores de serviços de TIC críticos.

8.   Os requisitos definidos na presente secção não prejudicam a aplicação da Diretiva (UE) 2022/2555 e das outras regras da União em matéria de superintendência aplicáveis aos prestadores de serviços de computação em nuvem.

9.   As AES, através do Comité Conjunto e com base no trabalho preparatório realizado pelo fórum de superintendência, apresentam anualmente ao Parlamento Europeu, ao Conselho e à Comissão um relatório sobre a aplicação da presente secção.

1.   A autoridade fiscalizadora principal, nomeada nos termos do artigo 31.o, n.o 1, alínea b), é incumbida da superintendência dos terceiros prestadores de serviços de TIC críticos e é, para efeitos de todas as questões relacionadas com a superintendência, o ponto de contacto principal desses terceiros prestadores de serviços de TIC críticos.

2.   Para efeitos do n.o 1, a autoridade fiscalizadora principal avalia se cada terceiro prestador de serviços de TIC crítico dispõe de regras, procedimentos, mecanismos e disposições abrangentes, sólidas e eficazes para gerir o risco associado às TIC que possa constituir para as entidades financeiras.

A avaliação a que se refere o primeiro parágrafo centra-se sobretudo nos serviços de TIC prestados pelo terceiro prestador de serviços de TIC crítico que apoia funções críticas ou importantes das entidades financeiras. Quando necessário para fazer face a todos os riscos pertinentes, essa avaliação é alargada aos serviços de TIC que não sejam funções críticas ou importantes.

3.   A avaliação referida no n.o 2 abrange:

4.   Com base na avaliação a que se refere o n.o 2, e em coordenação com a rede de superintendência conjunta a que se refere o artigo 34.o, n.o 1, a autoridade fiscalizadora principal adota um plano de superintendência individual claro, pormenorizado e fundamentado que descreva os objetivos anuais em matéria de superintendência e as principais ações de superintendência planeadas para cada terceiro prestador de serviços de TIC crítico. Este plano é comunicado anualmente ao terceiro prestador de serviços de TIC crítico.

Antes da adoção do plano de superintendência, a autoridade fiscalizadora principal comunica o projeto de plano de superintendência ao terceiro prestador de serviços de TIC crítico.

Após a receção do projeto de plano de superintendência, o terceiro prestador de serviços de TIC crítico pode apresentar uma declaração fundamentada, no prazo de 15 dias de calendário, que demonstre o impacto esperado para os clientes que não sejam entidades abrangidas pelo âmbito de aplicação do presente regulamento e, se for caso disso, apresente soluções para atenuar os riscos.

5.   Depois de os planos anuais de superintendência a que se refere o n.o 4 terem sido adotados e notificados aos terceiros prestadores de serviços de TIC críticos, as autoridades competentes só podem adotar medidas em relação a esses prestadores de comum acordo com a autoridade fiscalizadora principal.

1.   A fim de assegurar uma abordagem coerente das atividades de superintendência e por forma a possibilitar estratégias de superintendência geral coordenadas e abordagens operacionais e metodologias de trabalho coerentes, as três autoridades fiscalizadoras principais nomeadas nos termos do artigo 31.o, n.o 1, alínea b), criam uma rede de superintendência conjunta para se coordenarem entre si nas fases preparatórias e para coordenaram a realização de atividades de superintendência relativamente aos respetivos terceiros prestadores de serviços de TIC críticos, bem como no decurso de qualquer ação que possa ser necessária nos termos do artigo 42.o.

2.   Para efeitos do n.o 1, as autoridades fiscalizadoras principais elaboram um protocolo de superintendência comum que especifique os procedimentos pormenorizados a seguir para realizar a coordenação no quotidiano e assegurar intercâmbios e reações céleres. O protocolo é revisto periodicamente a fim de refletir as necessidades operacionais, em especial a evolução das disposições práticas de superintendência.

3.   As autoridades fiscalizadoras principais podem, numa base ad hoc, solicitar ao BCE e à ENISA que prestem aconselhamento técnico, partilhem experiências práticas ou participem em reuniões de coordenação específicas da rede de superintendência conjunta.

1.   Para efeitos da execução das funções definidas na presente secção, a autoridade fiscalizadora principal, no que diz respeito aos terceiros prestadores de serviços de TIC críticos, fica habilitada a:

2.   No exercício dos poderes a que se refere o presente artigo, a autoridade fiscalizadora principal:

3.   A autoridade fiscalizadora principal consulta o fórum de superintendência antes de exercer os poderes referidos no n.o 1.

Antes de emitir recomendações nos termos do n.o 1, alínea d), a autoridade fiscalizadora principal dá ao terceiro prestador de serviços de TIC a oportunidade de fornecer, no prazo de 30 dias de calendário, informações pertinentes que demonstrem o impacto esperado para os clientes que não sejam entidades abrangidas pelo âmbito de aplicação do presente regulamento e, se for caso disso, apresentem soluções para atenuar os riscos.

4.   A autoridade fiscalizadora principal informa a rede de superintendência conjunta do resultado do exercício de poderes a que se refere o n.o 1, alíneas a) e b). A autoridade fiscalizadora principal transmite, sem demora injustificada, os relatórios a que se refere o n.o 1, alínea c), à rede de superintendência conjunta e às autoridades competentes das entidades financeiras que utilizam os serviços de TIC prestados por esse terceiro prestador de serviços de TIC crítico.

5.   Os terceiros prestadores de serviços de TIC críticos cooperam de boa-fé com a autoridade fiscalizadora principal e auxiliam-na no exercício das suas atribuições.

6.   Em caso de incumprimento total ou parcial das medidas exigidas no âmbito do exercício dos poderes previstos no n.o 1, alíneas a), b) e c), e depois de decorrido um prazo de pelo menos 30 dias de calendário a contar da data em que o terceiro prestador de serviços de TIC crítico recebeu a notificação das respetivas medidas, a autoridade fiscalizadora principal adota uma decisão que impõe uma sanção pecuniária compulsória para obrigar o terceiro prestador de serviços de TIC crítico a cumprir essas medidas.

7.   A sanção pecuniária compulsória que se refere o n.o 6 é imposta numa base diária até ao cumprimento efetivo das medidas, mas nunca por um período superior a seis meses a contar da notificação da decisão de imposição de uma sanção pecuniária compulsória ao terceiro prestador de serviços de TIC crítico.

8.   O montante da sanção pecuniária compulsória, calculado a partir da data estipulada na decisão que a impõe, é de, no máximo, 1 % do volume de negócios mundial médio diário do terceiro prestador de serviços de TIC crítico no exercício anterior. Ao determinar o montante da sanção pecuniária, a autoridade fiscalizadora principal tem em conta, no que respeita ao incumprimento das medidas referido no n.o 6, os seguintes critérios:

Para efeitos do primeiro parágrafo, a fim de assegurar uma abordagem coerente, a autoridade fiscalizadora principal procede a consultas da rede de superintendência conjunta.

9.   As sanções pecuniárias são de natureza administrativa e executórias. A aplicação rege-se pelas normas de processo civil em vigor no Estado-Membro em cujo território se efetuam as inspeções e o acesso. Os tribunais do Estado-Membro em causa têm competência para deliberar sobre as queixas relacionadas com irregularidades de aplicação. Os montantes das sanções pecuniárias são afetados ao orçamento geral da União Europeia.

10.   A autoridade fiscalizadora principal divulga ao público todas as sanções pecuniárias compulsórias que tenham imposto, a menos que tal divulgação possa afetar gravemente os mercados financeiros ou causar danos desproporcionados aos interessados.

11.   Antes de impor uma sanção pecuniária compulsória nos termos do n.o 6, a autoridade fiscalizadora principal dá aos representantes do terceiro prestador de serviços de TIC crítico objeto do processo a oportunidade de serem ouvidos sobre as conclusões e baseia as suas decisões exclusivamente nas conclusões em relação às quais o terceiro prestador de serviços de TIC crítico tenha tido oportunidade de se pronunciar.

Os direitos de defesa das pessoas objeto do processo são plenamente respeitados no decurso do processo. O terceiro prestador de serviços de TIC crítico objeto do processo tem o direito de consultar o processo, sob reserva do interesse legítimo de terceiros na proteção dos seus segredos comerciais. O direito de acesso ao processo não é extensível a informações confidenciais nem aos documentos preparatórios internos da autoridade fiscalizadora principal.

1.   Quando os objetivos em matéria de superintendência não puderem ser alcançados por meio da interação com a filial criada para efeitos do artigo 31.o, n.o 12, ou do exercício de atividades de superintendência em instalações situadas na União, a autoridade fiscalizadora principal pode exercer os poderes referidos nas disposições seguintes, em quaisquer instalações situadas num país terceiro que sejam propriedade de um terceiro prestador de serviços de TIC crítico, ou utilizadas de alguma forma para efeitos da prestação de serviços a entidades financeiras da União por esse prestador, no que diz respeito às suas operações comerciais, funções ou serviços, incluindo quaisquer escritórios, instalações, terrenos e edifícios administrativos, comerciais ou operacionais ou outros imóveis:

Os poderes a que se refere o primeiro parágrafo podem ser exercidos, sob reserva de todas as seguintes condições:

2.   Sem prejuízo das respetivas competências das instituições da União e dos Estados-Membros, para efeitos do n.o 1, a EBA, a ESMA ou a EIOPA, celebram acordos de cooperação administrativa com a autoridade pertinente do país terceiro, a fim de permitir a boa realização de inspeções no país terceiro em causa pela autoridade fiscalizadora principal e pela equipa por si designada para realizar a sua missão nesse país terceiro. Estes acordos de cooperação não criam obrigações jurídicas no que respeita à União e aos seus Estados-Membros nem impedem os Estados-Membros e as suas autoridades competentes de celebrarem acordos bilaterais ou multilaterais com esses países terceiros e com as suas autoridades pertinentes.

Além disso, especificam, pelo menos, os seguintes elementos:

3.   Quando a autoridade fiscalizadora principal não estiver em condições de realizar atividades de superintendência fora da União, a que se referem os n.os 1 e 2, a autoridade fiscalizadora principal:

As potenciais consequências a que se refere a alínea b) do presente número são tidas em conta nas recomendações da autoridade fiscalizadora principal emitidas nos termos do artigo 35.o, n.o 1, alínea d).

1.   A autoridade fiscalizadora principal pode solicitar aos terceiros prestadores de serviços de TIC críticos, através de um pedido simples ou de uma decisão, que forneçam todas as informações necessárias para que a autoridade fiscalizadora principal possa cumprir as suas obrigações ao abrigo do presente regulamento, nomeadamente todos os documentos comerciais ou operacionais, contratos, políticas, documentação, relatórios de auditorias à segurança no domínio das TIC ou relatórios de incidentes relacionados com as TIC que considere pertinentes, bem como quaisquer informações relacionadas com as partes às quais o terceiro prestador de serviços de TIC crítico tenha subcontratado funções ou atividades operacionais.

2.   Ao enviar um simples pedido de informações nos termos do n.o 1, a autoridade fiscalizadora principal:

3.   Ao solicitar, mediante uma decisão, que lhe sejam fornecidas informações nos termos do n.o 1, a autoridade fiscalizadora principal:

4.   Os representantes dos terceiros prestadores de serviços de TIC críticos fornecem as informações solicitadas. Os advogados devidamente mandatados podem fornecer as informações pedidas em nome dos seus mandantes. O terceiro prestador de serviços de TIC crítico é plenamente responsável em caso de prestação de informações incompletas, incorretas ou que induzam em erro.

5.   A autoridade fiscalizadora principal transmite, sem demora, uma cópia da decisão de fornecer informações às autoridades competentes das entidades financeiras que utilizam os serviços dos respetivos terceiros prestadores de serviços de TIC críticos, bem como à rede de superintendência conjunta.

1.   Por forma a cumprir as suas obrigações ao abrigo do presente regulamento, a autoridade fiscalizadora principal, auxiliada pela equipa de avaliação conjunta a que se refere o artigo 40.o, n.o 1, pode, sempre que necessário, realizar as investigações junto dos terceiros prestadores de serviços de TIC críticos;

2.   A autoridade fiscalizadora principal dispõe de poderes para:

3.   Os funcionários e outras pessoas autorizadas pela autoridade fiscalizadora principal para efeitos das investigações a que se refere o n.o 1 exercem os referidos poderes mediante a apresentação de uma autorização escrita que especifique o objeto e a finalidade da investigação.

A referida autorização indica também as sanções pecuniárias compulsórias previstas no artigo 35.o, n.o 6, sempre que a apresentação dos registos, dados, procedimentos documentados ou qualquer outro material solicitados, ou as respostas às perguntas feitas aos representantes do terceiro prestador de serviços de TIC, não forem fornecidas ou estiverem incompletas.

4.   Os representantes dos terceiros prestadores de serviços de TIC críticos são obrigados a colaborar com as investigações com base numa decisão da autoridade fiscalizadora principal. A decisão especifica o objeto e a finalidade da investigação, as sanções pecuniárias compulsórias previstas no artigo 35.o, n.o 6, as possibilidades de recurso previstas nos Regulamentos (UE) n.o 1093/2010, (UE) n.o 1094/2010 e (UE) n.o 1095/2010, bem como o direito de requerer a apreciação da decisão pelo Tribunal de Justiça.

5.   Com a devida antecedência em relação ao início da investigação, a autoridade fiscalizadora principal informa as autoridades competentes das entidades financeiras que recorrem aos serviços de TIC prestados pelo terceiro prestador de serviços de TIC crítico da investigação e da identidade das pessoas autorizadas.

A autoridade fiscalizadora principal comunica à rede de superintendência conjunta todas as informações transmitidas nos termos do primeiro parágrafo.

1.   A fim de cumprir as suas obrigações ao abrigo do presente regulamento, a autoridade fiscalizadora principal, auxiliada pelas equipas de avaliação conjunta a que se refere o artigo 40.o, n.o 1, pode entrar e realizar as necessárias inspeções no local em qualquer uma das instalações comerciais, terrenos ou propriedades dos terceiros prestadores de serviços de TIC, tais como sedes, centros de operações e instalações secundárias, bem como realizar inspeções à distância.

Para efeitos do exercício de poderes a que se refere o primeiro parágrafo, a autoridade fiscalizadora principal consulta a rede de superintendência conjunta.

2.   Os funcionários e outras pessoas autorizadas pela autoridade fiscalizadora principal para realizar uma inspeção no local dispõem de poderes para:

Os funcionários e outras pessoas autorizadas pela autoridade fiscalizadora principal podem exercer esses poderes mediante a apresentação de uma autorização escrita que especifique o objeto e a finalidade da inspeção e as sanções pecuniárias compulsórias previstas no artigo 35.o, n.o 6, quando os representantes dos terceiros prestadores de serviços de TIC críticos não colaborarem com a investigação.

3.   Com a devida antecedência em relação ao início da inspeção, a autoridade fiscalizadora principal informa as autoridades competentes das entidades financeiras que recorrem a esse terceiro prestador de serviços de TIC.

4.   As inspeções abrangem todo o conjunto de sistemas, redes, dispositivos, informações e dados pertinentes no domínio das TIC que seja utilizado ou contribua para a prestação de serviços de TIC às entidades financeiras.

5.   Antes de qualquer inspeção planeada ao local, a autoridade fiscalizadora principal notifica com antecedência razoável os terceiros prestadores de serviços de TIC críticos, exceto se não for possível proceder a essa notificação devido a uma emergência ou situação de crise, ou se a notificação puder conduzir a uma situação em que a inspeção ou auditoria deixaria de ser eficaz.

6.   O terceiro prestador de serviços de TIC crítico colabora com as inspeções no local ordenadas por decisão da autoridade fiscalizadora principal. A decisão especifica o objeto e a finalidade da inspeção, fixa a data em que se deve iniciar a inspeção e indica as sanções pecuniárias compulsórias previstas no artigo 35.o, n.o 6, as possibilidades de recurso previstas nos Regulamentos (UE) n.o 1093/2010, (UE) n.o 1094/2010 e (UE) n.o 1095/2010, bem como o direito de requerer a apreciação da decisão pelo Tribunal de Justiça.

7.   Quando os funcionários e outras pessoas autorizadas pela autoridade fiscalizadora principal constatarem que um terceiro prestador de serviços de TIC crítico se opõe a uma inspeção ordenada nos termos do presente artigo, a autoridade fiscalizadora principal informa o terceiro prestador de serviços de TIC crítico das consequência dessa oposição, nomeadamente da possibilidade de as autoridades competentes das entidades financeiras requererem que as entidades financeiras pertinentes rescindam os contratos celebrados com esse terceiro prestador de serviços de TIC crítico.

1.   Aquando da realização de atividades de superintendência, em especial investigações de caráter geral ou inspeções, a autoridade fiscalizadora principal é auxiliada por uma equipa de avaliação conjunta criada para cada terceiro prestador de serviços de TIC crítico.

2.   A equipa de avaliação conjunta a que se refere o n.o 1 é composta por membros do pessoal oriundos:

Os membros da equipa de avaliação conjunta devem ter conhecimentos especializados em questões relacionadas com as TIC e em matéria de risco operacional. A equipa de avaliação conjunta trabalha sob a coordenação de um membro do pessoal da autoridade fiscalizadora principal designada (o «coordenador da autoridade fiscalizadora principal»).

3.   No prazo de três meses a contar da conclusão de uma investigação ou inspeção, a autoridade fiscalizadora principal, após consulta do fórum de superintendência, adota recomendações a dirigir ao terceiro prestador de serviços de TIC crítico ao abrigo dos poderes referidos no artigo 35.o.

4.   As recomendações referidas no n.o 3 são comunicadas imediatamente ao terceiro prestador de serviços de TIC crítico e às autoridades competentes das entidades financeiras às quais aquele presta serviços de TIC.

Para efeitos da realização das atividades de superintendência, a autoridade fiscalizadora principal pode tomar em consideração quaisquer certificações pertinentes de terceiros ou relatórios de auditorias internas ou externas de terceiros no domínio das TIC disponibilizadas pelo terceiro prestador de serviços de TIC críticos.

1.   As AES elaboram, através do Comité Conjunto, projetos de normas técnicas de regulamentação a fim de especificar:

2.   As AES apresentam esses projetos de normas técnicas de regulamentação à Comissão até 17 de julho de 2024.

A Comissão fica habilitada a completar o presente regulamento através da adoção das normas técnicas de regulamentação a que se refere o n.o 1, nos termos do procedimento previsto nos artigos 10.o a 14.o dos Regulamentos (UE) n.o 1093/2010, (UE) n.o 1094/2010 e (UE) n.o 1095/2010.

1.   No prazo de 60 dias de calendário a contar da receção das recomendações emitidas pela autoridade fiscalizadora principal nos termos do artigo 35.o, n.o 1, alínea d), os terceiros prestadores de serviços de TIC críticos notificam a autoridade fiscalizadora principal da sua intenção de seguir as recomendações ou apresentam uma explicação fundamentada para o não fazer. A autoridade fiscalizadora principal transmite imediatamente essa informação às autoridades competentes das entidades financeiras em causa.

2.   A autoridade fiscalizadora principal torna públicos os casos em que um terceiro prestador de serviços de TIC crítico não notifica a autoridade fiscalizadora principal nos termos do n.o 1 ou quando a explicação apresentada pelo terceiro prestador de serviços de TIC crítico não for suficiente. As informações publicadas incluem a identidade do terceiro prestador de serviços de TIC crítico, bem como informações sobre o tipo e a natureza do incumprimento. Essas informações devem limitar-se ao que é relevante e proporcionado para efeitos de alertar o público, a menos que essa publicação possa causar danos desproporcionados às partes envolvidas ou comprometer gravemente o bom funcionamento e a integridade dos mercados financeiros ou a estabilidade da totalidade ou de parte do sistema financeiro da União.

A autoridade fiscalizadora principal notifica o terceiro prestador de serviços de TIC dessa divulgação de informações ao público.

3.   As autoridades competentes informam as entidades financeiras pertinentes dos riscos identificados nas recomendações dirigidas aos terceiros prestadores de serviços de TIC críticos, nos termos do artigo 35.o, n.o 1, alínea d).

Ao gerirem o risco associado às TIC devido a terceiros, as entidades financeiras têm em consideração os riscos a que se refere o primeiro parágrafo.

4.   Sempre que uma autoridade competente considere que uma entidade financeira não tem em consta ou não aborda suficientemente, no âmbito da sua gestão do risco associado às TIC devido a terceiros, os riscos específicos identificados nas recomendações, notifica a entidade financeira da possibilidade de ser tomada uma decisão, no prazo de 60 dias de calendário a contar da receção dessa notificação, nos termos do n.o 6, na ausência de acordos contratuais adequadas destinadas a fazer face a esses riscos.

5.   Após receberem as comunicações referidas no artigo 35.o, n.o 1, alínea c), e antes de tomarem a decisão a que se refere o n.o 6 do presente artigo, as autoridades competentes podem, a título voluntário, consultar as autoridades competentes designadas ou criadas nos termos da Diretiva (UE) 2022/2555, responsáveis pela supervisão de uma entidade essencial ou importante abrangida por essa diretiva, que tenha sido designado como terceiro prestador de serviços de TIC crítico.

6.   As autoridades competentes podem, como medida de último recurso, na sequência da notificação e, se for caso disso, da consulta prevista nos n.os 4 e 5 do presente artigo, nos termos do artigo 50.o, tomar uma decisão exigindo que as entidades financeiras suspendam temporariamente, em parte ou na totalidade, a utilização ou o lançamento de um serviço prestado pelo terceiro prestador de serviços de TIC crítico até que os riscos identificados nas recomendações dirigidas aos terceiros prestadores de serviços de TIC críticos tenham sido abordados. Quando necessário, podem exigir que as entidades financeiras rescindam, em parte ou na totalidade, os acordos contratuais pertinentes celebrados com os terceiros prestadores de serviços de TIC críticos.

7.   Caso um terceiro prestador de serviços de TIC crítico se recuse a acatar recomendações baseando-se numa abordagem divergente da recomendada pela autoridade fiscalizadora principal, e essa abordagem divergente seja suscetível de ter um impacto negativo num grande número de entidades financeiras, ou numa parte significativa do setor financeiro, e os alertas individuais emitidos pelas autoridades competentes não tenham resultado em abordagens coerentes que atenuem o potencial risco para a estabilidade financeira, a autoridade fiscalizadora principal pode, após consulta do fórum de superintendência, emitir pareceres não vinculativos e não públicos dirigidos às autoridades competentes, a fim de promover medidas de acompanhamento da supervisão coerentes e convergentes, conforme adequado.

8.   Após receberem os relatórios referidos no artigo 35.o, n.o 1, alínea c), as autoridades competentes, ao tomarem as decisões referidas no n.o 6 do presente artigo, têm em conta o tipo e a dimensão do risco que não foi abordado pelo terceiro prestador de serviços de TIC crítico, bem como a gravidade do incumprimento, tendo em conta os critérios seguintes:

As autoridades competentes concedem às entidades financeiras o período de tempo necessário para que possam ajustar os acordos contratuais celebrados com terceiros prestadores de serviços de TIC críticos, a fim de evitar efeitos negativos para a sua resiliência operacional digital e de lhes permitir implementar as estratégias de saída e os planos de transição a que se refere o artigo 28.o.

9.   A decisão a que se refere o n.o 6 do presente artigo é notificada aos membros do fórum de superintendência a que se refere o artigo 32.o, n.o 4, alíneas a), b) e c), e à rede de superintendência conjunta.

Os terceiros prestadores de serviços de TIC críticos visados pelas decisões previstas no n.o 6 cooperam plenamente com as entidades financeiras afetadas, em especial no contexto do processo de suspensão ou rescisão dos seus acordos contratuais.

10.   As autoridades competentes informam regularmente a autoridade fiscalizadora principal das abordagens e medidas adotadas no âmbito das suas atribuições de supervisão em relação às entidades financeiras, bem como dos acordos contratuais celebrados pelas entidades financeiras quando os terceiros prestadores de serviços de TIC críticos não tiverem acatado, em parte ou na totalidade, as recomendações que lhes foram dirigidas pela autoridade fiscalizadora principal.

11.   A autoridade fiscalizadora principal pode, a pedido, prestar esclarecimentos adicionais sobre as recomendações emitidas a fim de fornecer orientações às autoridades competentes sobre as medidas de acompanhamento.

1.   A autoridade fiscalizadora principal, em conformidade com o ato delegado a que se refere o n.o 2 do presente artigo, cobra aos terceiros prestadores de serviços de TIC críticos taxas que cubram na totalidade as despesas necessárias para que a autoridade fiscalizadora principal exerça as suas atribuições de superintendência nos termos do presente regulamento, nomeadamente o reembolso de eventuais custos em que possa incorrer em resultado do trabalho realizado pela equipa de avaliação conjunta a que se refere o artigo 40.o, bem como os custos do aconselhamento prestado pelos peritos independentes a que se refere o artigo 32.o, n.o 4, segundo parágrafo, em relação a questões relacionadas com as atividades de superintendência direta.

O montante de uma taxa cobrada a um terceiro prestador de serviços de TIC crítico cobre todos os custos decorrentes do cumprimento dos deveres previstos na presente secção e é proporcional ao seu volume de negócios.

2.   A Comissão fica habilitada a adotar um ato delegado nos termos do artigo 57.o para completar o presente regulamento determinando o montante das taxas e as modalidades de pagamento até 17 de julho de 2024.

1.   Sem prejuízo do disposto no artigo 36.o, a EBA, a ESMA e a EIOPA podem, nos termos do artigo 33.o dos Regulamentos (UE) n.o 1093/2010, (UE) n.o 1095/2010 e (UE) n.o 1094/2010, respetivamente, celebrar acordos administrativos com autoridades de regulamentação e de supervisão de países terceiros para fomentar a cooperação internacional em matéria de risco associado às TIC devido a terceiros nos diferentes setores financeiros, em especial desenvolvendo boas práticas para a apreciação das práticas e dos controlos de gestão do risco associado às TIC, das medidas de mitigação e da resposta aos incidentes nesse contexto.

2.   As AES, através do Comité Conjunto, apresentam, de cinco em cinco anos, um relatório conjunto confidencial ao Parlamento Europeu, ao Conselho e à Comissão que resuma as conclusões dos debates relevantes com as autoridades dos países terceiros a que se refere o n.o 1, centrados na evolução do risco associados às TIC devido a terceiros e nas suas implicações para a estabilidade financeira, a integridade do mercado, a proteção dos investidores e o funcionamento do mercado interno.

1.   As entidades financeiras podem proceder ao intercâmbio entre si de informações específicas e sensíveis relativas a ciberataques, nomeadamente indicadores de comprometimento dos sistemas ou dos dados, táticas, técnicas e procedimentos, alertas de cibersegurança e ferramentas de configuração, na medida em que essa partilha de informações específicas e sensíveis:

2.   Para efeitos do n.o 1, alínea c), os acordos de partilha de informações definem as condições de participação e, se for caso disso, as modalidades do envolvimento das autoridades públicas e a capacidade em que estas podem estar associadas aos acordos de partilha de informações, do envolvimento dos terceiros prestadores de serviços de TIC e dos elementos operacionais, nomeadamente a utilização de plataformas TIC dedicadas.

3.   As entidades financeiras notificam as autoridades competentes da sua participação nos acordos de partilha de informações a que se refere o n.o 1, após validação dessa mesma participação ou, quando aplicável, após a cessação da sua participação, assim que esta produza efeitos.

1.   Para fomentar a cooperação e permitir intercâmbios em matéria de supervisão entre as autoridades competentes designadas nos termos do presente regulamento e o grupo de cooperação estabelecido pelo artigo 14.o da Diretiva (UE) 2022/2555, as AES e as autoridades competentes podem participar nas atividades do grupo de cooperação relativos a assuntos que digam respeito às suas atividades de supervisão em relação às entidades financeiras. As AES e as autoridades competentes podem solicitar participar nas atividades do grupo de cooperação que estejam relacionados com as entidades essenciais ou importantes abrangidas pela Diretiva (UE) 2022/2555 que também tenham sido designadas terceiros prestadores de serviços de TIC críticos nos termos do artigo 31.o do presente regulamento.

2.   Se for caso disso, as autoridades competentes podem consultar e partilhar informações com os pontos de contacto únicos e as CSIRT designados ou criados nos termos da Diretiva (UE) 2022/2555.

3.   Se for caso disso, as autoridades competentes podem solicitar qualquer aconselhamento e assistência técnica pertinentes às autoridades competentes designadas ou criadas nos termos da Diretiva (UE) 2022/2555 e estabelecer mecanismos de cooperação que permitam a criação de mecanismos de coordenação eficazes e de resposta rápida.

4.   Os mecanismos a que se refere o n.o 3 do presente artigo podem, nomeadamente, especificar os procedimentos relativos à coordenação, respetivamente, das atividades de supervisão e de superintendência, em relação a entidades essenciais ou importantes abrangidas pela Diretiva (UE) 2022/2555 que tenham sido designadas terceiros prestadores de serviços de TIC críticos nos termos do artigo 31.o do presente regulamento, inclusive no que diz respeito à realização, nos termos do direito nacional, de investigações e inspeções no local, bem como aos mecanismos de intercâmbio de informações entre as autoridades competentes ao abrigo do presente regulamento e as autoridades competentes designadas ou criadas nos termos dessa diretiva, o que inclui o acesso às informações solicitadas por essas últimas autoridades.

1.   As autoridades competentes cooperam estreitamente entre si e, se for caso disso, com a autoridade fiscalizadora principal.

2.   As autoridades competentes e a autoridade fiscalizadora principal trocam entre si, em tempo útil, todas as informações pertinentes relativas aos terceiros prestadores de serviços de TIC críticos que lhes sejam necessárias para cumprirem as suas obrigações ao abrigo do presente regulamento, em especial no que diz respeito aos riscos identificados, às abordagens e às medidas tomadas no âmbito das atribuições de superintendência da autoridade fiscalizadora principal.

1.   As AES, através do Comité Conjunto e em colaboração com as autoridades competentes, as autoridades de resolução a que se refere o artigo 3.o da Diretiva 2014/59/UE, o BCE, o Conselho Único de Resolução, no que respeita às informações relativas às entidades abrangidas pelo âmbito de aplicação do Regulamento (UE) n.o 806/2014, o CERS e a ENISA, conforme adequado, podem estabelecer mecanismos que permitam a partilha de práticas eficazes entre os setores financeiros, para melhorar o conhecimento da situação e identificar as vulnerabilidades e os ciber-riscos comuns entre setores.

Podem também desenvolver exercícios de gestão de crises e contingência que envolvam cenários de ciberataques com vista a desenvolver canais de comunicação e, gradualmente, permitir uma resposta coordenada eficaz a nível da UE caso ocorra um incidente de caráter severo transfronteiriço relacionado com as TIC ou caso uma ameaça conexa possa ter um impacto sistémico no setor financeiro da União no seu conjunto.

Esses exercícios podem igualmente, se for caso disso, testar as dependências do setor financeiro em relação a outros setores económicos.

2.   As autoridades competentes, as AES e o BCE cooperam estreitamente entre si e procedem ao intercâmbio de informações para efeitos do cumprimento das suas obrigações nos termos dos artigos 47.o a 54.°. As autoridades competentes coordenam estreitamente a sua supervisão de modo a identificarem e corrigirem as violações do presente regulamento, desenvolverem e promoverem as boas práticas, facilitarem a colaboração, promoverem a coerência da interpretação e facultarem avaliações transjurisdicionais em caso de diferendo.

1.   As autoridades competentes estão investidas de todos os poderes de supervisão, investigação e sancionatórios necessários para cumprirem as suas obrigações ao abrigo do presente regulamento.

2.   Os poderes referidos no n.o 1 incluem, pelo menos, o seguinte:

3.   Sem prejuízo do direito dos Estados-Membros a imporem sanções penais nos termos do artigo 52.o, os Estados-Membros estipulam regras que estabeleçam sanções administrativas e medidas corretivas adequadas em caso de violação do presente regulamento e asseguram a sua aplicação efetiva.

As referidas sanções ou medidas são eficazes, proporcionadas e dissuasivas.

4.   Os Estados-Membros conferem às autoridades competentes o poder para aplicar, pelo menos, as seguintes sanções administrativas e medidas corretivas em caso de violação do presente regulamento:

5.   Quando o n.o 2, alínea c), e o n.o 4 forem aplicáveis a pessoas coletivas, os Estados-Membros conferem às autoridades competentes o poder de aplicarem as sanções administrativas e medidas corretivas, sob reserva das condições estabelecidas no direito nacional, aos membros do órgão de administração e a outras pessoas que, nos termos do direito nacional, sejam responsáveis pela violação.

6.   Os Estados-Membros asseguram que qualquer decisão relativa à aplicação das sanções administrativas ou medidas corretivas estabelecidas no n.o 2, alínea c), é devidamente fundamentada e passível de recurso.

1.   As autoridades competentes exercem os poderes para impor as sanções administrativas e as medidas corretivas a que se refere o artigo 50.o em conformidade com os respetivos regimes jurídicos nacionais, se for caso disso, da seguinte forma:

2.   Ao determinarem o tipo e o nível de uma sanção administrativa ou medida corretiva aplicada nos termos do artigo 50.o, as autoridades competentes têm em conta a medida em que a violação tem caráter doloso ou resulta de negligência, e todas as outras circunstâncias relevantes, incluindo, se for caso disso:

1.   Os Estados-Membros podem decidir não estabelecer um regime de sanções administrativas ou medidas corretivas para as violações que estejam sujeitas a sanções penais nos termos do seu direito nacional.

2.   Caso tenham decidido estabelecer sanções penais por violação do presente regulamento, os Estados-Membros asseguram a existência de medidas adequadas para que as autoridades competentes disponham de todos os poderes necessários para assegurar a ligação com as autoridades judiciais, as autoridades competentes para o exercício da ação penal ou as autoridades de justiça penal na sua jurisdição, a fim de receberem informações específicas relacionadas com as investigações ou processos penais instaurados por violação do presente regulamento, e fornecerem essas mesmas informações a outras autoridades competentes, bem como à EBA, à ESMA ou à EIOPA, em cumprimento das suas obrigações de cooperação para efeitos do presente regulamento.

1.   As autoridades competentes publicam nos respetivos sítios Web oficiais, sem demora injustificada, qualquer decisão que imponha uma sanção administrativa não passível de recurso depois de o destinatário da sanção ter sido notificado dessa decisão.

2.   A publicação a que se refere o n.o 1 inclui informações sobre o tipo e a natureza da violação, a identidade das pessoas responsáveis e as sanções aplicadas.

3.   Quando a autoridade competente, no seguimento de uma avaliação casuística, considerar que a publicação da identidade, no caso das pessoas coletivas, ou da identidade e dos dados pessoais, no caso de pessoas singulares, pode ser desproporcionada, inclusive comportando riscos no que respeita à proteção dos dados pessoais, pôr em perigo a estabilidade dos mercados financeiros ou a condução de uma investigação penal em curso, ou provocar, na medida em que estes possam ser determinados, danos desproporcionados para a pessoa envolvida, a referida autoridade adota uma das seguintes soluções em relação à decisão que impõe uma sanção administrativa:

4.   Caso se decida pela publicação anónima de uma sanção administrativa, nos termos do n.o 3, alínea b), é possível adiar a publicação dos dados relevantes.

5.   Caso as autoridades competentes publiquem as decisões de aplicação de sanções administrativas em instância de recurso perante as autoridades judiciais relevantes, as referidas autoridades publicam imediatamente no seu sítio Web oficial essa informação e, numa fase posterior, quaisquer informações conexas subsequentes sobre o resultado de tal recurso. É também publicada qualquer decisão judicial que anule uma decisão de aplicação de uma sanção administrativa.

6.   As autoridades competentes asseguram que todas as publicações referidas nos n.os 1 a 4 permanecem no seu sítio Web oficial apenas durante o período necessário para que o presente artigo produza efeitos. Este período não pode exceder cinco anos a contar da sua publicação.

1.   As informações confidenciais recebidas, trocadas e transmitidas ao abrigo do presente regulamento ficam sujeitas às condições de segredo profissional estabelecidas no n.o 2.

2.   Todas as pessoas que trabalhem ou tenham trabalhado por conta de autoridades competentes nos termos do presente regulamento, ou para qualquer autoridade, empresa do mercado, pessoa singular ou coletiva na qual essas autoridades competentes tenham delegado as suas competências, incluindo os auditores ou peritos mandatados por essas autoridades, ficam sujeitas à obrigação de segredo profissional.

3.   As informações abrangidas pelo segredo profissional, incluindo o intercâmbio de informações entre as autoridades competentes ao abrigo do presente regulamento e as autoridades competentes designadas ou criadas nos termos da Diretiva (UE) 2022/2555, não podem ser comunicadas a qualquer outra pessoa ou autoridade, exceto por força de disposições do direito da União ou do direito nacional;

4.   Todas as informações trocadas entre as autoridades competentes nos termos do presente regulamento que digam respeito a condições comerciais ou operacionais ou a outros assuntos económicos ou pessoais são consideradas confidenciais e ficam sujeitas ao dever de segredo profissional, salvo se a autoridade competente declarar, no momento da sua comunicação, que a informação em causa pode ser divulgada, ou se a divulgação for necessária para efeitos de processos judiciais.

1.   As AES e as autoridades competentes só estão autorizadas a tratar dados pessoais se tal for necessário para o exercício das obrigações e deveres que lhes incumbem por força do presente regulamento, em especial em matéria de investigação, inspeção, pedidos de informação, comunicação, publicação, avaliação, verificação, avaliação e elaboração de planos de superintendência. Os dados pessoais são tratados nos termos do Regulamento (UE) 2016/679 ou do Regulamento (UE) 2018/1725, consoante o que for aplicável.

2.   Salvo disposição em contrário noutros atos setoriais, os dados pessoais a que se refere o n.o 1 são conservados até ao cumprimento das funções de supervisão aplicáveis e, em qualquer caso, por um período máximo de 15 anos, exceto no caso de processos judiciais pendentes que exijam a conservação ulterior desses dados.

1.   O poder de adotar atos delegados é conferido à Comissão nas condições estabelecidas no presente artigo.

2.   O poder de adotar atos delegados referido no artigo 31.o, n.o 6, e no artigo 43.o, n.o 2, é conferido à Comissão por um prazo de cinco anos a contar de 17 de janeiro de 2024. A Comissão elabora um relatório relativo à delegação de poderes pelo menos nove meses antes do final do prazo de cinco anos. A delegação de poderes é tacitamente prorrogada por períodos de igual duração, salvo se o Parlamento Europeu ou o Conselho a tal se opuserem pelo menos três meses antes do final de cada prazo.

3.   A delegação de poderes referida no artigo 31.o, n.o 6, e no artigo 43.o, n.o 2, pode ser revogada em qualquer momento pelo Parlamento Europeu ou pelo Conselho. A decisão de revogação põe termo à delegação dos poderes nela especificados. A decisão de revogação produz efeitos a partir do dia seguinte ao da sua publicação no Jornal Oficial da União Europeia ou de uma data posterior nela especificada. A decisão de revogação não afeta os atos delegados já em vigor.

4.   Antes de adotar um ato delegado, a Comissão consulta os peritos designados por cada Estado-Membro de acordo com os princípios estabelecidos no Acordo Interinstitucional, de 13 de abril de 2016, sobre legislar melhor.

5.   Assim que adotar um ato delegado, a Comissão notifica-o simultaneamente ao Parlamento Europeu e ao Conselho.

6.   Os atos delegados adotados nos termos do artigo 31.o, n.o 6, e do artigo 43.o, n.o 2, só entram em vigor se não tiverem sido formuladas objeções pelo Parlamento Europeu ou pelo Conselho no prazo de três meses a contar da notificação do ato ao Parlamento Europeu e ao Conselho, ou se, antes do termo desse prazo, o Parlamento Europeu e o Conselho tiverem informado a Comissão de que não têm objeções a formular. O referido prazo é prorrogável por três meses por iniciativa do Parlamento Europeu ou do Conselho.

1.   Até 17 de janeiro de 2028, a Comissão, após consulta das AES e do CERS, conforme adequado, procede a uma revisão e apresenta um relatório ao Parlamento Europeu e ao Conselho, acompanhado, se necessário, de uma proposta legislativa. A revisão inclui, pelo menos, os seguintes elementos:

2.   No contexto da revisão da Diretiva (UE) 2015/2366, a Comissão avalia a necessidade de aumentar a ciber-resiliência dos sistemas de pagamento e das atividades de processamento de pagamentos, bem como a conveniência de alargar o âmbito de aplicação do presente regulamento aos operadores de sistemas de pagamento e às entidades envolvidas em atividades de processamento de pagamentos. À luz dessa avaliação, a Comissão apresenta, no âmbito da revisão da Diretiva (UE) 2015/2366, um relatório ao Parlamento Europeu e ao Conselho, o mais tardar, até 17 de julho de 2023.

Com base neste relatório de revisão, e após consulta das AES, do BCE e do CERS, a Comissão pode apresentar, se for caso disso e no âmbito da proposta legislativa que possa vir a adotar nos termos do artigo 108.o, segundo parágrafo, da Diretiva (UE) 2015/2366, uma proposta destinada a assegurar que todos os operadores de sistemas de pagamento e entidades envolvidas em atividades de processamento de pagamentos sejam sujeitos a uma superintendência adequada, tendo simultaneamente em conta a superintendência dos bancos centrais.

3.   Até 17 de janeiro de 2026, a Comissão, após consulta das AES e do Comité dos Organismos Europeus de Supervisão de Auditoria, procede a uma revisão e apresenta um relatório ao Parlamento Europeu e ao Conselho, acompanhado, se necessário, de uma proposta legislativa, sobre a adequação do reforço dos requisitos aplicáveis aos revisores oficiais de contas e às sociedades de revisores oficiais de contas no que respeita à resiliência operacional digital, através da inclusão dos revisores oficiais de contas e das sociedades de revisores oficiais de contas no âmbito de aplicação do presente regulamento ou através de alterações à Diretiva 2006/43/CE do Parlamento Europeu e do Conselho (39).