Jornal Oficial
da União Europeia
PT
Série L
|
|
Jornal Oficial |
PT Série L |
|
2025/420 |
24.3.2025 |
REGULAMENTO DELEGADO (UE) 2025/420 DA COMISSÃO
de 16 de dezembro de 2024
complementando o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho no que diz respeito às normas técnicas de regulamentação para especificar os critérios para determinar a composição da equipa de avaliação conjunta, assegurando uma participação equilibrada de membros do pessoal das AES e das autoridades competentes pertinentes, a sua designação, as suas atribuições e modalidades de trabalho
(Texto relevante para efeitos do EEE)
A COMISSÃO EUROPEIA,
Tendo em conta o Tratado sobre o Funcionamento da União Europeia,
Tendo em conta o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho, de 14 de dezembro de 2022, relativo à resiliência operacional digital do setor financeiro e que altera os Regulamentos (CE) n.o 1060/2009, (UE) n.o 648/2012, (UE) n.o 600/2014, (UE) n.o 909/2014 e (UE) 2016/1011 (1), nomeadamente o artigo 41.o, n.o 2, segundo parágrafo,
Considerando o seguinte:
|
(1) |
O quadro de supervisão estabelecido pelo Regulamento (UE) 2022/2554 deverá assentar numa cooperação estruturada e contínua entre as AES e as autoridades competentes através do fórum de superintendência e das equipas de avaliação conjuntas. |
|
(2) |
As autoridades a que se refere o artigo 40.o, n.o 2, do Regulamento (UE) 2022/2554 devem assegurar que os membros do seu pessoal, que devem ser nomeados membros da equipa de avaliação conjunta referida no artigo 40.o, n.o 1 do mesmo regulamento, possuem os conhecimentos técnicos necessários para os perfis requeridos às equipas de avaliação conjunta. A evidência que uma autoridade não dispõe de pessoal que reúna os conhecimentos técnicos específicos necessários às equipas de avaliação conjunta, deve ser considerada pela autoridade fiscalizadora principal como justificação para cumprir, nesse momento, a nomeação de membros do pessoal para as equipas de avaliação conjunta por parte das autoridades. Nesse caso, a autoridade deve comprometer-se, dentro dos seus melhores esforços, a resolver essa escassez de conhecimentos especializados e a tentar reforçar as suas capacidades para contribuir para as equipas de avaliação conjunta no contexto do exercício seguinte. |
|
(3) |
Os membros do pessoal das autoridades a que se refere o artigo 40.o, n.o 2, do Regulamento (UE) 2022/2554 designados como membros de uma equipa de avaliação conjunta, tal como referido no artigo 40.o, n.o 1 do mesmo regulamento, devem continuar a fazer parte do pessoal da autoridade que os nomeiam e, por conseguinte, sujeitos ao horário de trabalho e à localização permanente do trabalho designados nos seus contratos de trabalho. |
|
(4) |
A fim de assegurar a utilização mais eficaz dos recursos na execução das atividades de supervisão, os membros das equipas de avaliação conjunta deverão poder fazer parte de várias equipas de análise conjunta e supervisionar vários terceiros prestadores de serviços de TIC críticos. O número de terceiros prestadores de serviços de TIC críticos a afetar a um membro específico da equipa de avaliação conjunta e as necessidades globais de pessoal das equipas de avaliação conjunta devem ter em conta o perfil de risco dos terceiros prestadores de serviços de TIC críticos e o nível previsto de intensidade das atividades de supervisão. Essa possibilidade de supervisionar vários terceiros prestadores de serviços de TIC críticos é tida em conta no plano plurianual estratégico de superintendência, atualizado anualmente pelas autoridades fiscalizadoras principais na medida do necessário, e refletido no plano anual de superintendência individual. A fim de assegurar a fiabilidade do compromisso previsto e contínuo de recursos humanos das equipas de avaliação conjunta pelas autoridades responsáveis pela nomeação, a autoridade fiscalizadora principal deve consultar a rede de superintendência conjunta e o fórum de superintendência sobre o plano plurianual estratégico de supervisão. |
|
(5) |
A autoridade fiscalizadora principal deve aplicar uma combinação de critérios e princípios ao identificar o número de membros do pessoal em cada equipa de avaliação conjunta e a composição resultante. Tendo em conta a diversidade da pegada tecnológica e geográfica e a utilização feita por várias entidades financeiras de terceiros prestadores de serviços de TIC críticos, esses critérios e princípios devem ter em conta a natureza técnica das tarefas de superintendência, os diferentes graus de dependência das entidades financeiras em relação aos serviços prestados pelos terceiros prestadores de serviços de TIC críticos, a distribuição geográfica, a dimensão e o número de entidades financeiras que dependem desses serviços e, sempre que possível, uma representação intersetorial proporcionada. No exercício dessa função, a autoridade fiscalizadora principal deverá basear-se nas informações fornecidas pelas autoridades competentes no contexto da designação dos terceiros prestadores de serviços de TIC críticos, incluindo as informações necessárias para todos os subcritérios estabelecidos no Regulamento Delegado (UE) 2024/1502 da Comissão (2), e ter em conta a importância crítica dos terceiros prestadores de serviços de TIC críticos para a prestação de serviços financeiros específicos, tanto a nível dos Estados-Membros como da União. |
|
(6) |
A fim de assegurar que a estrutura e a composição das equipas de avaliação conjunta são adequadas à sua finalidade e de assegurar continuamente a eficiência e a eficácia do quadro de fiscalização, a autoridade fiscalizadora principal e os membros das equipas de avaliação conjunta devem avaliar periodicamente os resultados das equipas de avaliação conjunta. A autoridade fiscalizadora principal e as autoridades responsáveis pela nomeação devem utilizar essas avaliações para verificar se os membros das equipas de avaliação conjunta ainda estão aptos a desempenhar as suas funções e, se for caso disso, alterar a composição das equipas de avaliação conjunta. |
|
(7) |
A fim de assegurar que os membros das equipas de avaliação conjunta trabalham como uma equipa única e que as atividades de superintendência são conduzidas de forma coerente, as AES devem especificar os procedimentos de superintendência a seguir pelos membros das equipas de avaliação conjunta e pelo coordenador da autoridade fiscalizadora principal no exercício das suas funções. |
|
(8) |
Uma vez que as tarefas de superintendência envolvem o tratamento de informações confidenciais, a autoridade fiscalizadora principal deve conceder aos membros da equipa de avaliação conjunta acesso a essas informações e aos recursos informáticos conexos (incluindo ferramentas, aplicações e bases de dados) e não informáticos (incluindo políticas, procedimentos e documentação), com base na «necessidade de conhecer» e no âmbito especificado das suas atribuições, se tal for necessário para os membros da equipa de avaliação conjunta assistirem a autoridade fiscalizadora principal no exercício das suas funções ou tarefas estatutárias. Ao estabelecer acordos entre a autoridade fiscalizadora principal e as autoridades competentes para aplicar o presente regulamento, em consonância com o Regulamento Delegado (UE) 2024/1505 da Comissão (3), a fim de assegurar o financiamento adequado dos custos associados aos recursos disponibilizados pelas autoridades responsáveis pela nomeação, a autoridade fiscalizadora principal deverá incluir nesses acordos uma secção que especifique o procedimento de reembolso dos custos diretos e indiretos de todas as autoridades responsáveis pela nomeação envolvidas nas equipas de avaliação conjunta. Além disso, a fim de assegurar uma execução transparente e fiável das atividades de superintendência, essas disposições devem também assegurar que os membros das equipas de avaliação conjunta estão isentos de qualquer conflito de interesses no exercício das suas funções. |
|
(9) |
O presente regulamento tem por base os projetos de normas técnicas de regulamentação apresentados à Comissão Europeia pela Autoridade Bancária Europeia, a Autoridade Europeia dos Seguros e Pensões Complementares de Reforma e a Autoridade Europeia dos Valores Mobiliários e dos Mercados. |
|
(10) |
O Comité Conjunto das Autoridades Europeias de Supervisão referido no artigo 54.o do Regulamento (UE) n.o 1093/2010 do Parlamento Europeu e do Conselho (4), no artigo 54.o do Regulamento (UE) n.o 1094/2010 do Parlamento Europeu e do Conselho (5) e no artigo 54.o do Regulamento (UE) n.o 1095/2010 do Parlamento Europeu e do Conselho (6) realizou consultas públicas abertas sobre os projetos de normas técnicas de regulamentação em que se baseia o presente regulamento, analisou os potenciais custos e benefícios das normas propostas e solicitou o parecer do Grupo das Partes Interessadas do Setor Bancário criado em conformidade com o artigo 37.o do Regulamento (UE) n.o 1093/2010, do Grupo de Interessados do Setor dos Seguros e Resseguros e do Grupo de Interessados do Setor das Pensões Complementares de Reforma criados em conformidade com o artigo 37.o do Regulamento (UE) n.o 1094/2010 e do Grupo de Interessados do Setor dos Valores Mobiliários e dos Mercados criado em conformidade com o artigo 37.o do Regulamento (UE) n.o 1095/2010, |
ADOTOU O PRESENTE REGULAMENTO:
Artigo 1.o
Tarefas dos membros da equipa de avaliação conjunta
1. Os membros da equipa de avaliação conjunta desempenham as suas funções sob a coordenação do coordenador da autoridade fiscalizadora principal. Essas funções incluem o apoio contínuo às atividades realizadas pela autoridade fiscalizadora principal e a execução de tarefas específicas. As tarefas a serem desempenhadas são as seguintes:
|
a) |
assistir a autoridade fiscalizadora principal na preparação e elaboração plano anual de superintendência individual a que se refere o artigo 33.o, n.o 4, do Regulamento (UE) 2022/2554; |
|
b) |
assistir a autoridade fiscalizadora principal na realização da avaliação a que se refere o artigo 33.o, n.o 2, do Regulamento (UE) 2022/2554; |
|
c) |
avaliar as informações obtidas pela autoridade fiscalizadora principal junto do terceiro prestador de serviços de TIC crítico nos termos do artigo 37.o do Regulamento (UE) 2022/2554 e do Capítulo II do Regulamento Delegado (UE) 2025/295 da Comissão (7); |
|
d) |
realizar inspeções de caráter geral sobre os terceiros prestadores de serviços de TIC críticos a que se refere o artigo 38.o do Regulamento (UE) 2022/2554; |
|
e) |
realizar as inspeções a que se refere o artigo 39.o, n.o 1, do Regulamento (UE) 2022/2554; |
|
f) |
elaborar projetos de recomendações referidas no artigo 35.o, n.o 1, alínea d), do Regulamento (UE) 2022/2554; |
|
g) |
avaliar o plano de reparação e os relatórios intercalares a que se refere o artigo 4.o do Regulamento Delegado 2025/295; |
|
h) |
preparar e elaborar os projetos de redação de pedidos e decisões referidos no artigo 35.o, n.o 6, no artigo 37.o, n.o 1, no artigo 38.o, n.o 4, e no artigo 39.o, n.o 6, do Regulamento (UE) 2022/2554; |
|
i) |
assistir a autoridade fiscalizadora principal no seu contributo para as atividades de superintendência horizontal, incluindo no desenvolvimento dos índices de referência abrangentes a que se refere o artigo 32.o, n.o 3, do Regulamento (UE) 2022/2554; |
|
j) |
assegurar que as informações pertinentes relativas às entidades financeiras que utilizam os serviços prestados por terceiros prestadores de serviços de TIC críticos são partilhadas com a autoridade fiscalizadora principal; |
|
k) |
assistir a autoridade fiscalizadora principal em atividades não planeadas consideradas necessárias pela autoridade fiscalizadora principal, para efeitos de supervisão, numa base ad hoc. |
2. Caso a autoridade fiscalizadora principal reveja significativamente o plano de superintendência anual individual durante o ano, deve envolver os membros da equipa de avaliação conjunta na execução e revisão desse plano.
Artigo 2.o
Criação da equipa de avaliação conjunto
1. Após a primeira designação de um terceiro prestador de serviços de TIC como crítico, como estabelecido nos termos do artigo 31.o, n.o 1, alínea a), do Regulamento (UE) 2022/2554, a autoridade fiscalizadora principal, com o acordo da rede conjunta de superintendência a que se refere o artigo 34.o, n.o 1, do Regulamento (UE) 2022/2554, deve criar a equipa de avaliação conjunta responsável pela realização das atividades de superintendência desse terceiro prestador de serviços de TIC crítico.
2. Caso ocorram alterações significativas relativas à situação do terceiro prestador de serviços de TIC crítico, a autoridade fiscalizadora principal pode atualizar, com o acordo da rede conjunta de superintendência, a composição da equipa de avaliação conjunta responsável pela realização das atividades de superintendência desse terceiro prestador de serviços de TIC crítico.
Para o efeito, as alterações significativas relativas ao terceiro prestador de serviços de TIC crítico dizem respeito a qualquer um dos seguintes elementos:
|
a) |
os serviços prestados pelo terceiro prestador de serviços de TIC crítico; |
|
b) |
as atividades realizadas por entidades financeiras apoiadas por serviços de TIC do terceiro prestador de serviços de TIC crítico; |
|
c) |
a lista de terceiros prestadores de serviços de TIC críticos a nível da UE a que se refere o artigo 31.o, n.o 9, do Regulamento (UE) 2022/2554. |
3. As autoridades referidas no artigo 40.o, n.o 2, do Regulamento (UE) 2022/2554 designam uma ou mais pessoas de entre o seu pessoal para serem nomeadas membros da equipa de avaliação conjunta. Uma pessoa pode ser designada e nomeada membro de uma ou mais equipas de avaliação conjunta.
4. A autoridade fiscalizadora principal designa as pessoas a serem nomeadas membros da equipa de avaliação conjunta a tempo inteiro ou a tempo parcial, em função da sua disponibilidade, das necessidades específicas da autoridade fiscalizadora principal e do acordo entre a autoridade responsável pela nomeação e a autoridade fiscalizadora principal.
5. Ao nomearem os membros das equipas de avaliação conjunta, as autoridades a que se refere o artigo 40.o, n.o 2, do Regulamento (UE) 2022/2554 devem avaliar os seus conhecimentos técnicos, qualificações e competências em TIC e domínios pertinentes, incluindo competências de comunicação e colaboração, bem como competências de auditoria e supervisão.
6. A autoridade fiscalizadora principal pode exigir que as autoridades responsáveis pela nomeação alterem as suas nomeações apenas em circunstâncias justificadas e quando os perfis das pessoas nomeadas não correspondam ao perfil dos recursos necessários.
7. A autoridade fiscalizadora principal e as autoridades tomam todas as medidas adequadas e possíveis para assegurar que a equipa de avaliação conjunta dispõe de pessoal adequado, em conformidade com o plano anual de superintendência individual.
Artigo 3.o
Membros da equipa de avaliação conjunta
1. A autoridade fiscalizadora principal determina o número de membros da equipa de avaliação conjunta e a sua composição, em conformidade com a rede de superintendência conjunta a que se refere o artigo 34.o, n.o 1, do Regulamento (UE) 2022/2554 e em consulta com o Fórum de Supervisão a que se refere o artigo 32.o, n.o 1, do mesmo regulamento.
2. A autoridade fiscalizadora principal determina esse número como parte do processo de criação da equipa de avaliação conjunta e, conforme for necessário ao longo do tempo, tendo em conta:
|
a) |
as tarefas incluídas nos planos anuais de superintendência individuais elaborados para cada terceiro prestador de serviços de TIC crítico supervisionado pela equipa de avaliação conjunta; |
|
b) |
os objetivos estratégicos do plano plurianual de superintendência elaborado para todos os terceiros prestadores de serviços de TIC críticos, supervisionados por todas as equipas de avaliação conjunta. |
3. Para determinar o número e a composição dos membros da equipa de avaliação conjunta, a autoridade fiscalizadora principal deve ter em conta, pelo menos, todos os seguintes elementos:
|
a) |
o nível previsto de intensidade das atividades de superintendência a realizar em relação a todos os terceiros prestadores de serviços de TIC críticos; |
|
b) |
a dimensão e a complexidade do terceiro prestador de serviços de TIC supervisionado pela equipa de avaliação conjunta e pelas AES enquanto autoridades fiscalizadoras principais; |
|
c) |
as necessidades específicas de superintendência individual relacionadas com o terceiro prestador de serviços de TIC crítico específico, tal como avaliado pela autoridade fiscalizadora principal; |
|
d) |
estabilidade da composição da equipa de avaliação conjunta, assegurando a retenção de conhecimentos devida; |
|
e) |
as competências necessárias para a execução das tarefas pela equipa de avaliação conjunta, tendo em conta os requisitos de conhecimentos técnicos e não técnicos em matéria de TIC; |
|
f) |
os Estados-Membros em que o terceiro prestador de serviços de TIC crítico presta serviços de TIC de apoio a funções críticas ou importantes das entidades financeiras, bem como as autoridades competentes que supervisionam as entidades financeiras que utilizam esses serviços; |
|
g) |
os diferentes tipos, dimensões e números de entidades financeiras às quais o terceiro prestador de serviços de TIC crítico presta serviços de TIC de apoio a funções críticas ou importantes; |
|
h) |
as autoridades competentes que realizam as atividades de superintendência às entidades financeiras mais dependentes dos serviços de TIC prestados pelos terceiros prestadores de serviços de TIC críticos; |
|
i) |
uma representação transetorial proporcionada das autoridades que nomearam a equipa de avaliação conjunta. |
4. Ao nomearem membros da equipa de avaliação conjunta, as autoridades referidas no artigo 40.o, n.o 2, do Regulamento (UE) 2022/2554 devem ter em conta, pelo menos, o n.o 3, alíneas c), d), e), g) e h).
Artigo 4.o
Alteração da composição da equipa de avaliação conjunta
Periodicamente, ou no caso de autoridade fiscalizadora principal mudar, ou sempre que ocorram alterações significativas, conforme especificado no artigo 2.o, n.o 2, a autoridade fiscalizadora principal, após consulta dos membros da equipa de avaliação conjunta, avalia os resultados dos membros da equipa de avaliação conjunta. Tanto as autoridades responsáveis pela nomeação como a autoridade fiscalizadora principal utilizam os resultados dessa avaliação para decidir se é adequado alterar a composição da equipa de avaliação conjunta.
Artigo 5.o
Modalidades de trabalho dos membros da equipa de avaliação conjunta
1. Os membros da equipa de avaliação conjunta devem desempenhar as funções descritas no plano anual de superintendência individual com a devida competência, zelo e diligência, sem qualquer parcialidade e em conformidade com as instruções do coordenador da autoridade fiscalizadora principal, como disposto no artigo 40.o, n.o 2, segundo parágrafo, do Regulamento (UE) 2022/2554.
2. No exercício das funções de superintendência, os membros da equipa de avaliação conjunta devem seguir os procedimentos de superintendência elaborados conjuntamente pelas AES no que respeita à realização das atividades de superintendência em qualquer domínio operacional relevante, incluindo especificações relativas à utilização de ferramentas e equipamentos informáticos e à gestão do tempo.
3. Os membros da equipa de avaliação conjunta devem seguir as especificações e instruções relativas às informações e ao tratamento de dados fornecidas pelo coordenador da autoridade fiscalizadora principal a que se refere o artigo 40.o, n.o 2, segundo parágrafo, do Regulamento (UE) 2022/2554 e cumprir o regime de confidencialidade das AES.
4. A autoridade fiscalizadora principal e as autoridades responsáveis pela nomeação estabelecem mecanismos para aplicar os requisitos estabelecidos no presente regulamento, incluindo disposições sobre o tempo despendido e os custos estimados relacionados com as atividades de superintendência realizadas pela equipa de avaliação conjunta, a formação e considerações éticas e de conduta relacionadas com o papel dos membros da equipa de avaliação conjunta, se for caso disso.
5. A autoridade fiscalizadora principal e as autoridades responsáveis pela nomeação asseguram que os mecanismos a que se refere o n.o 4 são aplicados, revistos e atualizados em tempo útil.
Artigo 6.o
Entrada em vigor
O presente regulamento entra em vigor no vigésimo dia seguinte ao da sua publicação no Jornal Oficial da União Europeia.
O presente regulamento é obrigatório em todos os seus elementos e diretamente aplicável em todos os Estados-Membros.
Feito em Bruxelas, em 16 de dezembro de 2024.
Pela Comissão
A Presidente
Ursula VON DER LEYEN
(1) JO L 333 de 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj.
(2) Regulamento Delegado (UE) 2024/1502 da Comissão, de 22 de fevereiro de 2024, que complementa o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho especificando os critérios para a designação dos terceiros prestadores de serviços de TIC críticos para as entidades financeiras (JO L, 2024/1502, 30.5.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1502/oj).
(3) Regulamento Delegado (UE) 2024/1505 da Comissão, de 22 de fevereiro de 2024, que complementa o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho determinando o montante das taxas de superintendência a cobrar pela autoridade fiscalizadora principal aos terceiros prestadores de serviços de TIC críticos e o modo de pagamento dessas taxas (JO L, 2024/1505, 30.5.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1505/oj).
(4) Regulamento (UE) n.o 1093/2010 do Parlamento Europeu e do Conselho, de 24 de novembro de 2010, que cria uma Autoridade Europeia de Supervisão (Autoridade Bancária Europeia), altera a Decisão n.o 716/2009/CE e revoga a Decisão 2009/78/CE da Comissão (JO L 331 de 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj).
(5) Regulamento (UE) n.o 1094/2010 do Parlamento Europeu e do Conselho, de 24 de novembro de 2010, que cria uma Autoridade Europeia de Supervisão (Autoridade Europeia dos Seguros e Pensões Complementares de Reforma), altera a Decisão n.o 716/2009/CE e revoga a Decisão 2009/79/CE da Comissão (JO L 331 de 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj).
(6) Regulamento (UE) n.o 1095/2010 do Parlamento Europeu e do Conselho, de 24 de novembro de 2010, que cria uma Autoridade Europeia de Supervisão (Autoridade Europeia dos Valores Mobiliários e dos Mercados), altera a Decisão n.o 716/2009/CE e revoga a Decisão 2009/77/CE da Comissão (JO L 331 de 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).
(7) Regulamento Delegado (UE) 2025/295 da Comissão, de 24 de outubro de 2024, que complementa o Regulamento (UE) 2022/2554 do Parlamento Europeu e do Conselho no que diz respeito às normas técnicas de regulamentação sobre a harmonização das condições que permitem o exercício de atividades de superintendência (OJ L, 2025/295, 13.2.2025, ELI: http://data.europa.eu/eli/reg_del/2025/295/oj).
ELI: http://data.europa.eu/eli/reg_del/2025/420/oj
ISSN 1977-0774 (electronic edition)