Source: OJ L 333, 27.12.2022, p. 1–79Current language: DE
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Artikel 38 Allgemeine Untersuchungen
Summary What does Article 38 of the DORA regulation say?
This article sits within the Oversight Framework for critical ICT third-party service providers and sets out the Lead Overseer's powers to conduct general investigations into those providers.
It builds directly on Article 35, which establishes the Lead Overseer's broader powers, and works in conjunction with Article 40, which governs the joint examination teams that assist in carrying out these investigations.
The article details a broad toolkit of investigatory powers available to the Lead Overseer, covering access to records, summoning representatives, interviewing third parties, and requesting communications data.
It also establishes procedural safeguards, including the requirement for written authorisation and advance notification to relevant competent authorities before an investigation begins.
Important points:
- The Lead Overseer has the power to conduct investigations into critical ICT third-party service providers, including examining records, summoning representatives, interviewing third parties, and requesting telephone and data traffic records.
- Critical ICT third-party service providers are required to submit to investigations ordered by a Lead Overseer decision, with periodic penalty payments applicable for non-compliance or incomplete responses.
- The Lead Overseer is required to inform the competent authorities of relevant financial entities and the Joint Oversight Network of the envisaged investigation before it begins.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Die federführende Überwachungsbehörde kann zur Wahrnehmung ihrer Aufgaben gemäß dieser Verordnung mit Unterstützung des in Artikel 40 Absatz 1 genannten gemeinsamen Untersuchungsteams erforderlichenfalls Untersuchungen von kritischen IKT-Drittdienstleistern durchführen.
Die federführende Überwachungsbehörde ist befugt,
Aufzeichnungen, Daten, Verfahren und sonstiges für die Erfüllung ihrer Aufgaben relevantes Material unabhängig von der Speicherform zu prüfen;
beglaubigte Kopien oder Auszüge dieser Aufzeichnungen, Daten und dokumentierten Verfahren und von sämtlichen sonstigen Materialien anzufertigen oder zu verlangen;
Vertreter des kritischen IKT-Drittdienstleisters vorzuladen und zur Abgabe mündlicher oder schriftlicher Erklärungen zu Sachverhalten oder Unterlagen aufzufordern, die mit Gegenstand und Zweck der Untersuchung in Zusammenhang stehen, und die Antworten aufzuzeichnen;
jede andere natürliche oder juristische Person zu befragen, die dieser Befragung zum Zweck der Einholung von Informationen über den Gegenstand einer Untersuchung zustimmt;
Aufzeichnungen von Telefongesprächen und Datenübermittlungen anzufordern.
Die Bediensteten und sonstige von der federführenden Überwachungsbehörde zu Untersuchungen gemäß Absatz 1 ermächtigte Personen üben ihre Befugnisse unter Vorlage einer schriftlichen Ermächtigung aus, in der Gegenstand und Zweck der Untersuchung angegeben werden.
In der Ermächtigung sind auch die in Artikel 35 Absatz 6 vorgesehenen Zwangsgelder für den Fall anzugeben, dass die angeforderten Aufzeichnungen, Daten, dokumentierten Verfahren oder sonstigen Materialien oder die Antworten auf Fragen, die den Vertretern des IKT-Drittdienstleisters gestellt werden, nicht geliefert werden oder unvollständig sind.
Die Vertreter der kritischen IKT-Drittdienstleister sind verpflichtet, sich den Untersuchungen auf der Grundlage einer Entscheidung der federführenden Überwachungsbehörde zu unterziehen. In dem Beschluss sind Gegenstand und Zweck der Untersuchung, die nach Artikel 35 Absatz 6 vorgesehenen Zwangsgelder, die nach den Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 möglichen Rechtsbehelfe sowie das Recht, den Beschluss durch den Gerichtshof überprüfen zu lassen, anzugeben.
Rechtzeitig vor Beginn der Untersuchung unterrichtet die federführende Überwachungsbehörde die für diejenigen Finanzunternehmen, die die IKT-Dienstleistungen dieses kritischen IKT-Drittdienstleisters nutzen, zuständigen Behörden über die geplante Untersuchung sowie die Identität der bevollmächtigten Personen.
Die federführende Überwachungsbehörde übermittelt dem JON alle gemäß Unterabsatz 1 mitgeteilten Informationen.
Relevant recitals
Erwägungsgrund 89 Rights of critical ICT third-party service providers
Aufgrund der erheblichen Auswirkungen, die mit der Einstufung als kritischer IKT-Drittdienstleister verbunden sind, sollte mit dieser Verordnung sichergestellt werden, dass die Rechte kritischer IKT-Drittdienstleister während der Umsetzung des Überwachungsrahmens gewahrt werden. Bevor sie als kritisch eingestuft werden, sollten diese Dienstleister beispielsweise berechtigt sein, der federführenden Überwachungsbehörde eine mit Gründen versehene Erklärung vorzulegen, die alle für die Beurteilung ihrer Einstufung relevanten Informationen enthält. Da die federführende Überwachungsbehörde befugt sein sollte, Empfehlungen zu IKT-Risiken und diesbezüglich geeigneten Abhilfemaßnahmen herauszugeben, was auch die Befugnis einschließt, bestimmte vertragliche Vereinbarungen, die letztlich die Stabilität des Finanzunternehmens oder des Finanzsystems beeinträchtigen, abzulehnen, sollte kritischen IKT-Drittdienstleistern ebenfalls die Möglichkeit eingeräumt werden, vor der Fertigstellung dieser Empfehlungen darzulegen, wie sich die darin aufgezeigten Lösungen voraussichtlich auf Kunden auswirken werden, bei denen es sich um nicht in den Geltungsbereich dieser Verordnung fallende Unternehmen handelt, sowie Lösungen zur Risikominderung aufzuzeigen. Kritische IKT-Drittdienstleister, die den Empfehlungen nicht zustimmen, sollten eine begründete Erklärung über ihre Absicht, die Empfehlung nicht zu billigen, abgeben. Wird eine solche begründete Erklärung nicht abgegeben oder als unzureichend erachtet, sollte die federführende Überwachungsbehörde eine Mitteilung veröffentlichen, in der die strittige Angelegenheit kurz dargelegt wird.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
kritischer IKT-Drittdienstleister
(En. critical ICT third-party service provider)
Definition
IKT-Drittdienstleister
(En. ICT third-party service provider)
Definition
IKT-Dienstleistungen
(En. ICT services)
Definition
federführende Überwachungsbehörde
(En. Lead Overseer)