Source: OJ L 333, 27.12.2022, p. 1–79Current language: DE
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Artikel 39 Inspektionen
Summary What does Article 39 of the DORA regulation say?
This article sets out the on-site inspection powers of the Lead Overseer in relation to critical ICT third-party service providers.
It sits within the broader oversight framework established by Chapter V and works closely alongside Article 38 (general investigations) and Article 40 (joint examination teams), giving the Lead Overseer the practical tools to physically inspect a provider's premises.
The article covers the mechanics of how inspections are initiated, conducted, and enforced, including what happens when a provider refuses to cooperate.
Important points:
- The Lead Overseer has the authority to enter, inspect, and even seal the premises, books, or records of critical ICT third-party service providers, with inspections covering the full range of ICT systems and data used in providing services to financial entities.
- Reasonable notice must be given before a planned inspection, except where an emergency or crisis situation arises, or where giving notice would undermine the effectiveness of the inspection.
- Critical ICT third-party service providers that oppose an inspection face serious consequences, including the possibility that competent authorities may require financial entities to terminate their contractual arrangements with that provider.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Die federführende Überwachungsbehörde kann zur Wahrnehmung ihrer Aufgaben nach dieser Verordnung mit Unterstützung der in Artikel 40 Absatz 1 genannten gemeinsamen Untersuchungsteams sämtliche Geschäftsräume, Grundstücke oder Gebäude des IKT-Drittdienstleisters, wie Hauptverwaltungen, Betriebszentren und sekundäre Räumlichkeiten, betreten und dort alle erforderlichen Vor-Ort-Inspektionen durchführen sowie außerhalb dieser Räumlichkeiten Inspektionen durchführen.
Für die Ausübung der in Unterabsatz 1 genannten Befugnisse konsultiert die federführende Überwachungsbehörde das JON.
Die Bediensteten und sonstige Personen, die von der federführenden Überwachungsbehörde zur Durchführung einer Vor-Ort-Inspektion ermächtigt wurden, sind befugt,
diese Geschäftsräume, Grundstücke oder Gebäude zu betreten; und
diese Geschäftsräume, Bücher oder Aufzeichnungen für die Dauer der Inspektion und in dem für die Inspektion erforderlichen Umfang zu versiegeln.
Die Bediensteten und sonstige von der federführenden Überwachungsbehörde ermächtigten Personen üben ihre Befugnisse unter Vorlage einer schriftlichen Ermächtigung aus, in der Gegenstand und Zweck der Inspektion sowie die in Artikel 35 Absatz 6 vorgesehenen Zwangsgelder angegeben sind, die verhängt werden, wenn sich die Vertreter der betreffenden IKT-Drittdienstleister der Inspektion nicht unterziehen.
Die federführende Überwachungsbehörde unterrichtet die für diejenigen Finanzunternehmen, die diesen IKT-Drittdienstleister in Anspruch nehmen, zuständigen Behörden rechtzeitig vor der Inspektion.
Die Inspektionen erstrecken sich auf das gesamte Spektrum einschlägiger IKT-Systeme, -Netzwerke, -Geräte, -Informationen und -Daten, die für die Erbringung von IKT-Dienstleistungen für Finanzunternehmen verwendet werden oder dazu beitragen.
Die federführende Überwachungsbehörde unterrichtet die kritischen IKT-Drittdienstleister vor jeder geplanten Vor-Ort-Inspektion mit angemessenem Vorlauf, es sei denn, eine solche Unterrichtung ist aufgrund einer Not- oder Krisensituation nicht möglich oder würde Umstände herbeiführen, unter denen die Inspektion oder das Audit nicht mehr wirksam wären.
Der kritische IKT-Drittdienstleister unterzieht sich den durch Beschluss der federführenden Überwachungsbehörde angeordneten Vor-Ort-Inspektionen. In dem Beschluss sind Gegenstand, Zweck und Datum des Beginns der Inspektion, die nach Artikel 35 Absatz 6 vorgesehenen Zwangsgelder, die nach den Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 möglichen Rechtsbehelfe sowie das Recht, den Beschluss durch den Gerichtshof überprüfen zu lassen, anzugeben.
Gelangen die Bediensteten und sonstige von der federführenden Überwachungsbehörde bevollmächtigte Personen zu dem Schluss, dass ein kritischer IKT-Drittdienstleister sich einer gemäß diesem Artikel angeordneten Inspektion widersetzt, unterrichtet die federführende Überwachungsbehörde den kritischen IKT-Drittdienstleister über die Folgen einer solchen Widersetzung, einschließlich der Möglichkeit der für die betreffenden Finanzunternehmen zuständigen Behörden, Finanzunternehmen zu verpflichten, die mit diesem kritischen IKT-Drittdienstleister geschlossenen vertraglichen Vereinbarungen zu kündigen.
Relevant recitals
Erwägungsgrund 89 Rights of critical ICT third-party service providers
Aufgrund der erheblichen Auswirkungen, die mit der Einstufung als kritischer IKT-Drittdienstleister verbunden sind, sollte mit dieser Verordnung sichergestellt werden, dass die Rechte kritischer IKT-Drittdienstleister während der Umsetzung des Überwachungsrahmens gewahrt werden. Bevor sie als kritisch eingestuft werden, sollten diese Dienstleister beispielsweise berechtigt sein, der federführenden Überwachungsbehörde eine mit Gründen versehene Erklärung vorzulegen, die alle für die Beurteilung ihrer Einstufung relevanten Informationen enthält. Da die federführende Überwachungsbehörde befugt sein sollte, Empfehlungen zu IKT-Risiken und diesbezüglich geeigneten Abhilfemaßnahmen herauszugeben, was auch die Befugnis einschließt, bestimmte vertragliche Vereinbarungen, die letztlich die Stabilität des Finanzunternehmens oder des Finanzsystems beeinträchtigen, abzulehnen, sollte kritischen IKT-Drittdienstleistern ebenfalls die Möglichkeit eingeräumt werden, vor der Fertigstellung dieser Empfehlungen darzulegen, wie sich die darin aufgezeigten Lösungen voraussichtlich auf Kunden auswirken werden, bei denen es sich um nicht in den Geltungsbereich dieser Verordnung fallende Unternehmen handelt, sowie Lösungen zur Risikominderung aufzuzeigen. Kritische IKT-Drittdienstleister, die den Empfehlungen nicht zustimmen, sollten eine begründete Erklärung über ihre Absicht, die Empfehlung nicht zu billigen, abgeben. Wird eine solche begründete Erklärung nicht abgegeben oder als unzureichend erachtet, sollte die federführende Überwachungsbehörde eine Mitteilung veröffentlichen, in der die strittige Angelegenheit kurz dargelegt wird.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
kritischer IKT-Drittdienstleister
(En. critical ICT third-party service provider)
Definition
IKT-Drittdienstleister
(En. ICT third-party service provider)
Definition
IKT-Dienstleistungen
(En. ICT services)
Definition
federführende Überwachungsbehörde
(En. Lead Overseer)