Art. 58 Überprüfungsklausel | DORA regulation | DORA

This is a review and evaluation article, placing obligations squarely on the Commission to assess how well key elements of the regulation are working in practice.

It sets out multiple review mandates across different timelines, covering areas such as the designation criteria for critical ICT third-party service providers, the voluntary nature of significant cyber threat notifications, the oversight of third-country providers, and whether certain entities — such as those using automated sales systems or payment system operators — should be brought within the regulation's scope.

It also tasks the Commission with reviewing whether statutory auditors and audit firms should face strengthened digital operational resilience requirements.

The article connects directly to several substantive articles of the regulation, notably Articles 19, 31, and 35, by placing those provisions under future scrutiny.

Important points:

The Commission is required to carry out a review and submit a report to the European Parliament and the Council by 17 January 2028, covering designation criteria for critical ICT third-party service providers, voluntary cyber threat notification, third-country oversight effectiveness, and the functioning of the JON.
The Commission is required to submit a separate report by 17 January 2026 on whether statutory auditors and audit firms should be subject to strengthened digital operational resilience requirements, either through inclusion in this regulation or amendments to Directive 2006/43/EC.
The Commission is required to assess the cyber resilience of payment systems and the appropriateness of extending this regulation's scope to payment system operators, with a report due no later than 17 July 2023 as part of the review of Directive (EU) 2015/2366.

1. Bis zum 17. Januar 2028 führt die Kommission nach Konsultation der ESA und des ESRB, je nach Sachlage, eine Überprüfung durch und legt dem Europäischen Parlament und dem Rat einen Bericht vor, gegebenenfalls zusammen mit einem Gesetzgebungsvorschlag. Die Überprüfung muss sich mindestens auf Folgendes erstrecken:
  1. die Kriterien für die Benennung kritischer IKT-Drittdienstleister gemäß Artikel 31 Absatz 2;
  2. die Freiwilligkeit der Meldung erheblicher Cyberbedrohungen gemäß Artikel 19;
  3. die Regelung gemäß Artikel 31 Absatz 12 und die Befugnisse der federführenden Überwachungsbehörde gemäß Artikel 35 Absatz 1 Buchstabe d Ziffer iv erster Gedankenstrich, um die Wirksamkeit dieser Bestimmungen im Hinblick auf die Gewährleistung einer wirksamen Überwachung kritischer IKT-Drittdienstleister mit Sitz in einem Drittland und die Notwendigkeit der Gründung eines Tochterunternehmens in der Union zu bewerten.
    Für die Zwecke von Unterabsatz 1 dieses Buchstabens umfasst die Überprüfung eine Analyse der Regelung gemäß Artikel 31 Absatz 12, einschließlich hinsichtlich der Bedingungen für den Zugang von Finanzunternehmen der Union zu Dienstleistungen aus Drittländern und der Verfügbarkeit dieser Dienstleistungen auf dem Unionsmarkt, und berücksichtigt weitere Entwicklungen auf den Märkten für die unter diese Verordnung fallenden Dienstleistungen, die von Finanzunternehmen und Finanzaufsichtsbehörden bei der Anwendung dieser Regelung bzw. der damit verbundenen Beaufsichtigung gewonnenen praktischen Erfahrungen sowie alle einschlägigen regulatorischen und aufsichtlichen Entwicklungen auf internationaler Ebene.
  4. die Angemessenheit der Einbeziehung derjenigen in Artikel 2 Absatz 3 Buchstabe e genannten Finanzunternehmen in den Geltungsbereich dieser Verordnung, die automatisierte Vertriebssysteme nutzen, unter Berücksichtigung künftiger Marktentwicklungen im Zusammenhang mit der Nutzung solcher Systeme;
  5. die Funktionsweise und Wirksamkeit des JON bei der Förderung der Kohärenz der Überwachung und der Effizienz des Informationsaustauschs innerhalb des Überwachungsrahmens.
1. Im Zusammenhang mit der Überprüfung der Richtlinie (EU) 2015/2366 bewertet die Kommission, ob die Resilienz von Zahlungssystemen und Zahlungsabwicklungstätigkeiten gegenüber Cyberangriffen erhöht werden muss und ob es angemessen ist, den Geltungsbereich dieser Verordnung auf Betreiber von Zahlungssystemen und an Zahlungsabwicklungstätigkeiten beteiligte Stellen auszuweiten. Die Kommission legt unter Berücksichtigung des Ergebnisses dieser Bewertung dem Europäischen Parlament und dem Rat im Rahmen der Überprüfung der Richtlinie (EU) 2015/2366 bis spätestens 17. Juli 2023 einen Bericht vor.
2. Auf der Grundlage dieses Überprüfungsberichts und nach Konsultation der ESA, der EZB und des ESRB kann die Kommission gegebenenfalls als Teil des Gesetzgebungsvorschlags, den sie gemäß Artikel 108 Unterabsatz 2 der Richtlinie (EU) 2015/2366 annehmen kann, einen Vorschlag unterbreiten, mit dem sichergestellt wird, dass alle Betreiber von Zahlungssystemen und alle an Zahlungsabwicklungstätigkeiten beteiligte Stellen einer angemessenen Überwachung unterliegen, wobei der bestehenden Überwachung durch die Zentralbank Rechnung zu tragen ist.
1. Bis zum 17. Januar 2026 führt die Kommission nach Konsultation der ESA und des Ausschusses der Europäischen Aufsichtsstellen für Abschlussprüfer eine Überprüfung durch und legt — gegebenenfalls zusammen mit einem Gesetzgebungsvorschlag — dem Europäischen Parlament und dem Rat einen Bericht darüber vor, ob strengere Anforderungen an Abschlussprüfer und Prüfungsgesellschaften in Bezug auf die digitale operationale Resilienz angemessen sind, indem Abschlussprüfer und Prüfungsgesellschaften in den Geltungsbereich der vorliegenden Verordnung aufgenommen werden oder die Richtlinie 2006/43/EG des Europäischen Parlaments und des Rates(³⁹) geändert wird.