Art. 59 Änderungen der Verordnung (EG) Nr. 1060/2009 | DORA regulation | DORA

This article is an amending provision, meaning it does not introduce standalone rules but instead integrates DORA's requirements into the existing Credit Rating Agencies Regulation (Regulation (EC) No 1060/2009).

It does two things: it updates the organisational requirements for credit rating agencies to explicitly include ICT system management in line with DORA, and it updates the list of infringements to reflect that failure to comply with those ICT requirements constitutes a breach.

Important points:

Credit rating agencies must manage ICT systems in accordance with DORA, alongside their existing administrative, control, and risk assessment obligations.
Failure to meet these ICT management requirements is explicitly classified as an infringement under the Credit Rating Agencies Regulation.
This article connects DORA to the Credit Rating Agencies Regulation, ensuring that credit rating agencies fall within DORA's broader ICT compliance framework.

Die Verordnung (EG) Nr. 1060/2009 wird wie folgt geändert:

Anhang I Abschnitt A Nummer 4 Unterabsatz 1 erhält folgende Fassung:
„Eine Ratingagentur verfügt über eine solide Verwaltung und Rechnungslegung, interne Kontrollmechanismen, effiziente Verfahren für die Risikobewertung sowie wirksame Kontroll- und Sicherheitsmechanismen für den Betrieb von IKT-Systemen gemäß der Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates(⁴⁰).
Anhang III Nummer 12 erhält folgende Fassung:
„Die Ratingagentur verstößt gegen Artikel 6 Absatz 2 in Verbindung mit Anhang I Abschnitt A Nummer 4, wenn sie über keine solide Verwaltung und Rechnungslegung, keine internen Kontrollmechanismen, keine effizienten Verfahren für die Risikobewertung oder keine wirksamen Kontroll- und Sicherheitsmechanismen für den Betrieb von IKT-Systemen gemäß der Verordnung (EU) 2022/2554 verfügt oder wenn sie keine Entscheidungsprozesse oder keine Organisationsstruktur nach Maßgabe jener Nummer schafft oder unterhält.“