Art. 6 Bewertung der in den Empfehlungen der federführenden Überwachungsbehörde dargelegten Risiken durch die zuständigen Behörden | RTS on harmonisation for oversight conduct | DORA

This article sits at the intersection of two layers of oversight: the Lead Overseer's supervision of critical ICT third-party service providers, and competent authorities' supervision of the financial entities that use them.

It establishes a duty for competent authorities to assess how the measures taken by critical ICT third-party service providers — following Lead Overseer recommendations — actually impact the financial entities under their supervision.

The article outlines what factors must inform that assessment, and creates a feedback loop whereby competent authorities must share their findings with the Lead Overseer upon request.

Important points:

Competent authorities are required to assess the downstream impact on financial entities of measures taken by critical ICT third-party service providers in response to Lead Overseer recommendations.
Competent authorities must factor in the Lead Overseer's own compliance assessment of the critical ICT third-party service provider, the views of other consulted competent authorities, and the adequacy of corrective measures implemented by the financial entities themselves.
Competent authorities are required to share the results of this assessment with the Lead Overseer upon request, and may request relevant information from financial entities to carry it out.

1. Im Rahmen der Beaufsichtigung von Finanzunternehmen bewertet die zuständige Behörde die Auswirkungen der vom kritischen IKT-Drittdienstleister auf der Grundlage der Empfehlungen der federführenden Überwachungsbehörde ergriffenen Maßnahmen auf die Finanzunternehmen entsprechend dem Grundsatz der Verhältnismäßigkeit.
1. Bei der Durchführung der in Absatz 1 genannten Bewertung berücksichtigt die zuständige Behörde alle folgenden Elemente:
  1. die Angemessenheit und Kohärenz der von den Finanzunternehmen umgesetzten Korrektur- und Abhilfemaßnahmen, um die in den Empfehlungen ermittelten Risiken zu mindern,
  2. die von der federführenden Überwachungsbehörde vorgenommene Bewertung über die Einhaltung der im Bericht enthaltenen Maßnahmen und Schritte durch den kritischen IKT-Drittdienstleister, sofern sich dies auf die Exposition der in ihren Zuständigkeitsbereich fallenden Finanzunternehmen gegenüber den in den Empfehlungen ermittelten Risiken auswirkt,
  3. die Stellungnahmen aller anderen zuständigen Behörden, die gemäß Artikel 42 Absatz 5 der Verordnung (EU) 2022/2554 konsultiert wurden,
  4. ob die federführende Überwachungsbehörde die vom kritischen IKT-Drittdienstleister umgesetzten Maßnahmen und Abhilfemaßnahmen als angemessen erachtet hat, um die Exposition der in ihren Zuständigkeitsbereich fallenden Finanzunternehmen gegenüber den in den Empfehlungen ermittelten Risiken zu mindern.
1. Auf Anfrage der federführenden Überwachungsbehörde legt die zuständige Behörde die Ergebnisse der Bewertung nach Absatz 1 innerhalb einer angemessenen Frist vor. Bei der Anforderung der Ergebnisse dieser Bewertung berücksichtigt die federführende Überwachungsbehörde den Grundsatz der Verhältnismäßigkeit und das Ausmaß der in den Empfehlungen dargelegten Risiken, einschließlich der grenzüberschreitenden Auswirkungen dieser Risiken, wenn sie sich auf Finanzunternehmen auswirken, die in mehr als einem Mitgliedstaat tätig sind.
1. Die zuständige Behörde fordert gegebenenfalls die Finanzunternehmen auf, alle Informationen bereitzustellen, die für die Durchführung der in Absatz 1 genannten Bewertung erforderlich sind.