Source: OJ L 333, 27.12.2022, p. 1–79Current language: FR
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Article 38 Enquêtes générales
Summary What does Article 38 of the DORA regulation say?
This article sits within the Oversight Framework for critical ICT third-party service providers and sets out the Lead Overseer's powers to conduct general investigations into those providers.
It builds directly on Article 35, which establishes the Lead Overseer's broader powers, and works in conjunction with Article 40, which governs the joint examination teams that assist in carrying out these investigations.
The article details a broad toolkit of investigatory powers available to the Lead Overseer, covering access to records, summoning representatives, interviewing third parties, and requesting communications data.
It also establishes procedural safeguards, including the requirement for written authorisation and advance notification to relevant competent authorities before an investigation begins.
Important points:
- The Lead Overseer has the power to conduct investigations into critical ICT third-party service providers, including examining records, summoning representatives, interviewing third parties, and requesting telephone and data traffic records.
- Critical ICT third-party service providers are required to submit to investigations ordered by a Lead Overseer decision, with periodic penalty payments applicable for non-compliance or incomplete responses.
- The Lead Overseer is required to inform the competent authorities of relevant financial entities and the Joint Oversight Network of the envisaged investigation before it begins.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Afin d’exercer les fonctions qui lui incombent en vertu du présent règlement, le superviseur principal, assisté de l’équipe d’examen conjoint visée à l’article 40, paragraphe 1, peut, si nécessaire, mener des enquêtes auprès des prestataires tiers critiques de services TIC.
Le superviseur principal a le pouvoir:
d’examiner les dossiers, données, procédures et tout autre document pertinent pour l’exécution de ses tâches, quel qu’en soit le support;
de prendre ou d’obtenir des copies certifiées conformes ou de prélever des extraits de ces dossiers, données, procédures documentées et tout autre document;
de convoquer les représentants du prestataire tiers critique de services TIC et de leur demander de fournir oralement ou par écrit des explications sur des faits ou des documents en rapport avec l’objet et le but de l’enquête, et d’enregistrer leurs réponses;
d’interroger toute autre personne physique ou morale qui accepte de l’être aux fins de recueillir des informations concernant l’objet d’une enquête;
de demander les enregistrements des échanges téléphoniques et de données.
Les agents et autres personnes mandatés par le superviseur principal pour mener les enquêtes visées au paragraphe 1 exercent leurs pouvoirs sur présentation d’un mandat écrit qui indique l’objet et le but de l’enquête.
Ce mandat indique également les astreintes prévues à l’article 35, paragraphe 6, lorsque les dossiers, données, procédures documentées ou autres documents requis, ou les réponses aux questions posées aux représentants du prestataire tiers de services TIC ne sont pas fournis ou sont incomplets.
Les représentants des prestataires tiers critiques de services TIC sont tenus de se soumettre aux enquêtes sur la base d’une décision du superviseur principal. La décision indique l’objet et le but de l’enquête, les astreintes prévues à l’article 35, paragraphe 6, les voies de recours existantes en vertu des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010, ainsi que le droit de recours qui peut être ouvert devant la Cour de justice contre la décision.
En temps utile avant le début de l’enquête, le superviseur principal informe les autorités compétentes des entités financières qui utilisent les services TIC de ce prestataire tiers critique de services TIC de l’enquête envisagée et de l’identité des personnes mandatées.
Le superviseur principal communique au réseau de supervision commun toutes les informations transmises en application du premier alinéa.
Relevant recitals
Considérant 89 Rights of critical ICT third-party service providers
En raison de l’incidence considérable de la désignation comme prestataire tiers critique, le présent règlement devrait veiller au respect des droits des prestataires tiers critiques de services TIC tout au long de la mise en œuvre du cadre de supervision. Avant d’être désignés comme critiques, ces prestataires devraient, par exemple, avoir le droit de présenter au superviseur principal une déclaration motivée contenant toute information pertinente aux fins de l’évaluation relative à leur désignation. Étant donné que le superviseur principal devrait être habilité à soumettre des recommandations sur le risque lié aux TIC et les mesures correctives appropriées, qui incluent le pouvoir de s’opposer à certains accords contractuels susceptibles d’affecter à terme la stabilité de l’entité financière ou du système financier, les prestataires tiers critiques de services TIC devraient également avoir la possibilité, avant la finalisation de ces recommandations, de fournir des explications en ce qui concerne l’incidence attendue des solutions, envisagées dans les recommandations, sur les clients qui sont des entités ne relevant pas du champ d’application du présent règlement et de formuler des solutions pour atténuer les risques. Les prestataires tiers critiques de services TIC qui ne sont pas d’accord avec les recommandations devraient présenter une déclaration motivée de leur intention de ne pas suivre la recommandation. Lorsque cette déclaration motivée fait défaut ou est jugée insuffisante, le superviseur principal devrait émettre une communication au public dans laquelle il décrit brièvement la non-conformité.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
services TIC
(En. ICT services)
Definition
prestataire tiers critique de services TIC
(En. critical ICT third-party service provider)
Definition
superviseur principal
(En. Lead Overseer)
Definition
risque lié aux TIC
(En. ICT risk)
Definition
prestataire tiers de services TIC
(En. ICT third-party service provider)