Source: OJ L 333, 27.12.2022, p. 1–79Current language: FR
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Article 39 Inspections
Summary What does Article 39 of the DORA regulation say?
This article sets out the on-site inspection powers of the Lead Overseer in relation to critical ICT third-party service providers.
It sits within the broader oversight framework established by Chapter V and works closely alongside Article 38 (general investigations) and Article 40 (joint examination teams), giving the Lead Overseer the practical tools to physically inspect a provider's premises.
The article covers the mechanics of how inspections are initiated, conducted, and enforced, including what happens when a provider refuses to cooperate.
Important points:
- The Lead Overseer has the authority to enter, inspect, and even seal the premises, books, or records of critical ICT third-party service providers, with inspections covering the full range of ICT systems and data used in providing services to financial entities.
- Reasonable notice must be given before a planned inspection, except where an emergency or crisis situation arises, or where giving notice would undermine the effectiveness of the inspection.
- Critical ICT third-party service providers that oppose an inspection face serious consequences, including the possibility that competent authorities may require financial entities to terminate their contractual arrangements with that provider.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Afin d’exercer les fonctions qui lui incombent en vertu du présent règlement, le superviseur principal, assisté des équipes d’examen conjoint visées à l’article 40, paragraphe 1, peut pénétrer dans tout local professionnel, sur tout terrain ou sur toute propriété des prestataires tiers de services TIC, tels que les sièges sociaux, les centres d’exploitation et les locaux secondaires, et y effectuer toutes les inspections sur place nécessaires, ainsi que procéder à des inspections hors site.
Aux fins de l’exercice des pouvoirs visés au premier alinéa, le superviseur principal consulte le réseau de supervision commun.
Les agents et autres personnes mandatés par le superviseur principal pour effectuer une inspection sur place sont investis des pouvoirs suivants:
pénétrer dans ces locaux professionnels, sur ces terrains ou sur ces propriétés; et
sceller ces locaux professionnels, livres ou registres, pendant la durée de l’inspection et dans la mesure nécessaire à celle-ci.
Les agents et autres personnes mandatés par le superviseur principal exercent leurs pouvoirs sur présentation d’un mandat écrit précisant l’objet et le but de l’inspection et les astreintes prévues à l’article 35, paragraphe 6, lorsque les représentants des prestataires tiers critiques de services TIC concernés ne se soumettent pas à l’inspection.
En temps utile avant le début de l’inspection, le superviseur principal informe les autorités compétentes des entités financières utilisant ce prestataire tiers de services TIC.
Les inspections couvrent l’ensemble des systèmes, réseaux, dispositifs, informations et données de TIC pertinents utilisés pour la fourniture de services TIC aux entités financières ou contribuant à cette fourniture.
Avant toute inspection sur place prévue, le superviseur principal adresse un préavis raisonnable aux prestataires tiers critiques de services TIC, à moins que ce préavis ne soit pas possible en raison d’une situation d’urgence ou de crise, ou qu’il n’aboutisse à une situation dans laquelle l’inspection ou l’audit ne serait plus efficace.
Le prestataire tiers critique de services TIC se soumet aux inspections sur place ordonnées par décision du superviseur principal. La décision indique l’objet et le but de l’inspection, fixe la date à laquelle l’inspection commence et indique les astreintes prévues à l’article 35, paragraphe 6, les voies de recours existantes en vertu des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010, ainsi que le droit de recours qui peut être ouvert devant la Cour de justice contre la décision.
Lorsque les agents et les autres personnes mandatés par le superviseur principal constatent qu’un prestataire tiers critique de services TIC s’oppose à une inspection ordonnée en vertu du présent article, le superviseur principal informe le prestataire tiers critique de services TIC des conséquences de cette opposition, et notamment de la possibilité qu’ont les autorités compétentes d’exiger des entités financières concernées de résilier les accords contractuels conclus avec ce prestataire tiers critique de services TIC.
Relevant recitals
Considérant 89 Rights of critical ICT third-party service providers
En raison de l’incidence considérable de la désignation comme prestataire tiers critique, le présent règlement devrait veiller au respect des droits des prestataires tiers critiques de services TIC tout au long de la mise en œuvre du cadre de supervision. Avant d’être désignés comme critiques, ces prestataires devraient, par exemple, avoir le droit de présenter au superviseur principal une déclaration motivée contenant toute information pertinente aux fins de l’évaluation relative à leur désignation. Étant donné que le superviseur principal devrait être habilité à soumettre des recommandations sur le risque lié aux TIC et les mesures correctives appropriées, qui incluent le pouvoir de s’opposer à certains accords contractuels susceptibles d’affecter à terme la stabilité de l’entité financière ou du système financier, les prestataires tiers critiques de services TIC devraient également avoir la possibilité, avant la finalisation de ces recommandations, de fournir des explications en ce qui concerne l’incidence attendue des solutions, envisagées dans les recommandations, sur les clients qui sont des entités ne relevant pas du champ d’application du présent règlement et de formuler des solutions pour atténuer les risques. Les prestataires tiers critiques de services TIC qui ne sont pas d’accord avec les recommandations devraient présenter une déclaration motivée de leur intention de ne pas suivre la recommandation. Lorsque cette déclaration motivée fait défaut ou est jugée insuffisante, le superviseur principal devrait émettre une communication au public dans laquelle il décrit brièvement la non-conformité.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
services TIC
(En. ICT services)
Definition
prestataire tiers critique de services TIC
(En. critical ICT third-party service provider)
Definition
superviseur principal
(En. Lead Overseer)
Definition
risque lié aux TIC
(En. ICT risk)
Definition
prestataire tiers de services TIC
(En. ICT third-party service provider)