Source: OJ L 333, 27.12.2022, p. 1–79Current language: FR
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Article 40 Supervision continue
Summary What does Article 40 of the DORA regulation say?
This article is a procedural companion to the broader oversight framework established for critical ICT third-party service providers, sitting within the section that defines how the Lead Overseer carries out its oversight role in practice.
It establishes the structure and functioning of the joint examination team that supports the Lead Overseer during investigations and inspections, and sets out the process for issuing recommendations once those activities conclude.
The article describes who sits on these teams, their required expertise, how they are coordinated, and what happens with the findings after an investigation or inspection wraps up.
Important points:
- The Lead Overseer must establish a joint examination team for each critical ICT third-party service provider, drawing members from the ESAs and relevant competent authorities, with some national authorities participating on a voluntary basis.
- The Lead Overseer is required to adopt recommendations addressed to the critical ICT third-party service provider within 3 months of completing an investigation or inspection, after consulting the Oversight Forum.
- Those recommendations must be communicated to both the critical ICT third-party service provider and the competent authorities of the financial entities it serves.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Lorsqu’il mène des activités de supervision, en particulier des enquêtes générales ou des inspections, le superviseur principal est assisté par une équipe d’examen conjoint, constituée pour chaque prestataire tiers critique de services TIC.
L’équipe d’examen conjoint visée au paragraphe 1 se compose de membres du personnel:
des AES;
des autorités compétentes concernées qui assurent la surveillance des entités financières auxquelles le prestataire tiers critique de services TIC fournit des services TIC;
de l’autorité nationale compétente visée à l’article 32, paragraphe 4, point e), à titre volontaire;
d’une autorité nationale compétente de l’État membre dans lequel le prestataire tiers critique de services TIC est établi, à titre volontaire.
Les membres de l’équipe d’examen conjoint possèdent une expertise en matière de TIC et de risque opérationnel. L’équipe d’examen conjoint travaille sous la coordination d’un membre désigné du personnel du superviseur principal (ci-après dénommé «coordonnateur du superviseur principal»).
Dans les trois mois suivant la fin d’une enquête ou d’une inspection, le superviseur principal, après consultation du forum de supervision, adopte des recommandations qu’il adresse au prestataire tiers critique de services TIC en vertu des pouvoirs visés à l’article 35.
Les recommandations visées au paragraphe 3 sont immédiatement communiquées au prestataire tiers critique de services TIC et aux autorités compétentes des entités financières auxquelles il fournit des services TIC.
Aux fins de la réalisation des activités de supervision, le superviseur principal peut prendre en considération toute certification pertinente d’un tiers et tout rapport d’audit interne ou externe d’un prestataire tiers de services TIC mis à disposition par le prestataire tiers critique de services TIC.
Relevant recitals
Considérant 89 Rights of critical ICT third-party service providers
En raison de l’incidence considérable de la désignation comme prestataire tiers critique, le présent règlement devrait veiller au respect des droits des prestataires tiers critiques de services TIC tout au long de la mise en œuvre du cadre de supervision. Avant d’être désignés comme critiques, ces prestataires devraient, par exemple, avoir le droit de présenter au superviseur principal une déclaration motivée contenant toute information pertinente aux fins de l’évaluation relative à leur désignation. Étant donné que le superviseur principal devrait être habilité à soumettre des recommandations sur le risque lié aux TIC et les mesures correctives appropriées, qui incluent le pouvoir de s’opposer à certains accords contractuels susceptibles d’affecter à terme la stabilité de l’entité financière ou du système financier, les prestataires tiers critiques de services TIC devraient également avoir la possibilité, avant la finalisation de ces recommandations, de fournir des explications en ce qui concerne l’incidence attendue des solutions, envisagées dans les recommandations, sur les clients qui sont des entités ne relevant pas du champ d’application du présent règlement et de formuler des solutions pour atténuer les risques. Les prestataires tiers critiques de services TIC qui ne sont pas d’accord avec les recommandations devraient présenter une déclaration motivée de leur intention de ne pas suivre la recommandation. Lorsque cette déclaration motivée fait défaut ou est jugée insuffisante, le superviseur principal devrait émettre une communication au public dans laquelle il décrit brièvement la non-conformité.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
services TIC
(En. ICT services)
Definition
prestataire tiers critique de services TIC
(En. critical ICT third-party service provider)
Definition
superviseur principal
(En. Lead Overseer)
Definition
risque lié aux TIC
(En. ICT risk)
Definition
prestataire tiers de services TIC
(En. ICT third-party service provider)