Art. 6 Évaluation par les autorités compétentes des risques traités dans les recommandations du superviseur principal | RTS on harmonisation for oversight conduct | DORA

This article sits at the intersection of two layers of oversight: the Lead Overseer's supervision of critical ICT third-party service providers, and competent authorities' supervision of the financial entities that use them.

It establishes a duty for competent authorities to assess how the measures taken by critical ICT third-party service providers — following Lead Overseer recommendations — actually impact the financial entities under their supervision.

The article outlines what factors must inform that assessment, and creates a feedback loop whereby competent authorities must share their findings with the Lead Overseer upon request.

Important points:

Competent authorities are required to assess the downstream impact on financial entities of measures taken by critical ICT third-party service providers in response to Lead Overseer recommendations.
Competent authorities must factor in the Lead Overseer's own compliance assessment of the critical ICT third-party service provider, the views of other consulted competent authorities, and the adequacy of corrective measures implemented by the financial entities themselves.
Competent authorities are required to share the results of this assessment with the Lead Overseer upon request, and may request relevant information from financial entities to carry it out.

1. Dans le cadre de sa surveillance des entités financières, l’autorité compétente évalue l’incidence sur les entités financières des mesures prises par le prestataire tiers critique de services TIC sur la base des recommandations du superviseur principal conformément au principe de proportionnalité.
1. Lorsqu’elle procède à l’évaluation visée au paragraphe 1, l’autorité compétente tient compte de l’ensemble des éléments suivants:
  1. l’adéquation et la cohérence des mesures correctives mises en œuvre par les entités financières pour atténuer les risques recensés dans les recommandations;
  2. l’évaluation effectuée par le superviseur principal du respect, par le prestataire tiers critique de services TIC, des mesures et solutions figurant dans le rapport lorsque ce respect a une incidence sur l’exposition des entités financières relevant de la compétence de ce prestataire aux risques recensés dans les recommandations;
  3. l’avis de toute autre autorité compétente qui a été consultée conformément à l’article 42, paragraphe 5, du règlement (UE) 2022/2554;
  4. la question de savoir si le superviseur principal a considéré que les mesures et solutions mises en œuvre par le prestataire tiers critique de services TIC étaient adéquates pour atténuer l’exposition des entités financières relevant de la compétence de ce prestataire aux risques recensés dans les recommandations.
1. À la demande du superviseur principal, l’autorité compétente fournit dans un délai raisonnable les résultats de l’évaluation visée au paragraphe 1. Lorsqu’il demande les résultats de cette évaluation, le superviseur principal tient compte du principe de proportionnalité et de l’ampleur des risques associés aux recommandations, y compris les incidences transfrontières de ces risques lorsqu’ils ont une incidence sur des entités financières opérant dans plus d’un État membre.
1. Le cas échéant, l’autorité compétente demande aux entités financières de fournir toute information nécessaire à la réalisation de l’évaluation visée au paragraphe 1.