Source: OJ L 333, 27.12.2022, p. 1–79Current language: SV
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Artikel 36 Den ledande tillsynsmyndighetens utövande av befogenheter utanför unionen
Summary What does Article 36 of the DORA regulation say?
This article extends the reach of the Lead Overseer's oversight powers beyond the borders of the Union.
It builds directly on Article 35, which sets out the Lead Overseer's general powers over critical ICT third-party service providers, and on Article 31(12), which requires such providers established in third countries to set up a Union subsidiary.
Where that subsidiary-based interaction or Union-based oversight activity proves insufficient, Article 36 provides the mechanism for the Lead Overseer to conduct inspections and investigations on third-country premises.
This can only happen under a strict set of cumulative conditions, including the consent of the critical ICT third-party service provider and the absence of objection from the relevant third-country authority.
The article also requires EBA, ESMA, or EIOPA to put in place administrative cooperation arrangements with the relevant third-country authorities to facilitate this process, and sets out a fallback position for when third-country oversight activities cannot be carried out at all.
Important points:
- The Lead Overseer is empowered to conduct oversight activities on third-country premises of critical ICT third-party service providers, but only when all four cumulative conditions are met, including the provider's consent and no objection from the relevant third-country authority.
- EBA, ESMA, or EIOPA are required to conclude administrative cooperation arrangements with third-country authorities to enable these inspections, though such arrangements create no legal obligations on the Union or its Member States.
- Where third-country oversight cannot be carried out, the Lead Overseer must fall back on available facts and documents, and must document and factor the consequences of that inability into its recommendations under Article 35.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Om tillsynsmålen inte kan uppnås genom samverkan med det dotterföretag som har etablerats i enlighet med artikel 31.12 eller genom utövande av tillsynsverksamhet i lokaler som är belägna i unionen, får den ledande tillsynsmyndigheten utöva de befogenheter som anges i följande bestämmelser i alla lokaler som är belägna i ett tredjeland och som ägs eller på något sätt används av en kritisk tredjepartsleverantör av IKT-tjänster i syfte att tillhandahålla tjänster till finansiella entiteter i unionen i samband med dess affärsverksamhet, funktioner eller tjänster, inbegripet alla administrativa kontor, företagslokaler eller driftställen, anläggningar, mark, byggnader eller annan egendom:
I artikel 35.1 a.
I artikel 35.1 b, i enlighet med artikel 38.2 a, b och d, artikel 39.1 och 39.2 a.
De befogenheter som avses i första stycket får utövas om samtliga följande villkor är uppfyllda:
Den ledande tillsynsmyndigheten anser att en inspektion i ett tredjeland är nödvändig för att den fullt ut och på ett ändamålsenligt sätt ska kunna utföra sina uppgifter enligt denna förordning.
Inspektionen i ett tredjeland har ett direkt samband med tillhandahållandet av IKT-tjänster till finansiella entiteter i unionen.
Den berörda kritiska tredjepartsleverantören av IKT-tjänster samtycker till att en inspektion genomförs i ett tredjeland.
Den relevanta myndigheten i det berörda tredjelandet har underrättats officiellt av den ledande tillsynsmyndigheten och har inte gjort några invändningar mot detta.
Utan att det påverkar unionsinstitutionernas och medlemsstaternas befogenheter ska EBA, Esma eller Eiopa vid tillämpningen av punkt 1 ingå arrangemang för administrativt samarbete med den relevanta myndigheten i det tredjelandet för att göra det möjligt för den ledande tillsynsmyndigheten och den grupp som den har utsett för uppdraget i det berörda tredjelandet att på ett smidigt sätt genomföra inspektioner i det tredjelandet. Dessa samarbetsarrangemang får inte medföra några rättsliga skyldigheter för unionen och dess medlemsstater eller hindra medlemsstaterna och deras behöriga myndigheter från att ingå bilaterala eller multilaterala arrangemang med dessa tredjeländer och deras relevanta myndigheter.
I dessa samarbetsarrangemang ska åtminstone följande anges:
Förfarandena för samordning av den tillsynsverksamhet som genomförs enligt denna förordning och all motsvarande övervakning av IKT-tredjepartsrisker i den finansiella sektorn som utövas av den relevanta myndigheten i det berörda tredjelandet, inbegripet uppgifter för översändande av den sistnämndas samtycke så att den ledande tillsynsmyndigheten och dess utsedda grupp kan genomföra allmänna utredningar och inspektioner på plats enligt punkt 1 första stycket på det territorium som omfattas av dess jurisdiktion.
Mekanismen för översändande av relevant information mellan EBA, Esma eller Eiopa och den relevanta myndigheten i det berörda tredjelandet, särskilt i samband med information som den ledande tillsynsmyndigheten kan begära enligt artikel 37.
Mekanismerna för omedelbar anmälan till EBA, Esma eller Eiopa från den relevanta myndigheten i det berörda tredjelandet av fall där en tredjepartsleverantör av IKT-tjänster som är etablerad i ett tredjeland och har klassificerats som kritisk i enlighet med artikel 31.1 a anses ha åsidosatt de krav som den enligt det berörda tredjelandets tillämpliga rätt är skyldig att följa när den tillhandahåller tjänster till finansiella institut i det tredjelandet samt de avhjälpande åtgärder och sanktioner som tillämpas.
Regelbundet översändande av uppdateringar om utvecklingen på reglerings- eller tillsynsområdet när det gäller övervakningen av IKT-tredjepartsrisker för finansiella institut i det berörda tredjelandet.
Uppgifter som vid behov gör det möjligt för en företrädare för den relevanta myndigheten i det berörda tredjelandet att delta i de inspektioner som den ledande tillsynsmyndigheten och den utsedda gruppen genomför.
När den ledande tillsynsmyndigheten inte kan genomföra sådan tillsynsverksamhet utanför unionen som avses i punkterna 1 och 2, ska den ledande tillsynsmyndigheten
utöva sina befogenheter enligt artikel 35 på grundval av alla sakförhållanden som den känner till och dokument som den har tillgång till,
dokumentera och förklara eventuella konsekvenser av att den inte är i stånd att genomföra den planerade tillsynsverksamhet som avses i denna artikel.
De potentiella konsekvenser som avses i led b i denna punkt ska beaktas i den ledande tillsynsmyndighetens rekommendationer, som utfärdas enligt artikel 35.1 d.
Relevant recitals
Skäl 83 Oversight powers in third countries
Kritiska tredjepartsleverantörer av IKT-tjänster bör kunna tillhandahålla IKT-tjänster från vilken plats som helst i världen, och inte nödvändigtvis eller inte bara från lokaler som är belägna i unionen. Tillsynsverksamheten bör först genomföras i lokaler som är belägna i unionen och genom interaktion med entiteter som är belägna i unionen, inbegripet dotterbolag som inrättats av kritiska tredjepartsleverantörer av IKT-tjänster enligt denna förordning. Sådana åtgärder inom unionen kan dock vara otillräckliga för att den ledande tillsynsmyndigheten fullt ut och effektivt ska kunna utföra sina uppgifter enligt denna förordning. Den ledande tillsynsmyndigheten bör därför också kunna utöva sina relevanta tillsynsbefogenheter i tredjeländer. Utövandet av dessa befogenheter i tredjeländer bör göra det möjligt för den ledande tillsynsmyndigheten att undersöka de faciliteter från vilka IKT-tjänsterna eller teknisk supporttjänsterna faktiskt tillhandahålls eller förvaltas av den kritiska tredjepartsleverantören av IKT-tjänster och bör ge den ledande tillsynsmyndigheten en heltäckande och operativ förståelse av IKT-riskhanteringen hos den kritiska tredjepartsleverantören av IKT-tjänster. Möjligheten för den ledande tillsynsmyndigheten, i egenskap av unionsbyrå, att utöva befogenheter utanför unionens territorium bör vederbörligen avgränsas av relevanta villkor, särskilt samtycke från den berörda kritiska tredjepartsleverantören av IKT-tjänster. På samma sätt bör de berörda myndigheterna i tredjelandet informeras om, och inte ha invänt mot, utövandet av den ledande tillsynsmyndighetens verksamhet på tredjelandets eget territorium. För att säkerställa ett effektivt genomförande, och utan att det påverkar unionsinstitutionernas och medlemsstaternas respektive befogenheter, måste dock sådana befogenheter också vara fullt förankrade i ingåendet av avtal om administrativt samarbete med de relevanta myndigheterna i det berörda tredjelandet. Denna förordning bör därför göra det möjligt för de europeiska tillsynsmyndigheterna att ingå avtal om administrativt samarbete med relevanta myndigheter i tredjeländer, vilka inte på annat sätt bör skapa rättsliga skyldigheter för unionen och dess medlemsstater.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
kritisk tredjepartsleverantör av IKT-tjänster
(En. critical ICT third-party service provider)
Definition
IKT-risk
(En. ICT risk)
Definition
IKT-tredjepartsrisk
(En. ICT third-party risk)
Definition
ledande tillsynsmyndighet
(En. Lead Overseer)
Definition
tredjepartsleverantör av IKT-tjänster som är etablerad i ett tredjeland
(En. ICT third-party service provider established in a third country)
Definition
IKT-tjänster
(En. ICT services)
Definition
tredjepartsleverantör av IKT-tjänster
(En. ICT third-party service provider)
Definition
nätverks- och informationssystem
(En. network and information system)
Definition
dotterföretag
(En. subsidiary)
Definition
säkerhet i nätverks- och informationssystem
(En. security of network and information systems)