Source: OJ L 333, 27.12.2022, p. 1–79Current language: SV
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Artikel 37 Begäran om information
Summary What does Article 37 of the DORA regulation say?
This article sits within the Oversight Framework and details the information-gathering powers of the Lead Overseer over critical ICT third-party service providers.
It establishes two distinct mechanisms through which the Lead Overseer can compel the provision of information: a simple request (which is voluntary in nature) and a formal decision (which is binding and carries penalties for non-compliance).
The article carefully sets out what each type of request must contain, and makes clear that responsibility for the accuracy and completeness of any information supplied rests with the critical ICT third-party service provider, even if lawyers submit it on their behalf.
It also connects back to Article 35, as the periodic penalty payments referenced for non-compliance are those established there.
Important points:
- The Lead Overseer has two routes to obtain information from critical ICT third-party service providers: a simple request (voluntary, but any response must not be incorrect or misleading) or a binding decision (which carries the risk of periodic penalty payments for non-compliance or late delivery).
- Critical ICT third-party service providers remain fully responsible for any information supplied, regardless of who physically submits it.
- The Lead Overseer is required to transmit a copy of any formal decision to supply information to the relevant competent authorities and to the Joint Oversight Network without delay.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Den ledande tillsynsmyndigheten får genom en enkel begäran eller genom ett beslut kräva att de kritiska tredjepartsleverantörerna av IKT-tjänster tillhandahåller all information som är nödvändig för att den ledande tillsynsmyndigheten ska kunna utföra sina uppgifter enligt denna förordning, inbegripet alla relevanta affärshandlingar och operativa dokument, avtal, strategier, dokumentation, rapporter från IKT-säkerhetsgranskningar, IKT-relaterade incidentrapporter samt all information som rör parter till vilka den kritiska tredjepartsleverantören av IKT-tjänster har utkontrakterat operativa funktioner eller verksamheter.
När den ledande tillsynsmyndigheten skickar en enkel begäran om information enligt punkt 1 ska den
hänvisa till denna artikel som rättslig grund för begäran,
ange syftet med begäran,
specificera vilka uppgifter som begärs,
ange en tidsfrist inom vilken uppgifterna ska lämnas,
underrätta företrädaren för den kritiska tredjepartsleverantör av IKT-tjänster av vilken uppgifterna begärs om att den inte är skyldig att lämna informationen, men att den information som lämnas vid ett frivilligt svar på begäran inte får vara oriktig eller vilseledande.
När den ledande tillsynsmyndigheten begär uppgifter genom ett beslut enligt punkt 1 ska den
hänvisa till denna artikel som rättslig grund för begäran,
ange syftet med begäran,
specificera vilka uppgifter som begärs,
ange en tidsfrist inom vilken uppgifterna ska lämnas,
ange de viten som föreskrivs i artikel 35.6 om den begärda informationen är ofullständig eller om informationen inte tillhandahålls inom den tidsfrist som anges i led d i den här punkten,
informera om rätten att överklaga beslutet till de europeiska tillsynsmyndigheternas överklagandenämnd och att få beslutet prövat av Europeiska unionens domstol (domstolen) i enlighet med artiklarna 60 och 61 i förordning (EU) nr 1093/2010, (EU) nr 1094/2010 och (EU) nr 1095/2010.
Företrädarna för de kritiska tredjepartsleverantörerna av IKT-tjänster ska tillhandahålla den begärda informationen. I behörig ordning befullmäktigade advokater får lämna de begärda uppgifterna på sina huvudmäns vägnar. Den kritiska tredjepartsleverantören av IKT-tjänster förblir ansvarig fullt ut om de lämnade uppgifterna är ofullständiga, oriktiga eller vilseledande.
Den ledande tillsynsmyndigheten ska utan dröjsmål översända en kopia av beslutet om tillhandahållande av information till de behöriga myndigheterna för de finansiella entiteter som använder berörd kritisk tredjepartsleverantörs IKT-tjänster och till det gemensamma tillsynsnätverket.
Relevant recitals
Skäl 84 Communication with critical ICT third-party service providers
För att underlätta kommunikationen med den ledande tillsynsmyndigheten och säkerställa lämplig representation bör kritiska tredjepartsleverantörer av IKT-tjänster som ingår i en koncern utse en juridisk person till sin samordningspunkt.
Skäl 89 Rights of critical ICT third-party service providers
På grund av den betydande inverkan som klassificeringen som kritisk har, bör denna förordning säkerställa att rättigheterna för kritiska tredjepartsleverantörer av IKT-tjänster respekteras inom hela genomförandet av tillsynsramen. Innan sådana leverantörer klassificeras som kritiska bör de t.ex. ha rätt att till den ledande tillsynsmyndigheten lämna in ett motiverat utlåtande med all information som är relevant för den bedömning som rör klassificeringen. Eftersom den ledande tillsynsmyndigheten bör ha befogenhet att lämna rekommendationer om IKT-riskfrågor och lämpliga åtgärder för hantering av dessa, vilket inbegriper befogenheten att motsätta sig vissa avtalsarrangemang som i slutändan påverkar stabiliteten i den finansiella entiteten eller det finansiella systemet, bör kritiska tredjepartsleverantörer av IKT-tjänster också, innan de rekommendationerna färdigställs, ges möjlighet att lämna förklaringar om vilka effekter de föreslagna lösningarna i rekommendationerna förväntas ha på kunder som är entiteter som faller utanför denna förordnings tillämpningsområde samt utarbeta lösningar för att minska riskerna. Kritiska tredjepartsleverantörer av IKT-tjänster som invänder mot rekommendationerna bör lämna en motiverad förklaring gällande deras avsikt att inte godta rekommendationen. Om en sådan motiverad förklaring inte lämnas eller där den bedöms vara otillräcklig bör den ledande tillsynsmyndigheten utfärda ett offentligt meddelande med en kortfattad beskrivning av den bristande efterlevnaden.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
ledande tillsynsmyndighet
(En. Lead Overseer)
Definition
IKT-tjänster
(En. ICT services)
Definition
tredjepartsleverantör av IKT-tjänster
(En. ICT third-party service provider)
Definition
koncern
(En. group)