Source: OJ L 333, 27.12.2022, p. 1–79Current language: SV
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Artikel 40 Fortlöpande tillsyn
Summary What does Article 40 of the DORA regulation say?
This article is a procedural companion to the broader oversight framework established for critical ICT third-party service providers, sitting within the section that defines how the Lead Overseer carries out its oversight role in practice.
It establishes the structure and functioning of the joint examination team that supports the Lead Overseer during investigations and inspections, and sets out the process for issuing recommendations once those activities conclude.
The article describes who sits on these teams, their required expertise, how they are coordinated, and what happens with the findings after an investigation or inspection wraps up.
Important points:
- The Lead Overseer must establish a joint examination team for each critical ICT third-party service provider, drawing members from the ESAs and relevant competent authorities, with some national authorities participating on a voluntary basis.
- The Lead Overseer is required to adopt recommendations addressed to the critical ICT third-party service provider within 3 months of completing an investigation or inspection, after consulting the Oversight Forum.
- Those recommendations must be communicated to both the critical ICT third-party service provider and the competent authorities of the financial entities it serves.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Vid tillsynsverksamhet, särskilt allmänna utredningar eller inspektioner ska den ledande tillsynsmyndigheten bistås av en gemensam undersökningsgrupp som har inrättats för varje kritisk tredjepartsleverantör av IKT-tjänster.
Den gemensamma undersökningsgrupp som avses i punkt 1 ska bestå av personal från
de europeiska tillsynsmyndigheterna,
de relevanta behöriga myndigheter som utövar tillsyn över de finansiella entiteter till vilka den kritiska tredjepartsleverantören av IKT-tjänster tillhandahåller IKT-tjänster,
den nationella behöriga myndighet som avses i artikel 32.4 e, på frivillig basis,
en nationell behörig myndighet från den medlemsstat där den kritiska tredjepartsleverantören av IKT-tjänster är etablerad, på frivillig basis.
Medlemmar i den gemensamma undersökningsgruppen ska ha sakkunskap om IKT-frågor och om operativa risker. Den gemensamma undersökningsgruppen ska samordnas av en utsedd anställd vid den ledande tillsynsmyndigheten (den ledande tillsynsmyndighetens samordnare).
Inom tre månader efter slutförandet av en utredning eller inspektion ska den ledande tillsynsmyndigheten, efter samråd med tillsynsforumet, anta rekommendationer som ska riktas till den kritiska tredjepartsleverantören av IKT-tjänster enligt de befogenheter som avses i artikel 35.
De rekommendationer som avses i punkt 3 ska omedelbart meddelas den kritiska tredjepartsleverantören av IKT-tjänster och de behöriga myndigheterna för de finansiella entiteter till vilka den tillhandahåller IKT-tjänster.
För att genomföra tillsynsverksamheten får den ledande tillsynsmyndigheten ta hänsyn till relevanta tredjepartscertifieringar och interna eller externa IKT-revisionsrapporter som den kritiska tredjepartsleverantören av IKT-tjänster har gjort tillgängliga.
Relevant recitals
Skäl 89 Rights of critical ICT third-party service providers
På grund av den betydande inverkan som klassificeringen som kritisk har, bör denna förordning säkerställa att rättigheterna för kritiska tredjepartsleverantörer av IKT-tjänster respekteras inom hela genomförandet av tillsynsramen. Innan sådana leverantörer klassificeras som kritiska bör de t.ex. ha rätt att till den ledande tillsynsmyndigheten lämna in ett motiverat utlåtande med all information som är relevant för den bedömning som rör klassificeringen. Eftersom den ledande tillsynsmyndigheten bör ha befogenhet att lämna rekommendationer om IKT-riskfrågor och lämpliga åtgärder för hantering av dessa, vilket inbegriper befogenheten att motsätta sig vissa avtalsarrangemang som i slutändan påverkar stabiliteten i den finansiella entiteten eller det finansiella systemet, bör kritiska tredjepartsleverantörer av IKT-tjänster också, innan de rekommendationerna färdigställs, ges möjlighet att lämna förklaringar om vilka effekter de föreslagna lösningarna i rekommendationerna förväntas ha på kunder som är entiteter som faller utanför denna förordnings tillämpningsområde samt utarbeta lösningar för att minska riskerna. Kritiska tredjepartsleverantörer av IKT-tjänster som invänder mot rekommendationerna bör lämna en motiverad förklaring gällande deras avsikt att inte godta rekommendationen. Om en sådan motiverad förklaring inte lämnas eller där den bedöms vara otillräcklig bör den ledande tillsynsmyndigheten utfärda ett offentligt meddelande med en kortfattad beskrivning av den bristande efterlevnaden.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
kritisk tredjepartsleverantör av IKT-tjänster
(En. critical ICT third-party service provider)
Definition
ledande tillsynsmyndighet
(En. Lead Overseer)
Definition
IKT-tjänster
(En. ICT services)
Definition
tredjepartsleverantör av IKT-tjänster
(En. ICT third-party service provider)