Art. 58 Översynsklausul | DORA regulation | DORA

This is a review and evaluation article, placing obligations squarely on the Commission to assess how well key elements of the regulation are working in practice.

It sets out multiple review mandates across different timelines, covering areas such as the designation criteria for critical ICT third-party service providers, the voluntary nature of significant cyber threat notifications, the oversight of third-country providers, and whether certain entities — such as those using automated sales systems or payment system operators — should be brought within the regulation's scope.

It also tasks the Commission with reviewing whether statutory auditors and audit firms should face strengthened digital operational resilience requirements.

The article connects directly to several substantive articles of the regulation, notably Articles 19, 31, and 35, by placing those provisions under future scrutiny.

Important points:

The Commission is required to carry out a review and submit a report to the European Parliament and the Council by 17 January 2028, covering designation criteria for critical ICT third-party service providers, voluntary cyber threat notification, third-country oversight effectiveness, and the functioning of the JON.
The Commission is required to submit a separate report by 17 January 2026 on whether statutory auditors and audit firms should be subject to strengthened digital operational resilience requirements, either through inclusion in this regulation or amendments to Directive 2006/43/EC.
The Commission is required to assess the cyber resilience of payment systems and the appropriateness of extending this regulation's scope to payment system operators, with a report due no later than 17 July 2023 as part of the review of Directive (EU) 2015/2366.

1. Senast den 17 januari 2028 ska kommissionen, efter samråd med de europeiska tillsynsmyndigheterna och ESRB, när så är lämpligt, genomföra en översyn och överlämna en rapport till Europaparlamentet och rådet, när så är lämpligt åtföljd av ett lagstiftningsförslag. Översynen ska minst omfatta följande:
  1. Kriterierna för att klassificera tredjepartsleverantörer av IKT-tjänster som kritiska i enlighet med artikel 31.2.
  2. Den frivilliga karaktären hos den anmälan av betydande cyberhot som avses i artikel 19.
  3. Den ordning som avses i artikel 31.12 och de befogenheter för den ledande tillsynsmyndigheten som föreskrivs i artikel 35.1 d iv första strecksatsen, i syfte att utvärdera om dessa bestämmelser är ändamålsenliga för att säkerställa en effektiv tillsyn av kritiska tredjepartsleverantörer av IKT-tjänster som är etablerade i ett tredjeland och om det är nödvändigt att etablera ett dotterföretag i unionen.
    Vid tillämpning av första stycket i detta led ska översynen omfatta en analys av den ordning som avses i artikel 31.12, inbegripet vad gäller åtkomst för finansiella entiteter i unionen till tjänster från tredjeländer och tillgång till sådana tjänster på marknaden i unionen, och den ska ta hänsyn till den fortsatta utvecklingen på marknaderna för de tjänster som omfattas av denna förordning, finansiella entiteters och de finansiella tillsynsmyndigheternas praktiska erfarenheter av tillämpningen respektive tillsynen av den ordningen samt all relevant utveckling inom reglering och tillsyn som äger rum på internationell nivå.
  4. Lämpligheten i att i tillämpningsområdet för denna förordning inkludera sådana finansiella entiteter som avses i artikel 2.3 e som använder automatiska försäljningssystem, mot bakgrund av den framtida marknadsutvecklingen när det gäller användningen av sådana system.
  5. Det gemensamma tillsynsnätverkets funktion och ändamålsenlighet när det gäller att stödja konsekvens i tillsynen och effektivitet i informationsutbytet inom tillsynsramen.
1. I samband med översynen av direktiv (EU) 2015/2366 ska kommissionen bedöma behovet av ökad cyberresiliens i betalningssystem och betalningshantering och lämpligheten i att utvidga tillämpningsområdet för denna förordning till att även omfatta betalningssystemsoperatörer och enheter som deltar i betalningshantering. Mot bakgrund av denna bedömning ska kommissionen, som en del av översynen av direktiv (EU) 2015/2366, lägga fram en rapport för Europaparlamentet och rådet senast den 17 juli 2023.
2. Baserat på den översynsrapporten och efter samråd med de europeiska tillsynsmyndigheterna, ECB och ESRB får kommissionen, när så är lämpligt och som en del av det lagstiftningsförslag som den får anta i enlighet med artikel 108 andra stycket i direktiv (EU) 2015/2366, lägga fram ett förslag för att säkerställa att alla betalningssystemsoperatörer och entiteter som deltar i betalningshantering är föremål för lämplig tillsyn, samtidigt som hänsyn tas till den befintliga tillsynen av centralbanken.
1. Senast den 17 januari 2026 ska kommissionen, efter samråd med de europeiska tillsynsmyndigheterna och kommittén för europeiska tillsynsorgan för revisorer, genomföra en översyn och överlämna en rapport till Europaparlamentet och rådet, vid behov åtföljd av ett lagstiftningsförslag, om huruvida det är lämpligt att stärka kraven för lagstadgade revisorer och revisionsföretag när det gäller digital operativ motståndskraft genom att inkludera lagstadgade revisorer och revisionsföretag i tillämpningsområdet för denna förordning eller genom att ändra Europaparlamentets och rådets direktiv 2006/43/EG(³⁹).