Art. 6 Behöriga myndigheters bedömning av de risker som identifieras i den ledande tillsynsmyndighetens rekommendationer | RTS on harmonisation for oversight conduct | DORA

This article sits at the intersection of two layers of oversight: the Lead Overseer's supervision of critical ICT third-party service providers, and competent authorities' supervision of the financial entities that use them.

It establishes a duty for competent authorities to assess how the measures taken by critical ICT third-party service providers — following Lead Overseer recommendations — actually impact the financial entities under their supervision.

The article outlines what factors must inform that assessment, and creates a feedback loop whereby competent authorities must share their findings with the Lead Overseer upon request.

Important points:

Competent authorities are required to assess the downstream impact on financial entities of measures taken by critical ICT third-party service providers in response to Lead Overseer recommendations.
Competent authorities must factor in the Lead Overseer's own compliance assessment of the critical ICT third-party service provider, the views of other consulted competent authorities, and the adequacy of corrective measures implemented by the financial entities themselves.
Competent authorities are required to share the results of this assessment with the Lead Overseer upon request, and may request relevant information from financial entities to carry it out.

1. Den behöriga myndigheten ska i enlighet med proportionalitetsprincipen och som ett led i sin tillsyn över finansiella entiteter bedöma effekterna på finansiella entiteter av de åtgärder som den kritiska tredjepartsleverantören av IKT-tjänster har vidtagit med anledning av den ledande tillsynsmyndighetens rekommendationer.
1. Den behöriga myndigheten ska i den bedömning som avses i punkt 1 ta hänsyn till följande:
  1. Om de korrigerande och avhjälpande åtgärder som finansiella entiteter genomfört för att minska de risker som identifieras i rekommendationerna är tillräckliga och konsekventa.
  2. Den ledande tillsynsmyndighetens bedömning av om den kritiska tredjepartsleverantören av IKT-tjänster har rättat sig efter de åtgärder och insatser som ingår i rapporten i fall där detta påverkar exponeringen för de risker som identifieras i rekommendationerna för finansiella entiteter inom deras ansvarsområde.
  3. Synpunkter från andra behöriga myndigheter till följd av samråd i enlighet med artikel 42.5 i förordning (EU) 2022/2554.
  4. Om den ledande tillsynsmyndigheten har ansett att de åtgärder och avhjälpande åtgärder som vidtagits av den kritiska tredjepartsleverantören av IKT-tjänster är tillräckliga för att minska exponeringen för de risker som identifieras i rekommendationerna för finansiella entiteter inom deras ansvarsområde.
1. Den behöriga myndigheten ska på den ledande tillsynsmyndighetens begäran och inom rimlig tid överlämna resultaten av den bedömning som avses i punkt 1. När den ledande tillsynsmyndigheten begär att få tillgång till resultaten av denna bedömning ska den beakta proportionalitetsprincipen och omfattningen av de risker som identifieras i rekommendationerna, inbegripet de gränsöverskridande effekterna av dessa risker när de påverkar finansiella entiteter som är verksamma i mer än en medlemsstat.
1. Den behöriga myndigheten ska i relevanta fall begära att de finansiella entiteterna lämnar all information som krävs för att utföra den bedömning som avses i punkt 1.