Beta

Source: OJ L 333, 27.12.2022, p. 1–79

Current language: DE

Artikel 35 Befugnisse der federführenden Überwachungsbehörde

    1. Die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; hat zur Wahrnehmung der in diesem Abschnitt dargelegten Aufgaben in Bezug auf die kritischen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; die Befugnis,

      1. alle einschlägigen Informationen und Unterlagen gemäß Artikel 37 anzufordern;

      2. allgemeine Untersuchungen und Inspektionen gemäß den Artikeln 38 bzw. 39 durchzuführen;

      3. nach Abschluss der Überwachungstätigkeiten Berichte anzufordern, in denen die ergriffenen Maßnahmen oder die Abhilfemaßnahmen aufgeführt sind, die von den kritischen IKT-Drittdienstleistern in Bezug auf die in Buchstabe d dieses Absatzes genannten Empfehlungen ergriffen wurden;

      4. Empfehlungen zu den in Artikel 33 Absatz 3 genannten Bereichen abzugeben, insbesondere in Bezug auf Folgendes:

        1. die Anwendung spezifischer IKT-Sicherheits- und Qualitätsanforderungen oder -verfahren, insbesondere in Bezug auf die Herausgabe von Patches, Aktualisierungen, Verschlüsselung und andere Sicherheitsmaßnahmen, die die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; für die Gewährleistung der IKT-Sicherheit von Diensten, die Finanzunternehmen bereitgestellt werden, für relevant hält;

        2. die Verwendung von Bedingungen — einschließlich ihrer technischen Umsetzung — zu denen die kritischen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; für Finanzunternehmen bereitstellen, die die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; für relevant hält, um die Entstehung punktueller Ausfälle oder deren Verstärkung zu verhindern oder um mögliche systemische Auswirkungen im Finanzsektor der Union im Falle eines IKT-Konzentrationsrisikosdie Exposition gegenüber einzelnen oder mehreren verbundenen kritischen IKT-Drittdienstleistern, die zu einer gewissen Abhängigkeit von diesen Dienstleistern führt, sodass die Nichtverfügbarkeit, der Ausfall oder sonstige Defizite dieser Dienstleister die Fähigkeit eines Finanzunternehmens gefährden könnten, kritische oder wichtige Funktionen zu erfüllen, oder bei dem Finanzunternehmen andere Formen nachteiliger Auswirkungen, einschließlich großer Verluste, herbeiführen oder die finanzielle Stabilität der Union insgesamt gefährden könnten; zu minimieren;

        3. jede geplante Unterauftragsvergabe, in deren Fall die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; aufgrund der Prüfung der gemäß den Artikeln 37 und 38 erlangten Informationen der Auffassung ist, dass eine weitere Unterauftragsvergabe, einschließlich Vereinbarungen über die Unterauftragsvergabe, die die kritischen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; mit anderen IKT-Drittdienstleistern oder mit IKT-Unterauftragnehmern mit Sitz in einem Drittland zu schließen beabsichtigen, Risiken für die Erbringung von Dienstleistungen durch das Finanzunternehmen oder Risiken für die Finanzstabilität mit sich bringen kann;

        4. von der Vereinbarung über weitere Unterauftragsvergabe abzusehen, wenn die folgenden kumulativen Bedingungen erfüllt sind:

          1. Bei dem ausgewählten Unterauftragnehmer handelt es sich um einen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; oder einen IKT-Unterauftragnehmer mit Sitz in einem Drittlandeinen IKT-Unterauftragnehmer, bei dem es sich um eine in einem Drittland niedergelassene juristische Person handelt, die mit einem IKT-Drittdienstleister oder einem IKT-Drittdienstleister mit Sitz in einem Drittland eine vertragliche Vereinbarung geschlossen hat;;

          2. die Unterauftragsvergabe betrifft eine kritische oder wichtige Funktioneine Funktion, deren Ausfall die finanzielle Leistungsfähigkeit eines Finanzunternehmens oder die Solidität oder Fortführung seiner Geschäftstätigkeiten und Dienstleistungen erheblich beeinträchtigen würde oder deren unterbrochene, fehlerhafte oder unterbliebene Leistung die fortdauernde Einhaltung der Zulassungsbedingungen und -verpflichtungen eines Finanzunternehmens oder seiner sonstigen Verpflichtungen nach dem anwendbaren Finanzdienstleistungsrecht erheblich beeinträchtigen würde; des Finanzunternehmens; und

          3. die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; ist der Ansicht, dass diese Unterauftragsvergabe ein eindeutiges und ernstes Risiko für die Finanzstabilität der Union oder für Finanzunternehmen darstellt, einschließlich der Fähigkeit von Finanzunternehmen, Aufsichtsanforderungen zu erfüllen.

        Für die Zwecke der Ziffer iv des vorliegenden Buchstabens übermitteln IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; der federführenden Überwachungsbehörde unter Verwendung der in Artikel 41 Absatz 1 Buchstabe b genannten Vorlage Informationen über die Unterauftragsvergabe.

    1. Bei der Ausübung der in diesem Artikel genannten Befugnisse geht die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; wie folgt vor:

      1. Sie sorgt für eine regelmäßige Abstimmung innerhalb des JON und bemüht sich gegebenenfalls insbesondere um kohärente Herangehensweisen für die Überwachung kritischer IKT-Drittdienstleistereinen IKT-Drittdienstleister, der gemäß Artikel 31 als kritisch eingestuft wurde;;

      2. sie trägt dem durch die Richtlinie (EU) 2022/2555 geschaffenen Rahmen gebührend Rechnung und konsultiert erforderlichenfalls die gemäß der genannten Richtlinie benannten oder eingerichteten zuständigen Behörden, um eine Überschneidung von technischen und organisatorischen Maßnahmen zu vermeiden, die gemäß der genannten Richtlinie auf kritische IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; angewandt werden könnten;

      3. sie ist bestrebt, das Risiko einer Störung der Dienste, die von kritischen IKT-Drittdienstleistern für Kunden bereitgestellt werden, bei denen es sich um nicht in den Anwendungsbereich dieser Verordnung fallende Unternehmen handelt, so weit wie möglich zu minimieren.

    1. Die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; konsultiert das Überwachungsforum, bevor sie die in Absatz 1 genannten Befugnisse ausübt.

    2. Bevor die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; Empfehlungen gemäß Absatz 1 Buchstabe d abgibt, bietet die sie dem IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; Gelegenheit, innerhalb von 30 Kalendertagen einschlägige Informationen bereitzustellen, mit denen die erwarteten Auswirkungen auf Kunden, bei denen es sich um nicht in den Anwendungsbereich dieser Verordnung fallende Unternehmen handelt, aufgezeigt werden und die gegebenenfalls Lösungen zur Risikominderung enthalten.

    1. Die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; unterrichtet das JON über das Ergebnis der Ausübung der in Absatz 1 Buchstaben a und b genannten Befugnisse. Sie übermittelt die in Absatz 1 Buchstabe c genannten Berichte unverzüglich dem JON und den Behörden, die für diejenigen Finanzunternehmen, die die IKT-Dienstleistungendigitale Dienste und Datendienste, die über IKT-Systeme einem oder mehreren internen oder externen Nutzern dauerhaft bereitgestellt werden, einschließlich Hardware als Dienstleistung und Hardwaredienstleistungen, wozu auch technische Unterstützung durch den Hardwareanbieter mittels Software- oder Firmware-Aktualisierungen gehört, mit Ausnahme herkömmlicher analoger Telefondienste; des betreffenden kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; in Anspruch nehmen, zuständig sind.

    1. Kritische IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; arbeiten nach Treu und Glauben mit der federführenden Überwachungsbehörde zusammen und unterstützen sie bei der Erfüllung ihrer Aufgaben.

    1. Bei vollständiger oder teilweiser Nichteinhaltung der Maßnahmen, die infolge der Ausübung der Befugnisse gemäß Absatz 1 Buchstaben a, b oder c zu ergreifen sind, und nach Ablauf einer Frist von mindestens 30 Kalendertagen ab dem Tag, an dem der kritische IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; eine Mitteilung über die betreffenden Maßnahmen erhalten hat, erlässt die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; eine Entscheidung über die Verhängung eines Zwangsgelds, um den kritischen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; zur Einhaltung dieser Maßnahmen zu zwingen.

    1. Das in Absatz 6 genannte Zwangsgeld wird täglich bis zur Einhaltung der Vorschriften und für höchstens sechs Monate nach Mitteilung der Entscheidung über die Verhängung eines Zwangsgelds an den kritischen IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; verhängt.

    1. Die Höhe des Zwangsgelds, berechnet ab dem in der Entscheidung über die Verhängung des Zwangsgelds genannten Zeitpunkt, beträgt bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes, den der kritische IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; im vorangegangenen Geschäftsjahr erzielt hat. Bei der Festsetzung der Höhe des Zwangsgelds berücksichtigt die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; in Bezug auf die Nichteinhaltung der in Absatz 6 genannten Maßnahmen folgende Kriterien:

      1. Schwere und Dauer der Nichteinhaltung;

      2. ob die Nichteinhaltung vorsätzlich oder fahrlässig begangen wurde;

      3. das Ausmaß der Zusammenarbeit des IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; mit der federführenden Überwachungsbehörde.

    2. Für die Zwecke des Unterabsatzes 1 führt die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; Konsultationen im Rahmen des JON durch, um einen konsistenten Ansatz sicherzustellen.

    1. Zwangsgelder sind administrativer Art und vollstreckbar. Die Zwangsvollstreckung erfolgt nach den geltenden Vorschriften des Zivilprozessrechts des Mitgliedstaats, in dessen Hoheitsgebiet Inspektionen und Zugang erfolgen. Die Gerichte des betreffenden Mitgliedstaats sind für Beschwerden im Zusammenhang mit vorschriftswidrigem Vollzug zuständig. Die Beträge der Zwangsgelder werden dem Gesamthaushaltsplan der Europäischen Union zugewiesen.

    1. Die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; veröffentlicht sämtliche verhängten Zwangsgelder, sofern dies die Stabilität der Finanzmärkte nicht ernsthaft gefährdet und den Beteiligten daraus kein unverhältnismäßiger Schaden erwächst.

    1. Die federführende Überwachungsbehördedie gemäß Artikel 31 Absatz 1 Buchstabe b dieser Verordnung benannte Europäische Aufsichtsbehörde; gibt den Vertretern des dem Verfahren unterliegenden kritischen IKT-Drittdienstleistersein Unternehmen, das IKT-Dienstleistungen bereitstellt; vor Verhängung eines Zwangsgeldes nach Absatz 6 Gelegenheit, zu den Feststellungen angehört zu werden, und stützt ihre Entscheidungen ausschließlich auf Feststellungen, zu denen sich der vom Verfahren betroffene kritische IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; äußern konnte.

    2. Die Verteidigungsrechte der vom Verfahren betroffenen Personen werden während des Verfahrens in vollem Umfang gewahrt. Der dem Verfahren unterworfene IKT-Drittdienstleisterein Unternehmen, das IKT-Dienstleistungen bereitstellt; hat, vorbehaltlich des berechtigten Interesses anderer Personen an der Wahrung ihrer Geschäftsgeheimnisse, ein Recht auf Akteneinsicht. Vom Recht auf Akteneinsicht ausgenommen sind vertrauliche Informationen sowie interne vorbereitende Unterlagen der federführenden Überwachungsbehörde.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod