Source: OJ L 333, 27.12.2022, p. 1–79Current language: SV
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Artikel 40 Fortlöpande tillsyn
Vid tillsynsverksamhet, särskilt allmänna utredningar eller inspektioner ska den ledande tillsynsmyndigheten bistås av en gemensam undersökningsgrupp som har inrättats för varje kritisk tredjepartsleverantör av IKT-tjänster.
Den gemensamma undersökningsgrupp som avses i punkt 1 ska bestå av personal från
de europeiska tillsynsmyndigheterna,
de relevanta behöriga myndigheter som utövar tillsyn över de finansiella entiteter till vilka den kritiska tredjepartsleverantören av IKT-tjänster tillhandahåller IKT-tjänster,
den nationella behöriga myndighet som avses i artikel 32.4 e, på frivillig basis,
en nationell behörig myndighet från den medlemsstat där den kritiska tredjepartsleverantören av IKT-tjänster är etablerad, på frivillig basis.
Medlemmar i den gemensamma undersökningsgruppen ska ha sakkunskap om IKT-frågor och om operativa risker. Den gemensamma undersökningsgruppen ska samordnas av en utsedd anställd vid den ledande tillsynsmyndigheten (den ledande tillsynsmyndighetens samordnare).
Inom tre månader efter slutförandet av en utredning eller inspektion ska den ledande tillsynsmyndigheten, efter samråd med tillsynsforumet, anta rekommendationer som ska riktas till den kritiska tredjepartsleverantören av IKT-tjänster enligt de befogenheter som avses i artikel 35.
De rekommendationer som avses i punkt 3 ska omedelbart meddelas den kritiska tredjepartsleverantören av IKT-tjänster och de behöriga myndigheterna för de finansiella entiteter till vilka den tillhandahåller IKT-tjänster.
För att genomföra tillsynsverksamheten får den ledande tillsynsmyndigheten ta hänsyn till relevanta tredjepartscertifieringar och interna eller externa IKT-revisionsrapporter som den kritiska tredjepartsleverantören av IKT-tjänster har gjort tillgängliga.
Relevant recitals
Skäl 89 Rights of critical ICT third-party service providers
På grund av den betydande inverkan som klassificeringen som kritisk har, bör denna förordning säkerställa att rättigheterna för kritiska tredjepartsleverantörer av IKT-tjänster respekteras inom hela genomförandet av tillsynsramen. Innan sådana leverantörer klassificeras som kritiska bör de t.ex. ha rätt att till den ledande tillsynsmyndigheten lämna in ett motiverat utlåtande med all information som är relevant för den bedömning som rör klassificeringen. Eftersom den ledande tillsynsmyndigheten bör ha befogenhet att lämna rekommendationer om IKT-riskfrågor och lämpliga åtgärder för hantering av dessa, vilket inbegriper befogenheten att motsätta sig vissa avtalsarrangemang som i slutändan påverkar stabiliteten i den finansiella entiteten eller det finansiella systemet, bör kritiska tredjepartsleverantörer av IKT-tjänster också, innan de rekommendationerna färdigställs, ges möjlighet att lämna förklaringar om vilka effekter de föreslagna lösningarna i rekommendationerna förväntas ha på kunder som är entiteter som faller utanför denna förordnings tillämpningsområde samt utarbeta lösningar för att minska riskerna. Kritiska tredjepartsleverantörer av IKT-tjänster som invänder mot rekommendationerna bör lämna en motiverad förklaring gällande deras avsikt att inte godta rekommendationen. Om en sådan motiverad förklaring inte lämnas eller där den bedöms vara otillräcklig bör den ledande tillsynsmyndigheten utfärda ett offentligt meddelande med en kortfattad beskrivning av den bristande efterlevnaden.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.