Art. 35 DORA – Befugnisse der federführenden Überwachungsbehörde
(1) Die federführende Überwachungsbehörde hat zur Wahrnehmung der in diesem Abschnitt dargelegten Aufgaben in Bezug auf die kritischen IKT-Drittdienstleister die Befugnis,
a) alle einschlägigen Informationen und Unterlagen gemäß Artikel 37 anzufordern;
b) allgemeine Untersuchungen und Inspektionen gemäß den Artikeln 38 bzw. 39 durchzuführen;
c) nach Abschluss der Überwachungstätigkeiten Berichte anzufordern, in denen die ergriffenen Maßnahmen oder die Abhilfemaßnahmen aufgeführt sind, die von den kritischen IKT-Drittdienstleistern in Bezug auf die in Buchstabe d dieses Absatzes genannten Empfehlungen ergriffen wurden;
d) Empfehlungen zu den in Artikel 33 Absatz 3 genannten Bereichen abzugeben, insbesondere in Bezug auf Folgendes:
i) die Anwendung spezifischer IKT-Sicherheits- und Qualitätsanforderungen oder -verfahren, insbesondere in Bezug auf die Herausgabe von Patches, Aktualisierungen, Verschlüsselung und andere Sicherheitsmaßnahmen, die die federführende Überwachungsbehörde für die Gewährleistung der IKT-Sicherheit von Diensten, die Finanzunternehmen bereitgestellt werden, für relevant hält;
ii) die Verwendung von Bedingungen — einschließlich ihrer technischen Umsetzung — zu denen die kritischen IKT-Drittdienstleister IKT-Dienstleistungen für Finanzunternehmen bereitstellen, die die federführende Überwachungsbehörde für relevant hält, um die Entstehung punktueller Ausfälle oder deren Verstärkung zu verhindern oder um mögliche systemische Auswirkungen im Finanzsektor der Union im Falle eines IKT-Konzentrationsrisikos zu minimieren;
iii) jede geplante Unterauftragsvergabe, in deren Fall die federführende Überwachungsbehörde aufgrund der Prüfung der gemäß den Artikeln 37 und 38 erlangten Informationen der Auffassung ist, dass eine weitere Unterauftragsvergabe, einschließlich Vereinbarungen über die Unterauftragsvergabe, die die kritischen IKT-Drittdienstleister mit anderen IKT-Drittdienstleistern oder mit IKT-Unterauftragnehmern mit Sitz in einem Drittland zu schließen beabsichtigen, Risiken für die Erbringung von Dienstleistungen durch das Finanzunternehmen oder Risiken für die Finanzstabilität mit sich bringen kann;
iv) von der Vereinbarung über weitere Unterauftragsvergabe abzusehen, wenn die folgenden kumulativen Bedingungen erfüllt sind:
— Bei dem ausgewählten Unterauftragnehmer handelt es sich um einen IKT-Drittdienstleister oder einen IKT-Unterauftragnehmer mit Sitz in einem Drittland;
— die Unterauftragsvergabe betrifft eine kritische oder wichtige Funktion des Finanzunternehmens; und
— die federführende Überwachungsbehörde ist der Ansicht, dass diese Unterauftragsvergabe ein eindeutiges und ernstes Risiko für die Finanzstabilität der Union oder für Finanzunternehmen darstellt, einschließlich der Fähigkeit von Finanzunternehmen, Aufsichtsanforderungen zu erfüllen.
Für die Zwecke der Ziffer iv des vorliegenden Buchstabens übermitteln IKT-Drittdienstleister der federführenden Überwachungsbehörde unter Verwendung der in Artikel 41 Absatz 1 Buchstabe b genannten Vorlage Informationen über die Unterauftragsvergabe.
(2) Bei der Ausübung der in diesem Artikel genannten Befugnisse geht die federführende Überwachungsbehörde wie folgt vor:
a) Sie sorgt für eine regelmäßige Abstimmung innerhalb des JON und bemüht sich gegebenenfalls insbesondere um kohärente Herangehensweisen für die Überwachung kritischer IKT-Drittdienstleister;
b) sie trägt dem durch die Richtlinie (EU) 2022/2555 geschaffenen Rahmen gebührend Rechnung und konsultiert erforderlichenfalls die gemäß der genannten Richtlinie benannten oder eingerichteten zuständigen Behörden, um eine Überschneidung von technischen und organisatorischen Maßnahmen zu vermeiden, die gemäß der genannten Richtlinie auf kritische IKT-Drittdienstleister angewandt werden könnten;
c) sie ist bestrebt, das Risiko einer Störung der Dienste, die von kritischen IKT-Drittdienstleistern für Kunden bereitgestellt werden, bei denen es sich um nicht in den Anwendungsbereich dieser Verordnung fallende Unternehmen handelt, so weit wie möglich zu minimieren.
(3) Die federführende Überwachungsbehörde konsultiert das Überwachungsforum, bevor sie die in Absatz 1 genannten Befugnisse ausübt.
Bevor die federführende Überwachungsbehörde Empfehlungen gemäß Absatz 1 Buchstabe d abgibt, bietet die sie dem IKT-Drittdienstleister Gelegenheit, innerhalb von 30 Kalendertagen einschlägige Informationen bereitzustellen, mit denen die erwarteten Auswirkungen auf Kunden, bei denen es sich um nicht in den Anwendungsbereich dieser Verordnung fallende Unternehmen handelt, aufgezeigt werden und die gegebenenfalls Lösungen zur Risikominderung enthalten.
(4) Die federführende Überwachungsbehörde unterrichtet das JON über das Ergebnis der Ausübung der in Absatz 1 Buchstaben a und b genannten Befugnisse. Sie übermittelt die in Absatz 1 Buchstabe c genannten Berichte unverzüglich dem JON und den Behörden, die für diejenigen Finanzunternehmen, die die IKT-Dienstleistungen des betreffenden kritischen IKT-Drittdienstleisters in Anspruch nehmen, zuständig sind.
(5) Kritische IKT-Drittdienstleister arbeiten nach Treu und Glauben mit der federführenden Überwachungsbehörde zusammen und unterstützen sie bei der Erfüllung ihrer Aufgaben.
(6) Bei vollständiger oder teilweiser Nichteinhaltung der Maßnahmen, die infolge der Ausübung der Befugnisse gemäß Absatz 1 Buchstaben a, b oder c zu ergreifen sind, und nach Ablauf einer Frist von mindestens 30 Kalendertagen ab dem Tag, an dem der kritische IKT-Drittdienstleister eine Mitteilung über die betreffenden Maßnahmen erhalten hat, erlässt die federführende Überwachungsbehörde eine Entscheidung über die Verhängung eines Zwangsgelds, um den kritischen IKT-Drittdienstleister zur Einhaltung dieser Maßnahmen zu zwingen.
(7) Das in Absatz 6 genannte Zwangsgeld wird täglich bis zur Einhaltung der Vorschriften und für höchstens sechs Monate nach Mitteilung der Entscheidung über die Verhängung eines Zwangsgelds an den kritischen IKT-Drittdienstleister verhängt.
(8) Die Höhe des Zwangsgelds, berechnet ab dem in der Entscheidung über die Verhängung des Zwangsgelds genannten Zeitpunkt, beträgt bis zu 1 % des durchschnittlichen weltweiten Tagesumsatzes, den der kritische IKT-Drittdienstleister im vorangegangenen Geschäftsjahr erzielt hat. Bei der Festsetzung der Höhe des Zwangsgelds berücksichtigt die federführende Überwachungsbehörde in Bezug auf die Nichteinhaltung der in Absatz 6 genannten Maßnahmen folgende Kriterien:
a) Schwere und Dauer der Nichteinhaltung;
b) ob die Nichteinhaltung vorsätzlich oder fahrlässig begangen wurde;
c) das Ausmaß der Zusammenarbeit des IKT-Drittdienstleisters mit der federführenden Überwachungsbehörde.
Für die Zwecke des Unterabsatzes 1 führt die federführende Überwachungsbehörde Konsultationen im Rahmen des JON durch, um einen konsistenten Ansatz sicherzustellen.
(9) Zwangsgelder sind administrativer Art und vollstreckbar. Die Zwangsvollstreckung erfolgt nach den geltenden Vorschriften des Zivilprozessrechts des Mitgliedstaats, in dessen Hoheitsgebiet Inspektionen und Zugang erfolgen. Die Gerichte des betreffenden Mitgliedstaats sind für Beschwerden im Zusammenhang mit vorschriftswidrigem Vollzug zuständig. Die Beträge der Zwangsgelder werden dem Gesamthaushaltsplan der Europäischen Union zugewiesen.
(10) Die federführende Überwachungsbehörde veröffentlicht sämtliche verhängten Zwangsgelder, sofern dies die Stabilität der Finanzmärkte nicht ernsthaft gefährdet und den Beteiligten daraus kein unverhältnismäßiger Schaden erwächst.
(11) Die federführende Überwachungsbehörde gibt den Vertretern des dem Verfahren unterliegenden kritischen IKT-Drittdienstleisters vor Verhängung eines Zwangsgeldes nach Absatz 6 Gelegenheit, zu den Feststellungen angehört zu werden, und stützt ihre Entscheidungen ausschließlich auf Feststellungen, zu denen sich der vom Verfahren betroffene kritische IKT-Drittdienstleister äußern konnte.
Die Verteidigungsrechte der vom Verfahren betroffenen Personen werden während des Verfahrens in vollem Umfang gewahrt. Der dem Verfahren unterworfene IKT-Drittdienstleister hat, vorbehaltlich des berechtigten Interesses anderer Personen an der Wahrung ihrer Geschäftsgeheimnisse, ein Recht auf Akteneinsicht. Vom Recht auf Akteneinsicht ausgenommen sind vertrauliche Informationen sowie interne vorbereitende Unterlagen der federführenden Überwachungsbehörde.