Artikel 39 Inspektionen · Verordnung (EU) 2022/2554 des Europäischen Parlaments und des Rates vom 14. Dezember 2022 über die digitale operationale Resilienz im Finanzsektor und zur Änderung der Verordnungen (EG) Nr. 1060/2009, (EU) Nr. 648/2012, (EU) Nr. 600/2014, (EU) Nr. 909/2014 und (EU) 2016/1011 (Text von Bedeutung für den EWR) (DORA)
(1) Die federführende Überwachungsbehörde kann zur Wahrnehmung ihrer Aufgaben nach dieser Verordnung mit Unterstützung der in Artikel 40 Absatz 1 genannten gemeinsamen Untersuchungsteams sämtliche Geschäftsräume, Grundstücke oder Gebäude des IKT-Drittdienstleisters, wie Hauptverwaltungen, Betriebszentren und sekundäre Räumlichkeiten, betreten und dort alle erforderlichen Vor-Ort-Inspektionen durchführen sowie außerhalb dieser Räumlichkeiten Inspektionen durchführen.
(2) Die Bediensteten und sonstige Personen, die von der federführenden Überwachungsbehörde zur Durchführung einer Vor-Ort-Inspektion ermächtigt wurden, sind befugt,
- a. diese Geschäftsräume, Grundstücke oder Gebäude zu betreten; und
- b. diese Geschäftsräume, Bücher oder Aufzeichnungen für die Dauer der Inspektion und in dem für die Inspektion erforderlichen Umfang zu versiegeln.
(3) Die federführende Überwachungsbehörde unterrichtet die für diejenigen Finanzunternehmen, die diesen IKT-Drittdienstleister in Anspruch nehmen, zuständigen Behörden rechtzeitig vor der Inspektion.
(4) Die Inspektionen erstrecken sich auf das gesamte Spektrum einschlägiger IKT-Systeme, -Netzwerke, -Geräte, -Informationen und -Daten, die für die Erbringung von IKT-Dienstleistungen für Finanzunternehmen verwendet werden oder dazu beitragen.
(5) Die federführende Überwachungsbehörde unterrichtet die kritischen IKT-Drittdienstleister vor jeder geplanten Vor-Ort-Inspektion mit angemessenem Vorlauf, es sei denn, eine solche Unterrichtung ist aufgrund einer Not- oder Krisensituation nicht möglich oder würde Umstände herbeiführen, unter denen die Inspektion oder das Audit nicht mehr wirksam wären.
(6) Der kritische IKT-Drittdienstleister unterzieht sich den durch Beschluss der federführenden Überwachungsbehörde angeordneten Vor-Ort-Inspektionen. In dem Beschluss sind Gegenstand, Zweck und Datum des Beginns der Inspektion, die nach Artikel 35 Absatz 6 vorgesehenen Zwangsgelder, die nach den Verordnungen (EU) Nr. 1093/2010, (EU) Nr. 1094/2010 und (EU) Nr. 1095/2010 möglichen Rechtsbehelfe sowie das Recht, den Beschluss durch den Gerichtshof überprüfen zu lassen, anzugeben.
(7) Gelangen die Bediensteten und sonstige von der federführenden Überwachungsbehörde bevollmächtigte Personen zu dem Schluss, dass ein kritischer IKT-Drittdienstleister sich einer gemäß diesem Artikel angeordneten Inspektion widersetzt, unterrichtet die federführende Überwachungsbehörde den kritischen IKT-Drittdienstleister über die Folgen einer solchen Widersetzung, einschließlich der Möglichkeit der für die betreffenden Finanzunternehmen zuständigen Behörden, Finanzunternehmen zu verpflichten, die mit diesem kritischen IKT-Drittdienstleister geschlossenen vertraglichen Vereinbarungen zu kündigen.