KOMMISSIONENS DELEGEREDE FORORDNING (EU) 2025/2180

af 12. september 2025

om supplerende regler til Europa-Parlamentets og Rådets forordning (EU) 2023/2631 for så vidt angår reguleringsmæssige tekniske standarder, der præciserer betingelserne for registrering af eksterne kontrollanter, kriterierne for vurdering af en sund og forsigtig ledelse af eksterne kontrollanter, hensigtsmæssigheden af de eksterne kontrollanters medarbejderes viden, erfaring og uddannelse og de betingelser, hvorpå eksterne kontrollanter kan outsource deres vurderingsaktiviteter

(EØS-relevant tekst)

EUROPA-KOMMISSIONEN HAR —

under henvisning til traktaten om Den Europæiske Unions funktionsmåde,

under henvisning til Europa-Parlamentets og Rådets forordning (EU) 2023/2631 af 22. november 2023 om europæiske grønne obligationer og valgfrie oplysninger om obligationer, der markedsføres som miljømæssigt bæredygtige, og om bæredygtighedsrelaterede obligationer (1), særlig artikel 23, stk. 6, tredje afsnit, artikel 27, stk. 2, tredje afsnit, artikel 28, stk. 3, tredje afsnit og artikel 33, stk. 7, tredje afsnit, og

ud fra følgende betragtninger:

(1)

Det er af afgørende betydning, at den øverste ledelse og bestyrelsesmedlemmerne i en ekstern kontrollant har et godt omdømme, for at sikre, at den eksterne kontrollant opfylder sine reguleringsmæssige forpligtelser. En vurdering af godt omdømme bør baseres på oplysninger om disse personers tidligere aktiviteter, herunder oplysninger om potentielle relevante straffedomme, tidligere forseelser, grov uagtsomhed, dårlig håndtering af interessekonflikter eller svækkelse af uafhængighed og objektivitet, og oplysninger om deres ærlighed, integritet og omdømme.

(2)

Eftersom den øverste ledelse og bestyrelsesmedlemmerne er ansvarlige for den eksterne kontrollants aktiviteter, bør de have tilstrækkelige færdigheder, faglige kvalifikationer og erfaring. Ved vurderingen af, om disse færdigheder, faglige kvalifikationer og erfaring er tilstrækkelige, bør der tages hensyn til curriculum vitae for alle medlemmer af den øverste ledelse og bestyrelsen, herunder ajourførte oplysninger om uddannelse, efter- og videreuddannelse og tidligere beskæftigelse. Vurderingen bør også tage hensyn til den overordnede sammensætning og mangfoldighed af den øverste ledelse og bestyrelsen og deres medlemmers kollektive færdigheder, faglige kvalifikationer og erfaring, alt efter hvad der er relevant for den eksterne kontrollants aktiviteter, og de risici, som den eksterne kontrollant er udsat for.

(3)

For at sikre kontinuiteten og regelmæssigheden af ekstern kontrol bør en ekstern kontrollant ansætte et passende antal analytikere, ansatte og personer, der er direkte involveret i vurderingsaktiviteter. I den forbindelse bør der tages hensyn til oplysninger om en ekstern kontrollants personaleordninger for analytikere, ansatte og personer, der er direkte involveret i vurderingsaktiviteter. Disse oplysninger bør omfatte antallet af faste og midlertidige kontrakter, sandsynlige fremtidige vurderingsaktiviteter og årsagerne til, at den eksterne kontrollant mener, at de analytiske ressourcer er tilstrækkelige.

(4)

For at sikre kvaliteten af ekstern kontrol bør analytikere, ansatte og andre personer, der er direkte involveret i vurderingsaktiviteter, have tilstrækkelig viden, erfaring og uddannelse. Vurderingen bør tage hensyn til disse personers uddannelse, efter- og videreuddannelse og tidligere beskæftigelse. Desuden bør eksterne kontrollanter indføre uddannelses- og udviklingsplaner for alle medarbejdere, der er direkte involveret i vurderingsaktiviteter.

(5)

For at sikre, at beslutningsstrukturerne giver mulighed for sund og forsigtig ledelse af den eksterne kontrollant, bør eksterne kontrollanter have corporate governance-ordninger, der præciserer organisationen, omfanget, formålet og funktionen af deres ledelsesorganer såsom bestyrelse, tilsynsorgan og relevante udvalg.

(6)

Opretholdelse af en gennemsigtig og effektiv organisationsstruktur er også et centralt element i sund og forsigtig ledelse. For at sikre gennemsigtighed og effektivitet i deres organisatoriske struktur bør eksterne kontrollanter have klare rapporteringslinjer, ansvarsområder og kommunikationskanaler, der tilskynder til ansvarlighed og beslutningstagning. Af samme årsag bør eksterne kontrollanter gennemføre og behørigt dokumentere passende politikker og procedurer for så vidt angår deres ledelsesstrukturer, interne kontroller, forretningskontinuitet, informationsbehandlingssystemer, registrering, administration og regnskab.

(7)

I betragtning af betydningen af interne kontrolfunktioner vedrørende sund og forsigtig ledelse af en ekstern kontrollant bør eksterne kontrollanter indføre en intern kontrolramme, der sikrer, at de personer, der har ansvar for at udføre denne funktion, har passende beføjelser, og at der er en klar adskillelse fra de forretningsområder, de fører tilsyn med.

(8)	For at sikre sund og forsigtig ledelse af overholdelsen af deres forpligtelser i henhold til forordning (EU) 2023/2361 bør eksterne kontrollanter sikre, at de politikker og procedurer, der er nødvendige for at overholde nævnte forordning, godkendes af deres bestyrelse.

(9)

En ekstern kontrollants ramme for håndtering af interessekonflikter bør indeholde en omfattende politik vedrørende interessekonflikter, der er godkendt af bestyrelsen, og en fortegnelse over interessekonflikter. Politikken vedrørende interessekonflikter bør indeholde risikostyringsprocedurer og -kontroller med henblik på at identificere, eliminere eller håndtere og på en gennemsigtig måde oplyse om faktiske eller potentielle interessekonflikter. Denne politik bør også identificere, hvilke interessekonflikter den eksterne kontrollant mener skal håndteres eller oplyses om på en gennemsigtig måde, og hvilke interessekonflikter der skal fjernes. Desuden bør denne politik sikre passende tilsyn med og styring af situationer, hvor faglig vurdering eller beslutningstagning kan blive kompromitteret.

(10)

Eksterne kontrollanter bør vurdere, om tredjepartstjenesteudbydere har kapacitet til at udføre vurderingsaktiviteter pålideligt og professionelt. I den forbindelse bør eksterne kontrollanter overveje, om tredjepartstjenesteudbyderens ekspertise og tilgængelighed er hensigtsmæssig i forhold til de outsourcede aktiviteter. Med henblik herpå bør eksterne kontrollanter tage hensyn til centrale elementer vedrørende tredjepartstjenesteudbyderen og outsourcingaftalen, såsom dennes forretningsmodel, personalets kvalifikationer, kontrolrammen, brugen af automatisering og teknologi i de outsourcede vurderingsaktiviteter og dens overholdelse af lovgivningen.

(11)

Eksterne kontrollanter bør sikre, at outsourcing af vurderingsaktiviteter ikke i væsentlig grad forringer kvaliteten af deres interne kontrol. I den forbindelse bør eksterne kontrollanter evaluere omfanget af deres afhængighed af tredjepartstjenesteudbyderen og bør overvåge og kontrollere aktiviteter, der håndterer de risici, der opstår som følge af outsourcingen, navnlig med hensyn til tredjelande. Eksterne kontrollanter bør anvende intern kontrol for at sikre, at der er indført passende ordninger med hensyn til kvaliteten af den tjeneste, der leveres af tredjepartstjenesteudbyderen. Eksterne kontrollanter bør indføre passende praksis med hensyn til tredjepartstjenesteudbyderes dokumentation og registrering. Dette bør sikre, at en ekstern kontrollant og Den Europæiske Værdipapir- og Markedstilsynsmyndighed (ESMA) har adgang til alle nødvendige oplysninger, og at outsourcing af vurderingsaktiviteter ikke hæmmer ESMA's mulighed for at føre tilsyn med den eksterne kontrollants overholdelse af forordning (EU) 2023/2631.

(12)	For at sikre et tilstrækkeligt tilsyn med outsourcede aktiviteter bør eksterne kontrollanter foretage regelmæssige vurderinger.

(13)

De reguleringsmæssige tekniske standarder, der skal vedtages på grundlag af de beføjelser, der er fastsat i artikel 23, stk. 6, tredje afsnit, artikel 27, stk. 2, tredje afsnit, artikel 28, stk. 3, tredje afsnit, og artikel 33, stk. 7, tredje afsnit, i forordning (EU) 2023/2631, bør samles i en enkelt delegeret forordning fra Kommissionen for at sikre, at alle bestemmelser om registrering af eksterne kontrollanter konsolideres i én forordning.

(14)

Oplysninger, der indgives til ESMA, kan indeholde oplysninger om identiteten af den øverste ledelse og bestyrelsesmedlemmerne i en ansøgende ekstern kontrollant samt analytikere, ansatte og andre personer, der er direkte involveret i vurderingsaktiviteter vedrørende deres egnethed. Sådanne oplysninger omfatter personoplysninger. I overensstemmelse med princippet om dataminimering, der er fastsat i artikel 4, stk. 1, litra c), i Europa-Parlamentets og Rådets forordning (EU) 2018/1725 (2), bør der kun anmodes om personoplysninger, der er nødvendige for at gøre det muligt for ESMA at vurdere, om den øverste ledelse, bestyrelsesmedlemmerne i en ansøgende ekstern kontrollant samt analytikere, ansatte og andre personer, der er direkte involveret i vurderingsaktiviteter, er i stand til at opfylde kravene i forordning (EU) 2023/2631.

(15)

Denne forordning overholder de grundlæggende rettigheder og de principper, som anerkendes i Den Europæiske Unions charter om grundlæggende rettigheder, særlig retten til beskyttelse af personoplysninger. Behandlingen af personoplysninger med henblik på denne forordning skal foretages i overensstemmelse med EU-retten om beskyttelse af personoplysninger. I den forbindelse bør enhver behandling af personoplysninger, som ESMA foretager i medfør af denne forordning, foretages i overensstemmelse med forordning (EU) 2018/1725. Enhver behandling af personoplysninger, der foretages af enheder i forbindelse med en ansøgning om at blive ekstern kontrollant i medfør af denne forordning, bør foretages i overensstemmelse med Europa-Parlamentets og Rådets forordning (EU) 2016/679 (3) og nationale krav om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger.

(16)

For at gøre det muligt for ESMA at foretage vurderingen med henblik på registreringen og det løbende tilsyn og samtidig sikre de fornødne garantier bør personoplysninger vedrørende et godt omdømme hos den øverste ledelse og bestyrelsesmedlemmerne hos en ekstern kontrollant opbevares af eksterne kontrollanter og ESMA i højst fem år efter, at den pågældende ansøger er ophørt med at udføre sin funktion, eller hvis registreringen af den pågældende eksterne kontrollant trækkes tilbage.

(17)	Den Europæiske Tilsynsførende for Databeskyttelse er blevet hørt i overensstemmelse med artikel 42, stk. 1, i forordning (EU) 2018/1725 og afgav udtalelse den 7. juli 2025.

(18)	Denne forordning er baseret på det udkast til reguleringsmæssige tekniske standarder, som ESMA har forelagt for Kommissionen.

(19)

ESMA har afholdt åbne offentlige høringer om de udkast til reguleringsmæssige tekniske standarder, som denne forordning er baseret på, analyseret de potentielle omkostninger og fordele herved samt anmodet om rådgivning fra interessentgruppen for værdipapirer og markeder, som er nedsat i henhold til artikel 37 i Europa-Parlamentets og Rådets forordning (EU) nr. 1095/2010 (4)—

VEDTAGET DENNE FORORDNING:

Artikel 1

Kriterier til fastsættelse af et tilstrækkeligt godt omdømme hos den øverste ledelse og bestyrelsesmedlemmerne i en ansøgende ekstern kontrollant

1. Med henblik på artikel 23, stk. 2, litra a), nr. i), i forordning (EU) 2023/2631 anses et godt omdømme hos den øverste ledelse og bestyrelsesmedlemmerne i en ansøgende ekstern kontrollant for at være tilstrækkeligt, hvis disse personers tidligere aktiviteter på området sund og forsigtig ledelse viser, at de er i stand til at udføre deres opgaver med ærlighed og integritet.

2. Med henblik på stk. 1, tager ESMA hensyn til følgende oplysninger:

dokumentation for, at der ikke foreligger straffeattester, som vedrører hvidvaskning af penge, finansiering af terrorisme, levering af finansielle tjenesteydelser eller datatjenester, handlinger i form af svig eller underslæb, navnlig ved hjælp af en officiel attest, eller, hvis en sådan attest ikke kan fremskaffes fra den relevante medlemsstat, en egenerklæring om godt omdømme og en tilladelse, der giver ESMA bemyndigelse til at anmode om sådanne oplysninger hos de relevante myndigheder om, hvorvidt det pågældende medlem har været straffet i henhold til straffeloven i forbindelse med hvidvaskning af penge, finansiering af terrorisme, levering af finansielle tjenesteydelser eller datatjenester eller i relation til handlinger i form af svig eller underslæb

en egenerklæring fra hvert medlem af den øverste ledelse og bestyrelsen om, hvorvidt det pågældende medlem:

i)	i mangel af dokumentation for, at der ikke foreligger straffeattester, er blevet dømt for en strafbar handling

ii)	har været genstand for en afgørelse, der gik medlemmet imod, i en disciplinærsag rejst i forbindelse med levering af finansielle eller bæredygtighedsrelaterede tjenesteydelser af en reguleringsmyndighed eller et offentligt organ

iii)	har været genstand for en afgørelse, der gik medlemmet imod, i en civil retssag i forbindelse med levering af finansielle eller bæredygtighedsrelaterede tjenesteydelser eller for uregelmæssigheder eller svig ved ledelsen af en juridisk enhed

iv)	har været en del af den øverste ledelse eller bestyrelsen i en virksomhed, der var genstand for en afgørelse, der gik virksomheden imod, eller for en sanktion pålagt af en reguleringsmyndighed, eller hvis registrering eller tilladelse blev inddraget af en reguleringsmyndighed

v)	er blevet nægtet ret til at udføre aktiviteter, der kræver registrering eller tilladelse fra en reguleringsmyndighed

vi)	har været genstand for en vurdering af egnethed og hæderlighed foretaget af et tilsynsorgan, som har ført til en negativ afgørelse eller en positiv vurdering på særlige betingelser

vii)	har været en del af den øverste ledelse eller bestyrelsen i en virksomhed, der er gået konkurs eller har været under likvidation eller administration, mens vedkommende var ansat i virksomheden eller mindre end et år efter, at vedkommende ophørte med at være ansat i virksomheden

viii)

af en faglig organisation er blevet pålagt bøder, suspenderet, erklæret uegnet eller pålagt en anden sanktion i forbindelse med finansielle eller kommercielle aktiviteter

ix)	er blevet frataget retten til at fungere som bestyrelsesmedlem eller til at varetage en ledende stilling, eller om medlemmet er blevet opsagt fra en stilling i eller en anden tilknytning til en virksomhed som følge af fejl, forsømmelser eller uregelmæssigheder

x)	har eller har haft forbindelser, stillinger eller været involveret i aktiviteter, der direkte eller indirekte kan påvirke en ekstern kontrollants interesser og integriteten af dennes vurderingsaktiviteter.

Den ansøgende eksterne kontrollant skal sikre, at kun personer, der har ansvar for ansøgningen, har adgang til de oplysninger, der er omhandlet i stk. 2, litra a). Disse oplysninger opbevares adskilt fra andre oplysninger vedrørende den øverste ledelse og bestyrelsesmedlemmerne i en ekstern kontrollant. Adgang til disse oplysninger skal registreres. Disse oplysninger må ikke opbevares, hvis de vedrører kandidater til den øverste ledelse og bestyrelsesmedlemmerne i en ansøgende ekstern kontrollant, der ikke er blevet udpeget.

ESMA sikrer, at kun personer, der har ansvar for vurderingen af egnetheden af den øverste ledelse og bestyrelsesmedlemmerne i en ansøgende ekstern kontrollant, har adgang til de oplysninger, der er omhandlet i stk. 2, litra a). Disse oplysninger opbevares adskilt fra andre oplysninger vedrørende den øverste ledelse og bestyrelsesmedlemmerne i en ekstern kontrollant. Adgang til disse oplysninger skal registreres. Disse oplysninger må ikke opbevares, hvis de vedrører kandidater til den øverste ledelse og bestyrelsesmedlemmerne i en ansøgende ekstern kontrollant, der ikke er blevet udpeget.

Personoplysninger vedrørende en ekstern kontrollants øverste ledelses og bestyrelsesmedlemmers gode omdømme bør opbevares af eksterne kontrollanter og ESMA, så længe det er nødvendigt for vurderingen af den indledende registrering og det løbende tilsyn, alt efter hvad der er relevant, og højst fem år efter, at det pågældende medlem er ophørt med at udføre sin funktion, eller i tilfælde af tilbagetrækning af registreringen af den pågældende eksterne kontrollant.

Artikel 2

Kriterier til fastsættelse af tilstrækkelige færdigheder, faglige kvalifikationer og relevant erfaring hos den øverste ledelse og bestyrelsesmedlemmerne i den ansøgende eksterne kontrollant

1. ESMA fastsætter, at færdighederne, de faglige kvalifikationer og den relevante erfaring hos den øverste ledelse og bestyrelsesmedlemmerne i den ansøgende eksterne kontrollant er tilstrækkelige, jf. artikel 23, stk. 2, litra a), nr. ii)-iv), i forordning (EU) 2023/2631, hvis disse færdigheder, kvalifikationer og denne erfaring er passende i forhold til arten og omfanget af den eksterne kontrol, der skal udføres af den ansøgende eksterne kontrollant, og de opgaver, der kræves af eksterne kontrollanter i henhold til nævnte forordning.

2. Med henblik på stk. 1, tager ESMA hensyn til følgende oplysninger:

et ajourført curriculum vitae for hvert medlem af den øverste ledelse og bestyrelsen for en ekstern kontrollant med detaljerede oplysninger, der er relevante for de opgaver, der kræves af eksterne kontrollanter i henhold til forordning (EU) 2023/2631, herunder:

i)	nærmere oplysninger om uddannelse, herunder akademiske og faglige certificeringer, og anden relevant efter- og videreuddannelse

ii)	tidligere beskæftigelse, herunder omfanget og varigheden af de udførte funktioner, med fremhævelse af eventuelle aktiviteter, der er relevante for eksterne kontrollanters virksomhed

b)	relevansen af den viden, der er opnået gennem uddannelse og efter- og videreuddannelse, for finansielle eller bæredygtighedsrelaterede tjenester for eksterne kontrollanters virksomhed

relevant erhvervserfaring med aktiviteter vedrørende de opgaver, der skal udføres af den eksterne kontrollant, såsom kvalitetssikring, kvalitetskontrol, gennemførelse af kontrol før obligationsudstedelsen, kontrol efter obligationsudstedelsen og kontrol af miljøredegørelser, fremlæggelse af andenpartsoverensstemmelsesudtalelser eller finansielle tjenesteydelser

d)	den øverste ledelses og bestyrelsesmedlemmernes kollektive og ajourførte færdigheder, faglige kvalifikationer og erfaring, som er relevante for de opgaver, der kræves af eksterne kontrollanter i henhold til forordning (EU) 2023/2631, og dermed forbundne risici.

Artikel 3

Kriterier til fastsættelse af et passende antal analytikere, ansatte og andre personer, der er direkte involveret i vurderingsaktiviteter

1. ESMA fastsætter, at antallet af analytikere, ansatte og andre personer, der er direkte involveret i vurderingsaktiviteterne hos en ekstern kontrollant er tilstrækkelige, jf. artikel 23, stk. 2, litra b), i forordning (EU) 2023/2631, hvis antallet er passende i forhold til arten og omfanget af den eksterne kontrol, der skal udføres af den ansøgende eksterne kontrollant, og de opgaver, der kræves af eksterne kontrollanter i henhold til nævnte forordning.

2. Med henblik på stk. 1, tager ESMA hensyn til følgende oplysninger:

det samlede antal analytikere, ansatte og andre personer, der er direkte involveret i vurderingsaktiviteter, deres anciennitet, deres jobbeskrivelser, den permanente eller midlertidige karakter af deres ansættelseskontrakter og årsagerne til, at den eksterne kontrollant anser deres antal og funktioner for at være passende

det forventede antal og varigheden af ekstern kontrol, der skal leveres i de næste 24 måneder, og årsagerne til, at den eksterne kontrollant mener, at antallet af ansatte og andre personer, der er direkte involveret i vurderingsaktiviteter, står i et rimeligt forhold til antallet og varigheden af fremtidig ekstern kontrol.

Artikel 4

Kriterier til fastsættelse af et tilstrækkeligt niveau af viden, erfaring og uddannelse af analytikere, ansatte og andre personer, der er direkte involveret i vurderingsaktiviteter

1. ESMA fastsætter, at viden, erfaring og uddannelse hos analytikere, ansatte og andre personer, der er direkte eller indirekte involveret i vurderingsaktiviteter, er tilstrækkelig, jf. artikel 23, stk. 2, litra a), i forordning (EU) 2023/2631, hvis denne viden, erfaring og uddannelse er passende i forhold til arten og omfanget af den eksterne kontrol, der skal udføres af den ansøgende eksterne kontrollant, og de opgaver, der kræves af eksterne kontrollanter i henhold til nævnte forordning.

2. Med henblik på stk. 1, tager ESMA hensyn til følgende oplysninger:

a)	den type vurderingsaktiviteter, som de personer, der er direkte involveret i vurderingsaktiviteter, forventes at levere inden for de næste 24 måneder

b)	tidligere beskæftigelse hos de personer, der er omhandlet i litra a), herunder arten og varigheden af de tjenester, der er leveret i tidligere stillinger og inden for tidligere ansvarsområder

erfaringen hos de personer, der er omhandlet i litra a), som vedrører kvalitetssikring, kvalitetskontrol, gennemførelse af kontrol før obligationsudstedelsen, kontrol efter obligationsudstedelsen og kontrol af miljøredegørelser og fremlæggelse af andenpartsoverensstemmelsesudtalelser eller finansielle tjenesteydelser

d)	den uddannelsesmæssige baggrund for de personer, der er omhandlet i litra a), og eventuelle relevante faglige certificeringer eller kvalifikationer, der er opnået

e)	andre faglige og akademiske resultater hos de personer, der er omhandlet i litra a), som er relevante for arten af deres funktioner

f)	uddannelses- og udviklingsplanen for de personer, der er omhandlet i litra a)

g)	hvis det er relevant, brugen af automatiseringsteknologi i vurderingsaktiviteterne.

3. Eksterne kontrollanter skal sikre, at de tager hensyn til de oplysninger, der er omhandlet i denne artikels stk. 2, for at kunne fastsætte, at den viden, erfaring og uddannelse hos de analytikere, ansatte og andre personer, hvis tjenester stilles til deres rådighed eller er under deres kontrol, og som er direkte involveret i vurderingsaktiviteter, er tilstrækkelig, jf. artikel 28, stk. 1, i forordning (EU) 2023/2631.

Artikel 5

Kriterier for eksterne kontrollanters vurdering af sund og forsigtig ledelse

1. Når eksterne kontrollanter vurderer, hvorvidt der er tale om sund og forsigtig ledelse, skal de sikre, at følgende kriterier er opfyldt:

a)	corporate governance-ordningerne angiver som minimum organisationen, omfanget, formålet og funktionen af den eksterne kontrollants ledelsesorganer, herunder klare rapporteringslinjer, ansvarsområder og kommunikationskanaler

b)	der findes en intern kontrolramme

c)	de organisatoriske ordninger sikrer kontinuitet og regelmæssighed i udførelsen af vurderingsaktiviteterne, beskytter fortroligheden og sikkerheden af registreringen af de leverede tjenester, sund administrativ og regnskabsmæssig praksis, og passende informationsbehandlingssystemer

d)	whistlebloweres anonymitet beskyttes, og repressalier forbydes

e)	transaktioner med nærtstående parter, ansattes personlige transaktioner, eksterne forretningsaktiviteter og modtagelse af gaver og gæstfrihed gennemgås konsekvent

f)	uafhængigheden af de ansatte, der er omfattet af variable aflønningsordninger, sikres

g)	den eksterne kontrollants bestyrelse vedtager politikker og procedurer i overensstemmelse med denne forordning.

2. Med henblik på stk. 1, litra b), skal eksterne kontrollanter sikre, at den interne kontrolramme opfylder følgende kriterier:

a)	de interne kontrolmekanismer er tilpasset den eksterne kontrollants art, omfang og kompleksitet

b)	de personer, der har ansvar for den interne kontrol, er i stand til at indhente de oplysninger, der er nødvendige for at udføre deres funktion, og indberette deres resultater til bestyrelsen for den eksterne kontrollant

c)	de interne kontrolfunktioner er uafhængige og klart adskilt fra de forretningsområder, der udfører vurderingsaktiviteterne.

3. Den eksterne kontrollant skal evaluere de kriterier, der er omhandlet i stk. 1 og 2, inden vedkommende udfører eksterne kontrolaktiviteter og derefter mindst én gang hver 24. måned, eller så snart den eksterne kontrollant bliver opmærksom på væsentlige afvigelser fra kriterierne.

Artikel 6

Kriterier for vurdering af håndteringen af interessekonflikter

1. Ved eksterne kontrollanters vurdering af håndteringen af interessekonflikter skal de sikre, at følgende kriterier er opfyldt:

a)	der findes en politik for interessekonflikter

b)	der findes en effektiv procedure for overholdelse, der er egnet til at overvåge gennemførelsen af politikken vedrørende interessekonflikter, herunder bestyrelsens tilsyn

der findes procedurer for uddannelse og oplysning om indholdet af politikken vedrørende interessekonflikter over for den øverste ledelse, bestyrelsesmedlemmer, analytikere, ansatte og enhver anden fysisk person, hvis tjenester stilles til rådighed for eller er under kontrol af den eksterne kontrollant, herunder inden disse personer påbegynder deres arbejde

d)	der føres en fortegnelse over faktiske eller potentielle interessekonflikter, der er relevante for den eksterne kontrollant, herunder foreslåede afbødende foranstaltninger

e)	der er indført risikostyringsprocedurer og kontrol til forebyggelse og afsløring med hensyn til identifikation, eliminering, håndtering og offentliggørelse af interessekonflikter

f)	de interessekonflikter, der skal elimineres eller håndteres og afsløres på en gennemsigtig måde, identificeres

g)	uafhængigheden af analytikere, ansatte og andre personer, der er direkte involveret i vurderingsaktiviteter, sikres.

2. Den eksterne kontrollant skal evaluere de kriterier, der er omhandlet i stk. 1, inden vedkommende udfører eksterne kontrolaktiviteter og derefter mindst én gang hver 24. måned, eller så snart den eksterne kontrollant bliver opmærksom på væsentlige afvigelser vedrørende håndteringen af interessekonflikter.

Artikel 7

Kriterier for vurdering af tredjepartstjenesteudbyderes evne og kapacitet til at udføre vurderingsaktiviteter

1. Ved vurderingen af tredjepartstjenesteudbyderes evne og kapacitet til at udføre vurderingsaktiviteter pålideligt og professionelt skal eksterne kontrollanter sikre, at følgende kriterier er opfyldt:

a)	tredjepartstjenesteudbyderen har ekspertise inden for genstanden for de outsourcede aktiviteter

b)	tredjepartstjenesteudbyderen står til rådighed for at levere de outsourcede aktiviteter, så længe den planlagte outsourcing varer

c)	tredjepartstjenesteudbyderen har indført en intern kontrolramme for at sikre tilstrækkelig udførelse af de outsourcede aktiviteter.

2. Den vurdering, der er omhandlet i stk. 1, skal tage hensyn til følgende oplysninger vedrørende tredjepartstjenesteudbyderen:

a)	forretningsmodel, udbudte tjenesteydelser, ejerskab, koncernstruktur og status som reguleret eller tilsynsbelagt enhed

b)	kvalifikationerne hos det personale, der er involveret i de outsourcede vurderingsaktiviteter

c)	de politikker og procedurer, der er indført for udførelsen af de outsourcede aktiviteter, herunder anvendelsen af nøjagtige og pålidelige oplysninger og data

d)	de kontrol- og overvågningsaktiviteter, der er indført for at sikre en effektiv anvendelse af politikker og procedurer for udførelsen af de outsourcede aktiviteter

e)	hvis det er relevant, brugen af automatiseringsteknologi i vurderingsaktiviteterne

f)	retlige og reguleringsmæssige krav, der gælder for tredjepartstjenesteudbyderens aktiviteter.

Artikel 8

Kriterier til sikring af, at outsourcing af vurderingsaktiviteter ikke i væsentlig grad forringer kvaliteten af den interne kontrol gennemført af den eksterne kontrollant

Når eksterne kontrollanter sikrer, at outsourcing af vurderingsaktiviteter ikke i væsentlig grad forringer kvaliteten af deres interne kontrol, skal de sørge for, at følgende kriterier er opfyldt:

a)	det forventede antal og typen af vurderingsaktiviteter, der skal outsources, ikke giver anledning til overdreven afhængighed af tredjepartstjenesteudbyderen

b)	der er indført sikkerhedsforanstaltninger for at styre de risici, der er forbundet med outsourcingen, herunder afhængighedsrisici i forbindelse med leveringen af de outsourcede vurderingsaktiviteter

c)	der er indført ordninger for tjenestens kontinuitet, herunder beredskabsplaner og periodisk afprøvning af backupfaciliteter

d)	der er indført ordninger for data- og systemsikkerhed, herunder enhver anvendelse af cloudteknologi

e)	der er indført sikkerhedsforanstaltninger for at sikre, at den eksterne kontrollant er i stand til at overvåge og føre tilsyn med de outsourcede vurderingsaktiviteter

f)	hvis tredjepartstjenesteudbyderen kontraktligt har tilladelse til yderligere at outsource udførelsen af vurderingsaktiviteterne, opfylder disse aktiviteter kriterierne i litra a)-e).

Artikel 9

Kriterier til sikring af, at outsourcing af vurderingsaktiviteter ikke i væsentlig grad forringer ESMA's evne til at føre tilsyn med overholdelsen hvad angår eksterne kontrollanter

Når det sikres, at outsourcing ikke i væsentlig grad forringer ESMA's mulighed for at føre tilsyn med eksterne kontrollanters overholdelse af forordning (EU) 2023/2631, skal eksterne kontrollanter sørge for, at følgende kriterier er opfyldt:

a)	der opretholdes et passende niveau af dokumentation og registrering af alle navne på og stillinger for de personer, der har ansvar for godkendelse og overvågning af outsourcingen

b)	tredjepartstjenesteudbyderen er i stand til at give den eksterne kontrollant alle de nødvendige oplysninger om outsourcede vurderingsaktiviteter, der kræves af den eksterne kontrollant for at påvise den eksterne kontrollants overholdelse af forordning (EU) 2023/2631

hvis vurderingsaktiviteter outsources til en tredjepartstjenesteudbyder fra et tredjeland, har den eksterne kontrollant og tredjepartstjenesteudbyderen indført procedurer, der sikrer risikostyring i forbindelse med følgende:

i)	divergerende lovgivningsmæssige krav eller retssystemer

ii)	manglende eller urettidig gennemførelse af exitstrategier i tilfælde af driftsafbrydelser eller -svigt

iii)	informations- og datasikkerhedshændelser

iv)	brud på fortrolig behandling af oplysninger

v)	manglende hurtig adgang for ESMA og den eksterne kontrollant til tredjepartsregistre, herunder hvis disse registre opbevares i tredjelandsjurisdiktioner.

Artikel 10

Evaluering af kriterier for outsourcing af vurderingsaktiviteter

Eksterne kontrollanter skal evaluere overholdelsen af de kriterier, der er fastsat i denne forordning, forud for påbegyndelsen af den outsourcede vurderingsaktivitet og derefter mindst én gang hver 24. måned, eller så snart den eksterne kontrollant bliver opmærksom på væsentlige afvigelser i tredjepartstjenesteudbyderes evne til at udføre vurderingsaktiviteterne pålideligt og professionelt.

Artikel 11

Ikrafttræden

Denne forordning træder i kraft på og finder anvendelse fra tyvendedagen efter offentliggørelsen i Den Europæiske Unions Tidende.

Denne forordning er bindende i alle enkeltheder og gælder umiddelbart i hver medlemsstat.

Udfærdiget i Bruxelles, den 12. september 2025.

På Kommissionens vegne

Ursula VON DER LEYEN

Formand

(1) EUT L, 2023/2631, 30.11.2023, ELI: http://data.europa.eu/eli/reg/2023/2631/oj.

(2) Europa-Parlamentets og Rådets forordning (EU) 2018/1725 af 23. oktober 2018 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger og om ophævelse af forordning (EF) nr. 45/2001 og afgørelse nr. 1247/2002/EF (EUT L 295 af 21.11.2018, s. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj).

(3) Europa-Parlamentets og Rådets forordning (EU) 2016/679 af 27. april 2016 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af 4.5.2016, s. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj).

(4) Europa-Parlamentets og Rådets forordning (EU) nr. 1095/2010 af 24. november 2010 om oprettelse af en europæisk tilsynsmyndighed (Den Europæiske Værdipapir- og Markedstilsynsmyndighed), om ændring af afgørelse nr. 716/2009/EF og om ophævelse af Kommissionens afgørelse 2009/77/EF (EUT L 331 af 15.12.2010, s. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).