KOMISJONI DELEGEERITUD MÄÄRUS (EL) 2024/436,

20. oktoober 2023,

millega täiendatakse Euroopa Parlamendi ja nõukogu määrust (EL) 2022/2065, kehtestades väga suurte digiplatvormide ja väga suurte internetipõhiste otsingumootorite auditite tegemise reeglid

EUROOPA KOMISJON,

võttes arvesse Euroopa Liidu toimimise lepingut,

võttes arvesse Euroopa Parlamendi ja nõukogu 19. oktoobri 2022. aasta määrust (EL) 2022/2065, mis käsitleb digiteenuste ühtset turgu ja millega muudetakse direktiivi 2000/31/EÜ (digiteenuste määrus), (1) eriti selle artikli 37 lõiget 7,

ning arvestades järgmist:

(1)

Sõltumatud auditid on oluline vahend, et teha järelevalvet selle üle, kas väga suurte digiplatvormide ja väga suurte internetipõhiste otsingumootorite pakkujad täidavad määrusest (EL) 2022/2065 tulenevaid kohustusi. Kuigi kõnealuses määruses on sätestatud muud vastutuse tagamise vahendid, muu hulgas läbipaistvusaruannete põhjalikum avalik kontroll ning muud andmete avaldamise nõuded, on sõltumatutel auditeerivatel organisatsioonidel eriomane roll, et hinnata varajases etapis nende pakkujate vastavust kõnealusele määrusele. Nende sõltumatute auditite järeldused ja soovitused võivad anda olulist teavet regulatiivse järelevalve jaoks. Samas on sõltumatud auditid üks mitmest teabe ja analüüsi allikast, mida reguleerivad asutused saavad oma järelevalve ja nõuete täitmise tagamise rolli raames kasutada.

(2)

Tagamaks, et sõltumatud auditid toimuvad tulemuslikult, tõhusalt, õigel ajal ja võrreldavalt alates määruse (EL) 2022/2065 kohaldamise kuupäevast, mis on sätestatud kõnealuse määruse artiklites 92 ja 93, peaks komisjon kehtestama auditite tegemise reeglid, eelkõige seoses auditeeritavate pakkujate õiguslike kohustustega ja menetluslike etappidega, millega tagatakse, et auditeid tegevad organisatsioonid täidavad sõltumatuse, huvide konflikti puudumise, eksperditeadmiste ja kutse-eetika tingimusi, mis on sätestatud määruse (EL) 2022/2065 artikli 37 lõikes 3.

(3)

Selleks et hõlbustada auditite tegemist nõuetekohaselt ja kõrgetasemelisi eksperditeadmisi kasutades ning ennetada soovimatuid tagajärgi audititeenuste turul, tuleks selgitada, et määruse (EL) 2022/2065 artikli 37 kohase auditi peavad tegema mitu audiitorit. Kui see on vajalik, näiteks kuna on vaja konkreetseid eksperditeadmisi teatavate kohustuste auditeerimiseks, muu hulgas seoses algoritmiliste süsteemide kujundamise ja toimimisega, põhiõigustele avalduvate riskide mõistmisega või ebaseadusliku sisu levikuga, võib auditeeritav pakkuja sõlmida auditi tegemiseks lepingu erinevate auditeerivate organisatsioonidega või organisatsioonide konsortsiumiga. Auditeerivad organisatsioonid võivad palgata vajalikud eksperdid ka alltöövõtu korras, kui nii auditeeriv organisatsioon kui ka alltöövõtja vastavad vajalikele tingimustele, mis käsitlevad sõltumatust, huvide konflikti puudumist, tõendatud objektiivsust ja kutse-eetikat, ning nad vastavad ühiselt tehnilisi eksperditeadmisi käsitlevatele tingimustele. Neil juhtudel peaks auditeeritav pakkuja ikkagi tagama, et seda, kas ta täidab määruse (EL) 2022/2065 artikli 37 lõikes 1 osutatud kohustusi, auditeeritakse vähemalt kord aastas.

(4)

Auditeerivad organisatsioonid peaksid esitama määruse (EL) 2022/2065 artikli 37 lõike 4 punktis g osutatud auditiarvamused mõistliku usaldusväärsuse tasemega. Mõistliku usaldusväärsuse taseme saavutamiseks peaks auditeeriv organisatsioon pidama kõrgeks, aga mitte absoluutseks usaldatavustaset, et puuduvad väärkajastamised, näiteks väljajätmised, valeteave või vead, mida auditi käigus ei avastatud. Selle usaldusväärsuse taseme saavutamiseks peaks auditeeriv organisatsioon muu hulgas hankima oma hindamise käigus piisavalt tõendeid ja kasutama sobilikke auditeerimismeetodeid.

(5)

Määruse (EL) 2022/2065 artikli 37 lõike 1 kohaselt tuleks sõltumatud auditid teha vähemalt kord aastas kooskõlas kõnealuse määruse artiklis 34 osutatud riskihindamise iga-aastase tsükliga. Kuid teatavatel juhtudel võib olla vaja teha auditeid sagedamini. Auditite kavandamine peaks tagama pideva järelevalve selle üle, et auditeeritavad pakkujad täidavad määruse (EL) 2022/2065 ning selle asjakohaste tegevusjuhendite ja kriisiprotokollide nõudeid. Auditeeritav pakkuja peaks tagama, et ajavahemik, mille puhul hinnatakse konkreetse auditiga auditeeritavate kohustuste täitmist, täiendab ajavahemikku, mis on hõlmatud varasema auditiga, mille käigus hinnati pakkuja vastavust kõnealustele kohustustele, ning see algab hiljemalt siis, kui lõpeb eelmise auditiga hõlmatud ajavahemik. Kuna auditi järeldus hõlmab nii auditeeriva organisatsiooni tehtud hindamist kui ka auditiaruande koostamist, peaksid auditeeritavad pakkujad tagama, et auditi kestus võimaldab auditeid lõpule viia vähemalt kord aastas ning et auditiaruanded esitatakse komisjonile ja digiteenuste koordinaatorile põhjendamatu viivituseta vastavalt määruse (EL) 2022/2065 artikli 42 lõikele 4.

(6)

Kuigi auditeeritavad pakkujad ei tohiks ühelgi juhul sekkuda auditi tegemisse ja selle järeldustesse, peaksid nad täitma määruse (EL) 2022/2065 artiklist 37 tulenevad kohustused, nõustudes auditeeriva organisatsiooniga sõlmitud lepingu tingimustega ning kontrollides enne auditeeriva organisatsiooni valimist, et see organisatsioon vastab määruse (EL) 2022/2065 artikli 37 lõikes 3 sätestatud tingimustele.

(7)

Auditeeritav pakkuja peaks näiteks hindama lepinguid, mille ta on varem auditeeriva organisatsiooniga sõlminud, või lepinguid, mille on sõlminud auditeeriv organisatsioon ja auditeeritava pakkujaga seotud juriidilised isikud. Auditeeritav pakkuja peaks samuti lisama auditeerivate organisatsioonidega sõlmitavatesse lepingutesse klauslid, millega tagatakse määruse (EL) 2022/2065 artikli 37 lõikes 3 sätestatud tingimuste täitmine. Kui auditeeriv organisatsioon koosneb mitmest üksusest, siis peaks auditeeritav pakkuja veenduma, et neile tingimustele vastavad kõik kõnealused üksused, sh, kui see on kohaldatav, alltöövõtjad, kelle auditeeriv organisatsioon on palganud, et toetada auditi tegemist mis tahes viisil. Samal ajal kui iga auditit tegev üksus peaks individuaalselt vastama sõltumatuse nõuetele ja huvide konflikti puudumise nõuetele, peaksid kõnealused üksused ühiselt vastama pädevuse, eksperditeadmiste ja tehniliste ressursside nõuetele, mis võimaldab eri üksustel ellu viia auditi erinevaid osi ning panustada oma võimete, pädevuse ja eksperditeadmistega, mida on vaja auditi tegemiseks. Auditiaruandes tuleks täpsustada iga kõnealuse üksuse vastutus auditi vastavate osade eest.

(8)

Määruse (EL) 2022/2065 artikli 37 lõike 3 punkti a alapunkti i kohaselt peaks auditeeritav pakkuja, kui ta kontrollib, kas auditeeriv organisatsioon vastab sõltumatuse ja huvide konflikti puudumise nõuetele, pöörama eritähelepanu sellele, et vältida olukorda, kus auditeeriv organisatsioon osutab auditeeritavale pakkujale auditiväliseid teenuseid. Auditeeritav pakkuja peaks näiteks hindama, kas teenuseid on osutatud, nt seoses mis tahes süsteemi, tarkvara või protsessiga, mis on seotud auditeeritava kohustusega, nt nõustamisteenused tulemuslikkuse, juhtimise ja tarkvara hindamiseks, koolitusteenused, süsteemide arendamine või hooldus või sisu modereerimise alltöövõtt. Kõnealused teenused hõlmavad ka auditeeritavale pakkujale osutatud teenuseid, mis seisnevad sisekontrollialases nõustamises või selle väljatöötamises või asutusesisesel otstarbel auditeeritava pakkuja vastavuse hindamises määrusele (EL) 2022/2065 või tegevusjuhenditele ja kriisiprotokollidele, sh kui see piirdub täpsete testidega, nt kolmandate isikute testid sisu modereerimise süsteemide tulemuslikkuse kindlaks tegemiseks. See ei tohiks välistada auditeerivaid organisatsioone, kes on teinud kohustuslikud finantsauditid.

(9)

Võttes arvesse määruse (EL) 2022/2065 nõuetele vastavuse auditite keerukust ja eripära, on auditeeriva organisatsiooni eksperditeadmised selles valdkonnas määrava tähtsusega, et teha auditeid mõistliku usaldusväärsuse tasemega ning kasutada kutsealast otsustust ja skeptitsismi, tänu millele organisatsioonil on võimalik näiteks teada saada, millist teavet tal on vaja auditimenetluste läbiviimiseks või vastuolus oleva teabe vaidlustamiseks. Auditeeritav pakkuja peaks seega kontrollima, kas auditeeriv organisatsioon tagab kõnealused eksperditeadmised, sh riskijuhtimise valdkonnas nii seoses auditiriskidega kui ka määruse (EL) 2022/2065 teemaga, eelkõige kõnealuse määruse artiklis 34 osutatud süsteemsete ühiskondlike riskidega. Lisaks sellele peaks auditeeritav pakkuja kontrollima auditeeriva organisatsiooni tehnilist pädevust ja võimekust, võttes arvesse konkreetset auditeeritavat teenust, sh selle valdkonnaga seotud eksperditeadmisi, näiteks seoses selliste algoritmiliste süsteemide toimimise ja mõjuga nagu soovitussüsteemid ja muud sotsiaaltehnoloogia süsteemid, mida pakkuja kasutuses hoiab. Auditeerival organisatsioonil peaks olema võimalik sõlmida alltöövõtulepinguid või hankida ja võtta muul viisil kasutusele vajalikke eksperditeadmisi ja võimekusi ning auditeeritav pakkuja peaks kontrollima ja tagama, et auditeeriv organisatsioon suudab omandada kõnealused eksperditeadmised ja võimekused piisava aja jooksul, et audit teha.

(10)

Kontrollides, et auditeeriv organisatsioon vastab määruse (EL) 2022/2065 artikli 37 lõikes 3 sätestatud tingimustele, peaks auditeeritav pakkuja hindama asjakohaseid tõendeid, sh vajaduse korral tunnistusi, deklaratsioone ja auditeeriva organisatsiooni väljastatud auditiaruandeid. Asjakohaseid eksperditeadmisi võib tõendada näiteks praktiliste kogemustega riskide hindamisel ja riskijuhtimisel, sh akadeemilise tegevusega, teaduslike väljaannetega ja kogemustega asjakohaste auditite tegemisel. Auditiaruanded peaksid sisaldama kõiki asjakohaseid lisadokumente, mis tõendavad, et auditeeriv organisatsioon vastab vajalikele tingimustele.

(11)

Määruse (EL) 2022/2065 artikli 37 lõike 2 kohaselt peab auditeeritav pakkuja pakkuma auditeerivale organisatsioonile kogu vajalikku koostööd ja abi, et teha audit tulemuslikult, tõhusalt ja õigeaegselt, ning mitte sekkuma ühelgi viisil auditeeriva organisatsiooni sõltumatutesse otsustesse. Näiteks ei tohiks auditeeritav pakkuja kehtestada auditeerivale organisatsioonile mingeid lepingulisi piiranguid või stiimuleid, anda talle suuniseid või mõjutada teda muul viisil, kui organisatsioon valib või teostab auditimenetlusi ja metoodikaid, kogub ja töötleb teavet ja auditi tõendusmaterjali, teeb analüüse ja teste, esitab auditiarvamuse või koostab auditi järeldusi.

(12)

Auditi ajal vajaliku koostöö ja abi tagamiseks peaks auditeeritav pakkuja veenduma, et auditeerivale organisatsioonile antakse juurdepääs kogu teabele, mis on vajalik auditi tegemiseks. Auditeeritav pakkuja peaks saatma kõik vajalikud dokumendid ja selgitused esimesel võimalusel ja igal juhul enne seda, kui auditeeriv organisatsioon alustab auditimenetlusi. Näiteks kooskõlas määruse (EL) 2022/2065 artikli 41 lõike 3 punktidega d ja e on auditeeritava pakkuja vastavuskontrolli ülesanne jälgida, et täidetakse kõiki auditeeritavaid kohustusi, mis peaks viima sisekontrolli väljatöötamiseni. Auditeerivale organisatsioonile tuleks seetõttu anda juurdepääs kogu teabele, mis on seotud selliste kontrollidega, ja mis tahes muule teabele, milles kirjeldatakse auditeeritava pakkuja strateegiat nõuetele vastavuse tagamiseks. Eelkõige peaks auditeeritav pakkuja tegema auditeerivale organisatsioonile kättesaadavaks võrdlusalused, millele ta tugineb, et tagada vastavus määrusele (EL) 2022/2065, nii et auditeeriv organisatsioon saaks auditikriteeriumide puhul tugineda sellele teabele.. Lisaks tuleks auditeerivale organisatsioonile anda juurdepääs kõikidele analüüsidele, mida auditeeritav pakkuja võib olla teinud olemuslike riskide ja kontrolliriskide kindlaks tegemiseks. Pakkuja peaks tegema auditeerivale organisatsioonile kättesaadavaks teabe, mis aitab mõista auditeeritavat teenust, selle juhtimist ning vastavate meeskondade ja otsustusstruktuuride, sh vastavuskontrolli funktsiooni pädevust, ning tutvustama oma infotehnoloogiasüsteeme, andme- ja registristruktuure ning auditi seisukohast oluliste algoritmiliste süsteemide koosmõju.

(13)

Auditeerival organisatsioonil peaks olema võimalik küsida auditi tegemise ajal mis tahes muud vajalikku teavet. Juurdepääs kõnealusele teabele tuleks anda põhjendamatu viivituseta viisil, mis ei takista kuidagi auditi tegemist. See peaks hõlmama juurdepääsu andmetele, sh isikuandmetele, mis on kogutud erinevatest allikatest, nt dokumendid, algoritmilised süsteemid, andmebaasid või küsitlused, nagu on asjakohane. Auditeeritav pakkuja peaks samuti andma auditeerivale organisatsioonile juurdepääsu menetlustele ja protsessidele ning IT-süsteemidele, nt algoritmilised ja infosüsteemid, sh testimiskeskkondadele. Selleks et auditeeriv organisatsioon saaks neid süsteeme sisuliselt kontrollida, peaks auditeeritav pakkuja tegema kättesaadavaks kõik vajalikud ressursid, et aidata kõnealusel organisatsioonil saada süsteemidele juurdepääs ja neid hinnata, näiteks võimaldades tal võtta ühendust pakkuja pädevate töötajatega, et nad vastaksid küsimustele ja käitaksid testimiskeskkondi ning selgitaksid nende funktsioone, või lihtsustaksid muud vajalikku juurdepääsu töötajatele ja valdustele, nt hoonetele. Juurdepääs menetlustele ja protsessidele võib näiteks tähendada juurdepääsu kirjeldustele või dokumentidele, mis käsitlevad auditeeritava pakkuja asutusesisest otsustusprotsessi. Juurdepääs asjakohasele teabele võib samuti eeldada auditeeritavalt pakkujalt muid lisameetmeid, et täita oma koostöö ja abistamise kohustus. Näiteks töötajate küsitlused võivad eeldada auditeeritava pakkuja tagatud turvalisi ruume. Kui see on auditi tegemiseks vajalik, peaksid auditeeritavad pakkujad tegema auditeeriva organisatsiooniga koostööd ja pakkuma talle abi, muu hulgas hõlbustades juurdepääsu oma tegevusega seotud asjakohastele andmetele, mis on nende kolmandatest isikutest töövõtjate valduses. Nii võib see olla näiteks sisu modereerimise tulemuste, sisu modereerimisega tegelevate kolmandast isikust töövõtjate kasutatavate koolitusmaterjalide või juhiste ning IT-lahenduste müüjate ja teenuseosutajate puhul, sealhulgas näiteks algoritmid ja rakendused, mida kasutatakse soovitussüsteemides või auditeeritava pakkuja kasutatavates reklaamisüsteemides.

(14)

Selleks et aidata kaasa auditi leidude sisulisele läbipaistvusele ning tagada määruse (EL) 2022/2065 artikli 37 lõikes 4 osutatud auditiaruannete ja kõnealuse määruse artikli 37 lõikes 6 osutatud auditi rakendusaruannete põhjalik ja võrreldav vorming, tuleks käesolevas määruses kehtestada nende aruannete vormid ja nõuda iga aruande täiendamist mitme lisaga. Kui käesolevas määruses sätestatud vormid nõuavad põhjalikku aruandlust, siis ei tohiks need mõjutada määruse (EL) 2022/2065 artikli 42 lõigetes 4 ja 5 sätestatud aruannete avaldamise nõudeid.

(15)

Tagamaks, et auditeeriv organisatsioon saab auditeeritavalt pakkujalt kogu vajaliku abi, ilma et pakkuja sekkuks auditi tegemisse, ning et auditeeriv organisatsioon täidab kõiki auditi ettevalmistamise tingimusi ning esitab auditiaruande õigel ajal ja mõistliku usaldusväärsuse taseme tagamiseks piisava kvaliteediga, tuleks teatavate reeglitega täpsustada auditi ettevalmistamise menetlused. Auditeeritava pakkuja ja auditeeriva organisatsiooni, sh kõigi alltöövõtjate või partnerorganisatsioonide ning auditi tegemise eest vastutavate töötajate kohustused ja vastutusvaldkonnad tuleks määrata kindlaks kirjalikus lepingus, sh lepingutingimuste alusel. Kirjalikus lepingus tuleks märkida auditeeritavad kohustused, ressursside eraldamine ning auditeeriva organisatsiooni ja auditeeritava pakkuja vahelise suhtluse ja nendevaheliste kontaktpunktide suhtes kohaldatavad reeglid. Kõik lisadokumendid ja lepingud tuleks lisada auditiaruandele, sh kui dokumentide puhul on tegemist auditilepingu kaaskirja või muude lepingutingimustega.

(16)

Selleks et esitada põhjalik ülevaade ja aidata kaasa auditeeritavate pakkujate vastutusele, peaks auditiaruanne sisaldama järeldust, mis käsitleb auditeeriva organisatsiooni hinnangut sellele, kuivõrd auditeeritav pakkuja täidab iga auditeeritavat kohustust. Iga auditijäreldus peaks põhinema mõistlikul usaldusväärsuse tasemel ja olema kas positiivne, positiivne märkustega või negatiivne, et sellest saaks auditiarvamuse esitamisel nõuetekohaselt lähtuda. Märkustega positiivsed järeldused ei tohiks puudutada vastavuse hindamist ennast. Need märkused võivad näiteks osutada sellele, et pakkuja esitab auditeeriva organisatsiooni taotlusel teabe, või auditeeritava pakkuja kasutusele võetud hoolduse või kontrollide täiendustele, või võtta arvesse täiendavaid leevenduskavasid ja parandusi, mida pakkuja kavatseb teha. Kui auditeeriv organisatsioon leiab, et auditeeritav pakkuja täidab auditeeritavat kohustust vastavalt auditeeritava pakkuja esitatud võrdlusalustele, kuid peab vajalikuks lisada nende võrdlusaluste kohta märkusi, peaks auditi järeldus olema positiivne märkustega, kuna sellised märkused võivad anda pakkujale kasulikku teavet tema võrdlusaluste võimalike muudatuste kohta, tuginedes auditeeriva organisatsiooni teadmistele ja kogemustele ning välistest allikatest pärinevale teabele. Näiteks võib märkuste esitamisel arvesse võtta komisjoni juhiseid, sealhulgas komisjoni suuniseid, millele on osutatud määruse (EL) 2022/2065 artikli 35 lõikes 3, ja muid asjakohaseid suuniseid, mille komisjon on välja andnud kõnealuse määruse kohaldamise kohta, kõnealuse määruse artikli 35 lõikes 2 osutatud Euroopa digiteenuste nõukoja aruandeid, täitemeetmeid, komisjoni poolt kõnealuse määruse kohaselt tehtud otsuseid, asjakohast kohtupraktikat, eelkõige Euroopa Liidu Kohtu praktikat, avalikke konsultatsioone või asjakohaseid autoriteetseid allikaid.

(17)

Selleks et tagada avalik kontroll ja regulatiivne järelevalve, tuleks juhul, kui auditi järeldus on negatiivne, aga seda kohaldatakse ainult piiratud aja jooksul ning auditeeriv organisatsioon on seisukohal, et auditeeritav pakkuja täitis kohustuse ülejäänud auditeeritud ajavahemikul, kajastada seda auditiaruandes seoses iga asjakohase kohustusega. Aruanne peaks sisaldama auditeeriva organisatsiooni tähelepanekuid mis tahes teabe kohta, mille auditeeritav pakkuja on talle kättesaadavaks teinud seoses kehtestatud või kavandatud leevenduskavadega nõuetele mittevastavuse kõrvaldamiseks.

(18)

Võttes arvesse määruse (EL) 2022/2065 III peatükis sätestatud õiguslike kohustuste ning kõnealuse määruse artiklite 45, 46 ja 48 kohaselt tegevusjuhendites ja kriisiprotokollides võetud vabatahtlike kohustuste erinevat olemust, peaks auditeeriv organisatsioon esitama eraldi auditiarvamused kõnealusele peatükile ning igale tegevusjuhendile ja protokollile vastavuse kohta.

(19)

Et teha audit mõistliku usaldusväärsuse tasemega ja koostada asjakohased auditimenetlused vastavalt meetoditele, mis viivad auditiriski madalale tasemele, peaks auditi tegemise metoodika oluline osa olema auditiriskide hindamine, nimelt selle riski hindamine, et auditeeriv organisatsioon esitab eksliku auditiarvamuse või järelduse. Seega peaks auditeeriv organisatsioon hindama auditiriski täiesti auditi alguses, enne täpse metoodika koostamist ja auditimenetluste läbiviimist. Auditiriski analüüs on vajalik, et auditeeriv organisatsioon saaks valida auditi jaoks täpse metoodika ja teha kindlaks, kui põhjalikud peavad auditimenetlused olema, et saavutada auditiarvamuse jaoks mõistlik usaldusväärsuse tase. Auditeeriv organisatsioon peaks tegema auditiriski analüüsi iga auditeeritava kohustuse täitmise hindamise puhul, võttes arvesse olemuslikke riske, kontrolliriske ja avastamisriske.

(20)

Selleks et auditiriske õigesti hinnata, tuleks auditiriski analüüsis võtta arvesse auditeeritava teenuse olemust, eelkõige selle riskiprofiili, ning auditi ulatust ja keerukust. Näiteks on tõenäoline, et digiplatvormidel, mis võimaldavad tarbijatel sõlmida omavahel kaugmeetodil lepinguid, on erinevad olemuslikud riskid, kui videote jagamise platvormidel või otsingumootoritel. Lisaks sellele tuleks võtta arvesse ühiskondlikku ja majanduslikku konteksti, milles auditeeritavat teenust pakutakse, muu hulgas seoses tavapäraste kasutajarühmadega (nt alaealised) või sagedaste käitumisviisidega (nt sage teenuse mitteautentne kasutamine ja koordineeritud käitumine desinformatsioonikampaaniates). Arvesse võetav ühiskondlik ja majanduslik kontekst peaks hõlmama ka kriisiolukordade tekke ja ootamatute sündmuste toimumise tõenäosust ning nende raskusastet, nagu on osutatud määruses (EL) 2022/2065.

(21)

Tagamaks, et auditiriski analüüs kajastab teenusega seotud riskide muutumist, peaks kõnealune analüüs lisaks põhinema teabel, mis on omandatud auditeeritava pakkuja varasemate auditite käigus, kui see on kohaldatav, või muude sarnase riskiprofiiliga pakkujate auditiaruannetest saadud teabel. Tagamaks, et auditiriskide analüüsi puhul kasutatakse täiel määral kõige uuemaid tõendeid riskide kohta, mis tekivad auditeeritava pakkuja tegutsemisvaldkonnaga sarnases kontekstis, ning autoriteetseid teabeallikaid, mis on otseselt seotud määruse (EL) 2022/2065 kohaldamisega, peaks analüüs samuti tuginema Euroopa digiteenuste nõukoja väljastatud aruannetest või vajaduse korral komisjoni suunistest saadud teabele. Muu teave võib hõlmata ka teavet, mis on saadud määruse (EL) 2022/2065 artikli 42 lõike 4 kohaselt avaldatud muude väga suurte digiplatvormide ja väga suurte internetipõhiste otsingumootorite pakkujate auditiaruannetest.

(22)

Auditeeriv organisatsioon peaks koostama ilma auditeeritava pakkuja mõjuta auditeerimismeetodid, mida kasutatakse, et hinnata auditeeritavate kohustuste täitmist. Auditikriteeriumid peaksid põhinema auditeeritava pakkuja esitatud teabel võrdlusaluste kohta, mida auditeeritav pakkuja kasutab nõuetele vastavuse järelevalveks. Metoodikas võib arvesse võtta ka muud teavet, mille auditeeritav pakkuja on kättesaadavaks teinud, näiteks olemuslike riskide analüüsi, kui auditeeritav pakkuja on selle analüüsi teinud, näiteks vastavuskontrolli spetsialisti või juhtorgani poolt välja töötatud meetmete abil kooskõlas määruse (EL) 2022/2065 artikliga 41, või muude meetmete abil, mis on integreeritud kõnealuse määruse artiklis 34 osutatud süsteemse riski hindamise teenuse toimimisse.

(23)

Tagamaks, et auditeerimismeetodid on sobilikud auditiarvamuste mõistliku usaldusväärsuse taseme saavutamiseks, tuleks auditimenetluste jaoks valitud meetodi puhul võtta arvesse auditeeritava kohustuse eripärasid ning seda tuleks kohandada, näiteks lähtuvalt sellest, kas auditeeritav kohustus on seotud vahendite või tulemustega, mille pakkuja peab nõuete täitmiseks saavutama. Näiteks võivad määruse (EL) 2022/2065 artikli 15 kohaselt läbipaistvusaruannete esitamise kohustuse täitmist hindavad auditimenetlused võimaldada auditeerival organisatsioonil teha järelduse, kas aruanded avaldati kõnealuses määruses nõutud aja jooksul ja vormis ning kas need olid terviklikud ja kas neis esitatud andmed olid täpsed, representatiivsed ja asjakohaselt jaotatud näiteks ebaseadusliku veebisisu kategooriate kaupa, mille suhtes meetmeid võeti.

(24)

Metoodika valimisel tuleks lähtuda ka sellest, kas auditeeriv organisatsioon peab nõuetele vastavuse hindamiseks tegema kontekstipõhiseid tõlgendusi. Metoodikate valimisel tuleks samuti võtta arvesse olemuslikke riske, mis on seotud teenuse osutamisel ellu viidava tegevusega ja teenuse osutamise kontekstiga, näiteks kas teenus hõlmab sellise kauba müüki, mis võib olla ebaseaduslik, või kas teenust kasutavad peamiselt alaealised. Näiteks metoodikate puhul, millega hinnatakse määruse (EL) 2022/2065 artikli 28 lõike 1 kohaselt alaealiste eraelu puutumatuse, ohutuse ja turvalisuse kõrge taseme tagamiseks asjakohaste ja proportsionaalsete meetmete võtmise kohustuste täitmist, tuleks anda auditeerivale organisatsioonile piisav võimalus mõista, kuidas alaealised auditeeritavat teenust kasutavad, ning nende eraelu puutumatusele, ohutusele ja turvalisusele tekkivaid võimalikke riske, samuti seda, millest koosneb asjakohane ja proportsionaalne meede auditeeritava teenuse ja alaealiste poolt selle kasutamise konkreetses kontekstis. Selleks peaksid auditeerivad organisatsioonid jagama hindamise asjakohasteks sammudeks. Nad peaksid hindama auditiriske vastavalt auditeeritava pakkuja riskiprofiilile, eelkõige arvestades seda, kas see on kättesaadav alaealistele või seda kasutavad peamiselt alaealised. Nad peaksid näiteks hindama, kas pakkuja on kehtestanud vanuse kindlakstegemise vahendid, kas need on tõhusad ning kuidas auditeeritav pakkuja hindab ja jälgib nende tõhusust. Nad peaksid hindama, kas auditeeritav pakkuja on kehtestanud asjakohased meetmed, et tuvastada oma teenuse reeglitevastast kasutamist ja käitumismustreid, mis püüavad või võivad alaealisi kahjustada.

(25)

Metoodika valikut tuleks kohandada kontrolliriskidega, mis on seotud auditeeritava pakkuja kasutusele võetud nõuetele vastavuse meetmetega, ning avastamisriskidega, nimelt riskiga, et ei avastata väärkajastamisi teabes, mille pakkuja teeb auditeerivale organisatsioonile kättesaadavaks. Näiteks võib auditeeritav kohustus hõlmata algoritmilise süsteemi auditit lähtuvalt selle personaliseerimisest auditeeritava teenuse individuaalsetele kasutajatele ja algoritmilise süsteemi korduvatest ajakohastamistest, nt määruse (EL) 2022/2065 artikli 27 kohaste soovitussüsteemide avalikustamise kohustus, ning metoodika valik peaks võimaldama auditeerival organisatsioonil koostada sobilikud testid avastamisriskide minimeerimiseks. Samamoodi peaks auditeeriv organisatsioon juhul, kui ta püüab hinnata, kas suurtel keelemudelitel põhinevate rakenduste (nt vestlusfunktsioonid või soovitussüsteemid, mille auditeeritav pakkuja on kasutusele võtnud) projekteerimisel, toimimisel ja kasutamisel leevendati kõiki asjakohaseid riske, kõigepealt hindama pakkuja kehtestatud kontrollide asjakohasust. Testide valikul tuleks lähtuda nende sisekontrollide usaldusväärsusest. Eelkõige, aga mitte ainult juhtudel, kui sisekontroll on nõrk või ei ole piisavalt terviklik või ammendav, et hinnata, kas reegleid täidetakse, arvestades auditeeritavate teenuste kasutajaskonda, peaks auditimenetlus tuginema metoodikate kombinatsioonile. Näiteks võib metoodika hõlmata substantiivseid analüüsimenetlusi, nt soovitussüsteemidega seotud kõigi algoritmiliste süsteemide omavaheliste mõjude analüüsi ning sellega seotud otsuste tegemise reegleid ja menetlusi kõnealuste soovitussüsteemide peamiste parameetrite ning digitaalsete aruannete ja logidega seotud tähelepanekute kindlakstegemiseks. Metoodika peaks samuti hõlmama süsteemi teste, sh teste simuleeritud keskkonnas.

(26)

Tagamaks, et metoodika on asjakohane ja seda kohandatakse auditi tegemise ajal uute leidudega, tuleks metoodika valimisel lähtuda auditeeriva organisatsiooni kutsealasest otsustusest ning seda tuleks kohandada kõnealuste uute leidude arvesse võtmiseks, eelkõige juhul, kui auditeerival organisatsioonil on mõistlik põhjus kahelda auditeeritava pakkuja esitatud teabes. Auditeeriva organisatsiooni kutsealane skeptitsism peaks põhinema tema eksperditeadmistel ja muudel teabeallikatel, mis on eriti asjakohased määruse (EL) 2022/2065 kohaldamise puhul, nt Euroopa digiteenuste nõukoja aruanded, komisjoni juhised, auditiaruanded, mis on esitatud lähtuvalt kõnealuse määruse artiklites 45, 46 ja 48 osutatud tegevusjuhenditest või kriisiprotokollidest, või auditi tegemise ajal saadud teave, sh kui see on seotud sündmustega, eelkõige kriisiolukordadega, mis eeldavad auditeeritavalt pakkujalt täiendavaid meetmeid, et tagada teatavate auditeeritavate kohustuste täitmine.

(27)

Selleks et tagada auditi ajal piisava tõendusmaterjali kogumine, peaksid auditeerivad organisatsioonid hindama nii auditeeritava pakkuja sisekontrolle kui ka viima läbi substantiivsed auditimenetlused, et hinnata auditeeritava pakkuja nõuetele vastavust. Teatavatel juhtudel peaks auditeeriv organisatsioon tegema ka teste.

(28)

Võttes arvesse digiplatvormide pakkujate kasutatavate algoritmiliste süsteemide keerukust ning nende olulist rolli määruses (EL) 2022/2065 sätestatud mitme kohustuse täitmisel, tuleks pöörata eritähelepanu algoritmiliste süsteemide auditeerimiseks vajalike ja sobilike metoodikate valimisele. See kehtib nii juhul, kui algoritmilised süsteemid on osa auditeeritava pakkuja kasutusele võetud kontrollidest, kui ka juhul, kui need on ise auditeeritavate kohustuste sisu, nt seoses soovitussüsteemidega (nt kooskõlas määruse (EL) 2022/2065 artiklitega 27, 34, 35 ja 38), reklaamisüsteemidega (nt kooskõlas kõnealuse määruse artiklitega 26, 28, 34, 35 ja 39), sisu modereerimise süsteemidega (nt kooskõlas kõnealuse määruse artiklitega 14, 15, 34 ja 35) või mis tahes muu algoritmilise süsteemiga, mis aitab kaasa kõnealuse määruse artiklis 34 osutatud riskide tekkimisele.

(29)

Tuleks kasutada ka substantiivsete analüüsimenetluste kombinatsiooni, sh asjakohasel juhul lähtuvalt auditeeritava pakkuja protsesside ja tegevuste vaatlemisest algoritmiliste süsteemide kavandamisel, arendamisel, käitamisel, testimisel ja seirel või digitaalsete aruannete vaatlemisest ning süsteemide koostatud logidest. Metoodikat tuleks kohandada algoritmiliste süsteemide eripäraga, sh nende juhtimisega, erinevate algoritmiliste süsteemide ja nendega seotud andmehaldussüsteemide vahelise koosmõjuga ning tehnoloogiaga, mis on nende algoritmiliste süsteemide alus, nt generatiivmudelid või muud liigitusvahendid, valiku või otsingu algoritmid.

(30)

Lisaks sellele peaks algoritmiliste süsteemide auditeerimismeetodid hõlmama teste, näiteks et koguda teavet, mida auditeeritav pakkuja ei ole varem dokumenteerinud, või sõltumatult reprodutseerida ja hinnata tulemusi, mille on andnud täpsuse näitajad, testid testkeskkondades või simuleeritud keskkondades või testid tootmissüsteemides, sh andmekoorimise või vastandtestid.

(31)

Võttes arvesse, et auditeeriv organisatsioon vajab mõistliku usaldusväärsuse tasemega auditiarvamuse esitamiseks kvaliteetset auditi tõendusmaterjali, peaks teave, mida auditeeriv organisatsioon otsustab auditi tõendusmaterjalina kasutada, olema sobilik ja piisav auditiriskide vähendamiseks. Lisaks sellele peaks auditi tõendusmaterjal olema usaldusväärne kooskõlas auditeeriva organisatsiooni kutsealase otsustuse ja skeptitsismiga ning võtma vajaduse korral arvesse alternatiivseid teabeallikaid. Kutsealane otsustus ja skeptitsism peaksid hõlmama auditi tõendusmaterjali ja võimalike väärkajastamiste kriitilist hindamist. Kõnealuseid kvaliteedistandardeid tuleks kohaldada kogu auditi tõendusmaterjali suhtes, olenemata sellest, kas selle on esitanud auditeeritav pakkuja või see on saadud muudest allikatest.

(32)

Auditeeriv organisatsioon peaks kaaluma mitmesuguseid teabeallikaid, nt kõnealuse auditeeritava pakkuja töötajate või töövõtjate, sh vastavuskontrolli spetsialistide, inseneride, andmeteadlaste, tarkvaraarhitektide või siseauditi rühmade liikmete küsitlused. Need võivad ka hõlmata tehnilisi dokumente asjakohase süsteemi kujunduse, rakendamise, testimise ja seire, sh andmete kvaliteedi ja juhtimise ning süsteemi ajakohastuste ja versioonide kohta ning muid dokumente auditeeritava pakkuja juhtimise ja otsustusprotsessi kohta, sh võttes arvesse prioriteete, ressursse, ülesannete jaotust ja vastutusvaldkondi või asjaomaste isikute eksperditeadmisi.

(33)

Selleks et tagada auditi tegemise tõhusus ja proportsionaalsus, tuleks auditeerival organisatsioonil võimaldada koostada andmete ja teabe valim, võttes nõuetekohaselt arvesse esindava valimi moodustamise vajadust, et auditeeriv organisatsioon saaks esitada auditiarvamuse mõistliku usaldusväärsuse tasemega. Et tagada auditimenetluste läbipaistvus ja reprodutseeritavus, peaks auditeeriv organisatsioon esitama auditiaruandes valitud valimi suuruse ja valimi moodustamise meetodi põhjendused. Näiteks valimi suurus ja moodustamise metoodika tuleks valida selle alusel, mis on tulemuslik konkreetse auditeeritava kohustuse auditeerimise eesmärgi saavutamiseks ning riski minimeerimiseks, et konkreetse valimi auditeerimise järeldus erineb järeldustest, mis saadaks auditimenetluses kõigi tõendite arvesse võtmisel. Valimi suurus ja moodustamise metoodika tuleks valida, võttes arvesse auditi kogu ulatust ning auditeeritava teenuse asutusesiseseid ja -väliseid muudatusi selle aja jooksul. Neid tuleks samuti kohandada algoritmiliste süsteemide eripäradega, sh seoses profiilianalüüsi alusel personaliseerimisega. Seda arvesse võttes peaks auditeeriv organisatsioon näiteks moodustama sobiliku valimi eri kohortidest või osadest, mis võidakse moodustada personaliseerimismeetodite tulemusena, või tegema kindlaks veamarginaali ja põhjendama, miks see on vastuvõetaval tasemel.

(34)

Võttes arvesse määruse (EL) 2022/2065 teatavate sätete uudsust, on vaja kehtestada metoodilised põhimõtted, sh auditiküsimused ja täiendavad suunitlused auditeerimismeetodite ja auditi tõendusmaterjali valimiseks, et hinnata vastavust kõnealustele sätetele, nimelt määruse (EL) 2022/2065 artiklitele 34, 35 ja 36, mis käsitlevad auditeeritavate pakkujate riskihindamisi ja riskimaandusmeetmete võtmist ning kohustuste kohaldamist kriisile reageerimise suhtes.

(35)

Võttes arvesse, et auditeerivad organisatsioonid peaksid samuti hindama auditeeritava pakkuja vastavust määruse (EL) 2022/2065 artiklile 37, tuleks samuti täpsemalt kirjeldada konkreetset auditit, mille puhul nõuetele vastavust tuleks hinnata, eelkõige et vältida auditeeriva organisatsiooni huvide konflikte.

(36)

Võttes arvesse käitumisjuhendite ja kriisiprotokollide vabatahtlikku olemust, on vaja esitada konkreetsed reeglid määruse (EL) 2022/2065 artiklitele 45, 46 ja 48 vastavuse auditeerimiseks, eelkõige eesmärgiga tagada, et auditeerivatel organisatsioonidel on kogu vajalik teave, et auditeerida igas käitumisjuhendis ja kriisiprotokollis kehtestatud kohustusi,

ON VASTU VÕTNUD KÄESOLEVA MÄÄRUSE:

I JAGU

Üldsätted

Artikkel 1

Reguleerimisese

Käesolevas määruses on sätestatud reeglid auditite tegemiseks kooskõlas määruse (EL) 2022/2065 artikliga 37 seoses järgmisega:

a)	menetlusetapid, millega tagatakse, et valitav auditeeriv organisatsioon vastab määruse (EL) 2022/2065 artikli 37 lõikes 3 sätestatud tingimustele;

b)	menetlusetapid auditeeritava pakkuja koostöö ja abi tagamiseks auditite tegemisel, sh asjakohasele teabele juurdepääsu saamiseks, et hankida auditi tõendusmaterjali;

c)	auditeerimismeetodite määratlemine ja valimine;

d)	auditiaruande ja auditi rakendusaruande vormid.

Artikkel 2

Mõisted

Käesolevas määruses kasutatakse järgmisi mõisteid:

1)	„auditeeriv organisatsioon“ – individuaalne organisatsioon, konsortsium või muu organisatsioonide kombinatsioon, sh mis tahes alltöövõtjad, kellega auditeeritav pakkuja on sõlminud lepingu sõltumatu auditi tegemiseks kooskõlas määruse (EL) 2022/2065 artikliga 37;

2)	„auditeeritav teenus“ – väga suur digiplatvorm või väga suur internetipõhine otsingumootor, mis on määratud kindlaks kooskõlas määruse (EL) 2022/2065 artikliga 33;

3)	„auditeeritav pakkuja“ – auditeeritava teenuse pakkuja, kelle suhtes tehakse sõltumatuid auditeid kooskõlas kõnealuse määruse artikli 37 lõikega 1;

4)	„auditeeritav kohustus“ – määruse (EL) 2022/2065 artikli 37 lõikes 1 osutatud kohustus, mida auditeeritakse;

5)	„auditikriteeriumid“ – kriteeriumid, mille alusel auditeeriv organisatsioon hindab iga auditeeritava kohustuse täitmist;

6)	„auditi tõendusmaterjal“ – mis tahes teave, mida auditeeriv organisatsioon kasutab auditi leidude ja järelduste alusena ning auditiarvamuse esitamisel, sh dokumentidest, andmebaasidest või IT-süsteemidest ning tehtud küsitlustest või testidest saadud andmed;

7)	„väärkajastamine“ – tahtlik või tahtmatu väljajätmine, valeteave või vead avaldustes või andmetes, mille auditeeritav pakkuja on teatanud või esitanud auditeerivale organisatsioonile, või testimiskeskkonnas, mille auditeeritav pakkuja on teinud auditeerivale organisatsioonile kättesaadavaks;

8)	„auditirisk“ – risk, et auditeeriv organisatsioon esitab väära auditiarvamuse või teeb vale järelduse selle kohta, kas auditeeritav pakkuja täidab auditeeritavat kohustust, võttes arvesse avastamisriske, olemuslikke riske ja kontrolliriske kõnealuse auditeeritava kohustuse puhul;

9)	„avastamisrisk“ – risk, et auditeeriv organisatsioon ei avasta väärkajastamist, mis on oluline, et hinnata, kas auditeeritav pakkuja täidab auditeeritavat kohustust;

10)	„olemuslik risk“ – risk, et ilmneb nõuetele mittevastavus, mis on vahetult seotud auditeeritava teenuse olemusega, ülesehitusega, tegevusega ja kasutamisega ning selle käitamise keskkonnaga, ning risk, et ilmneb nõuetele mittevastavus, mis on seotud auditeeritava kohustuse olemusega;

11)	„kontrollirisk“ – risk, et väärkajastamist ei väldita, avastata ega parandata õigel ajal auditeeritava pakkuja sisekontrolli tulemusena;

12)	„olulisuse lävi“ – piirmäär, mille ületamisel mõjutaksid auditeeritava pakkuja kõrvalekalded või väärkajastamised kas individuaalselt või ühiselt mõistlikult auditi leide, järeldusi ja arvamusi;

13)	„mõistlik usaldusväärsuse tase“ – kõrge, aga mitte absoluutne usaldusväärsuse tase, mis võimaldab auditeerival organisatsioonil piisavate ja asjakohaste tõendite alusel väita oma auditiarvamuses ja auditi järeldustes, kas auditeeritav pakkuja täidab auditeeritavaid kohustusi;

14)	„sisekontroll“ – mis tahes meetmed, sh protsessid ja testid, mille auditeeritav pakkuja on koostanud ja rakendanud ja mida ta hoiab kasutusel, sh tema vastavuskontrolli spetsialistid ja juhtimisorgan, et teha auditeeritava pakkuja poolt auditeeritava kohustuse täitmise järelevalvet ja see tagada;

15)	„kontrollitud teadlane“ – teadlane, keda on kontrollitud kooskõlas määruse (EL) 2022/2065 artikli 40 lõikega 8;

16)

„auditimenetlus“ – mis tahes meetodid, mida auditeeriv organisatsioon kasutab auditi tegemisel, sh andmete kogumine, metoodikate valik ja kohaldamine, nt testid ja substantiivsed analüüsimenetlused, ning mis tahes muu tegevus teabe kogumiseks ja analüüsimiseks, et hankida auditi tõendusmaterjali ja koostada auditi järeldusi, mis ei hõlma auditiarvamuse ega auditiaruande esitamist;

17)	„test“ – auditeerimismeetod, mis seisneb mõõtmistes, eksperimentides või muudes kontrollides, sh algoritmiliste süsteemide kontrollides, mille kaudu auditeeriv organisatsioon hindab, kas auditeeritav pakkuja täidab auditeeritavat kohustust;

18)	„substantiivne analüüsimenetlus“ – auditeerimismeetod, mida auditeeriv organisatsioon kasutab, et hinnata teavet auditiriskide või auditeeritava kohustuse täitmise kindlakstegemiseks.

Artikkel 3

Auditi ulatus ja mõistlik usaldusväärsuse tase

1. Audit tehakse sellisel viisil ja sellise aja jooksul, mis võimaldab auditeerival organisatsioonil mõistliku usaldusväärsuse tasemega hinnata, kas auditeeritav pakkuja täidab kõiki auditeeritavaid kohustusi.

2. Audit hõlmab ajavahemikku, mis algab vahetult pärast eelmise auditiga hõlmatud ajavahemikku ja lõpeb kuupäeval, mis võimaldab auditeerival organisatsioonil teha auditi määruse (EL) 2022/2065 artikli 37 lõikes 1 nõutud aja jooksul, sealhulgas kinnitades lõike 1 kohast hinnangut, mis põhineb sel ajavahemikul kogutud tõenditel ja läbiviidud auditeerimismenetlustel, ning koostades ja esitades auditeeritavale pakkujale kõnealuse määruse artikli 37 lõike 4 kohase auditiaruande.

3. Kui varasemaid auditeid ei ole tehtud, hõlmab audit ajavahemikku, mis algab neli kuud pärast määruse (EL) 2022/2065 artikli 33 lõike 6 esimeses lõigus osutatud teavitamist, ning auditi kestus peab võimaldama koostada artikli 6 lõike 1 kohase auditiaruande hiljemalt ühe aasta jooksul alates auditeeritud perioodi algusest.

II JAGU

Auditi tegemise tingimused

Artikkel 4

Auditeeriva organisatsiooni valimine

1. Enne auditi tegemiseks auditeeriva organisatsiooni valimist kontrollib auditeeritav pakkuja, kas valitav organisatsioon vastab määruse (EL) 2022/2065 artikli 37 lõikes 3 kehtestatud nõuetele.

2. Kui valitav auditeeriv organisatsioon koosneb rohkem kui ühest juriidilisest isikust või kavatseb kasutada ühe või mitme alltöövõtja abi, siis kontrollib auditeeritav pakkuja, kas kõik kõnealused juriidilised isikud või alltöövõtjad:

a)	vastavad individuaalselt määruse (EL) 2022/2065 artikli 37 lõike 3 punktides a ja c sätestatud nõuetele;

b)	vastavad ühiselt määruse (EL) 2022/2065 artikli 37 lõike 3 punktis b sätestatud nõudele.

Artikkel 5

Auditeeritava pakkuja ning auditeeriva organisatsiooni vaheline koostöö ja abi

1. Auditeeriva organisatsiooniga kokku lepitud ajal ja igal juhul enne mis tahes auditimenetluse elluviimist edastab auditeeritav pakkuja väljavalitud auditeerivale organisatsioonile vähemalt järgmise teabe:

kirjeldus, mis käsitleb iga auditeeritava kohustuse jaoks kasutusele võetud sisekontrolle, sh nendega seotud näitajad ning kõik praegused ja varasemad mõõtmised, ning võrdlusaluseid, mida auditeeritav pakkuja kasutab, et väita auditeeritavate kohustuste täitmist või teha selle järelevalvet, ning mis tahes lisadokumendid;

b)	olemuslike ja kontrolliriskide esialgne analüüs, kui auditeeritav pakkuja on selle analüüsi teinud, ning mis tahes lisadokumendid;

teave asjakohaste otsustusstruktuuride, pakkuja osakondade, sealhulgas määruse (EL) 2022/2065 artikli 41 kohase vastavuskontrolli funktsiooni pädevuse, asjakohaste IT-süsteemide, andmeallikate, töötlemise ja salvestamise kohta, samuti selgitused asjakohaste algoritmiliste süsteemide ja nende koostoime kohta.

2. Auditeeritav pakkuja annab auditeerivale organisatsioonile põhjendamatu viivituseta juurdepääsu kõigile andmetele, mis on vajalikud auditi tegemiseks, sh isikuandmetele, dokumentidele, menetlusi ja protsesse käsitlevale teabele, ning teabele kõnealuse pakkuja ning mis tahes asjaomaste alltöövõtjate tehnoloogiliste süsteemide, testimiskeskkondade, töötajate ja valduste kohta.

3. Auditeeritav pakkuja teeb kättesaadavaks kõik vajalikud vahendid ning annab auditeerivale organisatsioonile abi ja selgitused, mida see vajab asjakohase teabe analüüsimiseks ja katsete tegemiseks, sealhulgas juhul, kui auditeeriva organisatsiooni poolt määruse (EL) 2022/2065 artikli 37 lõike 3 kohaselt nõutud teave on kolmanda isiku valduses, kellega auditeeritav pakkuja on sõlminud lepingu.

III JAGU

Auditite tegemine

Artikkel 6

Auditiaruanne ja auditi rakendusaruanne

1. Auditeeriv organisatsioon koostab määruse (EL) 2022/2065 artikli 37 lõikes 4 osutatud auditiaruande ilma auditeeritava pakkuja sekkumiseta. Auditiaruanne koostatakse vastavalt I lisas esitatud vormile ning see sisaldab üksikasjalikke ja põhjendatud järeldusi kõigi elementide kohta.

2. Kui see on kohaldatav, siis koostatakse määruse (EL) 2022/2065 artikli 37 lõikes 6 osutatud auditi rakendusaruanne kooskõlas II lisas esitatud vormiga.

Artikkel 7

Menetlused auditi ettevalmistamiseks

1. Auditeeritav pakkuja ja auditeeriv organisatsioon sõlmivad kirjaliku lepingu, milles on märgitud:

a)	auditeeritavate kohustuste ammendav loetelu;

b)	auditeeriva organisatsiooni vastutusvaldkonnad, sh auditeeriva organisatsiooni alla kuuluva iga juriidilise isiku kohta eraldi, kui see on kohaldatav, ja auditiaruande allkirjastamise volitusega isikute kohta;

c)	menetlused ja kontaktpunktid, mille auditeeritav pakkuja teeb auditeerivale organisatsioonile kättesaadavaks, et küsida juurdepääsu artikli 5 lõikes 2 osutatud andmetele;

d)	auditi ajakava, sh auditimenetluste algus- ja lõppkuupäev ning auditiaruande lõpetamise kuupäev;

e)	menetlus auditeeritava pakkuja ja auditeeriva organisatsiooni vaidluste lahendamiseks, mis tulenevad auditi tegemisest.

2. Lõikes 1 osutatud leping ning mis tahes muud lepingud või auditilepingu kaaskirjad auditeeriva organisatsiooni ja auditeeritava pakkuja vahel, mis käsitlevad auditi tegemist, lisatakse auditiaruandele.

3. Kui auditi tegemise ajal tehakse lõikes 1 osutatud lepingus muudatusi, tuuakse see auditiaruandes selgelt esile.

Artikkel 8

Auditiarvamus, auditi järeldused ja soovitused

1. Auditiaruanne sisaldab auditi järeldusi, milleni auditeeriv organisatsioon on jõudnud seoses sellega, kas pakkuja täidab iga auditeeritavat kohustust. Auditi järeldused on kas:

a)	positiivsed, mille puhul järeldab auditeeriv organisatsioon mõistliku usaldusväärsuse tasemega, et auditeeritav pakkuja on täitnud auditeeritavat kohustust;

positiivsed märkustega, mille puhul järeldab auditeeriv organisatsioon mõistliku usaldusväärsuse tasemega, et auditeeritav pakkuja on täitnud auditeeritavat kohustust, aga:

i)	auditeeriv organisatsioon lisab märkusi auditeeritava pakkuja poolt artikli 5 lõike 1 punkti a kohaselt esitatud võrdlusaluste kohta; või

ii)	auditeeriv organisatsioon soovitab täiendusi, mis ei avalda tema järeldusele sisulist mõju;

c)	negatiivsed, mille puhul järeldab auditeeriv organisatsioon mõistliku usaldusväärsuse tasemega, et auditeeritav pakkuja ei ole täitnud auditeeritavat kohustust.

2. Kui auditiaruanne sisaldab tegevussoovitusi kooskõlas määruse (EL) 2022/2065 artikli 37 lõike 4 punktiga h, siis märgitakse kõnealused soovitused ja nende soovituslik ajakava iga auditeeritava kohustuse puhul, mille auditi järeldus kooskõlas lõikega 1 on kas positiivne märkustega või negatiivne.

3. Kui lõikes 2 osutatud tegevussoovitused hõlmavad konkreetseid meetmeid nõuetele vastavuse saavutamiseks, siis sõnastatakse need viisil, mis selgitab auditeeriva organisatsiooni hinnangut sellele, kuidas kõnealused meetmed mõjutavad olulisuse läve, võrreldes seda vastava auditeeritava kohustuse auditi järeldusega.

4. Auditiaruanne sisaldab auditi järelduste põhjal auditiarvamust selle kohta, kas auditeeritav pakkuja täidab kõiki auditeeritavaid kohustusi, millele on osutatud määruse (EL) 2022/2065 artikli 37 lõike 1 punktis a.

5. Auditiaruanne sisaldab kõigi auditeeritavate kohustuste järelduste põhjal auditiarvamust või -arvamusi selle kohta (nagu on kohaldatav), kas auditeeritav pakkuja täidab kõiki auditeeritavaid kohustusi, mille auditeeritav pakkuja on võtnud iga tegevusjuhendi ja kriisiprotokolli alusel, millele on osutatud määruse (EL) 2022/2065 artikli 37 lõike 1 punktis b.

6. Lõigete 4 ja 5 kohaselt esitatavad auditiarvamused on kas:

a)	positiivsed, kui auditeeriv organisatsioon on teinud kõigi auditeeritavate kohustuste puhul positiivse auditi järelduse;

b)	positiivsed märkustega, kui auditeeriv organisatsioon on teinud auditeeritava kohustuse puhul vähemalt ühe auditi järelduse, mis on positiivne märkustega, ja ei ole teinud ühegi auditeeritava kohustuse puhul negatiivset auditi järeldust;

c)	negatiivsed, kui auditeeriv organisatsioon on teinud vähemalt ühe auditeeritava kohustuse puhul negatiivse auditi järelduse.

7. Kui auditeeriva organisatsiooni hinnangu kohaselt ei ole pakkuja artikli 3 lõikes 2 osutatud ajavahemikul piiratud aja jooksul täitnud auditeeritavat kohustust, siis dokumenteeritakse see hinnang nõuetekohaselt auditiaruandes.

8. Kui auditeeriv organisatsioon ei saa esitada piisava usaldusväärsuse tasemega auditi järeldust lõike 1 kohaselt või auditiarvamust lõigete 4 ja 5 kohaselt, siis sisaldab auditiaruanne selgitust nende asjaolude ja põhjuste kohta, mille tõttu ei olnud võimalik kõnealust usaldusväärsuse taset saavutada.

IV JAGU

Auditeerimismeetodid

Artikkel 9

Auditiriskide analüüs

1. Auditiaruanne sisaldab substantiivset auditiriski analüüsi, mille koostab auditeeriv organisatsioon seoses hindamisega, kas auditeeritav pakkuja täidab iga auditeeritavat kohustust.

2. Auditiriski analüüs tehakse enne auditimenetluste alustamist ja seda ajakohastatakse auditi tegemise ajal, võttes arvesse mis tahes uut auditi tõendusmaterjali, mis auditeeriva organisatsiooni kutsealase otsustuse kohaselt muudab sisuliselt auditiriski hinnangut.

3. Auditiriski analüüsi käigus võetakse arvesse:

a)	olemuslikke riske,

b)	kontrolliriske,

c)	avastamisriske.

4. Auditiriski analüüs tehakse, võttes arvesse:

a)	auditeeritava teenuse olemust ning sotsiaalset ja majanduslikku konteksti, milles auditeeritavat teenust käitatakse, sh kriisiolukordade ja ootamatute sündmuste tekke tõenäosust ja raskusastet;

b)	kohustuste olemust;

muud asjakohast teavet, sh:

i)	kui see on kohaldatav, auditeeritava teenuse varasemate auditite käigus saadud teavet;

ii)

kui see on kohaldatav, siis teavet Euroopa digiteenuste nõukoja väljastatud aruannetest või komisjoni juhistest, sealhulgas määruse (EL) 2022/2065 artikli 35 lõigete 2 ja 3 kohaselt välja antud suunistest, ning muudest asjakohastest suunistest, mille komisjon on välja andnud määruse (EL) 2022/2065 kohaldamise kohta;

iii)

kui see on kohaldatav, siis teavet, mis on saadud määruse (EL) 2022/2065 artikli 42 lõike 4 kohaselt avaldatud selliste väga suurte digiplatvormide ja väga suurte internetipõhiste otsingumootorite pakkujate auditiaruannetest, kes tegutsevad auditeeritava teenusega sarnastes tingimustes või osutavad sellega sarnaseid teenuseid.

Artikkel 10

Nõuetekohased auditeerimismeetodid

1. Piiramata artiklites 13, 14 ja 15 sätestatud konkreetsete auditeerimismeetodite kasutamist tehakse auditid, kasutades sobilikke auditeerimismeetodeid, et vähendada hinnatud auditiriske tasemele, mis võimaldab auditeerival organisatsioonil jõuda mõistliku usaldusväärsuse tasemega auditi järelduseni.

2. Auditiaruanne sisaldab auditeerimismeetodite kirjeldust, mille auditeeriv organisatsioon on koostanud enne mis tahes auditimenetluste läbiviimist, sh vähemalt:

a)	auditikriteeriume, mille alusel hinnatakse iga auditeeritava kohustuse täitmist, mis on määratletud artikli 5 lõike 1 punkti a kohase teabe alusel, ning lubatud olulisuse läve, mida on kirjeldatud vastavalt vajadusele kvalitatiivselt või kvantitatiivselt;

b)	kõiki teste, substantiivseid analüüsimenetlusi ja kogu auditi tõendusmaterjali, mida auditeeriv organisatsioon kavatseb kasutada iga auditeeritava kohustuse täitmise hindamiseks.

Auditiaruanne sisaldab auditi tegemise ajal kasutatud metoodika kõigi muudatuste kirjeldust võrreldes enne auditimenetluste läbiviimist koostatud metoodikaga.

3. Kui auditeerival organisatsioonil tekivad auditi tegemisel hinnatud teabe asjus mõistlikud kahtlused, eelkõige seoses teabega, mille on esitanud auditeeritav pakkuja, siis kohandatakse metoodika valikut ja kohaldamist, et tagada kõnealusele organisatsioonile vajalik auditi tõendusmaterjal kooskõlas artikliga 11.

4. Lõikes 3 osutatud mõistlikud kahtlused loetakse tekkinuks, eelkõige mis tahes järgmiste elementide esinemise korral:

a)	kutsealane otsustus ja skeptitsism teabe hindamisel, sealhulgas seoses auditeeritava pakkuja sisekontrolliga, mis sunnib auditeerivat organisatsiooni esitama põhjendatud kahtlusi;

asutuseväline teave, mis osutab auditiriskidele, eelkõige Euroopa digiteenuste nõukoja aruanded, millele on osutatud määruse (EL) 2022/2065 artikli 35 lõikes 2, komisjoni juhised, sealhulgas suunised, millele on osutatud kõnealuse määruse artikli 35 lõikes 3, ning mis tahes muud asjakohased suunised, mille komisjon on väljastanud määruse (EL) 2022/2065 kohaldamise kohta ning auditiaruanded, mis on väljastatud kooskõlas kõnealuse määruse artiklites 45, 46 ja 48 osutatud tegevusjuhendite või kriisiprotokollidega;

c)	teave auditi tegemise ajal toimunud sündmuste kohta, sh kriisiolukorrad, mis nõuavad auditeeritavalt pakkujalt täiendavaid meetmeid teatavate auditeeritavate kohustuste täitmise tagamiseks.

5. Auditimenetlused hõlmavad vähemalt:

a)	testimist ja substantiivsete analüüsimenetluste läbiviimist sisekontrolli puhul, mille auditeeritav pakkuja on võtnud kasutusele iga auditeeritava kohustuse puhul;

b)	substantiivsete analüüsimenetluste läbiviimist, et hinnata iga auditeeritava kohustuse täitmist, sh algoritmiliste süsteemide puhul;

auditeeritavate kohustuste testimist (sh seoses algoritmiliste süsteemidega) juhul, kui auditeerival organisatsioonil on lõikes 4 osutatud mõistlikke kahtlusi, ning nende auditeeritavate kohustuste puhul, mille asjus peab auditeeriv organisatsioon testimist vajalikuks lähtuvalt lõike 1 kohaselt valitud metoodikast.

6. Kui määruse (EL) 2022/2065 artikli 37 lõikes 1 osutatud kohustuste kohaselt peab auditeeritav pakkuja esitama teatava teabe avalikult, peavad auditeerimismeetodid sisaldama hinnangut selle kohta, kas esitatud teabes ei esine olulisi vigu ega väljajätmisi, mis võiksid selle eksitavaks muuta.

Artikkel 11

Auditi tõendusmaterjali kvaliteet

Auditi järeldused ja auditiarvamused peavad põhinema auditi tõendusmaterjalil, mis vastab mõlemale järgmisele nõudele:

a)	see on asjakohane ja piisav, et vähendada auditiriske, mis on tehtud kindlaks kooskõlas artikliga 9, ning et võimaldada auditeerival organisatsioonil esitada auditi järeldused ja arvamused kooskõlas artikliga 8;

b)	see on kooskõlas auditeeriva organisatsiooni kutsealase otsustuse ja skeptitsismiga usaldusväärne.

Artikkel 12

Valimi moodustamise meetodid

1. Kui auditi tõendusmaterjal põhineb osaliselt või täielikult andmete või teabe valimil, siis tuleb valimi suurus ja valimi moodustamise metoodika valida viisil, millega minimeeritakse avastamisrisk, ning ilma auditeeritava pakkuja sekkumiseta.

2. Valimi suurus ja valimi moodustamise metoodika valitakse viisil, millega tagatakse andmete või teabe esindavus ning vajaduse korral kõige järgmise arvesse võtmine:

a)	valimi esindavus artikli 3 lõigetes 2 ja 3 osutatud ajavahemiku puhul;

b)	auditeeritava teenuse asjaomased muutused kõnealuse ajavahemiku vältel;

c)	auditeeritava teenuse osutamise konteksti asjaomased muutused kõnealuse ajavahemiku vältel;

d)	algoritmiliste süsteemide asjasse puutuvad omadused, kui see on kohaldatav, sh profiilianalüüsil või muudel kriteeriumidel põhinev personaliseerimine;

e)	muud kaalumisel olevad andmete, teabe ja tõendite asjasse puutuvad omadused või jaotused;

f)	vajaduse korral konkreetsete rühmade, näiteks alaealiste või haavatavate rühmade ja vähemustega seotud probleemide esindatus ja asjakohane analüüs seoses auditeeritava kohustusega.

3. Auditiaruanne sisaldab valimi suuruse ja valimi moodustamise metoodika põhjendust.

Artikkel 13

Konkreetne metoodika, et auditeerida vastavust määruse (EL) 2022/2065 riskihindamist käsitlevale artiklile 34

1. Kui hinnatakse auditeeritava pakkuja vastavust määruse (EL) 2022/2065 artiklile 34, siis tuleb muu hulgas analüüsida kõike järgmist:

kas auditeeritav pakkuja on hoolikalt kindlaks teinud, analüüsinud ja hinnanud määruse (EL) 2022/2065 artikli 34 lõike 1 esimeses lõigus osutatud süsteemseid riske liidus, sh hinnates järgmist:

i)	kuidas auditeeritav pakkuja tegi kindlaks oma teenusega seotud riskid, võttes arvesse teenuste kasutamise piirkondlikke ja keelelisi aspekte, sh kui need on eriomased liikmesriigile, ning kas riskid on nõuetekohaselt kindlaks tehtud;

ii)	kuidas auditeeritav pakkuja analüüsis ja hindas iga riski, sh kuidas ta kaalus riskide avaldumise tõenäosust ja raskusastet ning kas hinnang oli asjakohane;

iii)	kuidas auditeeritav pakkuja tegi kindlaks määruse (EL) 2022/2065 artikli 34 lõike 2 esimeses lõigus osutatud asjaolud ning analüüsis ja hindas neid, kas seda tehti nõuetekohaselt ning mil määral mõjutavad need tegurid kõnealuse artikli lõikes 1 kindlaks tehtud riske;

iv)	milliseid teabeallikaid auditeeritav pakkuja kasutas, kuidas ta kogus teavet, sh kas ja kuidas ta kasutas teaduslikke ja tehnilisi teadmisi;

v)	kas ja kuidas auditeeritav pakkuja testis riski eeldusi rühmades, millele konkreetsed riskid avaldavad kõige suuremat mõju;

b)	kas riskihindamine tehti määruse (EL) 2022/2065 artikli 34 lõike 1 teises lõigus märgitud aja jooksul ning, kui see on kohaldatav, aja jooksul, mis on määratud riskimaandusmeetmetena kehtestatud tegevuse jaoks, et avastada süsteemseid riske kooskõlas kõnealuse määruse artikli 35 lõike 1 punktiga f;

kuidas auditeeritav pakkuja tegi kindlaks funktsioonid, mis avaldavad tõenäoliselt olulist mõju riskidele, mille kohta tehakse enne funktsioonide kasutuselevõttu kooskõlas määruse (EL) 2022/2065 artikli 34 lõike 1 teise lõiguga riskihindamised, kas need funktsioonid tehti õigesti kindlaks ja kas riskihindamine tehti nõuetekohaselt;

kas auditeeritav pakkuja tegi õigesti kindlaks lisadokumendid, mida tuleks seoses riskihindamisega säilitada, ja kas ta võttis vajalikud meetmed, et tagada kõnealuste dokumentide säilitamine vähemalt kolme aasta jooksul kooskõlas määruse (EL) 2022/2065 artikli 34 lõikega 3, ning kas dokumente säilitati vastavalt.

2. Piiramata mis tahes muud analüüsi, mis on vajalik mõistliku usaldusväärsuse taseme saavutamiseks, peavad määruse (EL) 2022/2065 artiklile 34 vastavuse auditeerimise meetodid hõlmama vähemalt auditeeriva organisatsiooni hinnangut järgmistele elementidele:

sisekontrollid, mille auditeeritav pakkuja on võtnud kasutusele, et jälgida määruse (EL) 2022/2065 artikli 34 lõike 2 esimeses lõigus osutatud iga teguri riskihindamist; selline hindamine:

i)	põhineb kõnealuste sisekontrollide substantiivsetel analüüsimenetlustel;

ii)	põhineb testidel, millega tehakse kindlaks, kas kõnealune sisekontroll on usaldusväärne ning hoolikalt koostatud ja rakendatud ning hoolika järelevalve all;

iii)

hindab, kuidas vastavuskontrolli spetsialist (või spetsialistid) oma ülesandeid täitsid seoses määruse (EL) 2022/2065 artikli 41 lõike 3 punktiga b, d, e või vajaduse korral f, ning kuidas auditeeritava pakkuja juhtorgan osales riskijuhtimisega seotud otsustes kooskõlas kõnealuse määruse artikli 41 lõigetega 6 ja 7;

meetmed, vahendid ja protsessid, mille auditeeritav pakkuja on rakendanud, et tagada vastavus määruse (EL) 2022/2065 artiklile 34, ja nende tulemused: kõnealune hinnang põhineb järgmisel:

i)	substantiivsed analüüsimenetlused;

ii)

testid, sh algoritmiliste süsteemide testid, kui auditeerival organisatsioonil on tekkinud mõistlikud kahtlused, pärast substantiivsete analüüsimenetluste ja sisekontrollide hindamise tulemusi või kui auditeeriv organisatsioon peab vajalikuks teha teste oma valitud meetoditega kooskõlas artikli 10 lõikega 1.

3. Teave, mida auditeeriv organisatsioon analüüsib käesoleva artikli kohase hindamise toetuseks, sisaldab muu hulgas järgmist:

a)	asjakohase auditeeritud ajavahemiku riskihindamise aruanne, mille auditeeritav pakkuja on koostanud, ning vajaduse korral konfidentsiaalne teave, mis ei ole osa kõnealuse määruse artikli 42 lõike 2 kohaselt avaldatud teabest, ja kõik lisadokumendid;

b)	vajaduse korral auditeeritava pakkuja muud riskihindamise aruanded, ja nende lisadokumendid;

c)	teave, mille auditeeritav pakkuja on esitanud kooskõlas artikliga 5;

d)	kõik auditeeritava pakkuja asjakohased läbipaistvusaruanded, millele on osutatud määruse (EL) 2022/2065 artikli 15 lõikes 1;

e)	mis tahes muud testide tulemused, dokumendid, tõendid, vastused, mis on antud suulistele või kirjalikele küsimustele, mille auditeeriv organisatsioon on esitanud auditeeritava pakkuja töötajatele, ning valdustes tehtud tähelepanekud, kui see on asjakohane;

f)	muud asjakohased tõendid, sh lähtuvalt auditeeritava pakkuja kättesaadavaks tehtud teabest;

g)	võimaluse korral määruse (EL) 2022/2065 artikli 35 lõikes 2 osutatud aruanded ja komisoni väljastatud juhised, sealhulgas suunised kooskõlas kõnealuse määruse artikli 35 lõikega 3 ning mis tahes muud asjakohased juhised, mille komisjon on väljastanud määruse (EL) 2022/2065 kohaldamise kohta.

4. Auditeeriva organisatsiooni analüüsitud teave võib vajaduse korral hõlmata teavet, millele on osutatud määruse (EL) 2022/2065 artikli 42 lõikes 4, sh audititest, riskihindamisest ja riskimaandusaruannetest saadud teavet muude väga suurte digiplatvormide või väga suurte internetipõhiste otsingumootorite kohta, või andmeid ja uuringuid, mille teevad üldsusele kättesaadavaks kontrollitud teadlased kooskõlas määruse artikli 40 lõike 8 punktiga g.

Artikkel 14

Konkreetne metoodika, et auditeerida vastavust määruse (EL) 2022/2065 riskide maandamist käsitlevale artiklile 35

1. Kui hinnatakse auditeeritava pakkuja vastavust määruse (EL) 2022/2065 artiklile 35, siis tuleb muu hulgas analüüsida kõike järgmist:

a)	kuidas auditeeritav pakkuja tegi kindlaks määruse (EL) 2022/2065 artikli 34 lõikes 1 osutatud iga süsteemse riski riskimaandusmeetmed ja kas kõnealused riskimaandusmeetmed tehti kindlaks hoolikalt;

b)	kuidas auditeeritav pakkuja hindas, kas määruse (EL) 2022/2065 artikli 35 lõike 1 punktides a–k sätestatud riskimaandusmeetmed olid kohaldatavad auditeeritava teenuse suhtes ja kas selle hindamise järeldus oli asjakohane, sh nende meetmete puhul, mida auditeeritav pakkuja ei kohaldanud;

kas auditeeritava pakkuja kehtestatud riskimaandusmeetmed on asjaomaste riskide maandamiseks mõistlikud, proportsionaalsed ja tulemuslikud, sealhulgas

i)	hinnates, kas nad reageerivad ühiselt kõigile riskidele, pöörates erilist tähelepanu põhiõiguste kasutamisega seotud riskidele;

ii)	hinnates võrdlevalt, kuidas riske enne ja pärast konkreetsete riskimaandusmeetmete kehtestamist käsitleti;

iii)	kas riskimaandusmeetmed olid asjakohaselt kavandatud ja rakendatud.

2. Piiramata mis tahes muud analüüsi, mis on vajalik mõistliku usaldusväärsuse taseme saavutamiseks, peavad määruse (EL) 2022/2065 artiklile 35 vastavuse auditeerimise meetodid hõlmama vähemalt auditeeriva organisatsiooni hinnangut järgmistele elementidele:

sisekontrollid, mille auditeeritav pakkuja on võtnud kasutusele, et jälgida määruse (EL) 2022/2065 artikli 35 lõikes 1 osutatud riskimaandusmeetmete kohaldamist, ning kas need on mõistlikud, proportsionaalsed ja tulemuslikud; selline hindamine:

i)	põhineb kõnealuste sisekontrollide substantiivsetel analüüsimenetlustel;

ii)	põhineb testidel, millega tehakse kindlaks, kas kõnealune sisekontroll on usaldusväärne ning hoolikalt koostatud ja rakendatud ning hoolika järelevalve all;

iii)	hindab, kuidas vastavuskontrolli spetsialistid oma ülesandeid täitsid seoses määruse (EL) 2022/2065 artikli 41 lõike 3 punktiga b, d, e või vajaduse korral f, ning kuidas osales pakkuja juhtorgan kooskõlas kõnealuse määruse artikli 41 lõigetega 6 ja 7;

auditeeritava pakkuja kasutusele võetud maandusmeetmed; kõnealune hinnang põhineb järgmisel:

i)	substantiivsed analüüsimenetlused;

ii)

3. Teave, mida auditeeriv organisatsioon analüüsib käesoleva artikli kohase hindamise toetuseks, sisaldab muu hulgas järgmist:

a)	asjakohase auditeeritud ajavahemiku riskihindamise ja riskimaandusaruanded, mille auditeeritav pakkuja on koostanud, ning vajaduse korral konfidentsiaalne teave, mis ei ole osa määruse (EL) 2022/2065 artikli 42 lõike 2 kohaselt avaldatud teabest, ja kõik lisadokumendid;

b)	vajaduse korral muud auditeeritava pakkuja riskihindamise ja riskimaandusaruanded ning nende lisadokumendid;

c)	teave, mille auditeeritav pakkuja on esitanud kooskõlas artikliga 5;

d)	kõik auditeeritava pakkuja asjakohased läbipaistvusaruanded, millele on osutatud määruse (EL) 2022/2065 artikli 15 lõikes 1;

e)	asjakohasel juhul varasemad riskimaandusaruanded ja nende lisadokumendid, mis käsitlevad auditeeritud ajavahemikuga hõlmamata ajavahemikke, sh vajaduse korral konfidentsiaalne teave, mis ei ole osa määruse (EL) 2022/2065 artikli 42 lõike 2 kohaselt avaldatud teabest;

f)	mis tahes muud testide tulemused, dokumendid, tõendid, vastused, mis on antud suulistele ja/või kirjalikele küsimustele, mille auditeeriv organisatsioon on esitanud auditeeritava pakkuja töötajatele, ning valdustes tehtud tähelepanekud, kui need on asjakohased;

g)	muud asjakohased tõendid, sh lähtuvalt auditeeritava pakkuja kättesaadavaks tehtud teabest;

h)	võimaluse korral määruse (EL) 2022/2065 artikli 35 lõikes 2 osutatud aruanded ja komisoni väljastatud juhised, sealhulgas suunised kooskõlas kõnealuse määruse artikli 35 lõikega 3 ning mis tahes muud asjakohased juhised, mille komisjon on väljastanud määruse (EL) 2022/2065 kohaldamise kohta.

4. Auditeeriva organisatsiooni analüüsitud teave võib vajaduse korral hõlmata teavet, millele on osutatud määruse (EL) 2022/2065 artikli 42 lõikes 4, sh audititest, riskihindamisest ja riskimaandusaruannetest, mis käsitlevad muid väga suuri digiplatvorme või väga suuri internetipõhiseid otsingumootoreid, või andmeid ja uuringuid, mille teevad üldsusele kättesaadavaks kontrollitud teadlased kooskõlas määruse (EL) 2022/2065 artikli 40 lõike 8 punktiga g.

Artikkel 15

Konkreetne metoodika, et auditeerida vastavust määruse (EL) 2022/2065 kriisidele reageerimise mehhanismi käsitlevale artiklile 36

1. Kui hinnatakse auditeeritava pakkuja vastavust määruse (EL) 2022/2065 artikli 36 lõike 1 esimese lõigu punktile a, siis tuleb muu hulgas analüüsida seda, kas ja kuidas auditeeritav pakkuja võttis nõutavaid meetmeid, eelkõige:

a)	kas ja kuidas auditeeritav pakkuja tegi kindlaks asjakohased süsteemid, mis on seotud tema teenuse toimimise ja kasutamisega ja mis aitavad märkimisväärselt kaasa tõsise ohu tekkimisele, ning kas need süsteemid tehti nõuetekohaselt kindlaks;

b)	kas ja kuidas auditeeritav pakkuja määras kindlaks märkimisväärse kaasa aitamise tõsise ohu tekkimisele ja jälgis seda ning kas see hinnang oli asjakohane;

c)	vajaduse korral muud nõuded, mis on määratud kindlaks komisjoni otsuses, millele on osutatud määruse (EL) 2022/2065 artikli 36 lõikes 1 või lõike 7 teises lõigus.

2. Kui hinnatakse auditeeritava pakkuja vastavust määruse (EL) 2022/2065 artikli 36 lõike 1 esimese lõigu punktile b, siis tuleb muu hulgas analüüsida seda, kas ja kuidas auditeeritav pakkuja võttis nõutavaid meetmeid, eelkõige:

a)	kas ja kuidas auditeeritav pakkuja tegi kindlaks meetmed, mis võimaldavad vältida, kõrvaldada või piirata mis tahes kaasa aitamist tõsise ohu tekkimisele;

b)	kas ja kuidas auditeeritava pakkuja võetud meetmed panustasid tõsise ohu raskusastmesse, kiireloomulisusse ja kas meetmed olid selle jaoks sobilikud;

c)	kas ja kuidas tegi auditeeritav pakkuja kindlaks meetmetest mõjutatud osalised ja nende õigustatud huvid ning kuidas auditeeritav pakkuja hindas meetmete tegelikku või potentsiaalset mõju nende osaliste õigustele, sh põhiõigustele ja õigustatud huvidele;

d)	kas auditeeritava pakkuja võetud meetmed olid tulemuslikud ja proportsionaalsed;

e)	vajaduse korral muud nõuded, mis on määratud kindlaks komisjoni otsuses, millele on osutatud määruse (EL) 2022/2065 artikli 36 lõikes 1 või lõike 7 teises lõigus.

3. Kui hinnatakse auditeeritava pakkuja vastavust määruse (EL) 2022/2065 artikli 36 lõike 1 esimese lõigu punktile c, siis hõlmab see muu hulgas analüüsi, kuidas auditeeritav pakkuja viis ellu nõutava tegevuse, eelkõige kas auditeeritav pakkuja esitas komisjonile teabe, mida nõutakse määruse (EL) 2022/2065 artikli 36 lõikes 1 või lõike 7 teises lõigus osutatud komisjoni otsuses ning kas need aruanded olid täpsed.

Artikkel 16

Sõltumatut auditit käsitlevale määruse (EL) 2022/2065 artiklile 37 vastavuse auditeerimine

1. Määruse (EL) 2022/2065 artiklis 37 ja käesolevas määruses sätestatud kohustuste täitmist hinnatakse seoses auditi või audititega, mida on tehtud igal aastal kõnealusele auditile eelnenud ajavahemiku jooksul.

2. Lisaks lõikes 1 märgitule hõlmab audit hinnangut sellele, kas auditeeritav pakkuja täidab määruse (EL) 2022/2065 artikli 37 lõike 2 nõudeid kõnealuse auditi puhul.

3. Kui lõikes 1 osutatud eelmise(d) auditi(d) tegi sama auditeeriv organisatsioon kui kõnealuse auditi või kui kõnealust auditit tegeva auditeeriva organisatsiooni alla kuulub vähemalt üks juriidiline isik, kes osales varasemas auditis, siis peab auditiaruanne sisaldama selgitust selle kohta, kuidas auditeeriv organisatsioon on taganud hinnangu objektiivsuse.

Artikkel 17

Tegevusjuhenditele ja kriisiprotokollidele vastavuse auditeerimine

1. Auditeeritav pakkuja teeb auditeerivale organisatsioonile kättesaadavaks:

a)	auditeeritava pakkuja allkirjastatud ja määruse (EL) 2022/2065 artiklites 45 ja 46 osutatud kõigi tegevusjuhendite ning määruse (EL) 2022/2065 artiklis 48 osutatud kõigi kriisiprotokollide loetelu ja teksti;

b)	üksikasjaliku loetelu nendes tegevusjuhendites ja kriisiprotokollides sisalduvatest kohustustest, mille auditeeritav pakkuja on võtnud;

c)	kui see on kohaldatav, siis põhilised tulemusnäitajad, milles on iga tegevusjuhendi ja kriisiprotokolli alusel kokku lepitud;

kui see on kohaldatav, siis kättesaadavad mõõtmised, andmed, dokumendid ja aruanded, mille auditeeritav pakkuja on koostanud selle kohta, et ta täidab võetud kohustusi, sh juurdepääs kogu asjakohasele teabele ja kõigile asjakohastele andmetele, mis on seotud auditeeritava pakkuja osutatavate nende teenuste toimimisega, mis on asjakohased tegevusjuhendi või kriisiprotokolli rakendamise puhul;

e)	kui see on asjakohane, siis muud mõõtmised, andmed ja dokumendid, mille on koostanud tegevusjuhendi või kriisiprotokolli allkirjastanud isikud, ning komisjoni või määruse (EL) 2022/2065 artikli 45 lõikes 4 osutatud nõukoja hinnangud.

2. Kui hinnatakse, kas auditeeritav pakkuja järgib määruse (EL) 2022/2065 artiklis 45 osutatud tegevusjuhendeid, siis võetakse muu hulgas arvesse nende põhiliste tulemusnäitajate mõõtmist, milles on kokku lepitud kõnealuse määruse artikli 45 lõike 3 kohases tegevusjuhendis, täpsustades auditi järelduste olulisuse läve ja kas teatatud andmed on täpsed.

V JAGU

Lõppsätted

Artikkel 18

Jõustumine

Käesolev määrus jõustub kahekümnendal päeval pärast selle avaldamist Euroopa Liidu Teatajas.

Käesolev määrus on tervikuna siduv ja vahetult kohaldatav kõikides liikmesriikides.

Brüssel, 20. oktoober 2023

Komisjoni nimel

president

Ursula VON DER LEYEN

(1) ELT L 277, 27.10.2022, lk 1.