DELEGOVANÉ NARIADENIE KOMISIE (EÚ) 2024/436

z 20. októbra 2023,

ktorým sa dopĺňa nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2065 stanovením pravidiel vykonávania auditov pre veľmi veľké online platformy a veľmi veľké internetové vyhľadávače

EURÓPSKA KOMISIA,

so zreteľom na Zmluvu o fungovaní Európskej únie,

so zreteľom na nariadenie Európskeho parlamentu a Rady (EÚ) 2022/2065 z 19. októbra 2022 o jednotnom trhu s digitálnymi službami a o zmene smernice 2000/31/ES (akt o digitálnych službách) (1), a najmä na jeho článok 37 ods. 7,

keďže:

(1)

Nezávislé audity sú dôležitým nástrojom na dohľad nad dodržiavaním povinností poskytovateľov veľmi veľkých online platforiem a veľmi veľkých internetových vyhľadávačov vyplývajúcich z nariadenia (EÚ) 2022/2065. Hoci sa v uvedenom nariadení stanovujú aj iné nástroje zodpovednosti, v neposlednom rade prostredníctvom zvýšenej verejnej kontroly správ o transparentnosti a ďalších požiadaviek na zverejňovanie údajov, nezávislé audítorské organizácie zohrávajú pri včasnom posudzovaní dodržiavania uvedeného nariadenia takýmito poskytovateľmi osobitnú úlohu. Závery a zistenia takýchto nezávislých auditov a ich odporúčania môžu byť zmysluplným informačným zdrojom pre regulačný dohľad. Nezávislé audity zároveň predstavujú jeden z viacerých zdrojov informácií a analýz, ktorý môžu regulačné orgány použiť v rámci svojich úloh v oblasti dohľadu a presadzovania práva.

(2)

Aby sa zaistilo, že sa nezávislé audity budú vykonávať účinným, efektívnym, včasným a porovnateľným spôsobom od dňa začatia uplatňovania nariadenia (EÚ) 2022/2065, ako sa vymedzuje v jeho článkoch 92 a 93, mala by Komisia stanoviť pravidlá vykonávania auditov, najmä pokiaľ ide o právne povinnosti auditovaných poskytovateľov a procesné kroky, s cieľom zabezpečiť, že organizácie vykonávajúce audity spĺňajú požiadavky nezávislosti, odbornosti, profesijnej etiky a neexistencie konfliktu záujmov, ako sa stanovuje v článku 37 ods. 3 nariadenia (EÚ) 2022/2065.

(3)

Aby sa uľahčilo primerané vykonávanie auditov s vysokou mierou odbornosti a predišlo sa nezamýšľaným dôsledkom na trhu s audítorskými službami, malo by sa objasniť, že audity vykonávané v súlade s článkom 37 nariadenia (EÚ) 2022/2065 môže vykonávať viacero audítorov. Auditovaný poskytovateľ môže v prípade potreby uzavrieť zmluvu na výkon auditu s rôznymi audítorskými organizáciami alebo konzorciom organizácií, napríklad ak je potrebná osobitná expertíza na audit určitých povinností alebo záväzkov, napríklad v súvislosti s navrhovaním a fungovaním algoritmických systémov, pochopením rizík týkajúcich sa základných práv alebo šírením nezákonného obsahu. Audítorské organizácie môžu takisto uzavrieť subdodávateľskú zmluvu na potrebnú expertízu, a to za predpokladu, že audítorská organizácia aj subdodávatelia spĺňajú potrebné podmienky týkajúce sa nezávislosti, neexistencie konfliktu záujmov, dokázanej objektivity a profesijnej etiky a že spoločne spĺňajú podmienky technických odborných znalostí. Aj v takýchto prípadoch by mal auditovaný poskytovateľ naďalej zabezpečiť, aby sa aspoň raz ročne vykonal audit jeho súladu so všetkými povinnosťami a záväzkami uvedenými v článku 37 ods. 1 nariadenia (EÚ) 2022/2065.

(4)

Audítorské organizácie by mali audítorské stanoviská, na ktoré sa odkazuje v článku 37 ods. 4 písm. g) nariadenia (EÚ) 2022/2065, deklarovať s primeraným stupňom istoty. Na to, aby sa dosiahol primeraný stupeň istoty, by audítorská organizácia mala mať vysoký, no nie absolútny stupeň spoľahlivosti, pokiaľ ide o to, že nedošlo k žiadnym nesprávnostiam, napríklad k opomenutiam, skresleniam alebo chybám, ktoré sa v rámci auditu nezistili. Na účely zabezpečenia tohto stupňa istoty by mala audítorská organizácia okrem iného získať dostatok dôkazov a použiť pri posudzovaní primerané metodiky auditu.

(5)

Podľa článku 37 ods. 1 nariadenia (EÚ) 2022/2065 by sa nezávislé audity mali vykonávať aspoň raz ročne a mali by byť zosúladené s ročným cyklom posudzovania rizík, ktorý sa uvádza v článku 34 uvedeného nariadenia. V niektorých prípadoch však môžu byť potrebné častejšie audity. Postupnosť auditov by mala zabezpečiť kontinuálny dohľad nad dodržiavaním nariadenia (EÚ) 2022/2065 a príslušných kódexov správania a krízových protokolov auditovanými poskytovateľmi. Auditovaný poskytovateľ by mal zabezpečiť, aby obdobie, za ktoré sa v rámci daného auditu posudzuje súlad s auditovanými povinnosťami a záväzkami, dopĺňalo obdobie, na ktoré sa vzťahoval predchádzajúci audit zameraný na dodržiavanie týchto povinností a záväzkov poskytovateľom, a aby sa začínalo najneskôr dňom, ktorým sa skončilo obdobie posudzované v rámci predchádzajúceho auditu. Keďže záver auditu zahŕňa posúdenie vykonané audítorskou organizáciou, ako aj vypracovanie audítorskej správy, auditovaní poskytovatelia by mali zabezpečiť, aby trvanie auditu umožňovalo dokončenie auditov aspoň raz ročne a aby sa audítorské správy predkladali Komisii a koordinátorovi digitálnych služieb bez zbytočného odkladu podľa článku 42 ods. 4 nariadenia (EÚ) 2022/2065.

(6)

Hoci auditovaní poskytovatelia by za žiadnych okolností nemali zasahovať do výkonu auditu a jeho záverov, mali by si splniť povinnosti vyplývajúce z článku 37 nariadenia (EÚ) 2022/2065 vrátane toho, že si s audítorskou organizáciou dohodnú zmluvné podmienky a pred výberom audítorskej organizácie si overia, či spĺňa podmienky stanovené v článku 37 ods. 3 nariadenia (EÚ) 2022/2065.

(7)

Auditovaný poskytovateľ by mal napríklad posúdiť zmluvy, ktoré s audítorskou spoločnosťou uzavrel v minulosti, alebo zmluvy, ktoré audítorská organizácia uzavrela s právnickými osobami prepojenými s auditovaným poskytovateľom. Auditovaný poskytovateľ by mal zároveň do zmluvy s audítorskou organizáciou zahrnúť ustanovenia, ktorými sa zaručí dodržanie podmienok stanovených v článku 37 ods. 3 nariadenia (EÚ) 2022/2065. Ak audítorskú organizáciu tvorí viacero subjektov, auditovaný poskytovateľ by sa mal ubezpečiť, že všetky tieto subjekty spĺňajú dané podmienky, a to vrátane prípadných subdodávateľov, ktorých audítorská organizácia najme na to, aby v akomkoľvek smere podporila vykonávanie auditu. Zatiaľ čo každý subjekt vykonávajúci audit by mal samostatne spĺňať požiadavky na nezávislosť a na neexistenciu konfliktu záujmov, spoločne by tieto subjekty mali spĺňať požiadavky týkajúce sa kompetencií, odborných znalostí alebo technických zdrojov, aby tak mohli rôzne subjekty vykonávať rôzne časti auditu a prispieť schopnosťami, kompetenciami a odbornými znalosťami potrebnými na výkon auditu. V audítorskej správe by sa mala uviesť zodpovednosť každého z týchto subjektov za jednotlivé časti auditu.

(8)

Podľa článku 37 ods. 3 písm. a) bodu i) nariadenia (EÚ) 2022/2065 by mal auditovaný poskytovateľ pri overovaní toho, či audítorská organizácia spĺňa požiadavky nezávislosti a neexistencie konfliktu záujmov, venovať mimoriadnu pozornosť tomu, aby audítorská organizácia auditovanému poskytovateľovi neposkytovala neaudítorské služby. Auditovaný poskytovateľ by mal napríklad posúdiť, či nedošlo k poskytnutiu služieb, ktoré by súviseli napríklad s niektorým systémom, softvérom alebo procesom, ktoré sa týkajú záležitostí relevantných pre auditovanú povinnosť alebo záväzok, napríklad konzultačné služby na posúdenie výkonu, správy a softvéru, služby odbornej prípravy, vývoj alebo údržba systémov alebo subdodávateľské moderovanie obsahu. K takýmto službám patria aj služby poskytované auditovanému poskytovateľovi zahŕňajúce konzultácie o vnútorných kontrolách alebo ich vývoj, alebo posudzovanie dodržiavania nariadenia (EÚ) 2022/2065 či kódexov správania a krízových protokolov, ktoré slúži na interné účely auditovaného poskytovateľa, a to aj vtedy, ak ide len o presné testy, napríklad testovanie tretími stranami zamerané na výkon systémov na moderovanie obsahu. Tým by sa nemali vylúčiť audítorské organizácie, ktoré vykonali štatutárne finančné audity.

(9)

Vzhľadom na komplexnosť a osobitý charakter auditov zhody v súvislosti s nariadením (EÚ) 2022/2065 je odbornosť audítorskej organizácie v danej oblasti kľúčovou na vykonávanie auditov s primeraným stupňom istoty a na uplatňovanie odborného úsudku a skepticizmu, vďaka ktorým organizácia napríklad vie, ktoré informácie sú potrebné na vykonanie audítorských postupov alebo na spochybnenie protichodných informácií. Auditovaný poskytovateľ by si mal preto overiť, či audítorská organizácia ponúka takúto odbornosť, a to aj v oblasti riadenia rizika, s ohľadom tak na audítorské riziká, ako aj na predmet nariadenia (EÚ) 2022/2065, a najmä na systémové spoločenské riziká, na ktoré sa odkazuje v článku 34 uvedeného nariadenia. Okrem toho by auditovaný poskytovateľ mal overiť technické kompetencie a schopnosti audítorskej organizácie vzhľadom na konkrétnu auditovanú službu vrátane jej odbornosti v danej oblasti, napríklad pokiaľ ide o fungovanie a vplyvy algoritmických systémov, ako sú odporúčacie systémy a iné sociálno-technické systémy spravované poskytovateľom. Audítorská organizácia by mala mať možnosť uzavrieť subdodávateľskú zmluvu alebo inak získať a využiť potrebné odborné znalosti a schopnosti a auditovaný poskytovateľ by mal overiť a zabezpečiť, aby audítorská organizácia bola schopná tieto odborné znalosti a schopnosti zabezpečiť načas na účely výkonu auditu.

(10)

Pri overovaní toho, či audítorské organizácie spĺňajú podmienky stanovené v článku 37 ods. 3 nariadenia (EÚ) 2022/2065, by mal auditovaný poskytovateľ posúdiť relevantné dôkazy, podľa potreby vrátane osvedčení, vyhlásení a audítorských správ vydaných audítorskou organizáciou. Náležité odborné znalosti by sa mohli preukazovať napríklad praktickými skúsenosťami pri posudzovaní a riadení rizík, ako aj akademickou činnosťou, vedeckými publikáciami a skúsenosťami s príslušnými auditmi. Audítorské správy by mali zahŕňať všetky príslušné podporné dokumenty potvrdzujúce, že audítorská organizácia spĺňa potrebné podmienky.

(11)

Podľa článku 37 ods. 2 nariadenia (EÚ) 2022/2065 je auditovaný poskytovateľ povinný poskytnúť audítorskej organizácii všetku potrebnú spoluprácu a pomoc, aby mohla vykonať audit účinne, efektívne a načas, a zároveň nesmie žiadnym spôsobom zasahovať do jej nezávislých rozhodnutí. Auditovaný poskytovateľ by napríklad nemal ukladať ani poskytovať žiadne usmernenia, ani inak ovplyvňovať audítorskú organizáciu prostredníctvom žiadnych zmluvných či iných obmedzení alebo stimulov pri výbere a vykonávaní audítorských postupov, metodík, získavaní a spracúvaní informácií a audítorských dôkazov, analýz, testov, audítorských stanovísk alebo vypracúvaní záverov auditu.

(12)

S cieľom zaručiť potrebnú spoluprácu a pomoc počas auditu by mal auditovaný poskytovateľ audítorskej organizácii zabezpečiť prístup ku všetkým informáciám potrebným na výkon auditu. Auditovaný poskytovateľ by mal čo najskôr, a v každom prípade ešte predtým, ako audítorská organizácia začne s výkonom audítorských postupov, poslať všetky potrebné dokumenty a vysvetlenia. Podľa článku 41 ods. 3 písm. d) a e) nariadenia (EÚ) 2022/2065 musí napríklad útvar pre súlad s predpismi zriadený auditovaným poskytovateľom monitorovať dodržiavanie všetkých auditovaných povinností a záväzkov, čo by malo viesť k vypracovaniu vnútorných kontrol. Audítorskej organizácii by sa preto mal poskytnúť prístup ku všetkým informáciám súvisiacim s takýmito kontrolami a ku všetkým ďalším informáciám, ktoré načrtávajú stratégiu auditovaného poskytovateľa na zabezpečenie súladu. Auditovaný poskytovateľ by mal najmä sprístupniť audítorskej organizácii referenčné hodnoty, o ktoré sa opiera s cieľom zabezpečiť súlad s nariadením (EÚ) 2022/2065, aby audítorská organizácia mohla na týchto informáciách založiť kritériá auditu. Okrem toho by audítorská organizácia mala mať prístup ku všetkým analýzam, ktoré auditovaný poskytovateľ mohol vykonať v súvislosti s inherentnými rizikami a kontrolnými rizikami. Tento poskytovateľ by mal audítorskej organizácii sprístupniť informácie, ktoré uľahčujú pochopenie auditovanej služby, jej riadenia, spôsobilosti príslušných tímov a rozhodovacích štruktúr vrátane funkcie dodržiavania súladu s predpismi, a ktoré aj predstavia jeho systémy informačných technológií (IT), štruktúry údajov a záznamov a vzájomné pôsobenie medzi rôznymi algoritmickými systémami, ktoré sú pre audit relevantné.

(13)

Audítorská organizácia by mala mať možnosť kedykoľvek počas vykonávania auditu požiadať o akékoľvek ďalšie potrebné informácie. Prístup k týmto informáciám by jej mal byť poskytnutý bez zbytočného odkladu, a to spôsobom, ktorý nijako neobmedzuje vykonávanie auditu. Tento nárok by sa mal podľa potreby vzťahovať na prístup k údajom vrátane osobných údajov získaných z viacerých zdrojov, ako sú dokumenty, algoritmické systémy, databázy alebo rozhovory. Auditovaný poskytovateľ by mal audítorskej organizácii zároveň poskytnúť prístup k postupom a procesom, IT systémom, ako sú algoritmické a informačné systémy, vrátane testovacích prostredí. Aby mohla audítorská organizácia takéto systémy zmysluplne skontrolovať, auditovaný poskytovateľ by jej mal sprístupniť všetky potrebné zdroje, ktoré by jej pomohli pri prístupe k systémom a ich posudzovaní, napríklad by mala mať k dispozícii zamestnancov poskytovateľa, ktorí sú spôsobilí odpovedať na otázky alebo prevádzkovať testovacie prostredia a vysvetliť spôsoby ich fungovania, alebo by jej mal byť uľahčený akýkoľvek ďalší potrebný prístup k zamestnancom a priestorom, napríklad do budov. Prístup k postupom a procesom môže znamenať napríklad prístup k opisom alebo dokumentom týkajúcim sa interného rozhodovacieho procesu auditovaného poskytovateľa. Na prístup k relevantným informáciám môžu byť potrebné aj ďalšie doplnkové opatrenia auditovaného poskytovateľa, aby splnil svoju povinnosť spolupracovať a poskytovať pomoc. V prípade rozhovorov so zamestnancami môže byť napríklad potrebné, aby auditovaný poskytovateľ zaistil bezpečné priestory. Ak je to potrebné na vykonanie auditu, auditovaní poskytovatelia by mali plniť povinnosť spolupráce a pomoci vo vzťahu k audítorskej organizácii okrem iného uľahčením prístupu k relevantným údajom týkajúcim sa ich činností, ktoré majú k dispozícii ich externí dodávatelia. Môže to tak byť napríklad v prípade výsledkov opatrení na moderovanie obsahu, školiacich materiálov alebo usmernení, ktoré používajú externí dodávatelia, ktorí obsah moderujú, alebo predajcovia a poskytovatelia služieb pre IT riešenia vrátane napríklad algoritmov a aplikácií používaných v odporúčacích systémoch alebo reklamných systémoch používaných auditovaným poskytovateľom.

(14)

Aby sa uľahčila zmysluplná transparentnosť zistení auditu a stanovil sa komplexný a porovnateľný formát audítorských správ, na ktoré sa odkazuje v článku 37 ods. 4 nariadenia (EÚ) 2022/2065, a správ o vykonávaní odporúčaní auditu, na ktoré sa odkazuje v článku 37 ods. 6 uvedeného nariadenia, mali by sa v tomto nariadení stanoviť vzory pre všetky tieto správy a ku každej správe by sa malo požadovať niekoľko príloh. Hoci vzory stanovené v tomto nariadení si vyžadujú komplexné podávanie správ, nemali by ovplyvniť požiadavky týkajúce sa uverejňovania správ stanovené v článku 42 ods. 4 a 5 nariadenia (EÚ) 2022/2065.

(15)

Aby sa zabezpečilo, že auditovaný poskytovateľ poskytne audítorskej organizácii všetku potrebnú pomoc bez toho, aby zasahoval do auditu, a že audítorská organizácia splní všetky podmienky prípravy auditu a predloží audítorskú správu načas a v kvalite potrebnej na dosiahnutie primeraného stupňa istoty, mali by sa stanoviť určité pravidlá špecifikujúce postupy prípravy auditu. Povinnosti a zodpovednosti auditovaného poskytovateľa a audítorskej organizácie vrátane všetkých subdodávateľov alebo partnerských organizácií a zamestnancov zodpovedných za vykonanie auditu by sa mali stanoviť na základe písomnej dohody, a to aj prostredníctvom zmluvných podmienok. V písomnej dohode by sa mali špecifikovať aj auditované povinnosti a záväzky, vyčlenenie zdrojov a pravidlá interakcie a kontaktné miesta medzi audítorskou organizáciou a auditovaným poskytovateľom. K audítorskej správe by sa mali priložiť všetky podporné dokumenty a zmluvy, a to aj vtedy, ak sú vo forme zákazkového listu alebo iných zmluvných podmienok.

(16)

Aby sa poskytol komplexný prehľad a uľahčila sa zodpovednosť auditovaných poskytovateľov, audítorská správa by mala obsahovať záver s posúdením audítorskej organizácie o súlade auditovaného poskytovateľa s každou z auditovaných povinností alebo záväzkov. Každý záver auditu by mal vychádzať z primeraného stupňa istoty a mal by byť „kladný“, „kladný s pripomienkami“ alebo „záporný“, aby sa audítorské stanovisko opieralo o náležité informácie. Závery, ktoré sú „kladné s pripomienkami“, by sa nemali týkať samotného posúdenia súladu. Takéto pripomienky by sa mohli týkať napríklad informácií, ktoré má preložiť poskytovateľ na žiadosť audítorskej organizácie, alebo zlepšenia údržby či kontrol, ktoré auditovaný poskytovateľ zaviedol, alebo by mohli oboznamovať o ďalších plánoch na zmierňovanie rizík a vylepšeniach, ktoré má poskytovateľ v úmysle vykonať. V každom prípade, ak sa audítorská organizácia domnieva, že auditovaný poskytovateľ dodržiava auditované povinnosti alebo záväzky podľa referenčných hodnôt, ktoré oznámil, ale považuje za potrebné doplniť aj poznámky k týmto referenčným hodnotám, záver auditu by mal byť „kladný s pripomienkami“, keďže takéto pripomienky by poskytovateľovi mohli priniesť užitočné informácie o možnostiach potenciálnych zmien jeho referenčných hodnôt na základe poznatkov a odborných znalostí audítorskej organizácie, ako aj na základe informácií z externých zdrojov. Pripomienky by sa napríklad mohli opierať o usmernenia Komisie, a to aj prostredníctvom usmernení Komisie uvedených v článku 35 ods. 3 nariadenia (EÚ) 2022/2065, a o akékoľvek iné relevantné usmernenia vydané Komisiou v súvislosti s uplatňovaním uvedeného nariadenia, správy Európskeho výboru pre digitálne služby uvedeného v článku 35 ods. 2 uvedeného nariadenia, opatrenia v oblasti presadzovania práva, rozhodnutia prijaté Komisiou podľa uvedeného nariadenia, príslušnú judikatúru, najmä Súdneho dvora Európskej únie, verejné konzultácie alebo relevantné hodnoverné zdroje.

(17)

Aby sa umožnila verejná kontrola a regulačný dohľad, v prípade, že je záver auditu „negatívny“, no uplatňuje sa len na obmedzené časové obdobie a audítorská organizácia sa domnieva, že auditovaný poskytovateľ po zvyšok obdobia auditu danú povinnosť alebo záväzok dodržiaval, malo by sa to zohľadniť v audítorskej správe pri každej dotknutej povinnosti alebo záväzku. Správa by mala obsahovať pripomienky audítorskej organizácie k všetkým informáciám, ktoré jej poskytol auditovaný poskytovateľ, pokiaľ ide o zavedené alebo chystané plány na nápravu nesúladu.

(18)

Vzhľadom na rôzny charakter právnych záväzkov stanovených v kapitole III nariadenia (EÚ) 2022/2065 a dobrovoľných záväzkov prijatých na základe kódexov správania a krízových protokolov podľa článkov 45, 46 a 48 uvedeného nariadenia by mali audítorské organizácie vydať audítorské stanoviská o súlade s uvedenou kapitolou a jednotlivými kódexmi a protokolmi.

(19)

Na to, aby sa audit vykonal s primeraným stupňom istoty a aby sa určili vhodné audítorské postupy podľa metodík, ktorými sa minimalizuje audítorské riziko na nízku úroveň, by kľúčovou súčasťou metodiky na vykonanie auditu mal byť odhad audítorských rizík, konkrétne rizík toho, že audítorská organizácia dospeje k neprimeranému audítorskému stanovisku alebo záveru. Audítorská organizácia by preto mala posúdiť audítorské riziko na úplnom začiatku auditu, ešte predtým, ako navrhne presnú metodiku a začne vykonávať audítorské postupy. Analýza audítorských rizík je potrebná na to, aby si audítorská organizácia podľa nej mohla zvoliť presné metodiky auditu a stanoviť, do akej miery musia byť audítorské postupy komplexné, aby sa v prípade audítorského stanoviska dosiahol primeraný stupeň istoty. Audítorská organizácia by mala vykonať analýzu audítorských rizík s cieľom posúdiť súlad s jednotlivými auditovanými povinnosťami a záväzkami, a to pri zohľadnení inherentných, kontrolných a detekčných rizík.

(20)

Na účely správneho zhodnotenia audítorských rizík by sa pri ich analýze mal zohľadniť charakter auditovanej služby, najmä jej rizikový profil, ako aj rozsah a komplexnosť auditu. Je napríklad pravdepodobné, že na online platformy, ktoré umožňujú uzatváranie zmlúv medzi spotrebiteľmi na diaľku, sa budú vzťahovať iné inherentné riziká ako na platformy na zdieľanie videí alebo na vyhľadávače. Okrem toho by sa mal zohľadniť aj spoločenský a hospodársky kontext poskytovania auditovanej služby, napríklad pokiaľ ide o typické skupiny používateľov, ako sú maloleté osoby, alebo časté správanie, napríklad vysoký výskyt neautentického používania a koordinovaného správania v dezinformačných kampaniach. V rámci spoločenského a hospodárskeho kontextu by sa mala zohľadniť aj pravdepodobnosť a nezávisle i závažnosť vystavenia krízovým situáciám a neočakávaným udalostiam, ako sa uvádza v nariadení (EÚ) 2022/2065.

(21)

Aby sa zabezpečilo, že v analýze audítorských rizík sa zohľadní aj vývoj rizík, ktorým je služba vystavená, mala by analýza audítorských rizík vychádzať aj z prípadných informácií z predchádzajúcich auditov, ktoré auditovaný poskytovateľ absolvoval, a stavať na informáciách zo zdrojov, ako sú audítorské správy iných poskytovateľov s podobným rizikovým profilom. Aby sa zabezpečilo, že analýza audítorských rizík je plne podložená najnovšími dôkazmi o rizikách v kontextoch podobných tým, v ktorých pôsobí auditovaný poskytovateľ, a hodnovernými zdrojmi, ktoré sú bezprostredne dôležité pre uplatňovanie nariadenia (EÚ) 2022/2065, mala by analýza prípadne vychádzať aj z informácií zo správ vydaných Európskym výborom pre digitálne služby alebo z usmernení Komisie. Ďalšie informácie by mohli zahŕňať informácie z audítorských správ uverejnených podľa článku 42 ods. 4 nariadenia (EÚ) 2022/2065 inými poskytovateľmi veľmi veľkých online platforiem alebo veľmi veľkých internetových vyhľadávačov.

(22)

Audítorská organizácia by mala bez vplyvu auditovaného poskytovateľa vypracovať metodiky auditu, na základe ktorých sa posúdi dodržiavanie auditovaných povinností a záväzkov. Kritériá auditu by sa mali zakladať na informáciách, ktoré predloží auditovaný poskytovateľ v súvislosti s referenčnými hodnotami, ktoré auditovaný poskytovateľ využíva na monitorovanie súladu. V metodike sa môžu zohľadniť aj iné informácie, ktoré sprístupní auditovaný poskytovateľ, napríklad analýza inherentných rizík, ak ju auditovaný poskytovateľ vykonal, napríklad prostredníctvom opatrení, ktoré vypracoval pracovník zodpovedný za dodržiavanie súladu s predpismi alebo riadiaci orgán v súlade s článkom 41 nariadenia (EÚ) 2022/2065 alebo prostredníctvom iných opatrení zahrnutých do fungovania služby na posúdenie systémových rizík, na ktoré sa odkazuje v článku 34 uvedeného nariadenia.

(23)

S cieľom zabezpečiť, aby boli metodiky auditu vhodné na dosiahnutie primeraného stupňa istoty audítorských stanovísk, by sa pri výbere metodík pre audítorské postupy mali zohľadniť špecifiká auditovanej povinnosti alebo záväzku a metodiky by sa mali prispôsobiť napríklad charakteru auditovanej povinnosti, podľa toho, či ide o povinnosť vynaložiť prostriedky alebo povinnosť týkajúca sa výsledkov, ktoré musí poskytovateľ dosiahnuť na účely súladu. Na základe postupov auditu na posúdenie súladu s povinnosťou podávať správy o transparentnosti podľa článku 15 nariadenia (EÚ) 2022/2065 by napríklad mohla audítorská organizácia dospieť k záveru, či boli správy zverejnené v lehotách a vo formátoch požadovaných v uvedenom nariadení a či boli správy úplné a nahlásené údaje presné, reprezentatívne a náležite rozčlenené, napríklad podľa kategórií nezákonného obsahu, v ktorých sa zaviedli opatrenia.

(24)

Výber metodiky by mohol závisieť aj od toho, či sa v rámci posúdenia súladu od audítorskej organizácie požaduje kontextuálny výklad. Výber metodík by sa mal prispôsobiť aj inherentným rizikám súvisiacim s činnosťami vykonávanými pri poskytovaní služby a kontextu, v ktorom sa táto služba poskytuje, napríklad či je jej súčasťou predaj tovaru, ktorý by mohol byť nezákonný, alebo či túto službu primárne využívajú maloleté osoby. Napríklad prostredníctvom metodík na posúdenie súladu s povinnosťami zaviesť vhodné a primerané opatrenia na zabezpečenie vysokej úrovne súkromia, bezpečnosti a ochrany maloletých podľa článku 28 ods. 1 nariadenia (EÚ) 2022/2065 by mala byť audítorská organizácia schopná dostatočne pochopiť, ako auditovanú službu využívajú maloleté osoby a aké riziká môžu ohroziť ich súkromie, bezpečnosť a ochranu, ako aj čo predstavuje vhodné a primerané opatrenie v konkrétnom kontexte tejto auditovanej služby a jej využívania maloletými osobami. Na tento účel by audítorské organizácie mali posúdenie rozčleniť do náležitých krokov. Mali by posúdiť riziká auditu podľa rizikového profilu auditovaného poskytovateľa, najmä či je dostupný maloletým osobám alebo prevažne využívaný takýmito osobami. Mali by napríklad posúdiť, či poskytovateľ zaviedol nástroje na overovanie veku, či sú tieto nástroje účinné a ako auditovaný poskytovateľ túto ich účinnosť posudzuje a monitoruje. Mali by posúdiť, či auditovaný poskytovateľ zaviedol vhodné opatrenia na odhaľovanie sporného využívania svojich služieb a vzorcov správania, ktorých cieľom je poškodiť maloleté osoby alebo ktoré by k takému poškodeniu mohli viesť.

(25)

Výber metodík by sa mal prispôsobiť kontrolným rizikám súvisiacim s opatreniami na zabezpečenie súladu, ktoré zaviedol auditovaný poskytovateľ, ako aj detekčným rizikám, konkrétne rizikám, že sa neodhalia nesprávnosti v informáciách, ktoré poskytovateľ sprístupní audítorskej organizácii. Ak by napríklad auditovaná povinnosť mohla zahŕňať audit algoritmického systému založeného na personalizácii auditovanej služby pre jednotlivých príjemcov a opakovaných aktualizáciách algoritmických systémov, napríklad povinnosti zverejnenia týkajúce sa odporúčacích systémov podľa článku 27 nariadenia (EÚ) 2022/2065, výber metodiky by mal audítorskej organizácii umožniť navrhnúť primerané testy na minimalizovanie detekčných rizík. Podobne platí že ak sa audítorská organizácia snaží posúdiť, či boli zmiernené všetky relevantné riziká pri navrhovaní, fungovaní a používaní aplikácií založených na rozsiahlych jazykových modeloch, ako sú funkcie chatu alebo odporúčacie systémy zavedené auditovaným poskytovateľom, audítorská organizácia by mala najprv posúdiť vhodnosť kontrol zavedených poskytovateľom. Pri výbere testov by sa malo vychádzať zo spoľahlivosti týchto vnútorných kontrol. Audítorské postupy sa mali opierať o kombináciu metodík, najmä v prípadoch, nie však výlučne, keď sú vnútorné kontroly slabé, neúplné alebo nejednoznačné v posúdení, či sa dodržiavajú pravidlá vzhľadom na populáciu príjemcov auditovanej služby. Metodiky môžu zahŕňať napríklad analytické postupy skúmania vecnej správnosti, ako je analýza interakcií medzi všetkými algoritmickými systémami obsiahnutými v odporúčacích systémoch a súvisiacimi pravidlami rozhodovania a procesmi stanovenia hlavných parametrov týchto odporúčacích systémov, pozorovanie digitálnych záznamov a denníkov. Metodiky by mali zahŕňať aj testy systému, napríklad testy v simulovaných prostrediach.

(26)

Aby sa zaručila relevantnosť metodiky a jej prispôsobenie novým zisteniam počas vykonávania auditu, výber metodík by sa mal riadiť odborným úsudkom audítorskej organizácie a mal by sa prispôsobiť s ohľadom na tieto nové zistenia, najmä ak má audítorská organizácia opodstatnené pochybnosti týkajúce sa informácií predložených auditovaným poskytovateľom. Profesionálny skepticizmus audítorskej organizácie by mal vychádzať z jej odborných znalostí, ako aj z iných zdrojov informácií osobitne relevantných pre uplatňovanie nariadenia (EÚ) 2022/2065, ako sú správy Európskeho výboru pre digitálne služby, usmernenia Komisie, audítorské správy vychádzajúce z kódexov správania alebo krízových protokolov, na ktoré sa odkazuje v článkoch 45, 46 a 48 uvedeného nariadenia, alebo informácie, ktoré sa objavili v priebehu vykonávania auditu, a to aj v prípade, že sa týkajú udalostí, najmä krízových situácií, ktoré si vyžadujú ďalšie opatrenia auditovaného poskytovateľa, aby sa zaistil súlad s niektorými auditovanými povinnosťami alebo záväzkami.

(27)

Aby audítorská organizácia zabezpečila, že sa počas auditu zhromaždí dostatok audítorských dôkazov, mala by posúdiť vnútorné kontroly auditovaného poskytovateľa a vykonať audítorské postupy skúmania vecnej správnosti na účely posúdenia súladu tohto auditovaného poskytovateľa s predpismi. V niektorých prípadoch by audítorská organizácia mala vykonať aj testy.

(28)

Vzhľadom na komplexnosť algoritmických systémov, ktoré používajú poskytovatelia online platforiem, a dôležitú úlohu, ktorú tieto algoritmické systémy zohrávajú pri dodržiavaní viacerých povinností stanovených v nariadení (EÚ) 2022/2065, by sa mala venovať náležitá pozornosť voľbe potrebných a primeraných metodík na vykonanie ich auditu. To platí tak v prípadoch, keď sú algoritmické systémy súčasťou kontrol zavedených auditovaným poskytovateľom, ako aj vtedy, keď sú samotné algoritmické systémy predmetom auditovaných povinností alebo záväzkov, napríklad vo vzťahu k odporúčacím systémom, napríklad podľa článkov 27, 34, 35 a 38 nariadenia (EÚ) 2022/2065, reklamným systémom, napríklad podľa článkov 26, 28, 34, 35 a 39 uvedeného nariadenia, systémom na moderovanie obsahu, napríklad podľa článkov 14, 15, 34 a 35 uvedeného nariadenia alebo akémukoľvek inému algoritmickému systému, ktorý prispieva k vzniku rizík, na ktoré sa odkazuje v článku 34 uvedeného nariadenia.

(29)

Mala by sa použiť aj kombinácia analytických postupov skúmania vecnej správnosti, prípadne aj na základe pozorovania procesov a činností, ktoré auditovaný poskytovateľ používa pri navrhovaní, vyvíjaní, prevádzkovaní, testovaní a monitorovaní algoritmických systémov, alebo pozorovania digitálnych záznamov a denníkov vytvorených týmito systémami. Metodiky by mali byť prispôsobené špecifikám algoritmických systémov vrátane ich správy, interakcie medzi rôznymi algoritmickými systémami, ako aj so súvisiacimi systémami správy údajov, a technológiám, na ktorých sú tieto algoritmické systémy založené, ako sú generatívne modely alebo iné klasifikátory a algoritmy výberu alebo vyhľadávania.

(30)

Okrem toho by metodiky auditu pre algoritmické systémy mali zahŕňať testy, napríklad na získanie informácií, ktoré auditovaný poskytovateľ doteraz nezdokumentoval, alebo na nezávislé zreprodukovanie a posúdenie výsledkov indikátorov presnosti, testy v sandboxoch alebo v simulovanom prostredí alebo testy vo výrobných systémoch, a to aj prostredníctvom extrakcie údajov alebo kontradiktórneho testovania.

(31)

Vzhľadom na to, že vysoká kvalita audítorských dôkazov je pre audítorskú organizáciu potrebnou podmienkou na vytvorenie audítorského stanoviska s primeraným stupňom istoty, informácie, ktoré sa rozhodne využiť ako audítorské dôkazy, by mali byť vhodné a dostatočné na zníženie audítorských rizík. Audítorské dôkazy by okrem toho mali byť spoľahlivé podľa odborného úsudku a skepticizmu audítorskej organizácie a prípadne s ohľadom na alternatívne zdroje informácií. Súčasťou odborného úsudku a skepticizmu by malo byť kritické posúdenie audítorských dôkazov a možných nesprávností. Tieto štandardy kvality by sa mali uplatňovať na všetky audítorské dôkazy bez ohľadu na to, či ich dodal auditovaný poskytovateľ alebo boli získané z iných zdrojov.

(32)

Audítorská organizácia by mala zvážiť viaceré zdroje informácií, napríklad aj rozhovory so zamestnancami alebo s dodávateľmi auditovaného poskytovateľa vrátane pracovníkov zodpovedných za dodržiavanie súladu s predpismi, inžinierov, dátových vedeckých pracovníkov, softvérových architektov či členov tímov pre vnútorný audit. Môže sa zahrnúť aj technická dokumentácia k návrhu, vykonávaniu, testovaniu a monitorovaniu príslušného systému vrátane dokumentácie o kvalite a správe údajov a o aktualizáciách a verziách systému a ďalšie dokumenty o správe a rozhodovacích procesoch auditovaného poskytovateľa, a to aj vzhľadom na priority, zdroje, prideľovanie úloh a zodpovedností alebo odbornosť príslušných zamestnancov.

(33)

Na zabezpečenie efektivity a proporcionality pri vykonávaní auditu by audítorská organizácia mala mať možnosť odoberať vzorky údajov a informácií, s náležitým zreteľom na dosiahnutie reprezentatívnej vzorky, aby mohla dospieť k audítorskému stanovisku s primeraným stupňom istoty. Aby sa zabezpečila transparentnosť a reprodukovateľnosť audítorských postupov, audítorská organizácia by mala v audítorskej správe odôvodniť svoje rozhodnutia týkajúce sa veľkosti vzorky a spôsobu jej výberu. Pri výbere veľkosti vzorky a metodiky by sa napríklad malo zohľadniť, aký postup je účinný na naplnenie cieľa auditu konkrétnej auditovanej povinnosti alebo záväzku a minimalizovanie rizika, že sa závery auditu konkrétnej vzorky budú líšiť od záverov, ku ktorým by sa dospelo, ak by sa do audítorského postupu zahrnul celý súbor dôkazov. Pri výbere veľkosti vzorky a metodiky by sa mal zohľadniť celkový rozsah auditu, ako aj vnútorné a vonkajšie zmeny auditovanej služby v priebehu daného obdobia. Zároveň by sa mali prispôsobiť špecifikám algoritmických systémov vrátane personalizácie prostredníctvom profilovania. V rámci tohto zvažovania by mala audítorská organizácia napríklad vhodne vyberať vzorky z rôznych kohort alebo sekcií, ktoré môžu byť výsledkom personalizačných techník, alebo identifikovať chybovú odchýlku a odôvodniť, prečo je jej miera prijateľná.

(34)

Vzhľadom na novosť niektorých ustanovení nariadenia (EÚ) 2022/2065 treba stanoviť metodické zásady vrátane audítorských otázok a ďalších usmernení pre výber metodík auditu a audítorských dôkazov na účely posúdenia súladu s týmito ustanoveniami, konkrétne posúdenia súladu s článkami 34, 35 a 36 nariadenia (EÚ) 2022/2065, ktoré sa týkajú vykonávania posúdenia rizík a prijatia opatrení na zmierňovanie rizík auditovanými poskytovateľmi, ako aj uplatňovania povinností v súvislosti s reakciou na krízu.

(35)

Keďže audítorské organizácie by mali posudzovať aj súlad auditovaného poskytovateľa s článkom 37 nariadenia (EÚ) 2022/2065, mali by sa poskytnúť aj ďalšie špecifikácie týkajúce sa presného auditu, na základe ktorého by sa mal súlad posudzovať, najmä aby sa predišlo akémukoľvek konfliktu záujmov audítorskej organizácie.

(36)

Vzhľadom na dobrovoľný charakter kódexov správania a krízových protokolov treba stanoviť osobitné pravidlá na vykonávanie auditu súladu s článkami 45, 46 a 48 nariadenia (EÚ) 2022/2065, najmä s cieľom zabezpečiť, aby mala audítorská organizácia k dispozícii všetky potrebné informácie na vykonávanie auditov zameraných na záväzky prijaté na základe jednotlivých kódexov správania a krízových protokolov,

PRIJALA TOTO NARIADENIE:

ODDIEL I

Všeobecné ustanovenia

Článok 1

Predmet úpravy

Týmto nariadením sa stanovujú pravidlá vykonávania auditov podľa článku 37 nariadenia (EÚ) 2022/2065, pokiaľ ide o:

a)	procesné kroky na zabezpečenie toho, aby vybraná audítorská organizácia spĺňala podmienky stanovené v článku 37 ods. 3 nariadenia (EÚ) 2022/2065;

b)	procesné kroky, ktoré má vykonať auditovaný poskytovateľ v rámci spolupráce a pomoci pri vykonávaní auditov vrátane prístupu k príslušným informáciám s cieľom získať audítorské dôkazy;

c)	vymedzenie a výber metodík auditu;

d)	vzory audítorskej správy a správy o vykonávaní odporúčaní auditu.

Článok 2

Vymedzenie pojmov

Na účely tohto nariadenia sa uplatňuje toto vymedzenie pojmov:

1.	„audítorská organizácia“ je samostatná organizácia, konzorcium alebo iná kombinácia organizácií vrátane akýchkoľvek subdodávateľov, s ktorými auditovaný poskytovateľ uzavrel zmluvu na výkon nezávislého auditu v súlade s článkom 37 nariadenia (EÚ) 2022/2065;

2.	„auditovaná služba“ je veľmi veľká online platforma alebo veľmi veľký internetový vyhľadávač, ktoré sú určené v súlade s článkom 33 nariadenia (EÚ) 2022/2065;

3.	„auditovaný poskytovateľ“ je poskytovateľ auditovanej služby, ktorý je predmetom nezávislých auditov podľa článku 37 ods. 1 uvedeného nariadenia;

4.	„auditovaná povinnosť alebo záväzok“ sú povinnosť alebo záväzok uvedené v článku 37 ods. 1 nariadenia (EÚ) 2022/2065, ktoré sú predmetom auditu;

5.	„kritériá auditu“ sú kritériá, na základe ktorých audítorská organizácia posudzuje dodržiavanie jednotlivých auditovaných povinností alebo záväzkov;

6.	„audítorské dôkazy“ sú akékoľvek informácie, ktoré audítorská organizácia použije na podloženie zistení a záverov auditu a na vydanie audítorského stanoviska, vrátane údajov získaných z dokumentov, databáz alebo IT systémov, rozhovorov alebo vykonaných testov;

7.	„nesprávnosť“ je úmyselné alebo neúmyselné opomenutie, skreslenie alebo chyba vo vyhláseniach alebo v údajoch, ktoré auditovaný poskytovateľ nahlásil alebo poskytol audítorskej organizácii, alebo v testovacom prostredí, ktoré auditovaný poskytovateľ sprístupnil audítorskej organizácii;

„audítorské riziko“ je riziko, že audítorská organizácia vydá nesprávne audítorské stanovisko alebo dospeje k nesprávnemu záveru týkajúcemu sa súladu auditovaného poskytovateľa s auditovanou povinnosťou alebo záväzkom, vzhľadom na detekčné, inherentné a kontrolné riziká v súvislosti s auditovanou povinnosťou alebo záväzkom;

9.	„detekčné riziko“ je riziko, že audítorská organizácia neodhalí nesprávnosti relevantné pre posúdenie súladu auditovaného poskytovateľa s auditovanou povinnosťou alebo záväzkom;

10.	„inherentné riziko“ je riziko nesúladu neoddeliteľne súvisiace s charakterom, koncepciou, činnosťou a používaním auditovanej služby, ako aj s kontextom, v ktorom sa používa, a riziko nesúladu súvisiace s auditovanou povinnosťou alebo záväzkom;

11.	„kontrolné riziko“ je riziko, že sa nesprávnostiam včas nepredíde alebo sa včas neodhalia a neopravia prostredníctvom vnútorných kontrol auditovaného poskytovateľa;

12.	„hladina významnosti“ je prahová hodnota, po prekročení ktorej možno dôvodne predpokladať, že odchýlky alebo nesprávnosti zo strany auditovaného poskytovateľa, či už jednotlivo alebo súhrnne, ovplyvnia zistenia, závery a stanoviská auditu;

13.	„primeraný stupeň istoty“ je vysoký, no nie absolútny stupeň istoty, na základe ktorého môže audítorská organizácia vo svojom audítorskom stanovisku a záveroch auditu na základe dostatočných a primeraných dôkazov vyhlásiť, či auditovaný poskytovateľ dodržiava auditované povinnosti alebo záväzky;

14.

„vnútorná kontrola“ sú opatrenia vrátane procesov a testov, ktoré navrhuje, vykonáva a udržiava auditovaný poskytovateľ vrátane jeho pracovníkov zodpovedných za dodržiavanie súladu s predpismi a riadiaceho orgánu, s cieľom monitorovať a zaisťovať súlad auditovaného poskytovateľa s auditovanou povinnosťou alebo záväzkom;

15.	„preverený výskumný pracovník“ je výskumný pracovník preverený v súlade s článkom 40 ods. 8 nariadenia (EÚ) 2022/2065;

16.

„audítorský postup“ je akákoľvek technika, ktorú audítorská organizácia použije pri vykonávaní auditu, vrátane získavania údajov, výberu a uplatňovania metodík, napríklad testov a analytických postupov skúmania vecnej správnosti, a akýchkoľvek ďalších krokov vykonaných na zber a analýzu informácií na účely získania audítorských dôkazov a sformulovania záverov auditu, s výnimkou vydania audítorského stanoviska alebo audítorskej správy;

17.	„test“ je metodika auditu, ktorá zahŕňa merania, experimenty alebo iné kontroly vrátane kontrol algoritmických systémov, prostredníctvom ktorej audítorská organizácia posudzuje súlad auditovaného poskytovateľa s auditovanou povinnosťou alebo záväzkom;

18.	„analytický postup skúmania vecnej správnosti“ je metodika auditu, ktorú audítorská organizácia používa na posúdenie informácií s cieľom vyvodiť riziká auditu alebo súlad s auditovanou povinnosťou alebo záväzkom.

Článok 3

Rozsah auditu a primeraný stupeň istoty

1. Audit sa vykonáva spôsobom a v trvaní, ktoré audítorskej organizácii umožní s primeraným stupňom istoty posúdiť, či auditovaný poskytovateľ dodržiava všetky auditované povinnosti a záväzky.

2. Audit sa vzťahuje na obdobie, ktoré sa začína bezprostredne po období, na ktoré sa vzťahoval predchádzajúci audit, a končí sa v deň, ktorý audítorskej organizácii umožňuje vykonať audit v časovom rámci požadovanom v článku 37 ods. 1 nariadenia (EÚ) 2022/2065, a to aj potvrdením posúdenia podľa odseku 1 na základe získaných dôkazov a audítorských postupov vykonaných počas uvedeného obdobia, a dokončením a predložením audítorskej správy podľa článku 37 ods. 4 uvedeného nariadenia auditovanému poskytovateľovi.

3. Ak sa predchádzajúci audit nevykonal, vzťahuje sa audit na obdobie, ktoré sa začína štyri mesiace po oznámení uvedenom v článku 33 ods. 6 prvom pododseku nariadenia (EÚ) 2022/2065, a trvanie auditu musí umožniť, aby sa audítorská správa podľa článku 6 ods. 1 dokončila najneskôr do jedného roka od začiatku auditovaného obdobia.

ODDIEL II

Podmienky výkonu auditu

Článok 4

Výber audítorskej organizácie

1. Auditovaný poskytovateľ pred výberom audítorskej organizácie, ktorá má vykonať audit, overí, či táto organizácia, ktorá má byť vybraná, spĺňa podmienky stanovené v článku 37 ods. 3 nariadenia (EÚ) 2022/2065.

2. Ak audítorskú organizáciu, ktorá má byť vybraná, tvorí viacero právnických osôb, alebo táto organizácia zamýšľa osloviť jedného alebo viacerých subdodávateľov, auditovaný poskytovateľ overí, či všetky tieto právnické osoby alebo subdodávatelia:

a)	samostatne spĺňajú požiadavky stanovené v článku 37 ods. 3 písm. a) a c) nariadenia (EÚ) 2022/2065;

b)	spoločne spĺňajú požiadavky stanovené v článku 37 ods. 3 písm. b) nariadenia (EÚ) 2022/2065.

Článok 5

Spolupráca a pomoc medzi auditovaným poskytovateľom a audítorskou organizáciou

1. Auditovaný poskytovateľ v čase dohodnutom s audítorskou organizáciou a v každom prípade ešte pred začiatkom výkonu akéhokoľvek audítorského postupu postúpi vybranej audítorskej organizácii minimálne tieto informácie:

opis vnútorných kontrol zavedených v súvislosti s jednotlivými auditovanými povinnosťami a záväzkami vrátane súvisiacich indikátorov a všetkých súčasných a historických meraní a referenčných hodnôt, ktoré auditovaný poskytovateľ používa na zabezpečenie alebo monitorovanie súladu s auditovanými povinnosťami a záväzkami, ako aj všetky podporné dokumenty;

b)	svoju predbežnú analýzu inherentných a kontrolných rizík, ak auditovaný poskytovateľ takúto analýzu vykonal, a akékoľvek podporné dokumenty;

informácie o všetkých relevantných rozhodovacích štruktúrach, právomociach útvarov poskytovateľa vrátane funkcie dodržiavania súladu s predpismi podľa článku 41 nariadenia (EÚ) 2022/2065, príslušných informačných systémoch, zdrojoch údajov, spracúvaní a uchovávaní, ako aj vysvetlenia príslušných algoritmických systémov a ich interakcií.

2. Auditovaný poskytovateľ audítorskej organizácii bez zbytočného odkladu poskytne prístup ku všetkým údajom potrebným na vykonanie auditu vrátane osobných údajov, dokumentácie, informácií o postupoch a procesoch a k systémom informačných technológií, testovacím prostrediam, zamestnancom a priestorom poskytovateľa a k prípadným relevantným subdodávateľom.

3. Auditovaný poskytovateľ sprístupní všetky potrebné zdroje a poskytne audítorskej organizácii pomoc a vysvetlenia, ktoré táto organizácia potrebuje na analýzu príslušných informácií a vykonávanie testov, a to aj v prípade, že informácie požadované audítorskou organizáciou v súlade s článkom 37 ods. 3 nariadenia (EÚ) 2022/2065 má tretia strana, s ktorou auditovaný poskytovateľ uzavrel zmluvu.

ODDIEL III

Vykonávanie auditov

Článok 6

Audítorská správa a správa o vykonávaní odporúčaní auditu

1. Audítorskú správu uvedenú v článku 37 ods. 4 nariadenia (EÚ) 2022/2065 vypracuje audítorská organizácia bez zásahu zo strany auditovaného poskytovateľa. Táto audítorská správa sa vypracuje v súlade so vzorom uvedeným v prílohe I a vo všetkých prvkoch tohto vzoru obsahuje podrobné a podložené závery.

2. V prípade potreby sa vypracuje správa o vykonávaní odporúčaní auditu uvedená v článku 37 ods. 6 nariadenia (EÚ) 2022/2065, a to v súlade so vzorom v prílohe II.

Článok 7

Postupy prípravy na audit

1. Auditovaný poskytovateľ a audítorská organizácia uzavrú písomnú dohodu stanovujúcu:

a)	úplný zoznam auditovaných povinností a záväzkov;

b)	zodpovednosti audítorskej organizácie vrátane prípadných podrobných informácií o každej právnickej osobe, ktorá tvorí audítorskú organizáciu, a o stranách oprávnených podpísať audítorskú správu;

c)	postupy a kontaktné miesta, ktoré dá auditovaný poskytovateľ k dispozícii audítorskej organizácii, aby mohla požiadať o prístup k údajom uvedeným v článku 5 ods. 2;

d)	časový rámec auditu vrátane dátumu začiatku a konca audítorských postupov a vypracovania audítorskej správy;

e)	postup na riešenie sporov medzi auditovaným poskytovateľom a audítorskou organizáciou, ktoré vzniknú v dôsledku vykonávania auditu.

2. Dohoda uvedená v odseku 1, ako aj akékoľvek ďalšie dohody alebo zákazkové listy medzi audítorskou organizáciou a auditovaným poskytovateľom týkajúce sa vykonávania auditu sa priložia k audítorskej správe.

3. Ak počas vykonávania auditu dôjde k zmenám v dohode uvedenej v odseku 1, výslovne sa uvedú v audítorskej správe.

Článok 8

Audítorské stanovisko, závery auditu a odporúčania

1. V audítorskej správe sú zahrnuté závery auditu, ku ktorým dospela audítorská organizácia vo veci súladu auditovaného poskytovateľa s jednotlivými auditovanými povinnosťami a záväzkami. Závery auditu sú:

a)	„kladné“, keď audítorská organizácia s primeraným stupňom istoty dospeje k záveru, že auditovaný poskytovateľ dodržal auditovanú povinnosť alebo záväzok;

„kladné s pripomienkami“, keď audítorská organizácia s primeraným stupňom istoty dospeje k záveru, že auditovaný poskytovateľ dodržal auditovanú povinnosť alebo záväzok, ale:

i)	audítorská organizácia zahrnie poznámky o referenčných hodnotách, ktoré predložil auditovaný poskytovateľ podľa článku 5 ods. 1 písm. a), alebo

ii)	audítorská organizácia odporúča zlepšenia, ktoré zásadným spôsobom neovplyvňujú jej závery.

c)	„záporné“, keď audítorská organizácia s primeraným stupňom istoty dospeje k záveru, že auditovaný poskytovateľ nedodržal auditovanú povinnosť alebo záväzok.

2. Ak sú súčasťou audítorskej správy operatívne odporúčania podľa článku 37 ods. 4 písm. h) nariadenia (EÚ) 2022/2065, tieto odporúčania a ich odporúčaný časový rámec sa uvedú osobitne pre každú auditovanú povinnosť alebo odporúčanie, pre ktoré je záver auditu podľa odseku 1 „kladný s pripomienkami“ alebo „záporný“.

3. Ak operatívne odporúčania uvedené v odseku 2 zahŕňajú konkrétne opatrenia na dosiahnutie súladu s predpismi, sú formulované spôsobom, ktorý vysvetľuje posúdenie audítorskej organizácie, ako by takéto opatrenia ovplyvnili hladinu významnosti v porovnaní so záverom auditu pre jednotlivé auditované povinnosti alebo záväzky.

4. Na základe záverov auditu zahŕňa audítorská správa audítorské stanovisko týkajúce sa súladu auditovaného poskytovateľa so všetkými auditovanými povinnosťami uvedenými v článku 37 ods. 1 písm. a) nariadenia (EÚ) 2022/2065.

5. Na základe záverov ku všetkým auditovaným záväzkom zahŕňa audítorská správa podľa potreby audítorské stanovisko alebo stanoviská týkajúce sa súladu auditovaného poskytovateľa so všetkými auditovanými záväzkami, ktoré auditovaný poskytovateľ prijal na základe jednotlivých kódexov správania a krízových protokolov uvedených v článku 37 ods. 1 písm. b) nariadenia (EÚ) 2022/2065.

6. Audítorské stanoviská podľa odsekov 4 a 5 sú:

a)	„kladné“, ak audítorská organizácia dospela ku „kladným“ záverom auditu v prípade všetkých auditovaných povinností alebo záväzkov;

b)	„kladné s pripomienkami“, ak audítorská organizácia v súvislosti s auditovanými povinnosťami a záväzkami dospela aspoň k jednému záveru auditu, ktorý je „kladný s pripomienkami“, a nedospela k žiadnemu „zápornému“ záveru auditu v prípade žiadnej z auditovaných povinností alebo záväzkov;

c)	„záporné“, ak audítorská organizácia dospela aspoň k jednému „zápornému“ záveru auditu v prípade aspoň jednej auditovanej povinnosti alebo záväzku.

7. Ak audítorská organizácia posúdi, že poskytovateľ na obmedzené časové obdobie uvedené v článku 3 ods. 2 nedodržal auditovanú povinnosť alebo záväzok, toto posúdenie sa náležite zdokumentuje v audítorskej správe.

8. Ak audítorská organizácia nedokáže s primeraným stupňom istoty vydať záver auditu podľa odseku 1 alebo audítorské stanovisko podľa odsekov 4 a 5, do audítorskej správy sa zahrnie vysvetlenie okolností a dôvody, prečo nebolo možné takýto stupeň istoty dosiahnuť.

ODDIEL IV

Metodiky auditu

Článok 9

Analýza audítorských rizík

1. Audítorská správa obsahuje odôvodnenú analýzu audítorských rizík, ktorú vykonala audítorská organizácia na účely posúdenia súladu auditovaného poskytovateľa s jednotlivými auditovanými povinnosťami alebo záväzkami.

2. Analýza audítorských rizík sa vykoná ešte pred vykonaním audítorských postupov a v priebehu auditu sa aktualizuje s ohľadom na akékoľvek nové audítorské dôkazy, na základe ktorých sa podľa odborného úsudku audítorskej organizácie podstatne zmení posúdenie audítorských rizík.

3. Pri analýze audítorských rizík treba zvážiť:

a)	inherentné riziká;

b)	kontrolné riziká;

c)	detekčné riziká.

4. Pri analýze audítorských rizík sa zohľadní:

a)	charakter auditovanej služby a spoločenský a hospodársky kontext, v ktorom sa auditovaná služba poskytuje vrátane pravdepodobnosti a závažnosti vystavenia krízovým situáciám a neočakávaným udalostiam;

b)	charakter povinností a záväzkov;

ďalšie primerané informácie vrátane týchto:

i)	informácie z prípadných predchádzajúcich auditov, ktorým bola auditovaná služba podrobená;

ii)	informácie z prípadných správ vydaných Európskym výborom pre digitálne služby alebo z usmernení Komisie vrátane usmernení vydaných podľa článku 35 ods. 2 a 3 nariadenia (EÚ) 2022/2065 a akýchkoľvek iných relevantných usmernení vydaných Komisiou v súvislosti s uplatňovaním nariadenia (EÚ) 2022/2065;

iii)	informácie z prípadných audítorských správ uverejnených podľa článku 42 ods. 4 nariadenia (EÚ) 2022/2065 inými poskytovateľmi veľmi veľkých online platforiem alebo veľmi veľkých internetových vyhľadávačov, ktorí fungujú za podobných podmienok alebo poskytujú služby podobné auditovanej službe.

Článok 10

Primerané metodiky auditu

1. Bez toho, aby boli dotknuté konkrétne metodiky stanovené v článkoch 13, 14 a 15, sa audity vykonajú s použitím primeraných metodík auditu, aby sa posudzované audítorské riziká znížili na takú úroveň, pri ktorej môže audítorská organizácia dospieť k záverom auditu s primeraným stupňom istoty.

2. Súčasťou audítorskej správy je opis metodík auditu, ktoré navrhne audítorská organizácia predtým, ako začne vykonávať akékoľvek audítorské postupy, a to minimálne vrátane:

a)	audítorských kritérií na posudzovanie súladu s jednotlivými auditovanými povinnosťami alebo záväzkami, ktoré sú vymedzené na základe informácií podľa článku 5 ods. 1 písm. a), a tolerovanej hladiny významnosti vyjadrenej podľa potreby kvalitatívne alebo kvantitatívne;

b)	všetkých testov, analytických postupov skúmania vecnej správnosti a audítorských dôkazov, ktoré audítorská organizácia plánuje použiť na posúdenie dodržiavania jednotlivých auditovaných povinností alebo záväzkov.

Súčasťou audítorskej správy je opis akýchkoľvek zmien metodík, ktoré sa použijú pri vykonávaní auditu, v porovnaní s metodikami navrhnutými pred začiatkom audítorských postupov.

3. Ak má audítorská organizácia odôvodnené pochybnosti o informáciách posudzovaných počas vykonávania auditu, najmä pokiaľ ide o informácie predložené auditovaným poskytovateľom, výber a uplatnenie metodiky sa prispôsobí tak, aby organizácia získala potrebné audítorské dôkazy v súlade s článkom 11.

4. Za vznik odôvodnených pochybností uvedených v odseku 3 sa považuje najmä prítomnosť niektorého z týchto prvkov:

a)	odborný úsudok a skepticizmus pri posudzovaní informácií vrátane informácií týkajúcich sa vnútorných kontrol auditovaného poskytovateľa, ktoré audítorskú organizáciu vedú k formulovaniu odôvodnených pochybností;

vonkajšie signály poukazujúce na audítorské riziko, najmä správy Európskeho výboru pre digitálne služby, na ktoré sa odkazuje v článku 35 ods. 2 nariadenia (EÚ) 2022/2065, usmernenia vydané Komisiou, a to aj prostredníctvom usmernení, na ktoré sa odkazuje v článku 35 ods. 3 uvedeného nariadenia, akékoľvek iné relevantné usmernenia vydané Komisiou v súvislosti s uplatňovaním nariadenia (EÚ) 2022/2065 a audítorské správy vydané podľa kódexov správania alebo krízových protokolov, na ktoré sa odkazuje v článkoch 45, 46 a 48 uvedeného nariadenia;

c)	informácie súvisiace s udalosťami, ktoré sa vyskytnú v priebehu vykonávania auditu, vrátane krízových situácií, ktoré si vyžadujú ďalšie opatrenia zo strany auditovaného poskytovateľa, aby sa zaistil súlad s určitými auditovanými povinnosťami alebo záväzkami.

5. Audítorské postupy by mali zahŕňať aspoň:

a)	vykonanie testov a analytických postupov skúmania vecnej správnosti pre vnútorné kontroly, ktoré auditovaný poskytovateľ zaviedol pre každú z auditovaných povinností alebo záväzkov;

b)	vykonanie analytických postupov skúmania vecnej správnosti na posúdenie súladu s jednotlivými auditovanými povinnosťami a záväzkami, a to aj vo vzťahu k algoritmickým systémom;

vykonanie testov, a to aj vo vzťahu k algoritmickým systémom, ktoré sa týkajú auditovaných povinností a záväzkov, v súvislosti s ktorými má audítorská organizácia odôvodnené pochybnosti, ako sa uvádza v odseku 4, a ktoré sa týkajú auditovaných povinností a záväzkov, v prípade ktorých audítorská organizácia považuje za potrebné vykonať testy pri výbere metodiky podľa odseku 1.

6. Ak sa v povinnostiach alebo záväzkoch uvedených v článku 37 ods. 1 nariadenia (EÚ) 2022/2065 od auditovaného poskytovateľa vyžaduje, aby zverejňoval určité informácie, metodiky auditu musia zahŕňať posúdenie, či sa v nahlásených informáciách nenachádzajú významné chyby alebo opomenutia, ktoré by mohli spôsobiť, že tieto informácie budú zavádzajúce.

Článok 11

Kvalita audítorských dôkazov

Závery auditu a audítorské stanoviská by mali vychádzať z audítorských dôkazov, ktoré spĺňajú tieto dve požiadavky:

a)	sú relevantné a postačujúce na zníženie audítorských rizík zistených v súlade s článkom 9 a na to, aby audítorskej organizácii umožnili poskytnúť závery auditu a audítorské stanoviská v súlade s článkom 8;

b)	audítorská organizácia ich v rámci svojho odborného úsudku a skepticizmu považuje za spoľahlivé.

Článok 12

Metódy odberu vzoriek

1. Ak audítorské dôkazy čiastočne alebo úplne vychádzajú zo vzorky údajov alebo informácií, veľkosť vzorky a metodika jej odberu sa zvolia tak, aby sa minimalizovalo detekčné riziko, a bez zásahu auditovaného poskytovateľa.

2. Veľkosť vzorky a metodika jej odberu sa vyberú tak, aby sa zaručila reprezentatívnosť údajov alebo informácií a podľa potreby sa pritom zohľadnia všetky tieto aspekty:

a)	reprezentatívnosť vzorky pre obdobie uvedené v článku 3 ods. 2 a 3;

b)	relevantné zmeny auditovanej služby počas daného obdobia;

c)	relevantné zmeny kontextu, v ktorom sa auditované služby počas tohto obdobia poskytujú;

d)	relevantné funkcie algoritmických systémov, prípadne vrátane personalizácie na základe profilovania alebo iných kritérií;

e)	ďalšie relevantné charakteristiky alebo sekcie posudzovaných údajov, informácií a dôkazov;

f)	v prípade potreby vyjadrenie a primeraná analýza obáv týkajúcich sa konkrétnych skupín, ako sú maloleté osoby alebo zraniteľné skupiny a menšiny, v súvislosti s auditovanou povinnosťou alebo záväzkom.

3. Súčasťou audítorskej správy je odôvodnenie výberu veľkosti vzorky a metodiky použitej na jej odber.

Článok 13

Špecifické metodiky na audit súladu s článkom 34 nariadenia (EÚ) 2022/2065 o posudzovaní rizík

1. Súčasťou posudzovania súladu auditovaného poskytovateľa s článkom 34 nariadenia (EÚ) 2022/2065 by okrem iného mala byť analýza všetkých týchto aspektov:

či auditovaný poskytovateľ starostlivo identifikoval, analyzoval a posúdil systémové riziká v Únii uvedené v článku 34 ods. 1 prvom pododseku nariadenia (EÚ) 2022/2065, a to aj na základe posúdenia:

i)	toho, ako auditovaný poskytovateľ identifikoval riziká spojené s jeho službou, pričom zohľadnil regionálne a jazykové aspekty spôsobu využívania jeho služby vrátane využívania v konkrétnom členskom štáte, a či boli riziká náležite identifikované;

ii)	toho, ako auditovaný poskytovateľ analyzoval a posúdil každé riziko vrátane toho, ako zvážil pravdepodobnosť a závažnosť rizík, a či bolo posúdenie primerané;

iii)	toho, ako auditovaný poskytovateľ identifikoval, analyzoval a posúdil faktory uvedené v článku 34 ods. 2 prvom pododseku nariadenia (EÚ) 2022/2065, či boli primerane identifikované a do akej miery tieto faktory ovplyvňujú riziká identifikované v odseku 1 uvedeného článku;

iv)	toho, aké zdroje informácií auditovaný poskytovateľ použil a ako získaval informácie, vrátane toho, či a ako vychádzal z vedeckých a technických poznatkov;

v)	toho, či a ako auditovaný poskytovateľ testoval predpoklady rizík v prípade skupín, ktoré sú najviac ovplyvnené konkrétnymi rizikami;

toho, či sa posúdenie rizík vykonalo v časových rámcoch stanovených v článku 34 ods. 1 druhom pododseku nariadenia (EÚ) 2022/2065 a prípadne v časových rámcoch stanovených pre činnosti určené ako opatrenia na zmiernenie rizík na účely odhaľovania systémových rizík podľa článku 35 ods. 1 písm. f) uvedeného nariadenia;

toho, ako auditovaný poskytovateľ identifikoval funkcie, ktoré môžu mať s veľkou pravdepodobnosťou kritický vplyv na riziká, pre ktoré sa pred ich zavedením vykoná posúdenie rizík podľa článku 34 ods. 1 druhého pododseku nariadenia (EÚ) 2022/2065, a toho, či boli tieto funkcie správne identifikované a či sa riadne vykonalo posúdenie rizík;

toho, či auditovaný poskytovateľ správne identifikoval podpornú dokumentáciu, ktorá by sa mala uchovávať v súvislosti s posúdením rizík, a či zaviedol potrebné opatrenia na to, aby zaistil uchovávanie tejto dokumentácie aspoň počas troch rokov podľa článku 34 ods. 3 nariadenia (EÚ) 2022/2065, a či bola táto dokumentácia podľa toho uchovaná.

2. Bez toho, aby bola dotknutá akákoľvek iná analýza potrebná na dosiahnutie primeraného stupňa istoty, metodiky na audit súladu s článkom 34 nariadenia (EÚ) 2022/2065 zahŕňajú aspoň posúdenie vykonané audítorskou organizáciou, pokiaľ ide o tieto prvky:

vnútorné kontroly, ktoré auditovaný poskytovateľ zaviedol na monitorovanie výkonu posúdenia rizík pre každý z faktorov uvedených v článku 34 ods. 2 prvom pododseku nariadenia (EÚ) 2022/2065; takéto posudzovanie:

i)	je v prípade týchto vnútorných kontrol založené na analytických postupoch skúmania vecnej správnosti;

ii)	je založené na testovaní toho, či sú vnútorné kontroly spoľahlivé a starostlivo koncipované, vykonávané a monitorované;

iii)

slúži na posúdenie toho, ako pracovník alebo pracovníci zodpovední za dodržiavanie súladu s predpismi vykonali svoje úlohy vo vzťahu k článku 41 ods. 3 písm. b), d), e) a prípadne f) nariadenia (EÚ) 2022/2065 a ako bol riadiaci orgán auditovaného poskytovateľa zapojený do rozhodnutí v súvislosti s riadením rizík podľa článku 41 ods. 6 a 7 uvedeného nariadenia;

opatrenia, prostriedky a procesy, ktoré auditovaný poskytovateľ zaviedol s cieľom zabezpečiť súlad s článkom 34 nariadenia (EÚ) 2022/2065, a ich výsledky; takéto posúdenie vychádza z:

i)	analytických postupov skúmania vecnej správnosti;

ii)

testov vrátane testov algoritmických systémov, ak má audítorská organizácia na základe výsledkov analytických postupov skúmania vecnej správnosti a na základe posúdenia vnútorných kontrol oprávnené pochybnosti alebo ak audítorská organizácia považuje za potrebné vykonať testy pri výbere metodiky podľa článku 10 ods. 1.

3. Audítorská organizácia na podporu posúdenia vykonávaného podľa tohto článku analyzuje okrem iného tieto informácie:

a)	správu o posúdení rizík za príslušné auditované obdobie, ktorú vypracoval auditovaný poskytovateľ, v prípade potreby vrátane dôverných informácií, ktoré nie sú súčasťou informácií zverejnených podľa článku 42 ods. 2 uvedeného nariadenia, a všetky podporné dokumenty;

b)	ak je to relevantné, ďalšie správy o posúdení rizík vypracované auditovaným poskytovateľom a podporné dokumenty k nim;

c)	informácie, ktoré auditovaný poskytovateľ predložil podľa článku 5;

d)	všetky relevantné správy auditovaného poskytovateľa o transparentnosti uvedené v článku 15 ods. 1 nariadenia (EÚ) 2022/2065;

e)	akékoľvek ďalšie výsledky testov, dokumentáciu, dôkazy a vyhlásenia v reakcii na písomné alebo ústne otázky, ktoré audítorská organizácia adresovala zamestnancom auditovaného poskytovateľa, a prípadné zistenia na pracovisku;

f)	ďalšie relevantné dôkazy vrátane dôkazov na základe informácií sprístupnených auditovaným poskytovateľom;

g)	prípadné správy uvedené v článku 35 ods. 2 nariadenia (EÚ) 2022/2065 a usmernenia Komisie vrátane usmernení vydaných podľa článku 35 ods. 3 uvedeného nariadenia, ako aj akékoľvek iné relevantné usmernenia vydané Komisiou v súvislosti s uplatňovaním nariadenia (EÚ) 2022/2065.

4. Informácie, ktoré analyzuje audítorská organizácia, môžu podľa potreby zahŕňať informácie uvedené v článku 42 ods. 4 nariadenia (EÚ) 2022/2065 vrátane informácií získaných z audítorských správ, zo správ o posúdení rizík a správ o zmierňovaní rizík, ktoré sa týkajú iných veľmi veľkých online platforiem alebo veľmi veľkých internetových vyhľadávačov, alebo údaje a výskum sprístupnené verejnosti preverenými výskumnými pracovníkmi podľa článku 40 ods. 8 písm. g) uvedeného nariadenia.

Článok 14

Špecifické metodiky na audit súladu s článkom 35 nariadenia (EÚ) 2022/2065 o zmierňovaní rizík

1. Súčasťou posudzovania súladu auditovaného poskytovateľa s článkom 35 nariadenia (EÚ) 2022/2065 by okrem iného mala byť analýza všetkých týchto aspektov:

a)	ako auditovaný poskytovateľ identifikoval opatrenia na zmiernenie rizík v prípade každého zo systémových rizík uvedených v článku 34 ods. 1 nariadenia (EÚ) 2022/2065 a či sa identifikácia takýchto opatrení na zmierňovanie rizík vykonala dostatočne starostlivo;

b)	ako auditovaný poskytovateľ posúdil, či sú opatrenia na zmiernenie rizík z článku 35 ods. 1 písm. a) až k) nariadenia (EÚ) 2022/2065 uplatniteľné na auditovanú službu, a či bol záver posúdenia primeraný, a to aj vo vzťahu k opatreniam, ktoré auditovaný poskytovateľ neuplatnil;

či sú zmierňujúce opatrenia, ktoré zaviedol auditovaný poskytovateľ, vhodné, primerané a účinné na účely zmierňovania príslušných rizík:

i)	a to aj na základe posúdenia, či kolektívne reagujú na všetky riziká, s osobitným zreteľom na riziká týkajúce sa výkonu základných práv;

ii)	komparatívne posúdenie, ako sa riziká riešili pred zavedením konkrétnych opatrení na zmiernenie rizika a po ich zavedení;

iii)	či boli opatrenia na zmiernenie rizika vhodne navrhnuté a vykonané.

2. Bez toho, aby bola dotknutá akákoľvek iná analýza potrebná na dosiahnutie primeraného stupňa istoty, metodiky na audit súladu s článkom 35 nariadenia (EÚ) 2022/2065 zahŕňajú aspoň posúdenie vykonané audítorskou organizáciou, pokiaľ ide o tieto prvky:

vnútorné kontroly, ktoré auditovaný poskytovateľ zaviedol s cieľom monitorovať uplatňovanie opatrení na zmierňovanie rizík uvedených v článku 35 ods. 1 nariadenia (EÚ) 2022/2065, a to, či sú vhodné, primerané a účinné; takéto posudzovanie:

i)	pre tieto vnútorné kontroly je založené na analytických postupoch skúmania vecnej správnosti;

ii)	je založené na testovaní toho, či sú vnútorné kontroly spoľahlivé a starostlivo koncipované, vykonávané a monitorované;

iii)

slúži na posúdenie toho, ako pracovník alebo pracovníci zodpovední za dodržiavanie súladu s predpismi vykonali svoje úlohy vo vzťahu k článku 41 ods. 3 písm. b), d), e) a prípadne f) nariadenia (EÚ) 2022/2065 a ako bol riadiaci orgán poskytovateľa zapojený podľa článku 41 ods. 6 a 7 uvedeného nariadenia;

zmierňujúce opatrenia zavedené auditovanými poskytovateľmi; takéto posúdenie vychádza z:

i)	analytických postupov skúmania vecnej správnosti;

ii)

3. Audítorská organizácia na podporu posúdenia vykonávaného podľa tohto článku analyzuje okrem iného tieto informácie:

a)	správu o posúdení a zmierňovaní rizík pre príslušné auditované obdobie, ktorú vypracoval auditovaný poskytovateľ, v prípade potreby vrátane dôverných informácií, ktoré nie sú súčasťou informácií zverejnených podľa článku 42 ods. 2 nariadenia (EÚ) 2022/2065, a všetky podporné dokumenty;

b)	ak je to relevantné, ďalšie správy o posúdení a zmierňovaní rizík vypracované auditovaným poskytovateľom, a podporné dokumenty k nim;

c)	informácie, ktoré auditovaný poskytovateľ predložil podľa článku 5;

d)	všetky relevantné správy auditovaného poskytovateľa o transparentnosti uvedené v článku 15 ods. 1 nariadenia (EÚ) 2022/2065;

e)	ak je to relevantné, minulé správy o zmierňovaní rizík a podporné dokumenty k nim, ktoré sa vzťahujú na iné obdobia, než je auditované obdobie, v prípade potreby vrátane dôverných informácií, ktoré nie sú súčasťou informácií zverejnených podľa článku 42 ods. 2 nariadenia (EÚ) 2022/2065;

f)	akékoľvek ďalšie výsledky testov, dokumentáciu, dôkazy a vyhlásenia v reakcii na písomné alebo ústne otázky, ktoré audítorská organizácia adresovala zamestnancom auditovaného poskytovateľa, a prípadné zistenia na pracovisku;

g)	ďalšie relevantné dôkazy vrátane dôkazov na základe informácií sprístupnených auditovaným poskytovateľom;

h)	prípadné správy uvedené v článku 35 ods. 2 nariadenia (EÚ) 2022/2065 a usmernenia Komisie vrátane usmernení vydaných podľa článku 35 ods. 3 uvedeného nariadenia, ako aj akékoľvek iné relevantné usmernenia vydané Komisiou v súvislosti s uplatňovaním nariadenia (EÚ) 2022/2065.

Článok 15

Špecifické metodiky na audit súladu s článkom 36 nariadenia (EÚ) 2022/2065 o mechanizme reakcie na krízu

1. Súčasťou posudzovania súladu auditovaného poskytovateľa s článkom 36 ods. 1 prvým pododsekom písm. a) nariadenia (EÚ) 2022/2065 je okrem iného analýza toho, či a ako auditovaný poskytovateľ vykonal požadované kroky, a to najmä:

a)	či a ako auditovaný poskytovateľ identifikoval príslušné systémy, ktoré sa podieľajú na fungovaní a používaní jeho služby a ktoré významne prispievajú k závažnému ohrozeniu, a či boli tieto systémy náležite identifikované;

b)	či a ako auditovaný poskytovateľ definoval a monitoroval významný podiel na závažnom ohrození a či bolo toto posúdenie primerané;

c)	akúkoľvek prípadnú ďalšiu požiadavku špecifikovanú v rozhodnutí Komisie uvedenom v článku 36 ods. 1 alebo ods. 7 druhom pododseku nariadenia (EÚ) 2022/2065.

2. Súčasťou posudzovania súladu auditovaného poskytovateľa s článkom 36 ods. 1 prvým pododsekom písm. b) nariadenia (EÚ) 2022/2065 je okrem iného analýza toho, či a ako auditovaný poskytovateľ vykonal požadované kroky, a to najmä:

a)	či a ako auditovaný poskytovateľ identifikoval opatrenia s cieľom predísť závažnému ohrozeniu, odstrániť ho alebo ho obmedziť;

b)	či a ako sa opatreniami prijatými auditovaným poskytovateľom riešil rozsah závažného ohrozenia, naliehavosť a či boli opatrenia v tomto ohľade primerané;

c)	či a ako auditovaný poskytovateľ identifikoval strany dotknuté týmito opatreniami a ich oprávnené záujmy a ako posúdil skutočný alebo potenciálny vplyv opatrení na práva týchto strán vrátane základných práv a oprávnených záujmov;

d)	či boli opatrenia prijaté auditovaným poskytovateľom účinné a primerané;

e)	akúkoľvek prípadnú ďalšiu požiadavku špecifikovanú v rozhodnutí Komisie uvedenom v článku 36 ods. 1 alebo ods. 7 druhom pododseku nariadenia (EÚ) 2022/2065.

3. Súčasťou posúdenia súladu auditovaného poskytovateľa s článkom 36 ods. 1 prvým pododsekom písm. c) nariadenia (EÚ) 2022/2065 je okrem iného analýza spôsobu, akým auditovaný poskytovateľ vykonal požadované opatrenie, najmä či poskytol Komisii informácie požadované v rozhodnutí Komisie uvedenom v článku 36 ods. 1 alebo ods. 7 druhom pododseku nariadenia (EÚ) 2022/2065, a či boli tieto správy presné.

Článok 16

Audit súladu s článkom 37 nariadenia (EÚ) 2022/2065 o nezávislom audite

1. Súlad s povinnosťami stanovenými v článku 37 nariadenia (EÚ) 2022/2065 a v tomto nariadení by sa mal posúdiť vo vzťahu k auditu alebo auditom vykonaným za ročné obdobie predchádzajúce ročnému obdobiu súčasného auditu.

2. Okrem odseku 1 by súčasťou auditu malo byť posúdenie súladu auditovaného poskytovateľa s článkom 37 ods. 2 nariadenia (EÚ) 2022/2065 vzhľadom na súčasný audit.

3. Ak predchádzajúci audit alebo audity uvedené v odseku 1 vykonávala rovnaká audítorská organizácia, ktorá vykonáva aj súčasný audit, alebo ak audítorská organizácia vykonávajúca súčasný audit zahŕňa aspoň jednu právnickú osobu, ktorá sa podieľala na predchádzajúcom audite, v audítorskej správe by sa malo uviesť vysvetlenie opatrení, ktoré audítorská organizácia zaviedla na zabezpečenie objektívnosti posúdenia.

Článok 17

Audit súladu s kódexmi správania a krízovými protokolmi

1. Auditovaný poskytovateľ audítorskej organizácii sprístupní:

a)	zoznam a text všetkých kódexov správania uvedených v článkoch 45 a 46 nariadenia (EÚ) 2022/2065 a krízových protokolov uvedených v článku 48 uvedeného nariadenia, ktorých je auditovaný poskytovateľ signatárom;

b)	podrobný zoznam záväzkov vyplývajúcich z týchto kódexov správania a krízových protokolov, ktoré auditovaný poskytovateľ prijal;

c)	prípadné kľúčové ukazovatele výkonnosti dohodnuté v rámci každého kódexu správania a krízového protokolu;

akékoľvek prípadné dostupné opatrenia, údaje a dokumentáciu a akékoľvek správy, ktoré pripravil auditovaný poskytovateľ v súvislosti s dodržiavaním prijatých záväzkov zo strany auditovaného poskytovateľa, vrátane prístupu ku všetkým relevantným informáciám a údajom súvisiacim s fungovaním služieb ponúkaných auditovaným poskytovateľom relevantných pre vykonávanie kódexu správania alebo krízového protokolu;

e)	prípadné ďalšie opatrenia, údaje a dokumentáciu pripravené signatármi kódexu správania alebo krízového protokolu a posúdenia zo strany Komisie alebo výboru uvedené v článku 45 ods. 4 nariadenia (EÚ) 2022/2065.

2. Súčasťou posúdenia súladu auditovaného poskytovateľa s kódexmi správania, na ktoré sa odkazuje v článku 45 nariadenia (EÚ) 2022/2065, je okrem iného opatrenie kľúčových ukazovateľov výkonnosti dohodnutých v danom kódexe správania podľa článku 45 ods. 3 uvedeného nariadenia, s uvedením hladín významnosti záverov auditu a toho, či sú nahlásené údaje presné.

ODDIEL V

Záverečné ustanovenia

Článok 18

Nadobudnutie účinnosti

Toto nariadenie nadobúda účinnosť dvadsiatym dňom po jeho uverejnení v Úradnom vestníku Európskej únie.

Toto nariadenie je záväzné v celom rozsahu a priamo uplatniteľné vo všetkých členských štátoch.

V Bruseli Bruseli 20. októbra 2023

Za Komisiu

predsedníčka

Ursula VON DER LEYEN

(1) Ú. v. EÚ L 277, 27.10.2022, s. 1.