Artikel 40 - Fortlöpande inspektioner

1. Vid tillsynsverksamhet, särskilt allmänna utredningar eller inspektioner ska den ledande tillsynsmyndigheten bistås av en gemensam undersökningsgrupp som har inrättats för varje kritisk tredjepartsleverantör av IKT-tjänster.

2. Den gemensamma undersökningsgrupp som avses i punkt 1 ska bestå av personal från

   1. de europeiska tillsynsmyndigheterna,
   2. de relevanta behöriga myndigheter som utövar tillsyn över de finansiella entiteter till vilka den kritiska tredjepartsleverantören av IKT-tjänster tillhandahåller IKT-tjänster,
   3. den nationella behöriga myndighet som avses i artikel 32.4 e, på frivillig basis,
   4. en nationell behörig myndighet från den medlemsstat där den kritiska tredjepartsleverantören av IKT-tjänster är etablerad, på frivillig basis.

   Medlemmar i den gemensamma undersökningsgruppen ska ha sakkunskap om IKT-frågor och om operativa risker. Den gemensamma undersökningsgruppen ska samordnas av en utsedd anställd vid den ledande tillsynsmyndigheten (den ledande tillsynsmyndighetens samordnare).

3. Inom tre månader efter slutförandet av en utredning eller inspektion ska den ledande tillsynsmyndigheten, efter samråd med tillsynsforumet, anta rekommendationer som ska riktas till den kritiska tredjepartsleverantören av IKT-tjänster enligt de befogenheter som avses i artikel 35.

4. De rekommendationer som avses i punkt 3 ska omedelbart meddelas den kritiska tredjepartsleverantören av IKT-tjänster och de behöriga myndigheterna för de finansiella entiteter till vilka den tillhandahåller IKT-tjänster.

   För att genomföra tillsynsverksamheten får den ledande tillsynsmyndigheten ta hänsyn till relevanta tredjepartscertifieringar och interna eller externa IKT-revisionsrapporter som den kritiska tredjepartsleverantören av IKT-tjänster har gjort tillgängliga.