gestützt auf den Vertrag über die Arbeitsweise der Europäischen Union,

gestützt auf die Verordnung (EU) Nr. 1227/2011 des Europäischen Parlaments und des Rates vom 25. Oktober 2011 über die Integrität und Transparenz des Energiegroßhandelsmarkts ¹, insbesondere auf Artikel 4a Absatz 8 Buchstaben a bis g und Artikel 9a Absatz 6 Buchstaben a bis f,

in Erwägung nachstehender Gründe:

(1) Die Verordnung (EU) Nr. 1227/2011 sieht vor, dass Marktteilnehmer Informationen offenlegen und Meldungen von Insider-Informationen über Plattformen für Insider-Informationen (im Folgenden "IIP") übermitteln und die Daten über registrierte Meldemechanismen (im Folgenden "RRM") melden müssen. Die Kommission muss Vorschriften festlegen, die das derzeitige, von der Agentur der Europäischen Union für die Zusammenarbeit der Energieregulierungsbehörden (im Folgenden "Agentur") eingerichtete Registrierungsverfahren für IIP und RRM ersetzen.

(2) Da viele der in der Verordnung (EU) Nr. 1227/2011 festgelegten Verpflichtungen sowohl für IIP als auch für RRM gelten, ist es zweckmäßig, die detaillierten Vorschriften zur Ergänzung der genannten Verordnung in einem einzigen Rechtsakt festzulegen. Dadurch werden Kohärenz und Rechtssicherheit gewährleistet und Wiederholungen vermieden.

(3) Um festzulegen, wie die IIP ihrer Verpflichtung zur Veröffentlichung der Insider-Informationen und zur Übermittlung von Meldungen von Insider-Informationen an die Agentur nachkommen und wie die RRM Datenaufzeichnungen an die Agentur melden müssen, wozu sie gemäß Artikel 4a Absatz 1 und Artikel 9a Absatz 1 der Verordnung (EU) Nr. 1227/2011 von der Agentur zugelassen sein müssen, ist es erforderlich, Vorschriften für das Zulassungsverfahren festzulegen, in denen dargelegt ist, welche Informationen der Agentur im Rahmen eines Antrags auf Zulassung als IIP oder RRM vorzulegen sind.

(4) Sowohl für IIP als auch für RRM sollten klare und umfassende Begriffsbestimmungen gelten. Angesichts des unterschiedlichen Geltungsbereichs der Meldepflichten für IIP und RRM ist es jedoch erforderlich, für jede Art von meldender Stelle unterschiedliche Definitionen des Begriffs "Kunde" anzuwenden. Dadurch werden IIP und RRM in die Lage versetzt, ihre jeweiligen Verpflichtungen gegenüber ihren jeweiligen Kunden eindeutig zu verstehen und zu erfüllen.

(5) Damit die Agentur beurteilen kann, ob die Antragsteller die Anforderungen an eine Zulassung als IIP oder RRM erfüllen, sollten sie der Agentur die für ihre Identifizierung erforderlichen Informationen vorlegen und unter anderem ihre Niederlassung in der Union nachweisen. Zudem sollten sie Unterlagen vorlegen, aus denen hervorgeht, dass sie die notwendigen organisatorischen Voraussetzungen für die Erbringung von IIP- oder RRM-Diensten erfüllen. Zum Nachweis der Einhaltung von Artikel 4a Absatz 3 der Verordnung (EU) Nr. 1227/2011, wonach IIP über angemessene Grundsätze und Vorkehrungen verfügen müssen, um die Insider-Informationen so echtzeitnah wie technisch möglich übermitteln zu können, sollten IIP der Agentur Informationen über die Zeit bereitstellen, die die IIP benötigt, um die von ihren IIP-Kunden erhaltenen und durch ihr Datenvalidierungssystem erfolgreich validierten Informationen auf ihrer Plattform offenzulegen. Um sicherzustellen, dass die Agentur im Rahmen des Zulassungsverfahrens genaue, vollständige und zeitnahe Datenaufzeichnungen und Meldungen von Insider-Informationen erhält, die den Regulierungsstandards entsprechen, sollten die Antragsteller eine Testphase durchlaufen, um nachzuweisen, dass sie in der Lage sind, die in der Verordnung (EU) Nr. 1227/2011 festgelegten und in der vorliegenden Verordnung näher ausgeführten Berichterstattungspflichten zu erfüllen.

(6) Um Rechtssicherheit zu gewährleisten und den Verwaltungsaufwand für IIP und RRM, die bereits von der Agentur registriert wurden, zu verringern, sollten diese IIP und RRM nicht verpflichtet sein, erneut Unterlagen vorzulegen, über die die Agentur bereits verfügt. Daher sollte das Zulassungsverfahren spezifische Bestimmungen für sie enthalten. Diese IIP und RRM sollten für ein vereinfachtes Zulassungsverfahren in Betracht kommen, sofern die Agentur gegenüber den betreffenden IIP und RRM bestätigt, dass sie bereits während des Registrierungsverfahrens alle für die Zulassung erforderlichen Informationen erhalten hat. Die Agentur sollte jedoch weiterhin das Recht haben, die erneute Übermittlung von Unterlagen zu verlangen, die bereits während des Registrierungsverfahrens vorgelegt wurden, wenn dies erforderlich ist, um die Kompatibilität mit ihren IT-Systemen sicherzustellen, insbesondere in Fällen, in denen technische Aktualisierungen erforderlich sind.

(7) Um ein zügiges und effizientes Zulassungsverfahren zu gewährleisten, sollte die Agentur innerhalb von drei Monaten nach Eingang eines vollständigen Antrags eine Entscheidung über die Zulassung als IIP oder RRM treffen. Vor Beginn des dreimonatigen Bewertungszeitraums sollte die Agentur bereits eine erste Bewertung der Vollständigkeit des Antrags vornehmen. Ist die Agentur der Auffassung, dass sie für eine Zulassungsentscheidung mehr Zeit benötigt, sollte sie dem Antragsteller vor Ablauf des Dreimonatszeitraums mitteilen, dass sie zusätzliche Zeit für die Annahme der Entscheidung benötigt. Wenn innerhalb der zusätzlichen Frist keine Entscheidung getroffen wird, sollte aus Gründen der Rechtssicherheit davon ausgegangen werden, dass die Agentur eine positive Entscheidung getroffen hat.

(8) Um sicherzustellen, dass die Antragsteller, die Zulassungsanträge stellen, tatsächlich die Absicht haben, IIP- und RRM-Dienste zu erbringen, und um unnötige Verzögerungen und einen unnötigen Verwaltungsaufwand für die Agentur zu vermeiden, sollte bei Antragstellern, die länger als drei Monate untätig bleiben, davon ausgegangen werden, dass sie ihren Antrag zurückgezogen haben, sofern sie der Agentur nicht mitteilen, dass sie weiterhin zugelassen werden möchten.

(9) Damit Antragsteller und zugelassene IIP und RRM ihre Rechte im Zusammenhang mit Entscheidungen, die die Agentur im Rahmen dieser Verordnung getroffen hat, durchsetzen können, sollte jede der in dieser Verordnung genannten Entscheidungen der Agentur, einschließlich Entscheidungen über die Ablehnung eines Zulassungsantrags, den Rechtsbehelfen gemäß den Artikeln 28 und 29 der Verordnung (EU) 2019/942 des Europäischen Parlaments und des Rates ² unterliegen.

(10) Um die Richtigkeit und Vollständigkeit der offengelegten Informationen und der Meldungen von Insider-Informationen, die von IIP an die Agentur übermittelt werden, sowie der von RRM an die Agentur übermittelten Datenaufzeichnungen zu gewährleisten, sollte die Agentur unter anderem Leitlinien zu den in dieser Verordnung festgelegten Validierungsgrundsätzen und -verfahren bereitstellen, indem sie technische Spezifikationen für die Überprüfung von Daten bereitstellt. Diese Leitlinien sollten darauf abzielen sicherzustellen, dass die Agentur hochwertige Daten erhält, und so eine wirksame Marktüberwachung ermöglichen. Die Einhaltung der Grundsätze und Verfahren für die Datenvalidierung ist eine wesentliche Voraussetzung dafür, dass sichergestellt werden kann, dass die der Agentur gemeldeten Daten aussagekräftig, kohärent und verarbeitbar sind, sodass die Agentur ihre Überwachungsfunktion effizient wahrnehmen kann.

(11) IIP und RRM sollten über solide Informationssicherheitssysteme verfügen, die die sichere Erbringung von Offenlegungs- und Meldediensten gewährleisten, Verstöße gegen Datenschutzbestimmungen und Sicherheitsvorfälle verhindern und die Kontinuität der Dienste durch Backup-Einrichtungen gewährleisten. Um die Sicherheit und Widerstandsfähigkeit von Netz- und Informationssystemen zu gewährleisten, sollten IIP und RRM geeignete und angemessene technische, operative und organisatorische Maßnahmen ergreifen, um Risiken zu beherrschen und Auswirkungen von Vorfällen auf die Nutzer ihrer Dienste zu verhindern oder zu minimieren. Diese Maßnahmen sollten dem Stand der Technik und gegebenenfalls den einschlägigen europäischen und internationalen Normen entsprechen.

(12) Um sicherzustellen, dass die Anforderungen dieser Verordnung während des gesamten Zeitraums, in dem IIPs und RRM ihre Dienste erbringen, wirksam umgesetzt und eingehalten werden, sollten IIP und RRM ordnungsgemäß von der Agentur beaufsichtigt werden. Zu diesem Zweck sollte die Agentur das Recht haben, im Falle eines möglichen Verstoßes von den zugelassenen Stellen Klarstellungen und Informationen anzufordern.

(13) Die RRM müssen der Agentur gemäß Artikel 9a Absatz 2 der Verordnung (EU) Nr. 1227/2011 jährlich einen Bericht vorlegen. Um einen möglichst geringen Verwaltungs- und Meldeaufwand für RRM zu gewährleisten, sollte der Inhalt dieses Berichts auf das erforderliche Mindestmaß beschränkt werden, wobei jedoch sicherzustellen ist, dass er nützliche Informationen für die Agentur zur Ausübung ihrer Aufsichtsbefugnisse enthält.

(14) Der Widerruf der Zulassung einer IIP oder eines RRM sollte entweder auf Initiative der Agentur aus den in der Verordnung (EU) Nr. 1227/2011 genannten Gründen oder auf Antrag des IIP oder des RRM selbst möglich sein. Wenn die IIP oder der RRM den Widerruf der eigenen Zulassung beantragt, sollte ein beschleunigtes Verfahren zur Anwendung kommen. Um einen raschen und effizienten Widerruf einer Zulassung zu gewährleisten, sollte die Agentur auch in Fällen, in denen die betreffende IIP oder der RRM nach Einleitung des Widerrufsverfahrens durch die Agentur die Bereitschaft zum Verzicht auf die Zulassung bekundet, das beschleunigte Verfahren anwenden können.

(15) Um ein faires und unparteiisches Entscheidungsverfahren zu gewährleisten, sollte die Entscheidung der Agentur über die Erteilung oder den Widerruf einer Zulassung auf einer gründlichen Prüfung der einschlägigen Fakten beruhen und gut begründet sein. Die Entscheidung der Agentur auf Widerruf einer Zulassung sollte ausschließlich auf Feststellungen beruhen, zu denen die IIP oder der RRM Stellung nehmen konnte.

(16) Damit IIP und RRM alle erforderlichen Maßnahmen ergreifen können, um die mit dieser Verordnung eingeführten Anforderungen zu erfüllen, sollten die Anwendung der Bestimmungen über das Zulassungsverfahren, die organisatorischen Anforderungen, die Beaufsichtigung und die Berichterstattung sowie das Widerrufs- und Ersetzungsverfahren aufgeschoben werden.

(17) Der Europäische Datenschutzbeauftragte wurde gemäß Artikel 42 Absatz 1 der Verordnung (EU) 2018/1725 des Europäischen Parlaments und des Rates ³ angehört.

(18) Jede Verarbeitung personenbezogener Daten durch IIP und RRM im Rahmen dieser Verordnung sollte im Einklang mit der Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates ⁴ erfolgen. Jede Verarbeitung personenbezogener Daten durch die Agentur im Rahmen dieser Verordnung sollte im Einklang mit der Verordnung (EU) 2018/1725 erfolgen. Nach dem Widerruf der Zulassung einer IIP oder eines RRM sollten die zuvor erhobenen personenbezogenen Daten im Einklang mit den Aufbewahrungsregeln der Agentur und der Verordnung (EU) 2018/1725 von der Agentur zehn Jahre lang gespeichert werden

- hat folgende Verordnung erlassen:

Kapitel I
Allgemeines

Artikel 1 Gegenstand

In dieser Verordnung sind die Einzelheiten der Informationen, die der Agentur für die Erlangung der Zulassung zur Erbringung von IIP- oder RRM-Diensten vorzulegen sind, und die organisatorischen Anforderungen für die Zulassung von IIP und RRM festgelegt. Ferner sind die Verfahren für die Beaufsichtigung von IIP und RRM, für den Widerruf ihrer Zulassung und für ihre ordnungsgemäße Ersetzung im Falle eines solchen Widerrufs festgelegt.

Artikel 2 Begriffsbestimmungen

Für die Zwecke dieser Verordnung gelten die folgenden Begriffsbestimmungen:

1. "Antrag" bezeichnet einen Antrag auf Zulassung zur Erbringung von IIP- oder RRM-Diensten gemäß Artikel 4a Absatz 1 und Artikel 9a Absatz 1 der Verordnung (EU) Nr. 1227/2011 durch die Agentur;

2. "Antragsteller" bezeichnet eine juristische Person, die einen Antrag stellt;

3. "IIP-Kunde" bezeichnet Marktteilnehmer und für die Notfallplanung zuständige Behörden gemäß Artikel 3 Absatz 4 Buchstabe c der Verordnung (EU) Nr. 1227/2011, in deren Namen eine IIP Informationen veröffentlicht und der Agentur Meldungen von Insider-Informationen vorlegt;

4. "RRM-Kunde" bezeichnet eine Einrichtung, die den Meldepflichten gemäß den Artikeln 7c und 8 der Verordnung (EU) Nr. 1227/2011 unterliegt und in deren Namen der RRM der Agentur Datenaufzeichnungen übermittelt, oder eine Einrichtung, die für die Zwecke der Berichterstattung im Orderbuch gemäß Artikel 8 Absatz 1a der Verordnung (EU) Nr. 1227/2011 in Artikel 8 Absatz 4 Buchstabe d der Verordnung (EU) Nr. 1227/2011 aufgeführt ist;

5. "Datenaufzeichnung" bezeichnet jede Transaktion, einschließlich Handelsaufträgen, und Fundamentaldaten, die der Agentur gemäß den Artikeln 7c und 8 der Verordnung (EU) Nr. 1227/2011 und gemäß der Durchführungsverordnung (EU) 2026/256 der Kommission ⁵ zu melden sind;

6. "Meldung von Insider-Informationen" bezeichnet die Meldung von Informationen, die gegenüber der Agentur gemäß den Artikeln 4 und 4a der Verordnung (EU) Nr. 1227/2011 und entsprechend der Durchführungsverordnung (EU) 2026/256 offengelegt und an sie gemeldet werden;

7. "Arbeitstag" bezeichnet jeden Tag mit Ausnahme eines Samstags, Sonntags oder Feiertags im Sinne der Verordnung (EWG, Euratom) Nr. 1182/71 des Rates ⁶.

Kapitel II
Zulassungsverfahren für IIP und RRM

Abschnitt I
Inhalt des Antrags

Artikel 3 Identifizierung und Rechtsstellung des Antragstellers und Zugang zu den Datenaustauschsystemen der Agentur

(1) In dem Antrag sind der Antragsteller und die Tätigkeiten anzugeben, die er durchzuführen beabsichtigt und die seine Zulassung als IIP oder RRM erfordern.

(2) Der Antrag muss die folgenden Unterlagen und Informationen umfassen:

1. Firma und Anschrift des Antragstellers,
2. einen Nachweis der Niederlassung des Antragstellers in der Union,
3. ein ausgefülltes Formular "Rechtsträger" gemäß Anhang I, einschließlich eines Auszugs aus dem einschlägigen Handels- oder Gerichtsregister in der Union, oder andere beglaubigte Nachweise über den Ort der Erlangung der Rechtsfähigkeit, den Umfang der Geschäftstätigkeit und die am Tag der Antragstellung gültige Umsatzsteuer-Identifikationsnummer des Antragstellers in der Union,
4. den Namen und die geschäftlichen Kontaktdaten der Personen, die für die Einhaltung der Anforderungen dieser Verordnung und der Verordnung (EU) Nr. 1227/2011 verantwortlich sind, sowie aller sonstigen Mitarbeiter, die an der Bewertung der Einhaltung der genannten Anforderungen seitens der Antragsteller beteiligt sind,
5. den Namen und die geschäftlichen Kontaktdaten der Personen, die für die Kommunikation mit der Agentur und mit IIP-Kunden und RRM-Kunden zuständig sind, auch aufgrund einer Folgemitteilung an die IIP oder den RRM aufgrund einer Mitteilung der Agentur.

(3) Zusätzlich zu den in Absatz 2 genannten Unterlagen und Informationen geben IIP-Antragsteller in ihrem Antrag das geplante Startdatum für den Betrieb ihrer Plattform an.

(4) Zusätzlich zu den in Absatz 2 genannten Unterlagen und Informationen geben RRM-Antragsteller in ihrem Antrag das geplante Startdatum für die Meldung von Datenaufzeichnungen an.

(5) Der Antrag ist vom ordnungsgemäß bevollmächtigten gesetzlichen Vertreter des Antragstellers zu unterzeichnen. Nachweise für eine solche Bevollmächtigung, wie z.B. eine Vollmacht, sind der Agentur vorzulegen, wobei Vor- und Nachname sowie die geschäftlichen Kontaktdaten des ordnungsgemäß bevollmächtigten gesetzlichen Vertreters wie folgt anzugeben sind:

1. Vorname,
2. Nachname,
3. geschäftliche Telefonnummer,
4. geschäftliche E-Mail-Adresse,
5. die Art des Rechtsverhältnisses mit der IIP oder dem RRM.

(6) Die Antragsteller schließen mit der Agentur eine Geheimhaltungsvereinbarung ab, um Zugang zu den Datenaustauschsystemen der Agentur zu erhalten.

Artikel 4 Begleitdokumente

(1) Der Antrag muss Begleitdokumente enthalten, aus denen hervorgeht, dass die allgemeinen organisatorischen Anforderungen an IIP und RRM gemäß den Artikeln 11 bis 18 sowie die Strategien und Vorkehrungen des Antragstellers zur Gewährleistung einer ordnungsgemäßen Ersetzung gemäß Artikel 38 eingehalten werden.

Zusätzlich zu den in Unterabsatz 1 genannten Unterlagen fügen IIP-Antragsteller Begleitdokumente bei, aus denen hervorgeht, dass die IIP-Anforderungen gemäß den Artikeln 19 bis 25 erfüllt sind, und RRM-Antragsteller fügen Begleitdokumente bei, aus denen hervorgeht, dass die RRM-Anforderungen gemäß den Artikeln 26 bis 29 erfüllt sind.

(2) Der Antrag muss Folgendes enthalten:

1. Informationen über die Strategien, Notfallpläne und Vorkehrungen der IIP oder des RRM, um die Einhaltung der zeitlichen Vorgaben für die Offenlegung von Informationen, die Meldung von Insider-Informationen und die Übermittlung von Datenaufzeichnungen an die Agentur gemäß Artikel 11 zu gewährleisten, einschließlich der entsprechenden Begleitdokumente,
2. Informationen über das Datenvalidierungssystem der IIP oder des RRM zur Überprüfung der Richtigkeit und Vollständigkeit von Meldungen von Insider-Informationen sowie von Datenaufzeichnungen, einschließlich der Einhaltung der Grundsätze und Verfahren für die Datenvalidierung gemäß Artikel 12, einschließlich der entsprechenden Begleitdokumente,
3. Informationen über die Vorkehrungen der IIP oder des RRM, mit denen die Einhaltung der Sicherheitsanforderungen gemäß Artikel 13 gewährleistet werden soll, einschließlich der entsprechenden Begleitdokumente,
4. den Organisationsplan der IIP oder des RRM in Bezug auf die Funktionen und Strukturen, die für die im Rahmen der Verordnung (EU) Nr. 1227/2011 durchgeführten Tätigkeiten relevant sind,
5. den Tätigkeitsplan der IIP oder des RRM in Bezug auf die gemäß der Verordnung (EU) Nr. 1227/2011 durchgeführten Tätigkeiten,
6. Informationen über die Verwaltungsvereinbarungen der IIP oder des RRM zur Vermeidung von Interessenkonflikten und Diskriminierung gemäß Artikel 16, einschließlich der entsprechenden Begleitdokumente,
7. Informationen über die Ressourcen der IIP oder des RRM und der implementierten Backup-Einrichtungen zur Aufrechterhaltung ihrer jeweiligen Dienste gemäß Artikel 17, einschließlich der entsprechenden Begleitdokumente,
8. Informationen über die Umsetzung technischer Standards, einschließlich etwaiger Aktualisierungen, um den sicheren und effizienten Ablauf des Datenerhebungsverfahrens und die anschließende Berichterstattung an die Agentur zu gewährleisten, einschließlich der entsprechenden Begleitdokumente.

(3) Der in Absatz 2 Buchstabe d genannte Organisationsplan der IIP oder des RRM muss

1. die Gruppenstruktur und die Eigentumsverhältnisse zwischen dem Mutterunternehmen und seinen Tochterunternehmen oder anderen verbundenen Rechtspersonen oder Zweigniederlassungen mit ihren jeweiligen Tätigkeiten zeigen,
2. Firma und Anschrift der im Organisationsplan aufgeführten Unternehmen enthalten;
3. die Namen der Personen enthalten, die für die Meldung von Datenaufzeichnungen verantwortlich sind oder die Plattform für die Offenlegung von Informationen und die Übermittlung von Meldungen von Insider-Informationen an die Agentur betreiben, deren Aufgaben beschreiben und deren geschäftliche Kontaktdaten enthalten.

(4) In dem in Absatz 2 Buchstabe e genannten Tätigkeitsplan werden der operative Rahmen und die internen Kontrollmechanismen, mit denen die Einhaltung dieser Verordnung und der Verordnung (EU) Nr. 1227/2011 sichergestellt werden soll, ausführlich beschrieben.

In der Beschreibung des operativen Rahmens wird das Geschäftsmodell des Antragstellers erläutert, einschließlich der Dienste und Produkte, die im Zusammenhang mit dieser Verordnung und der Verordnung (EU) Nr. 1227/2011 angeboten werden, und es werden alle relevanten Auslagerungsvereinbarungen angegeben, wobei anzugeben ist, wie diese Auslagerungsvereinbarungen die Einhaltung der Anforderungen dieser Verordnung und der Verordnung (EU) Nr. 1227/2011 gewährleisten.

In der Beschreibung der internen Kontrollmechanismen werden die Mechanismen zur Gewährleistung einer wirksamen Governance und eines wirksamen Risikomanagements sowie die Verfahren und Systeme für die Überwachung und das Management von Risiken im Zusammenhang mit dieser Verordnung und der Verordnung (EU) Nr. 1227/2011 erläutert, einschließlich der Ermittlung potenzieller Risiken und entsprechender Minderungsstrategien.

(5) Antragsteller können die Einhaltung jeder der in den Absätzen 2, 3 und 4 genannten Anforderungen nachweisen, indem sie der Agentur ein gültiges Zertifikat entsprechend der Normenreihe ISO/IEC 27000 über Informationssicherheits-Managementsysteme oder gleichwertige Zertifizierungen übermitteln. Die Agentur kann die Antragsteller um weitere Klarstellungen in Bezug auf die erteilte Zertifizierung, etwaige fehlende Informationen zum Nachweis der Einhaltung der in den Absätzen 2, 3 und 4 genannten Anforderungen und um eine Aktualisierung dieser Zertifizierung nach ihrem Ablaufdatum ersuchen.

(6) IIP-Antragsteller übermitteln der Agentur Informationen über die Zeit, die die IIP benötigen, um die Informationen, die sie von ihren IIP-Kunden erhalten und mithilfe ihrer Datenvalidierungssysteme erfolgreich validiert haben, auf ihrer Plattform offenzulegen. IIP-Antragsteller übermitteln der Agentur Informationen darüber, wie sie die von ihren IIP-Kunden zu zahlenden Gebühren gemäß Artikel 25 festlegen.

(7) RRM-Antragsteller legen Begleitdokumente zu den Informationssystemen vor, über die sie verfügen, um die Datenübermittlung von anderen Systemen oder Plattformen gemäß Artikel 15 zu gewährleisten. RRM-Antragsteller geben den Namen solcher Systeme oder Plattformen und aller Nutzereinrichtungen, die meldepflichtige Daten für die vom Antragsteller implementierte technische Lösung erzeugen, zusammen mit Informationen über eine dabei gegebenenfalls vorgenommene Datentransformation an.

Artikel 5 Testphase

(1) Die Antragsteller müssen nachweisen, dass sie in der Lage sind, der Agentur Meldungen von Insider-Informationen vorzulegen und Datenaufzeichnungen an die Agentur zu übermitteln. Die Agentur bewertet ihre Fähigkeit zur Abgabe von Meldungen im Rahmen einer Testphase, die im Laufe des Antragsverfahrens stattfindet.

(2) Für die Zwecke der Überprüfung müssen die Antragsteller der Agentur Folgendes vorlegen:

1. bei IIP-Antragstellern Einzelheiten zu den Arten von Meldungen von Insider-Informationen, die auf der Plattform zu veröffentlichen und der Agentur zu übermitteln sind, und bei RRM-Antragstellern Einzelheiten zu den Arten von Datenaufzeichnungen, die der Agentur zu melden sind,
2. Datenstichproben in der Testphase gemäß den Vorschriften der Durchführungsverordnung (EU) 2026/256 und unter Verwendung der elektronischen Standardformate gemäß der genannten Durchführungsverordnung sowie unter Anwendung der Grundsätze, die in den von der Agentur angenommenen einschlägigen Handbüchern festgelegt sind.

Artikel 6 Wesentliche Änderungen während des Antragsverfahrens

(1) Wenn Antragsteller oder ihre IIP-Kunden oder RRM-Kunden während des Antragsverfahrens wesentliche Änderungen veranlassen, teilen sie der Agentur diese Änderungen spätestens zehn Arbeitstage nach der wesentlichen Änderung mit. In der Mitteilung sind die Änderungen ausführlich zu beschreiben und die entsprechenden Begleitdokumente gemäß Artikel 4 beizufügen, soweit diese geändert wurden.

(2) Erfolgt die Mitteilung gemäß Absatz 1, nachdem die Agentur die in Artikel 10 Absatz 2 genannte Mitteilung übermittelt hat, kann die Agentur die Vollständigkeit des Antrags erneut prüfen.

(3) Eine Änderung gilt als wesentlich, wenn sie Folgendes betrifft:

1. die Art und Weise, in der die Übermittlung von Meldungen von Insider-Informationen und die Meldung von Datenaufzeichnungen erfolgt,
2. die Informationen, die in den gemäß Artikel 4 vorzulegenden Begleitdokumenten enthalten sind,
3. die Arten von Daten, die auf IIP-Plattformen offengelegt oder der Agentur von IIP und RRM gemeldet werden,
4. die einschlägigen elektronischen Standardformate, in denen unter Buchstabe c genannte Daten gemeldet werden.

Artikel 7 Ersuchen um zusätzliche Informationen während des Zulassungsverfahrens

Auf Ersuchen der Agentur legen die Antragsteller während der Prüfung ihres Antrags zusätzliche Informationen vor, wenn diese Informationen erforderlich sind, damit die Agentur die Vollständigkeit ihres Antrags und die Einhaltung der Anforderungen der vorliegenden Verordnung und der Verordnung (EU) Nr. 1227/2011 durch die Antragsteller bewerten kann.

Artikel 8 Antragsverfahren für bereits registrierte IIP und RRM

(1) IIP und RRM, die bereits von der Agentur registriert wurden, beantragen bei der Agentur vor dem 29 April 2028 eine Zulassung gemäß Artikel 10 entsprechend den Bestimmungen der Artikel 3 bis 7.

(2) Die in Absatz 1 dieses Artikels genannten IIP und RRM stellen der Agentur in ihrem Antrag die in den Artikeln 3 bis 7 genannten Informationen zur Verfügung, es sei denn, diese Informationen wurden bereits im Rahmen des Registrierungsverfahrens bereitgestellt.

(3) Die Agentur unterrichtet die in Absatz 1 genannten IIP und RRM, wenn zusätzliche Informationen erforderlich sind, um die Vollständigkeit des Antrags und die Einhaltung der Anforderungen dieser Verordnung und der Verordnung (EU) Nr. 1227/2011 durch die Antragsteller zu bewerten.

Artikel 9 Leitlinien der Agentur

Spätestens am 29 November 2026 und nach Konsultation der einschlägigen Interessenträger stellt die Agentur Leitlinien in Bezug auf folgende Aspekte bereit:

1. das technische Verfahren für die Testphase gemäß Artikel 5 Absatz 1,
2. das Antragsverfahren für bereits registrierte IIP und RRM gemäß Artikel 8 Absatz 1;
3. die Grundsätze und Verfahren für die Datenvalidierung gemäß Artikel 12 Absätze 1 und 2 durch Bereitstellung technischer Spezifikationen für die Überprüfung der Daten,
4. die in Artikel 13 Absatz 1 Buchstabe d genannten Sicherheitsmaßnahmen,
5. das Format des Berichts über ungeplante Ausfallzeiten oder Störungen gemäß Artikel 18 Absatz 3,
6. gegebenenfalls das Kennzeichnungsverfahren gemäß Artikel 24 Absatz 4,
7. die Mechanismen zur Ermittlung von Vollständigkeit, Auslassungen und offensichtlichen Fehlern in Meldungen von Insider-Informationen und Datenaufzeichnungen gemäß Artikel 23 Absatz 1 für IIP und Artikel 27 Absatz 1 für RRM,
8. das Format des Jahresberichts gemäß Artikel 33 Absatz 1.

Abschnitt II
Erteilung der Zulassung

Artikel 10 Beschluss über die Zulassung und damit zusammenhängende Garantien

(1) Der Antrag gilt als vollständig, wenn die Agentur alle erforderlichen Informationen gemäß den Artikeln 3 bis 7 erhält.

(2) Erachtet die Agentur den Antrag als vollständig, teilt sie dies dem Antragsteller unverzüglich mit.

(3) Wurde der Antrag als vollständig erachtet, bewertet die Agentur, ob der Antragsteller die Anforderungen der Artikel 11 bis 29 der vorliegenden Verordnung sowie des Artikels 4a Absätze 3 bis 5 und des Artikels 9a Absätze 1 und 3 der Verordnung (EU) Nr. 1227/2011 erfüllt. Erfüllt der Antragsteller diese Anforderungen, wird die Zulassung erteilt, andernfalls wird der Antrag abgelehnt. Die Entscheidung über die Genehmigung oder Ablehnung des Antrags wird innerhalb von drei Monaten nach Eingang der in Absatz 2 genannten Mitteilung getroffen.

(4) Ist die Agentur der Auffassung, dass sie für eine Zulassungsentscheidung mehr Zeit benötigt, teilt sie dem Antragsteller vor Ablauf des in Absatz 3 genannten Dreimonatszeitraums mit, dass sie zusätzliche Zeit für die Annahme der Entscheidung benötigt. Diese zusätzliche Zeit darf zwei Monate nach Ablauf der Dreimonatsfrist nicht überschreiten. Trifft die Agentur innerhalb dieser zusätzlichen Frist keine Entscheidung, gilt die Zulassung als erteilt.

(5) Die Agentur teilt innerhalb von fünf Arbeitstagen nach Erlass der Zulassungs- oder Ablehnungsentscheidung diese Entscheidung den folgenden Parteien mit:

1. dem IIP- oder RRM-Antragsteller,
2. der nationalen Regulierungsbehörde des Mitgliedstaats, in dem die IIP oder der RRM niedergelassen ist.

(6) Versäumt es ein Antragsteller während eines Zeitraums von mehr als drei Monaten nach Übermittlung des Antrags oder gegebenenfalls nach einem Ersuchen um Klarstellung durch die Agentur, die verlangten Informationen mitzuteilen oder vorzulegen, kann die Agentur den Antrag als zurückgezogen betrachten. Mindestens zwei Wochen vor Ablauf des Dreimonatszeitraums teilt die Agentur dem Antragsteller seinen inaktiven Status mit und erinnert ihn an die sich daraus ergebenden Folgen.

(7) Jede Entscheidung der Agentur im Rahmen eines Zulassungsverfahrens unterliegt Verfahrensgarantien, einschließlich der Rechtsbehelfe, die gemäß den Artikeln 28 und 29 der Verordnung (EU) 2019/942 zur Verfügung stehen.

Kapitel III
Organisatorische Anforderungen

Abschnitt I
Allgemeine organisatorische Anforderungen

Artikel 11 Rechtzeitige Erfüllung von Meldepflichten

IIP und RRM setzen Strategien, Notfallpläne und Vorkehrungen um, um sicherzustellen, dass die Anforderungen an die Übermittlung von Insider-Informationen gemäß Artikel 4a Absatz 3 der Verordnung (EU) Nr. 1227/2011 und die Anforderungen an die Meldung von Datenaufzeichnungen gemäß den Artikeln 7, 10, 13 und 17 der Durchführungsverordnung (EU) 2026/256 fristgerecht eingehalten werden.

Artikel 12 Datenvalidierungssysteme

(1) IIP müssen über Datenvalidierungssysteme gemäß den Grundsätzen und Verfahren der Artikel 22, 23 und 24 verfügen.

(2) Die RRM müssen über Datenvalidierungssysteme gemäß den Grundsätzen und Verfahren der Artikel 26, 27 und 29 verfügen.

(3) IIP und RRM übermitteln der Agentur nur Meldungen von Insider-Informationen und Datenaufzeichnungen, die von ihren Datenvalidierungssystemen gemäß den Absätzen 1 und 2 erfolgreich bewertet wurden.

Artikel 13 Sicherheitsanforderungen

(1) IIP und RRM richten Strategien, Verfahren und Vorkehrungen für die physische und elektronische Sicherheit ein, die auf bewährten Verfahren beruhen und mit international anerkannten Standards im Einklang stehen, und halten diese aufrecht. Diese Strategien, Verfahren und Vorkehrungen sind so konzipiert, dass sie

1. die IT-Systeme der IIP und RRM vor Missbrauch oder unbefugtem Zugriff schützen,
2. die Risiken eines Sicherheitsvorfalls, der die Sicherheit von Informationssystemen gemäß der Definition in Artikel 6 Absatz 6 der Richtlinie (EU) 2022/2555 des Europäischen Parlaments und des Rates ⁷ beeinträchtigt, minimiert werden,
3. die unbefugte Offenlegung vertraulicher Informationen, die von IIP-Kunden und RRM-Kunden an die IIP oder den RRM und von der IIP oder dem RRM an die Agentur übermittelt werden, verhindern,
4. die Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Zurechenbarkeit und Zuverlässigkeit der im IIP- und RRM-System verarbeiteten Informationen gewährleisten und im Falle von IIP verhindern, dass die verarbeiteten Informationen vor ihrer Veröffentlichung bekannt werden,
5. die Nichtabstreitbarkeit durch elektronische Signaturen oder Zertifikate oder durch andere Mechanismen, die ein gleichwertiges Maß an Nichtabstreitbarkeit bieten, gewährleisten.

(2) IIP und RRM legen die Anforderungen an Datenzugriffsberechtigungen, den Zweck und den Umfang des Datenzugriffs sowie etwaige Beschränkungen für die Nutzung der Daten fest. Sie richten Sicherheitsmechanismen ein und halten diese aufrecht, um die in Absatz 1 genannten Risiken unverzüglich zu erkennen und zu bewältigen, darunter:

1. ein sicheres Umfeld für die Erhebung und Verwaltung von Daten von IIP-Kunden und RRM-Kunden sowie für die Übermittlung von Meldungen von Insider-Informationen und die Meldung von Datenaufzeichnungen an die Agentur,
2. Anwendungsschnittstellen gemäß den Vorgaben der Agentur,
3. eine von der Agentur festgelegte geschützte, separate Netzverbindung mit der Agentur.

(3) Antragsteller können die Einhaltung einer der in Absatz 1 genannten physischen und elektronischen Sicherheitsanforderungen nachweisen, indem sie der Agentur ein gültiges Zertifikat entsprechend der Normenreihe ISO/IEC 27000 über Informationssicherheits-Managementsysteme oder gleichwertige Zertifizierungen vorlegen. Die Agentur kann die Antragsteller um weitere Klarstellungen in Bezug auf die erteilte Zertifizierung und um eine Aktualisierung dieser Zertifizierung nach ihrem Ablaufdatum ersuchen.

Artikel 14 Sicherheitsvorfälle

(1) IIP und RRM ergreifen die in Absatz 2 aufgeführten Maßnahmen, wenn einer der folgenden Vorfälle auftritt:

1. Missbrauch oder unbefugter Zugang zu den IT-Systemen der IIP oder des RRM,
2. Sicherheitsvorfälle in Verbindung mit Informationssystemen im Sinne von Artikel 6 Absatz 6 der Richtlinie (EU) 2022/2555,
3. unbefugte Offenlegung vertraulicher Informationen, die von IIP-Kunden und RRM-Kunden an die IIP oder den RRM und von der IIP oder dem RRM an die Agentur übermittelt werden,
4. Verletzung der Vertraulichkeit, Integrität, Verfügbarkeit, Authentizität, Zurechenbarkeit und Zuverlässigkeit der in den Systemen der IIP und des RRM verarbeiteten Informationen und, im Falle von IIP, Bekanntwerden der verarbeiteten Informationen vor ihrer Veröffentlichung,
5. jedes Ereignis, das die Nichtabstreitbarkeit der Daten behindert oder beeinträchtigt.

(2) IIP und RRM müssen

1. die Agentur innerhalb von 24 Stunden, nachdem sie davon Kenntnis erlangt haben, über den Vorfall informieren,
2. etwaige IIP-Kunden und RRM-Kunden, die von dem Sicherheitsvorfall betroffen sind oder betroffen sein könnten, innerhalb von 48 Stunden, nachdem sie davon Kenntnis erlangt haben, informieren,
3. der Agentur innerhalb von 72 Stunden, nachdem sie von dem Vorfall Kenntnis erlangt haben, eine erste Bewertung des Vorfalls übermitteln,
4. der Agentur innerhalb eines Monats, nachdem sie von dem Vorfall Kenntnis erlangt haben, einen ausführlichen Bericht über den Vorfall vorlegen, in dem die Art des Vorfalls, die ergriffenen Abhilfemaßnahmen und die umgesetzten Initiativen zur Vermeidung ähnlicher Ereignisse in der Zukunft dargelegt werden.

Artikel 15 Datenübermittlung

IIP und RRM müssen über Informationssysteme für wirksame Datenübermittlungen von anderen Systemen oder Plattformen verfügen, die einen effizienten Datenerhebungsprozess und die anschließende Berichterstattung an die Agentur gewährleisten.

Artikel 16 Interessenkonflikte

(1) IIP und RRM unterhalten effektive Verwaltungsvereinbarungen, um Interessenkonflikte mit ihren IIP-Kunden und RRM-Kunden zu vermeiden. Diese Vereinbarungen müssen Strategien und Verfahren zur Erkennung, Regelung und Offenlegung von bestehenden und potenziellen Interessenkonflikten umfassen und

1. gewährleisten, dass die betreffenden IIP-Kunden und RRM-Kunden diese Strategien und Verfahren kennen,
2. die Trennung von Aufgaben und Geschäftsfunktionen innerhalb der IIP oder des RRM gewährleisten, unter anderem durch
   1. Maßnahmen zur Vermeidung oder Kontrolle des Informationsaustauschs, wenn Interessenkonflikte auftreten können,
   2. die getrennte Überwachung der jeweiligen Personen, deren Hauptaufgaben Interessen betreffen, die möglicherweise den Interessen von IIP-Kunden oder RRM-Kunden zuwiderlaufen,
   3. Maßnahmen zur Beseitigung potenzieller oder bestehender Interessenkonflikte,
3. alle bestehenden und potenziellen Interessenkonflikte erfassen und in einem Verzeichnis auflisten, das ihre Beschreibung, Identifizierung, Vermeidungs- und Bewältigungsmaßnahmen und Offenlegung enthalten muss.

(2) IIP und RRM müssen über Strategien für die Gewährleistung eines diskriminierungsfreien Umgangs mit den gemeldeten Daten verfügen.

Artikel 17 Aufrechterhaltung des Geschäftsbetriebs und Backup-Einrichtungen

(1) IIP und RRM stellen sicher, dass sie über ausreichend Personal, Infrastruktur, Kapital und Finanzmittel verfügen, um die Kontinuität und Ordnungsmäßigkeit bei der Erbringung ihrer jeweiligen Dienste sowie einen angemessenen Schutz der IIP und des RRM vor operativen, rechtlichen und geschäftlichen Risiken zu gewährleisten.

(2) Bei der Registrierung neuer IIP-Kunden erteilen IIP den Kunden Anweisungen zur Nutzung von Backup-Einrichtungen und übermitteln ihnen anschließend während der gesamten Dauer der erbrachten IIP-Dienste regelmäßige Erinnerungen.

(3) IIP und RRM müssen über zuverlässige Kontrollen und Verfahren für den Umgang mit operativen Risiken verfügen, um die Verfügbarkeit angemessener Ressourcen und Backup-Einrichtungen sicherzustellen. Diese Kontrollen und Verfahren werden im Rahmen einer Strategie für den Umgang mit operativen Risiken oder eines Rahmens für operative Risiken dokumentiert, wodurch sichergestellt ist, dass Störungen der erbrachten Dienste so gering wie möglich gehalten werden. Diese Strategie oder dieser Rahmen muss Folgendes umfassen:

1. ein Versionskontrollsystem, mit dem Änderungen an der IIP- und RRM-Software verfolgt und archiviert werden können,
2. eine Qualitätssicherungsstrategie, mit der sichergestellt wird, dass alle Veränderungen der Hardware- und Softwarearchitektur der IIP und RRM nachverfolgt werden,
3. automatisierte Überwachungs- und Warnsysteme, um die Verfügbarkeit aller Systemkomponenten und -dienste zu verfolgen und die IIP-Kunden und RRM-Kunden unverzüglich über etwaige Dienstunterbrechungen zu unterrichten,
4. Redundanz von Hardwarekomponenten und Netzinfrastruktur, die eine Ausfallsicherung durch Backup-Systeme ermöglicht, einschließlich
   1. im Falle von IIP Verfahren, mit denen sichergestellt wird, dass jede geplante Wartung der IIP-Dienste mit minimalen oder keinen Störungen des Dienstes durchgeführt wird, wobei Duplizierung und Redundanz von Hardware- und Softwarekomponenten genutzt werden,
   2. im Falle von RRM Verfahren für minimale Störungen während der geplanten Wartung, wobei Wartungsfenster für Zeiten geringer Aktivität eingeplant sind,
5. die Durchführung regelmäßiger Überprüfungen, mindestens einmal jährlich, zur Bewertung der technischen Infrastrukturen der IIP und RRM und der damit verbundenen Strategien und Verfahren, einschließlich Vorkehrungen zur Aufrechterhaltung des Geschäftsbetriebs und - im Falle von IIP - Vorkehrungen für die Informationssicherheit,
6. umfassende Datensicherungsmaßnahmen, mit denen der Schutz vor Datenverlusten gewährleistet wird, einschließlich der Speicherung der Daten, die der Agentur bei IIP in den letzten fünf Jahren nach Beendigung des entsprechenden Ereignisses und bei RRM in den letzten fünf Jahren gemeldet wurden,
7. wirksame Vorkehrungen zur Aufrechterhaltung des Geschäftsbetriebs bei ungeplanten Ereignissen, darunter
   1. Vorkehrungen zur Gewährleistung der Kontinuität der Prozesse, die für die Gewährleistung der Wirksamkeit von Datenmeldediensten von entscheidender Bedeutung sind, einschließlich Eskalationsverfahren, relevanter ausgelagerter Tätigkeiten oder Abhängigkeiten von externen Anbietern, die - bei einer IIP-Backup-Infrastruktur - eine vertragliche Vereinbarung mit einer anderen von der Agentur zugelassenen IIP umfassen können, zu der IIP-Kunden zur Offenlegung ihrer Informationen bei einem Vorfall umgeleitet werden, ohne dass dem IIP-Kunden zusätzliche Kosten entstehen,
   2. spezifische Notfallvorkehrungen, die ein angemessenes Spektrum möglicher kurz- und mittelfristiger Szenarien umfassen, einschließlich Systemausfällen, Naturkatastrophen, Kommunikationsstörungen, des Verlusts von wichtigen Mitarbeitern und der Unmöglichkeit der Nutzung der üblicherweise genutzten Räumlichkeiten,
   3. die Einrichtung von Ausfall- und Reserveverfahren, in denen festgelegt ist, dass IIP-Kunden für die Offenlegung ihrer Informationen zu Backup-IIP-Einrichtungen umgeleitet werden,
   4. die Festlegung eines Zielwerts für die maximale Frist zur Wiederherstellung kritischer Funktionen,
   5. obligatorische Schulungen des Personals zur Aufrechterhaltung des Geschäftsbetriebs,
   6. die Benennung des für die Aufrechterhaltung des Geschäftsbetriebs verantwortlichen Personals in Schlüsselpositionen, einschließlich der Benennung des Personals, das für eine unmittelbare Reaktion auf eine Störung der Dienste verantwortlich ist.

(4) Antragsteller können die Einhaltung einer der in Absatz 3 genannten Anforderungen nachweisen, indem sie der Agentur ein gültiges Zertifikat entsprechend der Normenreihe ISO/IEC 27000 über Informationssicherheits-Managementsysteme oder gleichwertige Zertifizierungen übermitteln. Die Agentur kann von den Antragstellern weitere Klarstellungen in Bezug auf die erteilte Zertifizierung, fehlende Informationen zum Nachweis der Einhaltung der in Absatz 3 genannten Anforderungen und eine Aktualisierung dieser Zertifizierung nach ihrem Ablaufdatum verlangen.

(5) IIP und RRM stellen sicher, dass alle bei der Überprüfung gemäß Absatz 3 Buchstabe e festgestellten Mängel behoben werden.

(6) IIP stellen der Öffentlichkeit alle Informationen im Zusammenhang mit den alternativen Offenlegungsmethoden zur Verfügung, die ihre IIP-Kunden im Falle eines Ausfalls der Plattform nutzen können. Wenn eine geplante Instandhaltung zu Störungen führen kann, ist sie für Zeitfenster zu planen, in denen lediglich geringe Aktivitäten erwartet werden.

(7) IIP-Dienste im Zusammenhang mit der Offenlegung und Veröffentlichung von Informationen und der Übermittlung von Meldungen von Insider-Informationen müssen zu mindestens 99,5 % der Zeit verfügbar sein. Gleiches gilt, wenn IIP-Dienste ganz oder teilweise an externe Dienstleister ausgelagert werden.

(8) Falls IIP-Kunden von der IIP über eine geplante Wartung, ungeplante Ausfallzeiten oder sonstige Störungen gemäß Artikel 18 unterrichtet wurden oder die IIP-Kunden in Ausnahmefällen selbst feststellen, dass weder die IIP noch ihre Backup-Einrichtungen in Betrieb sind, können die IIP-Kunden entscheiden, ob sie auf ihrer Website die Informationen offenlegen, die sie über die IIP offengelegt hätten, oder sich zur unverzüglichen Offenlegung auf eine andere IIP stützen, bis die IIP oder ihre Backup-Einrichtungen wiederhergestellt sind.

(9) IIP veröffentlichen auf ihrer Plattform die von ihren IIP-Kunden gemäß Absatz 8 offengelegten Informationen, sobald dies nach der Wiederherstellung der Dienste technisch möglich ist.

Artikel 18 Geplante Wartung, ungeplante Ausfallzeiten oder sonstige Störungen

(1) IIP legen Verfahren fest, um ihre IIP-Kunden auf ihrer Website über alle geplanten Wartungstätigkeiten zu informieren, die sich auf die Verfügbarkeit von IIP-Diensten im Zusammenhang mit der Offenlegung von Informationen und der Übermittlung von Meldungen von Insider-Informationen auswirken. Die Mitteilung muss mindestens fünf Arbeitstage vor Beginn des Wartungsfensters erfolgen. Sie muss eine Angabe zum Zeitraum der planmäßigen Unterbrechung des Dienstes sowie Anweisungen enthalten, wie die alternativen Mittel für die Offenlegung von Insider-Informationen oder für die Übermittlung von Meldungen von Insider-Informationen zu nutzen sind.

Zudem legen die IIP Verfahren fest, um ihre IIP-Kunden auf ihrer Website über alle ungeplanten Stillstandszeiten und sonstige Unterbrechungen zu informieren, die sich auf die Verfügbarkeit von IIP-Diensten im Zusammenhang mit der Offenlegung von Informationen und der Übermittlung von Meldungen von Insider-Informationen auswirken. Jeder IIP-Kunde wird schnellstmöglich nach der Störung einzeln benachrichtigt und erhält Anweisungen dazu, wie die alternativen Mittel für die Offenlegung von Informationen zu nutzen sind.

(2) Die RRM legen Verfahren fest, um ihre RRM-Kunden über alle geplanten Wartungstätigkeiten an der Schnittstelle oder am Meldesystem des RRM zu informieren. Die Mitteilung muss mindestens fünf Arbeitstage vor Beginn des Wartungsfensters erfolgen. Sie muss den Zeitraum der planmäßigen Unterbrechung des Dienstes enthalten.

Zudem legen die RRM Verfahren fest, um ihre RRM-Kunden über ungeplante Ausfallzeiten oder sonstige Störungen zu informieren. Die Mitteilung erfolgt so bald wie möglich nach Eintritt der Störung über die in Artikel 17 genannten Kanäle, einschließlich der Veröffentlichung einer Mitteilung auf ihrer Website mit einer voraussichtlichen Frist bis zur Wiederaufnahme des regulären Dienstes.

Gehören ein RRM und seine Kunden derselben juristischen Person an, ist der RRM nicht verpflichtet, die in diesem Absatz festgelegten Anforderungen zu erfüllen.

(3) IIP und RRM unterrichten die Agentur innerhalb von 24 Stunden, nachdem sie von der Störung Kenntnis erlangt haben, über ungeplante Ausfallzeiten oder sonstige Störungen, die ihre Fähigkeit beeinträchtigen, die Anforderungen der Artikel 11 bis 29 zu erfüllen. Spätestens einen Monat, nachdem sie Kenntnis von der Störung erlangt haben, legen IIP und RRM der Agentur einen Bericht vor, in dem die Ursachen der Störung und die zur Vermeidung eines erneuten Auftretens ergriffenen Maßnahmen im Einzelnen aufgeführt werden.

(4) Die Agentur kann zusätzliche Informationen oder Klarstellungen in Bezug auf die Einhaltung der in diesem Artikel festgelegten Anforderungen durch die IIP und RRM anfordern.

Abschnitt II
Anforderungen an IIP

Artikel 19 Betrieb der Plattform

(1) IIP müssen Vorkehrungen treffen, um das ordnungsgemäße Funktionieren der Plattform und die Offenlegung von Informationen so echtzeitnah wie technisch möglich zu gewährleisten.

(2) IIP dürfen dieselben Informationen nicht zweimal veröffentlichen.

(3) Informationen auf der IIP-Plattform werden mindestens in englischer Sprache zur Verfügung gestellt.

(4) Die IIP-Plattform muss Folgendes ermöglichen:

1. das Filtern offengelegter Informationen, einschließlich historischer Informationen, nach relevanten Datenkategorien,
2. das Herunterladen gefilterter Informationen in einem Format, das einer Standardstruktur und Benennungskonvention gemäß Anhang II entspricht,
3. das Herunterladen gefilterter Informationen und jede weitere Nutzung der heruntergeladenen Informationen für rechtmäßige Zwecke, und zwar kostenlos.

(5) Bietet die Plattform mehrere Möglichkeiten für den Zugang zu den offengelegten Informationen, einschließlich einer Anwendungsprogrammierschnittstelle (API), muss der Inhalt der über jedes dieser Mittel bereitgestellten Informationen identisch sein.

(6) Die IIP bewahren alle offengelegten historischen Informationen, einschließlich geänderter oder aktualisierter Informationen, für einen Zeitraum von mindestens fünf Jahren nach Abschluss der relevanten offengelegten Ereignisse, auf die sich die Informationen beziehen, auf und machen sie der Öffentlichkeit zugänglich.

(7) Die IIP führen ein zugängliches Verzeichnis früherer Offenlegungen im Zusammenhang mit demselben Ereignis und bieten eine klare und benutzerfreundliche Verknüpfungsfunktion zu früheren Offenlegungen.

Artikel 20 Übermittlung von Meldungen von Insider-Informationen

Die IIP müssen über ein Verfahren und die technischen Mittel verfügen, um der Agentur in einem von der Agentur gemäß Anhang II festgelegten elektronischen Standardformat alle auf ihrer Plattform offengelegten Informationen, die über ihre Datenvalidierungssysteme erfolgreich validiert wurden, einschließlich späterer Änderungen, spätestens einen Tag nach der Offenlegung oder Änderung zu melden.

Artikel 21 Gleichbehandlung bei der Erbringung von Diensten

Die IIP müssen über ein Verfahren und die technischen Mittel verfügen, um Marktteilnehmern und für die Notfallplanung zuständigen Behörden einen diskriminierungsfreien Zugang zu ihren Diensten zu gewähren, die die Veröffentlichung gemäß Artikel 3 Absatz 4 Buchstabe c der Verordnung (EU) Nr. 1227/2011 gewährleisten sollen.

Artikel 22 Bewertung von Meldungen von Insider-Informationen vor der Übermittlung an die Agentur

Das IIP-Datenvalidierungssystem gemäß Artikel 12 muss

1. erkennen, ob die offenzulegenden Informationen bereits von derselben IIP veröffentlicht wurden,
2. erkennen, ob die Meldung von Insider-Informationen alle erforderlichen Informationen gemäß Anhang II und den entsprechenden, von der Agentur angenommenen Handbüchern enthält,
3. jegliche Datenbeschädigung erkennen, die die IIP bei der Verarbeitung der Meldung von Insider-Informationen verursacht haben könnte,
4. die Authentifizierung der Informationsquelle und die Überprüfung von Folgendem ermöglichen:
   1. der Identität des IIP-Kunden,
   2. der Identität jeder anderen Person, die im Namen des IIP-Kunden Informationen übermittelt.

Artikel 23 Erkennung und Korrektur ungültiger Meldungen von Insider-Information vor der Übermittlung an die Agentur

(1) Wenn Datenvalidierungssysteme Dateninkohärenzen oder fehlende Daten (im Folgenden "ungültige Daten") vor der Offenlegung der Informationen auf der IIP-Plattform oder der Übermittlung von Meldungen von Insider-Informationen an die Agentur feststellen oder erkennen, stellen IIP ihren IIP-Kunden detaillierte Informationen über die Validierungsergebnisse zur Verfügung und fordern die Kunden auf, die Informationen mit den erforderlichen Korrekturen oder fehlenden Daten erneut an die IIP zu übermitteln. Wenn die IIP diese Informationen von den Kunden erhält, übermittelt sie diese Meldungen so bald wie technisch möglich an die Agentur.

(2) Die IIP führen ein Register ungültiger Daten, die von ihren IIP-Kunden übermittelt und anschließend nicht berichtigt wurden. Die ungültigen Daten werden ab dem Datum der Übermittlung 18 Monate lang gespeichert. Die Agentur kann auf das Register zugreifen und die zuständigen nationalen Regulierungsbehörden über Fälle, in denen IIP-Kunden ungültige Daten übermittelt haben, sowie über die Identität dieser Kunden unterrichten.

Artikel 24 Eingang der von IIP übermittelten Meldungen von Insider-Informationen

(1) Wenn die Agentur Meldungen von Insider-Informationen erhält, stellt sie den IIP Empfangsbestätigungen aus. Diese Empfangsbestätigungen müssen mindestens folgende Angaben enthalten:

1. die Kennung der übermittelten Meldung von Insider-Informationen,
2. die Angabe, ob die Meldung von Insider-Informationen von der Agentur erfolgreich erfasst wurde.

Konnte die Agentur die Informationen aufgrund eines Fehlers nicht erfolgreich erfassen, so sind in der Empfangsbestätigung auch die von dem Fehler betroffenen Informationen und, wenn möglich, die Ursache des Fehlers anzugeben.

(2) Ist der in Absatz 1 Unterabsatz 2 genannte Fehler der IIP anzulasten, legt die IIP innerhalb von fünf Arbeitstagen eine berichtigte Meldung von Insider-Informationen vor. Diese Frist kann auf Antrag der IIP in hinreichend begründeten Fällen von der Agentur verlängert werden.

(3) Ist der Fehler den IIP-Kunden anzulasten, gibt die IIP diesen Kunden Orientierungshilfen für die Korrektur der Meldung von Insider-Informationen und übermittelt anschließend der Agentur die berichtigte Meldung von Insider-Informationen innerhalb von zehn Arbeitstagen. Diese Frist kann auf Antrag der IIP in hinreichend begründeten Fällen von der Agentur verlängert werden. IIP implementieren automatisierte Hinweissysteme, die in der Lage sind, folgende Maßnahmen durchzuführen:

1. Unterrichtung der IIP-Kunden über den Eingang der Meldung bei der Agentur,
2. Übermittlung einer Kopie der der Agentur übermittelten Meldungen von Insider-Informationen des IIP-Kunden an den IIP-Kunden.

(4) Abweichend von Artikel 12 Absatz 3 kann die IIP zur Gewährleistung einer rechtzeitigen und effizienten Offenlegung von Informationen Meldungen von Insider-Informationen veröffentlichen und der Agentur vorlegen, die möglicherweise weitere Klarstellungen seitens des IIP-Kunden erfordern, sofern der Inhalt der Meldungen für Handelsentscheidungen der Marktteilnehmer gemäß der Verordnung (EU) Nr. 1227/2011 relevant ist. In solchen Fällen werden die in der Meldung enthaltenen Informationen von der IIP bei der Veröffentlichung und Übermittlung der Meldung an die Agentur gekennzeichnet. Müssen die Informationen nach einem Hinweis der Agentur berichtigt werden, arbeiten IIP mit ihren IIP-Kunden zusammen, um diese Informationen zu berichtigen. Sobald die Informationen berichtigt sind, veröffentlichen die IIP diese erneut und übermitteln sie der Agentur, sobald dies technisch möglich ist.

Artikel 25 Verpflichtung, IIP-Dienste zu angemessenen wirtschaftlichen Bedingungen bereitzustellen

IIP können Gebühren für die Erbringung ihrer Dienste in angemessener und wirtschaftlich gerechtfertigter Höhe festlegen und erheben. Diese Gebühren werden so festgelegt, dass sie die tatsächlichen Kosten widerspiegeln, die den IIP bei der Erhebung und Verbreitung von Insider-Informationen entstehen, einschließlich der Kosten für die Gewährleistung einer zeitnahen Offenlegung von Informationen und die Bereitstellung von Backup-Lösungen zur Gewährleistung der Kontinuität des Dienstes.

Abschnitt III
Anforderungen an RRM

Artikel 26 Bewertung der Datenaufzeichnungen vor der Übermittlung an die Agentur

Das RRM-Datenvalidierungssystem gemäß Artikel 12 muss

1. erkennen, ob die Datenaufzeichnung alle erforderlichen Informationen gemäß der Durchführungsverordnung (EU) 2026/256 und den entsprechenden von der Agentur angenommenen Handbüchern enthält,
2. jegliche Datenbeschädigung erkennen, die der RRM bei der Verarbeitung der Datenaufzeichnung verursacht haben könnte,
3. die Authentifizierung der Informationsquelle ermöglichen und Folgendes prüfen:
   1. die Identität des RRM-Kunden,
   2. die Identität jeder anderen Person, die im Namen des RRM-Kunden Informationen übermittelt.

Gehören ein RRM und seine Kunden derselben juristischen Person an, ist der RRM nicht verpflichtet, die unter Buchstabe c festgelegten Anforderungen zu erfüllen.

Artikel 27 Erkennung und Berichtigung ungültiger Datenaufzeichnungen vor der Übermittlung an die Agentur

(1) Wenn Datenvalidierungssysteme Dateninkohärenzen oder fehlende Daten (im Folgenden "ungültige Daten") vor der Meldung von Datenaufzeichnungen an die Agentur erkennen oder identifizieren, stellen RRM ihren RRM-Kunden detaillierte Informationen über die Validierungsergebnisse zur Verfügung und fordern die Kunden auf, die Datenaufzeichnungen mit den erforderlichen Korrekturen oder fehlende Daten neu an den RRM zu übermitteln. Wenn der RRM diese Informationen von den Kunden erhält, übermittelt er diese Aufzeichnungen so bald wie technisch möglich an die Agentur.

Gehören der RRM und seine Kunden derselben juristischen Person an, übermittelt der RRM in Fällen, in denen sein Datenvalidierungssystem vor der Übermittlung der Datenaufzeichnungen an die Agentur ungültige Daten erkennt oder identifiziert, die Datenaufzeichnungen mit den erforderlichen Korrekturen oder fehlenden Daten so bald wie technisch möglich an die Agentur.

(2) Die RRM führen ein Register ungültiger Daten, die von ihren RRM-Kunden übermittelt und anschließend nicht berichtigt wurden. Die ungültigen Daten werden ab dem Datum der Übermittlung 18 Monate lang gespeichert. Die Agentur kann auf das Register zugreifen und die zuständigen nationalen Regulierungsbehörden über Fälle, in denen RRM-Kunden ungültige Daten übermittelt haben, sowie über die Identität dieser Kunden unterrichten.

Gehören ein RRM und seine Kunden derselben juristischen Person an, führt der RRM ein Register ungültiger Daten, die von seinen RRM-Kunden übermittelt und anschließend nicht berichtigt wurden. Die ungültigen Daten werden ab dem Datum der Übermittlung 18 Monate lang gespeichert. Die Agentur kann auf das Register zugreifen und die zuständigen nationalen Regulierungsbehörden über Fälle, in denen RRM-Kunden ungültige Daten übermittelt haben, sowie über die Identität dieser Kunden unterrichten.

Artikel 28 Datenabgleich

(1) Von ihren RRM-Kunden erhaltene Datenaufzeichnungen, die sich auf andere Geschäfte als Handelsaufträge auf dem Energiegroßhandelsmarkt beziehen, die auf einem organisierten Markt abgeschlossen oder ausgeführt werden, werden von den RRM abgeglichen. Der Abgleich wird durchgeführt, indem überprüft wird, ob sie eine entsprechende Datenaufzeichnung in Bezug auf die andere an der Transaktion beteiligte Partei erhalten haben, sofern alle folgenden Bedingungen erfüllt sind:

1. die Transaktion wurde an einem organisierten Markt abgeschlossen, in dessen Namen der RRM Daten gemäß Artikel 8 Absatz 1a der Verordnung (EU) Nr. 1227/2011 meldet,
2. die Transaktion wurde nicht aufgrund einer einheitlichen Intraday-Marktkopplung, einer Auktion oder der Zuweisung primärer Kapazität abgeschlossen,
3. die Datenaufzeichnungen wurden vom RRM-Kunden nicht als fehlerhaft eingestuft.

(2) Vor der Übermittlung der Datenaufzeichnung an die Agentur teilen die RRM für Transaktionen, bei denen der Abgleich gemäß Absatz 1 nicht erfolgreich war, dem organisierten Markt gemäß Artikel 7 der Durchführungsverordnung (EU) 2026/256 die folgenden Werte mit:

1. "Eindeutige Transaktionskennung",
2. "Kennung des Marktteilnehmers oder der Gegenpartei",
3. "Zeitstempel der Transaktion".

(3) Vor der Übermittlung der Datenaufzeichnung an die Agentur fordern die RRM den organisierten Markt auf, die fehlenden entsprechenden Datenaufzeichnungen der anderen an der Transaktion beteiligten Partei bereitzustellen.

Artikel 29 Eingang der von RRM übermittelten Datenaufzeichnungen

(1) Die Agentur stellt den RRM für die gemeldeten Datenaufzeichnungen Empfangsbestätigungen aus. Diese Empfangsbestätigungen müssen mindestens folgende Angaben enthalten:

1. die Kennung der gemeldeten Datenaufzeichnung,
2. die Angabe, ob die Datenaufzeichnung von der Agentur erfolgreich erfasst wurde.

Konnte die Agentur die Datenaufzeichnung aufgrund eines Fehlers nicht erfolgreich erfassen, sind in der Empfangsbestätigung auch die von dem Fehler betroffenen Daten und, wenn möglich, die Ursache des Fehlers anzugeben.

(2) Ist der in Absatz 1 Unterabsatz 2 genannte Fehler dem RRM anzulasten, übermittelt der RRM die berichtigte Datenaufzeichnung innerhalb von fünf Arbeitstagen erneut an die Agentur. Diese Frist kann in hinreichend begründeten Fällen auf Antrag des RRM von der Agentur verlängert werden.

(3) Ist der Fehler den RRM-Kunden anzulasten, gibt der RRM diesen Kunden Orientierungshilfen für die Korrektur der Datenaufzeichnung und übermittelt anschließend innerhalb von zehn Arbeitstagen der Agentur die berichtigte Datenaufzeichnung. Diese Frist kann in hinreichend begründeten Fällen auf Antrag des RRM von der Agentur verlängert werden. RRM implementieren automatisierte Hinweissysteme, die in der Lage sind, folgende Maßnahmen durchzuführen:

1. Unterrichtung der RRM-Kunden über den Eingang der Meldung bei der Agentur,
2. Übermittlung einer Kopie der der Agentur übermittelten Datenaufzeichnungen des RRM-Kunden an den RRM-Kunden.

(4) Die Kopie der Datenaufzeichnung des RRM-Kunden und die Empfangsbestätigung der Agentur im Zusammenhang mit LNG-Marktdaten werden dem RRM-Kunden so bald wie möglich nach Erhalt von der Agentur zur Verfügung gestellt.

(5) RRM fungieren als zentrale Anlaufstellen zwischen der Agentur und ihren RRM-Kunden, wozu sie Kommunikationskanäle mit ihren RRM-Kunden einrichten und sicherstellen, dass die RRM-Kunden über jede Nichteinhaltung oder fehlende Daten informiert werden.

(6) Abweichend von Absatz 5 kann sich die Agentur direkt an die RRM-Kunden wenden, wenn Klarstellungen und Korrekturen in Bezug auf gemeldete LNG-Marktdaten erforderlich sind.

(7) RRM, die keine Kunden haben und der Agentur nur im eigenen Namen Datenaufzeichnungen melden, sind nicht verpflichtet, die Absätze 3, 4 und 5 einzuhalten.

Kapitel IV
Aufsicht

Artikel 30 Überwachung und Bewertung der Einhaltung

Auf Ersuchen der Agentur übermitteln die IIP und RRM innerhalb der von der Agentur gesetzten Frist Informationen, die für die Bewertung der fortdauernden Einhaltung dieser Verordnung und der Verordnung (EU) Nr. 1227/2011 erforderlich sind. Der Zeitrahmen für die Übermittlung der Informationen muss dem Ersuchen angemessen und verhältnismäßig sein. Zudem kann die Agentur Informationen über den IIP-Kunden oder RRM-Kunden anfordern, in dessen Namen der IIP oder der RRM Bericht erstattet. In diesem Fall setzt sich die IIP oder der RRM mit dem betreffenden IIP-Kunden oder RRM-Kunden in Verbindung, soweit dies erforderlich ist, um die angeforderten Informationen zu erhalten.

Artikel 31 Wesentliche Änderungen nach der Zulassung

(1) Wenn IIP, RRM oder ihre IIP-Kunden oder RRM-Kunden wesentliche Änderungen gemäß Artikel 6 Absatz 3 veranlassen, teilt die IIP oder der RRM der Agentur diese Änderungen spätestens zehn Arbeitstage nach der wesentlichen Änderung mit. In der Mitteilung sind die Änderungen ausführlich zu beschreiben und die entsprechenden Begleitdokumente gemäß Artikel 4 beizufügen, soweit diese geändert wurden.

(2) Die RRM teilen der Agentur auch alle Änderungen der gemeldeten Volumina vor deren Umsetzung mit.

(3) Die Agentur antwortet der IIP oder dem RRM innerhalb von 15 Arbeitstagen und teilt ihnen mit, ob die Änderung den Anforderungen der vorliegenden Verordnung und der Verordnung (EU) Nr. 1227/2011 entspricht oder ob zusätzliche Informationen oder Maßnahmen erforderlich sind. Erfüllt die IIP oder der RRM infolge einer wesentlichen Änderung eine der in dieser Verordnung und in der Verordnung (EU) Nr. 1227/2011 festgelegten Anforderungen nicht mehr, so kann die Agentur eine Entscheidung gemäß Artikel 34 erlassen.

Artikel 32 Feststellung von Verstößen und Folgen

(1) Ist die Agentur von sich aus oder nach Übermittlung von Informationen durch einen Dritten der Auffassung, dass eine IIP oder ein RRM eine der Anforderungen der vorliegenden Verordnung oder der Verordnung (EU) Nr. 1227/2011 nicht erfüllt hat, kann sie sich mit den betreffenden IIP oder RRM in Verbindung setzen und sie auffordern, alle folgenden Maßnahmen zu ergreifen:

1. Umsetzen der erforderlichen Maßnahmen, um den Anforderungen der vorliegenden Verordnung oder der Verordnung (EU) Nr. 1227/2011 so bald wie möglich nachzukommen, die Auswirkungen solcher Verhaltensweisen abzumildern und Maßnahmen zur Verhinderung ähnlicher Ereignisse in Zukunft umzusetzen,
2. Übermittlung von Erläuterungen zu ihrem Verhalten an die Agentur und, soweit relevant, Unterrichtung der Agentur über die Maßnahmen, die ergriffen wurden, um die Auswirkungen eines solchen Verhaltens abzumildern, sowie über die Maßnahmen, die ergriffen wurden, um ähnliche Ereignisse in Zukunft zu verhindern,
3. Unterrichtung der IIP-Kunden und der RRM-Kunden sowie aller vom Verhalten der IIP oder des RRM tatsächlich oder möglicherweise Betroffenen unter Angabe der Art der Verhaltensweise sowie, soweit relevant, Unterrichtung des IIP-Kunden und des RRM-Kunden über die Maßnahmen, die ergriffen wurden, um die Auswirkungen eines solchen Verhaltens abzumildern, sowie über die Maßnahmen, die ergriffen wurden, um ähnliche Ereignisse in Zukunft zu verhindern.

(2) In Fällen, in denen das Verhalten der IIP oder des RRM ein Risiko für den sicheren Austausch und die sichere Handhabung von Informationen oder die operative Verfügbarkeit des Informationssystems der Agentur darstellt, kann die Agentur die Datenerfassung von IIP und RRM vorübergehend aussetzen. In diesem Fall informiert die Agentur die IIP und den RRM schriftlich, wobei sie die Gründe für die Aussetzung und ihre voraussichtliche Dauer erläutert. Die Aussetzung kann so lange andauern, bis das Risiko wirksam gemindert ist.

Artikel 33 Jährliche Berichterstattung durch RRM

(1) Der Jahresbericht, der der Agentur gemäß Artikel 9a Absatz 2 der Verordnung (EU) Nr. 1227/2011 vorzulegen ist, muss alle Tätigkeiten abdecken, die in einem vollen Kalenderjahr (im Folgenden "Bezugsjahr") durchgeführt wurden, und wird der Agentur in elektronischer Form übermittelt. Das erste Bezugsjahr ist das volle Kalenderjahr nach der Zulassung. Die Jahresberichte sind spätestens am 31. März des auf das Bezugsjahr folgenden Jahres vorzulegen.

(2) Der Jahresbericht muss für das Bezugsjahr folgende Angaben enthalten:

1. die Anzahl der ungültigen Datenaufzeichnungen, die nicht an die Agentur übermittelt wurden, einschließlich der Identität der betreffenden Marktteilnehmer,
2. die Anzahl der Fälle ungültiger Datenaufzeichnungen, bei denen der RRM mit seinen jeweiligen RRM-Kunden eine Nachbereitung durchführte, um die Datenaufzeichnung gemäß Artikel 27 zu berichtigen,
3. bei bilateralen Geschäften die Liste der Marktteilnehmer, die keine RRM-Kunden, aber Gegenparteien von RRM-Kunden in den jeweiligen bilateralen Geschäften sind.

(3) Der Jahresbericht wird von einem gesetzlichen Vertreter des RRM unterzeichnet.

(4) Die Agentur kann RRM auffordern, ihren Jahresbericht zu ändern, wenn dieser nicht alle in diesem Artikel genannten Elemente enthält. In einer solchen Aufforderung sind die fehlenden Informationen oder die Klarstellungen anzugeben, die die Agentur auf der Grundlage der übermittelten Informationen benötigt. Der RRM ändert den Jahresbericht entsprechend und legt ihn innerhalb von 30 Arbeitstagen nach Eingang der Aufforderung erneut vor.

Kapitel V
Widerruf einer Zulassung und ordnungsgemäße Ersetzung

Abschnitt I
Allgemeine Bestimmungen zum Widerruf

Artikel 34 Entscheidung über den Widerruf

(1) Die Agentur kann eine Entscheidung über den Widerruf der Zulassung einer IIP erlassen und die IIP aus dem öffentlichen Register löschen, wenn die IIP

1. von der Zulassung nicht innerhalb von zwölf Monaten nach ihrer Erteilung Gebrauch macht,
2. innerhalb von sechs Monaten nach Erteilung der Zulassung ausdrücklich auf die Zulassung verzichtet oder keine Dienste erbracht hat,
3. die Zulassung aufgrund falscher Angaben oder auf andere nicht ordnungsgemäße Weise erhalten hat,
4. die Zulassungsanforderungen gemäß Artikel 4a der Verordnung (EU) Nr. 1227/2011 und der vorliegenden Verordnung nicht mehr erfüllt,
5. in schwerwiegender und systematischer Weise gegen die Verordnung (EU) Nr. 1227/2011 verstoßen hat, ohne den Verstoß abzustellen.

(2) Die Agentur kann eine Entscheidung über den Widerruf der Zulassung eines RRM erlassen und den RRM aus dem öffentlichen Register löschen, wenn der RRM

1. von der Zulassung nicht innerhalb von 18 Monaten nach ihrer Erteilung Gebrauch macht,
2. innerhalb von 18 Monaten nach Erteilung der Zulassung ausdrücklich auf die Zulassung verzichtet oder keine Dienste erbracht hat,
3. die Zulassung aufgrund falscher Angaben oder auf andere nicht ordnungsgemäße Weise erhalten hat,
4. die Zulassungsanforderungen gemäß Artikel 9a der Verordnung (EU) Nr. 1227/2011 und der vorliegenden Verordnung nicht mehr erfüllt,
5. in schwerwiegender und systematischer Weise gegen die Verordnung (EU) Nr. 1227/2011 verstoßen hat.

(3) In der Entscheidung gemäß Absatz 1 oder 2 gibt die Agentur den Zeitraum für die ordnungsgemäße Ersetzung gemäß Artikel 39 der vorliegenden Verordnung an, nennt die Gründe für den Widerruf und legt die Rechtsbehelfe des IIP oder des RRM gemäß den Artikeln 28 und 29 der Verordnung (EU) 2019/942 dar.

Artikel 35 Verfahren für einen Widerruf auf Initiative der Agentur

(1) Vor dem Erlass einer Widerrufsentscheidung und der damit verbundenen vorläufigen Bewertung kann die Agentur IIP und RRM auffordern, alle Informationen vorzulegen, die die Agentur benötigt, um bewerten zu können, ob die IIP oder der RRM eine der in Artikel 34 Absatz 1 bzw. Absatz 2 genannten Bedingungen erfüllt hat. Die Agentur gibt die Rechtsgrundlage und den Zweck der Aufforderung an, teilt mit, welche Informationen angefordert werden, und gibt die Frist an, innerhalb deren die IIP oder der RRM die angeforderten Informationen übermitteln muss.

(2) Bevor die IIP oder der RRM auf die vorläufige Bewertung gemäß Absatz 1 antwortet, hat sie bzw. er auf Antrag das Recht auf Zugang zu den Dokumenten, auf die die Agentur ihre vorläufige Bewertung gestützt hat, mit Ausnahme von Geschäftsgeheimnissen, vertraulichen Informationen und internen Dokumenten der Agentur.

(3) Die Agentur stützt ihre Widerrufsentscheidung gemäß Absatz 1 auf eine vorläufige Bewertung, ob die betreffende IIP oder der betreffende RRM eine der in Artikel 34 Absatz 1 bzw. Absatz 2 genannten Bedingungen erfüllt hat. Die Agentur gibt der betreffenden IIP oder dem betreffenden RRM Gelegenheit, innerhalb einer bestimmten Frist schriftlich zu der vorläufigen Bewertung Stellung zu nehmen. Bei der Festlegung dieser Frist trägt die Agentur der Dringlichkeit, der Komplexität und den potenziellen Folgen der betreffenden Angelegenheit gebührend Rechnung und stellt sicher, dass die Frist in einem angemessenen Verhältnis zu den Umständen des Falles steht.

(4) Im Anschluss an die Antwort der IIP oder des RRM auf die vorläufige Bewertung gemäß Absatz 3 und vor dem Erlass einer Entscheidung durch die Agentur organisiert die Agentur auf schriftlichen Antrag der betreffenden IIP oder des betreffenden RRM eine mündliche Anhörung. Ein solcher Antrag auf Anhörung ist spätestens 20 Arbeitstage nach der Gewährung des Zugangs zu den Dokumenten gemäß Absatz 2 oder, falls die IIP oder der RRM ihr bzw. sein Recht gemäß Absatz 2 nicht ausgeübt hat, einen Monat nach Übermittlung der vorläufigen Bewertung durch die Agentur an die betreffende IIP oder den betreffenden RRM zu stellen. Wird kein schriftlicher Antrag auf eine mündliche Anhörung gestellt, kann die Agentur eine Anhörung von sich aus organisieren.

(5) Die Agentur stützt ihre Entscheidung nur auf Feststellungen, zu denen die IIP oder der RRM entweder schriftlich oder, soweit zutreffend, durch zusätzliche schriftliche Klarstellungen oder während der mündlichen Anhörung Stellung nehmen konnte.

(6) Teilt die betreffende IIP oder der betreffende RRM der Agentur im Laufe des Verfahrens gemäß diesem Artikel ihre bzw. seine Absicht mit, ausdrücklich auf die Zulassung zu verzichten, kann die Agentur beschließen, dieses Verfahren einzustellen und stattdessen das Verfahren nach Artikel 36 anzuwenden.

Artikel 36 Widerrufsverfahren auf Antrag der IIP und des RRM

(1) IIP und RRM, die beabsichtigen, auf ihre Zulassung zu verzichten, teilen der Agentur diese Absicht mit und geben dabei Folgendes an:

1. den vorgeschlagenen Zeitrahmen für die ordnungsgemäße Übertragung und Ersetzung ihrer Funktionen, der mindestens sechs Monate betragen muss,
2. die Gründe für den Verzicht auf die Zulassung,
3. die konkreten Schritte, die sie zur Umsetzung der ordnungsgemäßen Ersetzung unternehmen wollen.

(2) Nach Eingang der in Absatz 1 genannten Mitteilung kann die Agentur zusätzliche Informationen oder Klarstellungen im Zusammenhang mit der Mitteilung anfordern. Die Agentur setzt eine Frist, innerhalb deren die IIP oder der RRM schriftlich antworten muss. Bei der Festlegung dieser Frist trägt die Agentur der Dringlichkeit, der Komplexität und den potenziellen Folgen der betreffenden Angelegenheit gebührend Rechnung und stellt sicher, dass die Frist in einem angemessenen Verhältnis zu den Umständen des Falles steht.

(3) Die Entscheidung der Agentur über den Widerruf, in der sie einen angemessenen Zeitpunkt für den von der IIP oder dem RRM geforderten Widerruf angibt, stützt sich ausschließlich auf Feststellungen, zu denen die IIP oder der RRM entweder in der ursprünglichen Mitteilung oder, soweit zutreffend, in seinen schriftlichen Antworten auf die Ersuchen der Agentur um zusätzliche Informationen oder Klarstellungen Stellung nehmen konnten.

Artikel 37 Mitteilungen der Agentur nach Erlass der Entscheidung über den Widerruf

(1) Die Agentur unterrichtet die betreffende IIP oder den betreffenden RRM über das Ergebnis des in den Artikeln 34, 35 und 36 genannten Widerrufsverfahrens. Dieses Ergebnis erfolgt im Falle des Widerrufs der Zulassung in Form einer Entscheidung. Eine Widerrufsentscheidung wird der betreffenden IIP oder dem RRM innerhalb von fünf Arbeitstagen nach ihrer Annahme mitgeteilt.

(2) Im Falle einer Widerrufsentscheidung streicht die Agentur die betreffende IIP oder den betreffenden RRM am Arbeitstag nach der Mitteilung der Entscheidung aus dem öffentlichen Register und gibt diese Streichung auf der Website der Agentur bekannt. Die Agentur unterrichtet alle nationalen Regulierungsbehörden über eine solche Ankündigung. Die Agentur veröffentlicht auf ihrer Website eine nichtvertrauliche Fassung der Widerrufsentscheidung.

Abschnitt II
Allgemeine Bestimmungen über die ordnungsgemäße Ersetzung im Falle des Widerrufs einer Zulassung

Artikel 38 Verfahren für die ordnungsgemäße Ersetzung

(1) Spätestens zwei Arbeitstage nach der Mitteilung einer Widerrufsentscheidung unterrichtet die IIP oder der RRM, deren bzw. dessen Zulassung widerrufen wurde (im Folgenden "ausscheidende IIP" oder "ausscheidender RRM"), die IIP-Kunden oder RRM-Kunden schriftlich über die Modalitäten und Verfahren, die bei der Übermittlung relevanter Daten und der Umleitung von Meldeflüssen zu einer alternativen IIP oder einem alternativen RRM zu befolgen sind, die bzw. der vom IIP-Kunden oder RRM-Kunden ausgewählt wurde. In derselben Mitteilung fragt die ausscheidende IIP oder der ausscheidende RRM die betreffenden IIP-Kunden oder RRM-Kunden, ob sie beabsichtigen, die Weiterleitung des Datenflusses zu einer anderen IIP oder einem anderen RRM (im Folgenden "ausgewählte IIP" oder "ausgewählter RRM") zum Zweck der Gewährleistung einer ordnungsgemäßen Ersetzung selbst zu veranlassen oder diese Vereinbarung der ausscheidenden IIP oder dem ausscheidenden RRM zu überlassen.

(2) In der in Absatz 1 genannten Anfrage fordert die ausscheidende IIP oder der ausscheidende RRM folgende Angaben an:

1. die Firma des Unternehmens der ausgewählten IIP oder des ausgewählten RRM,
2. die eingetragene Anschrift der ausgewählten IIP oder des ausgewählten RRM,
3. die Kontaktdaten der ausgewählten IIP oder des RRM.

(3) Die ausgewählte IIP oder der ausgewählte RRM beginnt die relevanten Dienste für den betreffenden IIP-Kunden oder RRM-Kunden spätestens am Arbeitstag nach Ablauf des durch die Entscheidung der Agentur festgelegten Zeitraums für die ordnungsgemäße Ersetzung, sofern der IIP-Kunde oder der RRM-Kunde den Dienstvertrag für die betreffenden IIP- oder RRM-Dienste unterzeichnet hat.

(4) Die ausscheidende IIP oder der ausscheidende RRM holt innerhalb von zwei Monaten nach der in Absatz 1 genannten Mitteilung von dem betreffenden IIP-Kunden oder RRM-Kunden die Informationen der ausgewählten IIP oder des ausgewählten RRM in schriftlicher Form ein. Versäumt es der betreffende IIP-Kunde oder RRM-Kunde, dies zu tun, teilt die Agentur dies der nationalen Regulierungsbehörde des Mitgliedstaats mit, in dem der IIP-Kunde oder RRM-Kunde registriert ist. Die notifizierte nationale Regulierungsbehörde prüft, ob mögliche Durchsetzungsmaßnahmen erforderlich sind.

(5) Nach Ablauf der von der Agentur festgelegten Frist für die ordnungsgemäße Ersetzung teilt die ausscheidende IIP oder der ausscheidende RRM der Agentur unverzüglich mit, welche Auswahl von jedem ihrer IIP-Kunden bzw. seiner RRM-Kunden getroffen wurde. In dieser Mitteilung ist auch das genaue Datum anzugeben, an dem die ausscheidende IIP oder der ausscheidende RRM den betreffenden IIP-Kunden oder RRM-Kunden gemäß Absatz 1 unterrichtet hat, sowie das Datum, an dem die Informationen über die ausgewählte IIP oder den ausgewählten RRM bei der ausscheidenden IIP oder dem ausscheidenden RRM eingegangen sind.

(6) Während des von der Agentur festgelegten Zeitraums für die ordnungsgemäße Ersetzung erhält die ausgewählte IIP oder ausgewählte RRM Folgendes:

1. die Einzelheiten von Meldungen von Insider-Informationen bzw. Datenaufzeichnungen, die der Agentur nach dem Datum der Annahme der Widerrufsentscheidung gemeldet oder übermittelt wurden,
2. die Einzelheiten von Meldungen von Insider-Informationen bzw. Datenaufzeichnungen, die der Agentur ein Jahr vor dem Datum der Annahme der Widerrufsentscheidung übermittelt wurden, und aller Verträge im Zusammenhang mit der Übermittlung von Meldungen von Insider-Informationen bzw. Datenaufzeichnungen, die zum Zeitpunkt der Annahme der Widerrufsentscheidung durch die Agentur in Kraft sind,
3. alle sonstigen Informationen, die für die Übertragung der Dienste der ausscheidenden IIP oder des ausscheidenden RRM auf die ausgewählte IIP oder den ausgewählten RRM relevant sind.

Die in Unterabsatz 1 genannten Einzelheiten und Informationen werden von der ausscheidenden IIP oder dem ausscheidenden RRM an die ausgewählte IIP oder den ausgewählten RRM übermittelt, es sei denn, ihre IIP- oder RRM-Kunden haben ihre Absicht bekundet, die Weiterleitung des Datenflusses an die ausgewählte IIP oder den ausgewählten RRM selbst zu organisieren. In diesem Fall werden die in Unterabsatz 1 genannten Einzelheiten und Informationen durch den IIP oder RRM-Kunden übermittelt.

(7) Die ausscheidende IIP oder der ausscheidende RRM stellt den eigenen IIP-Kunden oder RRM-Kunden auf deren Verlangen alle zusätzlichen Informationen oder Klarstellungen in Bezug auf die in Absatz 1 genannten Übertragungen zur Verfügung.

(8) Ein ausscheidender RRM, der Datenaufzeichnungen im eigenen Namen meldet, unterrichtet die Agentur schriftlich und innerhalb von zwei Monaten nach Eingang der Widerrufsentscheidung über den von ihm gewählten RRM, um eine ordnungsgemäße Ersetzung zu gewährleisten. Die Mitteilung muss die in Absatz 2 aufgeführten Informationen umfassen. Die Absätze 3, 5 und 6 dieses Artikels gelten sinngemäß.

Artikel 39 Zeitlicher Ablauf der ordnungsgemäßen Ersetzung

(1) In ihrer Widerrufsentscheidung begründet die Agentur jede Abweichung von der in den Artikeln 4a und 9a der Verordnung (EU) Nr. 1227/2011 genannten Sechsmonatsfrist ordnungsgemäß.

(2) Unter außergewöhnlichen Umständen kann die IIP oder der RRM bei der Agentur einen schriftlichen Antrag auf Verlängerung der in der Widerrufsentscheidung festgelegten Frist für die ordnungsgemäße Ersetzung stellen. Ein solches Ersuchen ist hinreichend zu begründen und muss die Einzelheiten der außergewöhnlichen Umstände, die die IIP oder den RRM daran hindern, die ordnungsgemäße Ersetzung innerhalb der von der Agentur festgelegten Frist durchzuführen, sowie entsprechende Nachweise enthalten. Der Antrag wird der Agentur spätestens einen Monat vor Ablauf des in der Widerrufsentscheidung festgelegten Zeitraums für die ordnungsgemäße Ersetzung vorgelegt und bedarf der Genehmigung durch die Agentur.

Kapitel VI
Schlussbestimmungen

Artikel 40 Inkrafttreten und Anwendung

Diese Verordnung tritt am zwanzigsten Tag nach ihrer Veröffentlichung im Amtsblatt der Europäischen Union in Kraft.

Die Artikel 3 bis 8 und 10 bis 39, einschließlich der Anhänge I und II, gelten ab dem 29 Oktober 2027.

Diese Verordnung ist in allen ihren Teilen verbindlich und gilt unmittelbar in jedem Mitgliedstaat.

Brüssel, den 30. Januar 2026

.

Identifizierungsformular

Privatrechtliche Einrichtung

DATENSCHUTZERKLÄRUNG (https://commission.europa.eu/document/download/2230f5f6-9b83-45f3-b591-3b9258559a34_en?filename=lef_baf_prviacy_notice-en.pdf)

Mit der Übermittlung dieses Formulars bestätigen Sie, dass Sie über die Verarbeitung Ihrer personenbezogenen Daten durch die Europäische Kommission zu Rechnungslegungs- und Vertragszwecken informiert wurden.

Bitte füllen Sie dieses Formular in GROßBUCHSTABEN und mit LATEINISCHEN BUCHSTABEN aus.

Anschrift der Bankfiliale

Auszufüllen, wenn die bei der Bank angegebene Anschrift von der Anschrift des Hauptsitzes abweicht

ISO- CODE	HAUPTREGISTRIERNUMMER	ISO- CODE	HAUPTREGISTRIERNUMMER
AT	Firmenbuchnummer (FN) Zentrale Vereinsregister (ZVR-Zahl) Ordnungsnummer	HR	Matični broj subjekta (MBS) Registarski broj Matični broj obrta (MBO) Registarski broj zakladnog uloška
		HU	Cégjegyzékszám
BE	Numéro d'entreprise - Ondernemingsnummer - Unternehmensnummer	IE	Company number Grouping registration number in Ireland
BG		IT	Repertorio Economico Amministrativo (REA)
		LT	Kodas
CY		LU	Registre de commerce et des sociétés RCS Numéro d'immatriculation Handelsregisternummer
CZ	Identifikační číslo (IČO)
DE	Handelsregister Genossenschaftsregister (Nummer der Firma) Vereinsregister (Nummer des Vereins) Nummer der Partnerschaft (Partnerschaftsregister)	LV	Vienotais reģistrācijas numurs
DK	Det centrale virksomhedsregister (CVR-nummer)	MT	Registration number Register of Voluntary Organisation (Identification number)
EE	Registrikood	NL	Kamer van Koophandel (KvK-nummer) Dossiernummer
ES	HOJA number	PL	REGON
FI	Yritysja yhteisötunnus (Y-tunnus) Företagsoch organisationsnummer (FO-nummer) Business Identity code (Business ID)	PT	Numero de identificaçao de pessoa colectiva (NIPC)
RO	Numar de ordine in registrul comertulu Numarul inscrierii in registrul special	SE	Organisationsnummer
FR	Immatriculation au registre du commerce et des sociétés (RCS) Système informatique pour le répertoire des entreprises et des établissements (SIRENE)
		GB	Company number
SI	Matična številka	SK	Identifikačné číslo organizácie (IČO)
GR

.

ENDE