(1)   Der kritische IKT-Drittdienstleister legt der federführenden Überwachungsbehörde einen Bericht vor, der einen Plan mit Abhilfemaßnahmen in Bezug auf die Empfehlungen und die Abhilfemaßnahmen enthält, die der kritische IKT-Drittdienstleister umzusetzen beabsichtigt, um die in den Empfehlungen nach Artikel 35 Absatz 1 Buchstabe d der Verordnung (EU) 2022/2254 ermittelten Risiken zu mindern. Der Bericht muss mit den Fristen in Einklang stehen, die von der federführenden Überwachungsbehörde in den einzelnen Empfehlungen vorgegeben wurden.

(2)   Damit die Umsetzung der Maßnahmen oder Abhilfemaßnahmen, die der kritische IKT-Drittdienstleister im Zusammenhang mit den erhaltenen Empfehlungen ergriffen hat, überwacht werden kann, übermittelt der kritische IKT-Drittdienstleister der federführenden Überwachungsbehörde auf Anfrage folgende Unterlagen:

a)

Zwischenberichte über erzielte Fortschritte und entsprechende Nachweise, aus denen hervorgeht, welche Fortschritte bei der Umsetzung der in dem Bericht des kritischen IKT-Drittdienstleisters an die federführende Überwachungsbehörde beschriebenen Schritte und Maßnahmen innerhalb der von dieser vorgegebenen Fristen erzielt wurden,

b)	Abschlussberichte und entsprechende Nachweise, aus denen hervorgeht, welche Maßnahmen der kritische IKT-Drittdienstleister ergriffen oder welche Abhilfemaßnahmen er umgesetzt hat, um die in den erhaltenen Empfehlungen ermittelten Risiken zu mindern.