Source: OJ L, 2024/1502, 30.5.2024
Current language: FR
Criteria for designating critical service providers
RÈGLEMENT DÉLÉGUÉ (UE) 2024/1502 DE LA COMMISSION
du 22 février 2024
complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par la définition des critères de désignation de prestataires tiers de services TIC comme critiques pour les entités financières
(Texte présentant de l’intérêt pour l’EEE)
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011(1)JO L 333 du 27.12.2022, p. 1. ELI: http://data.europa.eu/eli/reg/2022/2554/oj., et notamment son article 31, paragraphe 6,
considérant ce qui suit:
Considérant 1 Designation procedure
Pour évaluer si un prestataire tiers de services TIC: une entreprise qui fournit des services TIC; est critique pour les entités financières, compte tenu des critères visés à l’article 31, paragraphe 2, du règlement (UE) 2022/2554, les autorités européennes de surveillance (AES) devraient appliquer des sous-critères dans le cadre d’une évaluation en deux étapes. Vu le nombre important de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;, ainsi que la diversité et le nombre d’établissements financiers utilisant ces services, cette approche en deux étapes s’impose pour filtrer la population des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; afin d’identifier les plus critiques d’entre eux. Les sous-critères quantitatifs à examiner dans le cadre de la première étape servent à effectuer une première sélection des prestataires tiers pour lesquels il conviendra d’approfondir l’analyse au moyen de sous-critères qualitatifs qui seront examinés dans le cadre de la deuxième étape.
Considérant 2 Importance of activities supported by ICT services
La mesure dans laquelle les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; fournis par un prestataire tiers soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; d’une entité financière est considérée comme un élément crucial de l’évaluation générale du caractère critique. L’évaluation de l’importance des activités des entités financières que les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; soutiennent devrait donc être intégrée dans tous les sous-critères examinés dans le cadre de la première étape. Par conséquent, la criticité des fonctions de ces entités ne devrait pas faire à part l’objet d’une évaluation quantitative lors de la première étape. La criticité et l’importance de ces fonctions devraient être examinées par les AES lors de la deuxième étape, qualitative, de l’évaluation.
Considérant 3 Individual and group ICT third-party service providers and subcontractors
L’évaluation devrait se faire au niveau de chaque prestataire tiers de services TIC: une entreprise qui fournit des services TIC; ou, pour ceux qui font partie d’un groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; de prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, au niveau de chacun de ces groupes: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE;, conformément à l’article 31, paragraphe 3, du règlement (UE) 2022/2554. Afin de permettre une évaluation complète des effets systémiques potentiels sur le secteur financier de l’Union, les AES devraient aussi évaluer les sous-traitants TIC de prestataires tiers de services TIC: une entreprise qui fournit des services TIC; et les désigner eux aussi comme prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, si tel est le cas.
Considérant 4 Systemic impact assessments
Pour déterminer l’effet systémique d’un prestataire tiers de services TIC: une entreprise qui fournit des services TIC; sur la stabilité, la continuité ou la qualité de services financiers, il est primordial d’avoir une vision claire de l’ampleur et de la nature de l’impact systémique qu’une défaillance opérationnelle à grande échelle de ce prestataire aurait sur les entités financières qui dépendent de ses services et sur l’ensemble du système financier. Il convient donc de prendre en considération, au sein de chaque catégorie d’entités financières, non seulement le nombre d’entre elles qui utilisent les mêmes services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;, mais aussi la valeur de leurs actifs, pour déterminer s’il est pertinent de considérer comme critique le prestataire tiers qui fournit ces services. Déterminer l’effet systémique des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; sur les activités d’entités financières nécessite en outre d’évaluer qualitativement l’importance systémique et l’interconnexion de ces prestataires et l’importance de leurs services pour, notamment, la stabilité et la continuité des services financiers de ces entités.
Considérant 5 Considering the nature of financial entities
Pour déterminer le caractère systémique et l’importance des entités financières qui dépendent de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;, il est nécessaire de tenir compte de la nature de ces entités. Lorsque des entités financières qui sont classées comme EISm et autres EIS, ou qui sont identifiées comme «systémiques», dépendent des mêmes services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; pour leurs fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;, il convient d’établir si le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; qui fournit ces services doit être considéré comme critique pour le secteur financier de l’Union. Il convient aussi d’évaluer le degré d’interconnexion entre les entités financières du secteur financier de l’Union qui dépendent de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; fournis par un même prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, afin de déterminer leur degré de dépendance à l’égard de ce prestataire.
Considérant 6 Critical or important functions
Les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; fournis à l’appui de fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; d’entités financières devraient être évalués en fonction de leur type et de leur caractère critique pour ces entités, à qui elles sont nécessaires pour pouvoir exercer leurs activités sans aucune perturbation.
Considérant 7 Degree of substitutability
Pour déterminer le degré de substituabilité d’un prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, il convient que les AES prennent en compte, dans le cadre de leur évaluation, le nombre de ces prestataires qui sont actifs sur le marché concerné, l’existence d’autres solutions pour bénéficier du même service, et le coût du transfert, à d’autres prestataires tiers, des données et des tâches liées aux TIC.
Considérant 8 Sources of information for designation
Il est important, pour garantir la solidité du processus d’évaluation, que les AES, lorsqu’elles évaluent si des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; doivent être désignés comme critiques, s’appuient sur les données des registres d’informations prévus par l’article 28, paragraphe 3, du règlement (UE) 2022/2554, et sur toute autre information aisément disponible,
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
- Article premierApproche à respecter pour l’évaluation
- Article 2Effet systémique de prestataires tiers de services TIC sur la stabilité, la continuité ou la qualité de la prestation de services financiers
- Article 3Caractère systémique et importance des services TIC fournis aux entités financières
- Article 4Criticité ou importance des fonctions
- Article 5Degré de substituabilité
- Article 6Sources d’information pour l’évaluation de la criticité
- Article 7Entrée en vigueur et application
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 22 février 2024.
Par la Commission
La présidente
Ursula VON DER LEYEN