Beta

Source: OJ L 333, 27.12.2022, pp. 153–163

Current language: FR

Article 7 Modifications de la directive (UE) 2015/2366

La directive (UE) 2015/2366 est modifiée comme suit:

  1. À l’article 3, le point j) et remplacé par le texte suivant:

    1. «aux services fournis par des prestataires de services techniques à l’appui de la fourniture de services de paiement, sans qu’ils entrent, à aucun moment, en possession des fonds à transférer et consistant notamment dans le traitement et l’enregistrement des données, les services de protection de la confiance et de la vie privée, l’authentification des données et des entités, la fourniture de technologies de l’information et de la communication (TIC) et la fourniture de réseaux de communication, ainsi que la fourniture et la maintenance des terminaux et dispositifs utilisés aux fins des services de paiement, à l’exception des services d’initiation de paiement et des services d’information sur les comptes;».

  2. À l’article 5, le paragraphe 1 est modifié comme suit:

    1. le premier alinéa est modifié comme suit:

      1. le point e) est remplacé par le texte suivant:

        1. «une description du dispositif de gouvernance d’entreprise et des mécanismes de contrôle interne, notamment des procédures administratives, de gestion des risques et comptables du demandeur, ainsi que des dispositions relatives à l’utilisation des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; conformément au règlement (UE) 2022/2554 du Parlement européen et du Conseil(21)Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 (JO L 333 du 27.12.2022, p. 1).»;, qui démontre que ce dispositif de gouvernance d’entreprise et ces mécanismes de contrôle interne sont proportionnés, adaptés, sains et adéquats;

      2. le point f) est remplacé par le texte suivant:

        1. «une description de la procédure en place pour assurer la surveillance, le traitement et le suivi des incidents de sécurité et des réclamations de clients liées à la sécurité, y compris un mécanisme de signalement des incidents qui tient compte des obligations de notification incombant à l’établissement de paiement fixées au chapitre III du règlement (UE) 2022/2554;»;

      3. le point h) est remplacé par le texte suivant:

        1. «une description des dispositions en matière de continuité des activités, y compris une désignation claire des opérations critiques, une politique et des plans en matière de continuité des activités de TIC et des plans de réponse et de rétablissement des TIC efficaces, ainsi qu’une procédure prévoyant de tester et de réexaminer régulièrement le caractère adéquat et l’efficacité de ces plans conformément au règlement (UE) 2022/2554;»;

    2. le troisième alinéa est remplacé par le texte suivant:

      «La description des mesures de maîtrise et d’atténuation des risques en matière de sécurité visée au premier alinéa, point j), indique comment ces mesures garantissent un niveau élevé de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; conformément au chapitre II du règlement (UE) 2022/2554, notamment en ce qui concerne la sécurité technique et la protection des données, y compris pour les logiciels et les systèmes de TIC utilisés par le demandeur ou par les entreprises vers lesquelles il externalise la totalité ou une partie de ses activités. Ces mesures incluent également les mesures de sécurité prévues à l’article 95, paragraphe 1, de la présente directive. Elles tiennent compte des orientations de l’ABE relatives aux mesures de sécurité, visées à l’article 95, paragraphe 3, de la présente directive, une fois celles-ci établies.».

  3. À l’article 19, paragraphe 6, le deuxième alinéa est remplacé par le texte suivant:

    «L’externalisation de fonctions opérationnelles importantes, y compris les systèmes de TIC, ne peut être faite d’une manière qui nuise sérieusement à la qualité du contrôle interne de l’établissement de paiement et à la capacité des autorités compétentes de contrôler et d’établir que cet établissement respecte bien l’ensemble des obligations fixées par la présente directive.».

  4. À l’article 95, paragraphe 1, l’alinéa suivant est ajouté:

    «Le premier alinéa est sans préjudice de l’application du chapitre II du règlement (UE) 2022/2554 aux:

    1. prestataires de services de paiement visés à l’article 1er, paragraphe 1, points a), b) et d), de la présente directive;

    2. prestataires de services d’information sur les comptes: un prestataire de services d’information sur les comptes visé à l’article 33, paragraphe 1, de la directive (UE) 2015/2366; visés à l’article 33, paragraphe 1, de la présente directe;

    3. établissements de paiement exemptés en vertu de l’article 32, paragraphe 1, de la présente directive;

    4. établissements de monnaie électronique bénéficiant d’une exemption visés à l’article 9, paragraphe 1, de la directive 2009/110/CE.».

  5. À l’article 96, le paragraphe suivant est ajouté:

    1. Les États membres veillent à ce que les paragraphes 1 à 5 du présent article ne s’appliquent pas aux:

      1. prestataires de services de paiement visés à l’article 1er, paragraphe 1, points a), b) et d), de la présente directive:

      2. prestataires de services d’information sur les comptes: un prestataire de services d’information sur les comptes visé à l’article 33, paragraphe 1, de la directive (UE) 2015/2366; visés à l’article 33, paragraphe 1, de la présente directive;

      3. établissements de paiement exemptés en vertu de l’article 32, paragraphe 1, de la présente directive;

      4. établissements de monnaie électronique bénéficiant d’une exemption visés à l’article 9, paragraphe 1, de la directive 2009/110/CE.».

  6. À l’article 98, le paragraphe 5 est remplacé par le texte suivant:

    1. Conformément à l’article 10 du règlement (UE) no 1093/2010, l’ABE réexamine et, le cas échéant, met à jour les normes techniques de réglementation à intervalles réguliers, afin notamment de tenir compte de l’innovation et des progrès technologiques, ainsi que des dispositions du chapitre II du règlement (UE) 2022/2554.».

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod