DORA regulation

Ces dernières années, le risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; a attiré l’attention des décideurs politiques, des régulateurs et des organismes de normalisation internationaux, nationaux et de l’Union, dans un effort visant à renforcer la résilience numérique, à définir des normes et à coordonner le travail de réglementation ou de surveillance. Au niveau international, le Comité de Bâle sur le contrôle bancaire, le Comité sur les paiements et les infrastructures de marché, le Conseil de stabilité financière, l’Institut pour la stabilité financière, ainsi que le G7 et le G20 s’efforcent de fournir aux autorités compétentes et aux opérateurs de marché des diverses juridictions des outils leur permettant de renforcer la résilience de leurs systèmes financiers. Ces travaux ont également été motivés par la nécessité de tenir dûment compte du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; dans le contexte d’un système financier mondial fortement interconnecté et de veiller à une plus grande cohérence des bonnes pratiques pertinentes.

Malgré des initiatives stratégiques et législatives ciblées aux niveaux de l’Union et national, le risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; représente toujours un défi pour la résilience opérationnelle, la performance et la stabilité du système financier de l’Union. Les réformes qui ont suivi la crise financière de 2008 ont principalement renforcé la résilience financière du secteur financier de l’Union et visaient à préserver la compétitivité et la stabilité de l’Union du point de vue économique, prudentiel et du comportement sur le marché. Bien que la sécurité des TIC et la résilience numérique fassent partie du risque opérationnel, le programme réglementaire d’après-crise financière leur a accordé moins d’importance, et elles n’ont été développées que dans certains domaines de la politique et du paysage réglementaire des services financiers de l’Union, ou seulement dans quelques États membres.

Dans sa communication du 8 mars 2018 intitulée «Plan d’action pour les technologies financières: Pour un secteur financier européen plus compétitif et plus innovant», la Commission a souligné l’importance primordiale de rendre le secteur financier de l’Union plus résilient, notamment d’un point de vue opérationnel, afin de garantir sa sûreté technologique et son bon fonctionnement, ainsi que son rétablissement rapide après des atteintes à la sécurité des TIC et des incidents liés aux TIC, permettant, en fin de compte, la fourniture efficace et sans accrocs de services financiers dans toute l’Union, y compris dans des situations de tension, tout en préservant la confiance des consommateurs et des marchés.

En avril 2019, l’Autorité européenne de surveillance (Autorité bancaire européenne ou ABE) instituée par le règlement (UE) n^o 1093/2010 du Parlement européen et du Conseil(⁴)Règlement (UE) n^o 1093/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité bancaire européenne), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/78/CE de la Commission (JO L 331 du 15.12.2010, p. 12)., l’Autorité européenne de surveillance (Autorité européenne des assurances et des pensions professionnelles ou AEAPP) instituée par le règlement (UE) n^o 1094/2010 du Parlement européen et du Conseil(⁵)Règlement (UE) n^o 1094/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des assurances et des pensions professionnelles), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/79/CE de la Commission (JO L 331 du 15.12.2010, p. 48). et l’Autorité européenne de surveillance (Autorité européenne des marchés financiers ou AEMF) instituée par le règlement (UE) n^o 1095/2010 du Parlement européen et du Conseil(⁶)Règlement (UE) n^o 1095/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des marchés financiers), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/77/CE de la Commission (JO L 331 du 15.12.2010, p. 84). (regroupées conjointement sous le nom «autorités européennes de surveillance» ou AES) ont publié des avis techniques conjoints préconisant une approche cohérente du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; dans le secteur financier et recommandant de renforcer, de manière proportionnée, la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; de ce secteur dans le cadre d’une initiative sectorielle de l’Union.

Le secteur financier de l’Union est soumis à un corpus réglementaire unique et régi par un système européen de surveillance financière. Néanmoins, les dispositions relatives à la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; et à la sécurité des TIC ne sont pas encore totalement ou systématiquement harmonisées, alors que la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; est indispensable pour garantir la stabilité financière et l’intégrité du marché à l’ère numérique, et qu’elle n’est pas moins importante que, par exemple, des normes prudentielles ou de conduite communes. Le corpus réglementaire unique et le système de surveillance devraient donc être développés pour couvrir également la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations;, et les mandats des autorités compétentes devraient ainsi être renforcés pour leur permettre de superviser la gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; dans le secteur financier afin de protéger l’intégrité et l’efficacité du marché intérieur et de faciliter son bon fonctionnement.

Les disparités législatives et les approches nationales inégales en matière de réglementation ou de surveillance en ce qui concerne le risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; créent des obstacles au fonctionnement du marché intérieur des services financiers, lesquels entravent le plein exercice de la liberté d’établissement et la prestation de services des entités financières exerçant leurs activités sur une base transfrontière. La concurrence entre le même type d’entités financières opérant dans différents États membres pourrait également être faussée. C’est le cas, en particulier, dans les domaines où l’harmonisation au niveau de l’Union a été très limitée, comme les tests de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations;, ou inexistante, comme le suivi du risque lié aux prestataires tiers de services TIC: un risque lié aux TIC auquel une entité financière peut être exposée du fait de son recours à des services TIC fournis par des prestataires tiers de services TIC ou par des sous-traitants, y compris au moyen d’accords d’externalisation;. Les disparités découlant des développements envisagés au niveau national pourraient créer de nouveaux obstacles au fonctionnement du marché intérieur, au détriment des acteurs du marché et de la stabilité financière.

À ce jour, étant donné que les dispositions relatives au risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; ne sont que partiellement abordées au niveau de l’Union, il existe des lacunes ou des chevauchements dans des domaines importants, tels que la notification des incidents liés aux TIC et les tests de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations;, ainsi que des incohérences imputables à l’émergence de règles nationales divergentes ou une inefficacité par rapport au coût du fait de règles qui se chevauchent. Cette situation est particulièrement préjudiciable pour un gros utilisateur de TIC tel que le secteur financier, car les risques technologiques ne connaissent pas de frontières et le secteur financier déploie ses services sur une large base transfrontière à l’intérieur et à l’extérieur de l’Union. Les entités financières qui exercent des activités transfrontières ou qui détiennent plusieurs agréments (par exemple, une entité financière peut être détentrice d’un agrément bancaire, d’un agrément en tant qu’entreprise d’investissement: une entreprise d’investissement au sens de l’article 4, paragraphe 1, point 1), de la directive 2014/65/UE; et d’un agrément en tant qu’établissement de paiement, chacun délivré par une autorité compétente différente dans un ou plusieurs États membres) se heurtent à des difficultés opérationnelles lorsqu’il s’agit de faire face au risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; et d’atténuer les effets négatifs des incidents liés aux TIC de manière autonome, cohérente et efficace par rapport au coût.

Étant donné que le corpus réglementaire unique n’a pas été accompagné d’un cadre exhaustif applicable au risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; ou au risque opérationnel, il est nécessaire de procéder à une harmonisation plus poussée des exigences clés en matière de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; pour toutes les entités financières. Le renforcement des capacités en matière de TIC et la résilience globale des entités financières, sur la base de ces exigences clés, en vue de faire face aux interruptions de fonctionnement, contribueraient à préserver la stabilité et l’intégrité des marchés financiers de l’Union et donc à assurer un niveau élevé de protection des investisseurs et des consommateurs dans l’Union. Dans la mesure où le présent règlement se veut une contribution au fonctionnement harmonieux du marché intérieur, il devrait reposer sur les dispositions de l’article 114 du traité sur le fonctionnement de l’Union européenne, interprétées conformément à la jurisprudence constante de la Cour de justice de l’Union européenne (ci-après dénommée «Cour de justice»).

Le présent règlement vise à consolider et à mettre à niveau les exigences en matière de risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; dans le cadre des exigences en matière de risque opérationnel qui ont, jusqu’à présent, été scindées dans divers actes juridiques de l’Union. Si ces actes couvraient les principales catégories de risques financiers (par exemple, le risque de crédit, le risque de marché, le risque de crédit de contrepartie et le risque de liquidité, le risque lié à la conduite sur le marché), ils n’ont pas, au moment de leur adoption, couvert de manière exhaustive toutes les composantes de la résilience opérationnelle. Ces actes juridiques de l’Union, lorsqu’ils ont précisé les règles en matière de risque opérationnel, ont souvent favorisé une approche quantitative classique de la gestion du risque (à savoir, la définition d’une exigence de fonds propres pour couvrir le risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;) plutôt que des règles qualitatives ciblées en matière de protection, de détection, de confinement, de rétablissement et de réparation en cas d’incidents liés aux TIC ou en matière de capacités de notification et de tests numériques. Ces actes étaient principalement destinés à définir et à actualiser les règles essentielles en matière de surveillance prudentielle, d’intégrité du marché ou de conduite sur le marché. Par la consolidation et l’actualisation des différentes règles relatives au risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, toutes les dispositions traitant du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; dans le secteur financier seraient pour la première fois réunies de manière cohérente dans un seul et même acte législatif. Par conséquent, le présent règlement comble les lacunes ou remédie aux incohérences de certains des actes juridiques antérieurs, notamment en ce qui concerne la terminologie qui y est utilisée, et fait explicitement référence au risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; au travers de règles ciblées sur les capacités de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, la notification des incidents et les tests de résilience opérationnelle, ainsi que le suivi des risques des tiers liés aux TIC. Le présent règlement devrait donc également mieux sensibiliser au risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; et souligner que les incidents liés aux TIC et l’absence de résilience opérationnelle sont susceptibles de compromettre la solidité des entités financières.

Les entités financières devraient suivre la même approche et les mêmes règles de principe lorsqu’elles abordent le risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, en tenant compte de leur taille et de leur profil de risque global, ainsi que de la nature, de l’ampleur et de la complexité de leurs services, activités et opérations. La cohérence contribue à renforcer la confiance dans le système financier et à préserver sa stabilité, en particulier en période de forte dépendance à l’égard des systèmes, plateformes et infrastructures des TIC, qui accroît le risque numérique. Le respect d’une hygiène informatique de base devrait également éviter à l’économie d’avoir à supporter des coûts considérables, en réduisant au minimum les incidences et les coûts des dysfonctionnements des TIC.

Un règlement permet de réduire la complexité réglementaire, favorise la convergence en matière de surveillance et accroît la sécurité juridique, et contribue également à limiter les coûts de mise en conformité, notamment pour les entités financières exerçant des activités transfrontières, et à réduire les distorsions de concurrence. Le choix d’un règlement pour la mise en place d’un cadre commun en matière de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; des entités financières constitue donc le moyen le plus approprié de garantir une application homogène et cohérente de toutes les composantes de la gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; par le secteur financier de l’Union.

La directive (UE) 2016/1148 du Parlement européen et du Conseil(⁷)Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JO L 194 du 19.7.2016, p. 1). a constitué le premier cadre horizontal en matière de cybersécurité adopté au niveau de l’Union, s’appliquant également à trois types d’entités financières, à savoir les établissements de crédit, les plates-formes de négociation et les contreparties centrales: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) n^o 648/2012;. Toutefois, comme la directive (UE) 2016/1148 prévoyait un mécanisme d’identification au niveau national des opérateurs de services essentiels, seuls certains établissements de crédit, plates-formes de négociation et contreparties centrales: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) n^o 648/2012; qui ont été identifiés par les États membres ont été inclus en pratique dans son champ d’application et sont ainsi tenus de se conformer aux exigences en matière de sécurité des TIC et de notification des incidents qui y sont définies. La directive (UE) 2022/2555 du Parlement européen et du Conseil(⁸)Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n^o 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (voir page 80 du présent Journal officiel). fixe un critère uniforme visant à déterminer les entités qui relèvent de son champ d’application (règle associée à un plafond), tout en maintenant les trois types d’entités financières dans son champ d’application.

Toutefois, étant donné que le présent règlement rehausse le niveau d’harmonisation des diverses composantes de la résilience numérique, en instaurant, en matière de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; et de notification des incidents liés aux TIC, des exigences plus strictes que celles prévues par l’actuel droit de l’Union sur les services financiers, ce niveau accru constitue une harmonisation plus poussée, y compris par rapport aux exigences énoncées dans la directive (UE) 2022/2555. Par conséquent, le présent règlement constitue une lex specialis en ce qui concerne la directive (UE) 2022/2555. Dans le même temps, il est indispensable de maintenir un lien étroit entre le secteur financier et le cadre horizontal de l’Union en matière de cybersécurité tel qu’il est actuellement défini dans la directive (UE) 2022/2555, afin de garantir la cohérence avec les stratégies de cybersécurité adoptées par les États membres et de permettre aux autorités de surveillance financière d’être informées des cyberincidents touchant d’autres secteurs couverts par ladite directive.

Conformément à l’article 4, paragraphe 2, du traité sur l’Union européenne et sans préjudice du contrôle juridictionnel exercé par la Cour de justice, le présent règlement ne devrait pas avoir d’incidence sur la responsabilité des États membres pour ce qui est des fonctions essentielles de l’État en matière de sécurité publique, de défense et de sauvegarde de la sécurité nationale, par exemple en ce qui concerne la fourniture d’informations qui serait contraire à la sauvegarde de la sécurité nationale.

Afin de favoriser l’apprentissage intersectoriel et de tirer efficacement parti des expériences d’autres secteurs en matière de lutte contre les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;, les entités financières visées dans la directive (UE) 2022/2555 devraient continuer à faire partie de l’«écosystème» de ladite directive (par exemple, le groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; de coopération et les centres de réponse aux incidents de sécurité informatique (CSIRT)]. Les AES et les autorités nationales compétentes devraient pouvoir participer aux discussions stratégiques et aux travaux techniques du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; de coopération relevant de ladite directive, et échanger des informations et coopérer davantage avec les points de contact uniques désignés ou établis conformément à ladite directive. Les autorités compétentes au titre du présent règlement devraient également consulter les CSIRT et coopérer avec ceux-ci. Les autorités compétentes devraient aussi pouvoir demander des conseils techniques aux autorités compétentes désignées ou établies conformément à la directive (UE) 2022/2555 et établir des accords de coopération visant à assurer la mise en place de mécanismes de coordination efficaces et rapides.

En raison des liens étroits entre la résilience numérique et la résilience physique des entités financières, une approche cohérente en ce qui concerne la résilience des entités critiques est nécessaire dans le présent règlement et dans la directive (UE) 2022/2557 du Parlement européen et du Conseil(⁹)Directive (UE) 2022/2557 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience des entités critiques, et abrogeant la directive 2008/114/CE du Conseil (voir page 164 du présent Journal officiel).. Étant donné que la résilience physique des entités financières est traitée de manière globale par les obligations en matière de gestion et de notification du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; couvertes par le présent règlement, les obligations prévues aux chapitres III et IV de la directive (UE) 2022/2557 ne devraient pas s’appliquer aux entités financières qui relèvent du champ d’application de ladite directive.

Les fournisseurs de services d’informatique en nuage constituent une catégorie d’infrastructure numérique relevant de la directive (UE) 2022/2555. Le cadre de supervision de l’Union (ci-après dénommé «cadre de supervision») établi par le présent règlement s’applique à tous les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, y compris les fournisseurs de services d’informatique en nuage fournissant des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; à des entités financières et devrait être considéré comme complémentaire de la surveillance prévue par la directive (UE) 2022/2555. En outre, le cadre de supervision établi par le présent règlement devrait couvrir les fournisseurs de services d’informatique en nuage en l’absence d’un cadre horizontal de l’Union établissant une autorité de supervision numérique.

Afin de conserver la maîtrise totale du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, les entités financières doivent disposer de capacités globales permettant une gestion solide et efficace du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, ainsi que de mécanismes et de politiques spécifiques pour le traitement de tous les incidents liés aux TIC et pour la notification des incidents majeurs liés aux TIC. De même, les entités financières devraient disposer de politiques pour le test des systèmes de TIC, contrôles des TIC et processus des TIC, ainsi que pour la gestion des risques liés aux prestataires tiers de services TIC: une entreprise qui fournit des services TIC;. Le niveau de référence en matière de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; des entités financières devrait être relevé tout en permettant également une application proportionnée des exigences à certaines entités financières, en particulier les microentreprises: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros;, ainsi que les entités financières soumises à un cadre de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; simplifié. Pour favoriser une surveillance efficace des institutions de retraite professionnelle: une institution de retraite professionnelle au sens de l’article 6, point 1), de la directive (UE) 2016/2341; qui soit proportionnée et réponde au besoin de réduire les charges administratives pesant sur les autorités compétentes, les dispositions nationales pertinentes en matière de surveillance applicables à ces entités financières devraient tenir compte de leur taille et de leur profil de risque global ainsi que de la nature, de l’ampleur et de la complexité de leurs services, activités et opérations, même lorsque les seuils pertinents fixés à l’article 5 de la directive (UE) 2016/2341 du Parlement européen et du Conseil(¹⁰)Directive (UE) 2016/2341 du Parlement européen et du Conseil du 14 décembre 2016 concernant les activités et la surveillance des institutions de retraite professionnelle (IRP) (JO L 354 du 23.12.2016, p. 37). sont dépassés. En particulier, les activités de surveillance devraient porter essentiellement sur la nécessité de faire face aux risques graves associés à la gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; d’une entité donnée.

Les seuils et les taxinomies de notification des incidents liés aux TIC varient considérablement au niveau national. Bien que des bases communes puissent être dégagées grâce aux travaux pertinents menés par l’Agence de l’Union européenne pour la cybersécurité (ENISA) instituée par le règlement (UE) 2019/881 du Parlement européen et du Conseil(¹¹)Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) n^o 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15). et le groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; de coopération relevant de la directive (UE) 2022/2555, des approches divergentes sur la fixation des seuils et l’utilisation des taxinomies existent toujours ou peuvent apparaître pour les autres entités financières. En raison de ces divergences, il existe de multiples exigences auxquelles les entités financières doivent se conformer, notamment lorsqu’elles sont actives dans plusieurs États membres et lorsqu’elles font partie d’un groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; financier. En outre, ces divergences sont susceptibles d’entraver la création de nouveaux mécanismes uniformes ou centralisés au niveau de l’Union, qui accéléreraient le processus de notification et favoriseraient un échange rapide et sans entrave d’informations entre les autorités compétentes, ce qui est essentiel pour faire face au risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; en cas d’attaques à grande échelle susceptibles d’avoir des conséquences systémiques.

Pour réduire la charge administrative et les obligations de notification susceptibles d’être redondantes pour certaines entités financières, l’obligation de notification des incidents au titre de la directive (UE) 2015/2366 du Parlement européen et du Conseil(¹²)Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n^o 1093/2010, et abrogeant la directive 2007/64/CE (JO L 337 du 23.12.2015, p. 35). devrait cesser de s’appliquer aux prestataires de services de paiement qui relèvent du champ d’application du présent règlement. Par conséquent, les établissements de crédit, les établissements de monnaie électronique, les établissements de paiement et les prestataires de services d’information sur les comptes: un prestataire de services d’information sur les comptes visé à l’article 33, paragraphe 1, de la directive (UE) 2015/2366;, visés à l’article 33, paragraphe 1, de ladite directive, devraient, à compter de la date d’application du présent règlement, signaler, conformément au présent règlement, tous les incidents opérationnels ou de sécurité liés au paiement qui ont été précédemment signalés au titre de ladite directive, que ces incidents soient liés ou non aux TIC.

Afin de permettre aux autorités compétentes de remplir un rôle de surveillance en obtenant une vue d’ensemble complète de la nature, de la fréquence, de l’importance et des conséquences des incidents liés aux TIC, et afin d’améliorer l’échange d’informations entre les autorités publiques compétentes, y compris les autorités répressives et les autorités de résolution, le présent règlement devrait établir un régime solide de notification des incidents liés aux TIC dans le cadre duquel les exigences pertinentes remédieraient aux lacunes actuelles du droit sur les services financiers, et supprimerait les chevauchements et doubles emplois existants afin d’alléger les coûts. Il est essentiel d’harmoniser le régime de notification des incidents liés aux TIC en imposant à toutes les entités financières de les notifier à leurs autorités compétentes au moyen d’un cadre rationalisé unique défini dans le présent règlement. En outre, les AES devraient être habilitées à préciser davantage les éléments nécessaires au cadre de notification des incidents liés aux TIC, tels que la taxinomie, les délais, les ensembles de données, les modèles et les seuils applicables. Pour veiller à une pleine cohérence avec la directive (UE) 2022/2555, les entités financières devraient être autorisées à notifier, à titre volontaire, les cybermenaces importantes: une cybermenace dont les caractéristiques techniques indiquent qu’elle pourrait donner lieu à un incident majeur lié aux TIC ou à un incident opérationnel ou de sécurité majeur lié au paiement; à l’autorité compétente concernée lorsqu’elles estiment que la cybermenace: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; est pertinente pour le système financier, les utilisateurs de services ou les clients.

Les exigences en matière de tests de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; ont été renforcées dans certains sous-secteurs financiers, définissant des cadres qui ne sont pas toujours tout à fait harmonisés. Cette situation entraîne une multiplication potentielle des coûts pour les entités financières transfrontières et complique la reconnaissance mutuelle des résultats des tests de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations;, ce qui, à son tour, peut fragmenter le marché intérieur.

En outre, lorsque aucun test des TIC n’est requis, les s ne sont pas détectées et ont pour effet d’exposer l’entité financière au risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; et, en fin de compte, de créer un risque plus élevé pour la stabilité et l’intégrité du secteur financier. Sans une intervention au niveau de l’Union, les tests de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; demeureraient incompatibles et seraient dépourvus d’un système de reconnaissance mutuelle des résultats des tests des TIC d’un pays à l’autre. En outre, puisqu’il est peu probable que d’autres sous-secteurs financiers adoptent des mécanismes de test à une échelle significative, ils passeraient à côté des avantages qui peuvent découler d’un cadre de tests, en ce qui concerne la mise au jour des s et du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; et le test des capacités de défense et de la continuité des activités, qui contribue à renforcer la confiance des clients, des fournisseurs et des partenaires commerciaux. Pour remédier à ces chevauchements, divergences et lacunes, il est nécessaire d’établir des règles visant à coordonner le régime de tests et ainsi de faciliter la reconnaissance mutuelle des tests avancés pour les entités financières remplissant les critères énoncés dans le présent règlement.

La dépendance des entités financières à l’égard de l’utilisation des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; s’explique en partie par le fait qu’elles doivent s’adapter à l’émergence d’une économie mondiale numérique compétitive, accroître leur efficacité commerciale et répondre à la demande des consommateurs. La nature et l’ampleur de cette dépendance n’ont cessé d’évoluer ces dernières années, faisant baisser les coûts de l’intermédiation financière et permettant aux entités financières de s’étendre et de déployer leurs activités à plus grande échelle, tout en disposant d’un large éventail d’outils de TIC pour gérer des processus internes complexes.

L’utilisation étendue des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; est attestée par des accords contractuels complexes, dans le cadre desquels les entités financières ont souvent du mal à négocier des conditions contractuelles adaptées aux normes prudentielles ou autres exigences réglementaires auxquelles elles sont soumises, ou encore à faire respecter des droits spécifiques, tels que les droits d’accès ou d’audit, même lorsque ces derniers sont inscrits dans leurs accords contractuels. En outre, nombre de ces accords contractuels ne prévoient pas de garanties suffisantes pour permettre un véritable suivi des processus de sous-externalisation, privant ainsi l’entité financière de sa capacité à évaluer les risques associés. De plus, comme les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; fournissent souvent des services standardisés à différents types de clients, ces accords contractuels ne répondent pas toujours de manière appropriée aux besoins individuels ou particuliers des acteurs du secteur financier.

Bien que le droit de l’Union sur les services financiers contienne certaines règles générales sur l’externalisation, le suivi de la dimension contractuelle n’est pas pleinement consacré dans le droit de l’Union. En l’absence de normes de l’Union claires et adaptées applicables aux accords contractuels conclus avec des prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, la source extérieure du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; n’est pas traitée de manière exhaustive. Par conséquent, il est nécessaire de définir certains principes clés pour encadrer la gestion, par les entités financières, du risque lié aux prestataires tiers de services TIC: un risque lié aux TIC auquel une entité financière peut être exposée du fait de son recours à des services TIC fournis par des prestataires tiers de services TIC ou par des sous-traitants, y compris au moyen d’accords d’externalisation;, qui revêtent une importance particulière lorsque les entités financières ont recours à des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; pour soutenir leurs fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;. Ces principes devraient être assortis d’un ensemble de droits contractuels fondamentaux ayant trait à plusieurs éléments de l’exécution et de la résiliation des accords contractuels, en vue de consacrer certaines garanties minimales visant à renforcer la capacité des entités financières à assurer un suivi efficace de tous les risques liés aux TIC qui se posent au niveau des prestataires tiers de services. Ces principes complètent le droit sectoriel applicable à l’externalisation.

Un certain manque d’homogénéité et de convergence en ce qui concerne le suivi des risques liés aux prestataires tiers de services TIC: une entreprise qui fournit des services TIC; et de la dépendance à l’égard de ceux-ci est aujourd’hui évident. Malgré certains efforts pour couvrir l’externalisation, tels que les orientations de l’ABE de 2019 relatives à l’externalisation et les orientations de l’AEMF de 2021 relatives à la sous-traitance à des prestataires de services en nuage, la question plus large de la lutte contre le risque systémique qui peut être déclenché par l’exposition du secteur financier à un nombre limité de prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; n’est pas suffisamment pris en compte dans le droit de l’Union. Le manque de règles au niveau de l’Union est aggravé par l’absence de règles nationales en matière de mandats et d’outils qui permettent aux autorités de surveillance financière d’acquérir une solide compréhension des relations de dépendance à l’égard des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; afin d’assurer un suivi adéquat des risques découlant de la concentration de ces relations de dépendance.

Compte tenu du risque systémique potentiel induit par des pratiques accrues d’externalisation et par la concentration des dépendances à l’égard des prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, et eu égard à l’insuffisance des mécanismes nationaux fournissant aux autorités de surveillance financière des outils adéquats permettant de quantifier et de qualifier le risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; se produisant chez les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; et de remédier à leurs conséquences, il est nécessaire de mettre en place un cadre de supervision approprié permettant d’assurer un suivi continu des activités des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; qui sont des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; pour les entités financières, tout en veillant à ce que la confidentialité et la sécurité des clients autres que les entités financières soient préservées. Bien que la fourniture de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; intra-groupe comporte des risques et des avantages spécifiques, elle ne devrait pas être automatiquement considérée comme moins risquée que la fourniture de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; par des prestataires extérieurs à un groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; financier, et devrait donc être soumise au même cadre réglementaire. Toutefois, lorsque les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; sont fournis au sein du même groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; financier, les entités financières peuvent avoir un contrôle plus strict sur les prestataires intra-groupe, ce qui doit être pris en considération dans l’évaluation générale des risques.

Face à la complexité et à la sophistication croissantes du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, l’efficacité des mesures de détection et de prévention du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; dépend dans une large mesure de l’échange régulier de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; et les s entre les entités financières. Le partage d’informations contribue à accroître la sensibilisation aux cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;. Cela renforce à son tour la capacité des entités financières à empêcher les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; de devenir des incidents réels liés aux TIC et leur permet de contenir plus efficacement l’impact des incidents liés aux TIC et de se rétablir plus rapidement. En l’absence d’orientations au niveau de l’Union, plusieurs facteurs semblent avoir entravé ce partage de renseignements, notamment l’incertitude quant à sa compatibilité avec les règles en matière de protection des données, de pratiques anticoncurrentielles et de responsabilité.

En outre, les doutes quant au type d’informations qui peuvent être partagées avec d’autres acteurs du marché ou avec des autorités non chargées de la surveillance (telles que l’ENISA, à des fins d’analyse, ou Europol, à des fins répressives) aboutissent à la rétention d’informations utiles. Par conséquent, l’étendue et la qualité du partage d’informations demeurent actuellement limitées et fragmentées, puisque les échanges pertinents se font principalement au niveau local (dans le cadre d’initiatives nationales) et qu’il n’existe aucun dispositif cohérent de partage d’informations à l’échelle de l’Union adapté aux besoins d’un système financier intégré. Il importe donc de renforcer ces canaux de communication.

Les entités financières devraient être encouragées à échanger entre elles des informations et des renseignements sur les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; et à exploiter ensemble les connaissances et l’expérience pratique de chacune d’entre elles aux niveaux stratégique, tactique et opérationnel en vue de renforcer leur capacité à évaluer et surveiller de manière adéquate les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;, ainsi qu’à s’en prémunir et à y répondre, en participant à des dispositifs de partage d’information. Il est donc nécessaire de favoriser l’émergence, au niveau de l’Union, de mécanismes volontaires de partage d’informations qui, employés dans des environnements de confiance, permettraient à la communauté du secteur financier de prévenir les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; et d’y répondre collectivement en limitant rapidement la propagation du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; et en empêchant une éventuelle contagion à travers les canaux financiers. Ces mécanismes devraient être conformes aux règles applicables du droit de la concurrence de l’Union énoncées dans la communication de la Commission du 14 janvier 2011 intitulée «Lignes directrices sur l’applicabilité de l’article 101 du traité sur le fonctionnement de l’Union européenne aux accords de coopération horizontale», ainsi qu’avec les règles de l’Union en matière de protection des données, en particulier le règlement (UE) 2016/679 du Parlement européen et du Conseil(¹³)Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).. Ils devraient fonctionner sur la base du recours à une ou plusieurs des bases juridiques énoncées à l’article 6 dudit règlement, par exemple dans le cadre du traitement de données à caractère personnel qui est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, tel que visé à l’article 6, paragraphe 1, point f), dudit règlement, ainsi que dans le cadre du traitement de données à caractère personnel qui est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ou nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique: tout gouvernement ou toute autre entité de l’administration publique, y compris les banques centrales nationales. dont est investi le responsable du traitement, visé à l’article 6, paragraphe 1, points c) et e), respectivement, dudit règlement.

Afin de maintenir un niveau élevé de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; pour l’ensemble du secteur financier et, dans le même temps, de rester en phase avec les évolutions technologiques, le présent règlement devrait lutter contre le risque émanant de tous les types de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;. À cette fin, la définition des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; dans le contexte du présent règlement devrait être comprise de manière large, englobant les services numériques et de données fournis en continu par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes. Cette définition devrait, par exemple, inclure les services dits «par contournement», qui relèvent de la catégorie des services de communications électroniques. Elle ne devrait exclure que la catégorie limitée des services traditionnels de téléphonie analogique pouvant être considérés comme des services de réseau téléphonique commuté public (RTCP), des services de réseau fixe, un service téléphonique traditionnel (POTS) ou des services de téléphonie fixe.

Nonobstant la large couverture prévue par le présent règlement, l’application des règles en matière de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; devrait tenir compte des différences notables entre les entités financières du point de vue de leur taille et de leur profil de risque global. En règle générale, lorsqu’elles répartissent des ressources et des capacités aux fins de la mise en œuvre du cadre de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, les entités financières devraient assurer un juste équilibre entre leurs besoins liés aux TIC et leur taille et leur profil de risque global, ainsi que la nature, l’ampleur et la complexité de leurs services, activités et opérations, tandis que les autorités compétentes devraient poursuivre l’évaluation et le réexamen de l’approche suivie pour cette répartition.

Les prestataires de services d’information sur les comptes: un prestataire de services d’information sur les comptes visé à l’article 33, paragraphe 1, de la directive (UE) 2015/2366;, visés à l’article 33, paragraphe 1, de la directive (UE) 2015/2366, sont explicitement inclus dans le champ d’application du présent règlement, compte tenu de la nature spécifique de leurs activités et des risques qui en découlent. En outre, les établissements de monnaie électronique et les établissements de paiement exemptés en vertu de l’article 9, paragraphe 1, de la directive 2009/110/CE du Parlement européen et du Conseil(¹⁴)Directive 2009/110/CE du Parlement européen et du Conseil du 16 septembre 2009 concernant l’accès à l’activité des établissements de monnaie électronique et son exercice ainsi que la surveillance prudentielle de ces établissements, modifiant les directives 2005/60/CE et 2006/48/CE et abrogeant la directive 2000/46/CE (JO L 267 du 10.10.2009, p. 7). et de l’article 32, paragraphe 1, de la directive (UE) 2015/2366 sont inclus dans le champ d’application du présent règlement même s’ils n’ont pas obtenu un agrément les autorisant à émettre de la monnaie électronique conformément à la directive 2009/110/CE ou s’ils n’ont pas obtenu un agrément les autorisant à fournir et à exécuter des services de paiement conformément à la directive (UE) 2015/2366. Toutefois, les offices des chèques postaux, visés à l’article 2, paragraphe 5, point 3), de la directive 2013/36/UE du Parlement européen et du Conseil(¹⁵)Directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit, modifiant la directive 2002/87/CE et abrogeant les directives 2006/48/CE et 2006/49/CE (JO L 176 du 27.6.2013, p. 338)., sont exclus du champ d’application du présent règlement. L’autorité compétente pour les établissements de paiement exemptés en vertu de la directive (UE) 2015/2366, les établissements de monnaie électronique exemptés en vertu de la directive 2009/110/CE et les prestataires de services d’information sur les comptes: un prestataire de services d’information sur les comptes visé à l’article 33, paragraphe 1, de la directive (UE) 2015/2366; visés à l’article 33, paragraphe 1, de la directive (UE) 2015/2366 devrait être l’autorité compétente désignée conformément à l’article 22 de la directive (UE) 2015/2366.

Étant donné que les grandes entités financières pourraient disposer de ressources plus importantes et être en mesure de mobiliser rapidement des fonds pour développer des structures de gouvernance et établir diverses stratégies d’entreprise, seules les entités financières qui ne sont pas des microentreprises: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros; au sens du présent règlement devraient être tenues de mettre en place des dispositifs de gouvernance plus complexes. Ces entités sont notamment mieux armées pour mettre en place des fonctions de gestion dédiées à la surveillance des accords avec les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; ou à la gestion des crises, pour organiser leur gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; selon le modèle reposant sur trois lignes de défense, ou pour établir un modèle de gestion des risques et de contrôle internes, et pour soumettre leur cadre de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; aux audits internes.

Certaines entités financières bénéficient d’exemptions ou sont soumises à un cadre réglementaire très léger en vertu du droit sectoriel applicable de l’Union. Ces entités financières comprennent les gestionnaires de fonds d’investissement alternatifs: un gestionnaire de fonds d’investissement alternatifs au sens de l’article 4, paragraphe 1, point b), de la directive 2011/61/UE; visés à l’article 3, paragraphe 2, de la directive 2011/61/UE du Parlement européen et du Conseil(¹⁶)Directive 2011/61/UE du Parlement européen et du Conseil du 8 juin 2011 sur les gestionnaires de fonds d’investissement alternatifs et modifiant les directives 2003/41/CE et 2009/65/CE ainsi que les règlements (CE) n^o 1060/2009 et (UE) n^o 1095/2010 (JO L 174 du 1.7.2011, p. 1)., les entreprises d’assurance: une entreprise d’assurance au sens de l’article 13, point 1), de la directive 2009/138/CE; et de réassurance visées à l’article 4 de la directive 2009/138/CE du Parlement européen et du Conseil(¹⁷)Directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009 sur l’accès aux activités de l’assurance et de la réassurance et leur exercice (solvabilité II) (JO L 335 du 17.12.2009, p. 1). et les institutions de retraite professionnelle: une institution de retraite professionnelle au sens de l’article 6, point 1), de la directive (UE) 2016/2341; gérant des régimes de retraite qui, ensemble, n’ont pas plus de quinze affiliés au total. Compte tenu de ces exemptions, il ne serait pas proportionné d’inclure ces entités financières dans le champ d’application du présent règlement. En outre, le présent règlement tient compte des spécificités de la structure du marché de l’intermédiation en assurance, de sorte que les intermédiaires d’assurance: un intermédiaire d’assurance au sens de l’article 2, paragraphe 1, point 3), de la directive (UE) 2016/97 du Parlement européen et du Conseil(^34^);Directive (UE) 2016/97 du Parlement européen et du Conseil du 20 janvier 2016 sur la distribution d’assurances (JO L 26 du 2.2.2016, p. 19)., les intermédiaires de réassurance: un intermédiaire de réassurance au sens de l’article 2, paragraphe 1, point 5), de la directive (UE) 2016/97; et les intermédiaires d’assurance à titre accessoire: un intermédiaire d’assurance à titre accessoire au sens de l’article 2, paragraphe 1, point 4), de la directive (UE) 2016/97; qui sont considérés comme des microentreprises: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros; ou des petites ou moyennes entreprises: une entité financière qui n’est pas une petite entreprise et qui emploie moins de 250 personnes et dont le chiffre d’affaires annuel n’excède pas 50 millions d’euros et/ou dont le bilan annuel n’excède pas 43 millions d’euros; ne devraient pas relever du présent règlement.

Étant donné que les entités visées à l’article 2, paragraphe 5, points 4) à 23), de la directive 2013/36/UE sont exclues du champ d’application de ladite directive, les États membres devraient par conséquent pouvoir choisir d’exempter de l’application du présent règlement lesdites entités qui sont situées sur leur territoire respectif.

De la même manière, afin que le présent règlement corresponde au champ d’application de la directive 2014/65/UE du Parlement européen et du Conseil(¹⁸)Directive 2014/65/UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant la directive 2002/92/CE et la directive 2011/61/UE (JO L 173 du 12.6.2014, p. 349)., il convient également d’exclure du champ d’application du présent règlement les personnes physiques et morales visées aux articles 2 et 3 de ladite directive qui sont autorisées à fournir des services d’investissement sans être tenues d’obtenir un agrément en vertu de la directive 2014/65/UE. Toutefois, l’article 2 de la directive 2014/65/UE exclut également du champ d’application de ladite directive les entités qui sont considérées comme des entités financières aux fins du présent règlement, telles que les dépositaires centraux de titres, les organismes de placement collectif ou les entreprises d’assurance: une entreprise d’assurance au sens de l’article 13, point 1), de la directive 2009/138/CE; et de réassurance. L’exclusion du champ d’application du présent règlement des personnes et entités visées aux articles 2 et 3 de ladite directive ne devrait pas concerner ces dépositaires centraux de titres, organismes de placement collectif ou entreprises d’assurance: une entreprise d’assurance au sens de l’article 13, point 1), de la directive 2009/138/CE; et de réassurance.

En vertu du droit sectoriel de l’Union, certaines entités financières sont soumises à des exigences moins strictes ou à des exemptions pour des raisons liées à leur taille ou aux services qu’elles fournissent. Cette catégorie d’entités financières inclut les petites entreprises d’investissement non interconnectées: une entreprise d’investissement qui répond aux conditions énoncées à l’article 12, paragraphe 1, du règlement (UE) 2019/2033 du Parlement européen et du Conseil(^33^);Règlement (UE) 2019/2033 du Parlement européen et du Conseil du 27 novembre 2019 concernant les exigences prudentielles applicables aux entreprises d’investissement et modifiant les règlements (UE) n^o 1093/2010, (UE) n^o 575/2013, (UE) n^o 600/2014 et (UE) n^o 806/2014 (JO L 314 du 5.12.2019, p. 1)., les petites institutions de retraite professionnelle: une institution de retraite professionnelle qui gère des régimes de retraite qui, ensemble, comptent moins de cent affiliés au total; qui peuvent être exclues du champ d’application de la directive (UE) 2016/2341 dans les conditions prévues à l’article 5 de ladite directive par l’État membre concerné et qui gèrent des régimes de pension qui, ensemble, n’ont pas plus de cent affiliés au total, ainsi que les institutions exemptées en vertu de la directive 2013/36/UE. Par conséquent, conformément au principe de proportionnalité et afin de préserver l’esprit du droit sectoriel de l’Union, il convient également de soumettre ces entités financières à un cadre simplifié de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; en vertu du présent règlement. Le caractère proportionné du cadre de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; couvrant ces entités financières ne devrait pas être modifié par les normes techniques de réglementation qui doivent être élaborées par les AES. De plus, conformément au principe de proportionnalité, il convient de soumettre également les établissements de paiement visés à l’article 32, paragraphe 1, de la directive (UE) 2015/2366 et les établissements de monnaie électronique visés à l’article 9 de la directive 2009/110/CE exemptés conformément aux dispositions de droit national transposant ces actes juridiques de l’Union à un cadre simplifié de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; en vertu du présent règlement, tandis que les établissements de paiement et les établissements de monnaie électronique qui n’ont pas été exemptés conformément aux dispositions de leur droit national respectif transposant le droit sectoriel de l’Union devraient respecter le cadre général établi par le présent règlement.

De la même manière, les entités financières qui sont considérées comme des microentreprises: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros; ou sont soumises au cadre simplifié de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; en vertu du présent règlement ne devraient pas être tenues d’instituer un rôle de suivi des accords qu’elles ont conclu avec des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; sur l’utilisation des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;, ni de désigner un membre de la direction générale chargé de superviser l’exposition aux risques connexe et la documentation pertinente, de confier la responsabilité de la gestion et de la surveillance du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; à une fonction de contrôle et de veiller à un niveau approprié d’indépendance de cette fonction de contrôle afin d’éviter les conflits d’intérêts, de documenter et de réexaminer au moins une fois par an le cadre de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, de soumettre le cadre de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; à un audit interne régulier, d’effectuer des évaluations approfondies après des changements majeurs dans leurs infrastructures de réseau et de système d’information et leurs procédures, de procéder régulièrement à des analyses de risque sur les s, de soumettre la mise en œuvre des plans de réponse et de rétablissement des TIC à des audits internes indépendants, de disposer d’une fonction de gestion de crise, d’étendre les tests des plans de continuité des activités et des plans de réponse et rétablissement pour tenir compte des scénarios de basculement depuis leur infrastructure de TIC principale vers les installations redondantes, de communiquer aux autorités compétentes, à leur demande, une estimation des coûts et des pertes annuels agrégés causés par des incidents majeurs liés aux TIC, de maintenir des capacités en matière de TIC redondantes, de communiquer aux autorités nationales compétentes les changements mis en œuvre à la suite des examens post-incident lié aux TIC, d’assurer un suivi continu des évolutions technologiques pertinentes, d’établir un programme solide et complet de tests de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations;, qui fait partie intégrante du cadre de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; prévu par le présent règlement, ou d’adopter et de régulièrement réexaminer une stratégie en matière de risques liés aux prestataires tiers de services TIC: une entreprise qui fournit des services TIC;. En outre, les microentreprises: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros; ne devraient être tenues d’évaluer la nécessité de maintenir ces capacités en matière de TIC redondantes qu’en se fondant sur leur profil de risque. Les microentreprises: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros; devraient faire l’objet d’un régime plus flexible en ce qui concerne les programmes de test de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations;. Lorsqu’elles examinent le type et la fréquence des tests à effectuer, elles devraient trouver un juste équilibre entre l’objectif consistant à maintenir une résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; élevée, les ressources disponibles et leur profil de risque global. Les microentreprises: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros; et les entités financières soumises au cadre simplifié de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; au titre du présent règlement devraient être exemptées de l’obligation de procéder à des tests avancés d’outils de TIC, de systèmes de TIC et de processus de TIC sur la base de tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière;, étant donné que seules les entités financières remplissant les critères énoncés dans le présent règlement devraient être tenues de procéder à ces tests. Compte tenu de leurs capacités limitées, les microentreprises: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros; devraient pouvoir convenir avec le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; de déléguer les droits d’accès, d’inspection et d’audit de l’entité financière à un tiers indépendant, devant être désigné par le prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, à condition que l’entité financière soit en mesure de demander, à tout moment, toutes les informations et garanties sur la performance du prestataire tiers de services TIC: une entreprise qui fournit des services TIC; auprès du tiers indépendant.

Étant donné que seules les entités reconnues aux fins des tests de résilience numérique avancés devraient être tenues de procéder à des tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière;, les processus administratifs et les coûts financiers induits par la réalisation de ces tests devraient être supportés par un petit pourcentage d’entités financières.

Pour garantir une concordance complète et une cohérence globale entre les stratégies d’entreprise des entités financières, d’une part, et la mise en œuvre de la gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, d’autre part, les organes de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(^31^), de l’article 2, paragraphe 1, point 45), du règlement (UE) n^o 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32). des entités financières devraient être tenus de conserver un rôle actif et déterminant dans la conduite et l’adaptation du cadre de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; et de la stratégie globale de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations;. L’approche adoptée par les organes de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(^31^), de l’article 2, paragraphe 1, point 45), du règlement (UE) n^o 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32). devrait non seulement être axée sur les moyens de garantir la résilience des systèmes de TIC, mais également couvrir les personnes et les processus au travers d’un ensemble de politiques qui suscitent, à chaque niveau de l’entreprise et auprès de l’ensemble du personnel, une prise de conscience aiguë des cyberrisques et un engagement à respecter une hygiène informatique rigoureuse à tous les niveaux. La responsabilité ultime de l’organe de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(^31^), de l’article 2, paragraphe 1, point 45), du règlement (UE) n^o 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32). dans la gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; d’une entité financière devrait constituer un principe fondamental de cette approche globale, concrétisé par l’engagement continu de l’organe de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(^31^), de l’article 2, paragraphe 1, point 45), du règlement (UE) n^o 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32). dans le contrôle du suivi de la gestion du risque lié aux TIC.

De plus, le principe de la responsabilité entière et ultime de l’organe de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(^31^), de l’article 2, paragraphe 1, point 45), du règlement (UE) n^o 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32). en ce qui concerne la gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; de l’entité financière va de pair avec la nécessité de mobiliser des investissements liés aux TIC et un budget global pour l’entité financière qui lui permettraient d’atteindre un niveau élevé en matière de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations;.

S’inspirant des bonnes pratiques, lignes directrices, recommandations et approches internationales, nationales et sectorielles pertinentes en matière de gestion du cyberrisque, le présent règlement promeut un ensemble de principes facilitant la structure globale de la gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;. Par conséquent, tant que les principales capacités mises en place par les entités financières abordent les différentes fonctions associées à la gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; (identification, protection et prévention, détection, réponse et rétablissement, apprentissage et évolution et communication) définies dans le présent règlement, les entités financières devraient rester libres d’utiliser des modèles de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; qui sont formulés ou classés différemment.

Afin de rester en phase avec l’évolution des cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;, les entités financières devraient maintenir des systèmes de TIC à jour qui soient fiables et capables non seulement de garantir le traitement des données requis pour leurs services, mais aussi d’assurer une résilience technologique suffisante pour leur permettre de faire face de manière adéquate aux besoins de traitement supplémentaires résultant d’épisodes de tensions sur les marchés ou d’autres situations défavorables.

Des plans efficaces de continuité des activités et de rétablissement sont nécessaires pour permettre aux entités financières de résoudre immédiatement et rapidement les incidents liés aux TIC, en particulier les cyberattaques: un incident lié aux TIC malveillant causé par une tentative de destruction, d’exposition, de modification, de désactivation, de vol, d’utilisation non autorisée d’un actif ou d’accès non autorisé à celui-ci, perpétrée par un acteur de la menace;, en limitant les dégâts et en donnant la priorité à la reprise des activités et aux mesures de rétablissement conformément à leurs politiques de sauvegarde. Toutefois, cette reprise ne doit en aucun cas compromettre la disponibilité, l’authenticité, l’intégrité ou la sécurité des données.

Si le présent règlement laisse aux entités financières une certaine latitude pour définir leurs objectifs en matière de délai et de point de rétablissement et, partant, pour fixer ces objectifs en tenant pleinement compte de la nature et de la criticité des fonctions concernées et de tout besoin spécifique, il devrait néanmoins leur imposer de mener une évaluation des incidences globales potentielles sur l’efficience du marché lors de la détermination de ces objectifs.

Les propagateurs de cyberattaques: un incident lié aux TIC malveillant causé par une tentative de destruction, d’exposition, de modification, de désactivation, de vol, d’utilisation non autorisée d’un actif ou d’accès non autorisé à celui-ci, perpétrée par un acteur de la menace; cherchent généralement des gains financiers directement à la source, exposant ainsi les entités financières à des répercussions importantes. Pour prévenir toute perte d’intégrité des systèmes de TIC ou toute indisponibilité de ceux-ci, et ainsi éviter toute violation de données et tout dommage à l’infrastructure physique de TIC, les entités financières devraient améliorer et rationaliser considérablement la notification des incidents majeurs liés aux TIC. La notification des incidents liés aux TIC devrait être harmonisée par l’introduction d’une obligation pour toutes les entités financières de soumettre une notification directement à leurs autorités compétentes concernées. Lorsqu’une entité financière est soumise à une surveillance par plus d’une autorité compétente nationale, les États membres devraient désigner une seule autorité compétente comme destinataire de cette notification. Les établissements de crédit classés comme importants conformément à l’article 6, paragraphe 4, du règlement (UE) n^o 1024/2013 du Conseil(¹⁹)Règlement (UE) n^o 1024/2013 du Conseil du 15 octobre 2013 confiant à la Banque centrale européenne des missions spécifiques ayant trait aux politiques en matière de surveillance prudentielle des établissements de crédit (JO L 287 du 29.10.2013, p. 63). devraient soumettre cette notification à l’autorité compétente nationale, qui devrait ensuite transmettre le rapport à la Banque centrale européenne (BCE).

La notification directe devrait permettre aux autorités de surveillance financière d’avoir un accès immédiat aux informations sur les incidents majeurs liés aux TIC. Les autorités de surveillance financière devraient à leur tour transmettre des informations détaillées sur les incidents majeurs liés aux TIC aux autorités non financières publiques (telles que les autorités compétentes et les points de contact uniques relevant de la directive (UE) 2022/2555, les autorités nationales de protection des données et les services répressifs pour les incidents majeurs de nature criminelle liés aux TIC), afin de sensibiliser ces autorités à ces incidents et, dans le cas des CSIRT, de faciliter la fourniture d’une assistance rapide aux entités financières, le cas échéant. Les États membres devraient en outre être en mesure de déterminer que les entités financières elles-mêmes devraient fournir ces informations aux autorités publiques en dehors du domaine des services financiers. Ces flux d’information devraient permettre aux entités financières de bénéficier rapidement de toute contribution technique pertinente, de conseils sur les mesures correctives et d’un suivi ultérieur de la part de ces autorités. Les informations sur les incidents majeurs liés aux TIC devraient être communiquées sur une base mutuelle: les autorités de surveillance financière devraient fournir tous les retours d’information ou orientations nécessaires à l’entité financière, tandis que les AES devraient partager des données anonymisées sur les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; et les s liées à un incident, afin de contribuer à la défense collective au sens large.

Toutes les entités financières devraient être tenues de notifier des incidents, mais cette obligation ne devrait pas toutes les concerner de la même manière. En effet, les seuils d’importance significative ainsi que les délais de notification devraient être dûment fixés, dans le contexte des actes délégués fondés sur les normes techniques de réglementation qui doivent être élaborées par les AES, de manière à ne rendre compte que des incidents majeurs liés aux TIC. En outre, il convient de tenir compte des spécificités des entités financières lors de la fixation du calendrier des obligations de notification.

Le présent règlement devrait imposer aux établissements de crédit, aux établissements de paiement, aux prestataires de services d’information sur les comptes: un prestataire de services d’information sur les comptes visé à l’article 33, paragraphe 1, de la directive (UE) 2015/2366; et aux établissements de monnaie électronique de signaler tous les incidents opérationnels ou de sécurité liés au paiement qui ont été précédemment signalés au titre de la directive (UE) 2015/2366, que l’incident soit ou non lié aux TIC.

Les AES devraient être chargées d’examiner la faisabilité et les conditions de la possibilité de centraliser les rapports sur les incidents liés aux TIC au niveau de l’Union. Cette centralisation pourrait consister en une plateforme unique de l’Union en matière de notification des incidents majeurs liés aux TIC, qui soit recevrait directement les rapports pertinents et en informerait automatiquement les autorités nationales compétentes, soit se contenterait de centraliser les rapports pertinents que lui transmettraient les autorités nationales compétentes et assumerait donc un rôle de coordination. Les AES devraient être chargées d’élaborer, en consultation avec la BCE et l’ENISA, un rapport conjoint évaluant la faisabilité de la création d’une plateforme unique de l’Union.

Dans le but d’assurer un niveau élevé de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations;, et conformément aux normes internationales pertinentes (par exemple, les éléments fondamentaux du G7 concernant les tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière;) ainsi qu’aux cadres appliqués dans l’Union, tels que le TIBER-EU, les entités financières devraient tester régulièrement leurs systèmes de TIC et leur personnel ayant des responsabilités liées aux TIC pour évaluer l’efficacité de leurs capacités de prévention, de détection, de réponse et de rétablissement, afin de repérer les s potentielles des TIC et d’y remédier. Afin de tenir compte des différences qui existent entre les divers sous-secteurs financiers et au sein de ceux-ci en ce qui concerne le niveau de préparation des entités financières à la cybersécurité, les tests devraient comprendre un large éventail d’outils et d’actions, allant de l’évaluation des exigences de base (par exemple, évaluations et analyses de la vulnérabilité, analyses de sources ouvertes, évaluations de la sécurité des réseaux, analyses des lacunes, examens de la sécurité physique, questionnaires et solutions logicielles d’analyse, examens du code source lorsque cela est possible, tests fondés sur des scénarios, tests de compatibilité, tests de performance ou tests de bout en bout) à des tests plus avancés au moyen de tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière;. Ces tests avancés ne devraient être requis que pour les entités financières qui sont suffisamment matures du point de vue des TIC pour raisonnablement effectuer de tels tests. Les tests de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; requis par le présent règlement devraient donc être plus exigeants pour les entités financières remplissant les critères énoncés dans le présent règlement (par exemple, les grands établissements de crédit systémiques et matures du point de vue des TIC, les bourses, les dépositaires centraux de titres et les contreparties centrales: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) n^o 648/2012;) que pour les autres entités financières. Dans le même temps, les tests de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; effectués au moyen de tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière; devraient être plus pertinents pour les entités financières qui exercent des activités dans les sous-secteurs essentiels des services financiers et qui jouent un rôle systémique(par exemple, les paiements, les services bancaires et les services de compensation et de règlement), et moins pertinents pour d’autres sous-secteurs (par exemple, les gestionnaires d’actifs et les agences de notation de crédit: une agence de notation de crédit au sens de l’article 3, paragraphe 1, point b), du règlement (CE) n^o 1060/2009;).

Les entités financières qui participent à des activités transfrontières et exercent leur liberté d’établissement ou de prestation de services dans l’Union devraient se conformer à un ensemble unique d’exigences de tests avancés (à savoir des tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière;) dans leur État membre d’origine, qui devraient englober toutes les infrastructures de TIC que ces groupes: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; financiers transfrontières détiennent dans les différentes juridictions dans lesquelles ils opèrent au sein de l’Union, ce qui permettrait à ces groupes: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; financiers transfrontières de ne supporter les coûts associés aux tests liés aux TIC que dans une seule juridiction.

Afin de tirer parti de l’expertise déjà acquise par certaines autorités compétentes, en particulier en ce qui concerne la mise en œuvre du cadre TIBER-EU, le présent règlement devrait permettre aux États membres de désigner une autorité publique: tout gouvernement ou toute autre entité de l’administration publique, y compris les banques centrales nationales. unique comme responsable dans le secteur financier, au niveau national, de toutes les questions relatives aux tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière;, ou aux autorités compétentes de déléguer, en l’absence d’une telle désignation, la réalisation des tâches liées à ces tests à une autre autorité financière nationale compétente.

Étant donné que le présent règlement n’exige pas des entités financières qu’elles couvrent toutes les fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; dans le cadre d’un test unique de pénétration fondé sur la menace, les entités financières devraient être libres de déterminer combien de fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;, et lesquelles, devraient être incluses dans le champ d’application de ce test.

Les tests groupmeans a group as defined in Article 2, point (11), of Directive 2013/34/EU;és au sens du présent règlement, dans le cadre desquels plusieurs entités financières participent à un test de pénétration fondé sur la menace et un prestataire tiers de services TIC: une entreprise qui fournit des services TIC; peut conclure des accords contractuels directement avec un testeur externe, ne devraient être autorisés que lorsque l’on peut raisonnablement s’attendre à ce que la qualité ou la sécurité des services fournis par le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; à des clients qui sont des entités ne relevant pas du champ d’application du présent règlement ou la confidentialité des données relatives à de tels services subissent une incidence négative. Les tests groupmeans a group as defined in Article 2, point (11), of Directive 2013/34/EU;és devraient également être soumis à des garanties (direction par une entité financière désignée, précision du nombre d’entités financières participantes) afin de veiller à ce que l’exercice de test soit rigoureux pour les entités financières participantes qui satisfont aux objectifs du test de pénétration fondé sur la menace conformément au présent règlement.

Afin de tirer parti des ressources internes disponibles au niveau de l’entreprise, le présent règlement devrait autoriser le recours à des testeurs internes aux fins de la réalisation de tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière;, sous réserve de l’accord des autorités de contrôle, de l’absence de conflit d’intérêts et de l’alternance périodique entre le recours à des testeurs internes et à des testeurs externes (tous les trois tests), tout en exigeant que le fournisseur de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; dans le test soit toujours externe à l’entité financière. L’exécution des tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière; devrait continuer de relever de la responsabilité intégrale de l’entité financière. Les attestations délivrées par les autorités ne devraient être fournies qu’à des fins de reconnaissance mutuelle et ne devraient empêcher aucune action de suivi nécessaire pour faire face au risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; auquel l’entité financière est exposée, ni être considérées comme une validation par les autorités de surveillance des capacités de gestion et d’atténuation du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; d’une entité financière.

Afin d’assurer un suivi efficace du risque lié aux prestataires tiers de services TIC: un risque lié aux TIC auquel une entité financière peut être exposée du fait de son recours à des services TIC fournis par des prestataires tiers de services TIC ou par des sous-traitants, y compris au moyen d’accords d’externalisation; dans le secteur financier, il convient d’établir un ensemble de règles de principe destinées à guider les entités financières lors du suivi des risques engendrés par l’externalisation de fonctions à des prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, en particulier pour les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;, ainsi que, plus généralement, par les relations de dépendance à l’égard de tous les prestataires tiers de services TIC.

Afin de remédier à la complexité des différentes sources du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, tout en tenant compte de la multitude et de la diversité des fournisseurs de solutions technologiques qui permettent une fourniture sans accrocs de services financiers, le présent règlement devrait couvrir un large éventail de prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, y compris les fournisseurs de services d’informatique en nuage, de logiciels, de services d’analyse de données et les fournisseurs de services de centres de données. De la même manière, étant donné que les entités financières devraient identifier et gérer de manière efficace et cohérente tous les types de risques, y compris dans le contexte des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; acquis au sein d’un groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; financier, il convient de préciser que les entreprises qui font partie d’un groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; financier et fournissent des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; principalement à leur entreprise mère: une entreprise mère au sens de l’article 2, point 9), et de l’article 22 de la directive 2013/34/UE;, ou à des filiales: une entreprise filiale au sens de l’article 2, point 10), et de l’article 22 de la directive 2013/34/UE; ou succursales de leur entreprise mère: une entreprise mère au sens de l’article 2, point 9), et de l’article 22 de la directive 2013/34/UE;, ainsi que les entités financières fournissant des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; à d’autres entités financières, devraient également être considérées comme des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; au titre du présent règlement. Enfin, compte tenu de l’évolution du marché des services de paiement, qui dépend de plus en plus de solutions techniques complexes, et des types émergents de services de paiement et de solutions liées au paiement, les participants à l’écosystème des services de paiement, qui exercent des activités de traitement du paiement ou exploitent des infrastructures de paiement, devraient également être considérés comme des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; au titre du présent règlement, à l’exception des banques centrales lorsqu’elles exploitent des systèmes de paiement ou de règlement des opérations sur titres et des autorités publiques lorsqu’elles fournissent des services liés aux TIC dans le contexte de l’exercice de fonctions de l’État.

Une entité financière devrait à tout moment demeurer pleinement responsable du respect des obligations qui lui incombent en vertu du présent règlement. Les entités financières devraient adopter une approche proportionnée du suivi des risques survenant au niveau des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; en tenant dûment compte de la nature, de l’ampleur, de la complexité et de l’importance de leurs relations de dépendance liées aux TIC, de la criticité ou de l’importance des services, processus ou fonctions faisant l’objet des accords contractuels et, enfin, en procédant à une évaluation minutieuse de toute incidence potentielle sur la continuité et la qualité des services financiers au niveau individuel et au niveau du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE;, selon le cas.

La réalisation de ce suivi devrait se fonder sur une approche stratégique du risque lié aux prestataires tiers de services TIC: un risque lié aux TIC auquel une entité financière peut être exposée du fait de son recours à des services TIC fournis par des prestataires tiers de services TIC ou par des sous-traitants, y compris au moyen d’accords d’externalisation;, laquelle serait formalisée par l’adoption, par l’organe de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(^31^), de l’article 2, paragraphe 1, point 45), du règlement (UE) n^o 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32). de l’entité financière, d’une stratégie dédiée en matière de risques liés aux prestataires tiers de services TIC: une entreprise qui fournit des services TIC; reposant sur une analyse continue de toutes les relations de dépendance à l’égard de tous les prestataires tiers de services TIC: une entreprise qui fournit des services TIC;. Afin que les autorités de surveillance cernent mieux les relations de dépendance à l’égard de prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, et en vue d’appuyer les travaux menés dans le contexte du cadre de supervision établi par le présent règlement, toutes les entités financières devraient être tenues de disposer d’un registre d’informations contenant tous les accords contractuels relatifs à l’utilisation des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; fournis par des prestataires tiers de services TIC: une entreprise qui fournit des services TIC;. Les autorités de surveillance financière devraient pouvoir demander le registre complet, ou en demander des parties spécifiques, et ainsi obtenir des informations essentielles pour améliorer leur compréhension des relations de dépendance des entités financières à l’égard de prestataires tiers de services TIC.

Une analyse précontractuelle approfondie devrait étayer et précéder la conclusion formelle des accords contractuels, en particulier en se concentrant sur des éléments tels que la criticité ou l’importance des services faisant l’objet du contrat TIC envisagé, les accords nécessaires des autorités de contrôle ou d’autres conditions, l’éventuel risque de concentration encouru, ainsi qu’en appliquant la diligence requise dans le processus de sélection et d’évaluation des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; et en analysant les éventuels conflits d’intérêts. En ce qui concerne les accords contractuels portant sur des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;, les entités financières devraient prendre en considération l’utilisation par les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; des normes les plus actualisées et les plus élevées en matière de sécurité de l’information. La résiliation des accords contractuels pourrait être déclenchée à tout le moins par un ensemble de circonstances révélant des insuffisances au niveau du prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, notamment des violations des dispositions législatives ou contractuelles, des circonstances révélant une possible altération de l’exécution des fonctions prévues par les accords contractuels, des faiblesses avérées du prestataire tiers de services TIC: une entreprise qui fournit des services TIC; dans sa gestion globale du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, ou des circonstances indiquant l’incapacité de l’autorité compétente concernée à surveiller efficacement l’entité financière.

Afin de remédier à l’effet systémique du risque de concentration des prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, le présent règlement privilégie une solution équilibrée au moyen d’une approche souple et progressive en ce qui concerne ce risque de concentration, car l’imposition de tout plafond rigide ou de toute limitation stricte serait susceptible d’entraver la conduite des affaires et de restreindre la liberté contractuelle. Les entités financières devraient procéder à une évaluation rigoureuse des accords contractuels qu’elles envisagent afin de déterminer la probabilité qu’un tel risque apparaisse, y compris au moyen d’analyses approfondies des accords de sous-traitance, en particulier lorsqu’ils sont conclus avec des prestataires tiers de services TIC établis dans un pays tiers: un prestataire tiers de services TIC qui est une personne morale établie dans un pays tiers et qui a conclu un accord contractuel avec une entité financière pour la fourniture de services TIC;. À ce stade, et en vue de trouver un juste équilibre entre la nécessité de préserver la liberté contractuelle et celle de garantir la stabilité financière, il n’est pas jugé approprié de définir des règles concernant des plafonds et des limites stricts pour les expositions aux prestataires tiers de services TIC: une entreprise qui fournit des services TIC;. Dans le contexte du cadre de supervision, un superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; nommé conformément au présent règlement devrait, en ce qui concerne les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, veiller tout particulièrement à saisir pleinement l’ampleur des interdépendances, à détecter les cas spécifiques dans lesquels un degré élevé de concentration de prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; dans l’Union est susceptible de mettre à mal la stabilité et l’intégrité du système financier de l’Union et à maintenir un dialogue avec les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; lorsque ce risque spécifique est avéré.

Afin d’évaluer et de contrôler régulièrement la capacité du prestataire tiers de services TIC: une entreprise qui fournit des services TIC; à fournir en toute sécurité des services à une entité financière sans effets préjudiciables sur la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; d’une entité financière, plusieurs éléments contractuels clés avec les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; devraient être harmonisés. Cette harmonisation devrait couvrir les domaines minimaux qui sont fondamentaux pour permettre à l’entité financière d’assurer un suivi complet des risques qui pourraient apparaître chez le prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, dans la perspective de la nécessité d’une entité financière de garantir sa résilience numérique, car celle-ci dépend fortement de la stabilité, de la fonctionnalité, de la disponibilité et de la sécurité des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; reçus.

Lorsqu’elles renégocient les accords contractuels en vue de les faire correspondre aux exigences du présent règlement, les entités financières et les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; devraient veiller à ce que les principales dispositions contractuelles prévues par le présent règlement soient couvertes.

La définition de «fonction critique ou importante: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;» figurant dans le présent règlement englobe la définition des «fonctions critiques» figurant à l’article 2, paragraphe 1, point 35, de la directive 2014/59/UE du Parlement européen et du Conseil(²⁰)Directive 2014/59/UE du Parlement européen et du Conseil du 15 mai 2014 établissant un cadre pour le redressement et la résolution des établissements de crédit et des entreprises d’investissement et modifiant la directive 82/891/CEE du Conseil ainsi que les directives du Parlement européen et du Conseil 2001/24/CE, 2002/47/CE, 2004/25/CE, 2005/56/CE, 2007/36/CE, 2011/35/UE, 2012/30/UE et 2013/36/UE et les règlements du Parlement européen et du Conseil (UE) n^o 1093/2010 et (UE) n^o 648/2012 (JO L 173 du 12.6.2014, p. 190).. Par conséquent, les fonctions considérées comme critiques en vertu de la directive 2014/59/UE sont incluses dans la définition des fonctions critiques au sens du présent règlement.

Indépendamment de la criticité ou de l’importance de la fonction que sous-tendent les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;, les accords contractuels devraient notamment comporter une description complète des fonctions et des services, des lieux où ces fonctions sont assurées et où les données seront traitées, ainsi qu’une description des niveaux de service. Parmi les autres éléments essentiels pour permettre à une entité financière de procéder au suivi des risques liés aux prestataires tiers de services TIC: une entreprise qui fournit des services TIC; figurent les dispositions contractuelles précisant en quoi l’accessibilité, la disponibilité, l’intégrité, la sécurité et la protection des données à caractère personnel sont assurées par le tiers prestataire de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;, les dispositions établissant les garanties pertinentes permettant l’accès, la récupération et la restitution des données en cas d’insolvabilité, de résolution ou d’interruption des activités du prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, ainsi que les dispositions imposant au prestataire tiers de services TIC: une entreprise qui fournit des services TIC; de fournir une assistance en cas d’incidents liés aux TIC en rapport avec les services fournis, sans frais supplémentaires ou à un coût déterminé ex ante; les dispositions relatives à l’obligation pour le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; de coopérer pleinement avec les autorités compétentes et les autorités de résolution de l’entité financière; et les dispositions relatives aux droits de résiliation et aux délais de préavis minimaux correspondants pour la résiliation de l’accord contractuel, conformément aux attentes des autorités compétentes et des autorités de résolution.

Outre ces dispositions contractuelles, et afin que les entités financières conservent la pleine maîtrise de toutes les évolutions survenant au niveau des tiers et susceptibles de nuire à leur sécurité des TIC, il convient que les contrats de fourniture de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; prévoient également les éléments suivants: des descriptions complètes des niveaux de service, ainsi que des objectifs de performance quantitatifs et qualitatifs précis, pour prendre sans retard injustifié des mesures correctives appropriées lorsque les niveaux de service convenus ne sont pas atteints; les délais de préavis pertinents et les obligations de notification incombant au prestataire tiers de services TIC: une entreprise qui fournit des services TIC; en cas d’évolutions susceptibles d’avoir une incidence significative sur la capacité de ce dernier à fournir efficacement leurs services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; respectifs; l’obligation pour le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; de mettre en œuvre et de tester des plans d’urgence et de mettre en place des mesures, des outils et des politiques de sécurité des TIC qui permettent une prestation de services sûre, et de participer et de coopérer pleinement au test de pénétration fondé sur la menace effectué par l’entité financière.

Les contrats de fourniture de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; devraient également contenir des dispositions permettant l’exercice des droits d’accès, d’inspection et d’audit par l’entité financière ou par un tiers désigné, et le droit de prendre des copies en tant qu’outils essentiels pour permettre aux entités financières d’assurer un suivi permanent des performances du prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, parallèlement à la coopération totale de ce prestataire de services lors des inspections. De la même manière, l’autorité compétente de l’entité financière devrait être habilitée, moyennant préavis, à inspecter et à auditer le prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, dans le respect de la protection des informations confidentielles.

Ces accords contractuels devraient également établir des droits de résiliation clairs et des préavis minimaux correspondants, ainsi que des stratégies de sortie spécifiques prévoyant, en particulier, des périodes de transition obligatoires pendant lesquelles les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; seraient tenus de continuer à fournir les services concernés en vue de réduire le risque de perturbations au niveau de l’entité financière, de permettre à celle-ci de passer à l’utilisation d’autres prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, ou encore de recourir à des solutions en interne, en fonction de la complexité du service TIC fourni. En outre, les entités financières relevant du champ d’application de la directive 2014/59/UE devraient veiller à ce que les contrats de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; pertinents soient solides et pleinement exécutoires en cas de résolution de ces entités financières. Par conséquent, conformément aux attentes des autorités de résolution, ces entités financières devraient veiller à ce que les contrats de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; pertinents soient résilients en matière de résolution. Tant qu’elles continuent d’honorer leurs obligations de paiement, ces entités financières devraient faire en sorte, entre autres exigences, que les contrats de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; pertinents comportent des clauses de non-résiliation, de non-suspension et de non-modification pour des motifs de restructuration ou de résolution.

En outre, le recours volontaire aux clauses contractuelles types élaborées par les autorités publiques ou les institutions de l’Union, en particulier le recours aux clauses contractuelles élaborées par la Commission pour les services d’informatique en nuage, pourrait procurer un degré accru de confiance aux entités financières et aux prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, en améliorant le niveau de sécurité juridique relatif à l’utilisation des services d’informatique en nuage dans le secteur financier, dans le respect total des exigences et des attentes définies par le droit de l’Union sur les services financiers. L’élaboration de clauses contractuelles types s’appuie sur les mesures déjà envisagées dans le plan d’action 2018 pour les technologies financières, dans lequel la Commission a annoncé son intention d’encourager et de faciliter l’élaboration de clauses contractuelles types pour l’externalisation des activités d’informatique en nuage par les entités financières, en s’appuyant sur les efforts des parties prenantes de l’informatique en nuage au niveau transsectoriel, que la Commission a facilités grâce à la participation du secteur financier.

Afin de promouvoir la convergence et l’efficacité des approches des autorités de surveillance lorsqu’elles traitent le risque lié aux prestataires tiers de services TIC: un risque lié aux TIC auquel une entité financière peut être exposée du fait de son recours à des services TIC fournis par des prestataires tiers de services TIC ou par des sous-traitants, y compris au moyen d’accords d’externalisation; dans le secteur financier, ainsi que de renforcer la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; des entités financières qui dépendent de prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; pour la prestation de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; qui soutiennent la fourniture de services financiers, et de contribuer ainsi à préserver la stabilité du système financier de l’Union et l’intégrité du marché intérieur des services financiers, les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; devraient être soumis à un cadre de supervision de l’Union. Bien que la mise en place du cadre de supervision soit justifiée par la valeur ajoutée d’une action au niveau de l’Union et en vertu du rôle et des spécificités inhérents à l’utilisation des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; dans la fourniture de services financiers, il convient dans le même temps de rappeler que cette solution ne semble appropriée que dans le contexte du présent règlement, qui traite spécifiquement de la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; dans le secteur financier. Toutefois, ce cadre de supervision ne devrait pas être considéré comme un nouveau modèle de surveillance par l’Union dans les domaines des services et activités financiers.

Le cadre de supervision ne devrait s’appliquer qu’aux prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;. Un mécanisme de désignation devrait donc être mis en place pour tenir compte de la dimension et de la nature de la dépendance du secteur financier à l’égard de ces prestataires tiers de services TIC: une entreprise qui fournit des services TIC;. Ce mécanisme devrait consister en un ensemble de critères quantitatifs et qualitatifs définissant les paramètres de criticité servant de référence aux fins de l’inclusion dans le cadre de supervision. Afin de veiller à l’exactitude de cette évaluation, et indépendamment de la structure sociale du prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, ces critères devraient, dans le cas d’un prestataire tiers de services TIC: une entreprise qui fournit des services TIC; faisant partie d’un groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; plus large, prendre en considération l’ensemble de la structure du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; du prestataire tiers de services TIC: une entreprise qui fournit des services TIC;. D’une part, les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, qui ne sont pas automatiquement désignés par suite de l’application de ces critères, devraient avoir la possibilité d’adhérer au cadre de supervision à titre volontaire; d’autre part, les prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, qui sont déjà soumis à des cadres de supervision à l’appui de la réalisation des missions du Système européen de banques centrales visées à l’article 127, paragraphe 2, du traité sur le fonctionnement de l’Union européenne, devraient en être exemptés.

De la même manière, les entités financières fournissant des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; à d’autres entités financières, bien qu’appartenant à la catégorie des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; au titre du présent règlement, devraient également être exemptées du cadre de supervision étant donné qu’elles sont déjà soumises aux mécanismes de surveillance établis par le droit de l’Union applicable aux services financiers. Le cas échéant, les autorités compétentes devraient tenir compte, dans le contexte de leurs activités de surveillance, du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; que les entités financières fournissant des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; représentent pour les entités financières. De même, en raison des mécanismes de suivi des risques existants au niveau du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE;, la même exemption devrait être instaurée pour les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; qui fournissent des services principalement aux entités de leur propre groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE;. Les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; fournissant des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; uniquement dans un État membre à des entités financières qui ne sont actives que dans cet État membre devraient également être exemptés du mécanisme de désignation en raison de leurs activités limitées et de l’absence d’incidence transfrontière.

La transformation numérique que connaissent les services financiers a entraîné un niveau d’utilisation et de dépendance sans précédent à l’égard des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;. Étant donné qu’il est devenu inconcevable de fournir des services financiers sans recourir aux services d’informatique en nuage, aux solutions logicielles et aux services liés aux données, l’écosystème financier de l’Union est devenu intrinsèquement codépendant de certains services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; fournis par des prestataires de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;. Certains de ces prestataires, innovants dans l’élaboration et l’application de technologies fondées sur les TIC, jouent un rôle considérable dans la fourniture de services financiers ou se sont intégrés dans la chaîne de valeur des services financiers. Ils sont donc devenus essentiels pour la stabilité et l’intégrité du système financier de l’Union. Cette dépendance généralisée à l’égard des services fournis par des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, associée à l’interdépendance des systèmes d’information de divers opérateurs de marché, crée un risque direct, et potentiellement grave, pour le système de services financiers de l’Union et pour la continuité de la fourniture des services financiers si des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; venaient à subir des perturbations opérationnelles ou des cyberincidents majeurs. Les cyberincidents ont une capacité particulière à se multiplier et à se propager dans l’ensemble du système financier à un rythme beaucoup plus rapide que les autres types de risques faisant l’objet d’un suivi dans le secteur financier et peuvent s’étendre à d’autres secteurs et au-delà des frontières géographiques. Ils sont susceptibles d’évoluer en une crise systémique, dans le cadre de laquelle la confiance dans le système financier est érodée en raison de la perturbation des fonctions qui sous-tendent l’économie réelle ou de pertes financières considérables, atteignant un niveau auquel le système financier n’est pas en mesure de faire face, ou qui nécessite le déploiement d’importantes mesures d’absorption des chocs. Afin d’éviter que ces scénarios se produisent et mettent ainsi en péril la stabilité financière et l’intégrité de l’Union, il est essentiel de veiller à la convergence des pratiques de surveillance relatives aux risques liés aux prestataires tiers de services TIC: une entreprise qui fournit des services TIC; dans le secteur financier, en particulier au moyen de nouvelles règles permettant à l’Union de superviser les prestataires tiers critiques de services TIC.

Le cadre de supervision dépend dans une large mesure du degré de collaboration entre le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; et le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; fournissant aux entités financières des services ayant une incidence sur la fourniture de services financiers. Une supervision menée à bien repose notamment sur la capacité du superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; à mener avec efficacité des missions de surveillance et des inspections afin d’évaluer les règles, les contrôles et les processus utilisés par les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, ainsi que pour évaluer les éventuelles incidences cumulées de leurs activités sur la stabilité financière et l’intégrité du système financier. Dans le même temps, il est essentiel que les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; suivent les recommandations du superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; et répondent à ses préoccupations. Étant donné que le manque de coopération d’un prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; fournissant des services ayant une incidence sur la fourniture de services financiers, tel que le refus d’accorder l’accès à ses locaux ou de communiquer des informations, priverait en fin de compte le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; de ses outils essentiels lors de l’évaluation des risques liés aux prestataires tiers de services TIC: une entreprise qui fournit des services TIC; et pourrait nuire à la stabilité financière et à l’intégrité du système financier, il est nécessaire de prévoir également un régime proportionné de sanctions.

Dans ce contexte, la nécessité pour le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; d’imposer des astreintes pour contraindre les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; à se conformer aux obligations en matière de transparence et d’accès énoncées dans le présent règlement ne devrait pas être compromise par les difficultés liées à l’exécution de ces astreintes en ce qui concerne les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; établis dans des pays tiers. Afin de garantir le caractère exécutoire de ces astreintes, ainsi que de permettre une mise en œuvre rapide des procédures permettant de veiller au respect des droits de la défense des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; dans le contexte du mécanisme de désignation et de la formulation de recommandations, ces prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, qui fournissent à des entités financières des services ayant une incidence sur la fourniture de services financiers, devraient être tenus de maintenir une présence adéquate dans l’Union. En raison de la nature de la supervision, et de l’absence de dispositifs comparables dans d’autres juridictions, il n’existe aucun autre mécanisme approprié qui garantisse la réalisation de cet objectif au moyen d’une coopération efficace avec les autorités de surveillance financière des pays tiers en ce qui concerne la surveillance de l’incidence des risques opérationnels numériques que représentent les prestataires tiers systémiques de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; pouvant être considérés comme des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; établis dans des pays tiers. Par conséquent, afin de continuer à fournir des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; à des entités financières dans l’Union, un prestataire tiers de services TIC établi dans un pays tiers: un prestataire tiers de services TIC qui est une personne morale établie dans un pays tiers et qui a conclu un accord contractuel avec une entité financière pour la fourniture de services TIC; qui a été désigné comme critique conformément au présent règlement devrait prendre, dans un délai de 12 mois à compter de cette désignation, toutes les dispositions nécessaires pour veiller à sa constitution dans l’Union, en établissant une filiale: une entreprise filiale au sens de l’article 2, point 10), et de l’article 22 de la directive 2013/34/UE;, définie dans l’ensemble de l’acquis de l’Union, notamment dans la directive 2013/34/UE du Parlement européen et du Conseil(²¹)Directive 2013/34/UE du Parlement européen et du Conseil du 26 juin 2013 relative aux états financiers annuels, aux états financiers consolidés et aux rapports y afférents de certaines formes d’entreprises, modifiant la directive 2006/43/CE du Parlement européen et du Conseil et abrogeant les directives 78/660/CEE et 83/349/CEE du Conseil (JO L 182 du 29.6.2013, p. 19)..

L’obligation de créer une filiale: une entreprise filiale au sens de l’article 2, point 10), et de l’article 22 de la directive 2013/34/UE; dans l’Union ne devrait pas empêcher le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; de fournir des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; et un appui technique connexe à partir d’installations et d’infrastructures situées en dehors de l’Union. Le présent règlement n’impose pas une localisation des données étant donné qu’il n’exige pas que le stockage ou le traitement des données soit effectué dans l’Union.

Les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; devraient être en mesure de fournir des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; depuis n’importe quel endroit du monde, pas nécessairement ou pas uniquement depuis des locaux situés dans l’Union. Les activités de supervision devraient d’abord être menées dans des locaux situés dans l’Union et en interaction avec des entités situées dans l’Union, y compris les filiales: une entreprise filiale au sens de l’article 2, point 10), et de l’article 22 de la directive 2013/34/UE; établies par des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; conformément au présent règlement. Toutefois, ces actions au sein de l’Union pourraient ne pas suffire à permettre au superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; de s’acquitter pleinement et efficacement de ses missions au titre du présent règlement. Le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; devrait donc également être en mesure d’exercer ses pouvoirs de supervision dans les pays tiers. L’exercice de ces pouvoirs dans les pays tiers devrait permettre au superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; d’examiner les installations à partir desquelles les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; ou d’appui technique sont effectivement fournis ou gérés par le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; et offrir au superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; une compréhension globale et opérationnelle de la gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; du prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;. La possibilité pour le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement;, en tant qu’agence de l’Union, d’exercer ses pouvoirs en dehors du territoire de l’Union devrait être dûment encadrée par des conditions pertinentes, en particulier le consentement du prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; concerné. De même, les autorités compétentes du pays tiers devraient être informées de l’exercice des activités du superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; sur leur propre territoire et ne pas s’y être opposées. Toutefois, afin de veiller à une mise en œuvre efficace, et sans préjudice des compétences respectives des institutions de l’Union et des États membres, ces pouvoirs doivent également être pleinement ancrés dans les accords de coopération administrative conclus avec les autorités compétentes du pays tiers concerné. Le présent règlement devrait donc permettre aux AES de conclure des accords de coopération administrative avec les autorités compétentes de pays tiers, qui ne devraient par ailleurs pas créer d’obligations juridiques à l’égard de l’Union et de ses États membres.

Afin de faciliter la communication avec le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; et de veiller à une représentation adéquate, les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; qui font partie d’un groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; devraient désigner une personne morale comme leur point de coordination.

Le cadre de supervision devrait être sans préjudice de la compétence des États membres à mener leurs propres missions de supervision ou de surveillance des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; qui ne sont pas désignés comme critiques au titre du présent règlement, mais qui sont jugés importants au niveau national.

Afin de tirer parti de l’architecture institutionnelle à plusieurs niveaux dans le domaine des services financiers, le comité mixte: le comité visé à l’article 54 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010; des AES devrait continuer à assurer la coordination intersectorielle globale pour toutes les questions relatives au risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, conformément aux tâches qui lui incombent en matière de cybersécurité. Il devrait être soutenu par un nouveau sous-comité (ci-après dénommé «forum de supervision») chargé de préparer aussi bien les décisions individuelles à l’adresse des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; que la publication des recommandations collectives, en particulier en ce qui concerne l’analyse comparative des programmes de supervision des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; et l’identification des bonnes pratiques pour parer aux risques de concentration informatique.

Afin que les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; fassent l’objet d’une supervision appropriée et efficace à l’échelle de l’Union, le présent règlement prévoit que l’une des trois AES pourrait être désignée comme superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement;. L’assignation individuelle d’un prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; à l’une des trois AES devrait découler d’une évaluation de la prépondérance des entités financières opérant dans les secteurs financiers pour lesquels cette AES assume des responsabilités. Cette approche devrait conduire à une répartition équilibrée des tâches et des responsabilités entre les trois AES, dans le contexte de l’exercice des fonctions de supervision, et devrait permettre une utilisation optimale des ressources humaines et de l’expertise technique disponibles dans chacune des trois AES.

Les superviseurs principaux devraient se voir confier les pouvoirs nécessaires pour mener des enquêtes, réaliser des inspections sur place et hors site des locaux et sites des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; et obtenir des informations complètes et actualisées. Ces pouvoirs devraient permettre au superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; de se faire une idée précise du type, de la dimension et des incidences du risque que les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; représentent pour les entités financières et, en définitive, pour le système financier de l’Union. Il est indispensable d’accorder aux AES le rôle de superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; afin de cerner et de prendre en compte la dimension systémique du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; dans le secteur financier. L’incidence des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; sur le secteur financier de l’Union et les problèmes éventuels causés par le risque de concentration informatique qui en découlent nécessitent l’adoption d’une approche collective au niveau de l’Union. La réalisation simultanée d’une multiplicité d’audits et de droits d’accès, exercés séparément par de nombreuses autorités compétentes avec une coordination limitée, voire inexistante, empêcherait les autorités de surveillance financière de disposer d’une vue d’ensemble complète et exhaustive du risque lié aux prestataires tiers de services TIC: un risque lié aux TIC auquel une entité financière peut être exposée du fait de son recours à des services TIC fournis par des prestataires tiers de services TIC ou par des sous-traitants, y compris au moyen d’accords d’externalisation; dans l’Union, tandis qu’elle engendrerait également une redondance, des charges et une complexité pour les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; s’ils étaient confrontés à de nombreuses demandes de surveillance et d’inspection.

En raison de l’incidence considérable de la désignation comme prestataire tiers critique, le présent règlement devrait veiller au respect des droits des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; tout au long de la mise en œuvre du cadre de supervision. Avant d’être désignés comme critiques, ces prestataires devraient, par exemple, avoir le droit de présenter au superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; une déclaration motivée contenant toute information pertinente aux fins de l’évaluation relative à leur désignation. Étant donné que le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; devrait être habilité à soumettre des recommandations sur le risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; et les mesures correctives appropriées, qui incluent le pouvoir de s’opposer à certains accords contractuels susceptibles d’affecter à terme la stabilité de l’entité financière ou du système financier, les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; devraient également avoir la possibilité, avant la finalisation de ces recommandations, de fournir des explications en ce qui concerne l’incidence attendue des solutions, envisagées dans les recommandations, sur les clients qui sont des entités ne relevant pas du champ d’application du présent règlement et de formuler des solutions pour atténuer les risques. Les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; qui ne sont pas d’accord avec les recommandations devraient présenter une déclaration motivée de leur intention de ne pas suivre la recommandation. Lorsque cette déclaration motivée fait défaut ou est jugée insuffisante, le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; devrait émettre une communication au public dans laquelle il décrit brièvement la non-conformité.

Les autorités compétentes devraient dûment inclure la tâche consistant à vérifier le respect matériel des recommandations formulées par le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; dans le cadre de leurs fonctions en ce qui concerne la surveillance prudentielle des entités financières. Les autorités compétentes devraient pouvoir exiger des entités financières qu’elles prennent des mesures supplémentaires pour faire face aux risques recensés dans les recommandations du superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; et devraient, en temps utile, émettre des notifications à cet effet. Lorsque le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; adresse des recommandations à des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; qui font l’objet d’une surveillance au titre de la directive (UE) 2022/2555, les autorités compétentes devraient pouvoir, à titre volontaire et avant d’adopter des mesures supplémentaires, consulter les autorités compétentes en vertu de ladite directive afin de favoriser une approche coordonnée concernant les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; en question.

L’exercice de la supervision devrait être fondé sur trois principes opérationnels visant: a) une coopération étroite entre les AES dans leur rôle de superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement;, au moyen d’un réseau de supervision commun, b) la cohérence avec le cadre établi par la directive (UE) 2022/2555 (par une consultation volontaire des organismes relevant de ladite directive afin d’éviter la duplication des mesures visant les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;), et c) l’application d’une diligence afin de réduire au minimum l’éventuel risque de perturbation des services fournis par les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; aux clients qui sont des entités ne relevant pas du champ d’application du présent règlement.

Le cadre de supervision ne devrait pas remplacer, ni se substituer en aucune façon, même partiellement, à l’obligation pour les entités financières de gérer elles-mêmes les risques que comporte le recours à des prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, y compris leur obligation de maintenir un suivi permanent des accords contractuels conclus avec des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;. De même, le cadre de supervision ne devrait changer en rien l’entière responsabilité qui incombe aux entités financières de se conformer à toutes les obligations juridiques énoncées dans le présent règlement et dans le droit applicable aux services financiers et de s’en acquitter.

Afin d’éviter les doubles emplois et les chevauchements, les autorités compétentes devraient s’abstenir de prendre à titre individuel des mesures destinées à assurer le suivi des risques liés aux prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; et devraient, à cet égard, se fonder sur l’évaluation du superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; concerné. Toute mesure devrait en tout état de cause faire l’objet d’une coordination et d’un accord préalables avec le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; dans le contexte de l’exercice des missions du cadre de supervision.

Dans le but de promouvoir la convergence au niveau international en ce qui concerne le recours aux bonnes pratiques dans le cadre de l’examen et du suivi de la gestion des risques numériques des prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, les AES devraient être encouragées à conclure des accords de coopération avec les autorités de pays tiers en matière de surveillance et de réglementation.

Pour tirer parti des compétences, des aptitudes techniques et de l’expertise du personnel spécialisé dans le risque opérationnel et le risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; au sein des autorités compétentes, les trois AES et, à titre volontaire, les autorités compétentes en vertu de la directive (UE) 2022/2555, et le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; devraient s’appuyer sur les capacités et les connaissances nationales dans le domaine de la surveillance et mettre en place des équipes d’examen spécifiques pour chaque prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, en constituant des équipes multidisciplinaires à l’appui de la préparation et de l’exécution des activités de supervision, y compris les enquêtes générales et les inspections auprès des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, ainsi que toute suite nécessaire à leur donner.

Alors que les coûts résultant des tâches de supervision seraient entièrement financés par les redevances prélevées auprès des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, les AES sont toutefois susceptibles de supporter, avant le lancement du cadre de supervision, des coûts pour la mise en œuvre de systèmes de TIC spécifiques à l’appui de la future supervision, étant donné que des systèmes de TIC spécifiques devraient être développés et déployés au préalable. Le présent règlement prévoit donc un modèle de financement hybride, dans le cadre duquel le cadre de supervision serait, en tant que tel, entièrement financé par les redevances, tandis que le développement des systèmes de TIC des AES serait financé par des contributions des autorités compétentes nationales et de l’Union.

Les autorités compétentes devraient disposer de tous les pouvoirs de surveillance, d’enquête et de sanction requis pour garantir l’application du présent règlement. Elles devraient, en principe, publier des avis des sanctions administratives qu’elles imposent. Étant donné que les entités financières et les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; peuvent être établis dans des États membres différents et être soumis à la surveillance d’autorités compétentes différentes, l’application du présent règlement devrait être facilitée, d’une part, par la coopération entre les autorités compétentes concernées, y compris la BCE pour ce qui est des missions spécifiques qui lui sont conférées par le règlement (UE) n^o 1024/2013 et, d’autre part, par une consultation avec les AES au moyen de l’échange réciproque d’informations et la fourniture d’une assistance mutuelle dans l’exercice des activités de surveillance concernées.

Afin de mieux quantifier et qualifier les critères de désignation des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; comme critiques et d’harmoniser les redevances de supervision, le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne devrait être délégué à la Commission afin de compléter le présent règlement en précisant l’effet systémique qu’une défaillance ou une interruption de fonctionnement d’un prestataire tiers de services TIC: une entreprise qui fournit des services TIC; pourrait avoir sur les entités financières auxquelles il fournit des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;, le nombre d’établissements d’importance systémique mondiale (EISm) ou d’autres établissements d’importance systémique (autres EIS) qui dépendent du prestataire tiers de services TIC: une entreprise qui fournit des services TIC; concerné, le nombre de prestataires tiers de services TIC: une entreprise qui fournit des services TIC; actifs sur un marché donné, les coûts de la migration des données et des charges de travail liées aux TIC vers d’autres prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, ainsi que le montant des redevances de supervision et les modalités de leur paiement. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer»(²²)JO L 123 du 12.5.2016, p. 1.. En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil devraient recevoir tous les documents au même moment que les experts des États membres, et leurs experts devraient avoir systématiquement accès aux réunions des groupes: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; d’experts de la Commission traitant de la préparation des actes délégués.

Des normes techniques de réglementation devraient garantir l’harmonisation cohérente des exigences prévues par le présent règlement. Dans leur rôle en tant qu’organismes dotés de compétences très spécialisées, les AES devraient élaborer des projets de normes techniques de réglementation n’impliquant pas de choix politiques, en vue de les soumettre à la Commission. Des normes techniques de réglementation devraient être élaborées dans les domaines de la gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, de la notification d’incidents majeurs liés aux TIC, des tests, ainsi qu’en ce qui concerne les exigences clés pour garantir un suivi solide du risque lié aux prestataires tiers de services TIC: un risque lié aux TIC auquel une entité financière peut être exposée du fait de son recours à des services TIC fournis par des prestataires tiers de services TIC ou par des sous-traitants, y compris au moyen d’accords d’externalisation;. La Commission et les AES devraient veiller à ce que toutes les entités financières puissent appliquer ces normes et exigences d’une manière proportionnée à leur taille et à leur profil de risque global, ainsi qu’à la nature, à l’ampleur et à la complexité de leurs services, activités et opérations. La Commission devrait être habilitée à adopter ces normes techniques de réglementation par voie d’actes délégués en vertu de l’article 290 du traité sur le fonctionnement de l’Union européenne et conformément aux articles 10 à 14 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010.

Afin de faciliter la comparabilité des rapports sur les incidents majeurs liés aux TIC et les incidents opérationnels ou de sécurité majeurs liés au paiement, ainsi que de garantir la transparence des accords contractuels relatifs à l’utilisation de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; fournis par des prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, les AES devraient élaborer des projets de normes techniques d’exécution établissant des modèles, des formulaires et des procédures normalisés permettant aux entités financières de signaler un incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; et un incident opérationnel ou de sécurité majeur lié au paiement: un incident opérationnel ou de sécurité lié au paiement qui a une incidence négative élevée sur les services fournis liés au paiement;, ainsi que des modèles normalisés pour le registre d’informations. Lors de l’élaboration de ces normes, les AES devraient prendre en considération la taille et le profil de risque global de l’entité financière, ainsi que la nature, l’ampleur et la complexité de ses services, activités et opérations. La Commission devrait être habilitée à adopter ces normes techniques d’exécution par voie d’actes d’exécution en vertu de l’article 291 du traité sur le fonctionnement de l’Union européenne et conformément à l’article 15 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010.

Étant donné que des exigences supplémentaires ont déjà été définies au moyen d’actes délégués et d’actes d’exécution fondés sur des normes techniques de réglementation ou des normes techniques d’exécution dans les règlements (CE) n^o 1060/2009(²³)Règlement (CE) n^o 1060/2009 du Parlement européen et du Conseil du 16 septembre 2009 sur les agences de notation de crédit (JO L 302 du 17.11.2009, p. 1)., (UE) n^o 648/2012(²⁴)Règlement (UE) n^o 648/2012 du Parlement européen et du Conseil du 4 juillet 2012 sur les produits dérivés de gré à gré, les contreparties centrales et les référentiels centraux (JO L 201 du 27.7.2012, p. 1)., (UE) n^o 600/2014(²⁵)Règlement (UE) n^o 600/2014 du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant le règlement (UE) n^o 648/2012 (JO L 173 du 12.6.2014, p. 84). et (UE) n^o 909/2014(²⁶)Règlement (UE) n^o 909/2014 du Parlement européen et du Conseil du 23 juillet 2014 concernant l’amélioration du règlement de titres dans l’Union européenne et les dépositaires centraux de titres, et modifiant les directives 98/26/CE et 2014/65/UE ainsi que le règlement (UE) n^o 236/2012 (JO L 257 du 28.8.2014, p. 1). du Parlement européen et du Conseil, il convient de charger les AES, soit individuellement, soit conjointement par l’intermédiaire du comité mixte: le comité visé à l’article 54 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010;, de soumettre des normes techniques de réglementation et des normes techniques d’exécution à la Commission en vue de l’adoption d’actes délégués et d’actes d’exécution reprenant et actualisant les règles existantes en matière de gestion du risque lié aux TIC.

Étant donné que le présent règlement, conjointement avec la directive (UE) 2022/2556 du Parlement européen et du Conseil(²⁷)Directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier (voir page 153 du présent Journal officiel)., consiste en une consolidation des dispositions relatives à la gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; énoncées dans de multiples règlements et directives de l’acquis de l’Union dans le domaine des services financiers, notamment les règlements (CE) n^o 1060/2009, (UE) n^o 648/2012, (UE) n^o 600/2014 et (UE) n^o 909/2014 et le règlement (UE) 2016/1011 du Parlement européen et du Conseil(²⁸)Règlement (UE) 2016/1011 du Parlement européen et du Conseil du 8 juin 2016 concernant les indices utilisés comme indices de référence dans le cadre d’instruments et de contrats financiers ou pour mesurer la performance de fonds d’investissement et modifiant les directives 2008/48/CE et 2014/17/UE et le règlement (UE) n^o 596/2014 (JO L 171 du 29.6.2016, p. 1)., il convient, afin de garantir une cohérence totale, de modifier lesdits règlements pour y préciser que les dispositions pertinentes applicables au risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; sont énoncées dans le présent règlement.

En conséquence, le champ d’application des articles pertinents relatifs au risque opérationnel, pour lesquels des délégations de pouvoirs énoncées dans les règlements (CE) n^o 1060/2009, (UE) n^o 648/2012, (UE) n^o 600/2014, (UE) n^o 909/2014 et (UE) 2016/1011 prévoyaient l’adoption d’actes délégués et d’actes d’exécution, devrait être restreint en vue de transférer dans le présent règlement toutes les dispositions relatives aux aspects de la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; qui font actuellement partie desdits règlements.

L’éventuel cyberrisque systémique associé à l’utilisation d’infrastructures de TIC permettant le fonctionnement des systèmes de paiement et la fourniture d’activités de traitement des paiements devrait être dûment traité au niveau de l’Union au moyen de règles harmonisées en matière de résilience numérique. À cet effet, la Commission devrait évaluer rapidement la nécessité de réexaminer le champ d’application du présent règlement tout en alignant ce réexamen sur les résultats du réexamen exhaustif prévu par la directive (UE) 2015/2366. De nombreuses attaques à grande échelle survenues au cours des dix dernières années montrent que les systèmes de paiement sont exposés aux cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;. Placés au cœur de la chaîne des services de paiement et forts de solides interconnexions avec l’ensemble du système financier, les systèmes de paiement et les activités de traitement des paiements ont acquis une importance cruciale pour le fonctionnement des marchés financiers de l’Union. Les cyberattaques: un incident lié aux TIC malveillant causé par une tentative de destruction, d’exposition, de modification, de désactivation, de vol, d’utilisation non autorisée d’un actif ou d’accès non autorisé à celui-ci, perpétrée par un acteur de la menace; menées contre ces systèmes peuvent entraîner de graves perturbations opérationnelles des activités ayant des répercussions directes sur les fonctions économiques essentielles, telles que la facilitation des paiements, et des effets indirects sur les processus économiques connexes. Jusqu’à ce qu’un régime harmonisé et la supervision des opérateurs de systèmes de paiement et des entités de traitement soient mis en place au niveau de l’Union, les États membres peuvent, en vue d’appliquer des pratiques de marché similaires, s’inspirer des exigences en matière de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; prévues par le présent règlement lorsqu’ils appliquent des règles aux opérateurs de systèmes de paiement et aux entités de traitement supervisées dans leur propre juridiction.

Étant donné que l’objectif du présent règlement, à savoir atteindre un niveau élevé de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; pour toutes les entités financières réglementées, ne peut pas être atteint de manière suffisante par les États membres, puisqu’il suppose d’harmoniser différentes règles du droit de l’Union et du droit national, mais qu’il peut, en raison de ses dimensions et de ses effets, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre cet objectif.

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil(²⁹)Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n^o 45/2001 et la décision n^o 1247/2002/CE (JO L 295 du 21.11.2018, p. 39). et a rendu un avis le 10 mai 2021(³⁰)JO C 229 du 15.6.2021, p. 16.,