Beta

Source: OJ L 333, 27.12.2022, p. 1–79

Current language: FR

Article 30 Principales dispositions contractuelles

    1. Les droits et obligations de l’entité financière et du prestataire tiers de services TIC: une entreprise qui fournit des services TIC; sont définis clairement et consignés par écrit. L’intégralité du contrat comprend les accords de niveau de service et est consignée dans un document écrit unique qui est mis à la disposition des parties sur papier, ou dans un document sous un autre format téléchargeable, durable et accessible.

    1. Les accords contractuels relatifs à l’utilisation de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; comportent au moins les éléments suivants:

      1. une description claire et exhaustive de tous les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; et fonctions qui seront fournis par le prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, indiquant si la sous-traitance d’un service TIC qui soutient une fonction critique ou importante: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;, ou de parties significatives de celle-ci, est autorisée et, le cas échéant, les conditions applicables à cette sous-traitance;

      2. les lieux, notamment les régions ou les pays, où les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; et fonctions visés par le contrat ou la sous-traitance seront fournis et où les données seront traitées, y compris le lieu de stockage, et l’obligation pour le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; d’informer au préalable l’entité financière si celui-ci envisage de changer ces lieux;

      3. des dispositions sur la disponibilité, l’authenticité, l’intégrité et la confidentialité en ce qui concerne la protection des données, y compris les données à caractère personnel;

      4. des dispositions sur la garantie de l’accès, de la récupération et de la restitution, dans un format facilement accessible, des données à caractère personnel et autres traitées par l’entité financière en cas d’insolvabilité, de résolution, de cessation des activités du prestataire tiers de services TIC: une entreprise qui fournit des services TIC; ou de résiliation des accords contractuels;

      5. des descriptions des niveaux de service, y compris leurs mises à jour et révisions;

      6. l’obligation pour le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; de fournir à l’entité financière, sans frais supplémentaires ou à un coût déterminé ex ante, une assistance en cas d’incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière; en rapport avec le service TIC fourni à l’entité financière;

      7. l’obligation pour le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; de coopérer pleinement avec les autorités compétentes et les autorités de résolution de l’entité financière, y compris les personnes nommées par eux;

      8. les droits de résiliation et les délais de préavis minimaux correspondants pour la résiliation des accords contractuels, conformément aux attentes des autorités compétentes et des autorités de résolution;

      9. les conditions de participation des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; aux programmes de sensibilisation à la sécurité des TIC et aux formations à la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; élaborés par les entités financières, conformément à l’article 13, paragraphe 6.

    1. Les accords contractuels relatifs à l’utilisation de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; comportent au moins les éléments suivants, en plus de ceux qui figurent au paragraphe 2:

      1. des descriptions complètes des niveaux de service, y compris leurs mises à jour et révisions, assorties d’objectifs de performance quantitatifs et qualitatifs précis dans le cadre des niveaux de service convenus, afin de permettre un suivi efficace par l’entité financière des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;, et de prendre, sans retard injustifié, des mesures correctives appropriées lorsque les niveaux de service convenus ne sont pas atteints;

      2. les délais de préavis et les obligations de notification du prestataire tiers de services TIC: une entreprise qui fournit des services TIC; à l’entité financière, y compris la notification de tout développement susceptible d’avoir une incidence significative sur la capacité du prestataire tiers de services TIC: une entreprise qui fournit des services TIC; à fournir les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; de manière efficace conformément aux niveaux de service convenus;

      3. l’obligation pour le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; de mettre en œuvre et de tester des plans d’urgence et de mettre en place des mesures, des outils et des politiques de sécurité des TIC qui fournissent un niveau approprié de sécurité en vue de la prestation de services par l’entité financière, conformément à son cadre réglementaire;

      4. l’obligation pour le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; de participer et de coopérer pleinement au test de pénétration fondé sur la menace effectué par l’entité financière visé aux articles 26 et 27;

      5. le droit d’assurer un suivi permanent des performances du prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, qui comprend les éléments suivants:

        1. les droits illimités d’accès, d’inspection et d’audit par l’entité financière ou par une tierce partie désignée, et par l’autorité compétente, et le droit de prendre des copies des documents pertinents sur place s’ils sont essentiels aux activités du prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, dont l’exercice effectif n’est pas entravé ou limité par d’autres accords contractuels ou politiques d’exécution;

        2. le droit de convenir d’autres niveaux d’assurance si les droits d’autres clients sont affectés;

        3. l’obligation pour le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; de coopérer pleinement lors des inspections sur place et des audits effectués par les autorités compétentes, le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement;, l’entité financière ou une tierce partie désignée; et

        4. l’obligation de fournir des précisions sur la portée, les procédures à suivre et la fréquence de ces inspections et audits;

      6. les stratégies de sortie, en particulier la fixation d’une période de transition adéquate obligatoire:

        1. au cours de laquelle le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; continuera à fournir les fonctions ou services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; concernés en vue de réduire le risque de perturbation au niveau de l’entité financière ou d’assurer sa résolution et sa restructuration efficaces;

        2. qui permet à l’entité financière de migrer vers un autre prestataire tiers de services TIC: une entreprise qui fournit des services TIC; ou de recourir à des solutions en interne adaptées à la complexité du service fourni.

    2. Par dérogation au point e), le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; et l’entité financière qui est une microentreprise: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros; peuvent convenir que les droits d’accès, d’inspection et d’audit de l’entité financière peuvent être délégués à une tierce partie indépendante, nommée par le prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, et que l’entité financière est habilitée à demander à la tierce partie, en tout temps, des informations ainsi qu’une garantie concernant la performance du prestataire tiers de services TIC.

    1. Lors de la négociation d’accords contractuels, les entités financières et les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; envisagent l’utilisation de clauses contractuelles types élaborées par les autorités publiques pour des services particuliers.

    1. Les AES élaborent, par l’intermédiaire du comité mixte: le comité visé à l’article 54 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010;, des projets de normes techniques de réglementation visant à préciser davantage les éléments visés au paragraphe 2, point a), qu’une entité financière doit déterminer et évaluer lorsqu’elle sous-traite des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;.

    2. Lorsqu’elles élaborent ces projets de normes techniques de réglementation, les AES tiennent compte de la taille et du profil de risque global de l’entité financière, ainsi que de la nature, de l’ampleur et de la complexité de ses services, activités et opérations.

    3. Les AES soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le 17 juillet 2024.

    4. Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au premier alinéa est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod