Art. 31 Désignation de prestataires tiers critiques de services TIC | DORA regulation | DORA

1. Les AES, agissant par l’intermédiaire du comité mixte: le comité visé à l’article 54 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010; et sur recommandation du forum de supervision établi conformément à l’article 32, paragraphe 1:
  1. désignent les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; qui sont critiques pour les entités financières, à l’issue d’une évaluation tenant compte des critères précisés au paragraphe 2;
  2. désignent comme superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; pour chaque prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; l’AES responsable, conformément aux règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 ou (UE) n^o 1095/2010, des entités financières totalisant ensemble la plus grande part d’actifs de la valeur du total des actifs de toutes les entités financières qui utilisent les services du prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; concerné, sur la base de la somme des bilans individuels de ces entités financières.
1. La désignation visée au paragraphe 1, point a), repose sur l’ensemble des critères suivants en ce qui concerne les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; fournis par le prestataire tiers de services TIC:
  1. l’effet systémique sur la stabilité, la continuité ou la qualité de la fourniture de services financiers dans les cas où le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; concerné serait confronté à une défaillance opérationnelle à grande échelle dans la prestation de ses services, compte tenu du nombre d’entités financières et de la valeur totale des actifs des entités financières auxquelles le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; concerné fournit des services;
  2. le caractère ou l’importance systémique des entités financières qui dépendent du prestataire tiers de services TIC: une entreprise qui fournit des services TIC; concerné, appréciés selon les paramètres suivants:
    
    le nombre d’établissements d’importance systémique mondiale (EISm) ou d’autres établissements d’importance systémique (autres EIS) qui dépendent du prestataire tiers de services TIC: une entreprise qui fournit des services TIC; concerné;
    
    l’interdépendance entre les EISm ou les autres EIS visés au point i) et d’autres entités financières, y compris les situations dans lesquelles les EISm ou les autres EIS fournissent des services d’infrastructure financière à d’autres entités financières;
  3. la dépendance des entités financières à l’égard des services fournis par le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; concerné en ce qui concerne les fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; des entités financières qui font en fin de compte intervenir le même prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, que les entités financières dépendent de ces services directement ou indirectement, par des accords de sous-traitance;
  4. le degré de substituabilité du prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, en tenant compte des paramètres suivants:
    
    l’absence de réelles solutions de substitution, même partielles, en raison du nombre limité de prestataires tiers de services TIC: une entreprise qui fournit des services TIC; actifs sur un marché donné, ou de la part de marché du prestataire tiers de services TIC: une entreprise qui fournit des services TIC; concerné, ou de la complexité ou du degré de sophistication technique en jeu, y compris en ce qui concerne toute technologie propriétaire, ou des caractéristiques spécifiques de l’organisation ou de l’activité du prestataire tiers de services TIC;
    
    des difficultés liées à la migration partielle ou totale des données et des charges de travail pertinentes du prestataire tiers de services TIC: une entreprise qui fournit des services TIC; concerné vers un autre, en raison soit de coûts financiers importants, de contraintes de temps ou d’autres ressources que le processus de migration peut imposer, soit du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; accru ou d’autres risques opérationnels auxquels l’entité financière est susceptible d’être exposée du fait de cette migration.
1. Lorsque le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; appartient à un groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE;, les critères visés au paragraphe 2 sont considérés par rapport aux services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; fournis par l’ensemble du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE;.
1. Les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; qui font partie d’un groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; désignent une personne morale comme point de coordination afin de veiller à une représentation adéquate et à la communication avec le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement;.
1. Le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; notifie au prestataire tiers de services TIC: une entreprise qui fournit des services TIC; les résultats de l’évaluation menée en vue de la désignation visée au paragraphe 1, point a). Dans un délai de six semaines à compter de la notification, le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; peut adresser au superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; une déclaration motivée contenant toute information pertinente aux fins de l’évaluation. Le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; tient compte de la déclaration motivée et peut demander que de plus amples informations soient transmises dans un délai de 30 jours civils à compter de la réception de cette déclaration.
2. Après avoir désigné un prestataire tiers de services TIC: une entreprise qui fournit des services TIC; comme critique, les AES, agissant par l’intermédiaire du comité mixte: le comité visé à l’article 54 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010;, notifient au prestataire tiers de services TIC: une entreprise qui fournit des services TIC; cette désignation ainsi que la date à partir de laquelle il fera effectivement l’objet d’activités de supervision. Cette date est fixée au plus tard un mois après la notification. Le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; notifie aux entités financières auxquelles il fournit des services la désignation le qualifiant de critique.
1. La Commission est habilitée à adopter un acte délégué conformément à l’article 57 pour compléter le présent règlement en précisant davantage les critères visés au paragraphe 2 du présent article, au plus tard le 17 juillet 2024.
1. La désignation visée au paragraphe 1, point a), n’est pas employée tant que la Commission n’a pas adopté un acte délégué conformément au paragraphe 6.
1. La désignation visée au paragraphe 1, point a), ne s’applique pas:
  1. aux entités financières qui fournissent des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; à d’autres entités financières;
  2. aux prestataires tiers de services TIC: une entreprise qui fournit des services TIC; qui sont soumis à des cadres de supervision établis en vue de soutenir les missions visées à l’article 127, paragraphe 2, du traité sur le fonctionnement de l’Union européenne;
  3. aux prestataires tiers de services TIC: une entreprise qui fournit des services TIC; intra-groupe;
  4. aux prestataires tiers de services TIC: une entreprise qui fournit des services TIC; qui fournissent des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; dans un seul État membre à des entités financières qui ne sont actives que dans cet État membre.
1. Les AES, agissant par l’intermédiaire du comité mixte: le comité visé à l’article 54 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010;, établissent, publient et mettent à jour chaque année la liste des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; au niveau de l’Union.
1. Aux fins du paragraphe 1, point a), les autorités compétentes transmettent, sur une base annuelle et agrégée, les rapports visés à l’article 28, paragraphe 3, troisième alinéa, au forum de supervision institué en vertu de l’article 32. Le forum de supervision évalue les relations de dépendance des entités financières à l’égard de prestataires tiers de services TIC: une entreprise qui fournit des services TIC; sur la base des informations reçues des autorités compétentes.
1. Les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; qui ne figurent pas sur la liste visée au paragraphe 9 peuvent demander à être désignés comme critiques conformément au paragraphe 1, point a).
2. Aux fins du premier alinéa, le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; présente une demande motivée à l’ABE, à l’AEMF ou à l’AEAPP, lesquelles, par l’intermédiaire du comité mixte: le comité visé à l’article 54 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010;, décident de désigner ou non ce prestataire tiers de services TIC: une entreprise qui fournit des services TIC; comme critique conformément au paragraphe 1, point a).
3. La décision visée au deuxième alinéa est adoptée et notifiée au prestataire tiers de services TIC: une entreprise qui fournit des services TIC; dans un délai de six mois à compter de la réception de la demande.
1. Les entités financières ne font appel aux services d’un prestataire tiers de services TIC établi dans un pays tiers: un prestataire tiers de services TIC qui est une personne morale établie dans un pays tiers et qui a conclu un accord contractuel avec une entité financière pour la fourniture de services TIC; et ayant été désigné comme critique en vertu du paragraphe 1, point a), que si ce dernier a établi une filiale: une entreprise filiale au sens de l’article 2, point 10), et de l’article 22 de la directive 2013/34/UE; dans l’Union dans un délai de 12 mois à compter de la désignation.
1. Le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; visé au paragraphe 12 notifie au superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; toute modification de la structure de la direction de la filiale: une entreprise filiale au sens de l’article 2, point 10), et de l’article 22 de la directive 2013/34/UE; établie dans l’Union.