Article 32 Structure du cadre de supervision

1. Le comité mixte: le comité visé à l’article 54 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010; institue, conformément à l’article 57, paragraphe 1, des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010, le forum de supervision en tant que sous-comité dans le but de soutenir les travaux du comité mixte: le comité visé à l’article 54 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010; et du superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; visé à l’article 31, paragraphe 1, point b), dans le domaine des risques liés aux prestataires tiers de services TIC: une entreprise qui fournit des services TIC; dans les différents secteurs financiers. Le forum de supervision prépare les projets de positions communes et d’actes communs du comité mixte: le comité visé à l’article 54 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010; dans ce domaine.
2. Le forum de supervision examine régulièrement les évolutions pertinentes en matière de risques et de vulnérabilités des TIC et promeut une approche cohérente dans le suivi des risques liés aux prestataires tiers de services TIC: une entreprise qui fournit des services TIC; au niveau de l’Union.
1. Le forum de supervision procède chaque année à une évaluation collective des résultats et des conclusions des activités de supervision menées pour l’ensemble des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; et promeut des mesures de coordination visant à accroître la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; des entités financières, à encourager les bonnes pratiques en matière de gestion du risque de concentration informatique et à envisager des mesures d’atténuation des transferts de risques intersectoriels.
1. Le forum de supervision soumet des indices de référence exhaustifs concernant les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, qui seront adoptés par le comité mixte: le comité visé à l’article 54 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010; en tant que positions communes des AES, conformément à l’article 56, paragraphe 1, des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010.
1. Le forum de supervision se compose:
  1. des présidents des AES;
  2. d’un représentant de haut niveau du personnel en poste de l’autorité compétente concernée de chaque État membre, visée à l’article 46;
  3. des directeurs exécutifs de chaque AES et d’un représentant de la Commission, du CERS, de la BCE et de l’ENISA, en qualité d’observateurs;
  4. s’il y a lieu, d’un représentant supplémentaire d’une autorité compétente visée à l’article 46, de chaque État membre, en qualité d’observateur;
  5. le cas échéant, d’un représentant des autorités compétentes désignées ou établies conformément à la directive (UE) 2022/2555, responsables de la supervision d’une entité essentielle ou importante relevant de ladite directive, qui a été désignée en tant que prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, en qualité d’observateur.
2. Le forum de supervision peut, le cas échéant, demander l’avis d’experts indépendants désignés conformément au paragraphe 6.
1. Chaque État membre désigne l’autorité compétente concernée dont le membre du personnel est le représentant de haut niveau visé au paragraphe 4, premier alinéa, point b), et en informe le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement;.
2. Les AES publient sur leur site internet la liste des représentants de haut niveau désignés par les États membres au sein de l’actuel personnel de l’autorité compétente concernée.
1. Les experts indépendants visés au paragraphe 4, deuxième alinéa, sont désignés par le forum de supervision parmi un groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; d’experts sélectionnés à l’issue d’une procédure de candidature publique et transparente.
2. Les experts indépendants sont désignés sur la base de leur expertise en matière de stabilité financière, de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; et de questions de sécurité des TIC. Ils agissent en toute indépendance et objectivité dans le seul intérêt de l’ensemble de l’Union et ne sollicitent ni ne suivent aucune instruction émanant des institutions ou organes de l’Union, des gouvernements des États membres ou d’autres entités publiques ou privées.
1. Conformément à l’article 16 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010, les AES publient, au plus tard le 17 juillet 2024, aux fins de la présente section, des orientations sur la coopération entre les AES et les autorités compétentes concernant les procédures et les conditions détaillées relatives à la répartition et à l’exécution des tâches entre les autorités compétentes et les AES, ainsi que les modalités des échanges d’informations qui sont nécessaires aux autorités compétentes pour assurer le suivi des recommandations, conformément à l’article 35, paragraphe 1, point d), adressées aux prestataires tiers critiques de services TIC.
1. Les exigences énoncées dans la présente section sont sans préjudice de l’application de la directive (UE) 2022/2555 et des autres règles de l’Union en matière de supervision applicables aux fournisseurs de services d’informatique en nuage.
1. Les AES, agissant par l’intermédiaire du comité mixte: le comité visé à l’article 54 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010; et sur la base des travaux préparatoires menés par le forum de supervision, présentent, une fois par an, un rapport sur l’application de la présente section au Parlement européen, au Conseil et à la Commission.

Relevant recitals

Considérant 31 Oversight framework for ICT third-party service providers

Compte tenu du risque systémique potentiel induit par des pratiques accrues d’externalisation et par la concentration des dépendances à l’égard des prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, et eu égard à l’insuffisance des mécanismes nationaux fournissant aux autorités de surveillance financière des outils adéquats permettant de quantifier et de qualifier le risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; se produisant chez les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; et de remédier à leurs conséquences, il est nécessaire de mettre en place un cadre de supervision approprié permettant d’assurer un suivi continu des activités des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; qui sont des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; pour les entités financières, tout en veillant à ce que la confidentialité et la sécurité des clients autres que les entités financières soient préservées. Bien que la fourniture de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; intra-groupe comporte des risques et des avantages spécifiques, elle ne devrait pas être automatiquement considérée comme moins risquée que la fourniture de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; par des prestataires extérieurs à un groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; financier, et devrait donc être soumise au même cadre réglementaire. Toutefois, lorsque les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; sont fournis au sein du même groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; financier, les entités financières peuvent avoir un contrôle plus strict sur les prestataires intra-groupe, ce qui doit être pris en considération dans l’évaluation générale des risques.

Considérant 76 Oversight Framework for critical ICT third-party providers

Afin de promouvoir la convergence et l’efficacité des approches des autorités de surveillance lorsqu’elles traitent le risque lié aux prestataires tiers de services TIC: un risque lié aux TIC auquel une entité financière peut être exposée du fait de son recours à des services TIC fournis par des prestataires tiers de services TIC ou par des sous-traitants, y compris au moyen d’accords d’externalisation; dans le secteur financier, ainsi que de renforcer la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; des entités financières qui dépendent de prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; pour la prestation de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; qui soutiennent la fourniture de services financiers, et de contribuer ainsi à préserver la stabilité du système financier de l’Union et l’intégrité du marché intérieur des services financiers, les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; devraient être soumis à un cadre de supervision de l’Union. Bien que la mise en place du cadre de supervision soit justifiée par la valeur ajoutée d’une action au niveau de l’Union et en vertu du rôle et des spécificités inhérents à l’utilisation des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; dans la fourniture de services financiers, il convient dans le même temps de rappeler que cette solution ne semble appropriée que dans le contexte du présent règlement, qui traite spécifiquement de la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; dans le secteur financier. Toutefois, ce cadre de supervision ne devrait pas être considéré comme un nouveau modèle de surveillance par l’Union dans les domaines des services et activités financiers.

Considérant 79 Risks posed by critical ICT third-party providers

La transformation numérique que connaissent les services financiers a entraîné un niveau d’utilisation et de dépendance sans précédent à l’égard des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;. Étant donné qu’il est devenu inconcevable de fournir des services financiers sans recourir aux services d’informatique en nuage, aux solutions logicielles et aux services liés aux données, l’écosystème financier de l’Union est devenu intrinsèquement codépendant de certains services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; fournis par des prestataires de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;. Certains de ces prestataires, innovants dans l’élaboration et l’application de technologies fondées sur les TIC, jouent un rôle considérable dans la fourniture de services financiers ou se sont intégrés dans la chaîne de valeur des services financiers. Ils sont donc devenus essentiels pour la stabilité et l’intégrité du système financier de l’Union. Cette dépendance généralisée à l’égard des services fournis par des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, associée à l’interdépendance des systèmes d’information de divers opérateurs de marché, crée un risque direct, et potentiellement grave, pour le système de services financiers de l’Union et pour la continuité de la fourniture des services financiers si des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; venaient à subir des perturbations opérationnelles ou des cyberincidents majeurs. Les cyberincidents ont une capacité particulière à se multiplier et à se propager dans l’ensemble du système financier à un rythme beaucoup plus rapide que les autres types de risques faisant l’objet d’un suivi dans le secteur financier et peuvent s’étendre à d’autres secteurs et au-delà des frontières géographiques. Ils sont susceptibles d’évoluer en une crise systémique, dans le cadre de laquelle la confiance dans le système financier est érodée en raison de la perturbation des fonctions qui sous-tendent l’économie réelle ou de pertes financières considérables, atteignant un niveau auquel le système financier n’est pas en mesure de faire face, ou qui nécessite le déploiement d’importantes mesures d’absorption des chocs. Afin d’éviter que ces scénarios se produisent et mettent ainsi en péril la stabilité financière et l’intégrité de l’Union, il est essentiel de veiller à la convergence des pratiques de surveillance relatives aux risques liés aux prestataires tiers de services TIC: une entreprise qui fournit des services TIC; dans le secteur financier, en particulier au moyen de nouvelles règles permettant à l’Union de superviser les prestataires tiers critiques de services TIC.

Considérant 87 Designation of Lead Overseer by preponderance

Afin que les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; fassent l’objet d’une supervision appropriée et efficace à l’échelle de l’Union, le présent règlement prévoit que l’une des trois AES pourrait être désignée comme superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement;. L’assignation individuelle d’un prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; à l’une des trois AES devrait découler d’une évaluation de la prépondérance des entités financières opérant dans les secteurs financiers pour lesquels cette AES assume des responsabilités. Cette approche devrait conduire à une répartition équilibrée des tâches et des responsabilités entre les trois AES, dans le contexte de l’exercice des fonctions de supervision, et devrait permettre une utilisation optimale des ressources humaines et de l’expertise technique disponibles dans chacune des trois AES.

Considérant 91 Operational principles for oversight

L’exercice de la supervision devrait être fondé sur trois principes opérationnels visant: a) une coopération étroite entre les AES dans leur rôle de superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement;, au moyen d’un réseau de supervision commun, b) la cohérence avec le cadre établi par la directive (UE) 2022/2555 (par une consultation volontaire des organismes relevant de ladite directive afin d’éviter la duplication des mesures visant les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;), et c) l’application d’une diligence afin de réduire au minimum l’éventuel risque de perturbation des services fournis par les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; aux clients qui sont des entités ne relevant pas du champ d’application du présent règlement.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.