Beta

Source: OJ L 333, 27.12.2022, p. 1–79

Current language: FR

Article 33 Tâches du superviseur principal

    1. Le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement;, désigné conformément à l’article 31, paragraphe 1, point b), assure la supervision des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; assignés et est, aux fins de toutes les questions liées à la supervision, le premier point de contact de ces prestataires tiers critiques de services TIC.

    1. Aux fins du paragraphe 1, le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; détermine si chaque prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; a mis en place des règles, des procédures, des mécanismes et des dispositifs complets, solides et efficaces pour gérer le risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; qu’il est susceptible de faire peser sur les entités financières.

    2. L’évaluation visée au premier alinéa porte essentiellement sur les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; fournis par le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; qui soutient les fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; des entités financières. Lorsque cela est nécessaire pour parer à tous les risques pertinents, cette évaluation s’étend aux services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; qui soutiennent des fonctions autres que celles qui sont critiques ou importantes.

    1. L’évaluation visée au paragraphe 2 comprend:

      1. des exigences en matière de TIC pour garantir, en particulier, la sécurité, la disponibilité, la continuité, l’extensibilité et la qualité des services que le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; fournit aux entités financières, ainsi que la capacité à maintenir à tout moment des normes élevées de disponibilité, d’authenticité, d’intégrité ou de confidentialité des données;

      2. la sécurité physique qui contribue à assurer la sécurité des TIC, y compris la sécurité des locaux, des installations et des centres de données;

      3. les processus de gestion des risques, y compris les politiques de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, la politique de continuité des activités de TIC et les plans de réponse et de rétablissement des TIC;

      4. les modalités de gouvernance, notamment une structure organisationnelle comportant des lignes de responsabilité et des règles d’imputabilité claires, transparentes et cohérentes permettant une gestion efficace du risque lié aux TIC;

      5. le recensement et le suivi des incidents importants liés aux TIC, ainsi que leur notification rapide aux entités financières, la gestion et la résolution de ces incidents, en particulier les cyberattaques: un incident lié aux TIC malveillant causé par une tentative de destruction, d’exposition, de modification, de désactivation, de vol, d’utilisation non autorisée d’un actif ou d’accès non autorisé à celui-ci, perpétrée par un acteur de la menace;;

      6. les mécanismes relatifs à la portabilité des données, à la portabilité des applications et à l’interopérabilité, qui garantissent un exercice effectif des droits de résiliation par les entités financières;

      7. les tests des systèmes, des infrastructures et des contrôles de TIC;

      8. les audits des TIC;

      9. l’utilisation des normes nationales et internationales pertinentes applicables à la fourniture de ses services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; aux entités financières.

    1. Sur la base de l’évaluation visée au paragraphe 2 et en coordination avec le réseau de supervision commun visé à l’article 34, paragraphe 1, le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; adopte un plan de supervision individuel clair, détaillé et motivé décrivant les objectifs annuels de supervision et les principales actions de supervision prévues pour chaque prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;. Ce plan est communiqué chaque année au prestataire tiers critique de services TIC.

    2. Avant l’adoption du plan de supervision, le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; communique le projet de plan de surveillance au prestataire tiers critique de services TIC.

    3. Dès réception du projet de plan de supervision, le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; peut présenter, dans un délai de quinze jours civils, une déclaration motivée dans laquelle il démontre l’incidence attendue sur les clients qui sont des entités ne relevant pas du champ d’application du présent règlement et formule, le cas échéant, des solutions pour atténuer les risques.

    1. Une fois que les plans annuels de supervision visés au paragraphe 4 ont été adoptés et notifiés aux prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, les autorités compétentes ne peuvent prendre des mesures concernant les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; qu’en accord avec le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement;.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod