Beta

Source: OJ L 333, 27.12.2022, p. 1–79

Current language: FR

Article 35 Pouvoirs du superviseur principal

    1. Aux fins de l’exécution des tâches prévues dans la présente section, le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; dispose des pouvoirs suivants en ce qui concerne les prestataires tiers critiques de services TIC:

      1. demander l’ensemble des informations et des documents pertinents conformément à l’article 37;

      2. mener des enquêtes et des inspections générales conformément à l’article 38 et à l’article 39, respectivement;

      3. demander, au terme des activités de supervision, des rapports dans lesquels sont précisées les mesures qui ont été prises ou les solutions qui ont été mises en œuvre par les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; en ce qui concerne les recommandations visées au point d) du présent paragraphe;

      4. formuler des recommandations dans les domaines visés à l’article 33, paragraphe 3, notamment en ce qui concerne:

        1. le recours à des exigences ou à des processus spécifiques de sécurité et de qualité en matière de TIC, en particulier en ce qui concerne le déploiement de correctifs, de mises à jour, de mesures de chiffrement et d’autres mesures de sécurité que le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; juge pertinentes pour garantir la sécurité en matière de TIC des services fournis aux entités financières;

        2. le recours à des conditions et des modalités, y compris leur mise en œuvre technique, en vertu desquelles les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; fournissent des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; aux entités financières, que le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; juge pertinentes pour prévenir l’émergence de points uniques de défaillance ou leur amplification, ou pour réduire au maximum l’effet systémique éventuel dans l’ensemble du secteur financier de l’Union en cas de risque de concentration informatique;

        3. toute sous-traitance envisagée, lorsque le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; estime que la poursuite de la sous-traitance, y compris les accords d’externalisation que les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; prévoient de conclure avec des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; ou avec des sous-traitants de TIC établis dans un pays tiers: un sous-traitant de TIC qui est une personne morale établie dans un pays tiers et qui a conclu un accord contractuel soit avec un prestataire tiers de services TIC, soit avec un prestataire tiers de services TIC établi dans un pays tiers;, peut entraîner des risques pour la fourniture de services par l’entité financière ou des risques pour la stabilité financière, sur la base de l’examen des informations recueillies conformément aux articles 37 et 38;

        4. l’abstention de conclure un nouvel accord de sous-traitance, lorsque les conditions cumulatives suivantes sont remplies:

          1. le sous-traitant envisagé est un prestataire tiers de services TIC: une entreprise qui fournit des services TIC; ou un sous-traitant de TIC établi dans un pays tiers: un sous-traitant de TIC qui est une personne morale établie dans un pays tiers et qui a conclu un accord contractuel soit avec un prestataire tiers de services TIC, soit avec un prestataire tiers de services TIC établi dans un pays tiers;,

          2. la sous-traitance concerne des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; de l’entité financière, et

          3. le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; estime que le recours à la sous-traitance présente un risque clair et sérieux pour la stabilité financière de l’Union ou pour les entités financières, y compris en ce qui concerne la capacité des entités financières à se conformer aux exigences prudentielles.

        Aux fins du point iv) du présent point, les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; transmettent au superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement;, en utilisant le modèle visé à l’article 41, paragraphe 1, point b), les informations relatives à la sous-traitance.

    1. Lorsqu’il exerce les pouvoirs visés au présent article, le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement;:

      1. assure une coordination régulière au sein du réseau de supervision commun et, en particulier, s’efforce d’adopter des approches cohérentes, le cas échéant, en ce qui concerne la supervision des prestataires tiers critiques de services TIC;

      2. tient dûment compte du cadre établi par la directive (UE) 2022/2555 et, s’il y a lieu, consulte les autorités compétentes concernées désignées ou établies conformément à ladite directive, afin d’éviter la duplication des mesures techniques et organisationnelles qui pourraient s’appliquer aux prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; en vertu de ladite directive;

      3. s’efforce de réduire au minimum, dans la mesure du possible, le risque de perturbation des services fournis par des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; à des clients qui sont des entités ne relevant pas du champ d’application du présent règlement.

    1. Le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; consulte le forum de supervision avant d’exercer les pouvoirs visés au paragraphe 1.

    2. Avant de formuler des recommandations conformément au paragraphe 1, point d), le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; donne au prestataire tiers de services TIC: une entreprise qui fournit des services TIC; la possibilité de fournir, dans un délai de trente jours civils, des informations pertinentes dans lesquelles il démontre l’incidence attendue sur les clients qui sont des entités ne relevant pas du champ d’application du présent règlement et, le cas échéant, formule des solutions pour atténuer les risques.

    1. Le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; informe le réseau de supervision commun du résultat de l’exercice des pouvoirs visés au paragraphe 1, points a) et b). Le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; transmet sans retard injustifié les rapports visés au paragraphe 1, point c), au réseau de supervision commun et aux autorités compétentes des entités financières qui utilisent les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; de ce prestataire tiers critique de services TIC.

    1. Les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; coopèrent de bonne foi avec le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement;, et l’assistent dans l’accomplissement de ses tâches.

    1. En cas de non-respect total ou partiel des mesures à adopter en vertu de l’exercice des pouvoirs visés au paragraphe 1, points a), b) et c), et après l’expiration d’un délai d’au moins trente jours civils à compter de la date à laquelle le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; a reçu notification des mesures correspondantes, le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; adopte une décision imposant une astreinte pour obliger le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; à se conformer à ces mesures.

    1. L’astreinte visée au paragraphe 6 est imposée sur une base journalière jusqu’à ce que la conformité soit atteinte et pendant une période maximale de six mois à compter de la notification au prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; de la décision d’imposer une astreinte.

    1. Le montant de l’astreinte, calculé à partir de la date indiquée dans la décision d’astreinte, est égal à 1 % au maximum du chiffre d’affaires quotidien moyen réalisé au niveau mondial par le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; au cours de l’exercice précédent. Lorsqu’il détermine le montant de l’astreinte, le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; tient compte des critères suivants concernant le non-respect des mesures visées au paragraphe 6:

      1. la gravité et la durée du non-respect;

      2. si le non-respect est délibéré ou résulte d’une négligence;

      3. le niveau de coopération du prestataire tiers de services TIC: une entreprise qui fournit des services TIC; avec le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement;.

    2. Aux fins du premier alinéa, afin de garantir une approche cohérente, le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; procède à des consultations au sein du réseau de supervision commun.

    1. Les astreintes sont de nature administrative et sont exécutoires. L’exécution forcée est régie par les règles de la procédure civile en vigueur dans l’État membre sur le territoire duquel les inspections sont effectuées et l’accès accordé. Les juridictions de l’État membre concerné sont compétentes pour statuer sur les plaintes relatives à un comportement abusif en matière d’exécution. Les montants des astreintes sont affectés au budget général de l’Union européenne.

    1. Le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; rend publique toute astreinte infligée, sauf dans les cas où cette publication perturberait gravement les marchés financiers ou causerait un préjudice disproportionné aux parties en cause.

    1. Avant d’imposer une astreinte en vertu du paragraphe 6, le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; donne aux représentants du prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; faisant l’objet de la procédure la possibilité d’être entendus sur les conclusions et ne fonde ses décisions que sur les conclusions sur lesquelles le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; faisant l’objet de la procédure a eu la possibilité de formuler des observations.

    2. Les droits de la défense des personnes faisant l’objet de la procédure sont pleinement assurés au cours de la procédure. Le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; faisant l’objet de la procédure dispose d’un droit d’accès au dossier, sous réserve de l’intérêt légitime d’autres personnes à ce que leurs secrets d’affaires ne soient pas divulgués. Le droit d’accès au dossier ne s’étend pas aux informations confidentielles ni aux documents préparatoires internes du superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement;.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod