Beta

Source: OJ L 333, 27.12.2022, p. 1–79

Current language: FR

Article 42 Suivi par les autorités compétentes

    1. Dans les soixante jours civils suivant la réception des recommandations formulées par le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; conformément à l’article 35, paragraphe 1, point d), les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; notifient au superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; leur intention de suivre les recommandations ou fournissent une explication circonstanciée des raisons pour lesquelles elles ne suivront pas ces recommandations. Le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; transmet immédiatement ces informations aux autorités compétentes des entités financières concernées.

    1. Le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; divulgue publiquement les cas où un prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; ne présente pas au superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; la notification prévue au paragraphe 1 ou ceux où l’explication fournie par le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; n’est pas jugée suffisante. Les informations publiées révèlent l’identité du prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; et contiennent également des informations sur le type et la nature du non-respect. Ces informations sont limitées à ce qui est pertinent et proportionné aux fins de la sensibilisation du public, à moins que cette publication ne soit susceptible de causer un préjudice disproportionné aux parties concernées ou de compromettre gravement le bon fonctionnement et l’intégrité des marchés financiers ou la stabilité de tout ou partie du système financier de l’Union.

    2. Le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; notifie cette divulgation publique au prestataire tiers de services TIC.

    1. Les autorités compétentes informent les entités financières concernées des risques recensés dans les recommandations adressées aux prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; conformément à l’article 35, paragraphe 1, point d).

    2. Lorsqu’elles gèrent le risque lié aux prestataires tiers de services TIC: un risque lié aux TIC auquel une entité financière peut être exposée du fait de son recours à des services TIC fournis par des prestataires tiers de services TIC ou par des sous-traitants, y compris au moyen d’accords d’externalisation;, les entités financières tiennent compte des risques visés au premier alinéa.

    1. Lorsqu’une autorité compétente estime qu’une entité financière ne tient pas compte ou ne prend pas suffisamment en considération, dans le cadre de sa gestion du risque lié aux prestataires tiers de services TIC: un risque lié aux TIC auquel une entité financière peut être exposée du fait de son recours à des services TIC fournis par des prestataires tiers de services TIC ou par des sous-traitants, y compris au moyen d’accords d’externalisation;, des risques spécifiques recensés dans les recommandations, elle informe l’entité financière de la possibilité qu’une décision soit prise, dans un délai de soixante jours civils à compter de la réception d’une telle notification, conformément au paragraphe 6, en l’absence de dispositions contractuelles appropriées visant à parer à ces risques.

    1. Dès qu’elles reçoivent les rapports visés à l’article 35, paragraphe 1, point c), et avant de prendre la décision visée au paragraphe 6 du présent article, les autorités compétentes peuvent, à titre volontaire, consulter les autorités compétentes désignées ou établies conformément à la directive (UE) 2022/2555, responsables de la supervision d’une entité essentielle ou importante relevant de ladite directive, qui a été désignée comme un prestataire tiers critique de services TIC.

    1. Les autorités compétentes peuvent, en dernier recours, après la notification et, le cas échéant, la consultation visée aux paragraphes 4 et 5 du présent article, conformément à l’article 50, exiger des entités financières qu’elles suspendent temporairement, en partie ou en totalité, l’utilisation ou le déploiement d’un service fourni par le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, jusqu’à ce que les risques identifiés dans les recommandations adressées aux prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; aient été écartés. Le cas échéant, elles peuvent exiger des entités financières qu’elles résilient, en partie ou en totalité, les accords contractuels concernés conclus avec les prestataires tiers critiques de services TIC.

    1. Lorsqu’un prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; refuse d’approuver des recommandations, en se fondant sur une approche qui diverge de celle recommandée par le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement;, et que cette approche divergente pourrait avoir une incidence négative sur un grand nombre d’entités financières, ou sur une partie importante du secteur financier, et que les alertes individuelles émises par les autorités compétentes n’ont pas abouti à des approches cohérentes permettant d’atténuer le risque potentiel pour la stabilité financière, le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; peut, après avoir consulté le forum de supervision, émettre des avis non contraignants et non publics à l’intention des autorités compétentes, afin de promouvoir des mesures de suivi cohérentes et convergentes en matière de supervision, s’il y a lieu.

    1. Dès réception des rapports visés à l’article 35, paragraphe 1, point c), les autorités compétentes, lorsqu’elles prennent la décision visée au paragraphe 6 du présent article, tiennent compte du type et de l’ampleur des risques qui n’ont pas été écartés par le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, ainsi que de la gravité de la non-conformité, au regard des critères suivants, en examinant:

      1. la gravité et la durée de la non-conformité;

      2. si la non-conformité a révélé de graves faiblesses dans les procédures, les systèmes de gestion, la gestion des risques et les contrôles internes du prestataire tiers critique de services TIC;

      3. si un délit financier a été facilité ou occasionné par la non-conformité ou est imputable, d’une quelconque manière, à cette non-conformité;

      4. si la non-conformité est délibérée ou résulte d’une négligence;

      5. si la suspension ou la résiliation des accords contractuels entraîne un risque pour la continuité des activités de l’entité financière, en dépit des efforts déployés par l’entité financière pour éviter toute perturbation dans la fourniture de ses services;

      6. le cas échéant, l’avis, sollicité à titre volontaire conformément au paragraphe 5 du présent article, des autorités compétentes désignées ou établies conformément à la directive (UE) 2022/2555, responsables de la supervision d’une entité essentielle ou importante relevant de ladite directive, qui a été désignée en tant que prestataire tiers critique de services TIC.

    2. Les autorités compétentes accordent aux entités financières le délai nécessaire pour leur permettre d’adapter les accords contractuels conclus avec des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, afin d’éviter des effets préjudiciables sur leur résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; et de leur permettre de déployer les stratégies de sortie et les plans de transition visés à l’article 28.

    1. La décision visée au paragraphe 6 du présent article est notifiée aux membres du forum de supervision visés à l’article 32, paragraphe 4, points a), b) et c), ainsi qu’au réseau de supervision commun.

    2. Les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; concernés par les décisions prévues au paragraphe 6 coopèrent pleinement avec les entités financières affectées, en particulier dans le cadre du processus de suspension ou de résiliation de leurs accords contractuels.

    1. Les autorités compétentes informent régulièrement le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; des approches suivies et des mesures prises dans le cadre de leurs tâches de surveillance des entités financières, ainsi que des accords contractuels conclus par les entités financières lorsque des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; n’ont pas suivi, en partie ou en totalité, les recommandations qui leur ont été adressées par le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement;.

    1. Le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; peut, sur demande, fournir des précisions supplémentaires sur les recommandations émises afin de donner des orientations aux autorités compétentes concernant les mesures de suivi.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod