Recital 31 Oversight framework for ICT third-party service providers

Compte tenu du risque systémique potentiel induit par des pratiques accrues d’externalisation et par la concentration des dépendances à l’égard des prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, et eu égard à l’insuffisance des mécanismes nationaux fournissant aux autorités de surveillance financière des outils adéquats permettant de quantifier et de qualifier le risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; se produisant chez les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; et de remédier à leurs conséquences, il est nécessaire de mettre en place un cadre de supervision approprié permettant d’assurer un suivi continu des activités des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; qui sont des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; pour les entités financières, tout en veillant à ce que la confidentialité et la sécurité des clients autres que les entités financières soient préservées. Bien que la fourniture de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; intra-groupe comporte des risques et des avantages spécifiques, elle ne devrait pas être automatiquement considérée comme moins risquée que la fourniture de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; par des prestataires extérieurs à un groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; financier, et devrait donc être soumise au même cadre réglementaire. Toutefois, lorsque les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; sont fournis au sein du même groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; financier, les entités financières peuvent avoir un contrôle plus strict sur les prestataires intra-groupe, ce qui doit être pris en considération dans l’évaluation générale des risques.