Recital 79 Risks posed by critical ICT third-party providers

La transformation numérique que connaissent les services financiers a entraîné un niveau d’utilisation et de dépendance sans précédent à l’égard des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;. Étant donné qu’il est devenu inconcevable de fournir des services financiers sans recourir aux services d’informatique en nuage, aux solutions logicielles et aux services liés aux données, l’écosystème financier de l’Union est devenu intrinsèquement codépendant de certains services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; fournis par des prestataires de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;. Certains de ces prestataires, innovants dans l’élaboration et l’application de technologies fondées sur les TIC, jouent un rôle considérable dans la fourniture de services financiers ou se sont intégrés dans la chaîne de valeur des services financiers. Ils sont donc devenus essentiels pour la stabilité et l’intégrité du système financier de l’Union. Cette dépendance généralisée à l’égard des services fournis par des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, associée à l’interdépendance des systèmes d’information de divers opérateurs de marché, crée un risque direct, et potentiellement grave, pour le système de services financiers de l’Union et pour la continuité de la fourniture des services financiers si des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; venaient à subir des perturbations opérationnelles ou des cyberincidents majeurs. Les cyberincidents ont une capacité particulière à se multiplier et à se propager dans l’ensemble du système financier à un rythme beaucoup plus rapide que les autres types de risques faisant l’objet d’un suivi dans le secteur financier et peuvent s’étendre à d’autres secteurs et au-delà des frontières géographiques. Ils sont susceptibles d’évoluer en une crise systémique, dans le cadre de laquelle la confiance dans le système financier est érodée en raison de la perturbation des fonctions qui sous-tendent l’économie réelle ou de pertes financières considérables, atteignant un niveau auquel le système financier n’est pas en mesure de faire face, ou qui nécessite le déploiement d’importantes mesures d’absorption des chocs. Afin d’éviter que ces scénarios se produisent et mettent ainsi en péril la stabilité financière et l’intégrité de l’Union, il est essentiel de veiller à la convergence des pratiques de surveillance relatives aux risques liés aux prestataires tiers de services TIC: une entreprise qui fournit des services TIC; dans le secteur financier, en particulier au moyen de nouvelles règles permettant à l’Union de superviser les prestataires tiers critiques de services TIC.