Source: OJ L, 2025/295, 13.2.2025
Current language: FR
RTS on harmonisation for oversight conduct
RÈGLEMENT DÉLÉGUÉ (UE) 2025/295 DE LA COMMISSION
du 24 octobre 2024
complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par des normes techniques de réglementation relatives à l’harmonisation des conditions permettant l’exercice des activités de supervision
(Texte présentant de l’intérêt pour l’EEE)
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011(1)JO L 333 du 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj., et notamment son article 41, paragraphe 2, deuxième alinéa,
considérant ce qui suit:
Considérant 1 Union oversight framework for critical ICT third-party service providers
Le cadre sur la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; du secteur financier établi par le règlement (UE) 2022/2554 introduit un cadre de supervision de l’Union pour les prestataires tiers de services de technologies de l’information et de la communication (TIC) du secteur financier désignés comme critiques conformément à l’article 31 dudit règlement.
Considérant 2 Voluntary designation as critical
Un prestataire tiers de services TIC: une entreprise qui fournit des services TIC; qui décide de présenter une demande de désignation volontaire en tant que prestataire critique devrait fournir à l’autorité européenne de surveillance (AES) destinataire toutes les informations nécessaires afin de démontrer son caractère critique, conformément aux principes et critères énoncés dans le règlement (UE) 2022/2554. C’est pourquoi les informations à inclure dans la demande de désignation volontaire devraient être suffisamment détaillées et complètes pour permettre une évaluation claire et complète du caractère critique au titre de l’article 31, paragraphe 11, dudit règlement. L’AES compétente devrait rejeter toute demande incomplète et demander les informations manquantes.
Considérant 3 Legal identification of critical ICT third-party service providers
L’identification juridique des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; relevant du champ d’application de la présente norme technique de réglementation devrait être alignée sur le code d’identification défini dans le règlement d’exécution de la Commission adopté conformément à l’article 28, paragraphe 9, du règlement (UE) 2022/2554.
Considérant 4 Follow-up of Lead Overseer's recommendations
Dans le cadre du suivi des recommandations formulées par le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; à l’intention des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, ce dernier devrait contrôler le respect des recommandations par lesdits prestataires. Afin d’assurer un suivi efficient et efficace des mesures qui ont été prises ou des solutions qui ont été mises en œuvre par les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; en ce qui concerne ces recommandations, le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; devrait pouvoir demander les rapports visés à l’article 35, paragraphe 1, point c), du règlement (UE) 2022/2554, qui devraient être considérés comme des rapports d’avancement intermédiaires et des rapports finaux.
Considérant 5 Lead Overseer's assessment of remediation plans
Aux fins de l’évaluation visée à l’article 42, paragraphe 1, du règlement (UE) 2022/2554, selon laquelle le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; est tenu d’évaluer si les explications fournies par le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; sont suffisantes, la notification au superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; par le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; de son intention de suivre les recommandations reçues devrait être complétée par une description des actions et des mesures qui ont été prises pour atténuer les risques exposés dans les recommandations, ainsi que de leurs délais respectifs. Cette explication devrait prendre la forme d’un plan de mesures correctives.
Considérant 6 Template for subcontracting arrangements
Étant donné que le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; est censé évaluer les accords de sous-traitance du prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, un modèle doit être élaboré pour fournir des informations sur ces accords. Le modèle devrait tenir compte du fait que les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; ont des structures différentes de celles des entités financières.
Considérant 7 Information sharing after issuing recommendations
Une fois que les recommandations adressées à un prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; ont été émises par le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; et que les autorités compétentes ont informé les entités financières concernées des risques recensés dans ces recommandations, le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; devrait suivre et évaluer la mise en œuvre, par le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, des mesures et des solutions visant au respect des recommandations. Les autorités compétentes devraient surveiller et évaluer dans quelle mesure les entités financières sont exposées aux risques recensés dans ces recommandations. Afin de maintenir des conditions de concurrence équitables en accomplissant leurs tâches respectives, en particulier lorsque les risques recensés dans les recommandations sont graves et partagés entre un grand nombre d’entités financières dans plusieurs États membres, tant les autorités compétentes que le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; devraient s’échanger toutes les constatations pertinentes qui leur sont nécessaires pour s’acquitter des missions qui leur incombent respectivement. L’objectif du partage d’informations est de faire en sorte que le retour d’information du superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; au prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; en ce qui concerne les actions et les mesures correctives que ce dernier met en œuvre tienne compte de l’incidence sur les risques pour les entités financières, et que les activités de surveillance exercées par les autorités compétentes soient étayées par l’évaluation effectuée par le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement;.
Considérant 8 Risk assessments by competent authorities
Afin de permettre un partage efficace et efficient des informations, les autorités compétentes devraient évaluer, dans le cadre de leurs activités de surveillance, dans quelle mesure les entités financières qu’elles surveillent sont exposées aux risques recensés dans les recommandations. Cette évaluation devrait être effectuée d’une manière proportionnée et fondée sur les risques. Le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; devrait demander aux autorités compétentes de partager les résultats de cette évaluation dans les cas spécifiques où les risques associés aux recommandations sont graves et partagés entre un grand nombre d’entités financières dans plusieurs États membres. Afin d’utiliser au mieux les ressources des autorités compétentes lorsqu’il demande de fournir les résultats de cette évaluation, le superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; devrait toujours tenir compte du fait que l’objectif de ces demandes est d’évaluer la mise en œuvre des mesures et des solutions des prestataires tiers critiques de services TIC.
Considérant 9 Processing of personal data
Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil(2)Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). et a rendu un avis le 22 juillet 2024.
Considérant 10 Draft regulatory technical standards from ESAs
Le présent règlement se fonde sur le projet de normes techniques de réglementation soumis à la Commission par les AES.
Considérant 11 Open public consultations
Le comité mixte: le comité visé à l’article 54 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010; des AES a procédé à des consultations publiques ouvertes sur les projets de normes techniques de réglementation sur lesquels se fonde le présent règlement, analysé les coûts et avantages potentiels qu’ils impliquent et sollicité l’avis du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées au secteur bancaire institué en application de l’article 37 du règlement (UE) no 1093/2010 du Parlement européen et du Conseil(3)Règlement (UE) no 1093/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité bancaire européenne), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/78/CE de la Commission (JO L 331 du 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées à l’assurance et la réassurance et du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées aux pensions professionnelles institués en application de l’article 37 du règlement (UE) no 1094/2010 du Parlement européen et du Conseil(4)Règlement (UE) no 1094/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des assurances et des pensions professionnelles), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/79/CE de la Commission (JO L 331 du 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). et du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées au secteur financier institué en application de l’article 37 du règlement (UE) no 1095/2010 du Parlement européen et du Conseil(5)Règlement (UE) no 1095/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des marchés financiers), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/77/CE de la Commission (JO L 331 du 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj).,
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
- Article premierInformations que doit fournir un prestataire tiers de services TIC dans la demande de désignation volontaire en tant que prestataire critique
- Article 2Contenu, structure et format des informations devant être soumises, divulguées ou communiquées par les prestataires tiers critiques de services TIC
- Article 3Informations communiquées par des prestataires tiers critiques de services TIC après la formulation de recommandations
- Article 4Structure et format des informations fournies par les prestataires tiers critiques de services TIC
- Article 5Modèle pour la fourniture d’informations sur les accords de sous-traitance
- Article 6Évaluation par les autorités compétentes des risques traités dans les recommandations du superviseur principal
- Article 7Entrée en vigueur
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 24 octobre 2024.
Par la Commission
La présidente
Ursula VON DER LEYEN