Beta

Source: OJ L, 2025/295, 13.2.2025

Current language: FR

Annexe Modèle pour le partage d’informations sur les accords de sous-traitance

Catégorie d’information

Éléments d’information clés

Informations générales

  • Nom du prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;.

  • Code d’identification du prestataire tiers critique de services TIC.

  • Nom de la personne de contact et coordonnées du prestataire tiers critique de services TIC.

  • Date de présentation du modèle.

Vue d’ensemble des accords de sous-traitance

  • Cartographie des accords de sous-traitance, y compris une brève description de l’objet et de la portée des relations de sous-traitance (notamment une indication du niveau de criticité ou de l’importance des accords de sous-traitance pour le prestataire tiers critique de services TIC).

  • Spécification et description des types de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; sous-traités et de leur importance par rapport aux services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; fournis à des entités financières, conformément aux normes techniques d’exécution adoptées en vertu de l’article 28, paragraphe 9, du règlement (UE) 2022/2554.

  • Pour préciser les types de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;, veuillez vous référer à la liste figurant à l’annexe IV des normes techniques d’exécution adoptées en vertu de l’article 28, paragraphe 9, du règlement (UE) 2022/2554.

Informations relatives aux sous-traitants

  • Nom et coordonnées de l’entité juridique (y compris le code d’identification) de chaque sous-traitant.

  • Coordonnées des membres du personnel responsables de chacune des relations de sous-traitance dans la structure de gestion du prestataire tiers critique de services TIC.

  • Vue d’ensemble, pour chaque sous-traitant, de l’expertise, de l’expérience et des qualifications liées aux services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; visés par le contrat.

Description des services fournis par les sous-traitants

  • Description détaillée des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; spécifiques fournis par chaque sous-traitant.

  • Délimitation des responsabilités et des tâches attribuées aux sous-traitants en détaillant les différents rôles aux différentes étapes des processus TIC.

  • Informations sur le niveau d’accès des sous-traitants à des données à caractère personnel ou autrement sensibles ou à des systèmes sensibles concernant les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; fournis à des entités financières.

  • Informations sur les sites à partir desquels les services des sous-traitants sont fournis et sur les mesures prises pour faire face aux risques découlant des services fournis en dehors de l’Union.

Gouvernance et supervision de la sous-traitance

  • Description du cadre contractuel et de gouvernance en place pour gérer les relations de sous-traitance, y compris les clauses limitant l’utilisation de données sensibles.

  • Explication des processus de sélection, d’engagement et de suivi des sous-traitants.

  • Vue d’ensemble des indicateurs de performance, des accords et des objectifs de niveau de service, ainsi que des indicateurs de performance clés utilisés pour évaluer les performances et le suivi de la fiabilité du sous-traitant.

Gestion des risques et conformité

  • Évaluation des profils de risque du sous-traitant et de l’incidence potentielle sur les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; fournis aux entités financières.

  • Explication des mesures d’atténuation des risques mises en œuvre pour faire face aux risques liés à la sous-traitance.

  • Précisions sur le respect par le sous-traitant de la réglementation applicable, y compris en ce qui concerne la protection des données et les normes du secteur.

Continuité des activités et plans d’urgence

  • Vue d’ensemble des plans de continuité des activités et de réponse et de rétablissement du sous-traitant.

  • Description des modalités mises en place pour assurer la continuité du service en cas de perturbations ou de résiliation par le sous-traitant.

  • Fréquence des tests des plans de continuité des activités ainsi que des plans de réponse et de rétablissement effectués par les sous-traitants, dates des derniers tests au cours des trois dernières années, et spécification si le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; a participé à ces tests.

Notification

  • Description des mécanismes de déclaration et de la fréquence de notification entre le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; et ses sous-traitants.

Gestion des incidents et des corrections

  • Description des procédures de traitement des incidents, infractions ou non-conformités liés au sous-traitant.

Certifications et audits

  • Informations sur toute certification, tout audit indépendant ou toute évaluation concernant des sous-traitants pour valider leurs contrôles de sécurité, leurs normes de qualité ou leur conformité réglementaire.

  • Date et fréquence des audits des sous-traitants menés par le prestataire tiers critique de services TIC.

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod