Beta

Source: OJ L, 2025/295, 13.2.2025

Current language: FR

Article 2 Contenu, structure et format des informations devant être soumises, divulguées ou communiquées par les prestataires tiers critiques de services TIC

    1. Les prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; fournissent au superviseur principal: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement;, à sa demande, toute information nécessaire pour lui permettre d’accomplir ses missions de supervision conformément aux exigences du règlement (UE) 2022/2554.

    1. Les informations visées au paragraphe 1 incluent, entre autres:

      1. des informations sur les accords et les copies des documents contractuels entre:

        1. le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; et les entités financières visées à l’article 2, paragraphe 1, du règlement (UE) 2022/2554;

        2. le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; et ses sous-traitants en vue de saisir la chaîne de valeur technologique des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; fournis aux entités financières dans l’Union;

      2. des informations sur la structure organisationnelle et la structure de groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; du prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, y compris l’identification de toutes les entités appartenant au même groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; qui fournissent directement ou indirectement des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; à des entités financières dans l’Union;

      3. des informations sur les principaux actionnaires, y compris leur structure et leur répartition géographique, des entités suivantes:

        1. les entités qui détiennent, seules ou conjointement avec leurs entités liées, 25 % ou plus du capital ou des droits de vote du prestataire tiers critique de services TIC;

        2. les entités qui ont le droit de nommer ou de révoquer la majorité des membres de l’organe d’administration, de direction ou de surveillance du prestataire tiers critique de services TIC;

        3. les entités qui contrôlent, en vertu d’un accord, la majorité des droits de vote des actionnaires ou des membres du prestataire tiers critique de services TIC;

      4. des informations sur la part de marché du prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; par type de services, sur les marchés pertinents où il exerce ses activités;

      5. des informations sur les dispositifs de gouvernance interne du prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, y compris la structure avec les lignes de responsabilité en matière de gouvernance et les règles d’imputabilité;

      6. le procès-verbal de la réunion de l’organe de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(^31^), de l’article 2, paragraphe 1, point 45), du règlement (UE) no 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32). du prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; et de tout autre comité interne compétent, qui ont trait, de quelque manière que ce soit, aux activités et aux risques concernant les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; qui soutiennent des fonctions d’entités financières au sein de l’Union;

      7. des informations sur la sécurité des TIC du prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, y compris les stratégies, objectifs, politiques, procédures, protocoles, processus, mesures de contrôle visant à protéger les données sensibles, contrôles d’accès, pratiques de chiffrement et plans de réponse en cas d’incident pertinents, et des informations sur le respect de toutes les réglementations et de toutes les normes nationales et internationales pertinentes, le cas échéant;

      8. des informations sur les mesures techniques et organisationnelles visant à garantir la protection et la confidentialité des données, y compris les données à caractère personnel et non personnel, les mesures de contrôle mises en œuvre pour protéger les données sensibles, les contrôles d’accès, les pratiques de chiffrement et les plans de réponse en cas de violation de données; en ce qui concerne le traitement de données à caractère personnel, le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; est soumis à la législation de pays tiers, y compris aux demandes d’accès des gouvernements de pays tiers, à la liste des pays tiers et aux lois applicables;

      9. des informations sur les mécanismes que le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; propose aux entités financières de l’Union pour la portabilité des données, la portabilité des applications et l’interopérabilité;

      10. des informations sur la localisation des centres de données et des centres de production de TIC utilisés aux fins de la fourniture de services aux entités financières, y compris une liste de tous les locaux et installations pertinents du prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, y compris en dehors de l’Union;

      11. des informations sur la fourniture de services par un prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; de pays tiers, y compris des informations sur les dispositions juridiques pertinentes applicables aux données à caractère personnel et à caractère non personnel traitées par le prestataire tiers de services TIC;

      12. des informations sur les mesures prises pour faire face aux risques découlant de la fourniture de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; par un prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; et ses sous-traitants de pays tiers;

      13. des informations sur le cadre de gestion du risque et le cadre de gestion des incidents, notamment les politiques, procédures, outils, mécanismes et modalités de gouvernance du prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; et de ses sous-traitants, y compris la liste et la description des incidents majeurs ayant des effets directs ou indirects sur les entités financières au sein de l’Union, y compris les détails pertinents permettant de déterminer l’importance de l’incident pour les entités financières et d’évaluer les éventuelles incidences transfrontières;

      14. des informations sur le cadre de gestion des changements, y compris les politiques, procédures et contrôles du prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; et de ses sous-traitants;

      15. des informations sur le cadre global de réponse et de rétablissement du prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, y compris les plans de continuité des activités et les accords et procédures connexes, la politique de cycle de vie du développement des logiciels, les plans de réponse et de rétablissement et les modalités et procédures connexes, les modalités et procédures des politiques de sauvegarde;

      16. des informations sur le suivi des performances, le suivi de la sécurité et le suivi des incidents, ainsi que des informations sur les mécanismes de déclaration liés à la performance des services, aux incidents et au respect des accords de niveau de service et des objectifs de niveau de service convenus, ou d’accords similaires conclus entre des prestataires tiers critiques de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; et des entités financières dans l’Union;

      17. des informations sur le cadre de gestion, par un prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, du prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, notamment les stratégies, politiques, procédures, processus et contrôles, y compris des détails sur la diligence requise et l’évaluation des risques effectuée par le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; sur ses sous-traitants avant de conclure un accord avec eux, ainsi que le suivi de la relation couvrant tous les risques pertinents en matière de TIC et de contrepartie;

      18. des extractions des systèmes de suivi et d’analyse du prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; et de ses sous-traitants, couvrant, sans toutefois s’y limiter, le suivi du réseau, des serveurs, des applications et de la sécurité, l’analyse des s, la gestion des journaux, le suivi des performances, la gestion des incidents et les mesures liées aux objectifs de fiabilité, tels que les objectifs de niveau de service;

      19. des extractions de tout système ou application de production, de préproduction et de test utilisé(e) par le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; et ses sous-traitants pour fournir directement ou indirectement des services à des entités financières dans l’Union;

      20. les rapports d’audit de conformité et les rapports d’audit disponibles, ainsi que toute constatation d’audit pertinente, y compris les audits réalisés par les autorités nationales dans l’Union et en dehors de l’Union lorsque des accords de coopération avec les autorités compétentes prévoient un tel échange d’informations, ou les certifications obtenues par le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; ou ses sous-traitants, y compris les rapports d’auditeurs internes et externes, les certifications ou les évaluations de la conformité avec les normes sectorielles. Cela comprend des informations sur tout type de test indépendant disponible de la résilience des systèmes TIC du prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;, y compris tout type de test d’intrusion fondé sur la menace effectué par le prestataire tiers de services TIC;

      21. des informations sur toute évaluation effectuée par le prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; à sa demande ou en son nom, concernant le caractère approprié et l’intégrité des personnes occupant des postes clés au sein du prestataire tiers critique de services TIC;

      22. des informations sur tout plan de mesures correctives visant à donner suite aux recommandations visées à l’article 3, et les informations pertinentes connexes permettant de confirmer la mise en œuvre des solutions;

      23. des informations sur les programmes de formation des salariés et les programmes de sensibilisation à la sécurité disponibles, y compris, le cas échéant, des informations sur les investissements, les ressources et les méthodes du prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; pour former son personnel à traiter des données financières sensibles et à maintenir des niveaux élevés de sécurité;

      24. des informations sur les activités du prestataire tiers critique de services TIC: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; et les états financiers, y compris des informations sur le budget et les ressources liées aux TIC et à la sécurité.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod