Source: OJ L, 2025/532, 2.7.2025Current language: FR
- Digital operational resilience in the financial sector
ICT third-party service providers
- RTS on subcontracting ICT services
Article premier Profil de risque global et complexité
Les entités financières tiennent compte de leur taille et de leur profil de risque global ainsi que de la nature, de l’ampleur et des facteurs d’augmentation ou de diminution de la complexité de leurs services, activités et opérations, y compris des éléments relatifs:
au type de services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; couverts par l’accord contractuel entre l’entité financière et le prestataire tiers de services TIC;
au type de services TIC couverts par l’accord contractuel entre le prestataire tiers de services TIC et ses sous-traitants;
au lieu où exerce le sous-traitant de TIC fournissant des services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci, ou à la localisation de sa société mère;
à la longueur et à la complexité de la chaîne des sous-traitants fournissant des services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci utilisée par le prestataire tiers de services TIC;
à la nature des données partagées avec les sous-traitants de TIC fournissant des services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci;
à la question de savoir si les services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci sont fournis par des sous-traitants situés dans un État membre ou dans un pays tiers, y compris le lieu où les services TIC sont effectivement fournis et le lieu où les données sont effectivement traitées et stockées;
à la question de savoir si les sous-traitants de TIC fournissant des services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci appartiennent au même groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; que l’entité financière bénéficiaire de ces services;
à la question de savoir si les sous-traitants de TIC fournissant des services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci sont agréés, enregistrés ou soumis à une surveillance ou à une supervision par une autorité compétente d’un État membre, ou sont soumis au cadre de supervision prévu au chapitre V, section II, du règlement (UE) 2022/2554;
à la question de savoir si les prestataires tiers de services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci sont agréés, enregistrés ou soumis à une surveillance ou à une supervision par une autorité de surveillance d’un pays tiers;
à la question de savoir si les services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci sont fournis par un seul sous-traitant d’un prestataire tiers de services TIC ou par un petit nombre d’entre eux;
à la question de savoir si la sous-traitance de services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci aurait une incidence sur la transférabilité de ces services TIC à un autre prestataire tiers de services TIC;
à l’incidence potentielle des perturbations sur la continuité et la disponibilité des services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci fournis par le prestataire tiers de services TIC, lorsque ce dernier fait appel à un sous-traitant fournissant des services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci.
Relevant recitals
Considérant 1 Importance of indentifying the overall chain of subcontractors
La fourniture de services TIC à des entités financières repose souvent sur une chaîne complexe de sous-traitants de TIC, au sein de laquelle les prestataires tiers de services TIC sont susceptibles de conclure un ou plusieurs accords de sous-traitance avec d’autres prestataires tiers de services TIC. Le recours indirect à des sous-traitants de TIC peut avoir une incidence sur la capacité d’une entité financière à identifier, évaluer et gérer ses risques, notamment les risques liés aux lacunes que présentent les informations fournies par les prestataires tiers de services TIC ainsi qu’à la capacité de cette entité à obtenir des informations auprès des sous-traitants de TIC fournissant des services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci. À cet égard, lorsque la fourniture de services TIC à des entités financières repose sur une chaîne potentiellement longue ou complexe de sous-traitants de TIC, il est essentiel que ces entités financières identifient toute la chaîne des sous-traitants fournissant des services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;.
Considérant 2 Focus on subcontractors that effectively underpin ICT services
Parmi les sous-traitants fournissant des services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;, les entités financières devraient accorder une attention particulière et constante aux sous-traitants sur lesquels reposent de fait les services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;, notamment à tous les sous-traitants qui fournissent des services TIC dont la perturbation nuirait à la sécurité ou à la continuité du service, tels que répertoriés dans le registre d’informations prévu à l’article 28, paragraphe 3, du règlement (UE) 2022/2554.
Considérant 3 Principle of proportionality
La taille, la structure et l’organisation interne des entités financières, ainsi que la nature et la complexité de leurs activités, sont très variables. Dans un souci de proportionnalité, les éléments qu’une entité financière doit déterminer et évaluer en cas de sous-traitance de services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; devraient être définis en tenant compte de cette diversité.
Considérant 4 Clear and holistic view of risks associated with subcontracting
Lorsqu’il est autorisé par les entités financières conformément à l’article 30, paragraphe 2, du règlement (UE) 2022/2554, le recours à des services TIC soutenant des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; sous-traités par les prestataires tiers de services TIC ne peut décharger les organes de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(31) Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32)., de l’article 2, paragraphe 1, point 45), du règlement (UE) no 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable; des entités financières de la responsabilité ultime de la gestion de leurs risques et du respect de leurs obligations législatives et réglementaires. Lorsque la sous-traitance de services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; est autorisée, il est important que les entités financières aient une vision claire et globale des risques associés à cette sous-traitance afin qu’elles soient en mesure de les surveiller, de les gérer et de les atténuer. Elles devraient donc évaluer ces risques avant la sous-traitance de ces services.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.