Article 3 Diligence requise et évaluation des risques en ce qui concerne le recours à des sous-traitants qui soutiennent des fonctions critiques ou importantes

1. Avant de conclure un accord contractuel avec un prestataire tiers de services TIC, une entité financière décide si ce prestataire peut sous-traiter un service TIC qui soutient des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci. L’entité financière ne conclut un tel accord contractuel que si elle a déterminé que toutes les conditions suivantes ont été remplies:
  1. les processus de diligence requise à l’égard du prestataire tiers de services TIC garantissent que ce dernier est en mesure de sélectionner et d’évaluer les capacités opérationnelles et financières des sous-traitants de TIC potentiels à fournir des services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci, y compris en le soumettant, lorsque l’entité financière l’exige, à des tests de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; tels que visés au chapitre IV du règlement (UE) 2022/2554;
  2. le prestataire tiers de services TIC est en mesure d’identifier tous les sous-traitants fournissant des services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci, afin de pouvoir notifier ces sous-traitants à l’entité financière et la renseigner à leur sujet, et est en mesure de fournir à l’entité financière toutes les informations qui peuvent être nécessaires à l’évaluation des conditions énoncées au présent article;
  3. le prestataire tiers de services TIC fait en sorte que les accords contractuels conclus avec les sous-traitants fournissant des services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci permettent à l’entité financière de se conformer à ses propres obligations découlant du règlement (UE) 2022/2554 ainsi que de la législation de l’Union et de la législation nationale applicables;
  4. le sous-traitant accorde à l’entité financière ainsi qu’aux autorités compétentes et aux autorités de résolution les mêmes droits contractuels d’accès et d’inspection que ceux que leur accorde le prestataire tiers de services TIC;
  5. sans préjudice de la responsabilité ultime de l’entité financière de se conformer à ses obligations légales et réglementaires, le prestataire tiers de services TIC dispose lui-même des capacités, de l’expertise et des ressources financières, humaines et techniques suffisantes pour surveiller les risques liés aux TIC au niveau des sous-traitants, notamment en appliquant des normes appropriées en matière de sécurité de l’information et en disposant d’une structure organisationnelle appropriée, d’une gestion des risques et de contrôles internes ainsi que de notifications et de réponses en cas d’incident;
  6. l’entité financière dispose des capacités, de l’expertise et des ressources financières, humaines et techniques suffisantes pour surveiller les risques liés aux TIC concernant le service TIC qui soutient des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci et qui a été sous-traité par le prestataire tiers, notamment en appliquant des normes appropriées en matière de sécurité de l’information et en disposant d’une structure organisationnelle appropriée, d’une gestion des risques, de réponses apportées en cas d’incident, d’une gestion de la continuité des activités ainsi que de contrôles internes;
  7. l’entité financière a évalué l’incidence d’une éventuelle défaillance d’un sous-traitant fournissant des services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci sur la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; et la solidité financière de l’entité financière;
  8. l’entité financière a évalué les risques associés à la localisation des sous-traitants potentiels en ce qui concerne les services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci fournis par le prestataire tiers de services TIC;
  9. l’entité financière a évalué les risques de concentration de TIC au niveau de l’entité conformément à l’article 29 du règlement (UE) 2022/2554;
  10. l’entité financière a évalué s’il existait des obstacles à l’exercice de droits d’accès, d’inspection et d’audit par les autorités compétentes, les autorités de résolution ou l’entité financière, y compris par les personnes qu’elles désignent.
1. Les entités financières qui font appel à des prestataires tiers de services TIC qui sous-traitent des services TIC soutenant des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci effectuent périodiquement l’évaluation des risques visée au paragraphe 1, points f) à j), à l’aune d’éventuels changements dans leur environnement d’entreprise, y compris les changements dans les fonctions «métiers» s’appuyant sur les TIC, ainsi que dans leurs évaluations des risques, y compris les menaces liées aux TIC, les risques de concentration des TIC et les risques géopolitiques.
1. Le fait de se reposer sur les résultats de l’évaluation des risques effectuée par leurs prestataires tiers de services TIC à l’égard de leurs sous-traitants aux fins du respect des obligations énoncées dans le présent article ne limite en rien la responsabilité ultime des entités financières de respecter leurs obligations légales et réglementaires découlant du règlement (UE) 2022/2554.

Relevant recitals

Considérant 4 Clear and holistic view of risks associated with subcontracting

Lorsqu’il est autorisé par les entités financières conformément à l’article 30, paragraphe 2, du règlement (UE) 2022/2554, le recours à des services TIC soutenant des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; sous-traités par les prestataires tiers de services TIC ne peut décharger les organes de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(31) Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32)., de l’article 2, paragraphe 1, point 45), du règlement (UE) no 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable; des entités financières de la responsabilité ultime de la gestion de leurs risques et du respect de leurs obligations législatives et réglementaires. Lorsque la sous-traitance de services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; est autorisée, il est important que les entités financières aient une vision claire et globale des risques associés à cette sous-traitance afin qu’elles soient en mesure de les surveiller, de les gérer et de les atténuer. Elles devraient donc évaluer ces risques avant la sous-traitance de ces services.

Considérant 7 Life cycle and contractual provisions

Il importe de veiller à une gestion exhaustive des risques qui peuvent survenir lors de la sous-traitance de services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;. C’est pourquoi les entités financières devraient suivre les étapes du cycle de vie d’un accord contractuel sur l’utilisation de services TIC qui soutiennent ces fonctions et qui sont fournis par des prestataires tiers de services TIC, y compris pour les accords de sous-traitance. Il est donc nécessaire de fixer des exigences pour les entités financières qui devraient se refléter dans leurs accords contractuels avec des prestataires tiers de services TIC lorsque le recours à la sous-traitance de services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; est autorisé.

Considérant 8 Conditions throughout the life cycle

Afin d’atténuer les risques associés à la sous-traitance, il est nécessaire de préciser les conditions dans lesquelles les prestataires tiers de services TIC peuvent recourir à des sous-traitants pour la fourniture de services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;. À cette fin, les accords contractuels de services TIC conclus entre des entités financières et des prestataires tiers de services TIC devraient définir ces conditions, y compris la planification des accords de sous-traitance, les évaluations des risques, la diligence requise et le processus d’approbation des nouveaux accords de sous-traitance de services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci, ou des changements significatifs apportés par le prestataire tiers de services TIC aux accords existants.

Considérant 9 Due diligence of subcontractors

Afin que les risques susceptibles de survenir soient identifiés avant qu’une entité financière ne conclue un accord avec un sous-traitant de TIC, le prestataire tiers de services TIC devrait évaluer, de manière appropriée et proportionnée, l’aptitude des sous-traitants potentiels sur la base des accords contractuels de services TIC qu’il a conclus avec l’entité financière. Ces accords contractuels de services TIC devraient donc exiger du prestataire tiers de services TIC, ou de l’entité financière directement, selon le cas, qu’il ou elle évalue les ressources du sous-traitant potentiel, y compris son expertise et le fait qu’il dispose ou non des ressources financières, humaines et techniques appropriées, sa politique de sécurité de l’information et sa structure organisationnelle, y compris la gestion des risques et les contrôles internes qu’il devrait avoir mis en place.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.