Beta

Source: OJ L, 2025/532, 2.7.2025

Current language: FR

Article 4 Conditions de sous-traitance des services TIC qui soutiennent des fonctions critiques ou importantes ou des parties significatives de celles-ci

    1. L’accord contractuel conclu entre l’entité financière et le prestataire tiers de services TIC détermine, parmi les services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci, ceux qui peuvent faire l’objet d’une sous-traitance, et dans quelles conditions. Ce contrat précise:

      1. que le prestataire tiers de services TIC est responsable de la fourniture des services fournis par les sous-traitants;

      2. que le prestataire tiers de services TIC est tenu de surveiller tous les services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci et qui ont été sous-traités, afin de veiller au respect permanent de ses obligations contractuelles envers l’entité financière;

      3. les obligations de suivi et de déclaration incombant au prestataire tiers de services TIC à l’égard de l’entité financière en ce qui concerne les sous-traitants qui fournissent des services TIC soutenant des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci;

      4. que le prestataire tiers de services TIC doit évaluer tous les risques associés au lieu d’établissement des sous-traitants actuels ou potentiels qui fournissent un service TIC soutenant des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci, ainsi qu’à leur société mère et au lieu où le service TIC concerné est fourni;

      5. Le lieu de traitement et de stockage des données par le sous-traitant, le cas échéant;

      6. que le prestataire tiers de services TIC doit préciser, dans son contrat avec ses sous-traitants, les obligations de suivi et de déclaration incombant à ces sous-traitants à son égard et, s’il en a été convenu ainsi, à l’égard de l’entité financière;

      7. que le prestataire tiers de services TIC doit, tout au long de la chaîne de sous-traitance, assurer la continuité des services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; en cas de non-respect par un sous-traitant TIC de ses obligations contractuelles;

      8. que l’accord contractuel entre le prestataire tiers de services TIC et ses sous-traitants contient les exigences relatives aux plans d’urgence visés à l’article 30, paragraphe 3, point c), du règlement (UE) 2022/2554 et précise les niveaux de service que les sous-traitants TIC doivent atteindre en ce qui concerne ces plans;

      9. que l’accord contractuel entre le prestataire tiers de services TIC et ses sous-traitants énonce les normes de sécurité des TIC et toute exigence supplémentaire en matière de sécurité visées à l’article 30, paragraphe 3, point c), du règlement (UE) 2022/2554;

      10. que le sous-traitant doit accorder à l’entité financière, aux autorités compétentes et aux autorités de résolution concernées les mêmes droits d’accès, d’inspection et d’audit que ceux visés à l’article 30, paragraphe 3, point e), du règlement (UE) 2022/2554;

      11. que le prestataire tiers de services TIC doit notifier à l’entité financière tout changement significatif apporté aux accords de sous-traitance;

      12. que l’entité financière a le droit de résilier le contrat avec le prestataire tiers de services TIC lorsque soit les conditions énoncées à l’article 6 du présent règlement soit les conditions énumérées à l’article 28, paragraphe 7, du règlement (UE) 2022/2554 sont remplies.

    1. Les changements qu’il est nécessaire, pour se conformer au présent règlement, d’apporter aux accords contractuels entre l’entité financière et les prestataires tiers de services TIC fournissant un service TIC qui soutient des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci sont mis en œuvre en temps utile et dès que possible. L’entité financière documente le calendrier prévu pour la mise en œuvre.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod