Preamble Recitals

La fourniture de services TIC à des entités financières repose souvent sur une chaîne complexe de sous-traitants de TIC, au sein de laquelle les prestataires tiers de services TIC sont susceptibles de conclure un ou plusieurs accords de sous-traitance avec d’autres prestataires tiers de services TIC. Le recours indirect à des sous-traitants de TIC peut avoir une incidence sur la capacité d’une entité financière à identifier, évaluer et gérer ses risques, notamment les risques liés aux lacunes que présentent les informations fournies par les prestataires tiers de services TIC ainsi qu’à la capacité de cette entité à obtenir des informations auprès des sous-traitants de TIC fournissant des services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci. À cet égard, lorsque la fourniture de services TIC à des entités financières repose sur une chaîne potentiellement longue ou complexe de sous-traitants de TIC, il est essentiel que ces entités financières identifient toute la chaîne des sous-traitants fournissant des services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;.

Parmi les sous-traitants fournissant des services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;, les entités financières devraient accorder une attention particulière et constante aux sous-traitants sur lesquels reposent de fait les services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;, notamment à tous les sous-traitants qui fournissent des services TIC dont la perturbation nuirait à la sécurité ou à la continuité du service, tels que répertoriés dans le registre d’informations prévu à l’article 28, paragraphe 3, du règlement (UE) 2022/2554.

La taille, la structure et l’organisation interne des entités financières, ainsi que la nature et la complexité de leurs activités, sont très variables. Dans un souci de proportionnalité, les éléments qu’une entité financière doit déterminer et évaluer en cas de sous-traitance de services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; devraient être définis en tenant compte de cette diversité.

Lorsqu’il est autorisé par les entités financières conformément à l’article 30, paragraphe 2, du règlement (UE) 2022/2554, le recours à des services TIC soutenant des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; sous-traités par les prestataires tiers de services TIC ne peut décharger les organes de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(^31^), de l’article 2, paragraphe 1, point 45), du règlement (UE) n^o 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32). des entités financières de la responsabilité ultime de la gestion de leurs risques et du respect de leurs obligations législatives et réglementaires. Lorsque la sous-traitance de services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; est autorisée, il est important que les entités financières aient une vision claire et globale des risques associés à cette sous-traitance afin qu’elles soient en mesure de les surveiller, de les gérer et de les atténuer. Elles devraient donc évaluer ces risques avant la sous-traitance de ces services.

Les sous-traitants de TIC intra-groupe qui fournissent des services TIC soutenant des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci, y compris les sous-traitants de TIC intra-groupe qui sont entièrement ou collectivement détenus par des entités financières appartenant au même système de protection institutionnel, devraient être considérés comme des sous-traitants de TIC.

Le cas échéant, dans le contexte d’un groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE;, l’entreprise mère: une entreprise mère au sens de l’article 2, point 9), et de l’article 22 de la directive 2013/34/UE; des entités financières devrait veiller à l’application uniforme et cohérente, au sein du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE;, de la politique de recours à des sous-traitants de TIC fournissant des services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci.

Il importe de veiller à une gestion exhaustive des risques qui peuvent survenir lors de la sous-traitance de services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;. C’est pourquoi les entités financières devraient suivre les étapes du cycle de vie d’un accord contractuel sur l’utilisation de services TIC qui soutiennent ces fonctions et qui sont fournis par des prestataires tiers de services TIC, y compris pour les accords de sous-traitance. Il est donc nécessaire de fixer des exigences pour les entités financières qui devraient se refléter dans leurs accords contractuels avec des prestataires tiers de services TIC lorsque le recours à la sous-traitance de services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; est autorisé.

Afin d’atténuer les risques associés à la sous-traitance, il est nécessaire de préciser les conditions dans lesquelles les prestataires tiers de services TIC peuvent recourir à des sous-traitants pour la fourniture de services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;. À cette fin, les accords contractuels de services TIC conclus entre des entités financières et des prestataires tiers de services TIC devraient définir ces conditions, y compris la planification des accords de sous-traitance, les évaluations des risques, la diligence requise et le processus d’approbation des nouveaux accords de sous-traitance de services TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties significatives de celles-ci, ou des changements significatifs apportés par le prestataire tiers de services TIC aux accords existants.

Afin que les risques susceptibles de survenir soient identifiés avant qu’une entité financière ne conclue un accord avec un sous-traitant de TIC, le prestataire tiers de services TIC devrait évaluer, de manière appropriée et proportionnée, l’aptitude des sous-traitants potentiels sur la base des accords contractuels de services TIC qu’il a conclus avec l’entité financière. Ces accords contractuels de services TIC devraient donc exiger du prestataire tiers de services TIC, ou de l’entité financière directement, selon le cas, qu’il ou elle évalue les ressources du sous-traitant potentiel, y compris son expertise et le fait qu’il dispose ou non des ressources financières, humaines et techniques appropriées, sa politique de sécurité de l’information et sa structure organisationnelle, y compris la gestion des risques et les contrôles internes qu’il devrait avoir mis en place.

Afin d’atténuer les s et les menaces susceptibles de présenter des risques pour leurs systèmes et opérations de TIC, les entités financières devraient être en mesure de surveiller l’exécution du service TIC et d’être informées de tout changement pertinent au sein de leur chaîne de sous-traitance de TIC lorsque ce changement concerne des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;.

Afin de permettre aux entités financières d’évaluer les risques associés aux accords de sous-traitance ou aux changements significatifs apportés à ces derniers, les prestataires tiers de services TIC devraient informer les entités financières auxquelles ils fournissent des services TIC de tous les nouveaux accords et de tous les changements bien avant que ceux-ci ne commencent à s’appliquer. Pour la même raison, les entités financières devraient avoir le droit de résilier le contrat qu’elles ont conclu avec un prestataire tiers de services TIC lorsque le résultat de leur évaluation des risques indique que les nouveaux accords ou les changements significatifs apportés à ces derniers présentent un niveau de risque supérieur à leur niveau de tolérance au risque.

Les AES ont procédé à une consultation publique sur le projet de normes techniques de réglementation sur lequel repose le présent règlement, analysé les coûts et les avantages potentiels liés à ce projet, et invité leurs groupes: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; de parties intéressées respectifs établis en application de l’article 37 des règlements (UE) n^o 1093/2010(²)Règlement (UE) n^o 1093/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité bancaire européenne), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/78/CE de la Commission (JO L 331 du 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., (UE) n^o 1094/2010(³)Règlement (UE) n^o 1094/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des assurances et des pensions professionnelles), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/79/CE de la Commission (JO L 331 du 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). et (UE) n^o 1095/2010(⁴)Règlement (UE) n^o 1095/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des marchés financiers), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/77/CE de la Commission (JO L 331 du 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj). du Parlement européen et du Conseil à donner leur avis.

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil(⁵)Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n^o 45/2001 et la décision n^o 1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). et a rendu un avis le 20 août 2024,