Beta

Source: OJ L, 2024/1773, 25.6.2024

Current language: FR

Article 6 Diligence raisonnable

    1. La politique définit un processus approprié et proportionné de sélection et d’évaluation des prestataires tiers potentiels de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;, en tenant compte de leur appartenance ou non au groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE;, et exige qu’avant de conclure un accord contractuel, l’entité financière vérifie si le prestataire tiers de services TIC:

      1. dispose d’une réputation, de capacités, d’une expertise, de ressources financières, humaines et techniques et de normes de sécurité de l’information suffisantes, ainsi que d’une structure organisationnelle, d’une gestion des risques et de contrôles internes appropriés et, s’il y a lieu, du ou des agréments ou immatriculations requis pour fournir de manière fiable et professionnelle les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; destinés à soutenir la fonction critique ou importante: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; concernée;

      2. est capable de suivre les évolutions technologiques pertinentes et d’identifier et de mettre en œuvre, le cas échéant, les pratiques de pointe en matière de sécurité des TIC, afin d’obtenir un cadre solide et performant de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations;;

      3. recourt ou a l’intention de recourir à des sous-traitants de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; pour fournir les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; destinés à soutenir des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties importantes de celles-ci;

      4. est situé dans un pays tiers, ou traite ou stocke les données dans un pays tiers et, dans ce cas, si cette pratique augmente le niveau des risques opérationnels ou réputationnels ou le risque d’être affecté par des mesures restrictives, y compris par des embargos et des sanctions, pouvant avoir un impact sur la capacité du prestataire tiers de services TIC: une entreprise qui fournit des services TIC; à fournir les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; visés, ou la capacité de l’entité financière à bénéficier de ces derniers;

      5. consent à la conclusion d’accords contractuels garantissant qu’il est effectivement possible que des audits soient effectués en son sein, y compris sur place, par l’entité financière elle-même, par des tiers désignés à cet effet et par les autorités compétentes;

      6. agit de manière éthique et socialement responsable, respecte les droits de l’homme et les droits de l’enfant, y compris l’interdiction du travail des enfants, et les principes applicables en matière de protection de l’environnement, et garantit des conditions de travail appropriées.

    1. La politique précise le niveau d’assurance requis en ce qui concerne l’efficacité du cadre de gestion des risques liés aux prestataires tiers de services TIC: une entreprise qui fournit des services TIC; pour les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; que fournit un prestataire tiers de tels services à l’appui de fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;. La politique exige que le processus de diligence raisonnable comprenne une vérification de l’existence, chez le prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, de mesures d’atténuation des risques et de continuité des activités, et de la manière dont leur fonctionnement en son sein est garanti.

    1. La politique définit le processus de diligence raisonnable à appliquer pour sélectionner et évaluer les prestataires tiers potentiels de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; et indique quels éléments, parmi les suivants, doivent être utilisés pour le niveau d’assurance requis en ce qui concerne les performances d’un prestataire tiers de services TIC:

      1. audits ou évaluations indépendantes effectués par l’entité financière elle-même ou pour son compte;

      2. utilisation de rapports d’audit indépendants établis à la demande du prestataire tiers de services TIC;

      3. utilisation de rapports d’audit établis par la fonction d’audit interne du prestataire tiers de services TIC;

      4. utilisation de certifications de tiers appropriées;

      5. utilisation d’autres informations pertinentes dont dispose l’entité financière ou d’autres informations fournies par le prestataire tiers de services TIC.

    1. Les entités financières veillent à ce que les performances du prestataire tiers de services TIC: une entreprise qui fournit des services TIC; soient soumises à un niveau d’assurance approprié, tenant compte des éléments énumérés au paragraphe 3, points a) à e). S’il y a lieu, plusieurs des éléments énumérés sous ces points sont utilisés.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod