Article 8 Clauses contractuelles

La politique précise que les accords contractuels doivent être écrits et inclure tous les éléments visés à l’article 30, paragraphes 2 et 3, du règlement (UE) 2022/2554. La politique inclut aussi des éléments portant sur les exigences visées à l’article 1^er, paragraphe 1, point a), du règlement (UE) 2022/2554 et, le cas échéant, sur d’autres dispositions pertinentes du droit de l’Union et du droit national.

1. son propre audit interne ou un audit effectué par un tiers désigné;

2. lorsque cela est approprié, des audits groupmeans a group as defined in Article 2, point (11), of Directive 2013/34/EU;és et des tests groupmeans a group as defined in Article 2, point (11), of Directive 2013/34/EU;és de TIC, y compris des tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière;, organisés conjointement avec d’autres entités financières ou entreprises contractantes qui utilisent des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; du même prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, et effectués par ces entités financières ou entreprises contractantes ou par un tiers désigné par elles;

3. lorsque cela est approprié, des certifications délivrées par des tiers;

4. lorsque cela est approprié, des rapports d’audit internes ou de tiers fournis par le prestataire tiers de services TIC

1. est convaincue par le plan d’audit du prestataire tiers de services TIC: une entreprise qui fournit des services TIC; pour les accords contractuels concernés;

2. s’assure que les certifications ou rapports d’audit couvrent les systèmes et contrôles clés indiqués par elle, et veille au respect des exigences réglementaires applicables;

3. évalue en permanence et de manière approfondie le contenu des certifications ou des rapports d’audit et vérifie que ces rapports ou certifications ne sont pas obsolètes;

4. veille à ce que les systèmes et contrôles clés soient couverts par les futures versions des certifications ou rapports d’audit;

5. est convaincue des aptitudes du tiers qui délivre la certification ou effectue l’audit;

6. a la conviction que les certifications sont délivrées, et les audits effectués, dans le respect de normes professionnelles pertinentes largement reconnues, et qu’ils comportent un test de l’efficacité opérationnelle des contrôles clés mis en place;

7. a le droit contractuel de demander, à une fréquence raisonnable et légitime du point de vue de la gestion des risques, que les certifications ou rapports d’audit soient modifiés de manière à englober d’autres systèmes et contrôles pertinents;

8. a le droit contractuel d’effectuer à sa discrétion des audits individuels et groupmeans a group as defined in Article 2, point (11), of Directive 2013/34/EU;és relatifs aux accords contractuels, et d’exercer ce droit selon la fréquence convenue.

La politique garantit que toute modification importante apportée à un accord contractuel sera formalisée dans un document écrit, daté et signé par toutes les parties, et elle précise la procédure de reconduction des accords contractuels.