Beta

Source: OJ L, 2024/1773, 25.6.2024

Current language: FR

Article 9 Suivi des accords contractuels

    1. La politique exige que les accords contractuels précisent les mesures et les indicateurs clés qui doivent permettre de suivre en permanence les performances des prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, notamment les mesures de contrôle du respect des exigences relatives à la confidentialité, la disponibilité, l’intégrité et l’authenticité des données et des informations, ainsi que le respect, par ces prestataires, des politiques et procédures de l’entité financière en la matière. La politique précise aussi les mesures qui s’appliquent en cas de manquement à des accords sur le niveau de service, y compris, le cas échéant, les pénalités contractuelles applicables.

    1. La politique précise comment l’entité financière doit évaluer si les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; auxquels il est fait appel pour des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; soutenant des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; respectent des normes de performance et de qualité appropriées correspondant à l’accord contractuel et à ses propres politiques. La politique garantit en particulier:

      1. que les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; fourniront à l’entité financière des rapports appropriés sur leurs activités et services, notamment des rapports périodiques, des rapports d’incidents, des rapports sur les services fournis, des rapports sur la sécurité des TIC et des rapports sur les mesures et tests de continuité des activités;

      2. que les performances des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; seront évaluées à l’aide d’indicateurs de performance clés, d’indicateurs de contrôle clés, d’audits, d’auto-certifications et d’examens indépendants conformes au cadre de gestion des risques liés aux TIC de l’entité financière;

      3. que les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; communiqueront à l’entité financière toute autre information pertinente;

      4. que les incidents liés aux TIC et les incidents opérationnels ou liés à la sécurité des paiements seront notifiés à l’entité financière lorsque cela est approprié;

      5. qu’un examen indépendant et des audits indépendants seront effectués pour vérifier le respect des exigences et politiques légales et réglementaires.

    1. La politique précise que l’évaluation visée au paragraphe 2 doit être documentée et ses résultats utilisés pour actualiser l’évaluation des risques de l’entité financière prévue par l’article 6.

    1. La politique définit les mesures appropriées que l’entité financière doit prendre si elle constate, chez des prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, des lacunes, notamment des incidents liés aux TIC et des incidents opérationnels ou liés à la sécurité des paiements, dans la prestation de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; soutenant des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou dans le respect d’accords contractuels ou d’exigences légales. Elle précise aussi comment il convient de suivre la mise en œuvre de ces mesures afin qu’elles soient effectivement respectées dans un délai déterminé, tenant compte de l’importance des lacunes constatées.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod