Preamble Recitals

Le cadre sur la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; du secteur financier établi par le règlement (UE) 2022/2554 exige que les entités financières se fixent certains principes clés pour la gestion des risques liés aux prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, risques qui sont particulièrement importants lorsqu’elles font appel à de tels prestataires tiers pour soutenir leurs fonctions importantes ou critiques.

Les entités financières sont tenues d’adopter, comme partie intégrante de leur cadre de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, une stratégie en matière de risques liés aux prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, et de réexaminer régulièrement cette stratégie. Conformément à l’article 28, paragraphe 2, du règlement (UE) 2022/2554, cette stratégie doit inclure une politique relative à l’utilisation des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; soutenant des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; qui sont fournis par des prestataires tiers de services TIC: une entreprise qui fournit des services TIC;. Elle s’applique sur une base individuelle et, le cas échéant, sur une base consolidée et sous-consolidée.

Les entités financières varient considérablement par leur taille, leur structure et leur organisation interne, ainsi que par la nature et la complexité de leurs activités et opérations. Tout en imposant, pour l’élaboration de la politique relative aux accords contractuels sur l’utilisation de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; soutenant des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; qui sont fournis par des prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, un certain nombre d’exigences réglementaires essentielles qui conviennent pour toutes les entités financières, il est nécessaire de tenir compte de cette diversité et de veiller à ce que les exigences fixées soient appliquées de manière proportionnée.

Dans le cas d’entités financières faisant partie d’un groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE;, il devrait incomber à l’entreprise mère: une entreprise mère au sens de l’article 2, point 9), et de l’article 22 de la directive 2013/34/UE; chargée de fournir les états financiers consolidés ou sous-consolidés du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; de veiller à ce que la politique soit appliquée de manière uniforme et cohérente au sein du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE;.

Dans le cadre de l’application de la politique, les prestataires de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; intragroupe, y compris ceux qui sont entièrement ou collectivement détenus par des entités financières relevant du même système de protection institutionnel, devraient être considérés comme des prestataires tiers de services TIC: une entreprise qui fournit des services TIC;. Les risques posés par les prestataires de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; intragroupe peuvent certes être différents, mais les exigences qui leur sont applicables en vertu du règlement (UE) 2022/2554 sont les mêmes. De même, lorsqu’il existe une chaîne de prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, la politique devrait s’appliquer aux sous-traitants qui fournissent aux prestataires tiers de services TIC: une entreprise qui fournit des services TIC; des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; soutenant des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou des parties importantes de celles-ci.

La responsabilité ultime, incombant à l’organe de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(^31^), de l’article 2, paragraphe 1, point 45), du règlement (UE) n^o 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32)., de la gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; d’une entité financière, constitue un principe fondamental qui s’applique aussi au recours à des prestataires tiers de services TIC: une entreprise qui fournit des services TIC;. Cette responsabilité devrait se traduire plus avant par l’implication constante de l’organe de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(^31^), de l’article 2, paragraphe 1, point 45), du règlement (UE) n^o 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32). dans le contrôle et le suivi de la gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, y compris dans l’adoption et le réexamen, au moins une fois par an, de la politique.

Afin de garantir un reporting approprié à l’organe de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(^31^), de l’article 2, paragraphe 1, point 45), du règlement (UE) n^o 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32)., la politique devrait préciser et énoncer clairement les responsabilités internes en matière d’approbation, de gestion, de contrôle et de documentation des accords contractuels sur l’utilisation de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; soutenant des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; qui sont fournis par des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; (ci-après les «accords contractuels»), y compris les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; fournis en vertu des accords contractuels visés à l’article 28, paragraphe 1, point a), du règlement (UE) 2022/2554.

Afin de tenir compte de tous les risques qui peuvent être liés à l’achat contractuel de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; à l’appui d’une fonction critique ou importante: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;, la structure de la politique devrait suivre toutes les étapes de chaque phase importante du cycle de vie des accords contractuels conclus avec des prestataires tiers.

Afin d’atténuer les risques identifiés, la politique devrait préciser les modalités de planification des accords contractuels, notamment en ce qui concerne l’évaluation des risques, la diligence raisonnable et la procédure d’approbation de nouveaux accords contractuels ou de modifications importantes d’accords contractuels existants. Aux fins de la gestion des risques susceptibles de survenir avant la conclusion d’un accord contractuel avec un prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, la politique devrait prévoir un processus approprié et proportionné pour la sélection des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; potentiels et l’évaluation de leur adéquation, et imposer à l’entité financière de tenir compte d’une liste non exhaustive d’éléments que ces prestataires tiers devraient avoir mis en place. Cette liste devrait couvrir la réputation commerciale des prestataires tiers, leurs ressources financières, humaines et techniques, la sécurité des informations en leur sein, leur structure organisationnelle, y compris leur gestion des risques, et les contrôles internes qu’ils appliquent.

Afin de garantir une bonne gestion des risques dans le cadre de la fourniture par des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; soutenant des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;, la politique devrait contenir des informations sur la mise en œuvre, le suivi et la gestion des accords contractuels, y compris au niveau consolidé et sous-consolidé, s’il y a lieu. Cela inclut des exigences concernant les clauses contractuelles relatives aux obligations mutuelles de l’entité financière et du prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, lesquelles devraient être énoncées par écrit. Afin de garantir une surveillance efficace et de favoriser la résilience en cas de changements dans le modèle d’entreprise ou l’environnement des entreprises, la politique devrait garantir le droit des entités financières, ou de tiers désignés par elles, et des autorités compétentes de procéder à des inspections et d’accéder à des informations, et elle devrait également préciser les stratégies de sortie et les processus de résiliation des accords contractuels.

Dans la mesure où des données à caractère personnel sont traitées par des prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, la politique et les accords contractuels sont sans préjudice des obligations prévues par le règlement (UE) 2016/679 du Parlement européen et du Conseil(²)Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj). et devraient les compléter, par exemple par la mise en place d’un contrat écrit prévoyant les modalités de traitement des données à caractère personnel, l’obligation de garantir la sécurité de ce traitement et tous les autres éléments requis par ledit règlement.

Le comité mixte: le comité visé à l’article 54 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010; des autorités européennes de surveillance visé à l’article 54 du règlement (UE) n^o 1093/2010 du Parlement européen et du Conseil(³)Règlement (UE) n^o 1093/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité bancaire européenne), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/78/CE de la Commission (JO L 331 du 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., à l’article 54 du règlement (UE) n^o 1094/2010 du Parlement européen et du Conseil(⁴)Règlement (UE) n^o 1094/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des assurances et des pensions professionnelles), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/79/CE de la Commission (JO L 331 du 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). et à l’article 54 du règlement (UE) n^o 1095/2010 du Parlement européen et du Conseil(⁵)Règlement (UE) n^o 1095/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des marchés financiers), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/77/CE de la Commission (JO L 331 du 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj). a procédé à des consultations publiques ouvertes sur le projet de normes techniques de réglementation sur lequel se fonde le présent règlement, analysé les coûts et avantages potentiels des normes proposées et sollicité l’avis du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées au secteur bancaire institué par l’article 37 du règlement (UE) n^o 1093/2010, du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées à l’assurance et la réassurance et du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées aux pensions professionnelles institués par l’article 37 du règlement (UE) n^o 1094/2010, ainsi que du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées au secteur financier institué par l’article 37 du règlement (UE) n^o 1095/2010,

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil(⁶)Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n^o 45/2001 et la décision n^o 1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). et a rendu un avis le 24 janvier 2024,