Source: OJ L, 2024/1502, 30.5.2024

Current language: FR

Article 2 Effet systémique de prestataires tiers de services TIC sur la stabilité, la continuité ou la qualité de la prestation de services financiers

Summary What does Article 2 of the Criteria for designating critical service providers say?

This article operationalises the first of four criteria the ESAs must consider when assessing whether an ICT third-party service provider should be designated as critical, building directly on the two-step framework established in Article 1.

It sets out two quantitative step 1 sub-criteria — market share by number of financial entities served and by total asset value of those entities — along with precise calculation formulas for each.

A clear numerical threshold of 10% must be met for both measures across at least one category of financial entities before a provider clears the step 1 hurdle.

Only then do the ESAs proceed to the qualitative step 2 assessment, which looks at the severity of potential disruption and the provider's dependence on shared subcontractors.

Important points:

  • The ESAs are required to apply a 10% threshold to both the number of financial entities served and the total asset value of those entities, and both must be met for at least one category of financial entities to pass step 1.
  • The ESAs then assess two further qualitative sub-criteria at step 2: the impact intensity of a service discontinuation on financial entities, and the provider's reliance on common subcontractors for critical or important functions.
  • All calculations and assessments are broken down by categories of financial entities as defined in Article 2(1) of Regulation (EU) 2022/2554, meaning a provider could be captured under one category but not another.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Lorsqu’elles appliquent le critère visé à l’article 31, paragraphe 2, point a), du règlement (UE) 2022/2554, les AES évaluent si le prestataire tiers de services TIC remplit les sous-critères «étape 1» suivants:

      1. sous-critère 1.1: sur le nombre d’entités financières de chacune des catégories d’entités financières visées à l’article 2, paragraphe 1, du règlement (UE) 2022/2554, la part que représentent les entités auxquelles ce même prestataire tiers fournit des services TIC qui soutiennent des fonctions critiques ou importantes;

      2. sous-critère 1.2: sur la valeur totale des actifs des entités financières de chacune des catégories d’entités financières visées à l’article 2, paragraphe 1, du règlement (UE) 2022/2554, la part que représente la valeur totale des actifs des entités financières auxquelles ce même prestataire tiers fournit des services TIC qui soutiennent des fonctions critiques ou importantes de ces entités.

    1. Le sous-critère 1.1 défini au paragraphe 1, point a), est calculé comme suit:

      nombre d’entités financières de la catégorie d’entités financières concernée

      visée à l’article 2,paragraphe 1,du règlement (UE) 2022/2554

      auxquelles ce même prestataire tiers fournit des services TIC

      à l'appui de fonctions critiques ou importantes de ces entités financières

      nombre d’entités financières de la catégorie d’entités financières concernée

      visée à l’article 2,paragraphe 1,du règlement (UE) 2022/2554

    1. Le sous-critère 1.2 défini au paragraphe 1, point b), est calculé comme suit:

      valeur totale des actifs des entités financières de la catégorie d’entités financières concernée

      visée à l’article 2,paragraphe 1,du règlement (UE) 2022/2554

      auxquelles ce même prestataire tiers fournit des services TIC

      à l'appui de fonctions critiques ou importantes de ces entités financières

      valeur totale des actifs de toutes les entités financières de l'UE relevant de la même catégorie

      visée à l’article 2,paragraphe 1,du règlement (UE) 2022/2554

    1. Un prestataire tiers de services TIC est considéré comme remplissant les sous-critères «étape 1» visés au paragraphe 1 lorsque pour au moins une des catégories d’entités financières visées à l’article 2, paragraphe 1, du règlement (UE) 2022/2554, les deux parts calculées conformément aux paragraphes 2 et 3 sont égales chacune à au moins 10 % du montant total.

    1. Lorsqu’elles appliquent le critère visé à l’article 31, paragraphe 2, point a), du règlement (UE) 2022/2554 et que le prestataire tiers de services TIC remplit les sous-critères «étape 1» visés au paragraphe 1 du présent article, les AES effectuent leur évaluation à l’aune des sous-critères «étape 2» suivants:

      1. sous-critère 1.3: l’intensité de l’incidence d’une interruption des services TIC de ce prestataire sur les activités et opérations des entités financières identifiées dans le cadre des sous-critères «étape 1» visés au paragraphe 1 du présent article, et le nombre d’entités financières concernées;

      2. sous-critère 1.4: la dépendance du prestataire tiers critique de services TIC à l’égard de mêmes sous-traitants fournissant des services TIC qui soutiennent des fonctions critiques ou importantes d’entités financières.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod