Source: OJ L, 2024/1502, 30.5.2024

Current language: FR

Article 5 Degré de substituabilité

Summary What does Article 5 of the Criteria for designating critical service providers say?

This article addresses the criticality designation criterion concerning the substitutability of an ICT third-party service provider — that is, how replaceable it is.

It follows the same two-step assessment structure established in Article 1, directing the ESAs to first test whether a provider crosses a measurable threshold of irreplaceability or migration difficulty, and then, if that threshold is met, to move to a deeper qualitative assessment drawn directly from DORA itself.

The two step 1 sub-criteria focus on the proportion of financial entities that either lack a viable alternative provider or would find it highly difficult to migrate away from the current one.

Important points:

  • The ESAs are required to assess substitutability by measuring the share of financial entities per category that have no adequate alternative provider available, and separately, those for which migration would be highly difficult.
  • The 10% threshold applies: an ICT third-party service provider clears the step 1 hurdle if either of those shares reaches at least 10% within any single category of financial entities.
  • If the step 1 threshold is met, the ESAs must then apply the step 2 sub-criterion referenced directly in Article 31(2), point (d)(i) of DORA, rather than one defined within this act.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Lorsqu’elles appliquent le critère visé à l’article 31, paragraphe 2, point d), du règlement (UE) 2022/2554, les AES évaluent si le prestataire tiers de services TIC remplit les sous-critères «étape 1» suivants:

      1. sous-critère 4.1: sur le nombre total d’entités financières de chacune des catégories d’entités financières visées à l’article 2, paragraphe 1, du règlement (UE) 2022/2554, la part que représentent les entités pour lesquelles il n’existe pas d’autre prestataire tiers de services TIC ayant la capacité requise pour fournir les mêmes services TIC que ceux que le prestataire concerné fournit à l’appui de fonctions critiques ou importantes de ces entités financières;

      2. sous-critère 4.2: sur le nombre total d’entités financières de chacune des catégories d’entités financières visées à l’article 2, paragraphe 1, du règlement (UE) 2022/2554, la part que représentent les entités pour lesquelles il est extrêmement difficile de se tourner vers un autre prestataire tiers de services TIC pour obtenir un service TIC que le prestataire concerné fournit à l’appui de fonctions critiques ou importantes de ces entités financières.

    1. Le sous-critère 4.1 défini au paragraphe 1, point a), est calculé comme suit:

      nombre d’entités financières de la catégorie d’entités financières concernée

      visée à l’article 2,paragraphe 1,du règlement (UE) 2022/2554

      pour lesquelles il n’existe pas d'autre prestataire tiers de services TIC

      ayant la capacité requise pour fournir les mêmes services TIC

      que celui que le prestataire concerné fournit

      à l'appui de fonctions critiques ou importantes de ces entités financières

      nombre total d’entités financières de la catégorie d’entités financières concernée

      visée à l’article 2,paragraphe 1,du règlement (UE) 2022/2554

    1. Le sous-critère défini au paragraphe 1, point b), est calculé comme suit:

      nombre d’entités financières de la catégorie d’entités financières concernée

      visée à l’article 2,paragraphe 1,du règlement (UE) 2022/2554

      pour lesquelles il est extrêmement difficile de se tourner vers un autre prestataire tiers de services TIC

      pour obtenir ou réintégrer un service TIC que le prestataire concerné fournit

      à l'appui de fonctions critiques ou importantes de ces entités financières

      nombre total d’entités financières de l'UE relevant de la catégorie d’entités financières concernée

      visée à l’article 2,paragraphe 1,du règlement (UE) 2022/2554

    1. Un prestataire tiers de services TIC est considéré comme remplissant les deux sous-critères 4.1 et 4.2 dès lors que l’une des conditions suivantes est remplie:

      1. la part que représente le nombre total d’entités financières visées au paragraphe 1, point a), sur le nombre total d’entités financières d’une catégorie d’entités financières visée à l’article 2, paragraphe 1, du règlement (UE) 2022/2554 est d’au moins 10 %;

      2. la part que représente le nombre total d’entités financières visées au paragraphe 1, point b), sur le nombre total d’entités financières d’une catégorie d’entités financières visée à l’article 2, paragraphe 1, du règlement (UE) 2022/2554 est d’au moins 10 %.

    1. Lorsqu’elles appliquent le critère visé à l’article 31, paragraphe 2, point d), du règlement (UE) 2022/2554 et que le prestataire tiers de services TIC remplit les sous-critères «étape 1» visés au paragraphe 1 du présent article, les AES effectuent leur évaluation à l’aune du sous-critère «étape 2» défini à l’article 31, paragraphe 2, point d) i) du règlement (UE) 2022/2554.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod