Preamble Recitals

Pour évaluer si un prestataire tiers de services TIC est critique pour les entités financières, compte tenu des critères visés à l’article 31, paragraphe 2, du règlement (UE) 2022/2554, les autorités européennes de surveillance (AES) devraient appliquer des sous-critères dans le cadre d’une évaluation en deux étapes. Vu le nombre important de services TIC, ainsi que la diversité et le nombre d’établissements financiers utilisant ces services, cette approche en deux étapes s’impose pour filtrer la population des prestataires tiers de services TIC afin d’identifier les plus critiques d’entre eux. Les sous-critères quantitatifs à examiner dans le cadre de la première étape servent à effectuer une première sélection des prestataires tiers pour lesquels il conviendra d’approfondir l’analyse au moyen de sous-critères qualitatifs qui seront examinés dans le cadre de la deuxième étape.

La mesure dans laquelle les services TIC fournis par un prestataire tiers soutiennent des fonctions critiques ou importantes d’une entité financière est considérée comme un élément crucial de l’évaluation générale du caractère critique. L’évaluation de l’importance des activités des entités financières que les services TIC soutiennent devrait donc être intégrée dans tous les sous-critères examinés dans le cadre de la première étape. Par conséquent, la criticité des fonctions de ces entités ne devrait pas faire à part l’objet d’une évaluation quantitative lors de la première étape. La criticité et l’importance de ces fonctions devraient être examinées par les AES lors de la deuxième étape, qualitative, de l’évaluation.

L’évaluation devrait se faire au niveau de chaque prestataire tiers de services TIC ou, pour ceux qui font partie d’un groupe de prestataires tiers de services TIC, au niveau de chacun de ces groupes, conformément à l’article 31, paragraphe 3, du règlement (UE) 2022/2554. Afin de permettre une évaluation complète des effets systémiques potentiels sur le secteur financier de l’Union, les AES devraient aussi évaluer les sous-traitants TIC de prestataires tiers de services TIC et les désigner eux aussi comme prestataires tiers critiques de services TIC, si tel est le cas.

Pour déterminer l’effet systémique d’un prestataire tiers de services TIC sur la stabilité, la continuité ou la qualité de services financiers, il est primordial d’avoir une vision claire de l’ampleur et de la nature de l’impact systémique qu’une défaillance opérationnelle à grande échelle de ce prestataire aurait sur les entités financières qui dépendent de ses services et sur l’ensemble du système financier. Il convient donc de prendre en considération, au sein de chaque catégorie d’entités financières, non seulement le nombre d’entre elles qui utilisent les mêmes services TIC, mais aussi la valeur de leurs actifs, pour déterminer s’il est pertinent de considérer comme critique le prestataire tiers qui fournit ces services. Déterminer l’effet systémique des prestataires tiers de services TIC sur les activités d’entités financières nécessite en outre d’évaluer qualitativement l’importance systémique et l’interconnexion de ces prestataires et l’importance de leurs services pour, notamment, la stabilité et la continuité des services financiers de ces entités.

Pour déterminer le caractère systémique et l’importance des entités financières qui dépendent de services TIC, il est nécessaire de tenir compte de la nature de ces entités. Lorsque des entités financières qui sont classées comme EISm et autres EIS, ou qui sont identifiées comme «systémiques», dépendent des mêmes services TIC pour leurs fonctions critiques ou importantes, il convient d’établir si le prestataire tiers de services TIC qui fournit ces services doit être considéré comme critique pour le secteur financier de l’Union. Il convient aussi d’évaluer le degré d’interconnexion entre les entités financières du secteur financier de l’Union qui dépendent de services TIC fournis par un même prestataire tiers de services TIC, afin de déterminer leur degré de dépendance à l’égard de ce prestataire.

Les services TIC fournis à l’appui de fonctions critiques ou importantes d’entités financières devraient être évalués en fonction de leur type et de leur caractère critique pour ces entités, à qui elles sont nécessaires pour pouvoir exercer leurs activités sans aucune perturbation.

Pour déterminer le degré de substituabilité d’un prestataire tiers de services TIC, il convient que les AES prennent en compte, dans le cadre de leur évaluation, le nombre de ces prestataires qui sont actifs sur le marché concerné, l’existence d’autres solutions pour bénéficier du même service, et le coût du transfert, à d’autres prestataires tiers, des données et des tâches liées aux TIC.

Il est important, pour garantir la solidité du processus d’évaluation, que les AES, lorsqu’elles évaluent si des prestataires tiers de services TIC doivent être désignés comme critiques, s’appuient sur les données des registres d’informations prévus par l’article 28, paragraphe 3, du règlement (UE) 2022/2554, et sur toute autre information aisément disponible,