Source: OJ L 333, 27.12.2022, pp. 153–163Current language: FR
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA directive
Article 7 Modifications de la directive (UE) 2015/2366
Summary What does Article 7 of the DORA directive say?
This article amends the Payment Services Directive (PSD2, Directive (EU) 2015/2366) to align it with DORA (Regulation (EU) 2022/2554).
It is a substantial amendment article that touches multiple provisions of PSD2, updating authorisation requirements, security obligations, outsourcing rules, and incident reporting to ensure consistency with DORA's framework.
The overarching effect is that payment institutions and related entities must now demonstrate compliance with DORA's ICT risk management and digital operational resilience standards as part of their existing PSD2 obligations, rather than treating the two frameworks as separate.
Important points:
- Ensure that authorisation applications include descriptions of governance, ICT service arrangements, incident handling procedures, and business continuity plans that are aligned with Regulation (EU) 2022/2554.
- Outsourcing of important operational functions, including ICT systems, must not materially impair the payment institution's internal control or the ability of competent authorities to monitor compliance.
- EBA is required to review and, if appropriate, update its regulatory technical standards on a regular basis to take account of innovation, technological developments, and the provisions of Chapter II of Regulation (EU) 2022/2554.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
La directive (UE) 2015/2366 est modifiée comme suit:
À l’article 3, le point j) et remplacé par le texte suivant:
«aux services fournis par des prestataires de services techniques à l’appui de la fourniture de services de paiement, sans qu’ils entrent, à aucun moment, en possession des fonds à transférer et consistant notamment dans le traitement et l’enregistrement des données, les services de protection de la confiance et de la vie privée, l’authentification des données et des entités, la fourniture de technologies de l’information et de la communication (TIC) et la fourniture de réseaux de communication, ainsi que la fourniture et la maintenance des terminaux et dispositifs utilisés aux fins des services de paiement, à l’exception des services d’initiation de paiement et des services d’information sur les comptes;».
À l’article 5, le paragraphe 1 est modifié comme suit:
le premier alinéa est modifié comme suit:
le point e) est remplacé par le texte suivant:
«une description du dispositif de gouvernance d’entreprise et des mécanismes de contrôle interne, notamment des procédures administratives, de gestion des risques et comptables du demandeur, ainsi que des dispositions relatives à l’utilisation des services TIC conformément au règlement (UE) 2022/2554 du Parlement européen et du Conseil(21), qui démontre que ce dispositif de gouvernance d’entreprise et ces mécanismes de contrôle interne sont proportionnés, adaptés, sains et adéquats;
le point f) est remplacé par le texte suivant:
«une description de la procédure en place pour assurer la surveillance, le traitement et le suivi des incidents de sécurité et des réclamations de clients liées à la sécurité, y compris un mécanisme de signalement des incidents qui tient compte des obligations de notification incombant à l’établissement de paiement fixées au chapitre III du règlement (UE) 2022/2554;»;
le point h) est remplacé par le texte suivant:
«une description des dispositions en matière de continuité des activités, y compris une désignation claire des opérations critiques, une politique et des plans en matière de continuité des activités de TIC et des plans de réponse et de rétablissement des TIC efficaces, ainsi qu’une procédure prévoyant de tester et de réexaminer régulièrement le caractère adéquat et l’efficacité de ces plans conformément au règlement (UE) 2022/2554;»;
le troisième alinéa est remplacé par le texte suivant:
«La description des mesures de maîtrise et d’atténuation des risques en matière de sécurité visée au premier alinéa, point j), indique comment ces mesures garantissent un niveau élevé de résilience opérationnelle numérique conformément au chapitre II du règlement (UE) 2022/2554, notamment en ce qui concerne la sécurité technique et la protection des données, y compris pour les logiciels et les systèmes de TIC utilisés par le demandeur ou par les entreprises vers lesquelles il externalise la totalité ou une partie de ses activités. Ces mesures incluent également les mesures de sécurité prévues à l’article 95, paragraphe 1, de la présente directive. Elles tiennent compte des orientations de l’ABE relatives aux mesures de sécurité, visées à l’article 95, paragraphe 3, de la présente directive, une fois celles-ci établies.».
À l’article 19, paragraphe 6, le deuxième alinéa est remplacé par le texte suivant:
«L’externalisation de fonctions opérationnelles importantes, y compris les systèmes de TIC, ne peut être faite d’une manière qui nuise sérieusement à la qualité du contrôle interne de l’établissement de paiement et à la capacité des autorités compétentes de contrôler et d’établir que cet établissement respecte bien l’ensemble des obligations fixées par la présente directive.».
À l’article 95, paragraphe 1, l’alinéa suivant est ajouté:
«Le premier alinéa est sans préjudice de l’application du chapitre II du règlement (UE) 2022/2554 aux:
prestataires de services de paiement visés à l’article 1er, paragraphe 1, points a), b) et d), de la présente directive;
prestataires de services d’information sur les comptes visés à l’article 33, paragraphe 1, de la présente directe;
établissements de paiement exemptés en vertu de l’article 32, paragraphe 1, de la présente directive;
établissements de monnaie électronique bénéficiant d’une exemption visés à l’article 9, paragraphe 1, de la directive 2009/110/CE.».
À l’article 96, le paragraphe suivant est ajouté:
Les États membres veillent à ce que les paragraphes 1 à 5 du présent article ne s’appliquent pas aux:
prestataires de services de paiement visés à l’article 1er, paragraphe 1, points a), b) et d), de la présente directive:
prestataires de services d’information sur les comptes visés à l’article 33, paragraphe 1, de la présente directive;
établissements de paiement exemptés en vertu de l’article 32, paragraphe 1, de la présente directive;
établissements de monnaie électronique bénéficiant d’une exemption visés à l’article 9, paragraphe 1, de la directive 2009/110/CE.».
À l’article 98, le paragraphe 5 est remplacé par le texte suivant:
Conformément à l’article 10 du règlement (UE) no 1093/2010, l’ABE réexamine et, le cas échéant, met à jour les normes techniques de réglementation à intervalles réguliers, afin notamment de tenir compte de l’innovation et des progrès technologiques, ainsi que des dispositions du chapitre II du règlement (UE) 2022/2554.».
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
établissement de paiement
(En. payment institution)
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
services TIC
(En. ICT services)
Definition
résilience opérationnelle numérique
(En. digital operational resilience)
Definition
établissement de monnaie électronique
(En. electronic money institution)
Definition
prestataire tiers de services TIC
(En. ICT third-party service provider)
Definition
prestataires de services d’information sur les comptes
(En. account information service provider)
Footnote 21