Article 29 Évaluation préliminaire du risque de concentration de TIC au niveau de l’entité

Summary What does Article 29 of the DORA regulation say?

This article extends the risk assessment obligations established in Article 28, focusing specifically on ICT concentration risk and the complexities of subcontracting chains.

It requires financial entities, when assessing a prospective ICT arrangement for critical or important functions, to consider whether that arrangement could create problematic dependencies — such as relying on a provider that cannot easily be replaced, or accumulating multiple arrangements with the same provider or closely connected providers.

The article then broadens its scope to address subcontracting scenarios, requiring financial entities to weigh the risks of further subcontracting, consider insolvency implications, and account for the additional complications that arise when providers or subcontractors are established in third countries.

Important points:

Assess whether a new ICT arrangement for critical or important functions would create concentration risk through non-substitutable or closely connected providers, and weigh the benefits and costs of alternative solutions.
Where subcontracting of critical or important functions is permitted, assess the risks of subcontracting chains — including third-country subcontractors — and consider the insolvency law provisions that would apply if the provider went bankrupt.
Where a provider supporting critical or important functions is established in a third country, also consider compliance with Union data protection rules and the effective enforcement of law in that country.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Lorsqu’elles procèdent à l’identification et à l’évaluation des risques visés à l’article 28, paragraphe 4, point c), les entités financières déterminent également si la conclusion envisagée d’un accord contractuel portant sur des services TIC qui soutiennent des fonctions critiques ou importantes déboucherait sur l’une des situations suivantes:
  1. la conclusion d’un contrat avec un prestataire tiers de services TIC dont les services ne sont pas facilement substituables; ou
  2. la mise en place de plusieurs accords contractuels relatifs à la fourniture de services TIC qui soutiennent des fonctions critiques ou importantes avec le même prestataire tiers de services TIC ou avec des prestataires tiers de services TIC étroitement liés.
2. Les entités financières évaluent les avantages et les coûts des solutions alternatives, telles que le recours à différents prestataires tiers de services TIC, en tenant compte de la compatibilité éventuelle des solutions envisagées avec leurs besoins et leurs objectifs définis dans leur stratégie de résilience numérique, et de la manière de garantir cette compatibilité.
1. Lorsque les accords contractuels relatifs à l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes prévoient la possibilité qu’un prestataire tiers de services TIC sous-traite des services TIC qui soutiennent une fonction critique ou importante à d’autres prestataires tiers de services TIC, les entités financières évaluent les avantages et les risques qui peuvent découler de cette sous-traitance, en particulier dans le cas d’un sous-traitant de services TIC établi dans un pays tiers.
2. Lorsque des accords contractuels concernent des services TIC qui soutiennent des fonctions critiques ou importantes, les entités financières tiennent dûment compte des dispositions de la législation en matière d’insolvabilité qui s’appliqueraient en cas de faillite du prestataire tiers de services TIC, ainsi que de toute contrainte qui pourrait survenir relativement à la récupération urgente des données de l’entité financière.
3. Lorsque des accords contractuels relatifs à l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes sont conclus avec un prestataire tiers de services TIC établi dans un pays tiers, les entités financières tiennent également compte, en plus des considérations visées au deuxième alinéa, du respect des règles de l’Union en matière de protection des données et de l’application effective de la législation dans ce pays tiers.
4. Lorsque les accords contractuels relatifs à l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes prévoient une sous-traitance, les entités financières évaluent si et comment des chaînes de sous-traitance potentiellement longues ou complexes sont susceptibles de compromettre leur capacité à assurer un suivi rigoureux des fonctions visées par le contrat et la capacité de l’autorité compétente à surveiller efficacement l’entité financière à cet égard.

Relevant recitals

Considérant 62 Guiding rules for monitoring ICT third-party risk

Afin d’assurer un suivi efficace du risque lié aux prestataires tiers de services TIC dans le secteur financier, il convient d’établir un ensemble de règles de principe destinées à guider les entités financières lors du suivi des risques engendrés par l’externalisation de fonctions à des prestataires tiers de services TIC, en particulier pour les services TIC qui soutiennent des fonctions critiques ou importantes, ainsi que, plus généralement, par les relations de dépendance à l’égard de tous les prestataires tiers de services TIC.

Considérant 66 Thorough pre-contracting analysis for ICT third-party services

Une analyse précontractuelle approfondie devrait étayer et précéder la conclusion formelle des accords contractuels, en particulier en se concentrant sur des éléments tels que la criticité ou l’importance des services faisant l’objet du contrat TIC envisagé, les accords nécessaires des autorités de contrôle ou d’autres conditions, l’éventuel risque de concentration encouru, ainsi qu’en appliquant la diligence requise dans le processus de sélection et d’évaluation des prestataires tiers de services TIC et en analysant les éventuels conflits d’intérêts. En ce qui concerne les accords contractuels portant sur des fonctions critiques ou importantes, les entités financières devraient prendre en considération l’utilisation par les prestataires tiers de services TIC des normes les plus actualisées et les plus élevées en matière de sécurité de l’information. La résiliation des accords contractuels pourrait être déclenchée à tout le moins par un ensemble de circonstances révélant des insuffisances au niveau du prestataire tiers de services TIC, notamment des violations des dispositions législatives ou contractuelles, des circonstances révélant une possible altération de l’exécution des fonctions prévues par les accords contractuels, des faiblesses avérées du prestataire tiers de services TIC dans sa gestion globale du risque lié aux TIC, ou des circonstances indiquant l’incapacité de l’autorité compétente concernée à surveiller efficacement l’entité financière.

Considérant 67 Gradual approach to ICT third-party concentration risk

Afin de remédier à l’effet systémique du risque de concentration des prestataires tiers de services TIC, le présent règlement privilégie une solution équilibrée au moyen d’une approche souple et progressive en ce qui concerne ce risque de concentration, car l’imposition de tout plafond rigide ou de toute limitation stricte serait susceptible d’entraver la conduite des affaires et de restreindre la liberté contractuelle. Les entités financières devraient procéder à une évaluation rigoureuse des accords contractuels qu’elles envisagent afin de déterminer la probabilité qu’un tel risque apparaisse, y compris au moyen d’analyses approfondies des accords de sous-traitance, en particulier lorsqu’ils sont conclus avec des prestataires tiers de services TIC établis dans un pays tiers. À ce stade, et en vue de trouver un juste équilibre entre la nécessité de préserver la liberté contractuelle et celle de garantir la stabilité financière, il n’est pas jugé approprié de définir des règles concernant des plafonds et des limites stricts pour les expositions aux prestataires tiers de services TIC. Dans le contexte du cadre de supervision, un superviseur principal nommé conformément au présent règlement devrait, en ce qui concerne les prestataires tiers critiques de services TIC, veiller tout particulièrement à saisir pleinement l’ampleur des interdépendances, à détecter les cas spécifiques dans lesquels un degré élevé de concentration de prestataires tiers critiques de services TIC dans l’Union est susceptible de mettre à mal la stabilité et l’intégrité du système financier de l’Union et à maintenir un dialogue avec les prestataires tiers critiques de services TIC lorsque ce risque spécifique est avéré.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.