Article 31 Désignation de prestataires tiers critiques de services TIC

Summary What does Article 31 of the DORA regulation say?

This is a foundational article within DORA's Oversight Framework, establishing the mechanism by which ICT third-party service providers are designated as "critical" and subjected to formal supervision.

The ESAs, acting through the Joint Committee and on the recommendation of the Oversight Forum established under Article 32, are responsible for making these designations and appointing a Lead Overseer for each critical provider.

The designation criteria are substantive, covering factors such as systemic impact, the importance of the financial entities relying on the provider, the degree to which financial entities depend on it for critical or important functions, and how easily the provider could be substituted.

The article also sets out the procedural mechanics of designation, including notification rights, carve-outs for certain provider types, a Union-level public list, and a requirement that third-country critical providers establish a Union subsidiary within 12 months of designation.

Important points:

The ESAs are responsible for designating critical ICT third-party service providers and appointing a Lead Overseer for each, based on criteria including systemic impact, the reliance of financial entities upon them, and their degree of substitutability.
Only make use of the services of a third-country ICT provider designated as critical if that provider has established a subsidiary in the Union within 12 months of its designation.
Certain providers are excluded from designation entirely, including ICT intra-group service providers and providers operating solely within a single Member State for financial entities active only in that Member State.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Les AES, agissant par l’intermédiaire du comité mixte et sur recommandation du forum de supervision établi conformément à l’article 32, paragraphe 1:
  1. désignent les prestataires tiers de services TIC qui sont critiques pour les entités financières, à l’issue d’une évaluation tenant compte des critères précisés au paragraphe 2;
  2. désignent comme superviseur principal pour chaque prestataire tiers critique de services TIC l’AES responsable, conformément aux règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 ou (UE) n^o 1095/2010, des entités financières totalisant ensemble la plus grande part d’actifs de la valeur du total des actifs de toutes les entités financières qui utilisent les services du prestataire tiers critique de services TIC concerné, sur la base de la somme des bilans individuels de ces entités financières.
1. La désignation visée au paragraphe 1, point a), repose sur l’ensemble des critères suivants en ce qui concerne les services TIC fournis par le prestataire tiers de services TIC:
  1. l’effet systémique sur la stabilité, la continuité ou la qualité de la fourniture de services financiers dans les cas où le prestataire tiers de services TIC concerné serait confronté à une défaillance opérationnelle à grande échelle dans la prestation de ses services, compte tenu du nombre d’entités financières et de la valeur totale des actifs des entités financières auxquelles le prestataire tiers de services TIC concerné fournit des services;
  2. le caractère ou l’importance systémique des entités financières qui dépendent du prestataire tiers de services TIC concerné, appréciés selon les paramètres suivants:
    le nombre d’établissements d’importance systémique mondiale (EISm) ou d’autres établissements d’importance systémique (autres EIS) qui dépendent du prestataire tiers de services TIC concerné;
    l’interdépendance entre les EISm ou les autres EIS visés au point i) et d’autres entités financières, y compris les situations dans lesquelles les EISm ou les autres EIS fournissent des services d’infrastructure financière à d’autres entités financières;
  3. la dépendance des entités financières à l’égard des services fournis par le prestataire tiers de services TIC concerné en ce qui concerne les fonctions critiques ou importantes des entités financières qui font en fin de compte intervenir le même prestataire tiers de services TIC, que les entités financières dépendent de ces services directement ou indirectement, par des accords de sous-traitance;
  4. le degré de substituabilité du prestataire tiers de services TIC, en tenant compte des paramètres suivants:
    l’absence de réelles solutions de substitution, même partielles, en raison du nombre limité de prestataires tiers de services TIC actifs sur un marché donné, ou de la part de marché du prestataire tiers de services TIC concerné, ou de la complexité ou du degré de sophistication technique en jeu, y compris en ce qui concerne toute technologie propriétaire, ou des caractéristiques spécifiques de l’organisation ou de l’activité du prestataire tiers de services TIC;
    des difficultés liées à la migration partielle ou totale des données et des charges de travail pertinentes du prestataire tiers de services TIC concerné vers un autre, en raison soit de coûts financiers importants, de contraintes de temps ou d’autres ressources que le processus de migration peut imposer, soit du risque lié aux TIC accru ou d’autres risques opérationnels auxquels l’entité financière est susceptible d’être exposée du fait de cette migration.
1. Lorsque le prestataire tiers de services TIC appartient à un groupe, les critères visés au paragraphe 2 sont considérés par rapport aux services TIC fournis par l’ensemble du groupe.
1. Les prestataires tiers critiques de services TIC qui font partie d’un groupe désignent une personne morale comme point de coordination afin de veiller à une représentation adéquate et à la communication avec le superviseur principal.
1. Le superviseur principal notifie au prestataire tiers de services TIC les résultats de l’évaluation menée en vue de la désignation visée au paragraphe 1, point a). Dans un délai de six semaines à compter de la notification, le prestataire tiers de services TIC peut adresser au superviseur principal une déclaration motivée contenant toute information pertinente aux fins de l’évaluation. Le superviseur principal tient compte de la déclaration motivée et peut demander que de plus amples informations soient transmises dans un délai de 30 jours civils à compter de la réception de cette déclaration.
2. Après avoir désigné un prestataire tiers de services TIC comme critique, les AES, agissant par l’intermédiaire du comité mixte, notifient au prestataire tiers de services TIC cette désignation ainsi que la date à partir de laquelle il fera effectivement l’objet d’activités de supervision. Cette date est fixée au plus tard un mois après la notification. Le prestataire tiers de services TIC notifie aux entités financières auxquelles il fournit des services la désignation le qualifiant de critique.
1. La Commission est habilitée à adopter un acte délégué conformément à l’article 57 pour compléter le présent règlement en précisant davantage les critères visés au paragraphe 2 du présent article, au plus tard le 17 juillet 2024.
1. La désignation visée au paragraphe 1, point a), n’est pas employée tant que la Commission n’a pas adopté un acte délégué conformément au paragraphe 6.
1. La désignation visée au paragraphe 1, point a), ne s’applique pas:
  1. aux entités financières qui fournissent des services TIC à d’autres entités financières;
  2. aux prestataires tiers de services TIC qui sont soumis à des cadres de supervision établis en vue de soutenir les missions visées à l’article 127, paragraphe 2, du traité sur le fonctionnement de l’Union européenne;
  3. aux prestataires tiers de services TIC intra-groupe;
  4. aux prestataires tiers de services TIC qui fournissent des services TIC dans un seul État membre à des entités financières qui ne sont actives que dans cet État membre.
1. Les AES, agissant par l’intermédiaire du comité mixte, établissent, publient et mettent à jour chaque année la liste des prestataires tiers critiques de services TIC au niveau de l’Union.
1. Aux fins du paragraphe 1, point a), les autorités compétentes transmettent, sur une base annuelle et agrégée, les rapports visés à l’article 28, paragraphe 3, troisième alinéa, au forum de supervision institué en vertu de l’article 32. Le forum de supervision évalue les relations de dépendance des entités financières à l’égard de prestataires tiers de services TIC sur la base des informations reçues des autorités compétentes.
1. Les prestataires tiers de services TIC qui ne figurent pas sur la liste visée au paragraphe 9 peuvent demander à être désignés comme critiques conformément au paragraphe 1, point a).
2. Aux fins du premier alinéa, le prestataire tiers de services TIC présente une demande motivée à l’ABE, à l’AEMF ou à l’AEAPP, lesquelles, par l’intermédiaire du comité mixte, décident de désigner ou non ce prestataire tiers de services TIC comme critique conformément au paragraphe 1, point a).
3. La décision visée au deuxième alinéa est adoptée et notifiée au prestataire tiers de services TIC dans un délai de six mois à compter de la réception de la demande.
1. Les entités financières ne font appel aux services d’un prestataire tiers de services TIC établi dans un pays tiers et ayant été désigné comme critique en vertu du paragraphe 1, point a), que si ce dernier a établi une filiale dans l’Union dans un délai de 12 mois à compter de la désignation.
1. Le prestataire tiers critique de services TIC visé au paragraphe 12 notifie au superviseur principal toute modification de la structure de la direction de la filiale établie dans l’Union.

Relevant recitals

Considérant 77 Designation mechanism for critical ICT third-party providers

Le cadre de supervision ne devrait s’appliquer qu’aux prestataires tiers critiques de services TIC. Un mécanisme de désignation devrait donc être mis en place pour tenir compte de la dimension et de la nature de la dépendance du secteur financier à l’égard de ces prestataires tiers de services TIC. Ce mécanisme devrait consister en un ensemble de critères quantitatifs et qualitatifs définissant les paramètres de criticité servant de référence aux fins de l’inclusion dans le cadre de supervision. Afin de veiller à l’exactitude de cette évaluation, et indépendamment de la structure sociale du prestataire tiers de services TIC, ces critères devraient, dans le cas d’un prestataire tiers de services TIC faisant partie d’un groupe plus large, prendre en considération l’ensemble de la structure du groupe du prestataire tiers de services TIC. D’une part, les prestataires tiers critiques de services TIC, qui ne sont pas automatiquement désignés par suite de l’application de ces critères, devraient avoir la possibilité d’adhérer au cadre de supervision à titre volontaire; d’autre part, les prestataires tiers de services TIC, qui sont déjà soumis à des cadres de supervision à l’appui de la réalisation des missions du Système européen de banques centrales visées à l’article 127, paragraphe 2, du traité sur le fonctionnement de l’Union européenne, devraient en être exemptés.

Considérant 78 Exemptions from Oversight Framework

De la même manière, les entités financières fournissant des services TIC à d’autres entités financières, bien qu’appartenant à la catégorie des prestataires tiers de services TIC au titre du présent règlement, devraient également être exemptées du cadre de supervision étant donné qu’elles sont déjà soumises aux mécanismes de surveillance établis par le droit de l’Union applicable aux services financiers. Le cas échéant, les autorités compétentes devraient tenir compte, dans le contexte de leurs activités de surveillance, du risque lié aux TIC que les entités financières fournissant des services TIC représentent pour les entités financières. De même, en raison des mécanismes de suivi des risques existants au niveau du groupe, la même exemption devrait être instaurée pour les prestataires tiers de services TIC qui fournissent des services principalement aux entités de leur propre groupe. Les prestataires tiers de services TIC fournissant des services TIC uniquement dans un État membre à des entités financières qui ne sont actives que dans cet État membre devraient également être exemptés du mécanisme de désignation en raison de leurs activités limitées et de l’absence d’incidence transfrontière.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.