Article 32 Structure du cadre de supervision

Summary What does Article 32 of the DORA regulation say?

This article establishes the Oversight Forum, a sub-committee of the Joint Committee of the ESAs, created to support the oversight work introduced under Article 31 in relation to ICT third-party risk across financial sectors.

The article is structural in nature, setting out the Forum's purpose, composition, and working methods.

It describes how the Forum conducts yearly collective assessments of oversight activities over critical ICT third-party service providers, promotes best practices, and submits benchmarks to the Joint Committee.

The article also covers how independent experts may be brought in, and requires the ESAs to issue guidelines on cooperation between themselves and competent authorities.

Important points:

The Oversight Forum is established under the Joint Committee to coordinate oversight of ICT third-party risk at Union level, directly supporting the Lead Overseer framework set out in Article 31.
The Oversight Forum is composed of ESA Chairpersons and high-level representatives from each Member State's competent authority, with observers from the Commission, ECB, ESRB, and ENISA.
The ESAs are required to submit a yearly report on the application of this Section to the European Parliament, the Council, and the Commission.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Le comité mixte institue, conformément à l’article 57, paragraphe 1, des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010, le forum de supervision en tant que sous-comité dans le but de soutenir les travaux du comité mixte et du superviseur principal visé à l’article 31, paragraphe 1, point b), dans le domaine des risques liés aux prestataires tiers de services TIC dans les différents secteurs financiers. Le forum de supervision prépare les projets de positions communes et d’actes communs du comité mixte dans ce domaine.
2. Le forum de supervision examine régulièrement les évolutions pertinentes en matière de risques et de vulnérabilités des TIC et promeut une approche cohérente dans le suivi des risques liés aux prestataires tiers de services TIC au niveau de l’Union.
1. Le forum de supervision procède chaque année à une évaluation collective des résultats et des conclusions des activités de supervision menées pour l’ensemble des prestataires tiers critiques de services TIC et promeut des mesures de coordination visant à accroître la résilience opérationnelle numérique des entités financières, à encourager les bonnes pratiques en matière de gestion du risque de concentration informatique et à envisager des mesures d’atténuation des transferts de risques intersectoriels.
1. Le forum de supervision soumet des indices de référence exhaustifs concernant les prestataires tiers critiques de services TIC, qui seront adoptés par le comité mixte en tant que positions communes des AES, conformément à l’article 56, paragraphe 1, des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010.
1. Le forum de supervision se compose:
  1. des présidents des AES;
  2. d’un représentant de haut niveau du personnel en poste de l’autorité compétente concernée de chaque État membre, visée à l’article 46;
  3. des directeurs exécutifs de chaque AES et d’un représentant de la Commission, du CERS, de la BCE et de l’ENISA, en qualité d’observateurs;
  4. s’il y a lieu, d’un représentant supplémentaire d’une autorité compétente visée à l’article 46, de chaque État membre, en qualité d’observateur;
  5. le cas échéant, d’un représentant des autorités compétentes désignées ou établies conformément à la directive (UE) 2022/2555, responsables de la supervision d’une entité essentielle ou importante relevant de ladite directive, qui a été désignée en tant que prestataire tiers critique de services TIC, en qualité d’observateur.
2. Le forum de supervision peut, le cas échéant, demander l’avis d’experts indépendants désignés conformément au paragraphe 6.
1. Chaque État membre désigne l’autorité compétente concernée dont le membre du personnel est le représentant de haut niveau visé au paragraphe 4, premier alinéa, point b), et en informe le superviseur principal.
2. Les AES publient sur leur site internet la liste des représentants de haut niveau désignés par les États membres au sein de l’actuel personnel de l’autorité compétente concernée.
1. Les experts indépendants visés au paragraphe 4, deuxième alinéa, sont désignés par le forum de supervision parmi un groupe d’experts sélectionnés à l’issue d’une procédure de candidature publique et transparente.
2. Les experts indépendants sont désignés sur la base de leur expertise en matière de stabilité financière, de résilience opérationnelle numérique et de questions de sécurité des TIC. Ils agissent en toute indépendance et objectivité dans le seul intérêt de l’ensemble de l’Union et ne sollicitent ni ne suivent aucune instruction émanant des institutions ou organes de l’Union, des gouvernements des États membres ou d’autres entités publiques ou privées.
1. Conformément à l’article 16 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010, les AES publient, au plus tard le 17 juillet 2024, aux fins de la présente section, des orientations sur la coopération entre les AES et les autorités compétentes concernant les procédures et les conditions détaillées relatives à la répartition et à l’exécution des tâches entre les autorités compétentes et les AES, ainsi que les modalités des échanges d’informations qui sont nécessaires aux autorités compétentes pour assurer le suivi des recommandations, conformément à l’article 35, paragraphe 1, point d), adressées aux prestataires tiers critiques de services TIC.
1. Les exigences énoncées dans la présente section sont sans préjudice de l’application de la directive (UE) 2022/2555 et des autres règles de l’Union en matière de supervision applicables aux fournisseurs de services d’informatique en nuage.
1. Les AES, agissant par l’intermédiaire du comité mixte et sur la base des travaux préparatoires menés par le forum de supervision, présentent, une fois par an, un rapport sur l’application de la présente section au Parlement européen, au Conseil et à la Commission.

Relevant recitals

Considérant 31 Oversight framework for ICT third-party service providers

Compte tenu du risque systémique potentiel induit par des pratiques accrues d’externalisation et par la concentration des dépendances à l’égard des prestataires tiers de services TIC, et eu égard à l’insuffisance des mécanismes nationaux fournissant aux autorités de surveillance financière des outils adéquats permettant de quantifier et de qualifier le risque lié aux TIC se produisant chez les prestataires tiers critiques de services TIC et de remédier à leurs conséquences, il est nécessaire de mettre en place un cadre de supervision approprié permettant d’assurer un suivi continu des activités des prestataires tiers de services TIC qui sont des prestataires tiers critiques de services TIC pour les entités financières, tout en veillant à ce que la confidentialité et la sécurité des clients autres que les entités financières soient préservées. Bien que la fourniture de services TIC intra-groupe comporte des risques et des avantages spécifiques, elle ne devrait pas être automatiquement considérée comme moins risquée que la fourniture de services TIC par des prestataires extérieurs à un groupe financier, et devrait donc être soumise au même cadre réglementaire. Toutefois, lorsque les services TIC sont fournis au sein du même groupe financier, les entités financières peuvent avoir un contrôle plus strict sur les prestataires intra-groupe, ce qui doit être pris en considération dans l’évaluation générale des risques.

Considérant 76 Oversight Framework for critical ICT third-party providers

Afin de promouvoir la convergence et l’efficacité des approches des autorités de surveillance lorsqu’elles traitent le risque lié aux prestataires tiers de services TIC dans le secteur financier, ainsi que de renforcer la résilience opérationnelle numérique des entités financières qui dépendent de prestataires tiers critiques de services TIC pour la prestation de services TIC qui soutiennent la fourniture de services financiers, et de contribuer ainsi à préserver la stabilité du système financier de l’Union et l’intégrité du marché intérieur des services financiers, les prestataires tiers critiques de services TIC devraient être soumis à un cadre de supervision de l’Union. Bien que la mise en place du cadre de supervision soit justifiée par la valeur ajoutée d’une action au niveau de l’Union et en vertu du rôle et des spécificités inhérents à l’utilisation des services TIC dans la fourniture de services financiers, il convient dans le même temps de rappeler que cette solution ne semble appropriée que dans le contexte du présent règlement, qui traite spécifiquement de la résilience opérationnelle numérique dans le secteur financier. Toutefois, ce cadre de supervision ne devrait pas être considéré comme un nouveau modèle de surveillance par l’Union dans les domaines des services et activités financiers.

Considérant 79 Risks posed by critical ICT third-party providers

La transformation numérique que connaissent les services financiers a entraîné un niveau d’utilisation et de dépendance sans précédent à l’égard des services TIC. Étant donné qu’il est devenu inconcevable de fournir des services financiers sans recourir aux services d’informatique en nuage, aux solutions logicielles et aux services liés aux données, l’écosystème financier de l’Union est devenu intrinsèquement codépendant de certains services TIC fournis par des prestataires de services TIC. Certains de ces prestataires, innovants dans l’élaboration et l’application de technologies fondées sur les TIC, jouent un rôle considérable dans la fourniture de services financiers ou se sont intégrés dans la chaîne de valeur des services financiers. Ils sont donc devenus essentiels pour la stabilité et l’intégrité du système financier de l’Union. Cette dépendance généralisée à l’égard des services fournis par des prestataires tiers critiques de services TIC, associée à l’interdépendance des systèmes d’information de divers opérateurs de marché, crée un risque direct, et potentiellement grave, pour le système de services financiers de l’Union et pour la continuité de la fourniture des services financiers si des prestataires tiers critiques de services TIC venaient à subir des perturbations opérationnelles ou des cyberincidents majeurs. Les cyberincidents ont une capacité particulière à se multiplier et à se propager dans l’ensemble du système financier à un rythme beaucoup plus rapide que les autres types de risques faisant l’objet d’un suivi dans le secteur financier et peuvent s’étendre à d’autres secteurs et au-delà des frontières géographiques. Ils sont susceptibles d’évoluer en une crise systémique, dans le cadre de laquelle la confiance dans le système financier est érodée en raison de la perturbation des fonctions qui sous-tendent l’économie réelle ou de pertes financières considérables, atteignant un niveau auquel le système financier n’est pas en mesure de faire face, ou qui nécessite le déploiement d’importantes mesures d’absorption des chocs. Afin d’éviter que ces scénarios se produisent et mettent ainsi en péril la stabilité financière et l’intégrité de l’Union, il est essentiel de veiller à la convergence des pratiques de surveillance relatives aux risques liés aux prestataires tiers de services TIC dans le secteur financier, en particulier au moyen de nouvelles règles permettant à l’Union de superviser les prestataires tiers critiques de services TIC.

Considérant 87 Designation of Lead Overseer by preponderance

Afin que les prestataires tiers critiques de services TIC fassent l’objet d’une supervision appropriée et efficace à l’échelle de l’Union, le présent règlement prévoit que l’une des trois AES pourrait être désignée comme superviseur principal. L’assignation individuelle d’un prestataire tiers critique de services TIC à l’une des trois AES devrait découler d’une évaluation de la prépondérance des entités financières opérant dans les secteurs financiers pour lesquels cette AES assume des responsabilités. Cette approche devrait conduire à une répartition équilibrée des tâches et des responsabilités entre les trois AES, dans le contexte de l’exercice des fonctions de supervision, et devrait permettre une utilisation optimale des ressources humaines et de l’expertise technique disponibles dans chacune des trois AES.

Considérant 91 Operational principles for oversight

L’exercice de la supervision devrait être fondé sur trois principes opérationnels visant: a) une coopération étroite entre les AES dans leur rôle de superviseur principal, au moyen d’un réseau de supervision commun, b) la cohérence avec le cadre établi par la directive (UE) 2022/2555 (par une consultation volontaire des organismes relevant de ladite directive afin d’éviter la duplication des mesures visant les prestataires tiers critiques de services TIC), et c) l’application d’une diligence afin de réduire au minimum l’éventuel risque de perturbation des services fournis par les prestataires tiers critiques de services TIC aux clients qui sont des entités ne relevant pas du champ d’application du présent règlement.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.