Art. 33 Tâches du superviseur principal | DORA regulation | DORA

This article sits at the heart of the Oversight Framework established under Article 31, detailing how the Lead Overseer actually carries out its supervision of critical ICT third-party service providers.

The Lead Overseer is designated as the sole primary contact for each assigned critical provider and is tasked with assessing whether those providers have adequate rules, procedures and arrangements in place to manage the ICT risk they pose to financial entities.

The article sets out a broad checklist of areas that assessment must cover — from physical security and governance through to incident reporting, data portability and adherence to relevant standards.

Following that assessment, the Lead Overseer must produce an annual oversight plan, coordinated with the Joint Oversight Network, which is shared with the critical provider before adoption, giving the provider a window to respond.

Once that plan is in place, other competent authorities can only act on the relevant critical provider with the Lead Overseer's agreement.

Important points:

The Lead Overseer is required to assess whether each critical ICT third-party service provider has comprehensive and effective arrangements to manage the ICT risk it poses to financial entities, covering areas including governance, incident management, data portability, testing and audits.
The Lead Overseer must produce and communicate an annual individual oversight plan for each critical ICT third-party service provider, developed in coordination with the Joint Oversight Network.
Once the annual oversight plan is adopted, competent authorities may only take measures concerning the relevant critical ICT third-party service provider in agreement with the Lead Overseer.

1. Le superviseur principal, désigné conformément à l’article 31, paragraphe 1, point b), assure la supervision des prestataires tiers critiques de services TIC assignés et est, aux fins de toutes les questions liées à la supervision, le premier point de contact de ces prestataires tiers critiques de services TIC.
1. Aux fins du paragraphe 1, le superviseur principal détermine si chaque prestataire tiers critique de services TIC a mis en place des règles, des procédures, des mécanismes et des dispositifs complets, solides et efficaces pour gérer le risque lié aux TIC qu’il est susceptible de faire peser sur les entités financières.
2. L’évaluation visée au premier alinéa porte essentiellement sur les services TIC fournis par le prestataire tiers critique de services TIC qui soutient les fonctions critiques ou importantes des entités financières. Lorsque cela est nécessaire pour parer à tous les risques pertinents, cette évaluation s’étend aux services TIC qui soutiennent des fonctions autres que celles qui sont critiques ou importantes.
1. L’évaluation visée au paragraphe 2 comprend:
  1. des exigences en matière de TIC pour garantir, en particulier, la sécurité, la disponibilité, la continuité, l’extensibilité et la qualité des services que le prestataire tiers critique de services TIC fournit aux entités financières, ainsi que la capacité à maintenir à tout moment des normes élevées de disponibilité, d’authenticité, d’intégrité ou de confidentialité des données;
  2. la sécurité physique qui contribue à assurer la sécurité des TIC, y compris la sécurité des locaux, des installations et des centres de données;
  3. les processus de gestion des risques, y compris les politiques de gestion du risque lié aux TIC, la politique de continuité des activités de TIC et les plans de réponse et de rétablissement des TIC;
  4. les modalités de gouvernance, notamment une structure organisationnelle comportant des lignes de responsabilité et des règles d’imputabilité claires, transparentes et cohérentes permettant une gestion efficace du risque lié aux TIC;
  5. le recensement et le suivi des incidents importants liés aux TIC, ainsi que leur notification rapide aux entités financières, la gestion et la résolution de ces incidents, en particulier les cyberattaques;
  6. les mécanismes relatifs à la portabilité des données, à la portabilité des applications et à l’interopérabilité, qui garantissent un exercice effectif des droits de résiliation par les entités financières;
  7. les tests des systèmes, des infrastructures et des contrôles de TIC;
  8. les audits des TIC;
  9. l’utilisation des normes nationales et internationales pertinentes applicables à la fourniture de ses services TIC aux entités financières.
1. Sur la base de l’évaluation visée au paragraphe 2 et en coordination avec le réseau de supervision commun visé à l’article 34, paragraphe 1, le superviseur principal adopte un plan de supervision individuel clair, détaillé et motivé décrivant les objectifs annuels de supervision et les principales actions de supervision prévues pour chaque prestataire tiers critique de services TIC. Ce plan est communiqué chaque année au prestataire tiers critique de services TIC.
2. Avant l’adoption du plan de supervision, le superviseur principal communique le projet de plan de surveillance au prestataire tiers critique de services TIC.
3. Dès réception du projet de plan de supervision, le prestataire tiers critique de services TIC peut présenter, dans un délai de quinze jours civils, une déclaration motivée dans laquelle il démontre l’incidence attendue sur les clients qui sont des entités ne relevant pas du champ d’application du présent règlement et formule, le cas échéant, des solutions pour atténuer les risques.
1. Une fois que les plans annuels de supervision visés au paragraphe 4 ont été adoptés et notifiés aux prestataires tiers critiques de services TIC, les autorités compétentes ne peuvent prendre des mesures concernant les prestataires tiers critiques de services TIC qu’en accord avec le superviseur principal.