Article 35 Pouvoirs du superviseur principal

Summary What does Article 35 of the DORA regulation say?

This article is the enforcement backbone of the Oversight Framework established in the preceding articles, setting out in detail the powers available to the Lead Overseer when overseeing critical ICT third-party service providers.

It covers the full range of oversight tools — from requesting information and conducting investigations, to issuing recommendations and imposing daily financial penalties for non-compliance.

The article also establishes procedural safeguards, requiring the Lead Overseer to consult the Oversight Forum before acting, coordinate within the Joint Oversight Network, and give providers an opportunity to be heard before penalties are imposed.

Important points:

The Lead Overseer has the power to request information, conduct investigations and inspections, issue recommendations, and impose daily penalty payments of up to 1% of average daily worldwide turnover on critical ICT third-party service providers that fail to comply.
Critical ICT third-party service providers are required to cooperate in good faith with the Lead Overseer and assist it in fulfilling its tasks.
The Lead Overseer must consult the Oversight Forum before exercising its powers and must give providers 30 calendar days to respond before issuing recommendations that may affect customers outside the scope of this Regulation.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Aux fins de l’exécution des tâches prévues dans la présente section, le superviseur principal dispose des pouvoirs suivants en ce qui concerne les prestataires tiers critiques de services TIC:
  1. demander l’ensemble des informations et des documents pertinents conformément à l’article 37;
  2. mener des enquêtes et des inspections générales conformément à l’article 38 et à l’article 39, respectivement;
  3. demander, au terme des activités de supervision, des rapports dans lesquels sont précisées les mesures qui ont été prises ou les solutions qui ont été mises en œuvre par les prestataires tiers critiques de services TIC en ce qui concerne les recommandations visées au point d) du présent paragraphe;
  4. formuler des recommandations dans les domaines visés à l’article 33, paragraphe 3, notamment en ce qui concerne:
    le recours à des exigences ou à des processus spécifiques de sécurité et de qualité en matière de TIC, en particulier en ce qui concerne le déploiement de correctifs, de mises à jour, de mesures de chiffrement et d’autres mesures de sécurité que le superviseur principal juge pertinentes pour garantir la sécurité en matière de TIC des services fournis aux entités financières;
    le recours à des conditions et des modalités, y compris leur mise en œuvre technique, en vertu desquelles les prestataires tiers critiques de services TIC fournissent des services TIC aux entités financières, que le superviseur principal juge pertinentes pour prévenir l’émergence de points uniques de défaillance ou leur amplification, ou pour réduire au maximum l’effet systémique éventuel dans l’ensemble du secteur financier de l’Union en cas de risque de concentration informatique;
    toute sous-traitance envisagée, lorsque le superviseur principal estime que la poursuite de la sous-traitance, y compris les accords d’externalisation que les prestataires tiers critiques de services TIC prévoient de conclure avec des prestataires tiers de services TIC ou avec des sous-traitants de TIC établis dans un pays tiers, peut entraîner des risques pour la fourniture de services par l’entité financière ou des risques pour la stabilité financière, sur la base de l’examen des informations recueillies conformément aux articles 37 et 38;
    l’abstention de conclure un nouvel accord de sous-traitance, lorsque les conditions cumulatives suivantes sont remplies:
    le sous-traitant envisagé est un prestataire tiers de services TIC ou un sous-traitant de TIC établi dans un pays tiers,
    la sous-traitance concerne des fonctions critiques ou importantes de l’entité financière, et
    le superviseur principal estime que le recours à la sous-traitance présente un risque clair et sérieux pour la stabilité financière de l’Union ou pour les entités financières, y compris en ce qui concerne la capacité des entités financières à se conformer aux exigences prudentielles.
    Aux fins du point iv) du présent point, les prestataires tiers de services TIC transmettent au superviseur principal, en utilisant le modèle visé à l’article 41, paragraphe 1, point b), les informations relatives à la sous-traitance.
1. Lorsqu’il exerce les pouvoirs visés au présent article, le superviseur principal:
  1. assure une coordination régulière au sein du réseau de supervision commun et, en particulier, s’efforce d’adopter des approches cohérentes, le cas échéant, en ce qui concerne la supervision des prestataires tiers critiques de services TIC;
  2. tient dûment compte du cadre établi par la directive (UE) 2022/2555 et, s’il y a lieu, consulte les autorités compétentes concernées désignées ou établies conformément à ladite directive, afin d’éviter la duplication des mesures techniques et organisationnelles qui pourraient s’appliquer aux prestataires tiers critiques de services TIC en vertu de ladite directive;
  3. s’efforce de réduire au minimum, dans la mesure du possible, le risque de perturbation des services fournis par des prestataires tiers critiques de services TIC à des clients qui sont des entités ne relevant pas du champ d’application du présent règlement.
1. Le superviseur principal consulte le forum de supervision avant d’exercer les pouvoirs visés au paragraphe 1.
2. Avant de formuler des recommandations conformément au paragraphe 1, point d), le superviseur principal donne au prestataire tiers de services TIC la possibilité de fournir, dans un délai de trente jours civils, des informations pertinentes dans lesquelles il démontre l’incidence attendue sur les clients qui sont des entités ne relevant pas du champ d’application du présent règlement et, le cas échéant, formule des solutions pour atténuer les risques.
1. Le superviseur principal informe le réseau de supervision commun du résultat de l’exercice des pouvoirs visés au paragraphe 1, points a) et b). Le superviseur principal transmet sans retard injustifié les rapports visés au paragraphe 1, point c), au réseau de supervision commun et aux autorités compétentes des entités financières qui utilisent les services TIC de ce prestataire tiers critique de services TIC.
1. Les prestataires tiers critiques de services TIC coopèrent de bonne foi avec le superviseur principal, et l’assistent dans l’accomplissement de ses tâches.
1. En cas de non-respect total ou partiel des mesures à adopter en vertu de l’exercice des pouvoirs visés au paragraphe 1, points a), b) et c), et après l’expiration d’un délai d’au moins trente jours civils à compter de la date à laquelle le prestataire tiers critique de services TIC a reçu notification des mesures correspondantes, le superviseur principal adopte une décision imposant une astreinte pour obliger le prestataire tiers critique de services TIC à se conformer à ces mesures.
1. L’astreinte visée au paragraphe 6 est imposée sur une base journalière jusqu’à ce que la conformité soit atteinte et pendant une période maximale de six mois à compter de la notification au prestataire tiers critique de services TIC de la décision d’imposer une astreinte.
1. Le montant de l’astreinte, calculé à partir de la date indiquée dans la décision d’astreinte, est égal à 1 % au maximum du chiffre d’affaires quotidien moyen réalisé au niveau mondial par le prestataire tiers critique de services TIC au cours de l’exercice précédent. Lorsqu’il détermine le montant de l’astreinte, le superviseur principal tient compte des critères suivants concernant le non-respect des mesures visées au paragraphe 6:
  1. la gravité et la durée du non-respect;
  2. si le non-respect est délibéré ou résulte d’une négligence;
  3. le niveau de coopération du prestataire tiers de services TIC avec le superviseur principal.
2. Aux fins du premier alinéa, afin de garantir une approche cohérente, le superviseur principal procède à des consultations au sein du réseau de supervision commun.
1. Les astreintes sont de nature administrative et sont exécutoires. L’exécution forcée est régie par les règles de la procédure civile en vigueur dans l’État membre sur le territoire duquel les inspections sont effectuées et l’accès accordé. Les juridictions de l’État membre concerné sont compétentes pour statuer sur les plaintes relatives à un comportement abusif en matière d’exécution. Les montants des astreintes sont affectés au budget général de l’Union européenne.
1. Le superviseur principal rend publique toute astreinte infligée, sauf dans les cas où cette publication perturberait gravement les marchés financiers ou causerait un préjudice disproportionné aux parties en cause.
1. Avant d’imposer une astreinte en vertu du paragraphe 6, le superviseur principal donne aux représentants du prestataire tiers critique de services TIC faisant l’objet de la procédure la possibilité d’être entendus sur les conclusions et ne fonde ses décisions que sur les conclusions sur lesquelles le prestataire tiers critique de services TIC faisant l’objet de la procédure a eu la possibilité de formuler des observations.
2. Les droits de la défense des personnes faisant l’objet de la procédure sont pleinement assurés au cours de la procédure. Le prestataire tiers critique de services TIC faisant l’objet de la procédure dispose d’un droit d’accès au dossier, sous réserve de l’intérêt légitime d’autres personnes à ce que leurs secrets d’affaires ne soient pas divulgués. Le droit d’accès au dossier ne s’étend pas aux informations confidentielles ni aux documents préparatoires internes du superviseur principal.

Relevant recitals

Considérant 81 Enforceability of penalties for ICT third-party service providers

Dans ce contexte, la nécessité pour le superviseur principal d’imposer des astreintes pour contraindre les prestataires tiers critiques de services TIC à se conformer aux obligations en matière de transparence et d’accès énoncées dans le présent règlement ne devrait pas être compromise par les difficultés liées à l’exécution de ces astreintes en ce qui concerne les prestataires tiers critiques de services TIC établis dans des pays tiers. Afin de garantir le caractère exécutoire de ces astreintes, ainsi que de permettre une mise en œuvre rapide des procédures permettant de veiller au respect des droits de la défense des prestataires tiers critiques de services TIC dans le contexte du mécanisme de désignation et de la formulation de recommandations, ces prestataires tiers critiques de services TIC, qui fournissent à des entités financières des services ayant une incidence sur la fourniture de services financiers, devraient être tenus de maintenir une présence adéquate dans l’Union. En raison de la nature de la supervision, et de l’absence de dispositifs comparables dans d’autres juridictions, il n’existe aucun autre mécanisme approprié qui garantisse la réalisation de cet objectif au moyen d’une coopération efficace avec les autorités de surveillance financière des pays tiers en ce qui concerne la surveillance de l’incidence des risques opérationnels numériques que représentent les prestataires tiers systémiques de services TIC pouvant être considérés comme des prestataires tiers critiques de services TIC établis dans des pays tiers. Par conséquent, afin de continuer à fournir des services TIC à des entités financières dans l’Union, un prestataire tiers de services TIC établi dans un pays tiers qui a été désigné comme critique conformément au présent règlement devrait prendre, dans un délai de 12 mois à compter de cette désignation, toutes les dispositions nécessaires pour veiller à sa constitution dans l’Union, en établissant une filiale, définie dans l’ensemble de l’acquis de l’Union, notamment dans la directive 2013/34/UE du Parlement européen et du Conseil(²¹).

Considérant 88 Powers of the Lead Overseer

Les superviseurs principaux devraient se voir confier les pouvoirs nécessaires pour mener des enquêtes, réaliser des inspections sur place et hors site des locaux et sites des prestataires tiers critiques de services TIC et obtenir des informations complètes et actualisées. Ces pouvoirs devraient permettre au superviseur principal de se faire une idée précise du type, de la dimension et des incidences du risque que les prestataires tiers de services TIC représentent pour les entités financières et, en définitive, pour le système financier de l’Union. Il est indispensable d’accorder aux AES le rôle de superviseur principal afin de cerner et de prendre en compte la dimension systémique du risque lié aux TIC dans le secteur financier. L’incidence des prestataires tiers critiques de services TIC sur le secteur financier de l’Union et les problèmes éventuels causés par le risque de concentration informatique qui en découlent nécessitent l’adoption d’une approche collective au niveau de l’Union. La réalisation simultanée d’une multiplicité d’audits et de droits d’accès, exercés séparément par de nombreuses autorités compétentes avec une coordination limitée, voire inexistante, empêcherait les autorités de surveillance financière de disposer d’une vue d’ensemble complète et exhaustive du risque lié aux prestataires tiers de services TIC dans l’Union, tandis qu’elle engendrerait également une redondance, des charges et une complexité pour les prestataires tiers critiques de services TIC s’ils étaient confrontés à de nombreuses demandes de surveillance et d’inspection.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.