Source: OJ L 333, 27.12.2022, p. 1–79Current language: FR
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Article 37 Demande d’informations
Summary What does Article 37 of the DORA regulation say?
This article sits within the Oversight Framework and details the information-gathering powers of the Lead Overseer over critical ICT third-party service providers.
It establishes two distinct mechanisms through which the Lead Overseer can compel the provision of information: a simple request (which is voluntary in nature) and a formal decision (which is binding and carries penalties for non-compliance).
The article carefully sets out what each type of request must contain, and makes clear that responsibility for the accuracy and completeness of any information supplied rests with the critical ICT third-party service provider, even if lawyers submit it on their behalf.
It also connects back to Article 35, as the periodic penalty payments referenced for non-compliance are those established there.
Important points:
- The Lead Overseer has two routes to obtain information from critical ICT third-party service providers: a simple request (voluntary, but any response must not be incorrect or misleading) or a binding decision (which carries the risk of periodic penalty payments for non-compliance or late delivery).
- Critical ICT third-party service providers remain fully responsible for any information supplied, regardless of who physically submits it.
- The Lead Overseer is required to transmit a copy of any formal decision to supply information to the relevant competent authorities and to the Joint Oversight Network without delay.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Le superviseur principal peut, sur simple demande ou par voie de décision, exiger des prestataires tiers critiques de services TIC qu’ils fournissent toutes les informations nécessaires à l’exécution des tâches qui lui incombent en vertu du présent règlement, notamment tous les documents commerciaux ou opérationnels, contrats, documents stratégiques, rapports d’audit de sécurité des TIC, rapports d’incidents liés aux TIC, ainsi que toute information relative aux parties auxquelles le prestataire tiers critique de services TIC a externalisé des fonctions ou activités opérationnelles.
Lorsqu’il sollicite des renseignements par simple demande en vertu du paragraphe 1, le superviseur principal:
se réfère au présent article en tant que base juridique de la demande;
indique le but de la demande;
précise la nature des informations demandées;
fixe un délai dans lequel ces informations doivent être communiquées;
informe le représentant du prestataire tiers critique de services TIC auquel les informations sont demandées qu’il n’est pas tenu de les communiquer, mais que toute réponse donnée volontairement à la demande de renseignements ne doit pas être inexacte ni trompeuse.
Lorsqu’il demande des informations par voie de décision en vertu du paragraphe 1, le superviseur principal:
se réfère au présent article en tant que base juridique de la demande;
indique le but de la demande;
précise la nature des informations demandées;
fixe un délai dans lequel ces informations doivent être communiquées;
indique les astreintes prévues par l’article 35, paragraphe 6, pour le cas où les informations communiquées seraient incomplètes ou lorsque ces informations ne sont pas communiquées dans le délai fixé au point d) du présent paragraphe;
informe du droit de former un recours contre la décision devant la commission de recours de l’AES et d’en demander le réexamen par la Cour de justice de l’Union européenne (ci-après dénommée «Cour de justice») conformément aux articles 60 et 61 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.
Les représentants des prestataires tiers critiques de services TIC fournissent les informations demandées. Les avocats dûment mandatés peuvent fournir les renseignements demandés au nom de leurs mandants. Le prestataire tiers critique de services TIC reste pleinement responsable du caractère incomplet, inexact ou trompeur des renseignements fournis.
Le superviseur principal transmet, sans retard, une copie de la décision portant sur la communication d’informations aux autorités compétentes des entités financières qui ont recours aux services pertinents des prestataires tiers critiques de services TIC ainsi qu’au réseau de supervision commun.
Relevant recitals
Considérant 84 Communication with critical ICT third-party service providers
Afin de faciliter la communication avec le superviseur principal et de veiller à une représentation adéquate, les prestataires tiers critiques de services TIC qui font partie d’un groupe devraient désigner une personne morale comme leur point de coordination.
Considérant 89 Rights of critical ICT third-party service providers
En raison de l’incidence considérable de la désignation comme prestataire tiers critique, le présent règlement devrait veiller au respect des droits des prestataires tiers critiques de services TIC tout au long de la mise en œuvre du cadre de supervision. Avant d’être désignés comme critiques, ces prestataires devraient, par exemple, avoir le droit de présenter au superviseur principal une déclaration motivée contenant toute information pertinente aux fins de l’évaluation relative à leur désignation. Étant donné que le superviseur principal devrait être habilité à soumettre des recommandations sur le risque lié aux TIC et les mesures correctives appropriées, qui incluent le pouvoir de s’opposer à certains accords contractuels susceptibles d’affecter à terme la stabilité de l’entité financière ou du système financier, les prestataires tiers critiques de services TIC devraient également avoir la possibilité, avant la finalisation de ces recommandations, de fournir des explications en ce qui concerne l’incidence attendue des solutions, envisagées dans les recommandations, sur les clients qui sont des entités ne relevant pas du champ d’application du présent règlement et de formuler des solutions pour atténuer les risques. Les prestataires tiers critiques de services TIC qui ne sont pas d’accord avec les recommandations devraient présenter une déclaration motivée de leur intention de ne pas suivre la recommandation. Lorsque cette déclaration motivée fait défaut ou est jugée insuffisante, le superviseur principal devrait émettre une communication au public dans laquelle il décrit brièvement la non-conformité.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
groupe
(En. group)
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
services TIC
(En. ICT services)
Definition
prestataire tiers critique de services TIC
(En. critical ICT third-party service provider)
Definition
superviseur principal
(En. Lead Overseer)
Definition
risque lié aux TIC
(En. ICT risk)
Definition
prestataire tiers de services TIC
(En. ICT third-party service provider)