Source: OJ L 333, 27.12.2022, p. 1–79

Current language: FR

Article 42 Suivi par les autorités compétentes

Summary What does Article 42 of the DORA regulation say?

This article sets out the enforcement and follow-up mechanism that applies when the Lead Overseer issues recommendations to critical ICT third-party service providers under Article 35.

It establishes a structured escalation chain: from a critical ICT third-party service provider's initial response to those recommendations, through to public disclosure of non-compliance, and ultimately to competent authorities taking decisions — as a measure of last resort — that could require financial entities to suspend or even terminate their contractual arrangements with the non-compliant provider.

Financial entities themselves are also placed under an obligation to factor in the identified risks when managing their ICT third-party risk.

Important points:

  • Critical ICT third-party service providers must respond to the Lead Overseer's recommendations within 60 calendar days, either confirming intent to comply or providing a reasoned explanation for not doing so.
  • Take into account the risks identified in recommendations addressed to critical ICT third-party service providers when managing ICT third-party risk.
  • Competent authorities are required to grant financial entities sufficient time to adjust contractual arrangements with critical ICT third-party service providers before any suspension or termination decision takes effect.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Dans les soixante jours civils suivant la réception des recommandations formulées par le superviseur principal conformément à l’article 35, paragraphe 1, point d), les prestataires tiers critiques de services TIC notifient au superviseur principal leur intention de suivre les recommandations ou fournissent une explication circonstanciée des raisons pour lesquelles elles ne suivront pas ces recommandations. Le superviseur principal transmet immédiatement ces informations aux autorités compétentes des entités financières concernées.

    1. Le superviseur principal divulgue publiquement les cas où un prestataire tiers critique de services TIC ne présente pas au superviseur principal la notification prévue au paragraphe 1 ou ceux où l’explication fournie par le prestataire tiers critique de services TIC n’est pas jugée suffisante. Les informations publiées révèlent l’identité du prestataire tiers critique de services TIC et contiennent également des informations sur le type et la nature du non-respect. Ces informations sont limitées à ce qui est pertinent et proportionné aux fins de la sensibilisation du public, à moins que cette publication ne soit susceptible de causer un préjudice disproportionné aux parties concernées ou de compromettre gravement le bon fonctionnement et l’intégrité des marchés financiers ou la stabilité de tout ou partie du système financier de l’Union.

    2. Le superviseur principal notifie cette divulgation publique au prestataire tiers de services TIC.

    1. Les autorités compétentes informent les entités financières concernées des risques recensés dans les recommandations adressées aux prestataires tiers critiques de services TIC conformément à l’article 35, paragraphe 1, point d).

    2. Lorsqu’elles gèrent le risque lié aux prestataires tiers de services TIC, les entités financières tiennent compte des risques visés au premier alinéa.

    1. Lorsqu’une autorité compétente estime qu’une entité financière ne tient pas compte ou ne prend pas suffisamment en considération, dans le cadre de sa gestion du risque lié aux prestataires tiers de services TIC, des risques spécifiques recensés dans les recommandations, elle informe l’entité financière de la possibilité qu’une décision soit prise, dans un délai de soixante jours civils à compter de la réception d’une telle notification, conformément au paragraphe 6, en l’absence de dispositions contractuelles appropriées visant à parer à ces risques.

    1. Dès qu’elles reçoivent les rapports visés à l’article 35, paragraphe 1, point c), et avant de prendre la décision visée au paragraphe 6 du présent article, les autorités compétentes peuvent, à titre volontaire, consulter les autorités compétentes désignées ou établies conformément à la directive (UE) 2022/2555, responsables de la supervision d’une entité essentielle ou importante relevant de ladite directive, qui a été désignée comme un prestataire tiers critique de services TIC.

    1. Les autorités compétentes peuvent, en dernier recours, après la notification et, le cas échéant, la consultation visée aux paragraphes 4 et 5 du présent article, conformément à l’article 50, exiger des entités financières qu’elles suspendent temporairement, en partie ou en totalité, l’utilisation ou le déploiement d’un service fourni par le prestataire tiers critique de services TIC, jusqu’à ce que les risques identifiés dans les recommandations adressées aux prestataires tiers critiques de services TIC aient été écartés. Le cas échéant, elles peuvent exiger des entités financières qu’elles résilient, en partie ou en totalité, les accords contractuels concernés conclus avec les prestataires tiers critiques de services TIC.

    1. Lorsqu’un prestataire tiers critique de services TIC refuse d’approuver des recommandations, en se fondant sur une approche qui diverge de celle recommandée par le superviseur principal, et que cette approche divergente pourrait avoir une incidence négative sur un grand nombre d’entités financières, ou sur une partie importante du secteur financier, et que les alertes individuelles émises par les autorités compétentes n’ont pas abouti à des approches cohérentes permettant d’atténuer le risque potentiel pour la stabilité financière, le superviseur principal peut, après avoir consulté le forum de supervision, émettre des avis non contraignants et non publics à l’intention des autorités compétentes, afin de promouvoir des mesures de suivi cohérentes et convergentes en matière de supervision, s’il y a lieu.

    1. Dès réception des rapports visés à l’article 35, paragraphe 1, point c), les autorités compétentes, lorsqu’elles prennent la décision visée au paragraphe 6 du présent article, tiennent compte du type et de l’ampleur des risques qui n’ont pas été écartés par le prestataire tiers critique de services TIC, ainsi que de la gravité de la non-conformité, au regard des critères suivants, en examinant:

      1. la gravité et la durée de la non-conformité;

      2. si la non-conformité a révélé de graves faiblesses dans les procédures, les systèmes de gestion, la gestion des risques et les contrôles internes du prestataire tiers critique de services TIC;

      3. si un délit financier a été facilité ou occasionné par la non-conformité ou est imputable, d’une quelconque manière, à cette non-conformité;

      4. si la non-conformité est délibérée ou résulte d’une négligence;

      5. si la suspension ou la résiliation des accords contractuels entraîne un risque pour la continuité des activités de l’entité financière, en dépit des efforts déployés par l’entité financière pour éviter toute perturbation dans la fourniture de ses services;

      6. le cas échéant, l’avis, sollicité à titre volontaire conformément au paragraphe 5 du présent article, des autorités compétentes désignées ou établies conformément à la directive (UE) 2022/2555, responsables de la supervision d’une entité essentielle ou importante relevant de ladite directive, qui a été désignée en tant que prestataire tiers critique de services TIC.

    2. Les autorités compétentes accordent aux entités financières le délai nécessaire pour leur permettre d’adapter les accords contractuels conclus avec des prestataires tiers critiques de services TIC, afin d’éviter des effets préjudiciables sur leur résilience opérationnelle numérique et de leur permettre de déployer les stratégies de sortie et les plans de transition visés à l’article 28.

    1. La décision visée au paragraphe 6 du présent article est notifiée aux membres du forum de supervision visés à l’article 32, paragraphe 4, points a), b) et c), ainsi qu’au réseau de supervision commun.

    2. Les prestataires tiers critiques de services TIC concernés par les décisions prévues au paragraphe 6 coopèrent pleinement avec les entités financières affectées, en particulier dans le cadre du processus de suspension ou de résiliation de leurs accords contractuels.

    1. Les autorités compétentes informent régulièrement le superviseur principal des approches suivies et des mesures prises dans le cadre de leurs tâches de surveillance des entités financières, ainsi que des accords contractuels conclus par les entités financières lorsque des prestataires tiers critiques de services TIC n’ont pas suivi, en partie ou en totalité, les recommandations qui leur ont été adressées par le superviseur principal.

    1. Le superviseur principal peut, sur demande, fournir des précisions supplémentaires sur les recommandations émises afin de donner des orientations aux autorités compétentes concernant les mesures de suivi.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod