Source: OJ L 333, 27.12.2022, p. 1–79

Current language: FR

Article 60 Modifications du règlement (UE) no 648/2012

Summary What does Article 60 of the DORA regulation say?

Article 60 is an amendment article, meaning it does not create standalone obligations but instead integrates DORA's requirements into an existing regulation — in this case, Regulation (EU) No 648/2012 (EMIR).

It updates the rules applicable to central counterparties (CCPs) and trade repositories by explicitly hooking their ICT-related obligations into DORA, ensuring that ICT systems, business continuity policies, and disaster recovery plans for these entities are governed by DORA rather than by EMIR's own provisions.

The article also updates the infringement provisions in EMIR's annexes to reflect these changes, so that failures to comply with DORA's ICT standards constitute a breach of EMIR itself.

Important points:

  • CCPs must manage their ICT systems in accordance with DORA, and their business continuity and disaster recovery plans must include ICT-specific components as required by DORA.
  • Trade repositories are subject to the same logic — their operational risk management and business continuity obligations now explicitly reference DORA for ICT-related matters.
  • ESMA is required to develop regulatory technical standards for business continuity and disaster recovery plans, but those standards must exclude ICT business continuity and disaster recovery plans, as those are governed by DORA.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

Le règlement (UE) no 648/2012 est modifié comme suit:

  1. L’article 26 est modifié comme suit:

    1. le paragraphe 3 est remplacé par le texte suivant:

      1. Les contreparties centrales maintiennent et exploitent une structure organisationnelle qui assure la continuité et le bon fonctionnement de la fourniture de leurs services et de l’exercice de leurs activités. Elles utilisent des systèmes, des ressources et des procédures appropriés et proportionnés, dont des systèmes de TIC gérés conformément au règlement (UE) 2022/2554 du Parlement européen et du Conseil(41).

    2. le paragraphe 6 est supprimé.

  2. L’article 34 est modifié comme suit:

    1. le paragraphe 1 est remplacé par le texte suivant:

      1. Les contreparties centrales établissent, mettent en œuvre et tiennent à jour une politique adéquate de continuité des activités et un plan de rétablissement après sinistre, qui incluent une politique de continuité des activités de TIC et des plans de réponse et de rétablissement dans le domaine des TIC mis en place et appliqués conformément au règlement (UE) 2022/2554, visant à assurer la préservation de leurs fonctions, la reprise rapide de leurs activités et le respect de leurs obligations.»;

    2. au paragraphe 3, le premier alinéa est remplacé par le texte suivant:

      1. Afin d’assurer une application cohérente du présent article, l’AEMF élabore, après avoir consulté les membres du SEBC, des projets de normes techniques de réglementation précisant le contenu minimal et les exigences minimales de la politique de continuité des activités et du plan de rétablissement après sinistre, à l’exclusion de la politique de continuité des activités de TIC et des plans de rétablissement après sinistre des TIC.».

  3. À l’article 56, paragraphe 3, le premier alinéa est remplacé par le texte suivant:

    1. Afin d’assurer une application cohérente du présent article, l’AEMF élabore des projets de normes techniques de réglementation précisant les détails de la demande d’enregistrement prévue au paragraphe 1, autres que ceux concernant les exigences liées à la gestion du risque lié aux TIC.».

  4. À l’article 79, les paragraphes 1 et 2 sont remplacés par le texte suivant:

    1. Les référentiels centraux détectent les sources de risques opérationnels et les réduisent au minimum en mettant en place des systèmes, des moyens de contrôle et des procédures appropriés, y compris des systèmes de TIC gérés conformément au règlement (UE) 2022/2554.

    1. Les référentiels centraux établissent, mettent en œuvre et tiennent à jour une politique adéquate de continuité des activités et un plan de rétablissement après sinistre, y compris une politique de continuité des activités de TIC et des plans de réponse et de rétablissement des TIC établis conformément au règlement (UE) 2022/2554, visant à assurer la poursuite de leurs fonctions, la reprise rapide de leurs activités et le respect de leurs obligations.».

  5. À l’article 80, le paragraphe 1 est supprimé.

  6. À l’annexe I, la section II est modifiée comme suit:

    1. les points a) et b) sont remplacés par le texte suivant:

      1. «un référentiel central enfreint l’article 79, paragraphe 1, en ne détectant pas les sources de risques opérationnels ou en ne les réduisant pas au minimum en mettant en place des systèmes, des moyens de contrôle et des procédures appropriés, y compris des systèmes de TIC gérés conformément au règlement (UE) 2022/2554;

      2. un référentiel central enfreint l’article 79, paragraphe 2, en n’établissant pas, en ne mettant pas en œuvre et en ne tenant pas à jour une politique adéquate de continuité des activités et un plan de rétablissement après sinistre établis conformément au règlement (UE) 2022/2554, visant à assurer la poursuite de ses fonctions, la reprise rapide de ses activités et le respect de ses obligations;»;

    2. le point c) est supprimé.

  7. L’annexe III est modifiée comme suit:

    1. la section II est modifiée comme suit:

      1. le point c) est remplacé par le texte suivant:

        1. «une contrepartie centrale de catégorie 2 enfreint l’article 26, paragraphe 3, si elle ne maintient pas ou n’exploite pas une structure organisationnelle qui assure la continuité et le bon fonctionnement de la fourniture de ses services et de l’exercice de ses activités ou si elle n’utilise pas des systèmes, des ressources ou des procédures appropriés et proportionnés, y compris des systèmes de TIC gérés conformément au règlement (UE) 2022/2554;»;

      2. le point f) est supprimé;

    2. à la section III, le point a) est remplacé par le texte suivant:

      1. «une contrepartie centrale de catégorie 2 enfreint l’article 34, paragraphe 1, si elle n’établit pas, ne met pas en œuvre ou ne tient pas à jour une politique adéquate de continuité des activités et un plan de réponse et de rétablissement établis conformément au règlement (UE) 2022/2554, visant à assurer la préservation de ses fonctions, la reprise rapide de ses activités et le respect de ses obligations, prévoyant au moins la reprise de toutes les transactions en cours lorsque le dysfonctionnement est survenu, pour lui permettre de continuer à fonctionner de manière sûre et d’achever le règlement à la date programmée;».

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod