Source: OJ L, 2025/295, 13.2.2025Current language: FR
RTS on harmonisation for oversight conduct
RÈGLEMENT DÉLÉGUÉ (UE) 2025/295 DE LA COMMISSION
du 24 octobre 2024
complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par des normes techniques de réglementation relatives à l’harmonisation des conditions permettant l’exercice des activités de supervision
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011(1), et notamment son article 41, paragraphe 2, deuxième alinéa,
considérant ce qui suit:
Considérant 1Union oversight framework for critical ICT third-party service providers
Le cadre sur la résilience opérationnelle numérique du secteur financier établi par le règlement (UE) 2022/2554 introduit un cadre de supervision de l’Union pour les prestataires tiers de services de technologies de l’information et de la communication (TIC) du secteur financier désignés comme critiques conformément à l’article 31 dudit règlement.
Considérant 2Voluntary designation as critical
Un prestataire tiers de services TIC qui décide de présenter une demande de désignation volontaire en tant que prestataire critique devrait fournir à l’autorité européenne de surveillance (AES) destinataire toutes les informations nécessaires afin de démontrer son caractère critique, conformément aux principes et critères énoncés dans le règlement (UE) 2022/2554. C’est pourquoi les informations à inclure dans la demande de désignation volontaire devraient être suffisamment détaillées et complètes pour permettre une évaluation claire et complète du caractère critique au titre de l’article 31, paragraphe 11, dudit règlement. L’AES compétente devrait rejeter toute demande incomplète et demander les informations manquantes.
Considérant 3Legal identification of critical ICT third-party service providers
L’identification juridique des prestataires tiers de services TIC relevant du champ d’application de la présente norme technique de réglementation devrait être alignée sur le code d’identification défini dans le règlement d’exécution de la Commission adopté conformément à l’article 28, paragraphe 9, du règlement (UE) 2022/2554.
Considérant 4Follow-up of Lead Overseer's recommendations
Dans le cadre du suivi des recommandations formulées par le superviseur principal à l’intention des prestataires tiers critiques de services TIC, ce dernier devrait contrôler le respect des recommandations par lesdits prestataires. Afin d’assurer un suivi efficient et efficace des mesures qui ont été prises ou des solutions qui ont été mises en œuvre par les prestataires tiers critiques de services TIC en ce qui concerne ces recommandations, le superviseur principal devrait pouvoir demander les rapports visés à l’article 35, paragraphe 1, point c), du règlement (UE) 2022/2554, qui devraient être considérés comme des rapports d’avancement intermédiaires et des rapports finaux.
Considérant 5Lead Overseer's assessment of remediation plans
Aux fins de l’évaluation visée à l’article 42, paragraphe 1, du règlement (UE) 2022/2554, selon laquelle le superviseur principal est tenu d’évaluer si les explications fournies par le prestataire tiers critique de services TIC sont suffisantes, la notification au superviseur principal par le prestataire tiers critique de services TIC de son intention de suivre les recommandations reçues devrait être complétée par une description des actions et des mesures qui ont été prises pour atténuer les risques exposés dans les recommandations, ainsi que de leurs délais respectifs. Cette explication devrait prendre la forme d’un plan de mesures correctives.
Considérant 6Template for subcontracting arrangements
Étant donné que le superviseur principal est censé évaluer les accords de sous-traitance du prestataire tiers critique de services TIC, un modèle doit être élaboré pour fournir des informations sur ces accords. Le modèle devrait tenir compte du fait que les prestataires tiers critiques de services TIC ont des structures différentes de celles des entités financières.
Considérant 7Information sharing after issuing recommendations
Une fois que les recommandations adressées à un prestataire tiers critique de services TIC ont été émises par le superviseur principal et que les autorités compétentes ont informé les entités financières concernées des risques recensés dans ces recommandations, le superviseur principal devrait suivre et évaluer la mise en œuvre, par le prestataire tiers critique de services TIC, des mesures et des solutions visant au respect des recommandations. Les autorités compétentes devraient surveiller et évaluer dans quelle mesure les entités financières sont exposées aux risques recensés dans ces recommandations. Afin de maintenir des conditions de concurrence équitables en accomplissant leurs tâches respectives, en particulier lorsque les risques recensés dans les recommandations sont graves et partagés entre un grand nombre d’entités financières dans plusieurs États membres, tant les autorités compétentes que le superviseur principal devraient s’échanger toutes les constatations pertinentes qui leur sont nécessaires pour s’acquitter des missions qui leur incombent respectivement. L’objectif du partage d’informations est de faire en sorte que le retour d’information du superviseur principal au prestataire tiers critique de services TIC en ce qui concerne les actions et les mesures correctives que ce dernier met en œuvre tienne compte de l’incidence sur les risques pour les entités financières, et que les activités de surveillance exercées par les autorités compétentes soient étayées par l’évaluation effectuée par le superviseur principal.
Considérant 8Risk assessments by competent authorities
Afin de permettre un partage efficace et efficient des informations, les autorités compétentes devraient évaluer, dans le cadre de leurs activités de surveillance, dans quelle mesure les entités financières qu’elles surveillent sont exposées aux risques recensés dans les recommandations. Cette évaluation devrait être effectuée d’une manière proportionnée et fondée sur les risques. Le superviseur principal devrait demander aux autorités compétentes de partager les résultats de cette évaluation dans les cas spécifiques où les risques associés aux recommandations sont graves et partagés entre un grand nombre d’entités financières dans plusieurs États membres. Afin d’utiliser au mieux les ressources des autorités compétentes lorsqu’il demande de fournir les résultats de cette évaluation, le superviseur principal devrait toujours tenir compte du fait que l’objectif de ces demandes est d’évaluer la mise en œuvre des mesures et des solutions des prestataires tiers critiques de services TIC.
Considérant 9Processing of personal data
Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil(2) et a rendu un avis le 22 juillet 2024.
Considérant 10Draft regulatory technical standards from ESAs
Le présent règlement se fonde sur le projet de normes techniques de réglementation soumis à la Commission par les AES.
Considérant 11Open public consultations
Le comité mixte des AES a procédé à des consultations publiques ouvertes sur les projets de normes techniques de réglementation sur lesquels se fonde le présent règlement, analysé les coûts et avantages potentiels qu’ils impliquent et sollicité l’avis du groupe des parties intéressées au secteur bancaire institué en application de l’article 37 du règlement (UE) no 1093/2010 du Parlement européen et du Conseil(3), du groupe des parties intéressées à l’assurance et la réassurance et du groupe des parties intéressées aux pensions professionnelles institués en application de l’article 37 du règlement (UE) no 1094/2010 du Parlement européen et du Conseil(4) et du groupe des parties intéressées au secteur financier institué en application de l’article 37 du règlement (UE) no 1095/2010 du Parlement européen et du Conseil(5),
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
- Article premierInformations que doit fournir un prestataire tiers de services TIC dans la demande de désignation volontaire en tant que prestataire critique
- Article 2Contenu, structure et format des informations devant être soumises, divulguées ou communiquées par les prestataires tiers critiques de services TIC
- Article 3Informations communiquées par des prestataires tiers critiques de services TIC après la formulation de recommandations
- Article 4Structure et format des informations fournies par les prestataires tiers critiques de services TIC
- Article 5Modèle pour la fourniture d’informations sur les accords de sous-traitance
- Article 6Évaluation par les autorités compétentes des risques traités dans les recommandations du superviseur principal
- Article 7Entrée en vigueur
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 24 octobre 2024.
Par la Commission
La présidente
Ursula VON DER LEYEN
Definition
groupe
(En. group)
Definition
comité mixte
(En. Joint Committee)
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
services TIC
(En. ICT services)
Definition
prestataire tiers critique de services TIC
(En. critical ICT third-party service provider)
Definition
superviseur principal
(En. Lead Overseer)
Definition
résilience opérationnelle numérique
(En. digital operational resilience)
Definition
prestataire tiers de services TIC
(En. ICT third-party service provider)
Footnote 1
Footnote 5
Footnote 4
Footnote 2
Footnote 3