Source: OJ L, 2025/532, 2.7.2025Current language: FR
- Digital operational resilience in the financial sector
ICT third-party service providers
- RTS on subcontracting ICT services
Article premier Profil de risque global et complexité
Summary What does Article 1 of the RTS on subcontracting ICT services say?
This opening article establishes the foundational principle that financial entities must take their own size, risk profile, and operational complexity into account when applying the rules of this regulation.
It then sets out an extensive list of factors to be considered, all centred on the subcontracting arrangements of ICT third-party service providers.
The factors span the nature of the subcontracted services, geographic location of subcontractors, the depth of the subcontracting chain, data sharing, supervisory status of subcontractors, concentration risks, and the potential impact of disruptions.
This article effectively sets the parameters for how financial entities should calibrate their approach to ICT subcontracting risk throughout the rest of the regulation.
Important points:
- Take into account your own size, risk profile, and operational complexity when assessing ICT subcontracting arrangements supporting critical or important functions.
- The factors to consider extend deep into the supply chain, covering the location, regulatory status, and concentration of subcontractors, including those in third countries.
- Assess whether subcontracting arrangements could affect the transferability of ICT services or the continuity of critical or important functions in the event of a disruption.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Les entités financières tiennent compte de leur taille et de leur profil de risque global ainsi que de la nature, de l’ampleur et des facteurs d’augmentation ou de diminution de la complexité de leurs services, activités et opérations, y compris des éléments relatifs:
au type de services TIC qui soutiennent des fonctions critiques ou importantes couverts par l’accord contractuel entre l’entité financière et le prestataire tiers de services TIC;
au type de services TIC couverts par l’accord contractuel entre le prestataire tiers de services TIC et ses sous-traitants;
au lieu où exerce le sous-traitant de TIC fournissant des services TIC qui soutiennent des fonctions critiques ou importantes ou des parties significatives de celles-ci, ou à la localisation de sa société mère;
à la longueur et à la complexité de la chaîne des sous-traitants fournissant des services TIC qui soutiennent des fonctions critiques ou importantes ou des parties significatives de celles-ci utilisée par le prestataire tiers de services TIC;
à la nature des données partagées avec les sous-traitants de TIC fournissant des services TIC qui soutiennent des fonctions critiques ou importantes ou des parties significatives de celles-ci;
à la question de savoir si les services TIC qui soutiennent des fonctions critiques ou importantes ou des parties significatives de celles-ci sont fournis par des sous-traitants situés dans un État membre ou dans un pays tiers, y compris le lieu où les services TIC sont effectivement fournis et le lieu où les données sont effectivement traitées et stockées;
à la question de savoir si les sous-traitants de TIC fournissant des services TIC qui soutiennent des fonctions critiques ou importantes ou des parties significatives de celles-ci appartiennent au même groupe que l’entité financière bénéficiaire de ces services;
à la question de savoir si les sous-traitants de TIC fournissant des services TIC qui soutiennent des fonctions critiques ou importantes ou des parties significatives de celles-ci sont agréés, enregistrés ou soumis à une surveillance ou à une supervision par une autorité compétente d’un État membre, ou sont soumis au cadre de supervision prévu au chapitre V, section II, du règlement (UE) 2022/2554;
à la question de savoir si les prestataires tiers de services TIC qui soutiennent des fonctions critiques ou importantes ou des parties significatives de celles-ci sont agréés, enregistrés ou soumis à une surveillance ou à une supervision par une autorité de surveillance d’un pays tiers;
à la question de savoir si les services TIC qui soutiennent des fonctions critiques ou importantes ou des parties significatives de celles-ci sont fournis par un seul sous-traitant d’un prestataire tiers de services TIC ou par un petit nombre d’entre eux;
à la question de savoir si la sous-traitance de services TIC qui soutiennent des fonctions critiques ou importantes ou des parties significatives de celles-ci aurait une incidence sur la transférabilité de ces services TIC à un autre prestataire tiers de services TIC;
à l’incidence potentielle des perturbations sur la continuité et la disponibilité des services TIC qui soutiennent des fonctions critiques ou importantes ou des parties significatives de celles-ci fournis par le prestataire tiers de services TIC, lorsque ce dernier fait appel à un sous-traitant fournissant des services TIC qui soutiennent des fonctions critiques ou importantes ou des parties significatives de celles-ci.
Relevant recitals
Considérant 1 Importance of indentifying the overall chain of subcontractors
La fourniture de services TIC à des entités financières repose souvent sur une chaîne complexe de sous-traitants de TIC, au sein de laquelle les prestataires tiers de services TIC sont susceptibles de conclure un ou plusieurs accords de sous-traitance avec d’autres prestataires tiers de services TIC. Le recours indirect à des sous-traitants de TIC peut avoir une incidence sur la capacité d’une entité financière à identifier, évaluer et gérer ses risques, notamment les risques liés aux lacunes que présentent les informations fournies par les prestataires tiers de services TIC ainsi qu’à la capacité de cette entité à obtenir des informations auprès des sous-traitants de TIC fournissant des services TIC qui soutiennent des fonctions critiques ou importantes ou des parties significatives de celles-ci. À cet égard, lorsque la fourniture de services TIC à des entités financières repose sur une chaîne potentiellement longue ou complexe de sous-traitants de TIC, il est essentiel que ces entités financières identifient toute la chaîne des sous-traitants fournissant des services TIC qui soutiennent des fonctions critiques ou importantes.
Considérant 2 Focus on subcontractors that effectively underpin ICT services
Parmi les sous-traitants fournissant des services TIC qui soutiennent des fonctions critiques ou importantes, les entités financières devraient accorder une attention particulière et constante aux sous-traitants sur lesquels reposent de fait les services TIC qui soutiennent des fonctions critiques ou importantes, notamment à tous les sous-traitants qui fournissent des services TIC dont la perturbation nuirait à la sécurité ou à la continuité du service, tels que répertoriés dans le registre d’informations prévu à l’article 28, paragraphe 3, du règlement (UE) 2022/2554.
Considérant 3 Principle of proportionality
La taille, la structure et l’organisation interne des entités financières, ainsi que la nature et la complexité de leurs activités, sont très variables. Dans un souci de proportionnalité, les éléments qu’une entité financière doit déterminer et évaluer en cas de sous-traitance de services TIC qui soutiennent des fonctions critiques ou importantes devraient être définis en tenant compte de cette diversité.
Considérant 4 Clear and holistic view of risks associated with subcontracting
Lorsqu’il est autorisé par les entités financières conformément à l’article 30, paragraphe 2, du règlement (UE) 2022/2554, le recours à des services TIC soutenant des fonctions critiques ou importantes sous-traités par les prestataires tiers de services TIC ne peut décharger les organes de direction des entités financières de la responsabilité ultime de la gestion de leurs risques et du respect de leurs obligations législatives et réglementaires. Lorsque la sous-traitance de services TIC qui soutiennent des fonctions critiques ou importantes est autorisée, il est important que les entités financières aient une vision claire et globale des risques associés à cette sous-traitance afin qu’elles soient en mesure de les surveiller, de les gérer et de les atténuer. Elles devraient donc évaluer ces risques avant la sous-traitance de ces services.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
groupe
(En. group)
Definition
services TIC
(En. ICT services)
Definition
organe de direction
(En. management body)
Definition
prestataire tiers de services TIC
(En. ICT third-party service provider)
Definition
fonction critique ou importante
(En. critical or important function)