Source: OJ L, 2025/532, 2.7.2025

Current language: FR

Article 4 Conditions de sous-traitance des services TIC qui soutiennent des fonctions critiques ou importantes ou des parties significatives de celles-ci

Summary What does Article 4 of the RTS on subcontracting ICT services say?

This article sets out the mandatory contractual content that financial entities must include in their arrangements with ICT third-party service providers where subcontracting of critical or important functions is permitted.

It builds directly on Article 3, which governs the pre-contractual risk assessment process, by translating those assessments into binding contractual obligations.

The article covers a broad range of requirements that must be embedded in the contract itself, from responsibility and monitoring obligations, to security standards, data location, service continuity, and termination rights.

It also requires that any changes to existing contracts needed to comply with this regulation be implemented as soon as possible, with the financial entity documenting the planned timeline.

Important points:

  • Ensure your contractual arrangements with ICT third-party service providers explicitly define which critical or important function ICT services are eligible for subcontracting and under what conditions.
  • The contract must secure for the financial entity, and for competent and resolution authorities, the same rights of access, inspection, and audit at the subcontractor level as those that apply to the ICT third-party service provider itself.
  • Include a termination right in the contract tied to the conditions set out in Article 6 of this regulation and Article 28(7) of Regulation (EU) 2022/2554.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. L’accord contractuel conclu entre l’entité financière et le prestataire tiers de services TIC détermine, parmi les services TIC qui soutiennent des fonctions critiques ou importantes ou des parties significatives de celles-ci, ceux qui peuvent faire l’objet d’une sous-traitance, et dans quelles conditions. Ce contrat précise:

      1. que le prestataire tiers de services TIC est responsable de la fourniture des services fournis par les sous-traitants;

      2. que le prestataire tiers de services TIC est tenu de surveiller tous les services TIC qui soutiennent des fonctions critiques ou importantes ou des parties significatives de celles-ci et qui ont été sous-traités, afin de veiller au respect permanent de ses obligations contractuelles envers l’entité financière;

      3. les obligations de suivi et de déclaration incombant au prestataire tiers de services TIC à l’égard de l’entité financière en ce qui concerne les sous-traitants qui fournissent des services TIC soutenant des fonctions critiques ou importantes ou des parties significatives de celles-ci;

      4. que le prestataire tiers de services TIC doit évaluer tous les risques associés au lieu d’établissement des sous-traitants actuels ou potentiels qui fournissent un service TIC soutenant des fonctions critiques ou importantes ou des parties significatives de celles-ci, ainsi qu’à leur société mère et au lieu où le service TIC concerné est fourni;

      5. Le lieu de traitement et de stockage des données par le sous-traitant, le cas échéant;

      6. que le prestataire tiers de services TIC doit préciser, dans son contrat avec ses sous-traitants, les obligations de suivi et de déclaration incombant à ces sous-traitants à son égard et, s’il en a été convenu ainsi, à l’égard de l’entité financière;

      7. que le prestataire tiers de services TIC doit, tout au long de la chaîne de sous-traitance, assurer la continuité des services TIC qui soutiennent des fonctions critiques ou importantes en cas de non-respect par un sous-traitant TIC de ses obligations contractuelles;

      8. que l’accord contractuel entre le prestataire tiers de services TIC et ses sous-traitants contient les exigences relatives aux plans d’urgence visés à l’article 30, paragraphe 3, point c), du règlement (UE) 2022/2554 et précise les niveaux de service que les sous-traitants TIC doivent atteindre en ce qui concerne ces plans;

      9. que l’accord contractuel entre le prestataire tiers de services TIC et ses sous-traitants énonce les normes de sécurité des TIC et toute exigence supplémentaire en matière de sécurité visées à l’article 30, paragraphe 3, point c), du règlement (UE) 2022/2554;

      10. que le sous-traitant doit accorder à l’entité financière, aux autorités compétentes et aux autorités de résolution concernées les mêmes droits d’accès, d’inspection et d’audit que ceux visés à l’article 30, paragraphe 3, point e), du règlement (UE) 2022/2554;

      11. que le prestataire tiers de services TIC doit notifier à l’entité financière tout changement significatif apporté aux accords de sous-traitance;

      12. que l’entité financière a le droit de résilier le contrat avec le prestataire tiers de services TIC lorsque soit les conditions énoncées à l’article 6 du présent règlement soit les conditions énumérées à l’article 28, paragraphe 7, du règlement (UE) 2022/2554 sont remplies.

    1. Les changements qu’il est nécessaire, pour se conformer au présent règlement, d’apporter aux accords contractuels entre l’entité financière et les prestataires tiers de services TIC fournissant un service TIC qui soutient des fonctions critiques ou importantes ou des parties significatives de celles-ci sont mis en œuvre en temps utile et dès que possible. L’entité financière documente le calendrier prévu pour la mise en œuvre.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod