Source: OJ L, 2025/532, 2.7.2025Current language: FR
- Digital operational resilience in the financial sector
ICT third-party service providers
- RTS on subcontracting ICT services
Article 5 Changements significatifs apportés aux accords de sous-traitance de services TIC qui soutiennent des fonctions critiques ou importantes ou des parties significatives de celles-ci
Summary What does Article 5 of the RTS on subcontracting ICT services say?
This article establishes the notification and approval process that must govern any material changes an ICT third-party service provider intends to make to its subcontracting arrangements.
It builds directly on Article 4, which sets out the required content of contractual arrangements, by specifying how changes to those arrangements must be handled in practice.
The core logic is that financial entities must be given sufficient advance notice of changes to assess the associated risks and decide whether to approve or object, and that providers cannot act unilaterally before that process is concluded.
Important points:
- Ensure your contractual arrangements with ICT third-party service providers include a reasonable notice period for material subcontracting changes, along with your right to approve or object to them.
- ICT third-party service providers are required to hold off implementing any material changes until the financial entity has approved or the notice period has elapsed without objection.
- Where material changes exceed your risk tolerance, formally object and request modifications before the notice period expires.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
L’accord contractuel prévoit que le prestataire tiers de services TIC informe l’entité financière de tout changement significatif qu’il est prévu d’apporter à ses accords de sous-traitance en temps utile pour permettre à l’entité financière d’évaluer:
l’incidence sur les risques auxquels elle est ou pourrait être exposée;
si de tels changements significatifs sont susceptibles de compromettre la capacité du prestataire tiers de services TIC à respecter ses obligations contractuelles à l’égard de l’entité financière.
L’accord contractuel prévoit un délai de préavis raisonnable dans lequel l’entité financière doit approuver les changements ou s’y opposer.
Le prestataire tiers de services TIC ne met en œuvre les changements significatifs apportés à ses accords de sous-traitance qu’après que l’entité financière a approuvé ces changements ou si elle ne s’y est pas opposée avant la fin du délai de préavis.
Lorsque l’entité financière estime que les changements significatifs visés au paragraphe 1 dépassent son niveau de tolérance au risque, elle doit, avant la fin du délai de préavis:
en informer le prestataire tiers de services TIC;
s’opposer aux changements et demander leur modification avant leur mise en œuvre.
Relevant recitals
Considérant 8 Conditions throughout the life cycle
Afin d’atténuer les risques associés à la sous-traitance, il est nécessaire de préciser les conditions dans lesquelles les prestataires tiers de services TIC peuvent recourir à des sous-traitants pour la fourniture de services TIC qui soutiennent des fonctions critiques ou importantes. À cette fin, les accords contractuels de services TIC conclus entre des entités financières et des prestataires tiers de services TIC devraient définir ces conditions, y compris la planification des accords de sous-traitance, les évaluations des risques, la diligence requise et le processus d’approbation des nouveaux accords de sous-traitance de services TIC qui soutiennent des fonctions critiques ou importantes ou des parties significatives de celles-ci, ou des changements significatifs apportés par le prestataire tiers de services TIC aux accords existants.
Considérant 10 Monitoring of subcontractors and notifications of changes
Afin d’atténuer les vulnérabilités et les menaces susceptibles de présenter des risques pour leurs systèmes et opérations de TIC, les entités financières devraient être en mesure de surveiller l’exécution du service TIC et d’être informées de tout changement pertinent au sein de leur chaîne de sous-traitance de TIC lorsque ce changement concerne des fonctions critiques ou importantes.
Considérant 11 Notification of changes and right to terminate
Afin de permettre aux entités financières d’évaluer les risques associés aux accords de sous-traitance ou aux changements significatifs apportés à ces derniers, les prestataires tiers de services TIC devraient informer les entités financières auxquelles ils fournissent des services TIC de tous les nouveaux accords et de tous les changements bien avant que ceux-ci ne commencent à s’appliquer. Pour la même raison, les entités financières devraient avoir le droit de résilier le contrat qu’elles ont conclu avec un prestataire tiers de services TIC lorsque le résultat de leur évaluation des risques indique que les nouveaux accords ou les changements significatifs apportés à ces derniers présentent un niveau de risque supérieur à leur niveau de tolérance au risque.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
services TIC
(En. ICT services)
Definition
prestataire tiers de services TIC
(En. ICT third-party service provider)
Definition
fonction critique ou importante
(En. critical or important function)