Source: OJ L, 2024/1773, 25.6.2024

RTS on ICT third-party service provider policy

RÈGLEMENT DÉLÉGUÉ (UE) 2024/1773 DE LA COMMISSION

du 13 mars 2024

complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par des normes techniques de réglementation précisant le contenu détaillé de la politique relative aux accords contractuels sur l’utilisation de services TIC soutenant des fonctions critiques ou importantes fournis par des prestataires tiers de services TIC

(Texte présentant de l’intérêt pour l’EEE)

LA COMMISSION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne,

vu le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n^o 1060/2009, (UE) n^o 648/2012, (UE) n^o 600/2014, (UE) n^o 909/2014 et (UE) 2016/1011(¹), et notamment son article 28, paragraphe 10, troisième alinéa,

considérant ce qui suit:

Open full page

Considérant 1Key principles to manage ICT third-party risk

Le cadre sur la résilience opérationnelle numérique du secteur financier établi par le règlement (UE) 2022/2554 exige que les entités financières se fixent certains principes clés pour la gestion des risques liés aux prestataires tiers de services TIC, risques qui sont particulièrement importants lorsqu’elles font appel à de tels prestataires tiers pour soutenir leurs fonctions importantes ou critiques.

Considérant 2The policy

Les entités financières sont tenues d’adopter, comme partie intégrante de leur cadre de gestion du risque lié aux TIC, une stratégie en matière de risques liés aux prestataires tiers de services TIC, et de réexaminer régulièrement cette stratégie. Conformément à l’article 28, paragraphe 2, du règlement (UE) 2022/2554, cette stratégie doit inclure une politique relative à l’utilisation des services TIC soutenant des fonctions critiques ou importantes qui sont fournis par des prestataires tiers de services TIC. Elle s’applique sur une base individuelle et, le cas échéant, sur une base consolidée et sous-consolidée.

Considérant 3Principle of proportionality

Les entités financières varient considérablement par leur taille, leur structure et leur organisation interne, ainsi que par la nature et la complexité de leurs activités et opérations. Tout en imposant, pour l’élaboration de la politique relative aux accords contractuels sur l’utilisation de services TIC soutenant des fonctions critiques ou importantes qui sont fournis par des prestataires tiers de services TIC, un certain nombre d’exigences réglementaires essentielles qui conviennent pour toutes les entités financières, il est nécessaire de tenir compte de cette diversité et de veiller à ce que les exigences fixées soient appliquées de manière proportionnée.

Considérant 4Consistent application of the policy

Dans le cas d’entités financières faisant partie d’un groupe, il devrait incomber à l’entreprise mère chargée de fournir les états financiers consolidés ou sous-consolidés du groupe de veiller à ce que la politique soit appliquée de manière uniforme et cohérente au sein du groupe.

Considérant 5ICT intra-group service providers and subcontractors

Dans le cadre de l’application de la politique, les prestataires de services TIC intragroupe, y compris ceux qui sont entièrement ou collectivement détenus par des entités financières relevant du même système de protection institutionnel, devraient être considérés comme des prestataires tiers de services TIC. Les risques posés par les prestataires de services TIC intragroupe peuvent certes être différents, mais les exigences qui leur sont applicables en vertu du règlement (UE) 2022/2554 sont les mêmes. De même, lorsqu’il existe une chaîne de prestataires tiers de services TIC, la politique devrait s’appliquer aux sous-traitants qui fournissent aux prestataires tiers de services TIC des services TIC soutenant des fonctions critiques ou importantes ou des parties importantes de celles-ci.

Considérant 6Annual review and adoption of the policy

La responsabilité ultime, incombant à l’organe de direction, de la gestion du risque lié aux TIC d’une entité financière, constitue un principe fondamental qui s’applique aussi au recours à des prestataires tiers de services TIC. Cette responsabilité devrait se traduire plus avant par l’implication constante de l’organe de direction dans le contrôle et le suivi de la gestion du risque lié aux TIC, y compris dans l’adoption et le réexamen, au moins une fois par an, de la politique.

Considérant 7Internal responsibilities

Afin de garantir un reporting approprié à l’organe de direction, la politique devrait préciser et énoncer clairement les responsabilités internes en matière d’approbation, de gestion, de contrôle et de documentation des accords contractuels sur l’utilisation de services TIC soutenant des fonctions critiques ou importantes qui sont fournis par des prestataires tiers de services TIC (ci-après les «accords contractuels»), y compris les services TIC fournis en vertu des accords contractuels visés à l’article 28, paragraphe 1, point a), du règlement (UE) 2022/2554.

Considérant 8Policy structured after life cycle

Afin de tenir compte de tous les risques qui peuvent être liés à l’achat contractuel de services TIC à l’appui d’une fonction critique ou importante, la structure de la politique devrait suivre toutes les étapes de chaque phase importante du cycle de vie des accords contractuels conclus avec des prestataires tiers.

Considérant 9Planning

Afin d’atténuer les risques identifiés, la politique devrait préciser les modalités de planification des accords contractuels, notamment en ce qui concerne l’évaluation des risques, la diligence raisonnable et la procédure d’approbation de nouveaux accords contractuels ou de modifications importantes d’accords contractuels existants. Aux fins de la gestion des risques susceptibles de survenir avant la conclusion d’un accord contractuel avec un prestataire tiers de services TIC, la politique devrait prévoir un processus approprié et proportionné pour la sélection des prestataires tiers de services TIC potentiels et l’évaluation de leur adéquation, et imposer à l’entité financière de tenir compte d’une liste non exhaustive d’éléments que ces prestataires tiers devraient avoir mis en place. Cette liste devrait couvrir la réputation commerciale des prestataires tiers, leurs ressources financières, humaines et techniques, la sécurité des informations en leur sein, leur structure organisationnelle, y compris leur gestion des risques, et les contrôles internes qu’ils appliquent.

Considérant 10Implementation, monitoring and management

Afin de garantir une bonne gestion des risques dans le cadre de la fourniture par des prestataires tiers de services TIC soutenant des fonctions critiques ou importantes, la politique devrait contenir des informations sur la mise en œuvre, le suivi et la gestion des accords contractuels, y compris au niveau consolidé et sous-consolidé, s’il y a lieu. Cela inclut des exigences concernant les clauses contractuelles relatives aux obligations mutuelles de l’entité financière et du prestataire tiers de services TIC, lesquelles devraient être énoncées par écrit. Afin de garantir une surveillance efficace et de favoriser la résilience en cas de changements dans le modèle d’entreprise ou l’environnement des entreprises, la politique devrait garantir le droit des entités financières, ou de tiers désignés par elles, et des autorités compétentes de procéder à des inspections et d’accéder à des informations, et elle devrait également préciser les stratégies de sortie et les processus de résiliation des accords contractuels.

Considérant 11Personal data processing

Dans la mesure où des données à caractère personnel sont traitées par des prestataires tiers de services TIC, la politique et les accords contractuels sont sans préjudice des obligations prévues par le règlement (UE) 2016/679 du Parlement européen et du Conseil(²) et devraient les compléter, par exemple par la mise en place d’un contrat écrit prévoyant les modalités de traitement des données à caractère personnel, l’obligation de garantir la sécurité de ce traitement et tous les autres éléments requis par ledit règlement.

Considérant 12Open public consultations

Le comité mixte des autorités européennes de surveillance visé à l’article 54 du règlement (UE) n^o 1093/2010 du Parlement européen et du Conseil(³), à l’article 54 du règlement (UE) n^o 1094/2010 du Parlement européen et du Conseil(⁴) et à l’article 54 du règlement (UE) n^o 1095/2010 du Parlement européen et du Conseil(⁵) a procédé à des consultations publiques ouvertes sur le projet de normes techniques de réglementation sur lequel se fonde le présent règlement, analysé les coûts et avantages potentiels des normes proposées et sollicité l’avis du groupe des parties intéressées au secteur bancaire institué par l’article 37 du règlement (UE) n^o 1093/2010, du groupe des parties intéressées à l’assurance et la réassurance et du groupe des parties intéressées aux pensions professionnelles institués par l’article 37 du règlement (UE) n^o 1094/2010, ainsi que du groupe des parties intéressées au secteur financier institué par l’article 37 du règlement (UE) n^o 1095/2010,

Considérant 13European Data Protection Supervisor consultation

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil(⁶) et a rendu un avis le 24 janvier 2024,

A ADOPTÉ LE PRÉSENT RÈGLEMENT:

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Bruxelles, le 13 mars 2024.

Par la Commission

La présidente

Ursula VON DER LEYEN