Source: OJ L, 2024/1773, 25.6.2024

Current language: FR

Article 3 Dispositifs de gouvernance

Summary What does Article 3 of the RTS on ICT third-party service provider policy say?

Article 3 is a substantive and detailed article that sets out the core content requirements for the policy introduced in Article 1.

It covers the governance, maintenance, and structural obligations that the policy must embed, spanning everything from how the policy is kept current, to how responsibilities are assigned internally, to how contractual arrangements with ICT third-party service providers must align with DORA's broader framework.

A key theme running throughout is accountability: the management body owns the policy, senior management is named as responsible for oversight, and the financial entity retains ultimate responsibility regardless of what is outsourced.

Important points:

  • Ensure your policy is reviewed by the management body at least once a year, updated where necessary, and that any changes are implemented in a timely manner with a documented timeline.
  • Embed clear internal governance into the policy, including named senior management responsibility for monitoring contractual arrangements, defined reporting lines to the management body, and assigned responsibilities for approval, management, control, and documentation.
  • Contractual arrangements with ICT third-party service providers must not relieve the financial entity of its regulatory obligations, must not obstruct supervisory access, and must align with DORA's ICT risk management, information security, business continuity, and incident reporting requirements.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. L’organe de direction réexamine la politique au moins une fois par an et l’actualise si nécessaire. Les modifications apportées à la politique sont mises en œuvre en temps utile, et dès que possible, dans le cadre des accords contractuels concernés. L’entité financière documente le calendrier prévu pour la mise en œuvre.

    1. La politique établit ou fait référence à une méthode permettant de déterminer quels services TIC soutiennent des fonctions critiques ou importantes. La politique précise également quand cette évaluation doit être effectuée et réexaminée.

    1. La politique attribue clairement les responsabilités internes en matière d’approbation, de gestion, de contrôle et de documentation des accords contractuels concernés et garantit le maintien, au sein de l’entité financière, des compétences, de l’expérience et des connaissances nécessaires à une supervision effective de ces accords, y compris des services TIC fournis conformément à ceux-ci.

    1. Sans préjudice de la responsabilité finale de l’entité financière de superviser effectivement les accords contractuels conclus, la politique exige une évaluation du prestataire tiers de services TIC attestant qu’il dispose de ressources suffisantes pour garantir que l’entité financière respecte toutes les exigences légales et réglementaires lui incombant quant aux services TIC qui lui sont fournis à l’appui de fonctions critiques ou importantes.

    1. La politique indique clairement à quel rôle ou à quel membre de la direction générale incombe la responsabilité de suivre le respect des accords contractuels conclus. La politique précise comment s’exerce la coopération entre ce rôle ou ce membre de la direction générale et les fonctions de contrôle, à moins qu’il n’en fasse partie, et elle indique les lignes hiérarchiques à respecter pour faire rapport à l’organe de direction, notamment la nature des informations et les documents à lui fournir. Elle précise également la fréquence ce reporting.

    1. La politique garantit la cohérence des accords contractuels avec les éléments suivants:

      1. le cadre de gestion du risque lié aux TIC prévu par l’article 6 du règlement (UE) 2022/2554;

      2. la politique de sécurité de l’information prévue par l’article 9, paragraphe 4, du règlement (UE) 2022/2554:

      3. la politique de continuité des activités de TIC prévue par l’article 11 du règlement (UE) 2022/2554;

      4. les exigences en matière de déclaration des incidents liés aux TIC prévues par l’article 19 du règlement (UE) 2022/2554.

    1. La politique exige que les services TIC fournis par des prestataires tiers de services TIC à l’appui de fonctions critiques ou importantes fassent l’objet d’un examen indépendant et soient inclus dans le plan d’audit.

    1. La politique précise explicitement que les accords contractuels:

      1. ne dispensent pas l’entité financière, ni son organe de direction, des obligations réglementaires de l’entité financière et de ses responsabilités à l’égard de ses clients;

      2. ne doivent pas empêcher la surveillance effective de l’entité financière et ne doivent enfreindre aucune restriction de services ou d’activités imposée par les autorités de surveillance;

      3. doivent imposer aux prestataires tiers de services TIC de coopérer avec les autorités compétentes;

      4. doivent exiger que l’entité financière, ses auditeurs et les autorités compétentes aient effectivement accès aux données et aux locaux en lien avec l’utilisation de services TIC soutenant des fonctions critiques ou importantes.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod