Source: OJ L, 2024/1773, 25.6.2024

Current language: FR

Article 4 Principales phases du cycle de vie pour l’adoption et l’utilisation d’accords contractuels

Summary What does Article 4 of the RTS on ICT third-party service provider policy say?

Article 4 acts as a structural backbone for the broader regulation, requiring that the policy covers every major phase of a contractual arrangement's lifecycle with ICT third-party service providers.

Rather than focusing on one specific obligation, it maps out the full journey of a contractual arrangement — from planning and due diligence, through implementation and ongoing monitoring, all the way to exit and termination — ensuring nothing falls through the gaps.

It explicitly cross-references several other articles in the regulation, meaning it serves as a connecting thread that ties together the more detailed requirements found elsewhere.

Important points:

  • Ensure your policy addresses every stage of the contractual arrangement lifecycle, from pre-contractual planning through to exit strategies.
  • The management body must have defined responsibilities, including appropriate involvement in decision-making on the use of ICT services supporting critical or important functions.
  • Documentation and record-keeping obligations must align with the register of information requirements under Article 28(3) of Regulation (EU) 2022/2554.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

La politique précise les exigences, notamment les règles, les responsabilités et les processus, à respecter à chacune des phases principales du cycle de vie d’un accord contractuel, ces exigences couvrant au moins les éléments suivants:

  1. les responsabilités de l’organe de direction, y compris sa participation, en tant que de besoin, au processus décisionnel relatif à l’utilisation de services TIC fournis par des prestataires tiers de services TIC pour soutenir des fonctions critiques ou importantes;

  2. la planification des accords contractuels, y compris l’évaluation des risques, la diligence raisonnable prévue aux articles 5 et 6 et la procédure d’approbation des nouveaux accords contractuels ou des modifications importantes d’accords contractuels existants prévue à l’article 8, paragraphe 4;

  3. le rôle des unités opérationnelles, des contrôles internes et d’autres unités pertinentes dans l’exécution des accords contractuels;

  4. la mise en œuvre, le suivi et la gestion, conformément aux articles 7, 8 et 9, des accords contractuels, y compris, s’il y a lieu, aux niveaux consolidé et sous-consolidé;

  5. la documentation et la tenue de registres, compte tenu des exigences définies à l’article 28, paragraphe 3, du règlement (UE) 2022/2554 en ce qui concerne le registre d’informations;

  6. les stratégies de sortie et les processus de résiliation prévus à l’article 10.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod