Source: OJ L, 2024/1773, 25.6.2024

Current language: FR

Article 8 Clauses contractuelles

Summary What does Article 8 of the RTS on ICT third-party service provider policy say?

This article sets out the formal requirements that the policy must establish for contractual arrangements with ICT third-party service providers.

It builds directly on the planning and due diligence obligations covered in earlier articles, moving into the concrete mechanics of how those arrangements must be structured and overseen.

The core thrust is twofold: ensuring contracts are properly documented and legally complete, and ensuring that financial entities retain genuine oversight rights — including the ability to audit and test ICT systems — rather than passively accepting third-party certifications or reports as sufficient assurance.

The article is notably detailed on the conditions under which certifications and third-party audit reports may be relied upon, making clear that these cannot become a substitute for active oversight over time.

Important points:

  • Ensure contractual arrangements are in written form, cover all legally required elements, and that any material changes are formalised in a dated and signed written document.
  • Retain the right within contracts to access information, carry out inspections, and perform ICT testing — including through pooled audits with other financial entities using the same provider.
  • Do not rely solely on third-party certifications or audit reports; their use is only permitted where a detailed set of conditions is met, and active audit rights must always be contractually preserved.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. La politique précise que les accords contractuels doivent être écrits et inclure tous les éléments visés à l’article 30, paragraphes 2 et 3, du règlement (UE) 2022/2554. La politique inclut aussi des éléments portant sur les exigences visées à l’article 1er, paragraphe 1, point a), du règlement (UE) 2022/2554 et, le cas échéant, sur d’autres dispositions pertinentes du droit de l’Union et du droit national.

    1. La politique précise que les accords contractuels doivent prévoir le droit pour l’entité financière d’accéder à des informations, de procéder à des inspections et des audits, et d’effectuer des tests portant sur les TIC. À cette fin, la politique exige que l’entité financière utilise les méthodes suivantes, sans préjudice de sa responsabilité ultime:

      1. son propre audit interne ou un audit effectué par un tiers désigné;

      2. lorsque cela est approprié, des audits groupés et des tests groupés de TIC, y compris des tests de pénétration fondés sur la menace, organisés conjointement avec d’autres entités financières ou entreprises contractantes qui utilisent des services TIC du même prestataire tiers de services TIC, et effectués par ces entités financières ou entreprises contractantes ou par un tiers désigné par elles;

      3. lorsque cela est approprié, des certifications délivrées par des tiers;

      4. lorsque cela est approprié, des rapports d’audit internes ou de tiers fournis par le prestataire tiers de services TIC

    1. L’entité financière ne peut indéfiniment s’appuyer uniquement sur les certifications visées au paragraphe 2, point c), ou sur les rapports d’audit visés au point d) du même paragraphe. La politique n’autorise l’utilisation des méthodes visées au paragraphe 2, points c) et d), que lorsque l’entité financière:

      1. est convaincue par le plan d’audit du prestataire tiers de services TIC pour les accords contractuels concernés;

      2. s’assure que les certifications ou rapports d’audit couvrent les systèmes et contrôles clés indiqués par elle, et veille au respect des exigences réglementaires applicables;

      3. évalue en permanence et de manière approfondie le contenu des certifications ou des rapports d’audit et vérifie que ces rapports ou certifications ne sont pas obsolètes;

      4. veille à ce que les systèmes et contrôles clés soient couverts par les futures versions des certifications ou rapports d’audit;

      5. est convaincue des aptitudes du tiers qui délivre la certification ou effectue l’audit;

      6. a la conviction que les certifications sont délivrées, et les audits effectués, dans le respect de normes professionnelles pertinentes largement reconnues, et qu’ils comportent un test de l’efficacité opérationnelle des contrôles clés mis en place;

      7. a le droit contractuel de demander, à une fréquence raisonnable et légitime du point de vue de la gestion des risques, que les certifications ou rapports d’audit soient modifiés de manière à englober d’autres systèmes et contrôles pertinents;

      8. a le droit contractuel d’effectuer à sa discrétion des audits individuels et groupés relatifs aux accords contractuels, et d’exercer ce droit selon la fréquence convenue.

    1. La politique garantit que toute modification importante apportée à un accord contractuel sera formalisée dans un document écrit, daté et signé par toutes les parties, et elle précise la procédure de reconduction des accords contractuels.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod