Évaluation préliminaire du risque de concentration de TIC au niveau de l’entité
Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554
Évaluation préliminaire du risque de concentration de TIC au niveau de l’entité
1. Lorsqu’elles procèdent à l’identification et à l’évaluation des risques visés à l’article 28, paragraphe 4, point c), les entités financières déterminent également si la conclusion envisagée d’un accord contractuel portant sur des services TIC qui soutiennent des fonctions critiques ou importantes déboucherait sur l’une des situations suivantes:
| a) | la conclusion d’un contrat avec un prestataire tiers de services TIC dont les services ne sont pas facilement substituables; ou |
| b) | la mise en place de plusieurs accords contractuels relatifs à la fourniture de services TIC qui soutiennent des fonctions critiques ou importantes avec le même prestataire tiers de services TIC ou avec des prestataires tiers de services TIC étroitement liés. |
Les entités financières évaluent les avantages et les coûts des solutions alternatives, telles que le recours à différents prestataires tiers de services TIC, en tenant compte de la compatibilité éventuelle des solutions envisagées avec leurs besoins et leurs objectifs définis dans leur stratégie de résilience numérique, et de la manière de garantir cette compatibilité.
2. Lorsque les accords contractuels relatifs à l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes prévoient la possibilité qu’un prestataire tiers de services TIC sous-traite des services TIC qui soutiennent une fonction critique ou importante à d’autres prestataires tiers de services TIC, les entités financières évaluent les avantages et les risques qui peuvent découler de cette sous-traitance, en particulier dans le cas d’un sous-traitant de services TIC établi dans un pays tiers.
Lorsque des accords contractuels concernent des services TIC qui soutiennent des fonctions critiques ou importantes, les entités financières tiennent dûment compte des dispositions de la législation en matière d’insolvabilité qui s’appliqueraient en cas de faillite du prestataire tiers de services TIC, ainsi que de toute contrainte qui pourrait survenir relativement à la récupération urgente des données de l’entité financière.
Lorsque des accords contractuels relatifs à l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes sont conclus avec un prestataire tiers de services TIC établi dans un pays tiers, les entités financières tiennent également compte, en plus des considérations visées au deuxième alinéa, du respect des règles de l’Union en matière de protection des données et de l’application effective de la législation dans ce pays tiers.
Lorsque les accords contractuels relatifs à l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes prévoient une sous-traitance, les entités financières évaluent si et comment des chaînes de sous-traitance potentiellement longues ou complexes sont susceptibles de compromettre leur capacité à assurer un suivi rigoureux des fonctions visées par le contrat et la capacité de l’autorité compétente à surveiller efficacement l’entité financière à cet égard.