Article 31

Désignation de prestataires tiers critiques de services TIC

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

Désignation de prestataires tiers critiques de services TIC

1.   Les AES, agissant par l’intermédiaire du comité mixte et sur recommandation du forum de supervision établi conformément à l’article 32, paragraphe 1:

a)

désignent les prestataires tiers de services TIC qui sont critiques pour les entités financières, à l’issue d’une évaluation tenant compte des critères précisés au paragraphe 2;

b)

désignent comme superviseur principal pour chaque prestataire tiers critique de services TIC l’AES responsable, conformément aux règlements (UE) no 1093/2010, (UE) no 1094/2010 ou (UE) no 1095/2010, des entités financières totalisant ensemble la plus grande part d’actifs de la valeur du total des actifs de toutes les entités financières qui utilisent les services du prestataire tiers critique de services TIC concerné, sur la base de la somme des bilans individuels de ces entités financières.

2.   La désignation visée au paragraphe 1, point a), repose sur l’ensemble des critères suivants en ce qui concerne les services TIC fournis par le prestataire tiers de services TIC:

a)

l’effet systémique sur la stabilité, la continuité ou la qualité de la fourniture de services financiers dans les cas où le prestataire tiers de services TIC concerné serait confronté à une défaillance opérationnelle à grande échelle dans la prestation de ses services, compte tenu du nombre d’entités financières et de la valeur totale des actifs des entités financières auxquelles le prestataire tiers de services TIC concerné fournit des services;

b)

le caractère ou l’importance systémique des entités financières qui dépendent du prestataire tiers de services TIC concerné, appréciés selon les paramètres suivants:

i)

le nombre d’établissements d’importance systémique mondiale (EISm) ou d’autres établissements d’importance systémique (autres EIS) qui dépendent du prestataire tiers de services TIC concerné;

ii)

l’interdépendance entre les EISm ou les autres EIS visés au point i) et d’autres entités financières, y compris les situations dans lesquelles les EISm ou les autres EIS fournissent des services d’infrastructure financière à d’autres entités financières;

c)

la dépendance des entités financières à l’égard des services fournis par le prestataire tiers de services TIC concerné en ce qui concerne les fonctions critiques ou importantes des entités financières qui font en fin de compte intervenir le même prestataire tiers de services TIC, que les entités financières dépendent de ces services directement ou indirectement, par des accords de sous-traitance;

d)

le degré de substituabilité du prestataire tiers de services TIC, en tenant compte des paramètres suivants:

i)

l’absence de réelles solutions de substitution, même partielles, en raison du nombre limité de prestataires tiers de services TIC actifs sur un marché donné, ou de la part de marché du prestataire tiers de services TIC concerné, ou de la complexité ou du degré de sophistication technique en jeu, y compris en ce qui concerne toute technologie propriétaire, ou des caractéristiques spécifiques de l’organisation ou de l’activité du prestataire tiers de services TIC;

ii)

des difficultés liées à la migration partielle ou totale des données et des charges de travail pertinentes du prestataire tiers de services TIC concerné vers un autre, en raison soit de coûts financiers importants, de contraintes de temps ou d’autres ressources que le processus de migration peut imposer, soit du risque lié aux TIC accru ou d’autres risques opérationnels auxquels l’entité financière est susceptible d’être exposée du fait de cette migration.

3.   Lorsque le prestataire tiers de services TIC appartient à un groupe, les critères visés au paragraphe 2 sont considérés par rapport aux services TIC fournis par l’ensemble du groupe.

4.   Les prestataires tiers critiques de services TIC qui font partie d’un groupe désignent une personne morale comme point de coordination afin de veiller à une représentation adéquate et à la communication avec le superviseur principal.

5.   Le superviseur principal notifie au prestataire tiers de services TIC les résultats de l’évaluation menée en vue de la désignation visée au paragraphe 1, point a). Dans un délai de six semaines à compter de la notification, le prestataire tiers de services TIC peut adresser au superviseur principal une déclaration motivée contenant toute information pertinente aux fins de l’évaluation. Le superviseur principal tient compte de la déclaration motivée et peut demander que de plus amples informations soient transmises dans un délai de 30 jours civils à compter de la réception de cette déclaration.

Après avoir désigné un prestataire tiers de services TIC comme critique, les AES, agissant par l’intermédiaire du comité mixte, notifient au prestataire tiers de services TIC cette désignation ainsi que la date à partir de laquelle il fera effectivement l’objet d’activités de supervision. Cette date est fixée au plus tard un mois après la notification. Le prestataire tiers de services TIC notifie aux entités financières auxquelles il fournit des services la désignation le qualifiant de critique.

6.   La Commission est habilitée à adopter un acte délégué conformément à l’article 57 pour compléter le présent règlement en précisant davantage les critères visés au paragraphe 2 du présent article, au plus tard le 17 juillet 2024.

7.   La désignation visée au paragraphe 1, point a), n’est pas employée tant que la Commission n’a pas adopté un acte délégué conformément au paragraphe 6.

8.   La désignation visée au paragraphe 1, point a), ne s’applique pas:

i)

aux entités financières qui fournissent des services TIC à d’autres entités financières;

ii)

aux prestataires tiers de services TIC qui sont soumis à des cadres de supervision établis en vue de soutenir les missions visées à l’article 127, paragraphe 2, du traité sur le fonctionnement de l’Union européenne;

iii)

aux prestataires tiers de services TIC intra-groupe;

iv)

aux prestataires tiers de services TIC qui fournissent des services TIC dans un seul État membre à des entités financières qui ne sont actives que dans cet État membre.

9.   Les AES, agissant par l’intermédiaire du comité mixte, établissent, publient et mettent à jour chaque année la liste des prestataires tiers critiques de services TIC au niveau de l’Union.

10.   Aux fins du paragraphe 1, point a), les autorités compétentes transmettent, sur une base annuelle et agrégée, les rapports visés à l’article 28, paragraphe 3, troisième alinéa, au forum de supervision institué en vertu de l’article 32. Le forum de supervision évalue les relations de dépendance des entités financières à l’égard de prestataires tiers de services TIC sur la base des informations reçues des autorités compétentes.

11.   Les prestataires tiers de services TIC qui ne figurent pas sur la liste visée au paragraphe 9 peuvent demander à être désignés comme critiques conformément au paragraphe 1, point a).

Aux fins du premier alinéa, le prestataire tiers de services TIC présente une demande motivée à l’ABE, à l’AEMF ou à l’AEAPP, lesquelles, par l’intermédiaire du comité mixte, décident de désigner ou non ce prestataire tiers de services TIC comme critique conformément au paragraphe 1, point a).

La décision visée au deuxième alinéa est adoptée et notifiée au prestataire tiers de services TIC dans un délai de six mois à compter de la réception de la demande.

12.   Les entités financières ne font appel aux services d’un prestataire tiers de services TIC établi dans un pays tiers et ayant été désigné comme critique en vertu du paragraphe 1, point a), que si ce dernier a établi une filiale dans l’Union dans un délai de 12 mois à compter de la désignation.

13.   Le prestataire tiers critique de services TIC visé au paragraphe 12 notifie au superviseur principal toute modification de la structure de la direction de la filiale établie dans l’Union.