Tâches du superviseur principal
Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554
Tâches du superviseur principal
1. Le superviseur principal, désigné conformément à l’article 31, paragraphe 1, point b), assure la supervision des prestataires tiers critiques de services TIC assignés et est, aux fins de toutes les questions liées à la supervision, le premier point de contact de ces prestataires tiers critiques de services TIC.
2. Aux fins du paragraphe 1, le superviseur principal détermine si chaque prestataire tiers critique de services TIC a mis en place des règles, des procédures, des mécanismes et des dispositifs complets, solides et efficaces pour gérer le risque lié aux TIC qu’il est susceptible de faire peser sur les entités financières.
L’évaluation visée au premier alinéa porte essentiellement sur les services TIC fournis par le prestataire tiers critique de services TIC qui soutient les fonctions critiques ou importantes des entités financières. Lorsque cela est nécessaire pour parer à tous les risques pertinents, cette évaluation s’étend aux services TIC qui soutiennent des fonctions autres que celles qui sont critiques ou importantes.
3. L’évaluation visée au paragraphe 2 comprend:
| a) | des exigences en matière de TIC pour garantir, en particulier, la sécurité, la disponibilité, la continuité, l’extensibilité et la qualité des services que le prestataire tiers critique de services TIC fournit aux entités financières, ainsi que la capacité à maintenir à tout moment des normes élevées de disponibilité, d’authenticité, d’intégrité ou de confidentialité des données; |
| b) | la sécurité physique qui contribue à assurer la sécurité des TIC, y compris la sécurité des locaux, des installations et des centres de données; |
| c) | les processus de gestion des risques, y compris les politiques de gestion du risque lié aux TIC, la politique de continuité des activités de TIC et les plans de réponse et de rétablissement des TIC; |
| d) | les modalités de gouvernance, notamment une structure organisationnelle comportant des lignes de responsabilité et des règles d’imputabilité claires, transparentes et cohérentes permettant une gestion efficace du risque lié aux TIC; |
| e) | le recensement et le suivi des incidents importants liés aux TIC, ainsi que leur notification rapide aux entités financières, la gestion et la résolution de ces incidents, en particulier les cyberattaques; |
| f) | les mécanismes relatifs à la portabilité des données, à la portabilité des applications et à l’interopérabilité, qui garantissent un exercice effectif des droits de résiliation par les entités financières; |
| g) | les tests des systèmes, des infrastructures et des contrôles de TIC; |
| h) | les audits des TIC; |
| i) | l’utilisation des normes nationales et internationales pertinentes applicables à la fourniture de ses services TIC aux entités financières. |
4. Sur la base de l’évaluation visée au paragraphe 2 et en coordination avec le réseau de supervision commun visé à l’article 34, paragraphe 1, le superviseur principal adopte un plan de supervision individuel clair, détaillé et motivé décrivant les objectifs annuels de supervision et les principales actions de supervision prévues pour chaque prestataire tiers critique de services TIC. Ce plan est communiqué chaque année au prestataire tiers critique de services TIC.
Avant l’adoption du plan de supervision, le superviseur principal communique le projet de plan de surveillance au prestataire tiers critique de services TIC.
Dès réception du projet de plan de supervision, le prestataire tiers critique de services TIC peut présenter, dans un délai de quinze jours civils, une déclaration motivée dans laquelle il démontre l’incidence attendue sur les clients qui sont des entités ne relevant pas du champ d’application du présent règlement et formule, le cas échéant, des solutions pour atténuer les risques.
5. Une fois que les plans annuels de supervision visés au paragraphe 4 ont été adoptés et notifiés aux prestataires tiers critiques de services TIC, les autorités compétentes ne peuvent prendre des mesures concernant les prestataires tiers critiques de services TIC qu’en accord avec le superviseur principal.