Couverture Luxgap RGPD NIS 2 DORA AI Act Lanceurs d'alerte CSSF 22/806
Article 35

Pouvoirs du superviseur principal

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

Pouvoirs du superviseur principal

1.   Aux fins de l’exécution des tâches prévues dans la présente section, le superviseur principal dispose des pouvoirs suivants en ce qui concerne les prestataires tiers critiques de services TIC:

a)

demander l’ensemble des informations et des documents pertinents conformément à l’article 37;

b)

mener des enquêtes et des inspections générales conformément à l’article 38 et à l’article 39, respectivement;

c)

demander, au terme des activités de supervision, des rapports dans lesquels sont précisées les mesures qui ont été prises ou les solutions qui ont été mises en œuvre par les prestataires tiers critiques de services TIC en ce qui concerne les recommandations visées au point d) du présent paragraphe;

d)

formuler des recommandations dans les domaines visés à l’article 33, paragraphe 3, notamment en ce qui concerne:

i)

le recours à des exigences ou à des processus spécifiques de sécurité et de qualité en matière de TIC, en particulier en ce qui concerne le déploiement de correctifs, de mises à jour, de mesures de chiffrement et d’autres mesures de sécurité que le superviseur principal juge pertinentes pour garantir la sécurité en matière de TIC des services fournis aux entités financières;

ii)

le recours à des conditions et des modalités, y compris leur mise en œuvre technique, en vertu desquelles les prestataires tiers critiques de services TIC fournissent des services TIC aux entités financières, que le superviseur principal juge pertinentes pour prévenir l’émergence de points uniques de défaillance ou leur amplification, ou pour réduire au maximum l’effet systémique éventuel dans l’ensemble du secteur financier de l’Union en cas de risque de concentration informatique;

iii)

toute sous-traitance envisagée, lorsque le superviseur principal estime que la poursuite de la sous-traitance, y compris les accords d’externalisation que les prestataires tiers critiques de services TIC prévoient de conclure avec des prestataires tiers de services TIC ou avec des sous-traitants de TIC établis dans un pays tiers, peut entraîner des risques pour la fourniture de services par l’entité financière ou des risques pour la stabilité financière, sur la base de l’examen des informations recueillies conformément aux articles 37 et 38;

iv)

l’abstention de conclure un nouvel accord de sous-traitance, lorsque les conditions cumulatives suivantes sont remplies:

le sous-traitant envisagé est un prestataire tiers de services TIC ou un sous-traitant de TIC établi dans un pays tiers,

la sous-traitance concerne des fonctions critiques ou importantes de l’entité financière, et

le superviseur principal estime que le recours à la sous-traitance présente un risque clair et sérieux pour la stabilité financière de l’Union ou pour les entités financières, y compris en ce qui concerne la capacité des entités financières à se conformer aux exigences prudentielles.

Aux fins du point iv) du présent point, les prestataires tiers de services TIC transmettent au superviseur principal, en utilisant le modèle visé à l’article 41, paragraphe 1, point b), les informations relatives à la sous-traitance.

2.   Lorsqu’il exerce les pouvoirs visés au présent article, le superviseur principal:

a)

assure une coordination régulière au sein du réseau de supervision commun et, en particulier, s’efforce d’adopter des approches cohérentes, le cas échéant, en ce qui concerne la supervision des prestataires tiers critiques de services TIC;

b)

tient dûment compte du cadre établi par la directive (UE) 2022/2555 et, s’il y a lieu, consulte les autorités compétentes concernées désignées ou établies conformément à ladite directive, afin d’éviter la duplication des mesures techniques et organisationnelles qui pourraient s’appliquer aux prestataires tiers critiques de services TIC en vertu de ladite directive;

c)

s’efforce de réduire au minimum, dans la mesure du possible, le risque de perturbation des services fournis par des prestataires tiers critiques de services TIC à des clients qui sont des entités ne relevant pas du champ d’application du présent règlement.

3.   Le superviseur principal consulte le forum de supervision avant d’exercer les pouvoirs visés au paragraphe 1.

Avant de formuler des recommandations conformément au paragraphe 1, point d), le superviseur principal donne au prestataire tiers de services TIC la possibilité de fournir, dans un délai de trente jours civils, des informations pertinentes dans lesquelles il démontre l’incidence attendue sur les clients qui sont des entités ne relevant pas du champ d’application du présent règlement et, le cas échéant, formule des solutions pour atténuer les risques.

4.   Le superviseur principal informe le réseau de supervision commun du résultat de l’exercice des pouvoirs visés au paragraphe 1, points a) et b). Le superviseur principal transmet sans retard injustifié les rapports visés au paragraphe 1, point c), au réseau de supervision commun et aux autorités compétentes des entités financières qui utilisent les services TIC de ce prestataire tiers critique de services TIC.

5.   Les prestataires tiers critiques de services TIC coopèrent de bonne foi avec le superviseur principal, et l’assistent dans l’accomplissement de ses tâches.

6.   En cas de non-respect total ou partiel des mesures à adopter en vertu de l’exercice des pouvoirs visés au paragraphe 1, points a), b) et c), et après l’expiration d’un délai d’au moins trente jours civils à compter de la date à laquelle le prestataire tiers critique de services TIC a reçu notification des mesures correspondantes, le superviseur principal adopte une décision imposant une astreinte pour obliger le prestataire tiers critique de services TIC à se conformer à ces mesures.

7.   L’astreinte visée au paragraphe 6 est imposée sur une base journalière jusqu’à ce que la conformité soit atteinte et pendant une période maximale de six mois à compter de la notification au prestataire tiers critique de services TIC de la décision d’imposer une astreinte.

8.   Le montant de l’astreinte, calculé à partir de la date indiquée dans la décision d’astreinte, est égal à 1 % au maximum du chiffre d’affaires quotidien moyen réalisé au niveau mondial par le prestataire tiers critique de services TIC au cours de l’exercice précédent. Lorsqu’il détermine le montant de l’astreinte, le superviseur principal tient compte des critères suivants concernant le non-respect des mesures visées au paragraphe 6:

a)

la gravité et la durée du non-respect;

b)

si le non-respect est délibéré ou résulte d’une négligence;

c)

le niveau de coopération du prestataire tiers de services TIC avec le superviseur principal.

Aux fins du premier alinéa, afin de garantir une approche cohérente, le superviseur principal procède à des consultations au sein du réseau de supervision commun.

9.   Les astreintes sont de nature administrative et sont exécutoires. L’exécution forcée est régie par les règles de la procédure civile en vigueur dans l’État membre sur le territoire duquel les inspections sont effectuées et l’accès accordé. Les juridictions de l’État membre concerné sont compétentes pour statuer sur les plaintes relatives à un comportement abusif en matière d’exécution. Les montants des astreintes sont affectés au budget général de l’Union européenne.

10.   Le superviseur principal rend publique toute astreinte infligée, sauf dans les cas où cette publication perturberait gravement les marchés financiers ou causerait un préjudice disproportionné aux parties en cause.

11.   Avant d’imposer une astreinte en vertu du paragraphe 6, le superviseur principal donne aux représentants du prestataire tiers critique de services TIC faisant l’objet de la procédure la possibilité d’être entendus sur les conclusions et ne fonde ses décisions que sur les conclusions sur lesquelles le prestataire tiers critique de services TIC faisant l’objet de la procédure a eu la possibilité de formuler des observations.

Les droits de la défense des personnes faisant l’objet de la procédure sont pleinement assurés au cours de la procédure. Le prestataire tiers critique de services TIC faisant l’objet de la procédure dispose d’un droit d’accès au dossier, sous réserve de l’intérêt légitime d’autres personnes à ce que leurs secrets d’affaires ne soient pas divulgués. Le droit d’accès au dossier ne s’étend pas aux informations confidentielles ni aux documents préparatoires internes du superviseur principal.