This document is an excerpt from the EUR-Lex website
Document 02022R2554-20221227
Consolidated text: Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 (Texte présentant de l’intérêt pour l’EEE)
Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 (Texte présentant de l’intérêt pour l’EEE)
In force
02022R2554 — FR — 27.12.2022 — 000.004
Ce texte constitue seulement un outil de documentation et n’a aucun effet juridique. Les institutions de l'Union déclinent toute responsabilité quant à son contenu. Les versions faisant foi des actes concernés, y compris leurs préambules, sont celles qui ont été publiées au Journal officiel de l’Union européenne et sont disponibles sur EUR-Lex. Ces textes officiels peuvent être consultés directement en cliquant sur les liens qui figurent dans ce document
|
RÈGLEMENT (UE) 2022/2554 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 (Texte présentant de l’intérêt pour l’EEE) (JO L 333 du 27.12.2022, p. 1) |
Rectifié par:
RÈGLEMENT (UE) 2022/2554 DU PARLEMENT EUROPÉEN ET DU CONSEIL
du 14 décembre 2022
sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011
(Texte présentant de l’intérêt pour l’EEE)
CHAPITRE I
Dispositions générales
Article premier
Objet
Pour atteindre un niveau commun élevé de résilience opérationnelle numérique, le présent règlement définit les exigences uniformes relatives à la sécurité des réseaux et des systèmes d’information sous-tendant les processus opérationnels des entités financières, comme suit:
les exigences applicables aux entités financières en ce qui concerne:
la gestion des risques liés aux technologies de l’information et de la communication (TIC);
la notification, aux autorités compétentes, des incidents majeurs liés aux TIC et la notification, à titre volontaire, des cybermenaces importantes aux autorités compétentes;
la notification aux autorités compétentes, par les entités financières visées à l’article 2, paragraphe 1, points a) à d), des incidents opérationnels ou de sécurité majeurs liés au paiement;
les tests de résilience opérationnelle numérique;
le partage d’informations et de renseignements en rapport avec les cybermenaces et les cybervulnérabilités;
les mesures destinées à garantir la gestion saine du risque lié aux prestataires tiers de services TIC;
les exigences relatives aux accords contractuels conclus entre des prestataires tiers de services TIC et des entités financières;
les règles relatives à l’établissement du cadre de supervision applicable aux prestataires tiers critiques de services TIC lorsqu’ils fournissent des services à des entités financières, ainsi que celles liées à l’exercice des tâches dans ce cadre;
les règles relatives à la coopération entre les autorités compétentes, et les règles relatives à la surveillance et à l’exécution par les autorités compétentes en ce qui concerne toutes les questions couvertes par le présent règlement.
Article 2
Champ d’application
Sans préjudice des paragraphes 3 et 4, le présent règlement s’applique aux entités suivantes:
les établissements de crédit;
les établissements de paiement, y compris les établissements de paiement exemptés en vertu de la directive (UE) 2015/2366;
les prestataires de services d’information sur les comptes;
les établissements de monnaie électronique, y compris les établissements de monnaie électronique exemptés en vertu de la directive 2009/110/CE;
les entreprises d’investissement;
les prestataires de services sur crypto-actifs agréés en vertu du règlement du Parlement européen et du Conseil sur les marchés de crypto-actifs, et modifiant les règlements (UE) no 1093/2010 et (UE) no 1095/2010 et les directives 2013/36/UE et (UE) 2019/1937 (ci-après dénommé «règlement sur les marchés de crypto-actifs») et les émetteurs de jetons se référant à un ou des actifs;
les dépositaires centraux de titres;
les contreparties centrales;
les plates-formes de négociation;
les référentiels centraux;
les gestionnaires de fonds d’investissement alternatifs;
les sociétés de gestion;
les prestataires de services de communication de données;
les entreprises d’assurance et de réassurance;
les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire;
les institutions de retraite professionnelle;
les agences de notation de crédit;
les administrateurs d’indices de référence d’importance critique;
les prestataires de services de financement participatif;
les référentiels des titrisations;
les prestataires tiers de services TIC.
Le présent règlement ne s’applique pas aux:
gestionnaires de fonds d’investissement alternatifs visés à l’article 3, paragraphe 2, de la directive 2011/61/UE;
entreprises d’assurance et de réassurance visées à l’article 4 de la directive 2009/138/CE;
institutions de retraite professionnelle qui gèrent des régimes de retraite qui, ensemble, ne comptent pas plus de quinze affiliés au total;
personnes physiques ou morales exemptées en vertu des articles 2 et 3 de la directive 2014/65/UE;
intermédiaires d’assurance, intermédiaires de réassurance et intermédiaires d’assurance à titre accessoire qui sont des microentreprises ou des petites ou moyennes entreprises;
offices des chèques postaux visés à l’article 2, paragraphe 5, point 3), de la directive 2013/36/UE.
Article 3
Définitions
Aux fins du présent règlement, on entend par:
«résilience opérationnelle numérique»: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations;
«réseau et système d’information»: un réseau et système d’information au sens de l’article 6, point 1), de la directive (UE) 2022/2555;
«système de TIC hérité»: un système de TIC qui a atteint la fin de son cycle de vie (fin de vie), qui ne se prête pas à des mises à jour ou des corrections, pour des raisons technologiques ou commerciales, ou qui n’est plus pris en charge par son fournisseur ou par un prestataire tiers de services TIC, mais qui est toujours utilisé et soutient les fonctions de l’entité financière;
«sécurité des réseaux et des systèmes d’information»: la sécurité des réseaux et des systèmes d’information au sens de l’article 6, point 2), de la directive (UE) 2022/2555;
«risque lié aux TIC»: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;
«actif informationnel»: un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection;
«actif de TIC»: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière;
«incident lié aux TIC»: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière;
«incident opérationnel ou de sécurité lié au paiement»: un événement ou une série d’événements liés entre eux que les entités financières visées à l’article 2, paragraphe 1, points a) à d), n’ont pas prévu, lié ou non aux TIC, qui a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données liées au paiement ou sur les services liés au paiement fournis par l’entité financière;
«incident majeur lié aux TIC»: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;
«incident opérationnel ou de sécurité majeur lié au paiement»: un incident opérationnel ou de sécurité lié au paiement qui a une incidence négative élevée sur les services fournis liés au paiement;
«cybermenace»: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;
«cybermenace importante»: une cybermenace dont les caractéristiques techniques indiquent qu’elle pourrait donner lieu à un incident majeur lié aux TIC ou à un incident opérationnel ou de sécurité majeur lié au paiement;
«cyberattaque»: un incident lié aux TIC malveillant causé par une tentative de destruction, d’exposition, de modification, de désactivation, de vol, d’utilisation non autorisée d’un actif ou d’accès non autorisé à celui-ci, perpétrée par un acteur de la menace;
«renseignements sur les menaces»: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations;
«vulnérabilité»: une faiblesse, une susceptibilité ou un défaut d’un actif, d’un système, d’un processus ou d’un contrôle qui peuvent être exploités;
« ►C1 tests d’intrusion ◄ fondés sur la menace»: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière;
«risque lié aux prestataires tiers de services TIC»: un risque lié aux TIC auquel une entité financière peut être exposée du fait de son recours à des services TIC fournis par des prestataires tiers de services TIC ou par des sous-traitants, y compris au moyen d’accords d’externalisation;
«prestataire tiers de services TIC»: une entreprise qui fournit des services TIC;
«prestataire de services TIC intra-groupe»: une entreprise qui fait partie d’un groupe financier et qui fournit principalement des services TIC à des entités financières du même groupe ou à des entités financières appartenant au même système de protection institutionnel, y compris à leurs entreprises mères, filiales et succursales ou à d’autres entités détenues ou contrôlées par la même entité;
«services TIC»: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;
«fonction critique ou importante»: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;
«prestataire tiers critique de services TIC»: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31;
«prestataire tiers de services TIC établi dans un pays tiers»: un prestataire tiers de services TIC qui est une personne morale établie dans un pays tiers et qui a conclu un accord contractuel avec une entité financière pour la fourniture de services TIC;
«filiale»: une entreprise filiale au sens de l’article 2, point 10), et de l’article 22 de la directive 2013/34/UE;
«groupe»: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE;
«entreprise mère»: une entreprise mère au sens de l’article 2, point 9), et de l’article 22 de la directive 2013/34/UE;
«sous-traitant de TIC établi dans un pays tiers»: un sous-traitant de TIC qui est une personne morale établie dans un pays tiers et qui a conclu un accord contractuel soit avec un prestataire tiers de services TIC, soit avec un prestataire tiers de services TIC établi dans un pays tiers;
«risque de concentration de TIC»: une exposition à des prestataires tiers critiques de services TIC individuels ou multiples et liés, créant un degré de dépendance à l’égard de ces prestataires, de sorte que l’indisponibilité, la défaillance ou tout autre type d’insuffisance de ces derniers peut potentiellement mettre en péril la capacité d’une entité financière à assurer des fonctions critiques ou importantes, ou l’exposer à subir d’autres types d’effets préjudiciables, y compris des pertes importantes, ou mettre en péril la stabilité financière de l’Union dans son ensemble;
«organe de direction»: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil ( 1 ), de l’article 2, paragraphe 1, point 45), du règlement (UE) no 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;
«établissement de crédit»: un établissement de crédit au sens de l’article 4, paragraphe 1, point 1), du règlement (UE) no 575/2013 du Parlement européen et du Conseil ( 2 );
«établissement exempté en vertu de la directive 2013/36/UE»: une entité visée à l’article 2, paragraphe 5, points 4) à 23), de la directive 2013/36/UE;
«entreprise d’investissement»: une entreprise d’investissement au sens de l’article 4, paragraphe 1, point 1), de la directive 2014/65/UE;
«petite entreprise d’investissement non interconnectée»: une entreprise d’investissement qui répond aux conditions énoncées à l’article 12, paragraphe 1, du règlement (UE) 2019/2033 du Parlement européen et du Conseil ( 3 );
«établissement de paiement»: un établissement de paiement au sens de l’article 4, point 4), de la directive (UE) 2015/2366;
«établissement de paiement exempté en vertu de la directive (UE) 2015/2366»: un établissement de paiement bénéficiant d’une exemption au titre de l’article 32, paragraphe 1, de la directive (UE) 2015/2366;
«prestataires de services d’information sur les comptes»: un prestataire de services d’information sur les comptes visé à l’article 33, paragraphe 1, de la directive (UE) 2015/2366;
«établissement de monnaie électronique»: un établissement de monnaie électronique au sens de l’article 2, point 1), de la directive 2009/110/CE;
«établissement de monnaie électronique exempté en vertu de la directive 2009/110/CE»: un établissement de monnaie électronique bénéficiant d’une exemption visé à l’article 9, paragraphe 1, de la directive 2009/110/CE;
«contrepartie centrale»: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) no 648/2012;
«référentiel central»: un référentiel central au sens de l’article 2, point 2), du règlement (UE) no 648/2012;
«dépositaire central de titres»: un dépositaire central de titres au sens de l’article 2, paragraphe 1, point 1), du règlement (UE) no 909/2014;
«plate-forme de négociation»: une plate-forme de négociation au sens de l’article 4, paragraphe 1, point 24), de la directive 2014/65/UE;
«gestionnaire de fonds d’investissement alternatifs»: un gestionnaire de fonds d’investissement alternatifs au sens de l’article 4, paragraphe 1, point b), de la directive 2011/61/UE;
«société de gestion»: une société de gestion au sens de l’article 2, paragraphe 1, point b), de la directive 2009/65/CE;
«prestataire de services de communication de données»: un prestataire de services de communication de données au sens du règlement (UE) no 600/2014, tel que visé à l’article 2, paragraphe 1, points 34) à 36), dudit règlement;
«entreprise d’assurance»: une entreprise d’assurance au sens de l’article 13, point 1), de la directive 2009/138/CE;
«entreprise de réassurance»: une entreprise de réassurance au sens de l’article 13, point 4), de la directive 2009/138/CE;
«intermédiaire d’assurance»: un intermédiaire d’assurance au sens de l’article 2, paragraphe 1, point 3), de la directive (UE) 2016/97 du Parlement européen et du Conseil ( 4 );
«intermédiaire d’assurance à titre accessoire»: un intermédiaire d’assurance à titre accessoire au sens de l’article 2, paragraphe 1, point 4), de la directive (UE) 2016/97;
«intermédiaire de réassurance»: un intermédiaire de réassurance au sens de l’article 2, paragraphe 1, point 5), de la directive (UE) 2016/97;
«institution de retraite professionnelle»: une institution de retraite professionnelle au sens de l’article 6, point 1), de la directive (UE) 2016/2341;
«petite institution de retraite professionnelle»: une institution de retraite professionnelle qui gère des régimes de retraite qui, ensemble, comptent moins de cent affiliés au total;
«agence de notation de crédit»: une agence de notation de crédit au sens de l’article 3, paragraphe 1, point b), du règlement (CE) no 1060/2009;
«prestataire de services sur crypto-actifs»: un prestataire de services sur crypto-actifs au sens de la disposition pertinente du règlement sur les marchés de crypto-actifs;
«émetteur de jetons se référant à un ou des actifs»: un émetteur de jetons se référant à un ou des actifs au sens de la disposition pertinente du règlement sur les marchés de crypto-actifs;
«administrateur d’indices de référence d’importance critique»: un administrateur d’indices de référence d’importance critique au sens de l’article 3, paragraphe 1, point 25), du règlement (UE) 2016/1011;
«prestataire de services de financement participatif»: un prestataire de services de financement participatif au sens de l’article 2, paragraphe 1, point e), du règlement (UE) 2020/1503 du Parlement européen et du Conseil ( 5 );
«référentiel des titrisations»: un référentiel des titrisations au sens de l’article 2, point 23), du règlement (UE) 2017/2402 du Parlement européen et du Conseil ( 6 );
«microentreprise»: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros;
«superviseur principal»: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement;
«comité mixte»: le comité visé à l’article 54 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010;
«petite entreprise»: une entité financière qui emploie dix personnes ou plus mais moins de cinquante personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel dépasse 2 millions d’euros mais n’excède pas 10 millions d’euros;
«moyenne entreprise»: une entité financière qui n’est pas une petite entreprise et qui emploie moins de 250 personnes et dont le chiffre d’affaires annuel n’excède pas 50 millions d’euros et/ou dont le bilan annuel n’excède pas 43 millions d’euros;
«autorité publique»: tout gouvernement ou toute autre entité de l’administration publique, y compris les banques centrales nationales.
Article 4
Principe de proportionnalité
CHAPITRE II
Gestion du risque lié aux TIC
Article 5
Gouvernance et organisation
Aux fins du premier alinéa, l’organe de direction:
assume la responsabilité ultime de la gestion du risque lié aux TIC de l’entité financière;
met en place des stratégies visant à garantir le maintien de normes élevées en matière de disponibilité, d’authenticité, d’intégrité et de confidentialité des données;
définit clairement les rôles et les responsabilités pour toutes les fonctions liées aux TIC et met en place des dispositifs de gouvernance appropriés pour assurer une communication, une coopération et une coordination efficaces et en temps utile entre ces fonctions;
assume la responsabilité globale de la définition et de l’approbation de la stratégie de résilience opérationnelle numérique visée à l’article 6, paragraphe 8, y compris la détermination du niveau approprié de tolérance au risque lié aux TIC de l’entité financière, tel que visé à l’article 6, paragraphe 8, point b);
approuve, supervise et examine périodiquement la mise en œuvre de la politique de continuité des activités de TIC de l’entité financière et des plans de réponse et de rétablissement des TIC visés, respectivement, à l’article 11, paragraphes 1 et 3, qui peuvent être adoptés en tant que politique spécifique faisant partie intégrante de la politique globale de continuité des activités et du plan de réponse et de rétablissement de l’entité financière;
approuve et examine périodiquement les plans internes d’audit des TIC et les audits des TIC de l’entité financière ainsi que les modifications significatives qui y sont apportées;
alloue et réexamine périodiquement le budget approprié pour satisfaire les besoins de l’entité financière en matière de résilience opérationnelle numérique pour tous les types de ressources, y compris les programmes pertinents de sensibilisation à la sécurité des TIC et les formations pertinentes à la résilience opérationnelle numérique visés à l’article 13, paragraphe 6, et les compétences en matière de TIC pour l’ensemble du personnel;
approuve et examine périodiquement la politique de l’entité financière concernant les modalités d’utilisation des services TIC fournis par des prestataires tiers de services TIC;
met en place, au niveau de l’entreprise, des canaux de notification lui permettant d’être dûment informé des éléments suivants:
des accords conclus avec des prestataires tiers de services TIC sur l’utilisation des services TIC;
de tout changement significatif pertinent prévu concernant les prestataires tiers de services TIC;
des incidences potentielles de ces changements sur les fonctions critiques ou importantes faisant l’objet de ces accords, notamment un résumé de l’analyse des risques visant à évaluer les incidences de ces changements, et au minimum des incidents majeurs liés aux TIC et de leur incidence, ainsi que des mesures de réponse, de rétablissement et de correction.
Article 6
Cadre de gestion du risque lié aux TIC
Le cadre de gestion du risque lié aux TIC comprend une stratégie de résilience opérationnelle numérique qui définit les modalités de mise en œuvre du cadre. À cette fin, la stratégie de résilience opérationnelle numérique précise les méthodes pour parer au risque lié aux TIC et atteindre des objectifs spécifiques en matière de TIC, en:
expliquant la manière dont le cadre de gestion du risque lié aux TIC soutient la stratégie d’entreprise et les objectifs de l’entité financière;
déterminant le niveau de tolérance au risque lié aux TIC, en fonction de l’appétit pour le risque de l’entité financière, et en analysant la tolérance à l’incidence des dysfonctionnements des TIC;
définissant des objectifs clairs en matière de sécurité de l’information, y compris des indicateurs de performance clés et des indicateurs de risque clés;
décrivant l’architecture des TIC de référence et les changements nécessaires pour atteindre des objectifs spécifiques de l’entité financière;
présentant les différents mécanismes mis en place pour détecter et prévenir les incidents liés aux TIC, ainsi que pour se protéger contre leurs effets;
déterminant la situation actuelle en matière de résilience opérationnelle numérique sur la base du nombre d’incidents majeurs liés aux TIC signalés et de l’efficacité des mesures de prévention;
mettant en œuvre des tests de résilience opérationnelle numérique, conformément au chapitre IV du présent règlement;
définissant une stratégie de communication en cas d’incidents liés aux TIC qui doivent être divulgués en vertu de l’article 14.
Article 7
Systèmes, protocoles et outils de TIC
Afin d’atténuer et de gérer le risque lié aux TIC, les entités financières utilisent et tiennent à jour des systèmes, protocoles et outils de TIC qui sont:
adaptés à l’ampleur des opérations qui sous-tendent l’exercice de leurs activités, conformément au principe de proportionnalité visé à l’article 4;
fiables;
équipés d’une capacité suffisante pour traiter avec exactitude les données nécessaires à l’exécution des activités et à la fourniture des services en temps utile, et pour faire face aux pics de volume d’ordres, de messages ou de transactions, selon les besoins, y compris lorsque de nouvelles technologies sont mises en place;
suffisamment résilients sur le plan technologique pour répondre de manière adéquate aux besoins supplémentaires de traitement de l’information qui apparaissent en situation de tensions sur les marchés ou dans d’autres situations défavorables.
Article 8
Identification
Article 9
Protection et prévention
Pour atteindre les objectifs visés au paragraphe 2, les entités financières utilisent des solutions et des processus de TIC qui sont appropriés conformément à l’article 4. Ces solutions et processus de TIC:
garantissent la sécurité des moyens de transfert de données;
réduisent au minimum le risque de corruption ou de perte de données, d’accès non autorisé et de défauts techniques susceptibles d’entraver les activités;
empêchent le manque de disponibilité, les atteintes à l’authenticité et à l’intégrité, les violations de la confidentialité et la perte de données;
garantissent que les données sont protégées contre les risques découlant de la gestion des données, y compris une mauvaise administration, les risques relatifs au traitement et l’erreur humaine.
Aux fins du cadre de gestion du risque lié aux TIC visé à l’article 6, paragraphe 1, les entités financières:
élaborent et documentent une politique de sécurité de l’information qui définit des règles visant à protéger la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, des actifs informationnels et des actifs de TIC, y compris ceux de leurs clients, le cas échéant;
instaurent, selon une approche fondée sur les risques, une gestion solide des réseaux et des infrastructures en recourant aux techniques, aux méthodes et aux protocoles appropriés, qui peuvent inclure la mise en œuvre de mécanismes automatisés pour isoler les actifs informationnels affectés en cas de cyberattaques;
mettent en œuvre des politiques qui limitent l’accès physique ou logique aux actifs informationnels et aux actifs de TIC, à ce qui est nécessaire pour les fonctions et les activités légitimes et approuvées uniquement, et définissent à cette fin un ensemble de politiques, de procédures et de contrôles qui portent sur les droits d’accès et veillent à leur bonne administration;
mettent en œuvre des politiques et des protocoles pour des mécanismes d’authentification forte, fondés sur des normes pertinentes et des systèmes de contrôle spécifiques, et des mesures de protection des clés de chiffrement par lesquelles les données sont chiffrées sur la base des résultats des processus approuvés de classification des données et d’évaluation du risque lié aux TIC;
mettent en œuvre des politiques, des procédures et des contrôles documentés pour la gestion des changements dans les TIC, y compris les changements apportés aux logiciels, au matériel, aux composants de micrologiciels, aux systèmes ou aux paramètres de sécurité, qui sont fondés sur une approche d’évaluation des risques et font partie intégrante du processus global de gestion des changements de l’entité financière, afin de garantir que tous les changements apportés aux systèmes de TIC sont consignés, testés, évalués, approuvés, mis en œuvre et vérifiés de manière contrôlée;
disposent de stratégies documentées appropriées et globales en matière de correctifs et de mises à jour.
Aux fins du premier alinéa, point b), les entités financières conçoivent l’infrastructure de connexion au réseau de manière à permettre une déconnexion instantanée ou segmentée afin de réduire au minimum la contagion et de la prévenir, en particulier pour les processus financiers interconnectés.
Aux fins du premier alinéa, point e), le processus de gestion des changements dans les TIC est approuvé par la structure hiérarchique appropriée et comporte des protocoles spécifiques.
Article 10
Détection
Tous les mécanismes de détection visés au premier alinéa sont régulièrement testés conformément à l’article 25.
Article 11
Réponse et rétablissement
Les entités financières mettent en œuvre la politique de continuité des activités de TIC au moyen de dispositifs, de plans, de procédures et de mécanismes spécifiques, appropriés et documentés visant à:
garantir la continuité des fonctions critiques ou importantes de l’entité financière;
répondre aux incidents liés aux TIC et les résoudre rapidement, dûment et efficacement de manière à limiter les dommages et à donner la priorité à la reprise des activités et aux mesures de rétablissement;
activer, sans retard, des plans spécifiques permettant de déployer des mesures, des processus et des technologies d’endiguement adaptés à chaque type d’incident lié aux TIC et de prévenir tout dommage supplémentaire, ainsi que des procédures sur mesure de réponse et de rétablissement, définies conformément à l’article 12;
estimer les incidences, les dommages et les pertes préliminaires;
définir des mesures de communication et de gestion des crises qui garantissent la transmission d’informations actualisées à tous les membres du personnel interne et à toutes les parties prenantes externes concernés, conformément à l’article 14, et leur déclaration aux autorités compétentes, conformément à l’article 19.
Dans le cadre de leur gestion globale du risque lié aux TIC, les entités financières:
testent les plans de continuité des activités de TIC et les plans de réponse et de rétablissement des TIC concernant les systèmes de TIC soutenant toutes les fonctions au moins une fois par an ainsi qu’en cas de modifications substantielles apportées aux systèmes de TIC qui soutiennent des fonctions critiques ou importantes;
testent les plans de communication en situation de crise établis conformément à l’article 14.
Aux fins du premier alinéa, point a), les entités financières, autres que les microentreprises, incluent dans les plans de test des scénarios de cyberattaques et de basculement entre l’infrastructure de TIC principale et la capacité redondante, les sauvegardes et les installations redondantes nécessaires pour satisfaire aux obligations énoncées à l’article 12.
Les entités financières réexaminent régulièrement leur politique de continuité des activités de TIC et leurs plans de réponse et de rétablissement des TIC en tenant compte des résultats des tests effectués conformément au premier alinéa et des recommandations découlant des contrôles d’audit ou des examens des autorités de surveillance.
Article 12
Politiques et procédures de sauvegarde, procédures et méthodes de restauration et de rétablissement
Dans le but de veiller à la restauration des systèmes et des données des TIC en limitant au maximum la durée d’indisponibilité, les perturbations et les pertes, aux fins de leur cadre de gestion du risque lié aux TIC, les entités financières définissent et documentent:
des politiques et procédures de sauvegarde qui précisent la portée des données concernées par la sauvegarde et la fréquence minimale de celle-ci, en fonction de la criticité des informations ou du niveau de confidentialité des données;
des procédures et méthodes de restauration et de rétablissement.
Dans le cas des contreparties centrales, les plans de rétablissement favorisent la reprise de toutes les transactions qui étaient en cours au moment de la perturbation, pour permettre aux contreparties centrales de continuer à fonctionner avec précision et d’achever le règlement à la date programmée.
Les prestataires de services de communication de données maintiennent en outre des ressources adéquates et possèdent des dispositifs de sauvegarde et de restauration afin d’offrir et de maintenir leurs services à tout moment.
Le site de traitement secondaire:
est situé à une certaine distance géographique du site de traitement primaire afin de veiller à ce qu’il présente un profil de risque distinct et d’éviter qu’il ne soit affecté par l’événement qui a touché le site primaire;
est capable d’assurer la continuité des fonctions critiques ou importantes de la même manière que le site primaire, ou de fournir le niveau de services dont l’entité financière a besoin pour effectuer ses opérations critiques dans le cadre des objectifs de rétablissement;
est immédiatement accessible au personnel de l’entité financière afin d’assurer la continuité des fonctions critiques ou importantes en cas d’indisponibilité du site de traitement primaire.
Article 13
Apprentissage et évolution
Les entités financières, autres que les microentreprises, communiquent, sur demande, aux autorités compétentes les changements qui ont été apportés à la suite des examens post-incident lié aux TIC visés au premier alinéa.
Les examens post-incident lié aux TIC visés au premier alinéa consistent à déterminer si les procédures établies ont été suivies et si les mesures prises ont été efficaces, notamment en ce qui concerne:
la célérité de la réponse aux alertes de sécurité et de l’évaluation des effets associés aux incidents liés aux TIC et de leur gravité;
la qualité et la rapidité de l’analyse technico-légale, le cas échéant;
l’efficacité de la remontée des incidents au sein de l’entité financière;
l’efficacité de la communication interne et externe.
Article 14
Communication
Article 15
Harmonisation accrue des outils, méthodes, processus et politiques de gestion du risque lié aux TIC
Les AES élaborent, par l’intermédiaire du comité mixte, en concertation avec l’Agence de l’Union européenne pour la cybersécurité (ENISA), des projets communs de normes techniques de réglementation afin:
de préciser davantage les éléments à inclure dans les politiques, procédures, protocoles et outils de sécurité des TIC visés à l’article 9, paragraphe 2, en vue de garantir la sécurité des réseaux, de favoriser la mise en place de garanties adéquates contre les intrusions et les utilisations abusives des données, de préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, y compris en recourant à des techniques cryptographiques, et de garantir une transmission précise et rapide des données sans perturbation majeure et sans retard injustifié;
d’approfondir les composantes relatives au contrôle des droits de gestion des accès visés à l’article 9, paragraphe 4, point c), et de la politique connexe en matière de ressources humaines, en précisant les droits d’accès, les procédures d’octroi et de révocation des droits, le suivi des comportements anormaux par rapport au risque lié aux TIC au moyen d’indicateurs adéquats, notamment pour les manières d’utiliser le réseau et les heures d’utilisation du réseau, l’activité de TIC et les dispositifs inconnus;
d’approfondir les mécanismes précisés à l’article 10, paragraphe 1, qui permettent une détection rapide des activités anormales, ainsi que les critères définis à l’article 10, paragraphe 2, qui entraînent le déclenchement des processus de détection des incidents liés aux TIC et de réponse à ces incidents;
de détailler davantage les composantes de la politique de continuité des activités de TIC visée à l’article 11, paragraphe 1;
de détailler davantage les tests des plans de continuité des activités de TIC visés à l’article 11, paragraphe 6, afin de veiller à ce que ces tests tiennent dûment compte des scénarios dans lesquels la qualité de l’exécution d’une fonction critique ou importante se détériore à un niveau inacceptable ou dans lesquels l’exécution d’une fonction critique ou importante échoue, et à ce que ces tests prennent dûment en considération les incidences potentielles de l’insolvabilité ou d’autres défaillances de tout prestataire tiers de services TIC concerné et, le cas échéant, les risques politiques dans les juridictions des prestataires en question;
de détailler davantage les composantes des plans de réponse et de rétablissement des TIC visés à l’article 11, paragraphe 3;
de préciser davantage le contenu et le format du rapport sur le réexamen du cadre de gestion du risque lié aux TIC visé à l’article 6, paragraphe 5.
Lors de l’élaboration de ces projets de normes techniques de réglementation, les AES tiennent compte de la taille et du profil de risque global de l’entité financière, ainsi que de la nature, de l’ampleur et de la complexité de ses services, activités et opérations, tout en tenant dûment compte de toute caractéristique particulière découlant de la nature distincte des activités dans les différents secteurs des services financiers.
Les AES soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le 17 janvier 2024.
Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au premier alinéa est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.
Article 16
Cadre simplifié de gestion du risque lié aux TIC
Sans préjudice du premier alinéa, les entités énumérées au premier alinéa doivent:
mettre en place et maintenir un cadre de gestion du risque lié aux TIC solide et documenté qui détaille les mécanismes et les mesures permettant une gestion rapide, efficace et complète du risque lié aux TIC, y compris en ce qui concerne la protection des composantes et infrastructures physiques pertinentes;
surveiller en permanence la sécurité et le fonctionnement de tous les systèmes de TIC;
réduire au minimum l’incidence du risque lié aux TIC grâce à l’utilisation de systèmes, protocoles et outils de TIC solides, résilients et actualisés, aptes à soutenir l’exercice de leurs activités et la fourniture de services et à protéger de manière adéquate la disponibilité, l’authenticité, l’intégrité et la confidentialité des données dans le réseau et les systèmes d’information;
permettre d’identifier et de détecter rapidement les sources de risque et les anomalies liés aux TIC dans le réseau et les systèmes d’information et de traiter rapidement les incidents liés aux TIC;
recenser les principales dépendances vis-à-vis des prestataires tiers de services TIC;
assurer la continuité des fonctions critiques ou importantes, au moyen de plans de continuité des activités et de mesures de réponse et de rétablissement, qui comprennent au moins des mesures de sauvegarde et de restauration;
tester régulièrement les plans et mesures visés au point f), ainsi que l’efficacité des contrôles mis en œuvre conformément aux points a) et c);
mettre en œuvre, le cas échéant, les conclusions opérationnelles pertinentes résultant des tests visés au point g) et de l’analyse post-incident dans le processus d’évaluation du risque lié aux TIC et élaborer, en fonction des besoins et du profil de risque lié aux TIC, des programmes de sensibilisation en matière de sécurité des TIC et de formation à la résilience opérationnelle numérique à l’intention du personnel et de la direction.
Les AES élaborent, par l’intermédiaire du comité mixte, en concertation avec l’ENISA, des projets communs de normes techniques de réglementation afin de:
préciser davantage les éléments à inclure dans le cadre de gestion du risque lié aux TIC visé au paragraphe 1, deuxième alinéa, point a);
préciser davantage les éléments relatifs aux systèmes, protocoles et outils visant à réduire au minimum l’incidence du risque lié aux TIC visés au paragraphe 1, deuxième alinéa, point c), en vue de garantir la sécurité des réseaux, de favoriser la mise en place de garanties adéquates contre les intrusions et les utilisations abusives des données et de préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données;
détailler davantage les composantes des plans de continuité des activités de TIC visés au paragraphe 1, deuxième alinéa, point f);
préciser davantage les règles relatives aux tests des plans de continuité des activités, veiller à l’efficacité des contrôles visées au paragraphe 1, deuxième alinéa, point g), et veiller à ce que ces tests tiennent dûment compte des scénarios dans lesquels la qualité de l’exécution d’une fonction critique ou importante se détériore à un niveau inacceptable ou dans lesquels l’exécution d’une fonction critique ou importante échoue;
préciser davantage le contenu et le format du rapport sur le réexamen du cadre de gestion du risque lié aux TIC visé au paragraphe 2.
Lorsqu’elles élaborent ces projets de normes techniques de réglementation, les AES tiennent compte de la taille et du profil de risque global de l’entité financière, ainsi que de la nature, de l’ampleur et de la complexité de ses services, activités et opérations.
Les AES soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le 17 janvier 2024.
Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au premier alinéa est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.
CHAPITRE III
Gestion, classification et notification des incidents liés aux TIC
Article 17
Processus de gestion des incidents liés aux TIC
Le processus de gestion des incidents liés aux TIC visé au paragraphe 1:
met en place des indicateurs d’alerte précoce;
instaure des procédures destinées à identifier, suivre, consigner, catégoriser et classer les incidents liés aux TIC en fonction de leur priorité et de leur gravité et en fonction de la criticité des services touchés, conformément aux critères fixés à l’article 18, paragraphe 1;
attribue les rôles et les responsabilités qui doivent être activés pour différents types et scénarios d’incidents liés aux TIC;
établit des plans pour la communication à l’intention du personnel, des parties prenantes externes et des médias, conformément à l’article 14, et pour la notification aux clients, les procédures internes de remontée des informations, y compris les plaintes des clients liées aux TIC, ainsi que pour la fourniture d’informations aux entités financières qui agissent en tant que contreparties, le cas échéant;
permet de notifier au minimum les incidents majeurs liés aux TIC aux membres de la direction concernés et de communiquer à l’organe de direction au minimum des informations sur les incidents majeurs liés aux TIC, expliquant leurs incidences, la réponse à leur apporter et les contrôles supplémentaires à mettre en place à la suite de tels incidents;
définit des procédures de réponse en cas d’incident lié aux TIC, afin d’en atténuer les effets et de garantir que les services redeviennent opérationnels et sécurisés en temps utile.
Article 18
Classification des incidents liés aux TIC et des cybermenaces
Les entités financières classent les incidents liés aux TIC et déterminent leur incidence sur la base des critères suivants:
le nombre et/ou l’importance des clients ou des contreparties financières touchés et, le cas échéant, le volume ou le nombre de transactions touchées par l’incident lié aux TIC, et si cet incident a porté atteinte à la réputation;
la durée de l’incident lié aux TIC, y compris les interruptions de service;
la répartition géographique en ce qui concerne les zones touchées par l’incident lié aux TIC, en particulier si celui-ci touche plus de deux États membres;
les pertes de données occasionnées par l’incident lié aux TIC en ce qui concerne la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données;
la criticité des services touchés, y compris les transactions et les opérations de l’entité financière;
les conséquences économiques, en particulier les coûts et pertes directs et indirects, en termes absolus et relatifs, de l’incident lié aux TIC.
Les AES élaborent, par l’intermédiaire du comité mixte et en concertation avec la BCE et l’ENISA, des projets communs de normes techniques de réglementation qui précisent les éléments suivants:
les critères énoncés au paragraphe 1, y compris les seuils d’importance significative pour déterminer les incidents majeurs liés aux TIC ou, le cas échéant, les incidents opérationnels ou de sécurité majeurs liés au paiement, qui sont soumis à l’obligation de déclaration prévue à l’article 19, paragraphe 1;
les critères que les autorités compétentes doivent appliquer pour évaluer si des incidents majeurs liés aux TIC ou, le cas échéant, des incidents opérationnels ou de sécurité majeurs liés au paiement, sont pertinents pour les autorités compétentes concernées des autres États membres, et les détails des rapports d’incidents majeurs liés aux TIC ou, le cas échéant, d’incidents opérationnels ou de sécurité majeurs liés au paiement, à partager avec les autres autorités compétentes conformément à l’article 19, paragraphes 6 et 7;
les critères énoncés au paragraphe 2 du présent article, y compris les seuils d’importance significative élevés pour déterminer les cybermenaces importantes.
Les AES soumettent ces projets communs de normes techniques de réglementation à la Commission au plus tard le 17 janvier 2024.
Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au paragraphe 3 est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.
Article 19
Déclaration des incidents majeurs liés aux TIC et notification volontaire des cybermenaces importantes
Lorsqu’une entité financière est soumise à la surveillance de plusieurs autorités nationales compétentes visées à l’article 46, les États membres désignent une seule autorité compétente en tant qu’autorité compétente concernée chargée d’exercer les fonctions et missions prévues au présent article.
Les établissements de crédit classés comme importants, conformément à l’article 6, paragraphe 4, du règlement (UE) no 1024/2013, déclarent les incidents majeurs liés aux TIC à l’autorité nationale compétente concernée désignée conformément à l’article 4 de la directive 2013/36/UE, qui transmet immédiatement cette déclaration à la BCE.
Aux fins du premier alinéa, les entités financières établissent, après avoir recueilli et analysé toutes les informations pertinentes, la notification initiale et les rapports visés au paragraphe 4 du présent article en utilisant les modèles visés à l’article 20, et les soumettent à l’autorité compétente. S’il s’avère qu’une impossibilité technique empêche la soumission de la notification initiale au moyen du modèle, les entités financières le notifient à l’autorité compétente par d’autres moyens.
La notification initiale et les rapports visés au paragraphe 4 comprennent toutes les informations nécessaires pour permettre à l’autorité compétente de déterminer l’importance de l’incident majeur lié aux TIC et d’évaluer les éventuelles incidences transfrontières.
Sans préjudice de la déclaration par l’entité financière à l’autorité compétente concernée en vertu du premier alinéa, les États membres peuvent en outre décider que certaines entités financières ou toutes les entités financières fournissent également la notification initiale et chacun des rapports visés au paragraphe 4 du présent article, en utilisant les modèles visés à l’article 20, aux autorités compétentes ou aux centres de réponse aux incidents de sécurité informatique (CSIRT) désignés ou établis conformément à la directive (UE) 2022/2555.
Les établissements de crédit classés comme importants, conformément à l’article 6, paragraphe 4, du règlement (UE) no 1024/2013, peuvent, à titre volontaire, notifier les cybermenaces importantes à l’autorité nationale compétente concernée, désignée conformément à l’article 4 de la directive 2013/36/UE, qui transmet immédiatement la notification à la BCE.
Les États membres peuvent décider que les entités financières qui, à titre volontaire, notifient conformément au premier alinéa peuvent également transmettre cette notification aux CSIRT désignés ou établis conformément à la directive (UE) 2022/2555.
En cas de cybermenace importante, les entités financières informent, le cas échéant, leurs clients susceptibles d’être affectés de toute mesure de protection appropriée que ces derniers pourraient envisager de prendre.
Les entités financières soumettent, dans les délais à fixer conformément à l’article 20, premier alinéa, point a) ii), à l’autorité compétente concernée les éléments suivants:
une notification initiale;
un rapport intermédiaire après la notification initiale visée au point a), dès que la situation de l’incident initial a sensiblement changé ou que le traitement de l’incident majeur lié aux TIC a changé sur la base des nouvelles informations disponibles, suivi, le cas échéant, de notifications actualisées chaque fois qu’une mise à jour pertinente de la situation est disponible, ainsi que sur demande spécifique de l’autorité compétente;
un rapport final, lorsque l’analyse des causes originelles est terminée, que des mesures d’atténuation aient déjà été mises en œuvre ou non, et lorsque les chiffres relatifs aux incidences réelles sont disponibles en lieu et place des estimations.
Dès réception de la notification initiale et de chaque rapport visé au paragraphe 4, l’autorité compétente fournit, en temps utile, des détails sur l’incident majeur lié aux TIC aux destinataires suivants sur la base, selon le cas, de leurs compétences respectives:
à l’ABE, à l’AEMF ou à l’AEAPP;
à la BCE pour ce qui est des entités financières visées à l’article 2, paragraphe 1, points a), b) et d);
aux autorités compétentes, aux points de contact uniques ou aux CSIRT désignés ou établis conformément à la directive (UE) 2022/2555;
aux autorités de résolution visées à l’article 3 de la directive 2014/59/UE et au Conseil de résolution unique (CRU) en ce qui concerne les entités visées à l’article 7, paragraphe 2, du règlement (UE) no 806/2014 du Parlement européen et du Conseil ( 7 ) et, en ce qui concerne les entités et les groupes visés à l’article 7, paragraphe 4, point b), et à l’article 7, paragraphe 5, du règlement (UE) no 806/2014, si ces détails concernent des incidents qui présentent un risque pour l’exercice de fonctions critiques au sens de l’article 2, paragraphe 1, point 35, de la directive 2014/59/UE; et
à d’autres autorités publiques compétentes en vertu du droit national.
Article 20
Harmonisation du contenu et des modèles des rapports de notification
Les AES, agissant par l’intermédiaire du comité mixte et en concertation avec l’ENISA et la BCE, élaborent:
des projets communs de normes techniques de réglementation dans le but:
de définir le contenu des rapports relatifs aux incidents majeurs liés aux TIC afin de refléter les critères énoncés à l’article 18, paragraphe 1, et d’intégrer d’autres éléments, tels que des détails permettant de déterminer la pertinence de la notification pour les autres États membres et s’il s’agit d’un incident opérationnel ou de sécurité majeur lié au paiement;
de fixer les délais pour la notification initiale et pour chaque rapport visé à l’article 19, paragraphe 4;
d’établir le contenu de la notification en ce qui concerne les cybermenaces importantes.
Lorsqu’elles élaborent ces projets de normes techniques de réglementation, les AES tiennent compte de la taille et du profil de risque global de l’entité financière, ainsi que de la nature, de l’ampleur et de la complexité de ses services, activités et opérations, et en particulier en vue de garantir que, aux fins du point a) ii), du présent alinéa, différents délais puissent refléter, le cas échéant, les spécificités des secteurs financiers, sans préjudice du maintien d’une approche cohérente de la notification des incidents liés aux TIC en application du présent règlement et de la directive (UE) 2022/2555. Les AES fournissent, le cas échéant, une justification lorsqu’elles s’écartent des approches adoptées dans le cadre de ladite directive;
des projets communs de normes techniques d’exécution afin de définir les formulaires, les modèles et les procédures types permettant aux entités financières de notifier un incident majeur lié aux TIC et de notifier une cybermenace importante.
Les AES soumettent à la Commission les projets communs de normes techniques de réglementation visés au premier alinéa, point a), et les projets communs de normes techniques d’exécution visés au premier alinéa, point b), au plus tard le 17 juillet 2024.
Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation communes visées au premier alinéa, point a), est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.
Le pouvoir d’adopter les normes techniques d’exécution communes visées au premier alinéa, point b), est conféré à la Commission conformément à l’article 15 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.
Article 21
Centralisation des notifications d’incidents majeurs liés aux TIC
Le rapport conjoint visé au paragraphe 1 comprend au moins les éléments suivants:
les conditions préalables à la création de cette plateforme unique de l’Union;
les avantages, les limites et les risques, y compris les risques associés à la concentration élevée d’informations sensibles;
la capacité nécessaire pour assurer l’interopérabilité au regard d’autres mécanismes de notification pertinents;
les aspects de la gestion opérationnelle;
les conditions de participation;
les modalités techniques d’accès des entités financières et des autorités nationales compétentes à la plateforme unique de l’Union;
une évaluation préliminaire des coûts financiers engendrés par la mise en place de la plateforme opérationnelle qui soutiendra la plateforme unique de l’Union, y compris l’expertise requise.
Article 22
Retour d’information en matière de surveillance
Les AES émettent des avertissements et produisent des statistiques de haut niveau à l’appui des évaluations relatives aux menaces liées aux TIC et à la vulnérabilité des TIC.
Article 23
Incidents opérationnels ou de sécurité liés au paiement concernant les établissements de crédit, les établissements de paiement, les prestataires de services d’information sur les comptes et les établissements de monnaie électronique
Les exigences énoncées au présent chapitre s’appliquent également aux incidents opérationnels ou de sécurité liés au paiement et aux incidents opérationnels ou de sécurité majeurs liés au paiement lorsqu’ils concernent des établissements de crédit, des établissements de paiement, des prestataires de services d’information sur les comptes et des établissements de monnaie électronique.
CHAPITRE IV
Tests de résilience opérationnelle numérique
Article 24
Exigences générales applicables à la réalisation de tests de résilience opérationnelle numérique
Article 25
Test des outils et systèmes de TIC
Article 26
Tests avancés d’outils, de systèmes et de processus de TIC sur la base de ►C1 tests d’intrusion ◄ fondés sur la menace
Les entités financières recensent tous les systèmes, processus et technologies de TIC sous-jacents pertinents qui soutiennent des fonctions critiques ou importantes et des services TIC, y compris ceux qui soutiennent des fonctions critiques ou importantes qui ont été externalisés ou sous-traités à des prestataires tiers de services TIC.
Les entités financières évaluent quelles fonctions critiques ou importantes doivent être couvertes par les ►C1 tests d’intrusion ◄ fondés sur la menace. Le résultat de cette évaluation détermine la portée précise de ces tests et est validé par les autorités compétentes.
Ce test groupé couvre la gamme pertinente de services TIC qui soutiennent des fonctions critiques ou importantes sous-traitées par les entités financières au prestataire tiers de services TIC concerné. Le test groupé est considéré comme un ►C1 test d’intrusion ◄ fondé sur la menace réalisé par les entités financières participant au test groupé.
Le nombre d’entités financières participant au test groupé est dûment calibré compte tenu de la complexité et des types de services concernés.
Sans préjudice de ladite attestation, les entités financières restent à tout moment pleinement responsables de l’incidence des tests visée au paragraphe 4.
Les établissements de crédit qui sont classés comme importants conformément à l’article 6, paragraphe 4, du règlement (UE) no 1024/2013 ont uniquement recours à des testeurs externes conformément à l’article 27, paragraphe 1, points a) à e).
Les autorités compétentes désignent les entités financières qui sont tenues de réaliser un ►C1 test d’intrusion ◄ fondé sur la menace en tenant compte des critères énoncés à l’article 4, paragraphe 2, sur la base d’une appréciation des éléments suivants:
les facteurs d’incidence, en particulier la mesure dans laquelle les services fournis et les activités entreprises par l’entité financière affectent le secteur financier;
les éventuels problèmes de stabilité financière, y compris le caractère systémique de l’entité financière au niveau de l’Union ou au niveau national, le cas échéant;
le profil du risque lié aux TIC spécifique, le niveau de maturité des TIC de l’entité financière ou les caractéristiques technologiques concernées.
Les AES élaborent, en accord avec la BCE, des projets conjoints de normes techniques de réglementation conformément au cadre TIBER-EU afin de préciser:
les critères utilisés aux fins de l’application du paragraphe 8, deuxième alinéa;
les exigences et normes régissant le recours à des testeurs internes;
les exigences concernant:
la portée du ►C1 test d’intrusion ◄ fondé sur la menace visé au paragraphe 2;
la méthodologie des tests et l’approche à suivre pour chaque phase spécifique du processus de test;
les stades de résultats, de clôture et de correction des tests;
le type de coopération en matière de surveillance et les autres types de coopération pertinents qui sont nécessaires pour l’exécution des ►C1 tests d’intrusion ◄ fondés sur la menace et pour la facilitation de la reconnaissance mutuelle de ces tests, dans le contexte des entités financières qui opèrent dans plus d’un État membre, afin de garantir un niveau approprié de participation des autorités de surveillance et une mise en œuvre souple tenant compte des spécificités des sous-secteurs financiers ou des marchés financiers locaux.
Lors de l’élaboration de ces projets de normes techniques de réglementation, les AES tiennent dûment compte de toute caractéristique particulière découlant de la nature distincte des activités dans les différents secteurs des services financiers.
Les AES soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le 17 juillet 2024.
Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au premier alinéa est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.
Article 27
Exigences applicables aux testeurs afin de réaliser des ►C1 tests d’intrusion ◄ fondés sur la menace
Afin de réaliser des ►C1 tests d’intrusion ◄ fondés sur la menace, les entités financières ont uniquement recours à des testeurs qui:
possèdent l’aptitude et la réputation les plus élevées;
possèdent des capacités techniques et organisationnelles et justifient d’une expertise spécifique en matière de renseignement sur les menaces, de ►C1 tests d’intrusion ◄ et de tests en mode red team;
sont certifiés par un organisme d’accréditation dans un État membre ou adhèrent à des codes de conduite ou des cadres éthiques formels;
fournissent une assurance indépendante ou un rapport d’audit ayant trait à la bonne gestion des risques associés à la réalisation de ►C1 tests d’intrusion ◄ fondés sur la menace, y compris la protection adéquate des informations confidentielles de l’entité financière et la couverture des risques opérationnels de l’entité financière;
sont dûment et entièrement couverts par les assurances de responsabilité civile professionnelle pertinentes, y compris contre les risques de mauvaise conduite et de négligence.
Lorsqu’elles ont recours à des testeurs internes, les entités financières veillent à ce que, outre les exigences du paragraphe 1, les conditions suivantes soient remplies:
le recours à ces testeurs internes a été approuvé par l’autorité compétente concernée ou par l’autorité publique unique désignée conformément à l’article 26, paragraphes 9 et 10;
l’autorité compétente concernée a vérifié que l’entité financière dispose des ressources suffisantes et a veillé à éviter les conflits d’intérêts pendant les phases de conception et d’exécution du test; et
le fournisseur de renseignements sur les menaces est externe à l’entité financière.
CHAPITRE V
Gestion des risques liés aux prestataires tiers de services TIC
Article 28
Principes généraux
Les entités financières gèrent les risques liés aux prestataires tiers de services TIC en tant que partie intégrante du risque lié aux TIC dans leur cadre de gestion du risque lié aux TIC visé à l’article 6, paragraphe 1, et conformément aux principes suivants:
les entités financières qui ont conclu des accords contractuels pour l’utilisation de services TIC dans le cadre de leurs activités restent à tout moment pleinement responsables du respect et de l’exécution de toutes les obligations découlant du présent règlement et du droit applicable aux services financiers;
les entités financières gèrent les risques liés aux prestataires tiers de services TIC dans le respect du principe de proportionnalité, en tenant compte:
de la nature, de l’ampleur, de la complexité et de l’importance des relations de dépendance en matière de TIC,
des risques découlant des accords contractuels portant sur l’utilisation de services TIC conclus avec des prestataires tiers de services TIC, compte tenu de la criticité ou de l’importance du service, du processus ou de la fonction en question, ainsi que des incidences potentielles de ces risques sur la continuité et la disponibilité des services et activités financiers, au niveau individuel et au niveau du groupe.
Les accords contractuels visés au premier alinéa sont dûment documentés, en opérant une distinction entre ceux qui couvrent des services TIC qui soutiennent des fonctions critiques et ceux qui ne le font pas.
Les entités financières communiquent au moins une fois par an aux autorités compétentes le nombre de nouveaux accords relatifs à l’utilisation de services TIC, les catégories de prestataires tiers de services TIC, le type d’accords contractuels et les services et fonctions de TIC qui sont fournis.
Les entités financières mettent à la disposition de l’autorité compétente, si elle en fait la demande, le registre d’informations complet ou, le cas échéant, des sections spécifiques de celui-ci, ainsi que toute information jugée nécessaire pour garantir une surveillance efficace de l’entité financière.
Les entités financières informent en temps utile l’autorité compétente de tout projet d’accord contractuel portant sur l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes ainsi que lorsqu’une fonction est devenue critique ou importante.
Avant de conclure un accord contractuel sur l’utilisation de services TIC, les entités financières:
déterminent si l’accord contractuel couvre l’utilisation de services TIC qui soutiennent une fonction critique ou importante;
évaluent si les conditions de surveillance en matière de conclusion de contrats sont remplies;
identifient et évaluent tous les risques pertinents ayant trait à l’accord contractuel, y compris la possibilité que cet accord contractuel contribue à accroître le risque de concentration informatique visé à l’article 29;
font preuve de toute la diligence requise à l’égard des prestataires tiers de services TIC potentiels et s’assurent, tout au long des processus de sélection et d’évaluation, que les prestataires tiers de services TIC présentent les qualités requises;
identifient et évaluent les conflits d’intérêts susceptibles de découler de l’accord contractuel.
Lorsque des accords contractuels conclus avec des prestataires tiers de services TIC impliquent un niveau élevé de complexité technique, l’entité financière vérifie que les auditeurs, qu’il s’agisse d’auditeurs internes ou externes ou d’un groupe d’auditeurs, possèdent les compétences et les connaissances requises pour réaliser efficacement les évaluations et les audits pertinents.
Les entités financières veillent à ce que les accords contractuels relatifs à l’utilisation de services TIC puissent être résiliés dans l’une des circonstances suivantes:
le prestataire tiers de services TIC a gravement enfreint les dispositions législatives, réglementaires ou contractuelles applicables;
le suivi des risques liés aux prestataires tiers de services TIC a révélé l’existence de circonstances susceptibles d’altérer l’exécution des fonctions prévues par l’accord contractuel, y compris des changements significatifs qui affectent l’accord ou la situation du prestataire tiers de services TIC;
le prestataire tiers de services TIC présente des faiblesses avérées liées à sa gestion globale du risque lié aux TIC et, en particulier, dans la manière dont il assure la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, qu’il s’agisse de données à caractère personnel ou autrement sensibles, ou de données à caractère non personnel;
l’autorité compétente ne peut plus surveiller efficacement l’entité financière en raison des conditions de l’accord contractuel en question ou des circonstances qui y sont liées.
Les entités financières veillent à ce qu’elles puissent se retirer des accords contractuels sans:
perturber leurs activités;
restreindre le respect des exigences réglementaires;
porter atteinte à la continuité et à la qualité des services fournis aux clients.
Les plans de sortie sont complets et documentés et, conformément aux critères énoncés à l’article 4, paragraphe 2, sont soumis à des tests suffisants et réexaminés périodiquement.
Les entités financières définissent des solutions alternatives et élaborent des plans de transition leur permettant de supprimer les services TIC visés par le contrat et les données pertinentes détenues par le prestataire tiers de services TIC, et de les transférer en toute sécurité et intégralement à des prestataires alternatifs ou de les réincorporer en interne.
Les entités financières disposent des mesures d’urgence qui s’imposent pour maintenir la continuité des activités au cas où les circonstances visées au premier alinéa se présenteraient.
Le pouvoir d’adopter les normes techniques d’exécution visées au premier alinéa est conféré à la Commission conformément à l’article 15 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.
Lorsqu’elles élaborent ces projets de normes techniques de réglementation, les AES tiennent compte de la taille et du profil de risque global de l’entité financière, ainsi que de la nature, de l’ampleur et de la complexité de ses services, activités et opérations. Les AES soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le 17 janvier 2024.
Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au premier alinéa est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.
Article 29
Évaluation préliminaire du risque de concentration de TIC au niveau de l’entité
Lorsqu’elles procèdent à l’identification et à l’évaluation des risques visés à l’article 28, paragraphe 4, point c), les entités financières déterminent également si la conclusion envisagée d’un accord contractuel portant sur des services TIC qui soutiennent des fonctions critiques ou importantes déboucherait sur l’une des situations suivantes:
la conclusion d’un contrat avec un prestataire tiers de services TIC dont les services ne sont pas facilement substituables; ou
la mise en place de plusieurs accords contractuels relatifs à la fourniture de services TIC qui soutiennent des fonctions critiques ou importantes avec le même prestataire tiers de services TIC ou avec des prestataires tiers de services TIC étroitement liés.
Les entités financières évaluent les avantages et les coûts des solutions alternatives, telles que le recours à différents prestataires tiers de services TIC, en tenant compte de la compatibilité éventuelle des solutions envisagées avec leurs besoins et leurs objectifs définis dans leur stratégie de résilience numérique, et de la manière de garantir cette compatibilité.
Lorsque des accords contractuels concernent des services TIC qui soutiennent des fonctions critiques ou importantes, les entités financières tiennent dûment compte des dispositions de la législation en matière d’insolvabilité qui s’appliqueraient en cas de faillite du prestataire tiers de services TIC, ainsi que de toute contrainte qui pourrait survenir relativement à la récupération urgente des données de l’entité financière.
Lorsque des accords contractuels relatifs à l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes sont conclus avec un prestataire tiers de services TIC établi dans un pays tiers, les entités financières tiennent également compte, en plus des considérations visées au deuxième alinéa, du respect des règles de l’Union en matière de protection des données et de l’application effective de la législation dans ce pays tiers.
Lorsque les accords contractuels relatifs à l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes prévoient une sous-traitance, les entités financières évaluent si et comment des chaînes de sous-traitance potentiellement longues ou complexes sont susceptibles de compromettre leur capacité à assurer un suivi rigoureux des fonctions visées par le contrat et la capacité de l’autorité compétente à surveiller efficacement l’entité financière à cet égard.
Article 30
Principales dispositions contractuelles
Les accords contractuels relatifs à l’utilisation de services TIC comportent au moins les éléments suivants:
une description claire et exhaustive de tous les services TIC et fonctions qui seront fournis par le prestataire tiers de services TIC, indiquant si la sous-traitance d’un service TIC qui soutient une fonction critique ou importante, ou de parties significatives de celle-ci, est autorisée et, le cas échéant, les conditions applicables à cette sous-traitance;
les lieux, notamment les régions ou les pays, où les services TIC et fonctions visés par le contrat ou la sous-traitance seront fournis et où les données seront traitées, y compris le lieu de stockage, et l’obligation pour le prestataire tiers de services TIC d’informer au préalable l’entité financière si celui-ci envisage de changer ces lieux;
des dispositions sur la disponibilité, l’authenticité, l’intégrité et la confidentialité en ce qui concerne la protection des données, y compris les données à caractère personnel;
des dispositions sur la garantie de l’accès, de la récupération et de la restitution, dans un format facilement accessible, des données à caractère personnel et autres traitées par l’entité financière en cas d’insolvabilité, de résolution, de cessation des activités du prestataire tiers de services TIC ou de résiliation des accords contractuels;
des descriptions des niveaux de service, y compris leurs mises à jour et révisions;
l’obligation pour le prestataire tiers de services TIC de fournir à l’entité financière, sans frais supplémentaires ou à un coût déterminé ex ante, une assistance en cas d’incident lié aux TIC en rapport avec le service TIC fourni à l’entité financière;
l’obligation pour le prestataire tiers de services TIC de coopérer pleinement avec les autorités compétentes et les autorités de résolution de l’entité financière, y compris les personnes nommées par eux;
les droits de résiliation et les délais de préavis minimaux correspondants pour la résiliation des accords contractuels, conformément aux attentes des autorités compétentes et des autorités de résolution;
les conditions de participation des prestataires tiers de services TIC aux programmes de sensibilisation à la sécurité des TIC et aux formations à la résilience opérationnelle numérique élaborés par les entités financières, conformément à l’article 13, paragraphe 6.
Les accords contractuels relatifs à l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes comportent au moins les éléments suivants, en plus de ceux qui figurent au paragraphe 2:
des descriptions complètes des niveaux de service, y compris leurs mises à jour et révisions, assorties d’objectifs de performance quantitatifs et qualitatifs précis dans le cadre des niveaux de service convenus, afin de permettre un suivi efficace par l’entité financière des services TIC, et de prendre, sans retard injustifié, des mesures correctives appropriées lorsque les niveaux de service convenus ne sont pas atteints;
les délais de préavis et les obligations de notification du prestataire tiers de services TIC à l’entité financière, y compris la notification de tout développement susceptible d’avoir une incidence significative sur la capacité du prestataire tiers de services TIC à fournir les services TIC qui soutiennent des fonctions critiques ou importantes de manière efficace conformément aux niveaux de service convenus;
l’obligation pour le prestataire tiers de services TIC de mettre en œuvre et de tester des plans d’urgence et de mettre en place des mesures, des outils et des politiques de sécurité des TIC qui fournissent un niveau approprié de sécurité en vue de la prestation de services par l’entité financière, conformément à son cadre réglementaire;
l’obligation pour le prestataire tiers de services TIC de participer et de coopérer pleinement au ►C1 test d’intrusion ◄ fondé sur la menace effectué par l’entité financière visé aux articles 26 et 27;
le droit d’assurer un suivi permanent des performances du prestataire tiers de services TIC, qui comprend les éléments suivants:
les droits illimités d’accès, d’inspection et d’audit par l’entité financière ou par une tierce partie désignée, et par l’autorité compétente, et le droit de prendre des copies des documents pertinents sur place s’ils sont essentiels aux activités du prestataire tiers de services TIC, dont l’exercice effectif n’est pas entravé ou limité par d’autres accords contractuels ou politiques d’exécution;
le droit de convenir d’autres niveaux d’assurance si les droits d’autres clients sont affectés;
l’obligation pour le prestataire tiers de services TIC de coopérer pleinement lors des inspections sur place et des audits effectués par les autorités compétentes, le superviseur principal, l’entité financière ou une tierce partie désignée; et
l’obligation de fournir des précisions sur la portée, les procédures à suivre et la fréquence de ces inspections et audits;
les stratégies de sortie, en particulier la fixation d’une période de transition adéquate obligatoire:
au cours de laquelle le prestataire tiers de services TIC continuera à fournir les fonctions ou services TIC concernés en vue de réduire le risque de perturbation au niveau de l’entité financière ou d’assurer sa résolution et sa restructuration efficaces;
qui permet à l’entité financière de migrer vers un autre prestataire tiers de services TIC ou de recourir à des solutions en interne adaptées à la complexité du service fourni.
Par dérogation au point e), le prestataire tiers de services TIC et l’entité financière qui est une microentreprise peuvent convenir que les droits d’accès, d’inspection et d’audit de l’entité financière peuvent être délégués à une tierce partie indépendante, nommée par le prestataire tiers de services TIC, et que l’entité financière est habilitée à demander à la tierce partie, en tout temps, des informations ainsi qu’une garantie concernant la performance du prestataire tiers de services TIC.
Lorsqu’elles élaborent ces projets de normes techniques de réglementation, les AES tiennent compte de la taille et du profil de risque global de l’entité financière, ainsi que de la nature, de l’ampleur et de la complexité de ses services, activités et opérations.
Les AES soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le 17 juillet 2024.
Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au premier alinéa est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.
Article 31
Désignation de prestataires tiers critiques de services TIC
Les AES, agissant par l’intermédiaire du comité mixte et sur recommandation du forum de supervision établi conformément à l’article 32, paragraphe 1:
désignent les prestataires tiers de services TIC qui sont critiques pour les entités financières, à l’issue d’une évaluation tenant compte des critères précisés au paragraphe 2;
désignent comme superviseur principal pour chaque prestataire tiers critique de services TIC l’AES responsable, conformément aux règlements (UE) no 1093/2010, (UE) no 1094/2010 ou (UE) no 1095/2010, des entités financières totalisant ensemble la plus grande part d’actifs de la valeur du total des actifs de toutes les entités financières qui utilisent les services du prestataire tiers critique de services TIC concerné, sur la base de la somme des bilans individuels de ces entités financières.
La désignation visée au paragraphe 1, point a), repose sur l’ensemble des critères suivants en ce qui concerne les services TIC fournis par le prestataire tiers de services TIC:
l’effet systémique sur la stabilité, la continuité ou la qualité de la fourniture de services financiers dans les cas où le prestataire tiers de services TIC concerné serait confronté à une défaillance opérationnelle à grande échelle dans la prestation de ses services, compte tenu du nombre d’entités financières et de la valeur totale des actifs des entités financières auxquelles le prestataire tiers de services TIC concerné fournit des services;
le caractère ou l’importance systémique des entités financières qui dépendent du prestataire tiers de services TIC concerné, appréciés selon les paramètres suivants:
le nombre d’établissements d’importance systémique mondiale (EISm) ou d’autres établissements d’importance systémique (autres EIS) qui dépendent du prestataire tiers de services TIC concerné;
l’interdépendance entre les EISm ou les autres EIS visés au point i) et d’autres entités financières, y compris les situations dans lesquelles les EISm ou les autres EIS fournissent des services d’infrastructure financière à d’autres entités financières;
la dépendance des entités financières à l’égard des services fournis par le prestataire tiers de services TIC concerné en ce qui concerne les fonctions critiques ou importantes des entités financières qui font en fin de compte intervenir le même prestataire tiers de services TIC, que les entités financières dépendent de ces services directement ou indirectement, par des accords de sous-traitance;
le degré de substituabilité du prestataire tiers de services TIC, en tenant compte des paramètres suivants:
l’absence de réelles solutions de substitution, même partielles, en raison du nombre limité de prestataires tiers de services TIC actifs sur un marché donné, ou de la part de marché du prestataire tiers de services TIC concerné, ou de la complexité ou du degré de sophistication technique en jeu, y compris en ce qui concerne toute technologie propriétaire, ou des caractéristiques spécifiques de l’organisation ou de l’activité du prestataire tiers de services TIC;
des difficultés liées à la migration partielle ou totale des données et des charges de travail pertinentes du prestataire tiers de services TIC concerné vers un autre, en raison soit de coûts financiers importants, de contraintes de temps ou d’autres ressources que le processus de migration peut imposer, soit du risque lié aux TIC accru ou d’autres risques opérationnels auxquels l’entité financière est susceptible d’être exposée du fait de cette migration.
Après avoir désigné un prestataire tiers de services TIC comme critique, les AES, agissant par l’intermédiaire du comité mixte, notifient au prestataire tiers de services TIC cette désignation ainsi que la date à partir de laquelle il fera effectivement l’objet d’activités de supervision. Cette date est fixée au plus tard un mois après la notification. Le prestataire tiers de services TIC notifie aux entités financières auxquelles il fournit des services la désignation le qualifiant de critique.
La désignation visée au paragraphe 1, point a), ne s’applique pas:
aux entités financières qui fournissent des services TIC à d’autres entités financières;
aux prestataires tiers de services TIC qui sont soumis à des cadres de supervision établis en vue de soutenir les missions visées à l’article 127, paragraphe 2, du traité sur le fonctionnement de l’Union européenne;
aux prestataires tiers de services TIC intra-groupe;
aux prestataires tiers de services TIC qui fournissent des services TIC dans un seul État membre à des entités financières qui ne sont actives que dans cet État membre.
Aux fins du premier alinéa, le prestataire tiers de services TIC présente une demande motivée à l’ABE, à l’AEMF ou à l’AEAPP, lesquelles, par l’intermédiaire du comité mixte, décident de désigner ou non ce prestataire tiers de services TIC comme critique conformément au paragraphe 1, point a).
La décision visée au deuxième alinéa est adoptée et notifiée au prestataire tiers de services TIC dans un délai de six mois à compter de la réception de la demande.
Article 32
Structure du cadre de supervision
Le forum de supervision examine régulièrement les évolutions pertinentes en matière de risques et de vulnérabilités des TIC et promeut une approche cohérente dans le suivi des risques liés aux prestataires tiers de services TIC au niveau de l’Union.
Le forum de supervision se compose:
des présidents des AES;
d’un représentant de haut niveau du personnel en poste de l’autorité compétente concernée de chaque État membre, visée à l’article 46;
des directeurs exécutifs de chaque AES et d’un représentant de la Commission, du CERS, de la BCE et de l’ENISA, en qualité d’observateurs;
s’il y a lieu, d’un représentant supplémentaire d’une autorité compétente visée à l’article 46, de chaque État membre, en qualité d’observateur;
le cas échéant, d’un représentant des autorités compétentes désignées ou établies conformément à la directive (UE) 2022/2555, responsables de la supervision d’une entité essentielle ou importante relevant de ladite directive, qui a été désignée en tant que prestataire tiers critique de services TIC, en qualité d’observateur.
Le forum de supervision peut, le cas échéant, demander l’avis d’experts indépendants désignés conformément au paragraphe 6.
Les AES publient sur leur site internet la liste des représentants de haut niveau désignés par les États membres au sein de l’actuel personnel de l’autorité compétente concernée.
Les experts indépendants sont désignés sur la base de leur expertise en matière de stabilité financière, de résilience opérationnelle numérique et de questions de sécurité des TIC. Ils agissent en toute indépendance et objectivité dans le seul intérêt de l’ensemble de l’Union et ne sollicitent ni ne suivent aucune instruction émanant des institutions ou organes de l’Union, des gouvernements des États membres ou d’autres entités publiques ou privées.
Article 33
Tâches du superviseur principal
L’évaluation visée au premier alinéa porte essentiellement sur les services TIC fournis par le prestataire tiers critique de services TIC qui soutient les fonctions critiques ou importantes des entités financières. Lorsque cela est nécessaire pour parer à tous les risques pertinents, cette évaluation s’étend aux services TIC qui soutiennent des fonctions autres que celles qui sont critiques ou importantes.
L’évaluation visée au paragraphe 2 comprend:
des exigences en matière de TIC pour garantir, en particulier, la sécurité, la disponibilité, la continuité, l’extensibilité et la qualité des services que le prestataire tiers critique de services TIC fournit aux entités financières, ainsi que la capacité à maintenir à tout moment des normes élevées de disponibilité, d’authenticité, d’intégrité ou de confidentialité des données;
la sécurité physique qui contribue à assurer la sécurité des TIC, y compris la sécurité des locaux, des installations et des centres de données;
les processus de gestion des risques, y compris les politiques de gestion du risque lié aux TIC, la politique de continuité des activités de TIC et les plans de réponse et de rétablissement des TIC;
les modalités de gouvernance, notamment une structure organisationnelle comportant des lignes de responsabilité et des règles d’imputabilité claires, transparentes et cohérentes permettant une gestion efficace du risque lié aux TIC;
le recensement et le suivi des incidents importants liés aux TIC, ainsi que leur notification rapide aux entités financières, la gestion et la résolution de ces incidents, en particulier les cyberattaques;
les mécanismes relatifs à la portabilité des données, à la portabilité des applications et à l’interopérabilité, qui garantissent un exercice effectif des droits de résiliation par les entités financières;
les tests des systèmes, des infrastructures et des contrôles de TIC;
les audits des TIC;
l’utilisation des normes nationales et internationales pertinentes applicables à la fourniture de ses services TIC aux entités financières.
Avant l’adoption du plan de supervision, le superviseur principal communique le projet de plan de surveillance au prestataire tiers critique de services TIC.
Dès réception du projet de plan de supervision, le prestataire tiers critique de services TIC peut présenter, dans un délai de quinze jours civils, une déclaration motivée dans laquelle il démontre l’incidence attendue sur les clients qui sont des entités ne relevant pas du champ d’application du présent règlement et formule, le cas échéant, des solutions pour atténuer les risques.
Article 34
Coordination opérationnelle entre superviseurs principaux
Article 35
Pouvoirs du superviseur principal
Aux fins de l’exécution des tâches prévues dans la présente section, le superviseur principal dispose des pouvoirs suivants en ce qui concerne les prestataires tiers critiques de services TIC:
demander l’ensemble des informations et des documents pertinents conformément à l’article 37;
mener des enquêtes et des inspections générales conformément à l’article 38 et à l’article 39, respectivement;
demander, au terme des activités de supervision, des rapports dans lesquels sont précisées les mesures qui ont été prises ou les solutions qui ont été mises en œuvre par les prestataires tiers critiques de services TIC en ce qui concerne les recommandations visées au point d) du présent paragraphe;
formuler des recommandations dans les domaines visés à l’article 33, paragraphe 3, notamment en ce qui concerne:
le recours à des exigences ou à des processus spécifiques de sécurité et de qualité en matière de TIC, en particulier en ce qui concerne le déploiement de correctifs, de mises à jour, de mesures de chiffrement et d’autres mesures de sécurité que le superviseur principal juge pertinentes pour garantir la sécurité en matière de TIC des services fournis aux entités financières;
le recours à des conditions et des modalités, y compris leur mise en œuvre technique, en vertu desquelles les prestataires tiers critiques de services TIC fournissent des services TIC aux entités financières, que le superviseur principal juge pertinentes pour prévenir l’émergence de points uniques de défaillance ou leur amplification, ou pour réduire au maximum l’effet systémique éventuel dans l’ensemble du secteur financier de l’Union en cas de risque de concentration informatique;
toute sous-traitance envisagée, lorsque le superviseur principal estime que la poursuite de la sous-traitance, y compris les accords d’externalisation que les prestataires tiers critiques de services TIC prévoient de conclure avec des prestataires tiers de services TIC ou avec des sous-traitants de TIC établis dans un pays tiers, peut entraîner des risques pour la fourniture de services par l’entité financière ou des risques pour la stabilité financière, sur la base de l’examen des informations recueillies conformément aux articles 37 et 38;
l’abstention de conclure un nouvel accord de sous-traitance, lorsque les conditions cumulatives suivantes sont remplies:
Aux fins du point iv) du présent point, les prestataires tiers de services TIC transmettent au superviseur principal, en utilisant le modèle visé à l’article 41, paragraphe 1, point b), les informations relatives à la sous-traitance.
Lorsqu’il exerce les pouvoirs visés au présent article, le superviseur principal:
assure une coordination régulière au sein du réseau de supervision commun et, en particulier, s’efforce d’adopter des approches cohérentes, le cas échéant, en ce qui concerne la supervision des prestataires tiers critiques de services TIC;
tient dûment compte du cadre établi par la directive (UE) 2022/2555 et, s’il y a lieu, consulte les autorités compétentes concernées désignées ou établies conformément à ladite directive, afin d’éviter la duplication des mesures techniques et organisationnelles qui pourraient s’appliquer aux prestataires tiers critiques de services TIC en vertu de ladite directive;
s’efforce de réduire au minimum, dans la mesure du possible, le risque de perturbation des services fournis par des prestataires tiers critiques de services TIC à des clients qui sont des entités ne relevant pas du champ d’application du présent règlement.
Avant de formuler des recommandations conformément au paragraphe 1, point d), le superviseur principal donne au prestataire tiers de services TIC la possibilité de fournir, dans un délai de trente jours civils, des informations pertinentes dans lesquelles il démontre l’incidence attendue sur les clients qui sont des entités ne relevant pas du champ d’application du présent règlement et, le cas échéant, formule des solutions pour atténuer les risques.
Le montant de l’astreinte, calculé à partir de la date indiquée dans la décision d’astreinte, est égal à 1 % au maximum du chiffre d’affaires quotidien moyen réalisé au niveau mondial par le prestataire tiers critique de services TIC au cours de l’exercice précédent. Lorsqu’il détermine le montant de l’astreinte, le superviseur principal tient compte des critères suivants concernant le non-respect des mesures visées au paragraphe 6:
la gravité et la durée du non-respect;
si le non-respect est délibéré ou résulte d’une négligence;
le niveau de coopération du prestataire tiers de services TIC avec le superviseur principal.
Aux fins du premier alinéa, afin de garantir une approche cohérente, le superviseur principal procède à des consultations au sein du réseau de supervision commun.
Les droits de la défense des personnes faisant l’objet de la procédure sont pleinement assurés au cours de la procédure. Le prestataire tiers critique de services TIC faisant l’objet de la procédure dispose d’un droit d’accès au dossier, sous réserve de l’intérêt légitime d’autres personnes à ce que leurs secrets d’affaires ne soient pas divulgués. Le droit d’accès au dossier ne s’étend pas aux informations confidentielles ni aux documents préparatoires internes du superviseur principal.
Article 36
Exercice des pouvoirs du superviseur principal en dehors de l’Union
Lorsque les objectifs en matière de supervision ne peuvent être atteints en interagissant avec la filiale créée aux fins de l’article 31, paragraphe 12, ou en exerçant des activités de supervision dans des locaux situés dans l’Union, le superviseur principal peut exercer les pouvoirs visés dans les dispositions suivantes dans tout local situé dans un pays tiers qui est détenu, ou utilisé de quelque manière que ce soit, aux fins de la fourniture de services à des entités financières de l’Union par un prestataire tiers critique de services TIC, dans le cadre de ses activités, de ses fonctions ou de ses services, y compris tout bureau administratif, commercial ou opérationnel, tout local, terrain, bâtiment ou autre bien immobilier:
à l’article 35, paragraphe 1, point a); et
à l’article 35, paragraphe 1, point b), conformément à l’article 38, paragraphe 2, points a), b) et d), et à l’article 39, paragraphe 1, et à l’article 39, paragraphe 2, point a).
Les pouvoirs visés au premier alinéa peuvent être exercés pour autant que l’ensemble des conditions suivantes soient remplies:
le superviseur principal juge qu’il est nécessaire de réaliser une inspection dans un pays tiers pour pouvoir s’acquitter pleinement et efficacement des tâches qui lui incombent en vertu du présent règlement;
l’inspection dans un pays tiers est directement liée à la fourniture de services TIC à des entités financières dans l’Union;
le prestataire tiers critique de services TIC concerné consent à la réalisation d’une inspection dans un pays tiers; et
l’autorité compétente du pays tiers concerné a été officiellement informée par le superviseur principal et n’a soulevé aucune objection à cet égard.
Ces accords de coopération précisent au moins les éléments suivants:
les procédures de coordination des activités de supervision menées au titre du présent règlement et tout contrôle analogue du risque lié aux prestataires tiers de services TIC dans le secteur financier exercé par l’autorité compétente du pays tiers concerné, y compris les modalités de transmission de l’accord de cette dernière visant à permettre au superviseur principal et à son équipe désignée de mener les enquêtes générales et les inspections sur place visées au paragraphe 1, premier alinéa, sur le territoire relevant de sa juridiction;
le mécanisme de transmission de toute information pertinente entre l’ABE, l’AEMF ou l’AEAPP et l’autorité concernée du pays tiers concerné, en particulier en ce qui concerne les informations qui peuvent être demandées par le superviseur principal en vertu de l’article 37;
les mécanismes de notification rapide, par l’autorité compétente du pays tiers concerné, à l’ABE, à l’AEMF ou à l’AEAPP des cas où un prestataire tiers de services TIC établi dans un pays tiers et désigné comme critique conformément à l’article 31, paragraphe 1, point a), est réputé avoir enfreint les exigences auxquelles il est tenu d’adhérer en vertu du droit applicable du pays tiers concerné lorsqu’il fournit des services à des établissements financiers dans ce pays tiers, ainsi que les voies de recours et les sanctions appliquées;
la transmission régulière d’informations actualisées sur l’évolution de la réglementation ou de la supervision en matière de suivi du risque lié aux prestataires tiers de services TIC des établissements financiers dans le pays tiers concerné;
les modalités permettant, si nécessaire, la participation d’un représentant de l’autorité compétente du pays tiers aux inspections menées par le superviseur principal et l’équipe désignée.
Lorsque le superviseur principal n’est pas en mesure de mener les activités de supervision, en dehors de l’Union, visées aux paragraphes 1 et 2, il:
exerce les pouvoirs qui lui sont conférés en vertu de l’article 35 sur la base de tous les faits et documents dont il dispose;
documente et explique toute conséquence résultant de son incapacité à mener les activités de supervision envisagées visées au présent article.
Les conséquences potentielles visées au point b) du présent paragraphe sont prises en considération dans les recommandations formulées par le superviseur principal conformément à l’article 35, paragraphe 1, point d).
Article 37
Demande d’informations
Lorsqu’il sollicite des renseignements par simple demande en vertu du paragraphe 1, le superviseur principal:
se réfère au présent article en tant que base juridique de la demande;
indique le but de la demande;
précise la nature des informations demandées;
fixe un délai dans lequel ces informations doivent être communiquées;
informe le représentant du prestataire tiers critique de services TIC auquel les informations sont demandées qu’il n’est pas tenu de les communiquer, mais que toute réponse donnée volontairement à la demande de renseignements ne doit pas être inexacte ni trompeuse.
Lorsqu’il demande des informations par voie de décision en vertu du paragraphe 1, le superviseur principal:
se réfère au présent article en tant que base juridique de la demande;
indique le but de la demande;
précise la nature des informations demandées;
fixe un délai dans lequel ces informations doivent être communiquées;
indique les astreintes prévues par l’article 35, paragraphe 6, pour le cas où les informations communiquées seraient incomplètes ou lorsque ces informations ne sont pas communiquées dans le délai fixé au point d) du présent paragraphe;
informe du droit de former un recours contre la décision devant la commission de recours de l’AES et d’en demander le réexamen par la Cour de justice de l’Union européenne (ci-après dénommée «Cour de justice») conformément aux articles 60 et 61 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.
Article 38
Enquêtes générales
Le superviseur principal a le pouvoir:
d’examiner les dossiers, données, procédures et tout autre document pertinent pour l’exécution de ses tâches, quel qu’en soit le support;
de prendre ou d’obtenir des copies certifiées conformes ou de prélever des extraits de ces dossiers, données, procédures documentées et tout autre document;
de convoquer les représentants du prestataire tiers critique de services TIC et de leur demander de fournir oralement ou par écrit des explications sur des faits ou des documents en rapport avec l’objet et le but de l’enquête, et d’enregistrer leurs réponses;
d’interroger toute autre personne physique ou morale qui accepte de l’être aux fins de recueillir des informations concernant l’objet d’une enquête;
de demander les enregistrements des échanges téléphoniques et de données.
Ce mandat indique également les astreintes prévues à l’article 35, paragraphe 6, lorsque les dossiers, données, procédures documentées ou autres documents requis, ou les réponses aux questions posées aux représentants du prestataire tiers de services TIC ne sont pas fournis ou sont incomplets.
Le superviseur principal communique au réseau de supervision commun toutes les informations transmises en application du premier alinéa.
Article 39
Inspections
Aux fins de l’exercice des pouvoirs visés au premier alinéa, le superviseur principal consulte le réseau de supervision commun.
Les agents et autres personnes mandatés par le superviseur principal pour effectuer une inspection sur place sont investis des pouvoirs suivants:
pénétrer dans ces locaux professionnels, sur ces terrains ou sur ces propriétés; et
sceller ces locaux professionnels, livres ou registres, pendant la durée de l’inspection et dans la mesure nécessaire à celle-ci.
Les agents et autres personnes mandatés par le superviseur principal exercent leurs pouvoirs sur présentation d’un mandat écrit précisant l’objet et le but de l’inspection et les astreintes prévues à l’article 35, paragraphe 6, lorsque les représentants des prestataires tiers critiques de services TIC concernés ne se soumettent pas à l’inspection.
Article 40
Supervision continue
L’équipe d’examen conjoint visée au paragraphe 1 se compose de membres du personnel:
des AES;
des autorités compétentes concernées qui assurent la surveillance des entités financières auxquelles le prestataire tiers critique de services TIC fournit des services TIC;
de l’autorité nationale compétente visée à l’article 32, paragraphe 4, point e), à titre volontaire;
d’une autorité nationale compétente de l’État membre dans lequel le prestataire tiers critique de services TIC est établi, à titre volontaire.
Les membres de l’équipe d’examen conjoint possèdent une expertise en matière de TIC et de risque opérationnel. L’équipe d’examen conjoint travaille sous la coordination d’un membre désigné du personnel du superviseur principal (ci-après dénommé «coordonnateur du superviseur principal»).
Aux fins de la réalisation des activités de supervision, le superviseur principal peut prendre en considération toute certification pertinente d’un tiers et tout rapport d’audit interne ou externe d’un prestataire tiers de services TIC mis à disposition par le prestataire tiers critique de services TIC.
Article 41
Harmonisation des conditions permettant l’exercice des activités de supervision
Les AES élaborent, par l’intermédiaire du comité mixte, des projets de normes techniques de réglementation destinées à préciser:
les informations que doit fournir un prestataire tiers de services TIC dans la demande de désignation volontaire en tant que prestataire critique, en vertu de l’article 31, paragraphe 11;
le contenu, la structure et le format des informations que les prestataires tiers de services TIC sont tenus de soumettre, de publier ou de fournir conformément à l’article 35, paragraphe 1, y compris le modèle destiné à la communication des informations relatives aux accords de sous-traitance;
les critères pour déterminer la composition de l’équipe d’examen conjoint en vue de garantir une participation équilibrée des membres du personnel des AES et des autorités compétentes concernées, leur désignation, leurs tâches et leurs modalités de travail;
les détails de l’évaluation, par les autorités compétentes, des mesures prises par des prestataires tiers critiques de services TIC sur la base des recommandations formulées par le superviseur principal conformément à l’article 42, paragraphe 3.
Le pouvoir de compléter le présent règlement en adoptant les normes techniques de réglementation prévues au paragraphe 1 est délégué à la Commission conformément à la procédure prévue aux articles 10 à 14 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.
Article 42
Suivi par les autorités compétentes
Le superviseur principal notifie cette divulgation publique au prestataire tiers de services TIC.
Lorsqu’elles gèrent le risque lié aux prestataires tiers de services TIC, les entités financières tiennent compte des risques visés au premier alinéa.
Dès réception des rapports visés à l’article 35, paragraphe 1, point c), les autorités compétentes, lorsqu’elles prennent la décision visée au paragraphe 6 du présent article, tiennent compte du type et de l’ampleur des risques qui n’ont pas été écartés par le prestataire tiers critique de services TIC, ainsi que de la gravité de la non-conformité, au regard des critères suivants, en examinant:
la gravité et la durée de la non-conformité;
si la non-conformité a révélé de graves faiblesses dans les procédures, les systèmes de gestion, la gestion des risques et les contrôles internes du prestataire tiers critique de services TIC;
si un délit financier a été facilité ou occasionné par la non-conformité ou est imputable, d’une quelconque manière, à cette non-conformité;
si la non-conformité est délibérée ou résulte d’une négligence;
si la suspension ou la résiliation des accords contractuels entraîne un risque pour la continuité des activités de l’entité financière, en dépit des efforts déployés par l’entité financière pour éviter toute perturbation dans la fourniture de ses services;
le cas échéant, l’avis, sollicité à titre volontaire conformément au paragraphe 5 du présent article, des autorités compétentes désignées ou établies conformément à la directive (UE) 2022/2555, responsables de la supervision d’une entité essentielle ou importante relevant de ladite directive, qui a été désignée en tant que prestataire tiers critique de services TIC.
Les autorités compétentes accordent aux entités financières le délai nécessaire pour leur permettre d’adapter les accords contractuels conclus avec des prestataires tiers critiques de services TIC, afin d’éviter des effets préjudiciables sur leur résilience opérationnelle numérique et de leur permettre de déployer les stratégies de sortie et les plans de transition visés à l’article 28.
Les prestataires tiers critiques de services TIC concernés par les décisions prévues au paragraphe 6 coopèrent pleinement avec les entités financières affectées, en particulier dans le cadre du processus de suspension ou de résiliation de leurs accords contractuels.
Article 43
Redevances de supervision
Le montant de la redevance perçue auprès d’un prestataire tiers critique de services TIC couvre tous les frais afférents à l’exécution des tâches exposées dans la présente section et est proportionnel à son chiffre d’affaires.
Article 44
Coopération internationale
CHAPITRE VI
Dispositifs de partage d’informations
Article 45
Dispositifs de partage d’informations et de renseignements sur les cybermenaces
Les entités financières peuvent échanger entre elles des informations et des renseignements sur les cybermenaces, notamment des indicateurs de compromis, des tactiques, des techniques et des procédures, des alertes de cybersécurité et des outils de configuration, dans la mesure où ce partage d’informations et de renseignements:
vise à améliorer la résilience opérationnelle numérique des entités financières, notamment en les sensibilisant aux cybermenaces, en limitant ou en bloquant la capacité de propagation des cybermenaces, et en soutenant les capacités de défense, les techniques de détection des menaces et les stratégies d’atténuation ou les phases de réponse et de rétablissement;
se déroule au sein de communautés d’entités financières de confiance;
repose sur des dispositifs de partage des informations qui protègent la nature potentiellement sensible des informations partagées et qui sont régis par des règles de conduite dans le plein respect de la confidentialité des affaires, de la protection des données à caractère personnel conformément au règlement (UE) 2016/679 et des lignes directrices sur la politique de concurrence.
CHAPITRE VII
Autorités compétentes
Article 46
Autorités compétentes
Sans préjudice des dispositions relatives au cadre de supervision des prestataires tiers critiques de services TIC visés au chapitre V, section II, du présent règlement, le respect du présent règlement est assuré par les autorités compétentes suivantes, conformément aux pouvoirs conférés par les actes juridiques correspondants:
pour les établissements de crédit et pour les établissements exemptés en vertu de la directive 2013/36/UE, l’autorité compétente désignée conformément à l’article 4 de ladite directive, et pour les établissements de crédit classés comme importants conformément à l’article 6, paragraphe 4, du règlement (UE) no 1024/2013, la BCE conformément aux pouvoirs et missions conférés par ledit règlement;
pour les établissements de paiement, y compris les établissements de paiement exemptés en vertu de la directive (UE) 2015/2366, les établissements de monnaie électronique exemptés en vertu de la directive 2009/110/CE et les prestataires de services d’information sur les comptes visés à l’article 33, paragraphe 1, de la directive (UE) 2015/2366, l’autorité compétente désignée conformément à l’article 22 de la directive (UE) 2015/2366;
pour les entreprises d’investissement, l’autorité compétente désignée conformément à l’article 4 de la directive (UE) 2019/2034 du Parlement européen et du Conseil ( 8 );
pour les prestataires de services sur crypto-actifs, agréés en vertu du règlement sur les marchés de crypto-actifs et les émetteurs de jetons se référant à un ou des actifs, l’autorité compétente désignée conformément à la disposition pertinente dudit règlement;
pour les dépositaires centraux de titres, l’autorité compétente désignée conformément à l’article 11 du règlement (UE) no 909/2014;
pour les contreparties centrales, l’autorité compétente désignée conformément à l’article 22 du règlement (UE) no 648/2012;
pour les plates-formes de négociation et les prestataires de services de communication de données, l’autorité compétente désignée conformément à l’article 67 de la directive 2014/65/UE, et l’autorité compétente définie à l’article 2, paragraphe 1, point 18), du règlement (UE) no 600/2014;
pour les référentiels centraux, l’autorité compétente désignée conformément à l’article 22 du règlement (UE) no 648/2012;
pour les gestionnaires de fonds d’investissement alternatifs, l’autorité compétente désignée conformément à l’article 44 de la directive 2011/61/UE;
pour les sociétés de gestion, l’autorité compétente désignée conformément à l’article 97 de la directive 2009/65/CE;
pour les entreprises d’assurance et de réassurance, l’autorité compétente désignée conformément à l’article 30 de la directive 2009/138/CE;
pour les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire, l’autorité compétente désignée conformément à l’article 12 de la directive (UE) 2016/97;
pour les institutions de retraite professionnelle, l’autorité compétente désignée conformément à l’article 47 de la directive (UE) 2016/2341;
pour les agences de notation de crédit, l’autorité compétente désignée conformément à l’article 21 du règlement (CE) no 1060/2009;
pour les administrateurs d’indices de référence d’importance critique, l’autorité compétente désignée conformément aux articles 40 et 41 du règlement (UE) 2016/1011;
pour les prestataires de services de financement participatif, l’autorité compétente désignée conformément à l’article 29 du règlement (UE) 2020/1503;
pour les référentiels des titrisations, l’autorité compétente désignée conformément à l’article 10 et à l’article 14, paragraphe 1, du règlement (UE) 2017/2402.
Article 47
Coopération avec les structures et autorités établies par la directive (UE) 2022/2555
Article 48
Coopération entre autorités
Article 49
Exercices, communication et coopération entre secteurs financiers
Elles peuvent mettre au point des exercices de gestion de crise et d’urgence reposant sur des scénarios de cyberattaques, en vue de développer les canaux de communication et de favoriser la mise en place progressive d’une réponse efficace et coordonnée au niveau de l’Union, en cas d’incident transfrontière majeur lié aux TIC ou de menace connexe ayant une incidence systémique sur l’ensemble du secteur financier de l’Union.
Ces exercices peuvent aussi, le cas échéant, tester les relations de dépendance du secteur financier vis-à-vis d’autres secteurs économiques.
Article 50
Sanctions administratives et mesures correctives
Les pouvoirs visés au paragraphe 1 incluent au minimum les pouvoirs suivants:
accéder à tout document ou toute donnée, quelle qu’en soit la forme, que les autorités compétentes jugent pertinent pour l’accomplissement de leur mission de surveillance, et en recevoir ou en réaliser une copie;
procéder à des inspections sur place ou à des enquêtes, qui comprennent, sans s’y limiter, les actions suivantes:
convoquer les représentants des entités financières et leur demander de fournir oralement ou par écrit des explications sur des faits ou des documents en rapport avec l’objet et le but de l’enquête, et enregistrer leurs réponses;
interroger toute autre personne physique ou morale qui accepte de l’être aux fins de recueillir des informations concernant l’objet d’une enquête;
imposer des mesures correctives en cas de manquement aux exigences du présent règlement.
Ces sanctions et ces mesures sont effectives, proportionnées et dissuasives.
Les États membres confèrent aux autorités compétentes le pouvoir d’appliquer au moins les sanctions administratives ou les mesures correctives suivantes en cas de violation du présent règlement:
émettre une injonction ordonnant à la personne physique ou morale de mettre un terme au comportement qui constitue une violation du présent règlement et lui interdisant de le réitérer;
exiger la cessation temporaire ou définitive de toute pratique ou conduite que l’autorité compétente juge contraire aux dispositions du présent règlement et en prévenir la répétition;
adopter tout type de mesure, y compris de nature pécuniaire, propre à garantir que les entités financières continueront à respecter leurs obligations légales;
exiger, dans la mesure où le droit national le permet, les enregistrements d’échanges de données existants détenus par un opérateur de télécommunications, lorsqu’il est raisonnablement permis de suspecter une violation du présent règlement et que ces enregistrements peuvent être importants pour une enquête portant sur une violation du présent règlement; et
émettre des communications au public, y compris des déclarations publiques, indiquant l’identité de la personne physique ou morale et la nature de la violation.
Article 51
Exercice du pouvoir d’imposer des sanctions administratives et des mesures correctives
Les autorités compétentes exercent le pouvoir d’imposer les sanctions administratives et les mesures correctives prévues par l’article 50 conformément à leurs cadres juridiques nationaux, et, selon le cas, comme suit:
directement;
en collaboration avec d’autres autorités;
par délégation à d’autres autorités agissant sous leur responsabilité; ou
par la saisine des autorités judiciaires compétentes.
Les autorités compétentes, lorsqu’elles déterminent le type et le niveau des sanctions administratives ou des mesures correctives à imposer en vertu de l’article 50, tiennent compte de la mesure dans laquelle la violation est intentionnelle ou résulte d’une négligence ainsi que de toutes les autres circonstances pertinentes, et notamment, le cas échéant, des éléments suivants:
la matérialité, la gravité et la durée de la violation;
le degré de responsabilité de la personne physique ou morale responsable de la violation;
l’assise financière de la personne physique ou morale responsable;
l’importance des gains obtenus ou des pertes évitées par la personne physique ou morale en cause, dans la mesure où ils peuvent être déterminés;
les préjudices subis par des tiers du fait de la violation, dans la mesure où ils peuvent être déterminés;
le degré de coopération de la personne physique ou morale en cause avec l’autorité compétente, sans préjudice de la nécessité de veiller à la restitution des gains obtenus ou des pertes évitées par cette personne physique ou morale;
les violations antérieures commises par la personne physique ou morale en cause.
Article 52
Sanctions pénales
Article 53
Obligations de notification
Les États membres notifient à la Commission, à l’AEMF, à l’ABE et à l’AEAPP les dispositions législatives, réglementaires et administratives qui mettent en œuvre le présent chapitre, y compris toute disposition de droit pénal pertinente, au plus tard le 17 janvier 2025. Les États membres notifient à la Commission, à l’AEMF, à l’ABE et à l’AEAPP, sans retard injustifié, toute modification ultérieure desdites dispositions.
Article 54
Application de sanctions administratives
Si l’autorité compétente, après une évaluation au cas par cas, estime que la publication de l’identité de personnes morales, ou de l’identité et des données à caractère personnel de personnes physiques, serait disproportionnée, notamment en ce qui concerne les risques liés à la protection des données à caractère personnel, compromettrait la stabilité des marchés financiers ou la poursuite d’une enquête pénale en cours, ou causerait, dans la mesure où ils peuvent être déterminés, des dommages disproportionnés à la personne concernée, elle adopte l’une des solutions suivantes en ce qui concerne la décision d’imposer une sanction administrative:
reporter sa publication jusqu’à ce qu’il n’existe plus aucune raison de ne pas la publier;
la publier en préservant l’anonymat des intéressés, conformément au droit national; ou
s’abstenir de la publier, si les options a) et b) sont jugées insuffisantes pour garantir l’absence totale de risque pour la stabilité des marchés financiers, ou si cette publication ne serait pas proportionnée, eu égard à la clémence de la sanction imposée.
Article 55
Secret professionnel
Article 56
Protection des données
CHAPITRE VIII
Actes délégués
Article 57
Exercice de la délégation
CHAPITRE IX
Dispositions transitoires et finales
Article 58
Clause de réexamen
Au plus tard le 17 janvier 2028, la Commission, après avoir consulté les AES et le CERS, selon le cas, procède à un réexamen et remet au Parlement européen et au Conseil un rapport, accompagné, le cas échéant, d’une proposition législative. Le réexamen porte au moins sur les points suivants:
les critères de désignation des prestataires tiers critiques de services TIC conformément à l’article 31, paragraphe 2;
le caractère volontaire de la notification des cybermenaces importantes, visé à l’article 19;
le régime visé à l’article 31, paragraphe 12, et les pouvoirs du superviseur principal prévus à l’article 35, paragraphe 1, point d) iv), premier tiret, en vue d’évaluer l’efficacité de ces dispositions pour assurer une supervision efficace des prestataires tiers critiques de services TIC établis dans un pays tiers, et la nécessité d’établir une filiale dans l’Union.
Aux fins du premier alinéa du présent point, le réexamen comprend une analyse du régime visé à l’article 31, paragraphe 12, y compris les conditions d’accès des entités financières de l’Union aux services de pays tiers et la disponibilité de services sur le marché de l’Union, et il tient compte de l’évolution des marchés des services couverts par le présent règlement, de l’expérience pratique des entités financières et des superviseurs financiers en ce qui concerne l’application et, respectivement, la supervision de ce régime, ainsi que de toute évolution pertinente en matière de réglementation et de supervision au niveau international;
l’opportunité d’inclure dans le champ d’application du présent règlement les entités financières visées à l’article 2, paragraphe 3, point e), qui font usage de systèmes de vente automatisés, compte tenu de l’évolution future du marché en ce qui concerne l’utilisation de ces systèmes;
le fonctionnement et l’efficacité du réseau de supervision commun pour ce qui est de soutenir la cohérence de la supervision et l’efficacité de l’échange d’informations au sein du cadre de supervision.
Sur la base de ce rapport de réexamen, et après avoir consulté les AES, la BCE et le CERS, la Commission peut présenter, le cas échéant et dans le cadre de la proposition législative qu’elle peut adopter en vertu de l’article 108, deuxième alinéa, de la directive (UE) 2015/2366, une proposition visant à faire en sorte que tous les opérateurs de systèmes de paiement et entités participant à des activités de traitement des paiements fassent l’objet d’une surveillance appropriée, tout en tenant compte de la supervision existante par la banque centrale.
Article 59
Modifications du règlement (CE) no 1060/2009
Le règlement (CE) no 1060/2009 est modifié comme suit:
À l’annexe I, section A, point 4, le premier alinéa est remplacé par le texte suivant:
«Toute agence de notation de crédit dispose de procédures comptables et administratives saines, de mécanismes de contrôle interne, de procédures efficaces d’évaluation des risques et de dispositifs efficaces de contrôle et de sauvegarde pour une gestion des systèmes de TIC conforme au règlement (UE) 2022/2554 du Parlement européen et du Conseil ( *1 ).
À l’annexe III, le point 12 est remplacé par le texte suivant:
L’agence de notation de crédit enfreint l’article 6, paragraphe 2, en liaison avec l’annexe I, section A, point 4, en ne disposant pas de procédures comptables ou administratives saines, de mécanismes de contrôle interne, de procédures efficaces d’évaluation des risques ou de dispositifs efficaces de contrôle ou de sauvegarde pour une gestion des systèmes de TIC conforme au règlement (UE) 2022/2554; ou en ne mettant pas en œuvre ou en ne maintenant pas les procédures de prise de décision ou les structures organisationnelles requises par ledit point.».
Article 60
Modifications du règlement (UE) no 648/2012
Le règlement (UE) no 648/2012 est modifié comme suit:
L’article 26 est modifié comme suit:
le paragraphe 3 est remplacé par le texte suivant:
le paragraphe 6 est supprimé.
L’article 34 est modifié comme suit:
le paragraphe 1 est remplacé par le texte suivant:
au paragraphe 3, le premier alinéa est remplacé par le texte suivant:
À l’article 56, paragraphe 3, le premier alinéa est remplacé par le texte suivant:
À l’article 79, les paragraphes 1 et 2 sont remplacés par le texte suivant:
À l’article 80, le paragraphe 1 est supprimé.
À l’annexe I, la section II est modifiée comme suit:
les points a) et b) sont remplacés par le texte suivant:
un référentiel central enfreint l’article 79, paragraphe 1, en ne détectant pas les sources de risques opérationnels ou en ne les réduisant pas au minimum en mettant en place des systèmes, des moyens de contrôle et des procédures appropriés, y compris des systèmes de TIC gérés conformément au règlement (UE) 2022/2554;
un référentiel central enfreint l’article 79, paragraphe 2, en n’établissant pas, en ne mettant pas en œuvre et en ne tenant pas à jour une politique adéquate de continuité des activités et un plan de rétablissement après sinistre établis conformément au règlement (UE) 2022/2554, visant à assurer la poursuite de ses fonctions, la reprise rapide de ses activités et le respect de ses obligations;»;
le point c) est supprimé.
L’annexe III est modifiée comme suit:
la section II est modifiée comme suit:
le point c) est remplacé par le texte suivant:
une contrepartie centrale de catégorie 2 enfreint l’article 26, paragraphe 3, si elle ne maintient pas ou n’exploite pas une structure organisationnelle qui assure la continuité et le bon fonctionnement de la fourniture de ses services et de l’exercice de ses activités ou si elle n’utilise pas des systèmes, des ressources ou des procédures appropriés et proportionnés, y compris des systèmes de TIC gérés conformément au règlement (UE) 2022/2554;»;
le point f) est supprimé;
à la section III, le point a) est remplacé par le texte suivant:
une contrepartie centrale de catégorie 2 enfreint l’article 34, paragraphe 1, si elle n’établit pas, ne met pas en œuvre ou ne tient pas à jour une politique adéquate de continuité des activités et un plan de réponse et de rétablissement établis conformément au règlement (UE) 2022/2554, visant à assurer la préservation de ses fonctions, la reprise rapide de ses activités et le respect de ses obligations, prévoyant au moins la reprise de toutes les transactions en cours lorsque le dysfonctionnement est survenu, pour lui permettre de continuer à fonctionner de manière sûre et d’achever le règlement à la date programmée;».
Article 61
Modifications du règlement (UE) no 909/2014
L’article 45 du règlement (UE) no 909/2014 est modifié comme suit:
Le paragraphe 1 est remplacé par le texte suivant:
Le paragraphe 2 est supprimé.
Les paragraphes 3 et 4 sont remplacés par le texte suivant:
Le paragraphe 6 est remplacé par le texte suivant:
Au paragraphe 7, le premier alinéa est remplacé par le texte suivant:
Article 62
Modifications du règlement (UE) no 600/2014
Le règlement (UE) no 600/2014 est modifié comme suit:
L’article 27 octies est modifié comme suit:
le paragraphe 4 est remplacé par le texte suivant:
Un APA se conforme aux exigences relatives à la sécurité des réseaux et des systèmes d’information énoncées dans le règlement (UE) 2022/2554 du Parlement européen et du Conseil ( *4 ).
au paragraphe 8, le point c) est remplacé par le texte suivant:
les exigences organisationnelles concrètes prévues aux paragraphes 3 et 5.».
L’article 27 nonies est modifié comme suit:
le paragraphe 5 est remplacé par le texte suivant:
au paragraphe 8, le point e) est remplacé par le texte suivant:
les exigences organisationnelles concrètes prévues au paragraphe 4.».
L’article 27 decies est modifié comme suit:
le paragraphe 3 est remplacé par le texte suivant:
au paragraphe 5, le point b) est remplacé par le texte suivant:
les exigences organisationnelles concrètes prévues aux paragraphes 2 et 4.».
Article 63
Modification du règlement (UE) 2016/1011
À l’article 6 du règlement (UE) 2016/1011, le paragraphe suivant est ajouté:
En ce qui concerne les indices de référence d’importance critique, un administrateur dispose de procédures comptables et administratives saines, de mécanismes de contrôle interne, de procédures efficaces d’évaluation des risques et de dispositifs efficaces de contrôle et de sauvegarde pour une gestion des systèmes de TIC conforme au règlement (UE) 2022/2554 du Parlement européen et du Conseil ( *5 ).
Article 64
Entrée en vigueur et application
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Il s’applique à partir du 17 janvier 2025.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
( 1 ) Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32).
( 2 ) Règlement (UE) no 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et modifiant le règlement (UE) no 648/2012 (JO L 176 du 27.6.2013, p. 1).
( 3 ) Règlement (UE) 2019/2033 du Parlement européen et du Conseil du 27 novembre 2019 concernant les exigences prudentielles applicables aux entreprises d’investissement et modifiant les règlements (UE) no 1093/2010, (UE) no 575/2013, (UE) no 600/2014 et (UE) no 806/2014 (JO L 314 du 5.12.2019, p. 1).
( 4 ) Directive (UE) 2016/97 du Parlement européen et du Conseil du 20 janvier 2016 sur la distribution d’assurances (JO L 26 du 2.2.2016, p. 19).
( 5 ) Règlement (UE) 2020/1503 du Parlement européen et du Conseil du 7 octobre 2020 relatif aux prestataires européens de services de financement participatif pour les entrepreneurs, et modifiant le règlement (UE) 2017/1129 et la directive (UE) 2019/1937 (JO L 347 du 20.10.2020, p. 1).
( 6 ) Règlement (UE) 2017/2402 du Parlement européen et du Conseil du 12 décembre 2017 créant un cadre général pour la titrisation ainsi qu’un cadre spécifique pour les titrisations simples, transparentes et standardisées, et modifiant les directives 2009/65/CE, 2009/138/CE et 2011/61/UE et les règlements (CE) no 1060/2009 et (UE) no 648/2012 (JO L 347 du 28.12.2017, p. 35).
( 7 ) Règlement (UE) no 806/2014 du Parlement européen et du Conseil du 15 juillet 2014 établissant des règles et une procédure uniformes pour la résolution des établissements de crédit et de certaines entreprises d’investissement dans le cadre d’un mécanisme de résolution unique et d’un Fonds de résolution bancaire unique, et modifiant le règlement (UE) no 1093/2010 (JO L 225 du 30.7.2014, p. 1).
( 8 ) Directive (UE) 2019/2034 du Parlement européen et du Conseil du 27 novembre 2019 concernant la surveillance prudentielle des entreprises d’investissement et modifiant les directives 2002/87/CE, 2009/65/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE et 2014/65/UE (JO L 314 du 5.12.2019, p. 64).
( 9 ) Directive 2006/43/CE du Parlement européen et du Conseil du 17 mai 2006 concernant les contrôles légaux des comptes annuels et des comptes consolidés et modifiant les directives 78/660/CEE et 83/349/CEE du Conseil, et abrogeant la directive 84/253/CEE du Conseil (JO L 157 du 9.6.2006, p. 87).
( *1 ) Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 (JO L 333 du 27.12.2022, p. 1).».
( *2 ) Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 (JO L 333 du 27.12.2022, p. 1).»;
( *3 ) Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 (JO L 333 du 27.12.2022, p. 1).».
( *4 ) Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 (JO L 333 du 27.12.2022, p. 1).»;
( *5 ) Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 (JO L 333 du 27.12.2022, p. 1).».