Access to European Union law
<a href="https://eur-lex.europa.eu/content/help/eurlex-content/experimental-features.html" target="_blank">More about the experimental features corner</a>
Choose the experimental features you want to try
EUR-Lex
Access to European Union law

This document is an excerpt from the EUR-Lex website

You are here
Use quotation marks to search for an "exact phrase". Append an asterisk (*) to a search term to find variations of it (transp*, 32019R*). Use a question mark (?) instead of a single character in your search term to find variations of it (ca?e finds case, cane, care).
Search tips
Need more search options? Use the Advanced search

Document 32024R1502

    Règlement délégué (UE) 2024/1502 de la Commission du 22 février 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par la définition des critères de désignation de prestataires tiers de services TIC comme critiques pour les entités financières

    C/2024/896

    JO L, 2024/1502, 30.5.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1502/oj (BG, ES, CS, DA, DE, ET, EL, EN, FR, GA, HR, IT, LV, LT, HU, MT, NL, PL, PT, RO, SK, SL, FI, SV)

    Legal status of the document In force

    ELI: http://data.europa.eu/eli/reg_del/2024/1502/oj

    Date of document:
    22/02/2024; Date d'adoption
    Date of effect:
    19/06/2024; entrée en vigueur date de publication +20 voir art. 7
    Date of effect:
    16/01/2025; Mise en application Mise en application partielle voir art. 7
    Date of end of validity:
    No end date
    Author:
    Commission européenne, Direction générale de la stabilité financière, des services financiers et de l’union des marchés des capitaux
    Responsible body:
    FISMA
    Form:
    Règlement délégué
    Additional information:
    intérêt pour l'EEE
    Treaty:
    Traité sur le fonctionnement de l’Union européenne
    Legal basis:
    Link
    Link
    Link
    Select all documents mentioning this document
    Modifies:
    Relation Act Comment Subdivision concerned From To
    Completion 32022R2554 19/06/2024
    Instruments cited:
    European flag

    Journal officiel
    de l'Union européenne

    FR

    Série L

    2024/1502

    30.5.2024

    RÈGLEMENT DÉLÉGUÉ (UE) 2024/1502 DE LA COMMISSION

    du 22 février 2024

    complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par la définition des critères de désignation de prestataires tiers de services TIC comme critiques pour les entités financières

    (Texte présentant de l’intérêt pour l’EEE)

    LA COMMISSION EUROPÉENNE,

    vu le traité sur le fonctionnement de l’Union européenne,

    vu le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 (1), et notamment son article 31, paragraphe 6,

    considérant ce qui suit:

    (1)

    Pour évaluer si un prestataire tiers de services TIC est critique pour les entités financières, compte tenu des critères visés à l’article 31, paragraphe 2, du règlement (UE) 2022/2554, les autorités européennes de surveillance (AES) devraient appliquer des sous-critères dans le cadre d’une évaluation en deux étapes. Vu le nombre important de services TIC, ainsi que la diversité et le nombre d’établissements financiers utilisant ces services, cette approche en deux étapes s’impose pour filtrer la population des prestataires tiers de services TIC afin d’identifier les plus critiques d’entre eux. Les sous-critères quantitatifs à examiner dans le cadre de la première étape servent à effectuer une première sélection des prestataires tiers pour lesquels il conviendra d’approfondir l’analyse au moyen de sous-critères qualitatifs qui seront examinés dans le cadre de la deuxième étape.

    (2)

    La mesure dans laquelle les services TIC fournis par un prestataire tiers soutiennent des fonctions critiques ou importantes d’une entité financière est considérée comme un élément crucial de l’évaluation générale du caractère critique. L’évaluation de l’importance des activités des entités financières que les services TIC soutiennent devrait donc être intégrée dans tous les sous-critères examinés dans le cadre de la première étape. Par conséquent, la criticité des fonctions de ces entités ne devrait pas faire à part l’objet d’une évaluation quantitative lors de la première étape. La criticité et l’importance de ces fonctions devraient être examinées par les AES lors de la deuxième étape, qualitative, de l’évaluation.

    (3)

    L’évaluation devrait se faire au niveau de chaque prestataire tiers de services TIC ou, pour ceux qui font partie d’un groupe de prestataires tiers de services TIC, au niveau de chacun de ces groupes, conformément à l’article 31, paragraphe 3, du règlement (UE) 2022/2554. Afin de permettre une évaluation complète des effets systémiques potentiels sur le secteur financier de l’Union, les AES devraient aussi évaluer les sous-traitants TIC de prestataires tiers de services TIC et les désigner eux aussi comme prestataires tiers critiques de services TIC, si tel est le cas.

    (4)

    Pour déterminer l’effet systémique d’un prestataire tiers de services TIC sur la stabilité, la continuité ou la qualité de services financiers, il est primordial d’avoir une vision claire de l’ampleur et de la nature de l’impact systémique qu’une défaillance opérationnelle à grande échelle de ce prestataire aurait sur les entités financières qui dépendent de ses services et sur l’ensemble du système financier. Il convient donc de prendre en considération, au sein de chaque catégorie d’entités financières, non seulement le nombre d’entre elles qui utilisent les mêmes services TIC, mais aussi la valeur de leurs actifs, pour déterminer s’il est pertinent de considérer comme critique le prestataire tiers qui fournit ces services. Déterminer l’effet systémique des prestataires tiers de services TIC sur les activités d’entités financières nécessite en outre d’évaluer qualitativement l’importance systémique et l’interconnexion de ces prestataires et l’importance de leurs services pour, notamment, la stabilité et la continuité des services financiers de ces entités.

    (5)

    Pour déterminer le caractère systémique et l’importance des entités financières qui dépendent de services TIC, il est nécessaire de tenir compte de la nature de ces entités. Lorsque des entités financières qui sont classées comme EISm et autres EIS, ou qui sont identifiées comme «systémiques», dépendent des mêmes services TIC pour leurs fonctions critiques ou importantes, il convient d’établir si le prestataire tiers de services TIC qui fournit ces services doit être considéré comme critique pour le secteur financier de l’Union. Il convient aussi d’évaluer le degré d’interconnexion entre les entités financières du secteur financier de l’Union qui dépendent de services TIC fournis par un même prestataire tiers de services TIC, afin de déterminer leur degré de dépendance à l’égard de ce prestataire.

    (6)

    Les services TIC fournis à l’appui de fonctions critiques ou importantes d’entités financières devraient être évalués en fonction de leur type et de leur caractère critique pour ces entités, à qui elles sont nécessaires pour pouvoir exercer leurs activités sans aucune perturbation.

    (7)

    Pour déterminer le degré de substituabilité d’un prestataire tiers de services TIC, il convient que les AES prennent en compte, dans le cadre de leur évaluation, le nombre de ces prestataires qui sont actifs sur le marché concerné, l’existence d’autres solutions pour bénéficier du même service, et le coût du transfert, à d’autres prestataires tiers, des données et des tâches liées aux TIC.

    (8)

    Il est important, pour garantir la solidité du processus d’évaluation, que les AES, lorsqu’elles évaluent si des prestataires tiers de services TIC doivent être désignés comme critiques, s’appuient sur les données des registres d’informations prévus par l’article 28, paragraphe 3, du règlement (UE) 2022/2554, et sur toute autre information aisément disponible,

    A ADOPTÉ LE PRÉSENT RÈGLEMENT:

    Article premier

    Approche à respecter pour l’évaluation

    1.   Lorsqu’elles appliquent les critères prévus à l’article 31, paragraphe 2, du règlement (UE) 2022/2554 pour désigner les prestataires tiers de services TIC qui sont critiques pour les entités financières, les AES suivent l’approche suivante:

    a)

    lors d’une première étape, les AES évaluent si le prestataire tiers de services TIC remplit tous les sous-critères «étape 1» définis à l’article 2, paragraphe 1, à l’article 3, paragraphe 1, et à l’article 5, paragraphe 1;

    b)

    lors d’une seconde étape, les AES soumettent les prestataires tiers de services TIC qui remplissent tous les sous-critères «étape 1» visés au point a) à une évaluation à l’aune des sous-critères «étape 2» définis à l’article 2, paragraphe 5, à l’article 3, paragraphe 4, à l’article 4, paragraphe 1, et à l’article 5, paragraphe 5.

    Par dérogation au premier alinéa, pour l’évaluation du critère c) de l’article 31, paragraphe 2, du règlement (UE) 2022/2554, la première étape est couverte par l’évaluation à effectuer pour les critères a), b) et d) de l’article 31, paragraphe 2, du règlement (UE) 2022/2554.

    2.   Après la fin du délai de remise d’une déclaration motivée en vertu de l’article 31, paragraphe 5, premier alinéa, du règlement (UE) 2022/2554, les AES, par l’intermédiaire du comité mixte, et sur recommandation du forum de supervision, désignent comme critique pour les entités financières tout prestataire tiers de services TIC qui remplit tous les sous-critères «étape 1» visés au paragraphe 1, point a), et pour lequel l’évaluation réalisée à l’aune des sous-critères «étape 2» visés au paragraphe 1, point b), a donné un résultat positif.

    Article 2

    Effet systémique de prestataires tiers de services TIC sur la stabilité, la continuité ou la qualité de la prestation de services financiers

    1.   Lorsqu’elles appliquent le critère visé à l’article 31, paragraphe 2, point a), du règlement (UE) 2022/2554, les AES évaluent si le prestataire tiers de services TIC remplit les sous-critères «étape 1» suivants:

    a)

    sous-critère 1.1: sur le nombre d’entités financières de chacune des catégories d’entités financières visées à l’article 2, paragraphe 1, du règlement (UE) 2022/2554, la part que représentent les entités auxquelles ce même prestataire tiers fournit des services TIC qui soutiennent des fonctions critiques ou importantes;

    b)

    sous-critère 1.2: sur la valeur totale des actifs des entités financières de chacune des catégories d’entités financières visées à l’article 2, paragraphe 1, du règlement (UE) 2022/2554, la part que représente la valeur totale des actifs des entités financières auxquelles ce même prestataire tiers fournit des services TIC qui soutiennent des fonctions critiques ou importantes de ces entités.

    2.   Le sous-critère 1.1 défini au paragraphe 1, point a), est calculé comme suit:

    nombre d’entités financières de la catégorie d’entités financières concernée

    visée à l’article 2,paragraphe 1,du règlement (UE) 2022/2554

    auxquelles ce même prestataire tiers fournit des services TIC

    à l'appui de fonctions critiques ou importantes de ces entités financières

    nombre d’entités financières de la catégorie d’entités financières concernée

    visée à l’article 2,paragraphe 1,du règlement (UE) 2022/2554

    3.   Le sous-critère 1.2 défini au paragraphe 1, point b), est calculé comme suit:

    valeur totale des actifs des entités financières de la catégorie d’entités financières concernée

    visée à l’article 2,paragraphe 1,du règlement (UE) 2022/2554

    auxquelles ce même prestataire tiers fournit des services TIC

    à l'appui de fonctions critiques ou importantes de ces entités financières

    valeur totale des actifs de toutes les entités financières de l'UE relevant de la même catégorie

    visée à l’article 2,paragraphe 1,du règlement (UE) 2022/2554

    4.   Un prestataire tiers de services TIC est considéré comme remplissant les sous-critères «étape 1» visés au paragraphe 1 lorsque pour au moins une des catégories d’entités financières visées à l’article 2, paragraphe 1, du règlement (UE) 2022/2554, les deux parts calculées conformément aux paragraphes 2 et 3 sont égales chacune à au moins 10 % du montant total.

    5.   Lorsqu’elles appliquent le critère visé à l’article 31, paragraphe 2, point a), du règlement (UE) 2022/2554 et que le prestataire tiers de services TIC remplit les sous-critères «étape 1» visés au paragraphe 1 du présent article, les AES effectuent leur évaluation à l’aune des sous-critères «étape 2» suivants:

    a)

    sous-critère 1.3: l’intensité de l’incidence d’une interruption des services TIC de ce prestataire sur les activités et opérations des entités financières identifiées dans le cadre des sous-critères «étape 1» visés au paragraphe 1 du présent article, et le nombre d’entités financières concernées;

    b)

    sous-critère 1.4: la dépendance du prestataire tiers critique de services TIC à l’égard de mêmes sous-traitants fournissant des services TIC qui soutiennent des fonctions critiques ou importantes d’entités financières.

    Article 3

    Caractère systémique et importance des services TIC fournis aux entités financières

    1.   Lorsqu’elles appliquent le critère visé à l’article 31, paragraphe 2, point b), du règlement (UE) 2022/2554, les AES évaluent si le prestataire tiers de services TIC remplit les sous-critères «étape 1» suivants:

    a)

    sous-critère 2.1: nombre d’établissements d’importance systémique mondiale (EISm) et d’autres établissements d’importance systémique (autres EIS) qui sont des établissements de crédit auxquels ce même prestataire tiers fournit des services TIC qui soutiennent des fonctions critiques ou importantes;

    b)

    sous-critère 2.2: nombre d’entités financières, autres que des établissements de crédit et autres que les EISm ou autres EIS visés au point a) supra, identifiées comme systémiques par les autorités compétentes visées à l’article 46 du règlement (UE) 2022/2554, auxquelles ce même prestataire tiers fournit des services TIC qui soutiennent des fonctions critiques ou importantes.

    2.   Un prestataire tiers de services TIC est considéré comme remplissant le sous-critère du paragraphe 1, point a), si les services TIC qu’il fournit sont utilisés:

    a)

    soit par au moins un EISm;

    b)

    soit par au moins trois autres EIS;

    c)

    soit par au moins un autre EIS dont le score d’importance systémique calculé conformément à l’article 131, paragraphe 3, de la directive 2013/36/UE du Parlement européen et du Conseil (2) est supérieur à 3 000.

    3.   Un prestataire tiers de services TIC est considéré comme remplissant le sous-critère du paragraphe 1, point b), si les services TIC qu’il fournit sont utilisés:

    a)

    soit par au moins une entité financière visée à l’article 2, paragraphe 1, point g), h), i) ou j), du règlement (UE) 2022/2554, qui est identifiée comme «systémique» par les autorités compétentes;

    b)

    soit par au moins trois entités financières, autres que des établissements de crédit ou que des entités financières visées à l’article 2, paragraphe 1, point g), h), i) ou j), du règlement (UE) 2022/2554, qui sont identifiées comme «systémiques» par les autorités compétentes.

    4.   Lorsqu’elles appliquent le critère visé à l’article 31, paragraphe 2, point b), du règlement (UE) 2022/2554 et que le prestataire tiers de services TIC remplit les sous-critères «étape 1» visés au paragraphe 1 du présent article, les AES effectuent leur évaluation à l’aune du sous-critère «étape 2» suivant:

    sous-critère 2.3: les EISm ou autres EIS et les autres entités financières inclus dans l’évaluation à l’aune des sous-critères «étape 1» visés au paragraphe 1 du présent article qui dépendent d’un service TIC fourni par ce même prestataire tiers, notamment lorsque ces EISm ou autres EIS fournissent des services d’infrastructure financière à d’autres entités financières, sont interdépendants.

    Article 4

    Criticité ou importance des fonctions

    Lorsqu’elles appliquent le critère visé à l’article 31, paragraphe 2, point c), du règlement (UE) 2022/2554, les AES effectuent leur évaluation à l’aune du sous-critère «étape 2» suivant:

    sous-critère 3.1: le service TIC fourni en définitive par le même prestataire tiers de services TIC à l’appui de fonctions critiques ou importantes d’entités financières est de nature critique pour les activités de ces entités.

    Article 5

    Degré de substituabilité

    1.   Lorsqu’elles appliquent le critère visé à l’article 31, paragraphe 2, point d), du règlement (UE) 2022/2554, les AES évaluent si le prestataire tiers de services TIC remplit les sous-critères «étape 1» suivants:

    a)

    sous-critère 4.1: sur le nombre total d’entités financières de chacune des catégories d’entités financières visées à l’article 2, paragraphe 1, du règlement (UE) 2022/2554, la part que représentent les entités pour lesquelles il n’existe pas d’autre prestataire tiers de services TIC ayant la capacité requise pour fournir les mêmes services TIC que ceux que le prestataire concerné fournit à l’appui de fonctions critiques ou importantes de ces entités financières;

    b)

    sous-critère 4.2: sur le nombre total d’entités financières de chacune des catégories d’entités financières visées à l’article 2, paragraphe 1, du règlement (UE) 2022/2554, la part que représentent les entités pour lesquelles il est extrêmement difficile de se tourner vers un autre prestataire tiers de services TIC pour obtenir un service TIC que le prestataire concerné fournit à l’appui de fonctions critiques ou importantes de ces entités financières.

    2.   Le sous-critère 4.1 défini au paragraphe 1, point a), est calculé comme suit:

    nombre d’entités financières de la catégorie d’entités financières concernée

    visée à l’article 2,paragraphe 1,du règlement (UE) 2022/2554

    pour lesquelles il n’existe pas d'autre prestataire tiers de services TIC

    ayant la capacité requise pour fournir les mêmes services TIC

    que celui que le prestataire concerné fournit

    à l'appui de fonctions critiques ou importantes de ces entités financières

    nombre total d’entités financières de la catégorie d’entités financières concernée

    visée à l’article 2,paragraphe 1,du règlement (UE) 2022/2554

    3.   Le sous-critère défini au paragraphe 1, point b), est calculé comme suit:

    nombre d’entités financières de la catégorie d’entités financières concernée

    visée à l’article 2,paragraphe 1,du règlement (UE) 2022/2554

    pour lesquelles il est extrêmement difficile de se tourner vers un autre prestataire tiers de services TIC

    pour obtenir ou réintégrer un service TIC que le prestataire concerné fournit

    à l'appui de fonctions critiques ou importantes de ces entités financières

    nombre total d’entités financières de l'UE relevant de la catégorie d’entités financières concernée

    visée à l’article 2,paragraphe 1,du règlement (UE) 2022/2554

    4.   Un prestataire tiers de services TIC est considéré comme remplissant les deux sous-critères 4.1 et 4.2 dès lors que l’une des conditions suivantes est remplie:

    a)

    la part que représente le nombre total d’entités financières visées au paragraphe 1, point a), sur le nombre total d’entités financières d’une catégorie d’entités financières visée à l’article 2, paragraphe 1, du règlement (UE) 2022/2554 est d’au moins 10 %;

    b)

    la part que représente le nombre total d’entités financières visées au paragraphe 1, point b), sur le nombre total d’entités financières d’une catégorie d’entités financières visée à l’article 2, paragraphe 1, du règlement (UE) 2022/2554 est d’au moins 10 %.

    5.   Lorsqu’elles appliquent le critère visé à l’article 31, paragraphe 2, point d), du règlement (UE) 2022/2554 et que le prestataire tiers de services TIC remplit les sous-critères «étape 1» visés au paragraphe 1 du présent article, les AES effectuent leur évaluation à l’aune du sous-critère «étape 2» défini à l’article 31, paragraphe 2, point d) i) du règlement (UE) 2022/2554.

    Article 6

    Sources d’information pour l’évaluation de la criticité

    1.   Pour évaluer si les sous-critères énumérés aux articles 2 à 5 sont remplis, les AES utilisent les données fournies par les registres d’informations prévus par l’article 28, paragraphe 3, du règlement (UE) 2022/2554. Les AES peuvent aussi utiliser, pour l’évaluation de la criticité, des données supplémentaires dont elles disposent et qui proviennent de toute source d’information.

    2.   Les AES se basent sur les données les plus récentes dont elles disposent durant l’année d’évaluation ou, le cas échéant, sur les données mises à leur disposition au plus tard le 31 décembre de l’année précédant l’évaluation de la criticité.

    Article 7

    Entrée en vigueur et application

    Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

    Toutefois, le superviseur principal applique le sous-critère 1.4 visé à l’article 2, paragraphe 5, point b), à partir du 16 Janvier 2025.

    Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

    Fait à Bruxelles, le 22 février 2024.

    Par la Commission

    La présidente

    Ursula VON DER LEYEN

    (1)   JO L 333 du 27.12.2022, p. 1. ELI: http://data.europa.eu/eli/reg/2022/2554/oj.

    (2)  Directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit, modifiant la directive 2002/87/CE et abrogeant les directives 2006/48/CE et 2006/49/CE (JO L 176 du 27.6.2013, p. 338. ELI: http://data.europa.eu/eli/dir/2013/36/oj).

    ELI: http://data.europa.eu/eli/reg_del/2024/1502/oj

    ISSN 1977-0693 (electronic edition)

    Top