<Date>{07/12/2021}7.12.2021</Date>
<NoDocSe>A9-0341/2021</NoDocSe>
PDF 523kWORD 168k

<TitreType>RAPPORT</TitreType>     <RefProcLect>***I</RefProcLect>

<Titre>sur la proposition de règlement du Parlement européen et du Conseil sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014 et (UE) nº 909/2014</Titre>

<DocRef>(COM(2020)0595 – C9-0304/2020 – 2020/0266(COD))</DocRef>


<Commission>{ECON}Commission des affaires économiques et monétaires</Commission>

Rapporteur: <Depute>Billy Kelleher</Depute>

PROJET DE RÉSOLUTION LÉGISLATIVE DU PARLEMENT EUROPÉEN
 PROCÉDURE DE LA COMMISSION COMPÉTENTE AU FOND
 VOTE FINAL PAR APPEL NOMINAL EN COMMISSION COMPÉTENTE AU FOND

PROJET DE RÉSOLUTION LÉGISLATIVE DU PARLEMENT EUROPÉEN

sur la proposition de règlement du Parlement européen et du Conseil sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014 et (UE) nº 909/2014

(COM(2020)0595 – C9-0304/2020 – 2020/0266(COD))

(Procédure législative ordinaire: première lecture)

Le Parlement européen,

 vu la proposition de la Commission au Parlement européen et au Conseil (COM(2020)0595),

 vu l’article 294, paragraphe 2, et l’article 114 du traité sur le fonctionnement de l’Union européenne, conformément auxquels la proposition lui a été présentée par la Commission (C9‑0304/2020),

 vu l’article 294, paragraphe 3, du traité sur le fonctionnement de l’Union européenne,

 vu l’avis du Comité économique et social européen du 24 février 2021[1],

 vu l’article 59 de son règlement intérieur,

 vu le rapport de la commission des affaires économiques et monétaires (A9-0341/2021),

1. arrête la position en première lecture figurant ci-après;

2. demande à la Commission de le saisir à nouveau si elle remplace, modifie de manière substantielle ou entend modifier de manière substantielle sa proposition;

2. charge son Président de transmettre la position du Parlement au Conseil et à la Commission ainsi qu’aux parlements nationaux.

 

 

Amendement  1

AMENDEMENTS DU PARLEMENT EUROPÉEN[*]

à la proposition de la Commission

---------------------------------------------------------

2020/0266(COD)

Proposition de

RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL

sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014 et (UE) nº 909/2014

(Texte présentant de l’intérêt pour l’EEE)

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 114,

vu la proposition de la Commission européenne,

après transmission du projet d’acte législatif aux parlements nationaux,

vu l’avis de la Banque centrale européenne[2],

vu l’avis du Comité économique et social européen[3],

statuant conformément à la procédure législative ordinaire,

considérant ce qui suit:

(1) À l’ère numérique, les technologies de l’information et de la communication (TIC) sous-tendent les systèmes complexes qui sont utilisés dans les activités quotidiennes de la société. Elles contribuent à la bonne marche de nos économies dans des secteurs clés, tels que la finance, et améliorent le fonctionnement du marché unique. Le degré croissant de numérisation et d’interconnexion accentue également les risques informatiques, ce qui expose davantage la société dans son ensemble – et le système financier en particulier – aux cybermenaces ou aux dysfonctionnements informatiques. Si l’utilisation généralisée de systèmes informatiques ainsi qu’une numérisation et une connectivité poussées sont aujourd’hui des caractéristiques essentielles de toutes les activités des entités financières de l’Union, la résilience numérique doit encore être suffisamment intégrée dans leurs cadres opérationnels.

(2) Au cours des dernières décennies, l’utilisation des TIC est devenue centrale dans le domaine de la finance, et elle revêt aujourd’hui une importance cruciale dans l’exécution des fonctions quotidiennes typiques de toutes les entités financières. La numérisation couvre, par exemple, les paiements, qui ont évolué progressivement de méthodes reposant sur les espèces et le papier vers l’utilisation de solutions numériques, ainsi que la compensation et le règlement des opérations sur titres, le trading électronique et algorithmique, les opérations de prêt et de financement, le financement entre pairs, la notation de crédit, ▌la gestion de créances et les opérations de post-marché. Le secteur des assurances a également été transformé par l’utilisation des TIC avec l’apparition des intermédiaires d’assurance numériques fonctionnant avec les technologies du domaine de l’assurance (InsurTech) ou la souscription d’assurance et la répartition de contrats de façon numérique. L’ensemble du secteur financier a non seulement opéré une transition vers le numérique à grande échelle, mais la numérisation a également renforcé les interconnexions et les relations de dépendance au sein du secteur financier et avec les tiers prestataires d’infrastructures et de services.

(3) Dans un rapport de 2020 consacré au cyberrisque systémique[4], le Comité européen du risque systémique (CERS) a réaffirmé que le niveau élevé d’interconnexion existant entre les entités financières, les marchés financiers et les infrastructures des marchés financiers, et en particulier les interdépendances de leurs systèmes informatiques, était susceptible de constituer une vulnérabilité systémique, dans la mesure où des cyberincidents localisés pourraient rapidement se propager de l’une des quelque 22 000 entités financières[5] de l’Union à l’ensemble du système financier, sans aucune entrave géographique. Les atteintes graves à la sécurité informatique qui se produisent dans le secteur de la finance ne touchent pas seulement les entités financières prises isolément. Elles facilitent également la propagation de vulnérabilités localisées à travers les canaux de transmission financière et peuvent avoir des conséquences préjudiciables pour la stabilité du système financier de l’Union, en provoquant des fuites de liquidités et une érosion générale de la confiance dans les marchés financiers.

(4) Ces dernières années, les risques informatiques ont attiré l’attention des décideurs politiques, des régulateurs et des organismes de normalisation nationaux, européens et internationaux, dans un effort visant à renforcer la résilience, à définir des normes et à coordonner le travail de réglementation ou de surveillance. Au niveau international, le Comité de Bâle sur le contrôle bancaire, le Comité sur les paiements et les infrastructures de marché, le Conseil de stabilité financière, l’Institut pour la stabilité financière, ainsi que les groupes de pays du G7 et du G20 s’efforcent de fournir aux autorités compétentes et aux opérateurs de marché des différentes juridictions des outils leur permettant de renforcer la résilience de leurs systèmes financiers. Par conséquent, il est nécessaire de prendre les risques informatiques en considération dans le contexte d’un système financier mondial fortement interconnecté au sein duquel la cohérence des règlements internationaux et la coopération entre les autorités compétentes au niveau mondial doivent être des priorités.

(5) Malgré des initiatives stratégiques et législatives ciblées aux niveaux national et européen, les risques informatiques représentent toujours un défi pour la résilience opérationnelle, la performance et la stabilité du système financier de l’Union. La réforme qui a suivi la crise financière de 2008 a principalement renforcé la résilience financière du secteur financier de l’Union et visait à préserver la compétitivité et la stabilité de l’Union du point de vue économique, prudentiel et des conduites sur le marché. Bien que la sécurité informatique et la résilience numérique fassent partie du risque opérationnel, le programme réglementaire d’après crise leur a accordé moins d’importance, et elles n’ont été développées que dans certains domaines de la politique et du paysage réglementaire des services financiers de l’Union, ou seulement dans quelques États membres.

(6) Dans son plan d’action de 2018 pour les technologies financières[6], la Commission a souligné l’importance primordiale de rendre le secteur financier de l’Union plus résilient, également d’un point de vue opérationnel, afin de garantir sa sûreté technologique et son bon fonctionnement, ainsi que son rétablissement rapide après des atteintes à la sécurité et des incidents informatiques, de façon à ce que les services financiers puissent être fournis de manière efficace et sans accrocs dans toute l’Union, y compris dans des situations de tension, tout en préservant la confiance des consommateurs et des marchés.

(7) En avril 2019, l’Autorité bancaire européenne (ABE), l’Autorité européenne des marchés financiers (AEMF) et l’Autorité européenne des assurances et des pensions professionnelles (AEAPP) (appelées conjointement les «autorités européennes de surveillance» ou «AES») ont publié deux avis techniques conjoints préconisant une approche cohérente du risque informatique dans le secteur financier et recommandant de renforcer, de manière proportionnée, la résilience opérationnelle numérique de ce secteur dans le cadre d’une initiative sectorielle de l’Union.

(8) Le secteur financier de l’Union est soumis à un corpus réglementaire unique harmonisé, et régi par un système européen de surveillance financière. Néanmoins, les dispositions relatives à la résilience opérationnelle numérique et à la sécurité informatique ne sont pas encore totalement ou systématiquement harmonisées, alors que la résilience opérationnelle numérique est indispensable pour garantir la stabilité financière et l’intégrité du marché à l’ère numérique, et qu’elle n’est pas moins importante que, par exemple, des normes prudentielles ou de conduite communes. Le corpus réglementaire unique et le système de surveillance devraient donc être développés pour couvrir également cette composante, et les mandats des autorités de surveillance financière devraient ainsi être renforcés afin de gérer les risques informatiques dans le secteur financier, de protéger l’intégrité et l’efficacité du marché intérieur et de faciliter son bon fonctionnement.

(9) Les disparités législatives et les approches nationales inégales en matière de réglementation ou de surveillance du risque informatique créent des obstacles au marché unique des services financiers, lesquels entravent le plein exercice de la liberté d’établissement et la prestation de services des entités financières ayant une assise transfrontière. La concurrence entre le même type d’entités financières opérant dans différents États membres est également susceptible d’être faussée. Notamment dans les domaines où l’harmonisation au niveau de l’Union a été très limitée – comme les tests de résilience opérationnelle numérique – ou inexistante – comme le suivi du risque lié aux tiers prestataires de services informatiques – les disparités découlant des développements prévus au niveau national pourraient créer de nouveaux obstacles au fonctionnement du marché unique, au détriment des acteurs du marché et de la stabilité financière.

(10) L’approche partielle qui a été suivie jusqu’à présent pour les dispositions relatives aux risques liés à l’informatique adoptées au niveau de l’Union présente des lacunes ou des chevauchements dans des domaines importants, tels que la notification des incidents liés à l’informatique et les tests de résilience opérationnelle numérique, et engendre des incohérences imputables à l’émergence de règles nationales divergentes ou une inefficacité par rapport au coût du fait de règles qui se chevauchent. Cette situation est particulièrement préjudiciable pour un utilisateur à forte intensité informatique comme le secteur financier, car les risques technologiques ne connaissent pas de frontières et le secteur financier déploie ses services sur une large base transfrontière à l’intérieur et à l’extérieur de l’Union.

Les entités financières qui exercent des activités transfrontières ou qui détiennent plusieurs agréments (par exemple, une entité financière peut être détentrice d’un agrément bancaire, d’un agrément en tant qu’entreprise d’investissement et d’un agrément en tant qu’établissement de paiement, chacun délivré par une autorité compétente différente dans un ou plusieurs États membres) se heurtent à des difficultés opérationnelles lorsqu’il s’agit de faire face aux risques informatiques et d’atténuer les effets négatifs des incidents informatiques de manière autonome, cohérente et efficace par rapport au coût.

(10 bis) La mise en place et le maintien d’infrastructures adéquates de réseau et de système d’information est également une condition essentielle à des pratiques efficaces d’agrégation des données sur les risques et de notification des risques, lesquelles sont, à leur tour, une condition essentielle à la gestion saine et durable des risques et aux processus décisionnels des établissements de crédit. En 2013, le Comité de Bâle sur le contrôle bancaire (CBCB) a publié un ensemble de principes aux fins de l’agrégation des données sur les risques et de la notification des risques efficaces (CBCB 239), fondé sur deux principes fondamentaux de gouvernance et d’infrastructure informatique. Ces principes devaient être mis en œuvre pour le début de l’année 2016. Selon le rapport de la Banque centrale européenne (BCE) de mai 2018 sur l’examen thématique de l’agrégation des données sur les risques et de la notification des risques efficaces et le rapport du CBCB d’avril 2020 sur les progrès accomplis, les progrès réalisés par les banques d’importance systémique mondiale étaient insatisfaisants et suscitaient des préoccupations. Afin de faciliter l’alignement sur les normes internationales et la conformité à celles-ci, la Commission, en étroite coopération avec la BCE et après consultation de l’ABE et du CERS, devrait élaborer un rapport évaluant les modalités d’interaction entre les principes de la norme CBCB 239 et les dispositions du présent règlement et, le cas échéant, la façon dont ces principes devraient être intégrés au droit de l’Union.

(11) Étant donné que le corpus réglementaire unique n’a pas été accompagné d’un cadre exhaustif applicable aux risques informatiques ou opérationnels, il est nécessaire de procéder à une harmonisation plus poussée des exigences clés en matière de résilience opérationnelle numérique pour toutes les entités financières. Les capacités et la résilience globale que les entités financières, sur la base de ces exigences clés, développeraient en vue de faire face aux interruptions de fonctionnement, contribueraient à préserver la stabilité et l’intégrité des marchés financiers de l’Union et donc à assurer un niveau élevé de protection des investisseurs et des consommateurs dans l’Union. Dans la mesure où le présent règlement se veut une contribution au fonctionnement harmonieux du marché unique, il devrait reposer sur les dispositions de l’article 114 du TFUE, interprétées conformément à la jurisprudence constante de la Cour de justice de l’Union européenne.

(12) Le présent règlement vise tout d’abord à consolider et à mettre à niveau les exigences en matière de risques informatiques, scindées jusqu’à présent dans les différents règlements et directives. Si ces actes juridiques de l’Union couvraient les principales catégories de risques financiers (par exemple, le risque de crédit, le risque de marché, le risque de crédit de contrepartie et le risque de liquidité, le risque lié à la conduite sur le marché), ils ne pouvaient pas, au moment de leur adoption, couvrir de manière exhaustive toutes les composantes de la résilience opérationnelle. Ces actes juridiques de l’Union, lorsqu’ils ont précisé les exigences en matière de risque opérationnel, ont souvent favorisé une approche quantitative classique de la gestion du risque (à savoir, la définition d’une exigence de fonds propres pour couvrir les risques informatiques) plutôt que de définir des exigences qualitatives ciblées visant à renforcer les capacités de protection, détection, confinement, rétablissement et réparation en cas d’incidents liés à l’informatique ou la mise en place de capacités de notification et de tests numériques. Ces directives et règlements étaient principalement destinés à définir les règles essentielles en matière de surveillance prudentielle, d’intégrité du marché ou de conduite sur le marché.

Grâce au présent exercice, qui consolide et actualise les règles relatives au risque informatique, toutes les dispositions traitant du risque numérique dans le secteur financier seraient pour la première fois réunies de manière cohérente dans un seul et même acte législatif. Cette initiative devrait donc combler les lacunes ou remédier aux incohérences de certains de ces actes juridiques, notamment en ce qui concerne la terminologie qui y est utilisée, et devrait faire explicitement référence aux risques informatiques au travers de règles ciblées sur les capacités de gestion des risques informatiques, la notification et les tests, ainsi que le suivi des risques liés aux tiers. Cette initiative vise également à mieux sensibiliser aux risques informatiques et souligne que les incidents informatiques et l’absence de résilience opérationnelle pourraient compromettre la solidité financière des entités financières.

(13) Les entités financières devraient suivre la même approche et les mêmes règles de principe lorsqu’elles abordent le risque informatique en fonction de leur taille, de leur nature, de leur complexité et de leur profil de risque. La cohérence contribue à renforcer la confiance dans le système financier et à préserver sa stabilité, en particulier en période de forte dépendance à l’égard des systèmes, plateformes et infrastructures informatiques, qui accroît le risque numérique.

Le respect d’une hygiène informatique de base devrait également éviter à l’économie d’avoir à supporter des coûts considérables, en réduisant au minimum les incidences et les coûts des perturbations informatiques.

(14) Le recours à un règlement permet de réduire la complexité réglementaire, favorise la convergence en matière de surveillance et accroît la sécurité juridique, tout en contribuant à limiter les coûts de mise en conformité, notamment pour les entités financières exerçant des activités transfrontières, et à réduire les distorsions de concurrence. Le choix d’un règlement pour la mise en place d’un cadre commun en matière de résilience opérationnelle numérique des entités financières apparaît donc comme le moyen le plus approprié de garantir une application homogène et cohérente de toutes les composantes de la gestion du risque informatique par les secteurs financiers de l’Union.

(14 bis) Toutefois, la mise en œuvre du présent règlement ne doit pas entraver l’innovation dans la façon dont les entités financières gèrent les questions de résilience opérationnelle numérique tout en respectant ses dispositions ou dans les services qu’elles proposent ou les services proposés par des tiers prestataires de services informatiques.

(15) Outre la législation sur les services financiers, la directive (UE) 2016/1148 du Parlement européen et du Conseil[7] constitue le cadre général actuellement en vigueur en matière de cybersécurité au niveau de l’Union. Parmi les sept secteurs critiques visés dans la directive, celle-ci s’applique notamment à trois types d’entités financières, à savoir les établissements de crédit, les plates-formes de négociation et les contreparties centrales. Toutefois, comme la directive (UE) 2016/1148 prévoit un mécanisme d’identification au niveau national des opérateurs de services essentiels, seuls certains établissements de crédit, plates-formes de négociation et contreparties centrales identifiés par les États membres relèvent en pratique de ses dispositions et sont donc tenus de se conformer aux exigences en matière de sécurité informatique et de notification des incidents qui y sont définies.

(16) Étant donné que le présent règlement rehausse le niveau d’harmonisation des composantes de la résilience numérique, en instaurant, en matière de gestion des risques informatiques et de notification des incidents liés à l’informatique, des exigences plus strictes que celles prévues par la législation actuelle de l’Union sur les services financiers, il s’agit d’une harmonisation plus poussée, y compris par rapport aux exigences énoncées dans la directive (UE) 2016/1148. Par conséquent, pour les entités financières, le présent règlement constitue la lex specialis de la directive (UE) 2016/1148.

Il est indispensable de maintenir un lien étroit entre le secteur financier et le cadre horizontal de l’Union en matière de cybersécurité afin de garantir la cohérence avec les stratégies de cybersécurité déjà adoptées par les États membres et de permettre aux autorités de surveillance financière d’être informées des cyberincidents touchant d’autres secteurs couverts par la directive (UE) 2016/1148.

(17) Afin de favoriser un processus d’apprentissage intersectoriel et de tirer efficacement parti des expériences d’autres secteurs en matière de lutte contre les cybermenaces, les entités financières visées dans la directive (UE) 2016/1148 devraient continuer à faire partie de l’«écosystème» de cette directive (par exemple, le groupe de coopération SRI et les CSIRT).

Les AES et les autorités nationales compétentes devraient pouvoir participer respectivement aux discussions stratégiques et aux travaux techniques du groupe de coopération SRI, et échanger des informations et coopérer davantage avec les points de contact uniques désignés en vertu de la directive (UE) 2016/1148. L’organe de supervision conjoint, les superviseurs principaux et les autorités compétentes au titre du présent règlement devraient également consulter les CSIRT nationaux désignés conformément à l’article 9 de la directive (UE) 2016/1148 et coopérer avec ceux-ci.

En outre, le présent règlement devrait faire en sorte que les détails des incidents majeurs liés à l’informatique soient communiqués au réseau des CSIRT créé par la directive (UE) 2016/1148.

(18) Il est également important de garantir la cohérence avec la directive sur les infrastructures critiques européennes (ICE), qui fait actuellement l’objet d’une révision en vue de renforcer la protection et la résilience des infrastructures critiques contre les menaces non liées à la cybercriminalité et la directive sur la résilience des entités critiques[8], avec d’éventuelles implications pour le secteur financier.

(19) Les fournisseurs de services d’informatique en nuage constituent une catégorie de fournisseurs de service numérique couverts par la directive (UE) 2016/1148. En tant que tels, ils sont soumis à une surveillance a posteriori exercée par les autorités nationales désignées conformément à cette directive, qui se limite aux exigences en matière de sécurité informatique et de notification des incidents prévues dans cet acte. Étant donné que le cadre de supervision établi par le présent règlement s’applique à tous les tiers prestataires critiques de services informatiques, y compris les fournisseurs de services d’informatique en nuage, lorsqu’ils fournissent des services informatiques à des entités financières, il devrait être considéré comme complémentaire de la surveillance exercée en vertu de la directive (UE) 2016/1148. Par ailleurs, les règles de procédure ainsi que les exigences de fond applicables aux tiers prestataires critiques de services informatiques au titre du présent règlement devraient être cohérentes par rapport à celles applicables au titre de cette directive et devraient être en harmonie avec ces dernières. En outre, le cadre de supervision établi par le présent règlement devrait couvrir les fournisseurs de services d’informatique en nuage en l’absence d’un cadre horizontal de l’Union non spécifique à un secteur et établissant une autorité de supervision numérique.

(20) Pour garder la maîtrise totale des risques informatiques, les entités financières doivent disposer de capacités globales permettant une gestion solide et efficace des risques informatiques, ainsi que de politiques et de mécanismes spécifiques pour la notification des incidents liés à l’informatique, pour le test des systèmes, contrôles et processus informatiques, ainsi que pour la gestion des risques informatiques liés aux tiers prestataires de services informatiques ainsi qu’aux prestataires de services informatiques intra-groupe. Le seuil de résilience opérationnelle numérique du système financier devrait être relevé tout en permettant une application proportionnée des exigences tenant compte de leur nature, de leur ampleur, de leur complexité et de leur profil de risque global.

(21) Les seuils et les taxinomies de notification des incidents liés à l’informatique varient considérablement au niveau national. Bien que des bases communes puissent être dégagées grâce aux travaux pertinents menés par l’Agence de l’Union européenne pour la cybersécurité (ENISA)[9] et le groupe de coopération SRI pour les entités financières relevant de la directive (UE) 2016/1148, des approches divergentes sur les seuils et les taxinomies existent toujours ou peuvent apparaître pour les autres entités financières. Il en résulte de multiples exigences auxquelles les entités financières doivent se conformer, notamment lorsqu’elles sont actives dans plusieurs pays de l’Union et lorsqu’elles font partie d’un groupe financier. En outre, ces divergences peuvent entraver la création de nouveaux mécanismes uniformes ou centralisés au niveau de l’Union, qui accéléreraient le processus de notification et favoriseraient un échange rapide et sans entrave d’informations entre les autorités compétentes, ce qui est essentiel pour faire face aux risques informatiques en cas d’attaques à grande échelle susceptibles d’avoir des conséquences systémiques.

(21 bis) Afin de réduire la charge administrative des prestataires de services de paiement qui relèvent du présent règlement et de leur éviter des exigences de notification redondantes et complexes, les obligations de notification des incidents prévues par la directive (UE) 2015/2366 devraient cesser de s’appliquer. Dès lors, les établissements de crédit, les établissements de monnaie électronique et les établissements de paiement devraient notifier, conformément au présent règlement, tous les incidents opérationnels ou de sécurité liés ou non au paiement qui étaient précédemment notifiés au titre de la directive (UE) 2015/2366, que ces incidents soient liés à l’informatique ou non.

(22) Afin de permettre aux autorités compétentes de remplir leur rôle de surveillance en disposant d’une vue d’ensemble complète de la nature, de la fréquence, de l’importance et des conséquences des incidents liés à l’informatique, et afin d’améliorer l’échange d’informations entre les autorités publiques compétentes, y compris les autorités répressives et les autorités de résolution, il est nécessaire d’établir des règles pour parvenir à un régime solide de notification des incidents liés à l’informatique en y ajoutant les exigences qui remédient aux lacunes de la législation sectorielle sur les services financiers et de supprimer tout chevauchement et double emploi existant afin d’alléger les coûts. Il est donc essentiel d’harmoniser le régime de notification des incidents liés à l’informatique en imposant à toutes les entités financières de ▌les notifier ▌à leurs autorités compétentes au moyen d’un cadre rationalisé unique défini dans le présent règlement. En outre, les AES devraient être habilitées à préciser davantage les éléments nécessaires à la notification des incidents liés à l’informatique, tels que la taxinomie, les délais, les ensembles de données, les modèles et les seuils applicables.

(23) Les exigences en matière de tests de résilience opérationnelle numérique ont évolué dans certains sous-secteurs financiers au sein de plusieurs cadres nationaux parfois non coordonnés traitant les mêmes questions de manière différente. Cette situation entraîne une multiplication des coûts pour les entités financières transfrontières et pourrait entraver la reconnaissance mutuelle des résultats. L’absence de coordination des tests est donc susceptible de segmenter le marché unique.

(24) En outre, lorsqu’aucun test n’est requis, les vulnérabilités ne sont pas détectées, ce qui expose l’entité financière et, en fin de compte, la stabilité et l’intégrité du secteur financier à un risque plus élevé. Sans une intervention au niveau de l’Union, les tests de résilience opérationnelle numérique demeureraient parcellaires, et il n’y aurait aucune reconnaissance mutuelle des résultats des tests d’un pays à l’autre. En outre, puisqu’il est peu probable que d’autres sous-secteurs financiers adoptent de tels mécanismes à une échelle significative, ils passeraient à côté des avantages qui peuvent en découler, tels que la mise au jour des vulnérabilités et des risques, le test des capacités de défense et de la continuité des activités, et la confiance accrue des clients, des fournisseurs et des partenaires commerciaux. Pour remédier à ces chevauchements, divergences et lacunes, il est nécessaire d’établir des règles visant à coordonner les tests effectués par les entités financières et les autorités compétentes, ce qui facilitera la reconnaissance mutuelle des tests avancés pour les entités financières d’importance significative.

(25) La dépendance des entités financières à l’égard des services informatiques s’explique en partie par le fait qu’elles doivent s’adapter à l’émergence d’une économie mondiale numérique compétitive, accroître leur efficacité commerciale et répondre à la demande des consommateurs. La nature et l’ampleur de cette dépendance n’ont cessé d’évoluer ces dernières années, faisant baisser les coûts de l’intermédiation financière et permettant aux entités financières de s’étendre et de déployer leurs activités à plus grande échelle, tout en disposant d’un large éventail d’outils informatiques pour gérer des processus internes complexes.

(26) Cette utilisation étendue des services informatiques est attestée par des accords contractuels complexes, dans le cadre desquels les entités financières ont souvent du mal à négocier des conditions contractuelles adaptées aux normes prudentielles ou autres exigences réglementaires auxquelles elles sont soumises, ou encore à faire respecter des droits spécifiques, tels que les droits d’accès ou d’audit, lorsque ces derniers sont inscrits dans les accords. En outre, nombre de ces contrats ne prévoient pas de garanties suffisantes pour permettre un véritable suivi des processus de sous-externalisation, privant ainsi l’entité financière de sa capacité à évaluer les risques associés. De plus, comme les tiers prestataires de services informatiques fournissent souvent des services standardisés à différents types de clients, ces contrats ne répondent pas toujours de manière appropriée aux besoins individuels ou particuliers des acteurs du secteur financier.

(27) Malgré l’existence de règles générales sur l’externalisation dans certains actes législatifs de l’Union relatifs aux services financiers, le suivi de la dimension contractuelle n’est pas pleinement consacré dans la législation de l’Union. En l’absence de normes de l’Union claires et adaptées applicables aux accords contractuels conclus avec des tiers prestataires de services informatiques, la source extérieure du risque informatique n’est pas traitée de manière exhaustive. Par conséquent, il est nécessaire de définir certains principes clés pour encadrer la gestion, par les entités financières, du risque lié aux tiers prestataires de services informatiques, en les assortissant d’un ensemble de droits contractuels fondamentaux ayant trait à plusieurs éléments de l’exécution et de la résiliation des contrats, en vue de consacrer certaines garanties minimales renforçant la capacité des entités financières à assurer un suivi efficace de tous les risques qui se posent au niveau des tiers prestataires de services informatiques.

(28) Il existe un manque d’homogénéité et de convergence en ce qui concerne les risques liés aux tiers prestataires de services informatiques et la dépendance à l’égard de ceux-ci. Malgré certains efforts pour couvrir le domaine spécifique de l’externalisation, tels que les recommandations de 2017 sur l’externalisation vers des fournisseurs de services en nuage[10], la question du risque systémique qui peut être déclenché par l’exposition du secteur financier à un nombre limité de tiers prestataires critiques de services informatiques est à peine abordée dans la législation de l’Union. Cette lacune au niveau de l’Union est aggravée par l’absence de mandats et d’outils spécifiques qui permettraient aux autorités de surveillance nationales d’acquérir une solide compréhension des relations de dépendance à l’égard des tiers prestataires de services informatiques et d’assurer un suivi adéquat des risques découlant de la concentration de ces relations de dépendance.

(29) Compte tenu des risques systémiques potentiels induits par les pratiques accrues d’externalisation et par la concentration des dépendances à l’égard des tiers prestataires de services informatiques, et eu égard à l’insuffisance des mécanismes nationaux permettant aux autorités de surveillance financière de quantifier et de qualifier les risques informatiques liés aux tiers prestataires critiques de services informatiques et de remédier à leurs conséquences, il est nécessaire de mettre en place au niveau de l’Union un cadre de supervision approprié permettant d’assurer un suivi continu des activités des tiers prestataires de services informatiques qui sont des prestataires de services critiques pour les entités financières. Étant donné que la fourniture de services informatiques intra-groupe ne comporte pas les mêmes risques, les prestataires de services informatiques qui font partie du même groupe ou du même système de protection institutionnel ne devraient pas être considérés comme des tiers prestataires critiques de services informatiques.

(30) Face à la complexité et à la sophistication croissantes des menaces informatiques, l’efficacité des mesures de détection et de prévention dépend dans une large mesure de l’échange régulier de renseignements sur les menaces et les vulnérabilités entre les entités financières. Le partage d’informations contribue à accroître la sensibilisation aux cybermenaces, laquelle renforce à son tour la capacité des entités financières à empêcher les menaces de se concrétiser en incidents réels et leur permet de mieux contenir les effets des incidents liés à l’informatique et de se rétablir plus efficacement. En l’absence d’orientations au niveau de l’Union, plusieurs facteurs semblent avoir entravé ce partage de renseignements, notamment l’incertitude quant à la compatibilité avec les règles en matière de protection des données, de pratiques anticoncurrentielles et de responsabilité. Il est donc important de consolider les accords de coopération et la notification au sein des entités financières et des autorités compétentes ainsi que le partage d’informations avec le public afin de définir un cadre ouvert de partage de renseignements et une approche dite de «sécurité dès le stade de la conception», qui sont des éléments essentiels pour accroître la résilience opérationnelle et mieux préparer le secteur financier à faire face aux risques informatiques. Les dispositifs de partage d’informations devraient toujours prendre dûment en compte les risques potentiels liés à la cybersécurité, à la protection des données ou à la confidentialité commerciale.

(31) En outre, les incertitudes quant au type d’informations qui peuvent être partagées avec d’autres acteurs du marché ou avec des autorités non chargées de la surveillance (telles que l’ENISA, à des fins d’analyse, ou Europol, à des fins répressives) aboutissent à la rétention d’informations utiles. L’étendue et la qualité du partage d’informations demeurent limitées et fragmentées, puisque les échanges pertinents ont lieu principalement au niveau local (dans le cadre d’initiatives nationales) et qu’il n’existe aucun dispositif cohérent de partage d’informations à l’échelle de l’Union adapté aux besoins d’un secteur financier intégré. Il est donc important de consolider ces canaux de communication et, si nécessaire, de consulter les autorités non chargées de la surveillance tout au long du cycle de surveillance.

(32) Les entités financières devraient également être encouragées à exploiter ensemble les connaissances et l'expérience pratique de chacune d'entre elles aux niveaux stratégique, tactique et opérationnel en vue de renforcer leur capacité à évaluer et surveiller de manière adéquate les cybermenaces, ainsi qu’à s’en prémunir et à y répondre. Il est donc nécessaire de favoriser l’émergence, au niveau de l’Union, de mécanismes volontaires de partage d’informations qui, employés dans des environnements de confiance, permettraient à la communauté financière de prévenir les menaces et d’y répondre collectivement en limitant rapidement la propagation des risques informatiques et en empêchant une éventuelle contagion à travers les canaux financiers. Ces mécanismes devraient être employés en parfaite conformité avec les règles applicables du droit de la concurrence de l’Union[11] ainsi que d’une manière qui garantisse le plein respect des règles de l’Union en matière de protection des données, principalement le règlement (UE) 2016/679 du Parlement européen et du Conseil[12], en particulier dans le cadre du traitement de données à caractère personnel qui est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, tel que visé à l’article 6, paragraphe 1, point f), dudit règlement.

(33) Nonobstant la large couverture prévue par le présent règlement, l’application des règles en matière de résilience opérationnelle numérique ainsi que des exigences du cadre de gestion des risques devrait tenir compte des différences notables entre les entités financières du point de vue de la taille, de la nature, de la complexité et du profil de risque. En règle générale, lorsqu’elles allouent des ressources et des capacités à la mise en œuvre du cadre de gestion des risques informatiques, les entités financières devraient assurer un juste équilibre entre leurs besoins liés à l’informatique et leur taille, leur nature, leur complexité, leur profil d’activité et leur profil de risque relatif, tandis que les autorités compétentes devraient poursuivre l’évaluation et le réexamen de l’approche suivie pour cette répartition.

(34) Étant donné que les grandes entités financières tendent à disposer de ressources plus importantes et à être en mesure de mobiliser rapidement des fonds pour développer des structures de gouvernance et établir diverses stratégies d’entreprise, seules les entités financières qui ne sont pas des microentreprises au sens du présent règlement devraient être tenues de mettre en place des dispositifs de gouvernance plus complexes. Ces entités sont notamment mieux armées pour mettre en place des fonctions de gestion dédiées à la surveillance des accords avec les tiers prestataires de services informatiques ou à la gestion des crises, pour organiser leur gestion des risques informatiques selon le modèle reposant sur trois lignes de défense, ou pour adopter un document relatif aux ressources humaines exposant de manière exhaustive les politiques en matière de droits d’accès.

De même, seules ces entités financières devraient être tenues d’effectuer des évaluations approfondies après des changements majeurs dans les infrastructures de réseau et de système d’information et les procédures, de procéder régulièrement à des analyses de risque sur les systèmes informatiques patrimoniaux, ou d’étendre les tests des plans de continuité des activités et des plans de réponse et rétablissement pour tenir compte des scénarios de basculement depuis leur infrastructure informatique principale vers les installations redondantes.

(35) En outre, étant donné que seules les entités reconnues comme étant d’importance significative aux fins des tests de résilience numérique avancés devraient être tenues de procéder à des tests de pénétration fondés sur la menace, les processus administratifs et les coûts financiers induits par la réalisation de ces tests devraient être dévolus à un petit pourcentage d’entités financières. Enfin, en vue d’alléger les charges réglementaires, seules les entités financières qui ne sont pas des microentreprises devraient être priées de communiquer régulièrement aux autorités compétentes tous les coûts et pertes estimés causés par des perturbations informatiques importantes, les incidents majeurs liés à l’informatique, ainsi que les résultats des examens post-incident effectués à la suite de ces perturbations informatiques ▌.

(36) Pour garantir un alignement complet et une cohérence globale entre les stratégies d’entreprise des entités financières, d’une part, et la mise en œuvre de la gestion des risques informatiques, d’autre part, l’organe de direction devrait être tenu de conserver un rôle actif et déterminant dans la conduite et l’adaptation du cadre de gestion des risques informatiques et de la stratégie globale de résilience numérique. L’approche adoptée par l’organe de direction devrait non seulement être axée sur les moyens de garantir la résilience des systèmes informatiques, mais également couvrir les personnes et les processus au travers d’un ensemble de politiques qui suscitent, à chaque niveau de l’entreprise et auprès de l’ensemble du personnel, une prise de conscience aiguë des cyberrisques et un engagement à respecter une hygiène informatique rigoureuse à tous les niveaux.

La responsabilité ultime de l’organe de direction dans la gestion des risques informatiques d’une entité financière devrait constituer un principe fondamental de cette approche globale, concrétisé par l’engagement continu de l’organe de direction dans le contrôle du suivi de la gestion des risques informatiques.

(37) De plus, l’entière responsabilité de l’organe de direction va de pair avec la mobilisation d’investissements dans les TIC et d’un budget global suffisants pour permettre à l’entité financière d’atteindre son niveau de référence en matière de résilience opérationnelle numérique.

(38) S’inspirant des normes, lignes directrices, recommandations ou approches internationales, nationales et sectorielles pertinentes en matière de gestion du cyberrisque[13], le présent règlement promeut un ensemble de fonctions destinées à faciliter la structuration globale de la gestion des risques informatiques. Tant que les principales capacités mises en place par les entités financières permettent de répondre aux besoins associés aux objectifs poursuivis par les fonctions (identification, protection et prévention, détection, réponse et rétablissement, apprentissage et évolution et communication) définies dans le présent règlement, les entités financières restent libres d’utiliser des modèles de gestion des risques informatiques qui sont formulés ou classés différemment.

(39) Afin de rester en phase avec l’évolution des cybermenaces, les entités financières devraient maintenir des systèmes informatiques à jour qui soient fiables et dotés d’une capacité suffisante non seulement pour garantir le traitement des données nécessaire à la prestation de leurs services, mais aussi pour assurer une résilience technologique permettant aux entités financières de faire face de manière adéquate aux besoins de traitement supplémentaires qui pourraient résulter d’épisodes de tensions sur les marchés ou d’autres situations défavorables. Bien que le présent règlement ne requière aucune normalisation de systèmes, d’outils ou de technologies informatiques spécifiques, il repose sur le recours approprié, par les entités financières, aux normes techniques (par exemple, ISO) ou aux bonnes pratiques du secteur reconnues à l’échelle européenne et internationale, dans la mesure où ce recours est pleinement conforme aux instructions spécifiques des autorités de surveillance relatives à l’utilisation et à l’incorporation des normes internationales.

(40) Des plans efficaces de continuité des activités et de rétablissement sont nécessaires pour permettre aux entités financières de résoudre immédiatement et rapidement les incidents liés à l’informatique, en particulier les cyberattaques, en limitant les dégâts et en donnant la priorité à la reprise des activités et aux mesures de rétablissement, en tenant compte du caractère critique ou important de la fonction. Toutefois, si les systèmes de sauvegarde doivent entamer le traitement sans retard injustifié, ce démarrage ne doit en aucun cas compromettre l’intégrité et la sécurité des réseaux et des systèmes d’information ni la confidentialité des données.

(41) Si le présent règlement laisse aux entités financières une certaine latitude pour définir des objectifs en matière de délai de rétablissement et, partant, pour fixer ces objectifs en tenant pleinement compte de la nature et de la criticité de la fonction concernée et de tout besoin opérationnel spécifique, une évaluation des incidences globales potentielles sur l’efficience du marché devrait également être exigée lors de la détermination de ces objectifs.

(42) Les répercussions importantes des cyberattaques sont exacerbées lorsqu’elles se produisent dans le secteur financier, un domaine beaucoup plus à risque d’être la cible de propagateurs malveillants cherchant des gains financiers directement à la source. Pour atténuer ces risques et prévenir toute perte d’intégrité des systèmes informatiques, toute indisponibilité de ceux-ci, toute violation de données confidentielles ou tout dommage à l’infrastructure informatique physique, les entités financières devraient améliorer considérablement la notification des incidents majeurs liés à l’informatique.

La notification des incidents liés à l’informatique devrait être harmonisée pour toutes les entités financières en exigeant de celles-ci qu’elles les notifient seulement à leur autorité compétente. Toutes les entités financières seront soumises à cette obligation de notification, mais elles ne devraient pas toutes être concernées de la même manière, puisque les seuils d’importance significative et les délais pertinents devraient être fixés de manière à ne rendre compte que des incidents majeurs liés à l’informatique. La notification directe permettrait aux autorités de surveillance financière d’avoir accès aux informations sur les incidents liés à l’informatique. Néanmoins, les autorités de surveillance financière devraient transmettre ces informations aux autorités publiques non financières (autorités compétentes en matière de sécurité des réseaux et des systèmes d’information, autorités nationales de protection des données et services répressifs pour les incidents de nature criminelle). Les informations sur les incidents liés à l’informatique devraient être communiquées sur une base mutuelle: les autorités de surveillance financière devraient fournir tous les retours d’information ou orientations nécessaires à l’entité financière, tandis que les AES devraient partager des données anonymisées sur les menaces et les vulnérabilités liées à un événement afin de contribuer à la défense collective au sens large.

(43) Il conviendrait d’étudier la possibilité de centraliser les rapports sur les incidents liés à l’informatique en créant un pôle central de l’UE unique pour la notification des incidents majeurs liés à l’informatique, qui soit recevrait directement les rapports pertinents et en informerait automatiquement les autorités nationales compétentes, soit se contenterait de centraliser les rapports que lui transmettraient les autorités nationales compétentes et assumerait un rôle de coordination. Les AES devraient être chargées d’élaborer, en consultation avec la BCE et l’ENISA, pour une certaine date, un rapport conjoint évaluant la faisabilité de la création d’un tel pôle central de l’UE.

(44) Dans le but de garantir une solide résilience opérationnelle numérique, et conformément aux normes internationales (par exemple, les éléments fondamentaux du G7 concernant les tests de pénétration fondés sur la menace), les entités financières qui ne sont pas des microentreprises devraient tester régulièrement leurs systèmes informatiques et leur personnel pour évaluer l’efficacité de leurs capacités de prévention, de détection, de réponse et de rétablissement, afin de repérer les vulnérabilités potentielles des TIC et d’y remédier. Afin de tenir compte des différences qui existent entre les sous-secteurs financiers et au sein de ceux-ci en ce qui concerne l’état de préparation des entités financières en matière de cybersécurité, les tests devraient comprendre un large éventail d’outils et d’actions, allant d’une évaluation des exigences de base (par exemple, évaluations et analyses de la vulnérabilité, analyses des sources ouvertes, évaluations de la sécurité des réseaux, analyses des lacunes, examens de la sécurité physique, questionnaires et solutions logicielles d’analyse, examens du code source lorsque cela est possible, tests fondés sur des scénarios, tests de compatibilité, tests de performance ou tests de bout en bout) à des tests plus avancés (par exemple, tests de pénétration fondés sur la menace pour les entités financières suffisamment matures du point de vue des TIC pour être capables d’effectuer de tels tests). Les tests de résilience opérationnelle numérique devraient donc être plus exigeants pour les entités financières d’importance significative (telles que les grands établissements de crédit, les bourses, les dépositaires centraux de titres, les contreparties centrales, etc.) Dans le même temps, les tests de résilience opérationnelle numérique devraient être plus pertinents pour certains sous-secteurs qui jouent un rôle systémique essentiel (par exemple les paiements, les services bancaires, les services de compensation et de règlement), et moins pertinents pour d’autres sous-secteurs (par exemple, les gestionnaires d’actifs, les agences de notation de crédit, etc.) Les entités financières transfrontières qui exercent leur liberté d’établissement ou de prestation de services dans l’Union devraient se conformer à un ensemble unique d’exigences de tests avancés (tests de pénétration fondés sur la menace) dans leur État membre d’origine, et ces tests devraient englober toutes les infrastructures informatiques que ces groupes transfrontières détiennent dans les différentes juridictions dans lesquelles ils opèrent au sein de l’Union, ce qui leur permettrait de ne supporter les coûts associés aux tests que dans une seule juridiction. En outre, pour renforcer la coopération avec les pays tiers de confiance dans le domaine de la résilience des entités financières, la Commission et les autorités compétentes devraient s’efforcer de mettre en place un cadre de reconnaissance mutuelle des résultats des tests de pénétration fondés sur la menace.

Les États membres devraient désigner une autorité publique unique chargée des tests de pénétration fondés sur la menace dans le secteur financier au niveau national. L’autorité publique unique pourrait être, notamment, une autorité nationale compétente ou une autorité publique désignée conformément à l’article 8 de la directive (UE) 2016/1148 (SRI). L’autorité publique unique devrait être chargée de délivrer les attestations indiquant que le test de pénétration fondé sur la menace a été effectué conformément aux exigences. Ces attestations devraient faciliter la reconnaissance mutuelle des tests entre les autorités compétentes.

Certaines entités financières disposent des capacités nécessaires pour effectuer des tests avancés internes alors que d’autres auront recours à des testeurs externes de l’Union ou d’un pays tiers. Par conséquent, il importe que des exigences précises identiques s’appliquent à tous les testeurs. Afin de garantir l’indépendance des testeurs internes, le recours à ceux-ci devrait être approuvé par l’autorité compétente.

La méthode employée dans le cadre des tests de pénétration fondés sur la menace ne devrait pas être imposée, mais il conviendrait de considérer le recours au cadre TIBER-EU existant comme étant conforme aux exigences définies dans le présent règlement pour les tests de pénétration fondés sur la menace.

Jusqu’à l’entrée en vigueur du présent règlement et jusqu’à l’élaboration et à l’adoption par les AES des normes techniques de réglementation qui seront imposées pour les tests de pénétration fondés sur la menace, les entités financières devraient suivre les lignes directrices et les cadres pertinents de l’Union qui s’appliquent aux tests de pénétration fondés sur le renseignement, lesquels seront toujours d’application lorsque le présent règlement sera entré en vigueur.

(44 bis) La réalisation des tests de pénétration fondés sur la menace ainsi que la gestion de la cybersécurité en général et la prévention des cyberattaques devraient continuer de relever de la responsabilité intégrale de l’entité financière et les attestations délivrées par les autorités ne devraient l’être qu’à des fins de reconnaissance mutuelle et n’empêcher aucune action de suivi sur le niveau de risque informatique auquel l’entité financière est exposée ni être considérées comme une confirmation de ses capacités de gestion et d’atténuation des risques informatiques.

(45) Afin d’assurer un suivi efficace du risque lié aux tiers prestataires de services informatiques, il convient d’établir un ensemble de règles de principe destinées à guider les entités financières dans le suivi des risques engendrés par l’externalisation de fonctions à des tiers prestataires de services informatiques, en particulier en ce qui concerne la prestation de fonctions critiques ou importantes par des tiers prestataires de services informatiques, et, plus généralement, par les relations de dépendance à l’égard de tiers prestataires de services informatiques.

(46) Une entité financière devrait à tout moment demeurer pleinement responsable du respect des obligations qui découlent du présent règlement. Un suivi proportionné des risques survenant au niveau du tiers prestataire de services informatiques devrait être assuré en tenant dûment compte de la nature, de l’ampleur, de la complexité et de l’importance des relations de dépendance liées à l’informatique, de la criticité ou de l’importance des services, processus ou fonctions faisant l’objet des accords contractuels et, enfin, en procédant à une évaluation minutieuse de toute incidence potentielle sur la continuité et la qualité des services financiers au niveau individuel et au niveau du groupe, selon le cas, ainsi qu’en fonction du fait que les services informatiques sont fournis par un prestataire de services intra-groupe ou par un prestataire tiers.

(47) La réalisation de ce suivi devrait se fonder sur une approche stratégique du risque lié aux tiers prestataires de services informatiques, laquelle serait formalisée par l’adoption, par l’organe de direction de l’entité financière, d’une stratégie dédiée reposant sur une analyse continue de toutes les relations de dépendance à l’égard des tiers prestataires de services informatiques. Afin que les autorités de surveillance cernent mieux les relations de dépendance à l’égard de tiers prestataires de services informatiques, et en vue de consolider le cadre de supervision établi par le présent règlement, les autorités de surveillance financière devraient recevoir régulièrement des informations essentielles provenant des registres et devraient pouvoir en demander des extraits de manière ponctuelle.

(48) Une analyse précontractuelle approfondie devrait étayer et précéder la conclusion formelle des accords contractuels, tandis que des mesures correctives, qui peuvent comprendre la résiliation partielle ou totale des contrats, devraient être prises dans le cas où un ensemble minimal de circonstances révèlerait des insuffisances graves chez le tiers prestataire de services informatiques.

(49) Afin de remédier à l’effet systémique du risque de concentration des tiers prestataires de services informatiques, il convient de privilégier une solution équilibrée reposant sur une approche souple et progressive, car des plafonds rigides ou des limitations strictes seraient susceptibles d’entraver la conduite des affaires et la liberté contractuelle. Les entités financières devraient procéder à une évaluation rigoureuse des accords contractuels afin de déterminer la probabilité qu’un tel risque apparaisse, y compris au moyen d’analyses approfondies des accords de sous-externalisation▐. À ce stade, et en vue de trouver un juste équilibre entre la nécessité de préserver la liberté contractuelle et celle de garantir la stabilité financière, il n’est pas jugé approprié de définir des plafonds et des limites stricts pour les expositions aux tiers prestataires de services informatiques. Il convient plutôt que l’organe de supervision conjoint qui assure la supervision de chaque tiers prestataire critique de services informatiques et l’AES désignée pour assurer la supervision quotidienne (le «superviseur principal») veillent tout particulièrement, dans l’exercice de leurs fonctions de supervision, à saisir pleinement l’ampleur des interdépendances et à détecter les cas spécifiques dans lesquels un degré élevé de concentration de tiers prestataires critiques de services informatiques dans l’Union est susceptible de mettre à mal la stabilité et l’intégrité du système financier de l’Union, et qu’ils prévoient un dialogue avec les tiers prestataires critiques de services informatiques lorsque ce risque est avéré[14].

(50) Afin de pouvoir évaluer et contrôler régulièrement la capacité du tiers prestataire de services informatiques à fournir en toute sécurité des services à l’entité financière sans effets préjudiciables sur la résilience de cette dernière, il convient d’harmoniser des éléments contractuels clés tout au long de l’exécution des contrats avec les tiers prestataires de services informatiques. Ces éléments couvrent uniquement les aspects contractuels minimaux considérés comme fondamentaux pour permettre à l’entité financière d’assurer un suivi complet dans le but de garantir sa résilience numérique, qui dépend de la stabilité et de la sécurité du service informatique.

(51) Les accords contractuels devraient notamment comporter une description complète des fonctions et des services, des lieux où ces fonctions sont assurées et où les données sont traitées, ainsi qu’une description complète des niveaux de service, accompagnée d’objectifs de performance quantitatifs et qualitatifs correspondant aux niveaux de service convenus, afin de permettre à l’entité financière de procéder à un suivi efficace. Dans le même ordre d’idées, les dispositions relatives à l’accessibilité, la disponibilité, l’intégrité, la sécurité et la protection des données à caractère personnel, ainsi que les garanties d’accès, de récupération et de restitution en cas d’insolvabilité, de résolution, d’interruption des activités commerciales du tiers prestataire de services informatiques ou de résiliation des accords contractuels doivent également être considérées comme des éléments fondamentaux pour permettre à une entité financière d’assurer le suivi du risque lié aux tiers.

(52) Afin que les entités financières conservent la pleine maîtrise de toutes les évolutions susceptibles de nuire à leur sécurité informatique, il convient que soient définis les délais de préavis et les obligations de notification incombant au tiers prestataire de services informatiques en cas d’évolutions susceptibles d’avoir une incidence significative sur la capacité de ce dernier à remplir efficacement des fonctions critiques ou importantes, y compris la fourniture, sans frais supplémentaires ou à un coût déterminé ex ante, d’une assistance en cas d’incident lié à l’informatique qui concerne les services fournis par le tiers prestataire de services informatiques à l’entité financière aux niveaux de service convenus. Les services informatiques accessoires desquels les entités financières ne sont pas dépendantes au niveau opérationnel ne sont pas couverts par le présent règlement.

En outre, la définition de «fonction critique ou importante» figurant dans le présent règlement devrait englober la définition des «fonctions critiques» figurant à l’article 2, alinéa 1, point 35), de la directive 2014/59/UE du Parlement européen et du Conseil du 15 mai 2014[15]. Par conséquent, les fonctions qui sont considérées comme des fonctions critiques en vertu de la directive 2014/59/UE devraient être considérées comme des fonctions critiques ou importantes au sens du présent règlement.

 

(53) En cas d’accords contractuels conclus pour des fonctions critiques ou importantes, les droits d’accès, d’inspection et d’audit accordés à l’entité financière ou à une tierce partie désignée constituent des outils essentiels pour permettre aux entités financières d’assurer un suivi permanent des performances du tiers prestataire de services informatiques, parallèlement à la coopération totale de ce dernier lors des inspections. Dans le même ordre d’idées, l’organe de supervision conjoint et le superviseur principal de l’entité financière devraient être habilités, moyennant préavis, à inspecter et à auditer le tiers prestataire de services informatiques, dans le respect de la confidentialité et en veillant à ne pas perturber les services fournis à d’autres clients du tiers prestataire de services informatiques. L’entité financière et le tiers prestataire de services informatiques devraient pouvoir convenir que les droits d’accès, d’inspection et d’audit peuvent être délégués à un tiers indépendant.

(54) Les accords contractuels devraient établir des droits de résiliation clairs et des préavis minimaux correspondants, ainsi que des stratégies de sortie spécifiques prévoyant, en particulier, des périodes de transition obligatoires pendant lesquelles les tiers prestataires de services informatiques seraient tenus de continuer à assumer les fonctions concernées en vue de réduire le risque de perturbations au niveau de l’entité financière ou de permettre à celle-ci de changer de tiers prestataire de services informatiques, ou encore de recourir à des solutions internes, en fonction de la complexité du service fourni. De plus, les établissements de crédit devraient garantir que les contrats pertinents liés aux TIC sont solides et pleinement exécutoires en cas de résolution de l’établissement de crédit. Conformément aux attentes des autorités de résolution, les établissements de crédit devraient garantir que les contrats de services informatiques pertinents sont résilients en matière de résolution. Tant que des fonctions informatiques critiques ou importantes continuent d’être exécutées, ces entités financières devraient garantir que les contrats comportent, entre autres exigences, des clauses de non-résiliation, de non-suspension et de non-modification pour des motifs de restructuration ou de résolution.

(55) En outre, le recours volontaire aux clauses contractuelles types élaborées par la Commission pour les services d’informatique en nuage pourrait procurer un degré accru de confiance aux entités financières et à leurs tiers prestataires de services informatiques, en améliorant le niveau de sécurité juridique relatif à l’utilisation des services d’informatique en nuage par le secteur financier, dans le respect total des exigences et des attentes définies par la réglementation sur les services financiers. Ce travail s’appuie sur les mesures déjà envisagées dans le plan d’action 2018 pour les technologies financières, dans lequel la Commission a annoncé son intention d’encourager et de faciliter l’élaboration de clauses contractuelles types pour l’externalisation des activités d’informatique en nuage par les entités financières, en s’appuyant sur les efforts des parties prenantes de l’informatique en nuage au niveau transsectoriel, que la Commission a facilités grâce à la participation du secteur financier.

(55 bis) Les AES devraient être chargées d’élaborer des normes techniques d’exécution et des normes de réglementation précisant les attentes des stratégies relatives à la gestion des risques liés aux tiers prestataires de services informatiques et aux exigences contractuelles. Jusqu’à l’entrée en vigueur de ces normes, les entités financières devraient suivre les lignes directrices et les autres mesures pertinentes publiées par les AES et les autorités compétentes.

(56) Afin de promouvoir la convergence et l’efficacité des approches des autorités de surveillance en matière de risques liés aux tiers prestataires de services informatiques dans le secteur financier, de renforcer la résilience opérationnelle numérique des entités financières qui dépendent de tiers prestataires critiques de services informatiques pour l’exécution de fonctions opérationnelles, et de contribuer ainsi à préserver la stabilité du système financier de l’Union et l’intégrité du marché unique des services financiers, les tiers prestataires critiques de services informatiques devraient être soumis à un cadre de supervision de l’Union.

(57) Étant donné que seuls les tiers prestataires critiques de services nécessitent un traitement particulier, un mécanisme de désignation aux fins de l’application du cadre de supervision de l’Union devrait être mis en place pour tenir compte de la dimension et de la nature de la dépendance du secteur financier à l’égard de ces tiers prestataires de services informatiques. Ce mécanisme consisterait en un ensemble de critères quantitatifs et qualitatifs qui définiraient les paramètres de criticité servant de référence aux fins de l’inclusion dans le cadre de supervision. Les tiers prestataires critiques de services informatiques qui ne sont pas automatiquement désignés par suite de l’application des critères susmentionnés devraient avoir la possibilité d’adhérer volontairement au cadre de supervision, tandis que les tiers prestataires de services informatiques qui sont déjà soumis à des cadres de supervision qui aident l’Eurosystème à accomplir ses missions énoncées à l’article 127, paragraphe 2, du traité sur le fonctionnement de l’Union européenne devraient par conséquent en être exemptés. De même, les entreprises qui font partie d’un groupe financier et qui fournissent des services informatiques exclusivement à des entités financières au sein du même groupe financier ne devraient pas être soumises au mécanisme de désignation des entreprises critiques.

(58) L’exigence que les tiers prestataires de services informatiques qui ont été désignés comme critiques soient constitués dans l’Union n’équivaut pas à une localisation des données puisque le présent règlement ne comporte aucune autre exigence concernant le stockage ou le traitement des données à effectuer dans l’Union. L’obligation de disposer d’une entreprise constituée dans l’Union, telle qu’une filiale, en vertu du droit d’un État membre vise à fournir un point de contact entre le tiers prestataire de services informatiques, d’une part, et le superviseur principal et l’organe de supervision conjoint, d’autre part, et à veiller à ce que le superviseur principal et l’organe de supervision conjoint soient en mesure de mener à bien les tâches qui leur incombent et d’exercer leurs pouvoirs de supervision et d’exécution tel que le prévoit le présent règlement. Les services confiés au tiers prestataire de services informatiques ne doivent pas nécessairement être réalisés par son entité installée dans l’Union.

(58 bis) En raison de l’incidence significative que le fait d’être désigné comme une entité critique pourrait avoir sur les tiers prestataires de services informatiques, il conviendrait d’imposer aux AES et à l’organe de supervision conjoint l’obligation de prévoir un droit d’audition préalable afin de prendre dûment en considération toute information supplémentaire fournie par les tiers prestataires de services informatiques au cours du processus de désignation.

(59) Le cadre de supervision devrait être sans préjudice de la compétence des États membres à mener leurs propres missions de supervision des tiers prestataires de services informatiques qui ne sont pas critiques au titre du présent règlement, mais qui pourraient être jugés importants au niveau national.

(60) Afin de tirer parti de l’architecture institutionnelle à plusieurs niveaux actuellement en place dans le domaine des services financiers, le comité mixte des AES devrait continuer à assurer la coordination intersectorielle globale pour toutes les questions relatives aux risques informatiques, conformément aux tâches qui lui incombent en matière de cybersécurité, en confiant à l’organe de supervision conjoint récemment institué l’adoption des décisions individuelles à l’adresse des tiers prestataires critiques de services informatiques et des recommandations collectives, en ce qui concerne notamment l’analyse comparative des programmes de supervision des tiers prestataires critiques de services informatiques et l’identification des bonnes pratiques pour parer aux risques de concentration informatique.

(61) Afin que les tiers prestataires de services informatiques qui jouent un rôle critique dans le fonctionnement du secteur financier fassent l’objet d’une supervision appropriée à l’échelle de l’Union, l’organe de supervision conjoint devrait être institué pour assurer la supervision directe des tiers prestataires de services informatiques. En outre, l’une des AES devrait être désignée comme superviseur principal pour chaque tiers prestataire critique de services informatiques afin d’assurer et de coordonner la supervision quotidienne et les travaux d’enquête, de faire office de point de contact unique et de garantir la continuité. L’organe de supervision conjoint et le superviseur principal devraient travailler de concert pour assurer une supervision quotidienne efficiente et une approche intégrée du processus décisionnel et des recommandations.

(62) Les superviseurs principaux devraient être investis des pouvoirs nécessaires pour mener des enquêtes, des inspections sur place ▌auprès des tiers prestataires critiques de services informatiques, accéder à tous les locaux et sites pertinents et obtenir des informations complètes et actualisées afin de leur permettre de se faire une idée précise du type, de la dimension et des incidences du risque que les tiers prestataires de services informatiques représentent pour les entités financières et, en définitive, pour le système financier de l’Union.

(62 bis) Il est indispensable de placer l’organe de supervision conjoint à la tête de la supervision directe afin de cerner et de prendre en compte la dimension systémique du risque informatique dans le secteur financier. L’envergure dans l’Union des tiers prestataires critiques de services informatiques et les problèmes éventuels liés au risque de concentration informatique qui en découlent nécessitent l’adoption d’une approche collective au niveau de l’Union. Une multiplicité d’audits et de droits d’accès, exercés séparément par de nombreuses autorités compétentes avec une coordination limitée, voire inexistante, ne permettrait pas de disposer d’une vue d’ensemble exhaustive du risque lié aux tiers prestataires de services informatiques, tandis qu’elle engendrerait une redondance, des charges et une complexité inutiles pour les tiers prestataires critiques de services informatiques confrontés à cette multiplicité des requêtes.

(63) L’organe de supervision conjoint devrait avoir la possibilité d’émettre des recommandations sur les risques informatiques et les mesures correctives appropriées, y compris en s’opposant à certains accords contractuels susceptibles d’affecter à terme la stabilité de l’entité financière ou du système financier. Le respect de ces recommandations de fond formulées par l’organe de supervision conjoint devrait être dûment pris en considération par les autorités nationales compétentes dans le cadre de leur fonction de surveillance prudentielle des entités financières. Avant la finalisation de ces recommandations, les tiers prestataires critiques de services informatiques devraient avoir la possibilité de fournir des informations dont ils pensent raisonnablement qu’elles devraient être prises en compte avant que la recommandation ne soit finalisée et publiée.

(63 bis) Afin d’éviter les doubles emplois et les contradictions avec les mesures techniques et organisationnelles qui s’appliquent aux tiers prestataires critiques de services informatiques, les superviseurs principaux et l’organe de supervision conjoint devraient tenir dûment compte du cadre créé par la directive (UE) 2016/1148 dans l’exercice de leurs pouvoirs conformément au cadre de supervision du présent règlement. Avant d’exercer ces pouvoirs, l’organe de supervision conjoint et le superviseur principal devraient consulter les autorités concernées compétentes en vertu de la directive (UE) 2016/1148.

(64) Le cadre de supervision ne remplace pas, ni ne se substitue en aucune façon, même partiellement, à la gestion, par les entités financières, du risque que comporte le recours à des tiers prestataires de services informatiques, y compris l’obligation d’assurer un suivi permanent de leurs accords contractuels conclus avec des tiers prestataires critiques de services informatiques, et ne change en rien l’entière responsabilité qui incombe aux entités financières de se conformer à toutes les exigences imposées par le présent règlement et par la législation applicable aux services financiers et de s’en acquitter. Afin d’éviter les doubles emplois et les chevauchements, les autorités compétentes devraient s’abstenir de prendre à titre individuel des mesures destinées à assurer le suivi des risques liés aux tiers prestataires critiques de services informatiques. Toute mesure de ce type devrait faire l’objet d’une coordination et d’un accord préalables dans le contexte du cadre de supervision.

(65) Dans le but de promouvoir la convergence au niveau international en ce qui concerne les bonnes pratiques à utiliser dans le cadre de l’examen de la gestion des risques numériques des tiers prestataires de services informatiques, les AES devraient être encouragées à conclure des accords de coopération avec les autorités compétentes de pays tiers en matière de surveillance et de réglementation afin de faciliter l’élaboration de bonnes pratiques pour parer aux risques liés aux tiers prestataires de services informatiques.

(66) Pour tirer parti de l’expertise technique des experts des autorités compétentes en matière de gestion des risques opérationnels et informatiques, les superviseurs principaux, lorsqu’ils mènent des enquêtes générales ou des inspections sur place, devraient s’appuyer sur l’expérience acquise au niveau national dans le domaine de la surveillance et mettre en place des équipes d’examen dédiées pour chaque tiers prestataire critique de services informatiques, en constituant des équipes multidisciplinaires pour contribuer à la préparation et à l’exécution effective des activités de supervision, y compris les inspections sur place auprès des tiers prestataires critiques de services informatiques, ainsi que les suites à leur donner.

(67) Les autorités compétentes devraient disposer de tous les pouvoirs de surveillance, d’enquête et de sanction nécessaires pour garantir l’application du présent règlement. Les sanctions administratives devraient, en principe, être rendues publiques. Étant donné que les entités financières et les tiers prestataires de services informatiques peuvent être établis dans des États membres différents et être soumis à la surveillance d’autorités compétentes sectorielles différentes, il convient d’assurer une coopération étroite entre les autorités compétentes concernées, y compris la BCE pour ce qui est des missions spécifiques qui lui sont conférées par le règlement (UE) nº 1024/2013 du Conseil[16], ainsi qu’en consultation avec les AES, par l’échange réciproque d’informations et la fourniture d’une assistance mutuelle dans l’exercice des activités de surveillance. Bien qu’il ne s’agisse pas d’une autorité compétente aux fins du présent règlement, le Conseil de résolution unique devrait néanmoins participer aux mécanismes d’échange mutuel d’informations en ce qui concerne les entités relevant du champ d’application du règlement (UE) nº 806/2014 du Parlement européen et du Conseil[17].

 

(68) Afin de mieux quantifier et qualifier les critères de désignation des tiers prestataires critiques de services informatiques et d’harmoniser les redevances de supervision, le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne devrait être délégué à la Commission afin de préciser: l’effet systémique qu’une défaillance d’un tiers prestataire de services informatiques pourrait avoir sur les entités financières auxquelles il fournit des services, le nombre d’établissements d’importance systémique mondiale (EISm) ou d’autres établissements d’importance systémique (autres EIS) qui dépendent du tiers prestataire de services informatiques concerné, le nombre de tiers prestataires de services informatiques actifs sur un marché spécifique, les coûts de la migration vers un autre tiers prestataire de services informatiques, le nombre d’États membres dans lesquels le tiers prestataire de services informatiques concerné fournit des services et dans lesquels les entités financières ayant recours au tiers prestataire de services informatiques concerné opèrent, ainsi que le montant des redevances de supervision et les modalités de leur paiement.

Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer»[18]. En particulier, pour assurer leur égale participation à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents au même moment que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission traitant de la préparation des actes délégués.

(69) Étant donné que le présent règlement, conjointement avec la directive (UE) 20xx/xx du Parlement européen et du Conseil[19], consiste en une consolidation des dispositions relatives à la gestion des risques informatiques énoncées dans de multiples règlements et directives de l’acquis de l’Union dans le domaine des services financiers, notamment les règlements (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014 et (UE) nº 909/2014, il convient, afin de garantir une cohérence totale, de modifier lesdits règlements pour y préciser que les dispositions pertinentes applicables aux risques informatiques sont énoncées dans le présent règlement.

Les orientations pertinentes publiées ou en cours de préparation par les AES sur l’application de ces règlements et directives devraient être examinées et révisées dans le cadre du processus de consolidation, de manière à ce que la base juridique qui sous-tend les exigences en matière de risques informatiques dans le droit de l’Union découle exclusivement du présent règlement, de ses actes d’exécution, des décisions prises et des recommandations formulées conformément à ses dispositions en ce qui concerne les entités relevant de son champ d’application.

(69 bis) Des normes techniques devraient garantir l’harmonisation cohérente des exigences prévues par le présent règlement. Il convient de charger les AES, en tant qu’organismes dotés de compétences très spécialisées, d’élaborer des projets de normes techniques de réglementation n’impliquant pas de choix politiques, en vue de les soumettre à la Commission. Des normes techniques de réglementation devraient être élaborées dans les domaines de la gestion des risques informatiques, de la notification, des tests et des exigences clés pour garantir un suivi solide des risques liés aux tiers prestataires de services informatiques. Lors de l’élaboration des projets de normes techniques de réglementation, les AES devraient tenir dûment compte de leur mandat par rapport aux aspects de proportionnalité et demander conseil à leurs comités consultatifs respectifs sur la proportionnalité, notamment en ce qui concerne l’application du présent règlement aux PME et aux entreprises à capitalisation moyenne.

(70) Il est particulièrement important que la Commission procède aux consultations appropriées au cours de ses travaux préparatoires, y compris au niveau des experts. La Commission et les AES devraient veiller à ce que toutes les entités financières puissent appliquer ces normes et exigences d’une manière proportionnée à la nature, à l’échelle et de la complexité de ces entités et de leurs activités.

(71) Afin de faciliter la comparabilité des rapports sur les incidents majeurs liés à l’informatique et de garantir la transparence des accords contractuels relatifs à l’utilisation de services informatiques fournis par des tiers prestataires de services informatiques, les AES devraient être chargées d’élaborer des projets de normes techniques d’exécution établissant des modèles, des formulaires et des procédures normalisés permettant aux entités financières de signaler un incident majeur lié à l’informatique, ainsi que des modèles normalisés pour le registre d’informations. Lors de l’élaboration de ces normes, les AES devraient prendre en considération la nature, la taille, la complexité et le profil d’activité des entités financières, ainsi que la nature et le niveau de risque de leurs activités. La Commission devrait être habilitée à adopter ces normes techniques d’exécution au moyen d’actes d’exécution en vertu de l’article 291 du traité sur le fonctionnement de l’Union européenne et conformément à l’article 15 des règlements (UE) nº 1093/2010, (UE) nº 1094/2010 et (UE) nº 1095/2010. Étant donné que des exigences supplémentaires ont déjà été définies au moyen d’actes délégués et d’actes d’exécution fondés sur des normes techniques de réglementation ou des normes techniques d’exécution dans les règlements (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014 et (UE) nº 909/2014, il convient de charger les AES, soit individuellement, soit conjointement par l’intermédiaire du comité mixte, de soumettre des normes techniques de réglementation et des normes techniques d’exécution à la Commission en vue de l’adoption d’actes délégués et d’actes d’exécution reprenant et actualisant les règles existantes en matière de gestion des risques informatiques.

(72) Cette démarche impliquera la modification ultérieure d’actes délégués et d’actes d’exécution existants adoptés dans différents domaines de la législation sur les services financiers. Le champ d’application des articles relatifs au risque opérationnel pour lesquels des délégations de pouvoirs dans ces actes prévoyaient l’adoption d’actes délégués et d’actes d’exécution devrait être modifié en vue de transférer dans le présent règlement toutes les dispositions relatives à la résilience opérationnelle numérique qui font actuellement partie de ces règlements.

(73) Étant donné que les objectifs du présent règlement, à savoir atteindre un niveau élevé de résilience opérationnelle numérique applicable à toutes les entités financières, ne peuvent pas être atteints de manière suffisante par les États membres, puisqu’ils supposent d’harmoniser une multitude de règles différentes qui figurent actuellement soit dans certains actes de l’Union, soit dans les systèmes juridiques des différents États membres, mais qu’ils peuvent, en raison de leurs dimensions et de leurs effets, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité tel qu’énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre ces objectifs.

ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:


 

CHAPITRE I

DISPOSITIONS GÉNÉRALES

Article premier

Objet

1. Le présent règlement établit les exigences uniformes suivantes relatives à la sécurité des réseaux et des systèmes d’information sous-tendant les processus opérationnels des entités financières, nécessaires pour atteindre un niveau commun élevé de résilience opérationnelle numérique, comme suit:

a) les exigences applicables aux entités financières en ce qui concerne:

 la gestion des risques liés aux technologies de l’information et de la communication (TIC);

 la notification, aux autorités compétentes, des incidents majeurs liés à l’informatique;

 la notification aux autorités compétentes, par les entités financières visées à l’article 2, paragraphe 1, points a) à c), des incidents opérationnels ou de sécurité majeurs liés au paiement;

 les tests de résilience opérationnelle numérique;

 le partage d’informations et de renseignements en rapport avec les cybermenaces et les cybervulnérabilités;

 les mesures destinées à garantir la gestion solide du risque lié aux tiers prestataires de services informatiques par les entités financières;

b) les exigences relatives aux accords contractuels conclus entre des tiers prestataires de services informatiques et des entités financières;

c) le cadre de supervision applicable aux tiers prestataires critiques de services informatiques lorsqu’ils fournissent des services à des entités financières;

d) les règles relatives à la coopération entre les autorités compétentes et les règles relatives à la surveillance et à l’exécution par les autorités compétentes en ce qui concerne toutes les questions couvertes par le présent règlement.

2. S’agissant des entités financières identifiées en tant qu’opérateurs de services essentiels conformément aux dispositions nationales transposant l’article 5 de la directive (UE) 2016/1148, le présent règlement est considéré comme un acte juridique sectoriel de l’Union aux fins de l’article 1er, paragraphe 7, de ladite directive.

2 bis.  Le présent règlement est sans préjudice des compétences des États membres concernant la préservation de la sécurité publique, de la défense et de la sécurité nationale.

Article 2

Champ d’application personnel

1. Le présent règlement s’applique aux entités suivantes:

 a) les établissements de crédit,

 b) les établissements de paiement,

c) les établissements de monnaie électronique,

d) les entreprises d’investissement,

e) les prestataires de services sur crypto-actifs, les émetteurs et les offreurs de crypto-actifs, les émetteurs et les offreurs de jetons se référant à un ou des actifs et les émetteurs de jetons se référant à un ou des actifs et revêtant une importance significative,

f) les dépositaires centraux de titres et les opérateurs de systèmes de règlement des opérations sur titres,

g) les contreparties centrales,

h) les plates-formes de négociation,

i) les référentiels centraux,

j) les gestionnaires de fonds d’investissement alternatifs,

k) les sociétés de gestion,

l) les prestataires de services de communication de données,

m) les entreprises d’assurance et de réassurance,

n) les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire qui ne sont pas des micro, petites ou moyennes entreprises à moins que ces micro, petites ou moyennes entreprises dépendent exclusivement de systèmes de vente automatisés organisés,

o) les institutions de retraite professionnelle (IRP) qui ne gèrent pas de régimes de retraite comptant au total moins de 15 affiliés,

p) les agences de notation de crédit,

q) les contrôleurs légaux des comptes et les cabinets d’audit qui ne sont pas des micro, petites ou moyennes entreprises à moins que ces micro, petites ou moyennes entreprises proposent des services d’audit aux entités énumérées dans le présent article, à l’exception des micro, petites ou moyennes entreprises qui sont des entités d'audit à but non lucratif conformément à l’article 2, paragraphe 3, du règlement (UE) nº 537/2014, sauf si l’autorité compétente décide que l’exception n’est pas valable,

r) les administrateurs d’indices de référence d’importance critique,

s) les prestataires de services de financement participatif,

t) les référentiels des titrisations,

u) les tiers prestataires de services informatiques.

1 bis. Le présent règlement, à l’exception du chapitre V, section II, s’applique également aux prestataires de services informatiques intra-groupe.

2. Aux fins du présent règlement, les entités visées au paragraphe 1, points a) à t), sont collectivement dénommées «entités financières».

2 bis. Aux fins du présent règlement, à l’exception du chapitre V, section II, les tiers prestataires de services informatiques et les prestataires de services informatiques intra-groupe sont collectivement dénommées «tiers prestataires de services informatiques».

Article 3

Définitions

Aux fins du présent règlement, on entend par:

(1) «résilience opérationnelle numérique»: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité opérationnelle ▌en assurant directement, ou indirectement par le recours aux services de tiers prestataires de services informatiques, ▌la fourniture continue de services financiers et leur qualité en cas de perturbations opérationnelles ayant une incidence sur les capacités informatiques de l’entité financière;

(2) «réseau et système d’information»: un réseau et système d’information au sens de l’article 4, point 1), de la directive (UE) 2016/1148;

(3) «sécurité des réseaux et des systèmes d’information»: la sécurité des réseaux et des systèmes d’information au sens de l’article 4, point 2), de la directive (UE) 2016/1148;

(4) «risque informatique»: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information ▌qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de l’informatique, du fonctionnement et de l’exécution des processus ou de la fourniture de services▌;

(5) «actif d’information»: un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection;

(6) «incident lié à l’informatique»: un incident imprévu détecté ou une série d’incidents liés entre eux qui compromettent la sécurité des réseaux et des systèmes d’information ▌ou qui ont des effets préjudiciables sur la disponibilité, la confidentialité, la continuité, l’intégrité ou l’authenticité des services financiers fournis par l’entité financière;

(6 bis) «incident opérationnel ou de sécurité lié au paiement»: un événement ou une série d’événements liés entre eux que les entités financières visées à l’article 2, paragraphe 1, points a) à c) n’ont pas prévu et qui a ou est susceptible d’avoir une incidence négative sur l’intégrité, la disponibilité, la confidentialité, l’authenticité ou la continuité des services liés au paiement;

(7) «incident majeur lié à l’informatique»: un incident lié à l’informatique qui a ou est susceptible d’avoir une incidence négative ▌élevée sur les réseaux et les systèmes d’information qui sous-tendent les fonctions critiques de l’entité financière;

(7 bis) «incident opérationnel ou de sécurité majeur lié au paiement»: un incident opérationnel ou de sécurité lié au paiement qui répond aux critères énoncés à l’article 16;

(8) «cybermenace»: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881 du Parlement européen et du Conseil[20];

(8 bis) «cybermenace importante»: une cybermenace dont les caractéristiques indiquent clairement qu’elle est susceptible de produire un incident majeur lié à l’informatique;

(9) «cyberattaque»: un incident lié à l’informatique malveillant résultant d’une tentative de destruction, d’exposition, de modification, de désactivation, de vol, d’utilisation non autorisée d’un actif ou d’accès non autorisé à celui-ci, perpétrée par un acteur de la menace;

(10) «renseignements sur les menaces»: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et qui apportent une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié à l’informatique ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations;

(11) «défense en profondeur»: une stratégie liée à l’informatique intégrant des personnes, des processus et des technologies afin d’établir des barrières diverses à travers les multiples couches et dimensions de l’entité;

(12) «vulnérabilité», une faiblesse, une susceptibilité ou un défaut d’un actif, d’un système, d’un processus ou d’un contrôle qui peut être exploitée par une cybermenace;

(13) «tests de pénétration fondés sur la menace»: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes de production en direct critiques de l’entité;

(14) «risque lié aux tiers prestataires de services informatiques»: risque informatique auquel une entité financière peut être exposée du fait de son recours à des services informatiques fournis par des tiers prestataires de services informatiques ou par des sous-traitants de ces derniers;

(15) «tiers prestataire de services informatiques»: une entreprise qui fournit des services informatiques, y compris une entité financière fournissant des services informatiques qui fait partie d’une entreprise qui fournit un éventail plus large de produits ou de services, mais à l’exclusion des fournisseurs de composants matériels et des entreprises agréées en vertu du droit de l’Union qui fournissent des services de communications électroniques au sens de l’article 2, point 4), de la directive (UE) 2018/1972 du Parlement européen et du Conseil[21];

(15 bis) «prestataire de services informatiques intra-groupe»: une entreprise qui fait partie d’un groupe financier et qui fournit des services informatiques exclusivement à des entités financières du même groupe ou à des entités financières appartenant au même système de protection institutionnel, y compris à leurs entreprises mères, filiales et succursales ou à d’autres entités détenues ou contrôlées par la même entité;

(16) «services informatiques»: les services numériques et de données fournis en permanence par l’intermédiaire des systèmes informatiques à un ou plusieurs utilisateurs internes ou externes, à l’exclusion des contrats de télécommunications;

(17) «fonction critique ou importante»: une activité ou un service qui est essentiel au fonctionnement d’une entité financière et dont la perturbation est susceptible de nuire sérieusement à la solidité ou à la continuité des services et des activités de l’entité financière, ou dont une interruption, une anomalie ou une défaillance de l’exécution est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables de la législation sur les services financiers, y compris les «fonctions critiques» définies à l’article 2, alinéa 1, point 35), de la directive 2014/59/UE;

(18) «tiers prestataire critique de services informatiques»: un tiers prestataire de services informatiques désigné conformément à l’article 28 et soumis au cadre de supervision visé aux articles 29 à 37;

(19) «tiers prestataire de services informatiques établi dans un pays tiers»: un tiers prestataire de services informatiques qui est une personne morale établie dans un pays tiers ▌et qui a conclu un accord contractuel avec une entité financière pour la fourniture de services informatiques;

(20) «sous-traitant informatique établi dans un pays tiers»: un sous-traitant informatique qui est une personne morale établie dans un pays tiers ▌et qui a conclu un accord contractuel soit avec un tiers prestataire de services informatiques, soit avec un tiers prestataire de services informatiques établi dans un pays tiers;

(21) «risque de concentration informatique»: une exposition à des tiers prestataires critiques de services informatiques individuels ou multiples et liés, créant un degré de dépendance à l’égard de ces prestataires, de sorte que l’indisponibilité, la défaillance ou tout autre type d’insuffisance de ces derniers peut potentiellement mettre en péril la stabilité financière de l’Union sans son ensemble ou la capacité d’une entité financière ▌à assurer des fonctions critiques, ou à faire face à d’autres types d’effets préjudiciables, y compris des pertes importantes;

(22) «organe de direction»: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE, de l’article 2, paragraphe 1, point 45), du règlement (UE) nº 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011 du Parlement européen et du Conseil[22], de l’article 3, paragraphe 1, point 18), du règlement (UE) 20xx/xx du Parlement européen et du Conseil[23] [MICA] ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément à la législation de l’Union ou nationale applicable;

(23) «établissement de crédit»: un établissement de crédit au sens de l’article 4, paragraphe 1, point 1), du règlement (UE) nº 575/2013 du Parlement européen et du Conseil[24];

(23 bis) «établissement de crédit exempté par la directive 2013/36/UE»: un établissement bénéficiant d’une exemption au titre de l’article 2, paragraphe 5, points 4) à 23), de la directive 2013/36/UE;

(24) «entreprise d’investissement»: une entreprise d’investissement au sens de l’article 4, paragraphe 1, point 1), de la directive 2014/65/UE;

(24 bis)  «petite entreprise d’investissement non interconnectée»: une entreprise d’investissement qui répond aux conditions énoncées à l’article 12, paragraphe 1, du règlement (UE) 2019/2033;

(25) «établissement de paiement»: un établissement de paiement au sens de l’article 1er, paragraphe 1, point d), de la directive (UE) 2015/2366;

(25 bis) «établissement de paiement exempté par la directive (UE) 2015/2366»: un établissement de paiement bénéficiant d’une exemption au titre de l’article 32, paragraphe 1, de la directive (UE) 2015/2366;

(26) «établissement de monnaie électronique»: un établissement de monnaie électronique au sens de l’article 2, point 1), de la directive 2009/110/CE du Parlement européen et du Conseil[25];

(26 bis) «établissement de monnaie électronique exempté par la directive 2009/110/CE»: un établissement de monnaie électronique bénéficiant d’une exemption au titre de l’article 9 de la directive 2009/110/CE;

(27) «contrepartie centrale»: une contrepartie centrale au sens de l’article 2, point 1) du règlement (UE) nº 648/2012;

(28) «référentiel central»: un référentiel central au sens de l’article 2, point 2), du règlement (UE) nº 648/2012;

(29) «dépositaire central de titres»: un dépositaire central de titres au sens de l’article 2, paragraphe 1, point 1), du règlement (UE) nº 909/2014;

(30) «plate-forme de négociation»: une plate-forme de négociation au sens de l’article 4, paragraphe 1, point 24), de la directive 2014/65/UE;

(31) «gestionnaire de fonds d’investissement alternatifs»: un gestionnaire de fonds d’investissement alternatifs au sens de l’article 4, paragraphe 1, point b), de la directive 2011/61/UE;

(32) «société de gestion»: une société de gestion au sens de l’article 2, paragraphe 1, point b), de la directive 2009/65/CE;

(33) «prestataire de services de communication de données»: un prestataire de services de communication de données au sens de l’article 4, paragraphe 1, point 63), de la directive 2014/65/UE;

(34) «entreprise d’assurance»: une entreprise d’assurance au sens de l’article 13, point 1), de la directive 2009/138/CE;

(35) «entreprise de réassurance»: une entreprise de réassurance au sens de l’article 13, point 4), de la directive 2009/138/CE;

(36) «intermédiaire d’assurance»: un intermédiaire d’assurance au sens de l’article 2, alinéa 1, point 3), de la directive (UE) 2016/97;

(37) «intermédiaire d’assurance à titre accessoire»: un intermédiaire d’assurance à titre accessoire au sens de l’article 2, alinéa 1, point 4), de la directive (UE) 2016/97;

(38) «intermédiaire de réassurance»: un intermédiaire de réassurance au sens de l’article 2, alinéa 1, point 5), de la directive (UE) 2016/97;

(39) «institution de retraite professionnelle»: une institution de retraite professionnelle au sens de l’article 6, point 1), de la directive (UE) 2016/2341;

(40) «agence de notation de crédit»: une agence de notation de crédit au sens de l’article 3, paragraphe 1, point a), du règlement (CE) nº 1060/2009;

(41) «contrôleur légal des comptes»: un contrôleur légal des comptes au sens de l’article 2, point 2), de la directive 2006/43/CE;

(42) «cabinet d’audit»: un cabinet d’audit au sens de l’article 2, point 3), de la directive 2006/43/CE;

(43) «prestataire de services sur crypto-actifs»: un prestataire de services sur crypto-actifs au sens de l’article 3, paragraphe 1, point 8), du règlement (UE) 202x/xx [OP: insérer la référence du règlement MICA];

(44) «émetteur de crypto-actifs»: un émetteur de crypto-actifs au sens de l’article 3, paragraphe 1, point 6), du [JO: insérer la référence du règlement MICA];

(44 bis) «offreur»: un offreur au sens de l’article 3, paragraphe 1, point [XX)] du [JO: insérer la référence du règlement MICA];

(44 ter) «offreur de crypto-actifs»: un offreur de crypto-actifs au sens de l’article 3, paragraphe 1, point [XX)], du [JO: insérer la référence du règlement MICA];

(45) «émetteur de jetons se référant à un ou des actifs»: un émetteur de jetons se référant à un ou des actifs au sens de l’article 3, paragraphe 1, point i), du [JO: insérer la référence du règlement MICA];

(45 bis) «offreur de jetons se référant à un ou des actifs»: un offreur de jetons se référant à un ou des actifs au sens de l’article 3, paragraphe 1, point [XX)], du [JO: insérer la référence du règlement MICA];

(46) «émetteur de jetons se référant à un ou des actifs et revêtant une importance significative»: un émetteur de jetons se référant à un ou des actifs et revêtant une importance significative au sens de l’article 3, paragraphe 1, point XX), du [JO: insérer la référence du règlement MICA];

(47) «administrateur d’indices de référence d’importance critique»: un administrateur d’indices de référence d’importance critique au sens de l’article 3, point 25), du règlement (UE) 2016/1011 [JO: insérer la référence du règlement sur les indices de référence];

(48) «prestataire de services de financement participatif»: un prestataire de services de financement participatif au sens de l’article 2, alinéa 1, point e), du règlement (UE) 2020/1503 [OP: insérer la référence du règlement sur le financement participatif];

(49) «référentiel des titrisations»: un référentiel des titrisations au sens de l’article 2, point 23), du règlement (UE) 2017/2402;

(50) «micro, petite et moyenne entreprise»: une entité financière au sens de l’article 2 de l’annexe de la recommandation 2003/361/CE;

(50 bis) «autorité de résolution», une autorité désignée par un État membre conformément à l'article 3 de la directive 2014/59/UE ou par le Conseil de résolution unique institué en vertu de l’article 42 du règlement (UE) nº 806/2014.

 

Article 3 bis

Principe de proportionnalité

 

1. Les entités financières mettent en œuvre les règles introduites par les chapitres II, III et IV conformément au principe de proportionnalité, en tenant compte de leur taille, de la nature, de l’ampleur et de la complexité de leurs services, activités et opérations et de leur profil de risque global.

2. Conformément au principe de proportionnalité, les articles 4 à 14 du présent règlement ne s’appliquent pas:

a) aux petites entreprises d’investissement non interconnectées ou aux établissements de paiement exemptés par la directive (UE) 2015/2366;

b)  aux établissements de crédit exemptés par la directive 2013/36/UE;

c) aux établissements de monnaie électronique exemptés par la directive 2009/110/CE; ou

d) aux petites institutions de retraite professionnelle.

3. Sur la base du rapport annuel sur le réexamen du cadre de gestion des risques informatiques visé à l’article 5, paragraphe 6, et à l’article 14 bis, paragraphe 2, les autorités compétentes concernées examinent et évaluent l’application de la proportionnalité par une entité financière et déterminent si le cadre de gestion des risques informatiques de l’entité financière garantit la bonne gestion, la résilience opérationnelle numérique et la couverture des risques informatiques. Ce faisant, les autorités compétentes tiennent compte de la taille de l’entité financière, de la nature, de l’ampleur et de la complexité de ses services, activités et opérations et de son profil de risque global.

4. Lorsque l’autorité compétente concernée estime que le cadre de gestion des risques informatiques de l’entité financière est insuffisant et disproportionné, elle engage un dialogue avec l’entité financière pour remédier aux lacunes et garantir le respect intégral du chapitre II.

5. Les AES élaborent des projets de normes techniques de réglementation:

a) déterminant dans quelle mesure les obligations de gestion des risques informatiques sont applicables à chacune des entités financières mentionnées au paragraphe 1;

b) précisant le contenu et le format du rapport annuel sur le réexamen du cadre de gestion des risques informatiques visé au paragraphe 3;

c) précisant les règles et les procédures à suivre par les autorités compétentes et les entités financières lors du dialogue visé au paragraphe 4.

6. Les AES soumettent le projet de normes techniques de réglementation visé au paragraphe 5 à la Commission au plus tard le [JO: insérer la date correspondant à un an après la date d’entrée en vigueur].

Le pouvoir d'adopter les normes techniques de réglementation visées au paragraphe 5 du présent article est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) nº 1093/2010, (UE) nº 1094/2010 et (UE) nº 1095/2010.


 

 

CHAPITRE II

GESTION DES RISQUES INFORMATIQUES

SECTION I

Article 4

Gouvernance et organisation

1. Les entités financières disposent d’un cadre de gouvernance et de contrôle interne qui garantit une gestion efficace et prudente de tous les risques informatiques en vue d’atteindre un niveau élevé de résilience opérationnelle numérique.

2. L’organe de direction de l’entité financière définit, approuve, supervise et est responsable de la mise en œuvre de toutes les dispositions relatives au cadre de gestion des risques informatiques visé à l’article 5, paragraphe 1.

Aux fins du premier alinéa, l’organe de direction:

a) assume la responsabilité ultime de la gestion des risques informatiques de l’entité financière;

a bis) met en place des procédures et des stratégies visant à garantir le maintien de normes élevées en matière de sécurité, de confidentialité et d’intégrité des données;

b) définit clairement les rôles et les responsabilités pour toutes les fonctions liées à l’informatique;

c) détermine le niveau approprié de tolérance au risque informatique de l’entité financière, tel que visé à l’article 5, paragraphe 9, point b);

d) approuve, supervise et examine périodiquement la mise en œuvre de la politique de continuité des activités informatiques de l’entité financière et du plan de rétablissement après sinistre informatique, visés à l’article 10, respectivement au paragraphe 1 et au paragraphe 3, lesquels peuvent être adoptés à titre de mesure spécifique séparée et faire partie intégrante de la politique de continuité générale et du plan de rétablissement après sinistre général de l’entité financière;

e) approuve et examine périodiquement les plans d’audit informatique, les audits informatiques et les modifications significatives qui y sont apportées;

f) alloue et réexamine périodiquement le budget approprié pour satisfaire les besoins de l’entité financière en matière de résilience opérationnelle numérique pour tous les types de ressources, y compris la formation pertinente sur les risques informatiques et les compétences en la matière pour l’ensemble du personnel ▐;

g) approuve et examine périodiquement la politique de l’entité financière concernant les modalités d’utilisation des services informatiques fournis par des tiers prestataires de services informatiques;

h) est dûment informé des accords conclus avec des tiers prestataires de services informatiques sur l’utilisation des services informatiques, de tout changement significatif pertinent prévu concernant les tiers prestataires de services informatiques, et des incidences potentielles de ces changements sur les fonctions critiques ou importantes faisant l’objet de ces accords, et reçoit notamment un résumé de l’analyse des risques visant à évaluer les incidences de ces changements;

i) est régulièrement informé au minimum des incidents majeurs liés à l’informatique et de leur incidence, ainsi que des mesures de réponse, de rétablissement et de correction.

3. Les entités financières autres que les microentreprises instituent un rôle de suivi des accords au sein de l’entité financière pour l’utilisation des services informatiques, en particulier les accords conclus avec des tiers prestataires de services informatiques, ou désignent un membre de la direction générale chargé de superviser l’exposition aux risques connexe et la documentation pertinente.

4. Les membres de l’organe de direction de l’entité financière maintiennent activement à jour des connaissances et des compétences suffisantes pour comprendre et évaluer les risques informatiques et leur incidence sur les opérations de l’entité financière, notamment en suivant régulièrement une formation spécifique proportionnée aux risques informatiques gérés.

 

SECTION II

Article 5

Cadre de gestion des risques informatiques

1. Les entités financières disposent d’un cadre de gestion des risques informatiques solide, complet et bien documenté, qui leur permet de parer aux risques informatiques de manière rapide, efficiente et exhaustive et de garantir un niveau élevé de résilience opérationnelle numérique▐.

2. Le cadre de gestion des risques informatiques visé au paragraphe 1 englobe les stratégies, les politiques, les procédures, les protocoles et les outils informatiques qui sont nécessaires pour protéger dûment et efficacement toutes les composantes et infrastructures physiques pertinentes, y compris le matériel informatique, les serveurs, ainsi que tous les locaux, centres de données et zones sensibles désignées pertinents, afin de garantir que tous ces éléments physiques sont correctement protégés contre les risques, y compris les dommages et les accès ou utilisations non autorisés.

3. Les entités financières réduisent au minimum l’incidence des risques informatiques en déployant des stratégies, des politiques, des procédures, des protocoles et des outils adéquats, tels que définis dans le cadre de gestion des risques informatiques. Elles fournissent des informations complètes et actualisées sur les risques informatiques et sur leur cadre de gestion des risques informatiques à la demande des autorités compétentes.

4. Aux fins du cadre de gestion des risques informatiques visé au paragraphe 1, les entités financières autres que les microentreprises mettent en œuvre un système de gestion de la sécurité de l’information fondé sur des normes internationales reconnues et conforme aux orientations des autorités de surveillance, lorsqu'elles sont déjà disponibles et s’il y a lieu, ainsi qu’aux orientations figurant dans les orientations pertinentes définies par les AES, et le réexaminent régulièrement.

5. Les entités financières autres que les microentreprises confient la responsabilité de la gestion et de la surveillance des risques informatiques à une fonction de contrôle et garantissent l’indépendance de cette fonction de contrôle afin d’éviter les conflits d’intérêts. Les entités financières garantissent une indépendance adéquate des fonctions de gestion informatique, des fonctions de contrôle et des fonctions d’audit interne, selon le modèle reposant sur trois lignes de défense, ou un modèle de gestion des risques et de contrôle internes.

6. Le cadre de gestion des risques informatiques visé au paragraphe 1 est documenté et réexaminé au moins une fois par an, ainsi qu’en cas de survenance d’incidents majeurs liés à l’informatique, et conformément aux instructions des autorités de surveillance ou aux conclusions tirées des tests de résilience opérationnelle numérique ou des processus d’audit pertinents. Il est amélioré en permanence sur la base des enseignements tirés de la mise en œuvre et du suivi.

Un rapport sur le réexamen du cadre de gestion des risques informatiques est présenté chaque année à l’autorité compétente.

 

7. En ce qui concerne les entités financières autres que les microentreprises, le cadre de gestion des risques informatiques visé au paragraphe 1 fait l’objet d’audits réguliers réalisés par des auditeurs informatiques qui possèdent des connaissances, des compétences et une expertise suffisantes en matière de risques informatiques. La fréquence et le point de mire des audits informatiques sont proportionnés aux risques informatiques de l’entité financière.

8. Un processus de suivi formel, comprenant des règles pour la vérification et la correction rapides des constatations d'importance critique de l’audit informatique, est établi, en tenant compte des conclusions de l’audit▐.

9. Le cadre de gestion des risques informatiques visé au paragraphe 1 comprend une stratégie de résilience opérationnelle numérique qui définit les modalités de mise en œuvre du cadre. À cet effet, il précise les méthodes pour parer aux risques informatiques et atteindre des objectifs informatiques spécifiques, en:

a) expliquant la manière dont le cadre de gestion des risques informatiques appuie la stratégie d’entreprise et les objectifs opérationnels de l’entité financière;

b) déterminant le niveau de tolérance au risque informatique, en fonction de l’appétit pour le risque de l’entité financière, et en analysant la tolérance à l’incidence des perturbations informatiques;

c) définissant des objectifs clairs en matière de sécurité de l’information;

d) décrivant l’architecture informatique▐ et les changements nécessaires pour atteindre des objectifs opérationnels spécifiques;

e) présentant les différents mécanismes mis en place pour détecter et prévenir les incidents liés à l’informatique, ainsi que pour se protéger contre leurs effets;

f) déterminant le nombre d’incidents majeurs liés à l’informatique et l’efficacité des mesures de prévention;

g) identifiant les principales relations de dépendance à l’égard des tiers prestataires de services informatiques et détaillant les stratégies de sortie de ces relations de dépendance;

h) mettant en œuvre des tests de résilience opérationnelle numérique conformément au chapitre IV du présent règlement;

i) définissant une stratégie de communication en cas d’incidents liés à l’informatique qui doivent être divulgués en vertu de l’article 13.

10. Sur approbation des autorités compétentes, les entités financières peuvent externaliser les tâches de vérification du respect des exigences en matière de gestion des risques informatiques à des entreprises▐ externes.

Après notification aux autorités compétentes, les entités financières peuvent déléguer la tâche de vérification du respect des exigences en matière de gestion des risques informatiques à des entreprises intra-groupe.

Lorsque la délégation visée à l’alinéa 2 est en place, l’entité financière reste pleinement responsable de la vérification du respect des exigences en matière de gestion des risques informatiques.

 

Article 6

Systèmes, protocoles et outils informatiques

1. Afin d’atténuer et de gérer le risque informatique, les entités financières utilisent et tiennent à jour des systèmes, protocoles et outils informatiques qui satisfont aux conditions suivantes:

a) les systèmes et les outils sont adaptés▐ à l’ampleur des opérations qui sous-tendent l’exercice de leurs activités;

b) ils sont fiables;

c) ils disposent d’une capacité suffisante pour traiter avec exactitude les données nécessaires à l’exécution des activités et à la fourniture des services en temps voulu, et pour faire face aux pics de volume d’ordres, de messages ou de transactions, selon les besoins, y compris en cas de mise en place de nouvelles technologies;

d) ils sont suffisamment résilients sur le plan technologique pour répondre de manière adéquate aux besoins supplémentaires de traitement de l’information qui apparaissent en situation de tensions sur les marchés ou dans d’autres situations défavorables.

2. Lorsque les entités financières ont recours à des normes techniques reconnues au niveau international et des bonnes pratiques du secteur en matière de sécurité de l’information et de contrôles internes informatiques, elles utilisent ces normes et pratiques conformément aux recommandations pertinentes des autorités de surveillance relatives à leur incorporation.

 

Article 7

Identification

1. Aux fins du cadre de gestion des risques informatiques visé à l’article 5, paragraphe 1, les entités financières identifient, classent et documentent de manière adéquate toutes les fonctions opérationnelles critiques ou importantes liées à l’informatique, les actifs d’information qui appuient ces fonctions, ainsi que les configurations des systèmes informatiques et les interconnexions avec les systèmes informatiques internes et externes. Les entités financières examinent si nécessaire, et au moins une fois par an, la criticité ou l’importance des fonctions opérationnelles liées à l’informatique ainsi que le caractère adéquat de la classification des actifs d’information et de toute documentation pertinente.

2. Les entités financières identifient de manière continue toutes les sources de risque informatique, en particulier l’exposition au risque vis-à-vis d’autres entités financières et émanant de celles-ci, et évaluent les cybermenaces et les vulnérabilités informatiques qui concernent leurs fonctions opérationnelles critiques ou importantes et leurs actifs d’information liés à l’informatique. Les entités financières examinent régulièrement, et au moins une fois par an, les scénarios de risque qui ont des incidences sur elles.

3. Les entités financières autres que les microentreprises procèdent, s’il y a lieu, à une évaluation des risques à chaque modification importante de l’infrastructure du réseau et du système d’information, des processus ou des procédures, qui affecte leurs fonctions, leurs processus de soutien ou leurs actifs d’information.

4. Les entités financières identifient tous les comptes des systèmes informatiques, y compris ceux situés sur des sites extérieurs, les ressources du réseau et les équipements matériels, et répertorient les équipements physiques considérés comme critiques. Elles répertorient la configuration des actifs informatiques critiques ou importants au regard de leur finalité et les liens et interdépendances entre ces différents actifs informatiques.

5. Les entités financières identifient et documentent tous les processus critiques ou importants qui dépendent de tiers prestataires de services informatiques, et identifient les interconnexions avec des tiers prestataires de services informatiques qui soutiennent des fonctions critiques ou importantes.

6. Aux fins des paragraphes 1, 4 et 5, les entités financières tiennent des inventaires pertinents et les mettent régulièrement à jour.

7. Les entités financières autres que les microentreprises procèdent régulièrement, et au moins une fois par an, à une évaluation spécifique des risques informatiques sur tous les systèmes informatiques patrimoniaux ainsi que sur les systèmes qui sont toujours utilisés et qui jouent toujours leur rôle, mais qui:

a) sont anciens ou en fin de vie, en ce qui concerne le matériel;

b) ne peuvent plus bénéficier du support ou de la maintenance de leur fournisseur; ou

c) sont impossibles ou trop onéreux à mettre à jour. Les systèmes informatiques patrimoniaux font l’objet d’une évaluation annuelle des risques informatiques, en particulier avant et après la connexion de systèmes, applications ou technologies.

 

Article 8

Protection et prévention

1. Aux fins de la protection adéquate des systèmes informatiques et en vue d’organiser les mesures de réponse, les entités financières assurent un suivi et un contrôle permanents du fonctionnement des systèmes et outils informatiques et réduisent au minimum l’incidence de ces risques par le déploiement d’outils, de stratégies et de procédures appropriés en matière de sécurité informatique.

2. Les entités financières conçoivent, acquièrent et mettent en œuvre des stratégies, des politiques, des procédures, des protocoles et des outils de sécurité informatique qui visent, en particulier, à garantir la résilience, la continuité et la disponibilité des systèmes informatiques qui appuient des fonctions critiques ou importantes, et à maintenir des normes élevées en matière de sécurité, de confidentialité et d’intégrité des données, que ce soit au repos, en cours d’utilisation ou en transit.

3. Pour atteindre les objectifs visés au paragraphe 2, les entités financières utilisent des technologies et des processus informatiques▐ qui:

a) renforcent au maximum la sécurité des moyens de transfert d’informations;

b) réduisent au minimum le risque de corruption ou de perte de données, d’accès non autorisé et de défauts techniques susceptibles d’entraver les activités;

c)  empêchent les fuites d’informations;

d) garantissent que les données sont protégées contre les risques informatiques internes, y compris les risques liés à une mauvaise administration ou à un mauvais traitement et à une erreur humaine.

4. Aux fins du cadre de gestion des risques informatiques visé à l’article 5, paragraphe 1, en fonction de leur profil de risque, les entités financières:

a) élaborent et documentent une politique de sécurité de l’information qui définit des règles visant à protéger la confidentialité, l’intégrité et la disponibilité de leurs ressources, de leurs données et de leurs actifs d’information liés à l’informatique, tout en assurant une protection totale des ressources, des données et des actifs d’information liés à l’informatique de leurs clients lorsque ceux-ci font partie des systèmes informatiques des entités financières;

b) instaurent, selon une approche fondée sur les risques, une gestion solide des réseaux et des infrastructures en recourant aux techniques, aux méthodes et aux protocoles appropriés, lesquels peuvent comprendre la mise en œuvre de mécanismes▐ pour isoler les actifs d’information affectés en cas de cyberattaques;

c) mettent en œuvre des politiques, des procédures et des contrôles qui limitent l’accès physique et virtuel aux ressources et aux données des systèmes informatiques à ce qui est nécessaire uniquement pour les fonctions et les activités légitimes et approuvées▐;

d) mettent en œuvre des politiques et des protocoles pour des mécanismes d’authentification forte et la protection des clés cryptographiques, fondés sur des normes pertinentes et des systèmes de contrôle dédiés▐;

e) mettent en œuvre des politiques, des procédures et des contrôles pour la gestion des changements informatiques, y compris les changements apportés aux logiciels, au matériel, aux composants de micrologiciels, aux systèmes ou à la sécurité, qui sont fondés sur une approche d’évaluation des risques et font partie intégrante du processus global de gestion des changements de l’entité financière, afin de garantir que tous les changements apportés aux systèmes informatiques sont consignés, testés, évalués, approuvés, mis en œuvre et vérifiés de manière contrôlée;

f) disposent de stratégies appropriées et globales en matière de correctifs et de mises à jour.

Aux fins du point b), les entités financières conçoivent l’infrastructure de connexion au réseau de manière à permettre la déconnexion la plus rapide possible et assurent sa compartimentation et sa segmentation, afin de réduire au minimum la contagion et de la prévenir, en particulier pour les processus financiers interconnectés.

Aux fins du point e), le processus de gestion des changements informatiques est approuvé par la structure hiérarchique appropriée et comporte des protocoles spécifiques activés pour les changements en urgence.

 

Article 9

Détection

1. Les entités financières mettent en place des mécanismes permettant de détecter rapidement les activités anormales, conformément à l’article 15, y compris les problèmes de performance des réseaux informatiques et les incidents liés à l’informatique, ainsi que de repérer et de surveiller, lorsque la technologie le permet, les points uniques de défaillance potentiellement significatifs.

Tous les mécanismes de détection visés au premier alinéa sont régulièrement testés conformément à l’article 22.

2. Les mécanismes de détection visés au paragraphe 1 déclenchent les processus de détection des incidents liés à l’informatique et de réponse en cas d’incident lié à l’informatique, y compris les mécanismes d’alerte automatique destinés au personnel compétent chargé de la réponse aux incidents liés à l’informatique.

3. Les entités financières consacrent des ressources et des capacités suffisantes▐ pour surveiller l’activité des utilisateurs, l’apparition d’anomalies informatiques et d’incidents liés à l’informatique, en particulier les cyberattaques.

3 bis. Les entités financières consignent tous les incidents liés à l’informatique ayant des effets sur la stabilité, la continuité ou la qualité des services financiers, y compris lorsque l’incident a ou est susceptible d’avoir des effets sur ces services.

4. Les entités financières visées à l’article 2, paragraphe 1, point l), disposent en outre de systèmes capables de vérifier efficacement l’exhaustivité des déclarations de transactions, de repérer les omissions et les erreurs manifestes et de demander une nouvelle transmission des déclarations erronées le cas échéant.

 

Article 10

Réponse et rétablissement

1. Aux fins du cadre de gestion des risques informatiques visé à l’article 5, paragraphe 1, et sur la base des exigences en matière d’identification énoncées à l’article 7, les entités financières se dotent d’une politique de continuité des activités informatiques qui peut être adoptée à titre de mesure spécifique séparée et qui fait partie intégrante de leur politique générale de continuité des activités opérationnelles.

La politique de continuité des activités informatiques a pour but de gérer et d’atténuer les risques susceptibles d’avoir une incidence préjudiciable sur les systèmes et les services informatiques des entités financières ainsi que de faciliter leur rétablissement rapide si nécessaire. Lors de la définition de leur politique de continuité des activités informatiques, les entités financières prennent spécifiquement en considération les risques susceptibles d’avoir une incidence préjudiciable sur les services et les systèmes informatiques.

2. Les entités financières mettent en œuvre la politique de continuité des activités informatiques visée au paragraphe 1 au moyen de dispositifs, de plans, de procédures et de mécanismes dédiés, appropriés et documentés visant à:

 b) garantir la continuité des fonctions critiques de l’entité financière;

c) répondre aux incidents liés à l’informatique et les résoudre rapidement, dûment et efficacement, en particulier, mais pas uniquement, en cas de cyberattaques, de manière à limiter les dommages et à donner la priorité à la reprise des activités et aux mesures de rétablissement;

d) activer sans délai des plans dédiés permettant de déployer des mesures, des processus et des technologies d’endiguement adaptés à chaque type d’incident lié à l’informatique et de prévenir tout dommage supplémentaire, ainsi que des procédures sur mesure de réponse et rétablissement, définies conformément à l’article 11;

e) estimer les incidences, les dommages et les pertes préliminaires;

f) définir des mesures de communication et de gestion des crises qui garantissent la transmission d’informations actualisées à tous les membres du personnel interne et les parties prenantes externes concernés, conformément à l’article 13, et leur communication aux autorités compétentes, conformément à l’article 17.

3. Aux fins du cadre de gestion des risques informatiques visé à l’article 5, paragraphe 1, les entités financières mettent en œuvre un plan de rétablissement après sinistre informatique, qui, dans le cas des entités financières autres que les microentreprises, fait l’objet d’un audit indépendant.

4. Les entités financières mettent en place, maintiennent et testent périodiquement des plans de continuité des activités informatiques appropriés, notamment en ce qui concerne les fonctions critiques ou importantes externalisées ou sous-traitées dans le cadre d’accords avec des tiers prestataires de services informatiques.

5. Dans le cadre de leur gestion globale des risques informatiques, les entités financières:

a) testent la politique de continuité des activités informatiques et le plan de rétablissement après sinistre informatique au moins une fois par an et après l'apport de modifications substantielles aux systèmes informatiques critiques ou importants;

b) testent les plans de communication en situation de crise établis conformément à l’article 13.

Aux fins du point a), les entités financières autres que les microentreprises incluent dans les plans de test des scénarios de cyberattaques et de basculement entre l’infrastructure informatique principale et la capacité redondante, les sauvegardes et les installations redondantes nécessaires pour satisfaire aux obligations énoncées à l’article 11.

Les entités financières réexaminent régulièrement leur politique de continuité des activités informatiques et leur plan de rétablissement après sinistre informatique en tenant compte des résultats des tests effectués conformément au premier alinéa et des recommandations découlant des contrôles d’audit ou des examens des autorités de surveillance.

6. Les entités financières autres que les microentreprises disposent d’une fonction de gestion de crise qui est soit une fonction séparée, soit une fonction faisant partie des fonctions responsables de la réponse aux incidents et de leur gestion. En cas d’activation de leur politique de continuité des activités informatiques ou de leur plan de rétablissement après sinistre informatique, la fonction de gestion de crise définit des procédures claires pour gérer les communications internes et externes en situation de crise, conformément à l’article 13.

7. Les entités financières tiennent un registre des activités pertinentes avant et pendant les perturbations lorsque leur politique de continuité des activités informatiques ou leur plan de rétablissement après sinistre informatique est activé. Ces registres sont facilement accessibles.

8. Les entités financières visées à l’article 2, paragraphe 1, point f), fournissent aux autorités compétentes des copies des résultats des tests de continuité des activités informatiques ou d’exercices similaires réalisés au cours de la période considérée.

9. Les entités financières autres que les microentreprises communiquent aux autorités compétentes tous les coûts et pertes financiers estimés occasionnés par des perturbations informatiques importantes et des incidents majeurs liés à l’informatique.

9 bis. Les AES définissent, par l’intermédiaire du comité mixte, des orientations communes relatives à la méthode de calcul des coûts et de quantification des pertes visés au paragraphe 9.

 

Article 11

Politiques de sauvegarde et méthodes de rétablissement

1. Dans le but de veiller à la restauration des systèmes informatiques en limitant au maximum la durée d’indisponibilité et les perturbations, aux fins de leur cadre de gestion des risques informatiques, les entités financières définissent:

a) une politique de sauvegarde qui précise la portée des données concernées par la sauvegarde et la fréquence minimale de celle-ci, en fonction de la criticité des informations ou du caractère sensible des données;

b) des méthodes de rétablissement.

2. Conformément à la politique de sauvegarde définie au paragraphe 1, point a), les systèmes de sauvegarde commencent le traitement sans retard excessif, à moins que ce démarrage ne compromette la sécurité du réseau et des systèmes d’information, ou l’intégrité ou la confidentialité des données.

3. Lorsqu’elles restaurent des données de sauvegarde à l’aide de leurs propres systèmes, les entités financières utilisent des systèmes informatiques séparés de leur système informatique principal, soit physiquement, soit logiquement, et qui sont protégés de manière sécurisée contre tout accès non autorisé ou toute corruption informatique.

Dans le cas des entités financières visées à l’article 2, paragraphe 1, point g), les plans de rétablissement favorisent la reprise de toutes les transactions qui étaient en cours au moment de la perturbation, pour permettre aux contreparties centrales de continuer à fonctionner avec précision et d’achever le règlement à la date programmée.

4. Les entités financières évaluent la nécessité de maintenir des capacités informatiques redondantes dotées de ressources et de fonctionnalités suffisantes et adéquates pour répondre aux besoins opérationnels et aux exigences de résilience opérationnelle numérique définies dans le présent règlement.

5. Les entités financières visées à l’article 2, paragraphe 1, point f), maintiennent ou veillent à ce que leurs tiers prestataires de services informatiques maintiennent au moins un site de traitement secondaire doté de ressources, de capacités, de fonctionnalités et d’effectifs suffisants et appropriés pour répondre aux besoins opérationnels.

Le site de traitement secondaire:

a) est situé à une certaine distance géographique du site de traitement primaire afin de veiller à ce qu’il présente un profil de risque distinct et d’éviter qu’il ne soit affecté par l’événement qui a touché le site primaire;

b) est capable d’assurer la continuité des services critiques de la même manière que le site primaire, ou de fournir le niveau de services dont l’entité financière a besoin pour effectuer ses opérations critiques dans le cadre des objectifs de rétablissement;

c) est▐ accessible au personnel de l’entité financière afin d’assurer la continuité des fonctions critiques ou importantes en cas d’indisponibilité du site de traitement primaire.

6. Lorsqu’elles déterminent les objectifs en matière de délai et de point de rétablissement pour chaque fonction, les entités financières tiennent compte du caractère critique ou de l’importance de la fonction et des effets globaux potentiels sur l’efficience du marché. Ces objectifs temporels permettent d’assurer, dans des scénarios extrêmes, le respect des niveaux de service convenus.

7. Lorsqu’elles opèrent un rétablissement à la suite d’un incident lié à l'informatique, les entités financières veillent à ce que le niveau d’intégrité des données soit le plus haut possible, notamment en effectuant de multiples contrôles, y compris des rapprochements▐. Ces contrôles sont également effectués lors de la reconstitution des données provenant de parties prenantes externes, afin que toutes les données soient cohérentes entre les systèmes.

 

Article 12

Apprentissage et évolution

1. Les entités financières disposent de capacités et d’effectifs pour recueillir des informations sur les vulnérabilités et les cybermenaces, et sur les incidents liés à l’informatique, en particulier les cyberattaques, et analyser leurs incidences probables sur leur résilience opérationnelle numérique.

2. Les entités financières réalisent des examens post-incident majeur lié à l'informatique après toute perturbation informatique importante de leurs activités principales, afin d’analyser les causes de cette perturbation et de déterminer les améliorations à apporter aux opérations informatiques ou dans le cadre de la politique de continuité des activités informatiques visée à l’article 10.

Lorsqu’elles procèdent à des changements visant à parer aux risques informatiques identifiés à la suite des examens post-incident majeur lié à l’informatique, les entités financières autres que les microentreprises communiquent tous les changements importants aux autorités compétentes, en détaillant les améliorations requises et la façon dont elles permettront de prévenir et d’atténuer les perturbations à l’avenir. La communication des changements aux autorités compétentes peut se faire avant ou après leur mise en place.

Les examens post-incident lié à informatique visés au premier alinéa consistent à déterminer si les procédures établies ont été suivies et si les mesures prises ont été efficaces, notamment en ce qui concerne:

a) la célérité de la réponse aux alertes de sécurité et de l’évaluation des effets associés aux incidents liés à l’informatique et de leur gravité;

b) la qualité et la rapidité de l’analyse technico-légale;

c) l’efficacité de la remontée des incidents au sein de l’entité financière;

d) l’efficacité de la communication interne et externe.

3. Les enseignements tirés des tests de résilience opérationnelle numérique effectués conformément aux articles 23 et 24 et des incidents liés à l’informatique en situation réelle, en particulier les cyberattaques, ainsi que les difficultés rencontrées lors de l’activation des plans de continuité des activités ou de rétablissement, de même que les informations pertinentes échangées avec les contreparties et évaluées lors des contrôles prudentiels, sont dûment intégrés, de manière continue, dans le processus d’évaluation des risques informatiques. Ces constatations donnent lieu à un examen approprié des composantes pertinentes du cadre de gestion des risques informatiques visé à l’article 5, paragraphe 1.

4. Les entités financières contrôlent l’efficacité de la mise en œuvre de leur stratégie de résilience numérique définie à l’article 5, paragraphe 9. Elles retracent l’évolution des risques informatiques dans le temps, y compris la proximité de ces risques avec des fonctions critiques ou importantes, analysent la fréquence, les types, l’ampleur et l’évolution des incidents liés à l’informatique, en particulier les cyberattaques et leurs caractéristiques, afin de cerner le niveau d’exposition aux risques informatiques et de renforcer la maturité et la préparation informatiques de l’entité financière.

5. Les membres de l’encadrement supérieur responsables des TIC rendent compte au moins une fois par an, à l’organe de direction, des constatations visées au paragraphe 3 et formulent des recommandations.

6. Les entités financières élaborent des programmes de sensibilisation à la sécurité informatique et des formations à la résilience opérationnelle numérique qu’elles intègrent à leurs programmes de formation du personnel sous forme de modules obligatoires. Les programmes de sensibilisation à la sécurité informatique s’appliquent à l’ensemble du personnel. Les formations à la résilience opérationnelle numérique s’appliquent, au minimum, à tous les employés disposant de droits d’accès direct aux systèmes informatiques et aux membres de la direction. La complexité des modules de formation est proportionnée au niveau d'accès direct du membre du personnel aux systèmes informatiques et tient notamment compte de son accès aux fonctions critiques ou importantes.

Les entités financières autres que les microentreprises assurent un suivi continu des évolutions technologiques pertinentes, notamment en vue de déterminer les incidences que le déploiement de ces nouvelles technologies pourrait avoir sur les exigences en matière de sécurité informatique et la résilience opérationnelle numérique. Elles se tiennent informées des processus de gestion des risques informatiques les plus récents, afin de lutter efficacement contre les formes actuelles ou émergentes de cyberattaques.

 

Article 13

Communication

1. Aux fins du cadre de gestion des risques informatiques visé à l’article 5, paragraphe 1, les entités financières mettent en place des plans de communication qui favorisent une divulgation responsable, au minimum, des incidents majeurs liés à l’informatique ou des vulnérabilités majeures aux clients et aux contreparties ainsi qu’au public, le cas échéant.

Les plans de communication visés au premier alinéa garantissent également la divulgation annuelle d’un résumé de tous les incidents liés à l’informatique aux clients et aux contreparties. Cette divulgation respecte pleinement la confidentialité des affaires de l’entité financière et de ses clients et contreparties et ne porte pas préjudice au cadre de gestion des risques informatiques visé à l’article 5, paragraphe 1.

2. Aux fins du cadre de gestion des risques informatiques visé à l’article 5, paragraphe 1, les entités financières mettent en œuvre des politiques de communication à l’intention du personnel et des parties prenantes externes. Les politiques de communication à l’intention du personnel tiennent compte de la nécessité d’établir une distinction entre le personnel participant à la gestion des risques informatiques, en particulier la réponse et le rétablissement, et le personnel qui doit être informé.

3. Au moins une personne au sein de l’entité est chargée de mettre en œuvre la stratégie de communication concernant au minimum les incidents majeurs liés à l’informatique et remplit le rôle de porte-parole auprès du public et des médias à cette fin.

 

Article 14

Harmonisation accrue des outils, méthodes, processus et politiques de gestion des risques informatiques

L’Autorité bancaire européenne (ABE), l’Autorité européenne des marchés financiers (AEMF) et l’Autorité européenne des assurances et des pensions professionnelles (AEAPP) élaborent, en concertation avec l’Agence de l’Union européenne pour la cybersécurité (ENISA), des projets de normes techniques de réglementation aux fins suivantes:

a) préciser davantage les éléments à inclure dans les politiques, procédures, protocoles et outils de sécurité informatique visés à l’article 8, paragraphe 2, en vue de garantir la sécurité des réseaux, de favoriser la mise en place de garanties adéquates contre les intrusions et les utilisations abusives des données, de préserver l’authenticité et l’intégrité des données, y compris en recourant à des techniques cryptographiques, et de garantir une transmission précise et rapide des données sans perturbation majeure et sans retard injustifié;

d) approfondir les composantes relatives au contrôle des droits de gestion des accès visés à l’article 8, paragraphe 4, point c), et de la politique connexe en matière de ressources humaines, en précisant les droits d’accès, les procédures d’octroi et de révocation des droits, le suivi des comportements anormaux par rapport aux risques informatiques au moyen d’indicateurs adéquats, notamment pour les modes et les heures d’utilisation du réseau, l’activité informatique et les dispositifs inconnus;

e) approfondir les éléments spécifiés à l’article 9, paragraphe 1, qui permettent une détection rapide des activités anormales, ainsi que les critères visés à l’article 9, paragraphe 2, qui entraînent le déclenchement des processus de détection des incidents liés à l’informatique et de réponse à ces incidents;

f) détailler davantage les composantes de la politique de continuité des activités informatiques visée à l’article 10, paragraphe 1;

g) détailler davantage les tests des plans de continuité des activités informatiques visés à l’article 10, paragraphe 5, afin de veiller à ce qu’ils tiennent dûment compte des scénarios dans lesquels la qualité de l’exécution d’une fonction critique se détériore à un niveau inacceptable ou dans lesquels l’exécution d’une fonction critique échoue, et à ce qu’ils prennent dûment en considération les incidences potentielles de l’insolvabilité ou d’autres défaillances de tout tiers prestataire de services informatiques concerné et, le cas échéant, les risques politiques dans les juridictions des prestataires en question;

h) détailler davantage les composantes du plan de rétablissement après sinistre informatique visé à l’article 10, paragraphe 3.

L’ABE, l’AEMF et l’AEAPP soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le [JO: insérer la date correspondant à une année après la date d’entrée en vigueur].

La Commission est habilitée à adopter les normes techniques de réglementation visées au premier alinéa conformément aux articles 10 à 14 du règlement (UE) nº 1093/2010, du règlement (UE) nº 1094/2010 et du règlement (UE) nº 1095/2010, respectivement.

 

Article 14 bis

Cadre de gestion des risques informatiques pour les petites entreprises d’investissement non interconnectées et les entités exemptées

1. En vertu de l’article 3 bis, les petites entreprises d’investissement non interconnectées, les établissements de paiement exemptés par la directive (UE) 2015/2366, les établissements de crédit exemptés par la directive 2013/36/UE, les établissements de monnaie électronique exemptés par la directive 2009/110/CE et les petites institutions de retraite professionnelle mettent en place et maintiennent un cadre de gestion des risques informatiques solide et documenté qui:

a) détaille les mécanismes et les mesures permettant une gestion rapide, efficace et complète de tous les risques informatiques, y compris en ce qui concerne la protection des composantes et infrastructures physiques pertinentes;

b) surveillent en permanence la sécurité et le fonctionnement de tous les systèmes informatiques;

c) réduisent au minimum l’incidence des risques informatiques grâce à l’utilisation de systèmes, protocoles et outils informatiques solides, résilients et actualisés, aptes à soutenir l’exercice de leurs activités et la fourniture de services;

d) protègent de manière adéquate la confidentialité, l’intégrité et la disponibilité des réseaux de données et des systèmes d’information;

e) permettent d’identifier et de détecter rapidement les sources de risque et les anomalies dans le réseau et les systèmes d’information et de traiter rapidement les incidents informatiques.

 

2. Le cadre de gestion des risques informatiques visé au paragraphe 1 est documenté et réexaminé au moins une fois par an, ainsi qu’en cas de survenance d’incidents majeurs liés à l’informatique, et conformément aux instructions des autorités de surveillance ou aux conclusions tirées des tests de résilience opérationnelle numérique ou des processus d’audit pertinents. Il est amélioré en permanence sur la base des enseignements tirés de la mise en œuvre et du suivi.

 

Un rapport sur le réexamen du cadre de gestion des risques informatiques est présenté chaque année à l’autorité compétente.

  


 

 

 

CHAPITRE III

GESTION, CLASSIFICATION ET NOTIFICATION

DES INCIDENTS LIÉS À L’INFORMATIQUE

Article 15

Processus de gestion des incidents liés à l’informatique

1. Les entités financières définissent et mettent en œuvre un processus de gestion des incidents liés à l’informatique afin de détecter, de gérer et de notifier les incidents liés à l’informatique, et elles mettent en place des indicateurs d’alerte précoce sous forme d’alertes.

2. Les entités financières mettent en place des procédures et des processus adéquats pour assurer une surveillance, un traitement et un suivi cohérents et intégrés des incidents liés à l’informatique, afin de déterminer et de s’attaquer aux causes profondes pour éviter que de tels incidents ne se produisent.

3. Le processus de gestion des incidents liés à l’informatique visé au paragraphe 1:

a) instaure des procédures destinées à identifier, suivre, consigner, catégoriser et classer les incidents liés à l’informatique en fonction de leur priorité ainsi que de la gravité et de la criticité des services touchés, conformément aux critères visés à l’article 16, paragraphe 1;

b) attribue les rôles et les responsabilités qui doivent être activés pour différents types et scénarios d’incidents liés à l’informatique;

c) établit des plans pour la communication à l’intention du personnel, des parties prenantes externes et des médias, conformément à l’article 13, et pour la notification aux clients, les procédures internes de remontée des incidents, y compris les plaintes des clients liées aux TIC, ainsi que pour la fourniture d’informations aux entités financières qui agissent en tant que contreparties, le cas échéant;

d) permet de notifier au minimum les incidents majeurs liés à l’informatique aux membres de la direction concernés et de communiquer à l’organe de direction des informations sur les incidents majeurs liés à l’informatique, expliquant leurs incidences, la réponse à leur apporter et les contrôles supplémentaires à mettre en place à la suite d’incidents majeurs liés à l’informatique;

e) définit des procédures de réponse en cas d’incident lié à l’informatique, afin d’en atténuer les effets et de garantir que les services redeviennent opérationnels et sécurisés en temps utile.

 

Article 16

Classification des incidents liés à l’informatique

1. Les entités financières classent les incidents liés à l’informatique et déterminent leur incidence sur la base des critères suivants:

a) le nombre d’utilisateurs ou de contreparties financières touchés par les perturbations provoquées par l’incident lié à l’informatique▐;

b) la durée de l’incident lié à l’informatique, y compris les interruptions de service;

c) la répartition géographique en ce qui concerne les zones touchées par l’incident lié à l’informatique, en particulier si celui-ci touche plus de deux États membres;

d) les pertes de données occasionnées par l’incident lié à l’informatique, telles que la perte d’intégrité, la perte de confidentialité ou la perte de disponibilité;

e) la gravité des effets de l’incident lié à l’informatique sur les systèmes informatiques de l’entité financière;

f) la criticité des services touchés, y compris les transactions et les opérations de l’entité financière;

g) les conséquences économiques, en termes absolus et relatifs, de l’incident lié à l’informatique.

2. Les AES élaborent, par l’intermédiaire du comité mixte des AES (ci-après le «comité mixte») et en coordination avec la Banque centrale européenne (BCE) et▐ l’ENISA, des projets communs de normes techniques de réglementation qui précisent les éléments suivants:

a) les critères énoncés au paragraphe 1, y compris les seuils d’importance significative pour déterminer les incidents majeurs liés à l’informatique qui sont soumis à l’obligation de déclaration prévue à l’article 17, paragraphe 1;

b) les critères que les autorités compétentes doivent appliquer pour évaluer si un incident majeur lié à l’informatique est pertinent pour les juridictions des autres États membres, et les détails des rapports d’incidents majeurs liés à l’informatique à partager avec les autres autorités compétentes conformément à l’article 17, paragraphes 5 et 6.

3. Lors de l’élaboration des projets communs de normes techniques de réglementation visés au paragraphe 2, les AES tiennent compte des normes internationales, ainsi que des spécifications élaborées et publiées par l’ENISA, y compris, le cas échéant, des spécifications relatives à d’autres secteurs économiques. Les AES tiennent également compte du fait que la gestion rapide et efficace d’un incident par les petites entreprises et les microentreprises n’est pas limitée par la nécessité de respecter les exigences de classification prévues par le présent article. Les AES tiennent compte, en outre, de la taille des entités financières, de la nature, de l’ampleur et de la complexité de leurs services, activités et opérations et de leur profil de risque global.

Les AES soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le [OP: insérer la date correspondant à deux ans après la date d’entrée en vigueur].

Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au paragraphe 2 est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) nº 1093/2010, (UE) nº 1094/2010 et (UE) nº 1095/2010, respectivement.

 

Article 17

Notification des incidents majeurs liés à l’informatique

1. Les entités financières notifient à l’autorité compétente pertinente visée à l’article 41 les incidents majeurs liés à l’informatique, dans les délais prévus au paragraphe 3.

Aux fins du premier alinéa, les entités financières établissent, après avoir recueilli et analysé toutes les informations pertinentes, un rapport d’incident en utilisant le modèle visé à l’article 18, et le soumettent à l’autorité compétente.

Le rapport comprend toutes les informations nécessaires pour permettre à l’autorité compétente de déterminer l’importance de l’incident majeur lié à l’informatique et d’évaluer les éventuelles incidences transfrontières.

1 bis. Les entités financières peuvent notifier, sur une base volontaire, les cybermenaces importantes à l’autorité compétente concernée lorsqu’elles estiment que la menace est pertinente pour le système financier, les utilisateurs de services ou les clients. L’autorité compétente concernée peut communiquer ces informations à d’autres autorités compétentes conformément au paragraphe 5.

2. Lorsqu’un incident majeur lié à l’informatique survient et a une incidence significative sur les intérêts financiers des utilisateurs de services et des clients, les entités financières informent leurs utilisateurs de services et leurs clients de cet incident majeur lié à l’informatique dans les meilleurs délais après en avoir pris connaissance et leur communiquent▐ les mesures pertinentes qui ont été prises pour atténuer les effets préjudiciables de cet incident. Lorsque les contre-mesures prises par l’entité financière n’entraînent aucun préjudice pour les utilisateurs de services et les clients, l’obligation d’informer les utilisateurs de services et les clients ne s’applique pas.

3. Les entités financières soumettent à l’autorité compétente visée à l’article 41:

a) une notification initiale de l’incident majeur lié à l’informatique qui contient les informations dont dispose l’entité à l’origine de la notification, laquelle est transmise dans toute la mesure du possible de la manière suivante:

i) en ce qui concerne les incidents qui perturbent de manière significative la disponibilité des services fournis par l’entité, l’autorité compétente en est informée dans les meilleurs délais et, en tout état de cause, dans les 24 heures suivant la prise de connaissance de l’incident;

 ii) en ce qui concerne les incidents qui ont, sur l’entité financière, une incidence significative autre que la disponibilité des services fournis par celle-ci, l’autorité compétente en est informée dans les meilleurs délais et, en tout état de cause, dans les 72 heures suivant la prise de connaissance de l’incident;

 iii) en ce qui concerne les incidents qui ont une incidence sur l’intégrité, la confidentialité ou la sécurité des données à caractère personnel conservées par cette entité financière, l’autorité compétente en est informée dans les meilleurs délais et, en tout état de cause, dans les 24 heures suivant la prise de connaissance de l’incident;

 

b) un rapport intermédiaire dès que le statut de l’incident initial a changé de manière significative ou que de nouvelles informations qui pourraient avoir des répercussions majeures sur la manière dont l’autorité compétente gère l’incident lié à l’informatique sont apparues, après la notification initiale visée au point a), suivi, le cas échéant, de notifications actualisées chaque fois qu’une mise à jour pertinente de la situation est disponible, ainsi que sur demande spécifique de l’autorité compétente;

c) un rapport final, lorsque l’analyse des causes profondes est terminée, que des mesures d’atténuation aient déjà été mises en œuvre ou non, et lorsque les chiffres relatifs aux incidences réelles sont disponibles en lieu et place des estimations, mais au plus tard un mois après l’envoi du rapport initial;

c bis) en cas d’incident toujours en cours au moment de la présentation du rapport final visé au point c), un rapport final est fourni un mois après que l’incident a été résolu.

L’autorité compétente concernée visée à l’article 41 prévoit que, dans des cas dûment justifiés, une entité financière est autorisée à déroger aux délais fixés aux points a), b), c) et c bis) du présent paragraphe en prenant dûment en considération la capacité des entités financières à fournir des informations précises et utiles sur les incidents majeurs liés à l’informatique.

4. Les entités financières ne peuvent déléguer à un tiers prestataire de services les obligations de notification prévues par le présent article qu’après approbation de la délégation par l’autorité compétente concernée visée à l’article 41. Dans le cas d’une telle délégation, l’entité financière reste pleinement responsable du respect des exigences en matière de notification des incidents.

 

5. Dès réception du rapport visé au paragraphe 1, l’autorité compétente fournit, dans les meilleurs délais, des précisions sur l’incident majeur liés à l’informatique:

a) à l’ABE, à l’AEMF ou à l’AEAPP, le cas échéant;

b) à la BCE, le cas échéant, pour ce qui est des entités financières visées à l’article 2, paragraphe 1, points a), b) et c); et

c) au point de contact unique désigné en vertu de l’article 8 de la directive (UE) 2016/1148 ou aux CSIRT désignés en vertu de l’article 9 de la directive (UE) 2016/1149;

c bis) à l’autorité de résolution responsable de l’entité financière concernée; au Conseil de résolution unique (CRU) pour les entités visées à l’article 7, paragraphe 2, du règlement (UE) nº 806/2014 et les entités et les groupes visés à l’article 7, paragraphe 4, point b), et paragraphe 5 du règlement (UE) nº 806/2014 lorsque les conditions d’application de ces paragraphes sont réunies;

c ter) aux autorités de résolution nationales pour les entités et les groupes visés à l’article 7, paragraphe 3, du règlement (UE) nº 806/2014. Les autorités de résolution nationales communiquent au CRU, tous les trois mois, un résumé des rapports qu’elles ont reçus au titre du présent point en ce qui concerne les entités et les groupes visés à l’article 7, paragraphe 2, du règlement (UE) nº 806/2014;

c quater) aux autres autorités publiques pertinentes, notamment celles d’autres États membres.

6. L’ABE, l’AEMF ou l’AEAPP et la BCE, en coopération avec l’ENISA, évaluent la pertinence de l’incident majeur lié à l’informatique pour les autres autorités publiques concernées et les notifient en conséquence dès que possible. La BCE informe les membres du Système européen de banques centrales des questions pertinentes pour le système de paiement. Sur la base de cette notification, les autorités compétentes prennent, le cas échéant, toutes les mesures nécessaires afin de protéger la stabilité immédiate du système financier.

 

Article 18

Harmonisation du contenu et des modèles des rapports de notification

 

1. Les AES, agissant par l’intermédiaire du comité mixte et après consultation de l’ENISA et de la BCE, élaborent:

a) des projets communs de normes techniques de réglementation dans le but:

(1) de définir le contenu des rapports de notification relatifs aux incidents majeurs liés à l’informatique;

(2) de préciser les conditions dans lesquelles les entités financières peuvent déléguer à un tiers prestataire de services, après approbation préalable de l’autorité compétente, les obligations de notification énoncées dans le présent chapitre;

(3) de préciser les critères permettant de déterminer l’incidence d’un incident majeur lié à l’informatique sur une entité financière aux fins de l’article 17, paragraphe 3, point a); 

b) des projets communs de normes techniques d’exécution afin de définir les formulaires, les modèles et les procédures types permettant aux entités financières de notifier un incident majeur lié à l’informatique.

Les AES soumettent à la Commission les projets communs de normes techniques de réglementation visés à l’alinéa 1, point a), et les projets communs de normes techniques d’exécution visés à l’alinéa 1, point b), au plus tard le xx 202x [OP: insérer la date correspondant à deux ans après la date d’entrée en vigueur].

Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées à l’alinéa 1, point a), est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) nº 1093/2010, (UE) nº 1095/2010 et (UE) nº 1094/2010, respectivement.

Le pouvoir d’adopter les normes techniques d’exécution communes visées à l’alinéa 1, point b), est conféré à la Commission conformément à l’article 15 des règlements (UE) nº 1093/2010, (UE) nº 1095/2010 et (UE) nº 1094/2010, respectivement.

2. Dans l’attente des conclusions du rapport visé à l’article 19 sur la possibilité de renforcer la centralisation des notifications d’incidents, les AES, agissant par l’intermédiaire du comité mixte et en collaboration avec les autorités compétentes, la BCE, le CRU et l’ENISA, élaborent des orientations pour l'échange d’informations relatives aux rapports sur les incidents majeurs liés à l’informatique conformément à l’article 17, paragraphe 5.

 Les orientations visées au premier alinéa envisagent au moins les éléments suivants:

a) les voies de communication les plus efficaces;

b) la préservation de la sécurité, de la confidentialité et de l’intégrité des données échangées;

c) la participation éventuelle des entités financières afin de compléter l'échange d’informations visé à l’article 40.

 

Article 19

Centralisation des notifications d’incidents majeurs liés à l’informatique

1. Les AES, agissant par l’intermédiaire du comité mixte et en concertation avec la BCE et l’ENISA, élaborent un rapport conjoint qui évalue la possibilité de renforcer la centralisation des notifications d’incidents par la création d’un pôle de l’UE unique pour la notification des incidents majeurs liés à l’informatique par les entités financières. Le rapport étudie les moyens de faciliter le flux des notifications d’incidents liés à l’informatique, de réduire les coûts connexes et d’étayer les analyses thématiques en vue de renforcer la convergence en matière de surveillance.

2. Le rapport visé au paragraphe 1 comprend au moins les éléments suivants:

a) les conditions préalables à la création de ce pôle unique de l'UE;

b) les avantages, les limites et les risques éventuels;

b bis) la capacité d’assurer l’interopérabilité et d’évaluer sa valeur ajoutée au regard d’autres mécanismes de notification pertinents, dont la directive (UE) 2016/1148;

c) les aspects de la gestion opérationnelle;

d) les conditions de participation;

e) les modalités d'accès des entités financières et des autorités nationales compétentes au pôle unique de l'UE;

f) une évaluation préliminaire des coûts financiers engendrés par la mise en place de la plateforme opérationnelle qui soutiendra le pôle unique de l'UE, y compris l’expertise requise.

3. Les AES remettent le rapport visé au paragraphe 1 à la Commission, au Parlement européen et au Conseil au plus tard le xx 202x [JO: insérer la date correspondant à trois années après la date d’entrée en vigueur].

 

Article 20

Retour d’information en matière de surveillance

1. Dès qu’elle reçoit un rapport au titre de l’article 17, paragraphe 1, l’autorité compétente en accuse réception et fournit le plus rapidement possible à l’entité financière tout retour d’information ou toute orientation nécessaire, notamment pour examiner les mesures correctives au niveau de l’entité ou les moyens de réduire au maximum les effets préjudiciables dans les différents secteurs et fournit également un retour d’information, un aperçu et des renseignements anonymisés de façon pertinente à toutes les entités financières concernées lorsque cette démarche pourrait se révéler utile, sur la base de tout rapport d’incident majeur lié à l’informatique qu’elle reçoit.

2. Les AES, agissant par l’intermédiaire du comité mixte, présentent chaque année un rapport anonymisé et agrégé sur les notifications de rapports d’incidents majeurs liés à l’informatique reçues des autorités compétentes, en indiquant au minimum le nombre d’incidents majeurs liés à l’informatique, leur nature, leurs répercussions sur les opérations des entités financières ou des clients, leurs coûts estimés et les mesures correctives mises en œuvre.

Les AES émettent des avertissements et produisent des statistiques de haut niveau à l’appui des évaluations relatives aux menaces et à la vulnérabilité informatiques.

Article 20 bis

 

Incidents opérationnels ou de sécurité liés au paiement concernant certaines entités financières

 

Les exigences énoncées au présent chapitre s’appliquent également aux incidents opérationnels ou de sécurité liés au paiement et aux incidents opérationnels ou de sécurité majeurs liés au paiement lorsqu’ils concernent des entités financières visées à l’article 2, paragraphe 1, points a), b) et c).


CHAPITRE IV

TESTS DE RÉSILIENCE OPÉRATIONNELLE NUMÉRIQUE

Article 21

Exigences générales applicables à la réalisation de tests de résilience opérationnelle numérique

1. Afin d’évaluer l’état de préparation en cas d’incidents liés à l’informatique, de recenser les faiblesses, les défaillances ou les lacunes en matière de résilience opérationnelle numérique et de mettre rapidement en œuvre des mesures correctives, les entités financières autres que les microentreprises établissent, maintiennent et réexaminent▐ un programme solide et complet de tests de résilience opérationnelle numérique, qui fait partie intégrante du cadre de gestion des risques informatiques visé à l’article 5.

2. Le programme de tests de résilience opérationnelle numérique comprend une série d’évaluations, de tests, de méthodologies, de pratiques et d’outils à appliquer conformément aux dispositions des articles 22 et 23.

3. Les entités financières adoptent une approche fondée sur le risque lorsqu’elles exécutent le programme de tests de résilience opérationnelle numérique visé au paragraphe 1, en tenant compte de l’évolution du paysage des risques informatiques, de tout risque spécifique auquel l’entité financière est ou pourrait être exposée, de la criticité des actifs d’information et des services fournis, ainsi que de tout autre facteur que l’entité financière juge approprié.

4. Les entités financières veillent à ce que les tests soient effectués par des parties indépendantes internes ou externes. Lorsque les tests sont effectués par un testeur interne, les entités financières leur accordent des ressources suffisantes et veille à éviter les conflits d’intérêts pendant les phases de conception et d’exécution du test.

5. Les entités financières définissent des procédures et des stratégies destinées à hiérarchiser, classer et résoudre tous les problèmes relevés au cours des tests et élaborent des méthodes de validation interne pour veiller à ce que toutes les faiblesses, défaillances ou lacunes recensées soient entièrement corrigées.

6. Les entités financières veillent à soumettre tous les systèmes et applications informatiques essentiels à des tests appropriés au moins une fois par an.

 

Article 22

Test des outils et systèmes informatiques

1. Le programme de tests de résilience opérationnelle numérique visé à l’article 21 prévoit l’exécution d’un éventail complet de tests appropriés.

Ces tests peuvent comprendre des évaluations et des analyses de vulnérabilité, des analyses des logiciels libres, des évaluations de la sécurité des réseaux, des analyses des lacunes, des examens de la sécurité physique, des questionnaires et des solutions logicielles de numérisation, des examens du code source lorsque cela est possible, des tests fondés sur des scénarios, des tests de compatibilité, des tests de performance, des tests de bout en bout ou des tests de pénétration.

2. Les entités financières visées à l’article 2, paragraphe 1, points f) et g), procèdent à des évaluations de la vulnérabilité avant tout déploiement ou redéploiement de services nouveaux ou existants à l’appui des fonctions, applications et composantes d’infrastructure critiques de l’entité financière.

Article 23

Tests avancés d’outils, de systèmes et de processus informatiques sur la base de tests de pénétration fondés sur la menace

 

1. Les entités financières identifiées conformément au paragraphe 3, deuxième alinéa, effectuent au moins tous les trois ans des tests avancés au moyen d’un test de pénétration fondé sur la menace.

2. Les tests de pénétration fondés sur la menace couvrent au minimum les fonctions et les services critiques ou importants d’une entité financière et sont effectués, si possible, sur des systèmes de production en direct qui appuient ces fonctions ou sur des systèmes de préproduction dotés de la même configuration de la sécurité. La portée précise des tests de pénétration fondés sur la menace, reposant sur l’évaluation des fonctions et services critiques ou importants, est déterminée par les entités financières et validée par les autorités compétentes. Un test de pénétration fondé sur la menace n’est pas tenu, à lui seul, de couvrir l’ensemble des fonctions critiques ou importantes.

Aux fins du premier alinéa, les entités financières recensent tous les processus, systèmes et technologies informatiques sous-jacents pertinents qui appuient les fonctions et services critiques ou importants, y compris les fonctions et les services critiques ou importants externalisés ou sous-traités à des tiers prestataires de services informatiques.

Lorsque des tiers prestataires de services informatiques critiques et, au besoin, des tiers prestataires de services informatiques non critiques sont inclus dans le champ d’application du test de pénétration fondé sur la menace, l’entité financière prend les mesures nécessaires pour garantir la participation de ces prestataires. Ces tiers prestataires de services informatiques ne sont pas tenus de communiquer des informations ou de fournir des détails sur les éléments qui ne présentent pas d’intérêt pour les contrôles de la gestion du risque des fonctions critiques ou importantes pertinentes des entités financières concernées. Ce test n’a pas d’incidence négative sur les autres clients des tiers prestataires de services informatiques.

Lorsque la participation d’un tiers prestataire de services informatiques au test de pénétration fondé sur la menace est susceptible d’avoir une incidence sur la qualité, la confidentialité ou la sécurité des services que le tiers prestataire de services informatiques fournit à d’autres clients ne relevant pas du champ d’application du présent règlement ou sur l’intégrité générale des activités du tiers prestataire de services informatiques, l’entité financière et le tiers prestataire de services informatiques peuvent convenir, par voie contractuelle, que le tiers prestataire de services informatiques est autorisé à conclure directement des accords contractuels avec un testeur externe. Les tiers prestataires de services informatiques peuvent conclure des accords contractuels au nom de l’ensemble des utilisateurs de l’entité financière qui ont recours à leurs services en vue de mener des tests groupés.

Les entités financières procèdent à des contrôles efficaces de la gestion des risques afin d’atténuer les risques d’incidence potentielle sur les données, de dommages aux actifs et de perturbation des fonctions ou opérations critiques ou importantes au sein de l’entité financière elle-même, de ses contreparties ou du secteur financier.

À l’issue du test, une fois que les rapports et les plans de mesures correctives ont été approuvés, l’entité financière et les testeurs externes fournissent à l’autorité publique unique désignée conformément au paragraphe 3 bis ou, dans le cas de tiers prestataires de services informatiques qui concluent directement des accords contractuels avec des testeurs externes, à l’ENISA, un rapport confidentiel des résultats du test et la documentation confirmant que le test de pénétration fondé sur la menace a été effectué conformément aux exigences. L’autorité publique unique ou l’ENISA, selon le cas, délivre une attestation qui confirme que le test a été effectué conformément aux exigences définies dans la documentation afin de permettre la reconnaissance mutuelle des tests de pénétration fondés sur la menace entre les autorités compétentes. L’attestation est transmise à l’autorité compétente de l’entité financière et, au besoin, au superviseur principal du tiers prestataire critique de services informatiques.

3. Pour réaliser les tests de pénétration fondés sur la menace, les entités financières ou les tiers prestataires de services informatiques autorisés à conclure directement des accords contractuels avec un testeur externe conformément au paragraphe 2 du présent article font appel à des testeurs qui répondent aux critères définis par l’article 24.

Sans préjudice de leur faculté de déléguer des tâches ou des compétences définies au présent article à d’autres autorités compétentes chargées du test de pénétration fondé sur la menace, les autorités compétentes désignent les entités financières qui doivent se soumettre à un test de pénétration fondé sur la menace d’une manière qui soit proportionnée▐ , sur la base de l’appréciation des éléments suivants:

a) les facteurs d’incidence, en particulier la criticité des services fournis et des activités entreprises par l’entité financière;

b) les éventuels problèmes de stabilité financière, y compris le caractère systémique de l’entité financière au niveau national ou au niveau de l’Union, le cas échéant;

c) le profil de risque informatique spécifique, le niveau de maturité informatique de l’entité financière ou les caractéristiques technologiques qui sont concernées.

3 bis. Les États membres désignent une autorité publique unique chargée des tests de pénétration fondés sur la menace dans le secteur financier à l’échelon national, à l’exception de la désignation des entités financières conformément au paragraphe 3, et notamment des tests de pénétration fondés sur la menace effectués par les entités financières et les tiers prestataires de services informatiques qui concluent directement des accords contractuels avec des testeurs externes. L’autorité publique unique ainsi désignée dispose de toutes les compétences et est chargée de toutes les tâches nécessaires à cet effet.

 

4. Les AES élaborent, en coordination avec l’ENISA et après avoir consulté la BCE et en tenant compte des cadres pertinents en vigueur dans l’Union qui s’appliquent aux tests de pénétration fondés sur la menace et sur le renseignement, et notamment le cadre TIBER-EU, un ensemble de projets de normes techniques de réglementation visant à préciser:

a) les critères utilisés aux fins de l’application du paragraphe 3, deuxième alinéa, du présent article;

b) les exigences concernant:

i) la portée du test de pénétration fondé sur la menace visé au paragraphe 2 du présent article;

ii) la méthodologie des tests et l’approche à suivre pour chaque phase spécifique du processus de test;

iii) les stades de résultats, de clôture et de correction des tests;

c) le type de coopération nécessaire, en matière de surveillance, pour l’exécution et la facilitation de la reconnaissance mutuelle totale des tests de pénétration fondés sur la menace dans le contexte des entités financières qui opèrent dans plus d’un État membre ainsi que des tests réalisés par des testeurs externes avec lesquels des tiers prestataires de services informatiques ont directement conclu des accords contractuels conformément au paragraphe 2 du présent article, afin de garantir un niveau approprié de participation des autorités de surveillance et une mise en œuvre souple tenant compte des spécificités des sous-secteurs financiers ou des marchés financiers locaux.

Les AES soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le [JO: insérer la date correspondant à six mois avant la date d’entrée en vigueur].

Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au deuxième alinéa est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) nº 1093/2010, (UE) nº 1095/2010 et (UE) nº 1094/2010, respectivement.

 

Article 24

Exigences applicables aux testeurs

1. Aux fins du déploiement de tests de pénétration fondés sur la menace, les entités financières et les tiers prestataires de services informatiques autorisés à conclure directement des accords contractuels avec un testeur externe conformément à l’article 23, paragraphe 2, ont uniquement recours à des testeurs qui:

a) possèdent le degré de compétence et d’intégrité le plus élevé;

b) possèdent des capacités techniques et organisationnelles et justifient d’une expertise spécifique en matière de renseignement sur les menaces, de tests de pénétration ou de tests de la red team;

c) sont certifiés par un organisme d’accréditation dans un État membre ou adhèrent à des codes de conduite ou des cadres éthiques formels, que les testeurs proviennent de l’Union ou d'un pays tiers;

d) ▐ fournissent une assurance indépendante ou un rapport d’audit ayant trait à la bonne gestion des risques associés à l’exécution de tests de pénétration fondés sur la menace, y compris la protection adéquate des informations confidentielles de l’entité financière et la couverture des risques opérationnels de l’entité financière;

e) ▐ sont dûment et entièrement couverts par les assurances de responsabilité civile professionnelle pertinentes, y compris contre les risques de mauvaise conduite et de négligence.

e bis) dans le cas de testeurs internes, le recours à ces derniers a été approuvé par l’autorité compétente concernée et par l’autorité publique unique désignée conformément à l’article 23, paragraphe 3 bis, et ces autorités ont vérifié que l’entité financière leur a accordé des ressources suffisantes et a veillé à éviter les conflits d’intérêts pendant les phases de conception et d’exécution du test.

2. Les entités financières et les tiers prestataires de services informatiques autorisés à conclure directement des accords contractuels avec un testeur externe conformément à l’article 23, paragraphe 2 veillent à ce que les accords conclus avec des testeurs externes requièrent une gestion efficace des résultats des tests de pénétration fondés sur la menace et à ce que leur traitement, y compris la génération, l’élaboration, le stockage, l’agrégation, le rapport, la communication ou la destruction, ne fasse pas courir de risques à l’entité financière.


 

CHAPITRE V

GESTION DES RISQUES LIÉS AUX TIERS PRESTATAIRES DE SERVICES INFORMATIQUES

SECTION I

PRINCIPES CLÉS POUR UNE BONNE GESTION DES RISQUES LIÉS AUX TIERS PRESTATAIRES DE SERVICES INFORMATIQUES

 

Article 25

Principes généraux

Les entités financières gèrent les risques liés aux tiers prestataires de services informatiques en tant que partie intégrante des risques informatiques dans leur cadre de gestion des risques informatiques et conformément aux principes ci-dessous.

1. Les entités financières qui ont conclu des accords contractuels pour l’utilisation de services informatiques dans le cadre de leurs activités commerciales restent à tout moment pleinement responsables du respect et de l’exécution de toutes les obligations découlant du présent règlement et de la législation applicable aux services financiers.

2. Les entités financières gèrent les risques liés aux tiers prestataires de services informatiques dans le respect du principe de proportionnalité, en tenant compte:

a) de la nature, de l’ampleur, de la complexité et de l’importance des relations de dépendance en matière de TIC,

b) des risques découlant des accords contractuels portant sur l’utilisation de services informatiques conclus avec des tiers prestataires de services informatiques, compte tenu de la criticité ou de l’importance du service, du processus ou de la fonction en question, ainsi que des incidences potentielles de ces risques sur la continuité et la qualité des services et activités financiers, au niveau individuel et au niveau du groupe;

b bis) du fait qu’un prestataire de services informatiques est ou non un prestataire de services informatiques intra-groupe.

3. Aux fins de leur cadre de gestion des risques informatiques, les entités financières autres que les microentreprises adoptent une stratégie en matière de risques liés aux tiers prestataires de services informatiques, et la réexaminent régulièrement▐. Cette stratégie inclut une politique relative à l’utilisation des services informatiques fournis par des tiers prestataires de services informatiques et s’applique sur une base individuelle et, le cas échéant, sur une base sous-consolidée et consolidée. L’organe de direction examine régulièrement les risques identifiés pour ce qui est de l’externalisation de fonctions critiques.

4. Aux fins de leur cadre de gestion des risques informatiques, les entités financières tiennent et mettent à jour, au niveau de l’entité et aux niveaux sous-consolidé et consolidé, un registre d’informations en rapport avec tous les accords contractuels portant sur l’utilisation de services informatiques fournis par des tiers prestataires de services informatiques qui appuient des fonctions critiques ou importantes.

Les accords contractuels visés au premier alinéa sont dûment documentés▐.

Le cas échéant, les entités financières suivent les orientations et les autres mesures publiées par les AES et les autorités compétentes jusqu’à l’entrée en vigueur des normes techniques d’exécution visées au paragraphe 10.

Les entités financières communiquent au moins une fois par an aux autorités compétentes des informations sur le nombre de nouveaux accords relatifs à l’utilisation de services informatiques qui appuient des fonctions critiques ou importantes, les catégories de tiers prestataires de services informatiques, le type d’accords contractuels et les services et fonctions qui sont fournis.

Les entités financières mettent à la disposition de l’autorité compétente, si elle en fait la demande, le registre d’informations complet ou, le cas échéant, des sections spécifiques de celui-ci, ainsi que toute information jugée nécessaire pour garantir une surveillance efficace de l’entité financière.

Les entités financières informent en temps utile l’autorité compétente des projets de contrats portant sur des fonctions critiques et des cas dans lesquels une fonction est devenue critique.

5. Avant de conclure un accord contractuel sur l’utilisation de services informatiques, les entités financières:

a) déterminent si l’accord contractuel couvre une fonction critique;

b) évaluent si les conditions fixées par les autorités de surveillance en matière de conclusion de contrats sont remplies;

c) identifient et évaluent tous les risques pertinents ayant trait à l’accord contractuel, y compris la possibilité que cet accord contractuel contribue à accroître le risque de concentration informatique;

d) font preuve de toute la diligence requise à l’égard des tiers prestataires de services informatiques potentiels et s’assurent, tout au long des processus de sélection et d’évaluation, que les tiers prestataires de services informatiques présentent les qualités requises;

e) identifient et évaluent les conflits d’intérêts susceptibles de découler de l’accord contractuel.

6. Les entités financières ne peuvent conclure des accords contractuels qu'avec des tiers prestataires de services informatiques qui respectent des normes élevées, adéquates et actualisées en matière de sécurité▐. Les dernières normes sont également prises en considération pour déterminer si les normes de sécurité mises en place sont adéquates.

7. Lorsqu’elles exercent leurs droits d’accès, d’inspection et d’audit à l’égard d’un tiers prestataire de services informatiques portant sur des fonctions critiques ou importantes, les entités financières déterminent au préalable, selon une approche fondée sur les risques, la fréquence des audits et des inspections, ainsi que les domaines qui doivent faire l’objet d’un audit, dans le respect des normes d’audit communément admises et conformément à toute instruction de surveillance relative à l’utilisation et à l’incorporation de ces normes d’audit.

Pour les accords contractuels qui supposent une complexité technologique détaillée, l’entité financière vérifie que les auditeurs, qu’il s’agisse d’auditeurs internes ou externes ou de groupes d’auditeurs, possèdent les compétences et les connaissances requises pour réaliser efficacement les évaluations et les audits pertinents.

8. Les entités financières veillent à ce que les accords contractuels relatifs à l’utilisation de services informatiques permettent aux entités financières de prendre les mesures correctives adéquates, qui peuvent comporter la résiliation complète des accords si aucune rectification n’est possible ou la résiliation partielle des accords si une rectification est possible en vertu du droit applicable, au moins dans les circonstances suivantes:

a) le tiers prestataire de services informatiques a gravement enfreint les dispositions législatives, réglementaires ou contractuelles applicables;

a bis) une recommandation a été formulée au titre de l’article 37 par l’organe de supervision conjoint à l’adresse d’un tiers prestataire critique de services informatiques;

b) le suivi des risques liés aux tiers prestataires de services informatiques a révélé l'existence de circonstances susceptibles d’altérer l’exécution des fonctions prévues par l’accord contractuel, y compris des changements significatifs qui affectent l’accord ou la situation du tiers prestataire de services informatiques;

c) le tiers prestataire de services informatiques présente des faiblesses avérées dans la gestion globale des risques informatiques de son contrat avec l’entité financière et, en particulier, dans la manière dont il assure la sécurité et l’intégrité des données confidentielles, personnelles ou autrement sensibles ou des informations non personnelles;

d) il existe des circonstances dans lesquelles l’autorité compétente ne peut manifestement plus surveiller efficacement l’entité financière en raison de l’accord contractuel en question.

8 bis. En vue de réduire les risques de perturbations au niveau de l’entité financière, dans des circonstances dûment justifiées et en accord avec ses autorités compétentes, l’entité financière peut décider de ne pas résilier les accords contractuels conclus avec le tiers prestataire de services informatiques avant d’être en mesure de changer de tiers prestataire de services informatiques ou de recourir à des solutions sur site en fonction de la complexité du service fourni, conformément à la stratégie de sortie visée au paragraphe 9.

8 ter. Lorsque des accords contractuels conclus avec des tiers prestataires de services informatiques sont résiliés dans l’une des circonstances énumérées au paragraphe 8, points a) à d), les entités financières ne supportent pas le coût de transfert des données d’un tiers prestataire de services informatiques lorsque ce transfert dépasse le coût de transfert de données prévu dans le contrat initial.

9. Pour les services informatiques portant sur des fonctions critiques ou importantes, les entités financières mettent en place des stratégies de sortie qui sont réexaminées périodiquement. Les stratégies de sortie tiennent compte des risques susceptibles d’apparaître au niveau du tiers prestataire de services informatiques, en particulier une éventuelle défaillance de ce dernier, une détérioration de la qualité des fonctions fournies, toute perturbation de l’activité due à une fourniture inappropriée ou défaillante de services ou un risque significatif découlant du déploiement approprié et continu de la fonction, ou en cas de résiliation d’accords contractuels conclus avec un tiers prestataire de services informatiques dans l’une des circonstances énumérées au paragraphe 8, points a) à d).

Les entités financières veillent à ce qu’elles puissent se retirer des accords contractuels sans:

a) perturber leurs activités commerciales,

b) restreindre le respect des exigences réglementaires,

c) porter atteinte à la continuité et à la qualité de leur prestation de services aux clients.

Les plans de sortie sont complets, documentés et, le cas échéant, soumis à des tests suffisants.

Les entités financières définissent des solutions de substitution et élaborent des plans de transition leur permettant de supprimer les fonctions visées par le contrat et les données pertinentes détenues par le tiers prestataire de services informatiques, et de les transférer en toute sécurité et intégralement à d’autres prestataires ou de les réorganiser en interne.

Les entités financières prennent les mesures d’urgence qui s’imposent pour maintenir la continuité des activités dans toutes les circonstances visées au premier alinéa.

10. Les AES élaborent, par l’intermédiaire du comité mixte, des projets de normes techniques d’exécution visant à mettre en place les modèles types aux fins du registre d’informations visé au paragraphe 4.

Les AES soumettent ces projets de normes techniques d’exécution à la Commission au plus tard le [JO: insérer la date correspondant à une année après la date d’entrée en vigueur du présent règlement].

Le pouvoir d’adopter les normes techniques d’exécution visées au premier alinéa est conféré à la Commission conformément à l’article 15 des règlements (UE) nº 1093/2010, (UE) nº 1095/2010 et (UE) nº 1094/2010, respectivement.

11. Les AES élaborent, par l’intermédiaire du comité mixte, des projets de normes de réglementation:

a) pour préciser le contenu détaillé de la stratégie visée au paragraphe 3 en ce qui concerne les accords contractuels relatifs à l’utilisation de services informatiques fournis par des tiers prestataires de services informatiques, en se référant aux principales phases du cycle de vie des accords respectifs relatifs à l’utilisation de services informatiques;

b) pour préciser les types d’informations à inclure dans le registre d’informations visé au paragraphe 4.

Les AES soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le [JO: insérer la date correspondant à 18 mois après la date d’entrée en vigueur].

Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au deuxième alinéa est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) nº 1093/2010, (UE) nº 1095/2010 et (UE) nº 1094/2010, respectivement.

 

Article 26

Évaluation préliminaire du risque de concentration informatique et autres accords de sous-traitance

1. Lorsqu’elles procèdent à l’identification et à l’évaluation du risque de concentration informatique visé à l’article 25, paragraphe 5, point c), les entités financières déterminent si la conclusion d’un accord contractuel portant sur des services informatiques qui appuient des fonctions critiques ou importantes déboucherait sur l’une des situations suivantes:

a) la conclusion d’un contrat avec un tiers prestataire de services informatiques dont les services ne sont pas facilement substituables; ou

b) la mise en place de plusieurs accords contractuels relatifs à la fourniture de services informatiques qui appuient des fonctions critiques ou importantes avec le même tiers prestataire de services informatiques ou avec des tiers prestataires de services informatiques étroitement liés.

Les entités financières évaluent les avantages et les coûts des solutions de substitution, telles que le recours à différents tiers prestataires de services informatiques, en tenant compte de la compatibilité éventuelle des solutions envisagées avec les besoins et les objectifs opérationnels définis dans leur stratégie de résilience numérique, et de la manière de garantir cette compatibilité.

2. Lorsque l’accord contractuel relatif à l’utilisation de services informatiques qui appuient des fonctions critiques ou importantes prévoit la possibilité qu’un tiers prestataire de services informatiques sous-traite une fonction critique ou importante à d’autres tiers prestataires de services informatiques, les entités financières évaluent les avantages et les risques qui peuvent découler de cette éventuelle sous-traitance▐.

Lorsque des accords contractuels relatifs à l’utilisation de services informatiques qui appuient des fonctions critiques ou importantes sont conclus avec un tiers prestataire de services informatiques▐, les entités financières tiennent compte, au minimum, des facteurs suivants:

a) 

b)  

c) les dispositions de la législation en matière d’insolvabilité qui s’appliqueraient en cas de faillite du tiers prestataire de services informatiques; et

d) toute contrainte qui pourrait survenir relativement à la récupération urgente des données de l’entité financière.

Lorsque des accords contractuels relatifs à l’utilisation de services informatiques qui appuient des fonctions critiques ou importantes sont conclus avec un tiers prestataire de services informatiques établi dans un pays tiers, les entités financières tiennent également compte, en plus des considérations visées au premier et au deuxième alinéas, des facteurs suivants:

i)  le respect de la protection des données; et

ii) l'application effective des règles définies dans le présent règlement.

Lorsque ces accords contractuels portent notamment sur la sous-traitance de fonctions critiques ou importantes, les entités financières évaluent si et comment des chaînes de sous-traitance potentiellement longues ou complexes sont susceptibles de compromettre leur capacité à assurer une évaluation rigoureuse des facteurs énumérés au deuxième et au troisième alinéas afin d'assurer le suivi des fonctions visées par le contrat et la capacité de l’autorité compétente à surveiller efficacement l’entité financière à cet égard.

Article 27

Principales dispositions contractuelles

1. Les droits et obligations de l’entité financière et du tiers prestataire de services informatiques sont définis clairement et consignés par écrit. L’intégralité du contrat, qui comprend les accords de niveau de service, est consignée par écrit et est mise à la disposition des parties sur papier ou dans un format téléchargeable et accessible.

2. Les entités financières et les tiers prestataires de services informatiques veillent à ce que les accords contractuels relatifs à l’utilisation de services informatiques comportent au moins les éléments suivants:

a) une description claire et exhaustive de tous les services et fonctions qui seront fournis par le tiers prestataire de services informatiques, indiquant si la sous-traitance d’une fonction critique, ou de parties significatives de celle-ci, est autorisée et, le cas échéant, les conditions applicables à cette sous-traitance;

b) les lieux, notamment les régions ou les pays, où les services et fonctions informatiques visés par le contrat ou la sous-traitance seront fournis et où les données seront traitées, y compris le lieu de stockage, et l’obligation pour le tiers prestataire de services informatiques d’informer au préalable l’entité financière si celui-ci envisage de déplacer ces lieux;

c) des dispositions sur l’accessibilité, la disponibilité, l’intégrité, la sécurité, la confidentialité et la protection des données, dont les données à caractère personnel

c bis) des dispositions sur la garantie de l’accès, de la récupération et de la restitution, dans un format facilement accessible, des données à caractère personnel et autres traitées par l’entité financière en cas d’insolvabilité, de résolution, de cessation des activités commerciales du tiers prestataire de services informatiques ou de résiliation des accords contractuels;

d) des descriptions complètes des niveaux de service, y compris leurs mises à jour et révisions, et des objectifs de performance quantitatifs et qualitatifs précis dans le cadre des niveaux de service convenus, afin de permettre un suivi efficace par l’entité financière et de prendre dans les meilleurs délais des mesures correctives appropriées lorsque les niveaux de service convenus ne sont pas atteints;

e) 

f) l’obligation pour le tiers prestataire de services informatiques de fournir, sans frais supplémentaires ou à un coût déterminé ex ante, une assistance en cas d’incident lié à l’informatique en lien avec le service fourni;

g) l’obligation pour le tiers prestataire de services informatiques de mettre en œuvre et de tester des plans d’urgence et de mettre en place des mesures, des outils et des politiques de sécurité en matière de TIC qui fournissent un niveau approprié de prestation de services sûre par l’entité financière, conformément à son cadre réglementaire;

h) 

i) l’obligation pour le tiers prestataire de services informatiques de coopérer pleinement avec les autorités compétentes et les autorités de résolution de l’entité financière, y compris les personnes désignées par celles-ci;

j) les droits de résiliation et le délai de préavis minimal correspondant pour la résiliation du contrat, conformément aux attentes des autorités compétentes et des autorités de résolution et, lorsque cet accord contractuel a une incidence sur un prestataire de services informatiques intra-groupe au sein du même groupe, une analyse selon une approche fondée sur les risques;

k) les stratégies de sortie, en particulier la fixation d’une période de transition adéquate obligatoire:

i) au cours de laquelle le tiers prestataire de services informatiques continuera à fournir les fonctions ou services concernés en vue de réduire le risque de perturbation au niveau de l’entité financière ou d’assurer sa résolution et sa restructuration efficaces;

ii) qui permet à l’entité financière de basculer vers un autre tiers prestataire de services informatiques ou de recourir à des solutions sur site adaptées à la complexité du service fourni;

ii bis) lorsque cet accord contractuel a une incidence sur un prestataire de services informatiques intra-groupe au sein du même groupe, il est analysé selon une approche fondée sur les risques;

k bis) une disposition indiquant que le traitement des données à caractère personnel par le tiers prestataire de services informatiques doit être conforme au règlement (UE) 2016/679;

2 bis. Les accords contractuels relatifs à la fourniture de fonctions critiques ou importantes comportent au moins les éléments suivants, en plus de ceux qui figurent au paragraphe 2:

a) les délais de préavis et les obligations de notification du tiers prestataire de services informatiques à l’entité financière, y compris la notification de tout développement susceptible d’avoir une incidence significative sur la capacité du tiers prestataire de services informatiques à remplir efficacement des fonctions critiques ou importantes conformément aux niveaux de service convenus;

b) le droit d’assurer un suivi permanent des performances du tiers prestataire de services informatiques, qui comprend:

i)  les droits d’accès, d’inspection et d’audit par l’entité financière ou par une tierce partie désignée, et le droit d’examiner la copie des documents pertinents sur place s’ils sont essentiels aux activités du tiers prestataire de services informatiques, dont l’exercice effectif n’est pas entravé ou limité par d’autres accords contractuels ou politiques d’exécution contractuelle;

ii)  le droit de convenir d’autres niveaux d’assurance si les droits d’autres clients sont affectés;

iii)  l’engagement du tiers prestataires de services informatiques de coopérer pleinement lors des inspections sur place et des audits effectués par les autorités compétentes, le superviseur principal, l’entité financière ou une tierce partie désignée et des précisions sur la portée, les modalités et la fréquence de ces inspections et audits;

Par dérogation au point b), le tiers prestataire de services informatiques et l’entité financière peuvent convenir que les droits d’accès, l’inspection et l’audit peuvent être délégués à une tierce partie indépendante, nommée par le tiers prestataire de services informatiques, et que l’entité financière est habilitée à demander à la tierce partie, en tout temps, des informations ainsi qu’une garantie concernant la performance du tiers prestataire de services informatiques.

2 ter. Outre les dispositions des paragraphes 2 et 2 bis du présent article, les accords contractuels relatifs à la prestation de services informatiques par un tiers prestataire de services informatiques établi dans un pays tiers et désigné comme critique en vertu de l’article 28, paragraphe 9:

a) précisent que le contrat est régi par le droit d’un État membre; et

b)  garantissent que l’organe de supervision conjoint et le superviseur principal sont en mesure d’exécuter les tâches qui leur incombent en vertu de l’article 30 sur la base de leurs compétences établies à l’article 31.

Les services pour lesquels les accords contractuels sont conclus ne sont pas tenus d’être exécutés par l'entreprise constituée dans l’Union en vertu du droit d’un État membre.

3. Lors de la négociation d’accords contractuels, les entités financières et les tiers prestataires de services informatiques envisagent l’utilisation de clauses contractuelles types élaborées pour des services particuliers.

3 bis. Les autorités compétentes sont en mesure d’accéder aux accords contractuels visés au présent article. Les parties à ces accords contractuels peuvent convenir d’occulter des informations confidentielles ou sensibles sur le plan commercial avant d'accorder cet accès aux autorités compétentes, pour autant que celles-ci soient pleinement informées de la portée et de la nature de ces informations occultées.

4. Les AES élaborent, par l’intermédiaire du comité mixte, des projets de normes techniques de réglementation visant à préciser les éléments qu’une entité financière doit déterminer et évaluer lorsqu’elle sous-traite des fonctions critiques pour donner correctement effet aux dispositions du paragraphe 2, point a). Lorsqu’elles élaborent ces projets de normes techniques de réglementation, les AES tiennent compte de la taille des entités financières, de la nature, de l’ampleur et de la complexité de leurs services, activités et opérations et de leur profil de risque global.

Les AES soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le [JO: insérer la date correspondant à 18 mois après la date d’entrée en vigueur].

Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au premier alinéa est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) nº 1093/2010, (UE) nº 1095/2010 et (UE) nº 1094/2010, respectivement.

 

 


SECTION II

CADRE DE SUPERVISION DES TIERS PRESTATAIRES CRITIQUES DE SERVICES INFORMATIQUES

Article 28

Désignation de tiers prestataires critiques de services informatiques

1. Les AES, agissant par l’intermédiaire du comité mixte et sur recommandation de l’organe de supervision institué conformément à l’article 29, paragraphe 1, après consultation de l’ENISA:

a) désignent les tiers prestataires de services informatiques qui sont critiques pour les entités financières, en tenant compte des critères précisés au paragraphe 2;

b) désignent l’ABE, l’AEMF ou l’AEAPP comme superviseur principal pour chaque tiers prestataire critique de services informatiques, selon que la valeur totale des actifs des entités financières qui utilisent les services de ce tiers prestataire critique de services informatiques et qui relèvent de l’un des règlements (UE) nº 1093/2010, (UE) nº 1094/2010 ou (UE) nº 1095/2010 respectivement, représente plus de la moitié de la valeur du total des actifs de toutes les entités financières qui utilisent les services du tiers prestataire critique de services informatiques, sur la base des bilans consolidés de ces entités financières, ou de leurs bilans individuels lorsque les bilans ne sont pas consolidés.

 Le superviseur principal désigné conformément au premier alinéa, point b), est chargé de la supervision quotidienne du tiers prestataire critique de services informatiques.

2. La désignation visée au paragraphe 1, point a), repose sur l’ensemble des critères suivants:

a) l’effet systémique sur la stabilité, la continuité ou la qualité de la fourniture de services financiers dans les cas où le tiers prestataire de services informatiques concerné serait confronté à une défaillance opérationnelle à grande échelle dans la prestation de ses services, compte tenu du nombre d’entités financières auxquelles le tiers prestataire de services informatiques concerné fournit des services;

b)  le caractère ou l’importance systémique des entités financières qui dépendent du tiers prestataire de services informatiques concerné, appréciés selon les paramètres suivants:

 i) le nombre d’établissements d’importance systémique mondiale (EISm) ou d’autres établissements d’importance systémique (autres EIS) qui dépendent du tiers prestataire de services informatiques concerné;

 ii) l’interdépendance entre les EISm ou les autres EIS visés au point i) et d’autres entités financières, y compris les situations dans lesquelles les EISm ou les autres EIS fournissent des services d’infrastructure financière à d’autres entités financières;

c) la dépendance des entités financières à l’égard des services fournis par le tiers prestataire de services informatiques concerné en ce qui concerne les fonctions critiques des entités financières qui font en fin de compte intervenir le même tiers prestataire de services informatiques, que les entités financières dépendent de ces services directement ou indirectement, par des moyens ou par des accords de sous-traitance;

d) le degré de substituabilité du tiers prestataire de services informatiques, en tenant compte des paramètres suivants:

i) l’absence de réelles solutions de substitution, même partielles, en raison du nombre limité de tiers prestataires de services informatiques actifs sur un marché donné, ou de la part de marché du tiers prestataire de services informatiques concerné, ou de la complexité ou du degré de sophistication technique en jeu, y compris en ce qui concerne toute technologie propriétaire, ou des caractéristiques spécifiques de l’organisation ou de l’activité du tiers prestataire de services informatiques;

ii) des difficultés à migrer partiellement ou entièrement les données et les charges de travail pertinentes du tiers prestataire de services informatiques concerné vers un autre, en raison soit de coûts financiers importants, de contraintes de temps ou d’autres types de ressources que le processus de migration peut imposer, soit de risques informatiques accrus ou d’autres risques opérationnels auxquels l’entité financière est susceptible d’être exposée du fait de cette migration;

e) le nombre d’États membres dans lesquels le tiers prestataire de services informatiques concerné fournit des services;

f) le nombre d’États membres dans lesquels opèrent des entités financières faisant appel au tiers prestataire de services informatiques concerné;

f bis) la pertinence et l’importance des services fournis par le tiers prestataire de services informatiques concerné.

2 bis. L’organe de supervision conjoint informe le tiers prestataire de services informatiques avant de commencer son évaluation en vue de la désignation visée au paragraphe 1, point a).

 L’organe de supervision conjoint informe le tiers prestataire de services informatiques des résultats de l’évaluation visée au premier alinéa en fournissant un projet de recommandation concernant la criticité. Dans un délai de six semaines à compter de la date de réception de ce projet de recommandation, le tiers prestataire de services informatiques peut adresser à l’organe de supervision conjoint une déclaration motivée sur l’évaluation. Cette déclaration motivée contient toutes les informations supplémentaires pertinentes que le tiers prestataire de services informatiques juge appropriées pour étayer l’exhaustivité et l’exactitude de la procédure de désignation ou pour contester le projet de recommandation concernant la criticité. Le comité mixte des AES tient dûment compte de la déclaration motivée et peut demander au tiers prestataire de services informatiques de plus amples informations ou éléments de preuve avant de prendre une décision concernant la désignation.

 Le comité mixte des AES notifie au tiers prestataire de services informatiques la désignation le qualifiant de critique. Le tiers prestataire de services informatiques dispose d’un délai de trois mois minimum à compter de la date de réception de la notification pour procéder aux ajustements nécessaires en vue de permettre à l’organe de supervision conjoint d’exécuter les tâches qui lui incombent en vertu de l’article 30 ainsi que pour informer les entités financières auxquelles le tiers prestataire de services informatiques fournit des services. L’organe de supervision conjoint peut autoriser la prolongation de la période d’ajustement d’une durée maximale de trois mois à la demande dûment justifiée du tiers prestataire de services informatiques.

3. La Commission est habilitée à adopter un acte délégué, en conformité avec l’article 50, pour préciser les critères mentionnés au paragraphe 2.

4. Le mécanisme de désignation visé au paragraphe 1, point a), n’est pas activé tant que la Commission n’a pas adopté un acte délégué conformément au paragraphe 3.

5. Le mécanisme de désignation visé au paragraphe 1, point a), ne s’applique pas aux tiers prestataires de services informatiques qui sont soumis à des cadres de supervision établis en vue de soutenir les missions visées à l’article 127, paragraphe 2, du traité sur le fonctionnement de l’Union européenne.

6. L’organe de supervision conjoint, en consultation avec l’ENISA, établit, publie et met à jour régulièrement la liste des tiers prestataires critiques de services informatiques au niveau de l’Union.

7. Aux fins du paragraphe 1, point a), les autorités compétentes transmettent, sur une base annuelle et agrégée, les rapports visés à l’article 25, paragraphe 4, à l’organe de supervision conjoint institué en vertu de l’article 29. L’organe de supervision conjoint évalue les relations de dépendance des entités financières à l’égard de tiers prestataires de services informatiques sur la base des informations reçues des autorités compétentes.

8. Les tiers prestataires de services informatiques qui ne figurent pas sur la liste visée au paragraphe 6 peuvent demander à y figurer.

 Aux fins du premier alinéa, le tiers prestataire de services informatiques présente une demande motivée à l’ABE, à l’AEMF ou à l’AEAPP, lesquelles, par l’intermédiaire du comité mixte, décident d’inscrire ou non ce tiers prestataire de services informatiques sur cette liste conformément au paragraphe 1, point a).

 La décision visée au deuxième alinéa est adoptée et notifiée au tiers prestataire de services informatiques dans un délai de six mois à compter de la réception de la demande.

8 bis. Le comité mixte des AES, sur recommandation de l’organe de supervision conjoint, désigne les tiers prestataires de services informatiques établis dans un pays tiers qui sont critiques pour les entités financières conformément au paragraphe 1, point a).

 Lors de la désignation visée au premier alinéa du présent paragraphe, les AES et l’organe de supervision conjoint suivent les étapes de la procédure définies au paragraphe 2 bis.

9. Les entités financières ne font pas appel à un tiers prestataire critique de services informatiques établi dans un pays tiers à moins que ce tiers prestataire de services informatiques dispose d’une entreprise constituée dans l’Union en vertu du droit d’un État membre et ait conclu des accords contractuels conformément à l’article 27, paragraphe 2 ter.

Article 29

Structure du cadre de supervision

1. L’organe de supervision conjoint est institué dans le but de superviser les risques liés aux tiers prestataires de services informatiques dans les différents secteurs financiers et d'assurer la supervision directe des tiers prestataires de services informatiques désignés comme critiques conformément à l’article 28.

 Le rôle de l’organe de supervision conjoint est limité aux pouvoirs de supervision relatifs aux risques informatiques en ce qui concerne les services informatiques fournis à des entités financières par des tiers prestataires critiques de services informatiques.

 L’organe de supervision conjoint examine régulièrement les évolutions pertinentes en matière de risques et de vulnérabilités informatiques et promeut une approche cohérente dans le suivi des risques liés aux tiers prestataires de services informatiques à l’échelle de l’Union.

2. L’organe de supervision conjoint procède chaque année à une évaluation collective des résultats et des conclusions des activités de supervision menées pour l’ensemble des tiers prestataires critiques de services informatiques et promeut des mesures de coordination visant à accroître la résilience opérationnelle numérique des entités financières, à encourager les bonnes pratiques en matière de gestion du risque de concentration informatique et à envisager des mesures d’atténuation des transferts de risques intersectoriels.

 L’organe de supervision conjoint soumet des indices de référence exhaustifs concernant les tiers prestataires critiques de services informatiques, qui seront adoptés par le comité mixte en tant que positions communes des AES, conformément à l’article 56, paragraphe 1, des règlements (UE) nº 1093/2010, (UE) nº 1094/2010 et (UE) nº 1095/2010.

3. L’organe de supervision conjoint se compose des directeurs exécutifs des AES, d’un représentant à haut niveau du personnel en poste des AES et d’un représentant à haut niveau d’au moins huit autorités nationales compétentes. Un représentant de la Commission européenne, du CERS, de la BCE et de l’ENISA ainsi qu’au moins un expert indépendant désigné conformément au paragraphe 3 bis du présent article participent ▌en qualité d’observateurs.

Après la désignation annuelle des tiers prestataires critiques de services informatiques conformément à l’article 28, paragraphe 1, point a), le comité mixte des AES décide des autorités nationales compétentes qui seront membres de l’organe de supervision conjoint, en tenant compte des facteurs suivants:

a)  le nombre de tiers prestataires critiques de services informatiques établis ou fournissant des services au sein de l’État membre;

b)  la dépendance des entités financières d’un État membre à l’égard de tiers prestataires critiques de services informatiques;

c)  l’expertise d’une autorité nationale compétente en la matière;

d)  les ressources disponibles et la capacité d’une autorité nationale compétente;

e)  la nécessité de faire en sorte que le fonctionnement et le processus décisionnel de l’organe de supervision conjoint soient rationalisés, souples et efficaces;

L’organe de supervision conjoint communique sa documentation et ses décisions à l’ensemble des autorités nationales compétentes qui ne sont pas membres de l’organe de supervision conjoint.

Les travaux de l’organe de supervision conjoint bénéficient de l’appui et de l’assistance de membres attitrés du personnel des AES.

3 bis. L’expert indépendant visé au paragraphe 3 du présent article est désigné comme observateur par l’organe de supervision conjoint à la suite d’une procédure de candidature publique et transparente.

L’expert indépendant est désigné sur la base de son expertise en matière de stabilité financière, de résilience opérationnelle numérique et de questions de sécurité informatique pour une durée de deux ans.

L’expert indépendant désigné n'exerce aucune fonction au niveau national, au niveau de l'Union ou au niveau international. L’expert indépendant agit en toute indépendance et objectivité dans le seul intérêt de l'ensemble de l'Union et ne sollicite ni ne suit aucune instruction des institutions ou organes de l'Union, des gouvernements des États membres ou d'autres entités publiques ou privées.

L’organe de supervision conjoint peut décider de désigner plus d’un expert indépendant comme observateur.

4. Conformément à l’article 16 du règlement (UE) nº 1093/2010, (UE) nº 1094/2010 et (UE) nº 1095/2010, les AES publient des orientations au plus tard le [JO: insérer la date correspondant à dix-huit mois après la date d’entrée en vigueur du présent règlement] sur la coopération entre l’organe de supervision conjoint, le superviseur principal et les autorités compétentes, aux fins de la présente section, détaillant les procédures et conditions relatives à l’exécution des tâches entre les autorités compétentes et l’organe de supervision conjoint, ainsi que les modalités des échanges d’informations nécessaires aux autorités compétentes pour assurer le suivi des recommandations adressées par l'organe de supervision conjoint, conformément à l’article 31, paragraphe 1, point d), aux tiers prestataires critiques de services informatiques.

5. Les exigences énoncées dans la présente section sont sans préjudice de l’application de la directive (UE) 2016/1148 et des autres dispositions de l’Union en matière de supervision applicables aux fournisseurs de services d’informatique en nuage.

6. L’organe de supervision conjoint présente chaque année au Parlement européen, au Conseil et à la Commission un rapport sur l’application de la présente section.

Article 30

Tâches du superviseur principal

1. Le superviseur principal désigné conformément à l’article 28, paragraphe 1, point b), dirige et coordonne la supervision quotidienne des tiers prestataires critiques de services informatiques et est le premier point de contact de ces tiers prestataires critiques de services informatiques.

1 bis. Le superviseur principal détermine si chaque tiers prestataire critique de services informatiques a mis en place des règles, des procédures, des mécanismes et des dispositifs complets, solides et efficaces pour gérer les risques informatiques qu’il est susceptible de faire peser sur les entités financières. L’évaluation porte essentiellement sur les services informatiques qui appuient des fonctions critiques ou importantes fournies par les tiers prestataires critiques de services informatiques aux entités financières, mais peut également être élargie si cela s’avère utile à l’évaluation des risques auxquels ces fonctions sont exposées.

2. L’évaluation visée au paragraphe 1 bis comprend:

a) des exigences en matière de TIC pour garantir, en particulier, la sécurité, la disponibilité, la continuité, l’extensibilité et la qualité des services que le tiers prestataire critique de services informatiques fournit aux entités financières, ainsi que la capacité à maintenir à tout moment des normes élevées de sécurité, de confidentialité et d’intégrité des données;

b) la sécurité physique qui contribue à assurer la sécurité informatique, y compris la sécurité des locaux, des installations et des centres de données;

c) les processus de gestion des risques, y compris les politiques de gestion des risques informatiques, la continuité des activités informatiques et les plans de rétablissement après sinistre dans le domaine informatique;

d) les modalités de gouvernance, notamment une structure organisationnelle comportant des lignes de responsabilité et des règles de reddition de comptes claires, transparentes et cohérentes permettant une gestion efficace des risques informatiques;

e) le recensement et le suivi des incidents majeurs liés à l’informatique, ainsi que leur notification rapide aux entités financières, la gestion et la résolution de ces incidents, en particulier les cyberattaques;

f) les mécanismes relatifs à la portabilité des données, à la portabilité des applications et à l’interopérabilité, qui garantissent un exercice effectif des droits de résiliation par les entités financières;

g) les tests des systèmes, des infrastructures et des contrôles informatiques;

h) les audits informatiques;

i) l’utilisation des normes nationales et internationales pertinentes applicables à la fourniture de ses services informatiques aux entités financières.

3. Sur la base de l’évaluation visée au paragraphe 1 bis qu’a effectuée le superviseur principal, l’organe de supervision conjoint, sous la coordination et la direction du superviseur principal, établit et propose un plan de supervision individuel clair, détaillé et motivé pour chaque tiers prestataire critique de services informatiques.

Lors de la préparation du projet de plan de supervision, l’organe de supervision conjoint consulte toutes les autorités compétentes concernées et les points de contact uniques visés à l’article 8 de la directive (UE) 2016/1148 afin de s’assurer qu’il n’y a pas d’incohérences ou de doubles emplois avec les obligations du tiers prestataire critique de services informatiques en vertu de cette directive.

Le plan de supervision est adopté chaque année par le comité du superviseur principal.

Avant son adoption, le projet de plan de supervision est communiqué ▌au tiers prestataire critique de services informatiques.

Lorsqu’il reçoit le projet de plan de supervision, le tiers prestataire critique de services informatiques dispose d’un délai de six semaines pour examiner le projet de plan de supervision et présenter une déclaration motivée à son sujet. Cette déclaration motivée ne peut être présentée que si le tiers prestataire critique de services informatiques est en mesure d’apporter la preuve que l’exécution du plan de supervision aurait une incidence disproportionnée sur les clients ne relevant pas du champ d'application du présent règlement ou qu’elle entraînerait une perturbations pour ceux-ci ou qu’il existe une solution plus efficace ou plus efficiente pour gérer les risques informatiques identifiés. En cas de présentation d’une déclaration, le tiers prestataire critique de services informatiques propose à l’organe de supervision conjoint une solution plus efficace ou plus efficiente pour atteindre les objectifs du projet de plan de supervision.

Avant d’adopter le plan de supervision, le comité du superviseur principal tient dûment compte de la déclaration motivée et peut demander de plus amples informations ou éléments de preuve au tiers prestataire de services informatiques.

4. Une fois que les plans annuels de supervision visés au paragraphe 3 ont été adoptés et notifiés aux tiers prestataires critiques de services informatiques, les autorités compétentes ne peuvent prendre des mesures concernant les tiers prestataires critiques de services informatiques qu’en accord avec l’organe de supervision conjoint.

Article 31

 Pouvoirs de supervision

1. Aux fins de l’exécution des tâches prévues dans la présente section, le superviseur principal dispose des pouvoirs suivants en ce qui concerne les services fournis par des tiers prestataires critiques de services informatiques à des entités financières:

a) demander l’ensemble des informations et des documents pertinents conformément à l’article 32;

b) mener des enquêtes générales et des inspections sur place conformément aux articles 33 et 34;

c) demander, au terme des activités de supervision, des rapports dans lesquels sont précisées les mesures qui ont été prises ou les solutions qui ont été mises en œuvre par les tiers prestataires critiques de services informatiques en ce qui concerne les recommandations visées au paragraphe 1 bis.

1 bis. Aux fins de l’exécution des tâches prévues dans la présente section et sur la base des informations obtenues par le superviseur principal et des résultats des enquêtes menées par le superviseur principal, l’organe de supervision conjoint dispose du pouvoir de  formuler des recommandations dans les domaines visés à l’article 30, paragraphe 2, notamment en ce qui concerne:

i) le recours à des exigences ou à des processus spécifiques de sécurité et de qualité en matière de TIC, notamment en ce qui concerne le déploiement de correctifs, de mises à jour, de mesures de chiffrement et d’autres mesures de sécurité que l’organe de supervision conjoint juge pertinentes pour garantir la sécurité informatique des services fournis aux entités financières;

ii) le recours à des conditions et des modalités, y compris leur mise en œuvre technique, en vertu desquelles les tiers prestataires critiques de services informatiques fournissent des services aux entités financières, que l’organe de supervision conjoint juge pertinentes pour prévenir l’émergence de points uniques de défaillance ou leur amplification, ou pour réduire au maximum l’effet systémique éventuel dans l’ensemble du secteur financier de l’Union en cas de risque de concentration informatique;

iii) lors de l’examen, entrepris conformément aux articles 32 et 33, des accords de sous-traitance, y compris les accords d’externalisation que les tiers prestataires critiques de services informatiques prévoient de conclure avec d’autres tiers prestataires de services informatiques ou avec des sous-traitants informatiques établis dans un pays tiers, toute sous-traitance envisagée, y compris l’externalisation, lorsque l’organe de supervision conjoint estime que la poursuite de la sous-traitance peut entraîner des risques pour la fourniture de services par l’entité financière ou des risques pour la stabilité financière;

iv) l’abstention de conclure un nouvel accord de sous-traitance, lorsque les conditions cumulatives suivantes sont remplies:

 le sous-traitant envisagé est un tiers prestataire de services informatiques ou un sous-traitant informatique établi dans un pays tiers qui ne dispose pas d’une entreprise constituée dans l’Union en vertu du droit d’un État membre;

 la sous-traitance concerne une fonction critique de l’entité financière;

 la sous-traitance entraînerait des risques graves et manifestes pour l’entité financière ou pour la stabilité financière du système financier de l’Union.

1 ter. Les pouvoirs visés aux paragraphes 1 et 1 bis sont exercés en cas de besoin à l’égard des services informatiques qui appuient des fonctions non critiques ou importantes fournies par le tiers prestataire critique de services informatiques.

1 quater. Lorsqu’ils exercent les pouvoirs visés aux paragraphes 1 et 1 bis du présent article, le superviseur principal et l’organe de supervision conjoint tiennent dûment compte du cadre établi par la directive (UE) 2016/1148 et, s’il y a lieu, consultent les autorités compétentes concernées établies par cette directive afin d’éviter la duplication inutile des mesures techniques et organisationnelles qui pourraient s’appliquer aux tiers prestataires critiques de services informatiques en vertu de ladite directive.

2. Avant de finaliser et de publier des recommandations conformément au paragraphe 1 bis, l’organe de supervision conjoint informe le tiers prestataire critique de services informatiques de ses intentions et lui donne la possibilité de fournir des informations dont il pense raisonnablement qu’elles devraient être prises en compte avant que la recommandation ne soit finalisée ou en vue de contester les recommandations envisagées. Une recommandation peut être contestée au motif, notamment, qu’elle aurait une incidence disproportionnée sur les clients ne relevant pas du champ d’application du présent règlement, qu’elle entraînerait une perturbation pour ceux-ci ou qu’il existe une solution plus efficace ou plus efficiente pour gérer le risque identifié.

3. Les tiers prestataires critiques de services informatiques coopèrent de bonne foi avec le superviseur principal et l’organe de supervision conjoint et les assistent dans l’accomplissement de leurs tâches.

4. En cas de non-respect total ou partiel des mesures à adopter conformément au paragraphe 1, points a), b) ou c), et après un délai d’au moins 60 jours civils à compter de la date à laquelle le tiers prestataire critique de services informatiques a reçu notification de la mesure, le superviseur principal peut décider d’imposer une astreinte pour obliger le tiers prestataire critique de services informatiques à s’y conformer.

4 bis. L’astreinte visée au paragraphe 4 n’est imposée par le superviseur principal qu’en dernier ressort et dans les cas où le tiers prestataire critique de services informatiques ne s’est pas conformé aux mesures à adopter conformément au paragraphe 1, points a), b) ou c).

5. L’astreinte visée au paragraphe 4 est imposée sur une base journalière jusqu’à ce que la conformité soit atteinte et pendant une période maximale de six mois à compter de la notification au tiers prestataire critique de services informatiques.

6. Le montant de l’astreinte, calculé à partir de la date indiquée dans la décision d’astreinte, est égal à 1 % au maximum du chiffre d’affaires quotidien moyen réalisé au niveau mondial pour des services fournis à des entités financières relevant du champ d’application du présent règlement par le tiers prestataire critique de services informatiques au cours de l’exercice précédent.

7. Les astreintes sont de nature administrative et sont exécutoires. L’exécution forcée est régie par les règles de la procédure civile en vigueur dans l’État membre sur le territoire duquel les inspections sont effectuées et l’accès accordé. Les juridictions de l’État membre concerné sont compétentes pour statuer sur les plaintes relatives à un comportement abusif en matière d’exécution. Les montants des astreintes sont affectés au budget général de l’Union européenne.

8. Les AES rendent publique toute astreinte infligée, sauf dans les cas où cette publication perturberait gravement les marchés financiers ou causerait un préjudice disproportionné aux parties en cause.

9. Avant d’imposer une astreinte en vertu du paragraphe 4, le superviseur principal donne aux représentants du tiers prestataire critique de services informatiques faisant l’objet de la procédure la possibilité d’être entendus sur les conclusions et ne fonde ses décisions que sur les conclusions sur lesquelles le tiers prestataire critique de services informatiques faisant l’objet de la procédure a eu la possibilité de formuler des observations. Les droits de la défense des personnes faisant l’objet de la procédure sont pleinement assurés au cours de la procédure. Elles disposent d’un droit d’accès au dossier, sous réserve de l’intérêt légitime d’autres personnes à ce que leurs secrets d’affaires ne soient pas divulgués. Le droit d’accès au dossier ne s’étend pas aux informations confidentielles ni aux documents préparatoires internes du superviseur principal.

Article 32

Demande d’informations

1. Le superviseur principal peut, sur simple demande ou par voie de décision, exiger des tiers prestataires critiques de services informatiques qu’ils fournissent toutes les informations nécessaires à l’exécution des tâches qui lui incombent en vertu du présent règlement, notamment tous les documents commerciaux ou opérationnels, contrats, documents stratégiques, rapports d’audit de sécurité informatique, rapports d’incidents liés à l’informatique, ainsi que toute information relative aux parties auxquelles le tiers prestataire critique de services informatiques a externalisé des fonctions ou activités opérationnelles.

Les tiers prestataires critiques de services informatiques ne sont tenus de fournir les informations visées au premier alinéa que pour les services fournis à des entités financières qui relèvent du champ d’application du présent règlement et qui ont recours aux services de tiers prestataires critiques de services informatiques pour des fonctions critiques ou importantes. Les tiers prestataires critiques de services informatiques informent l’entité financière concernée des demandes qui portent sur cette entité.

2. Lorsqu’il sollicite des renseignements par simple demande en vertu du paragraphe 1, le superviseur principal:

a) se réfère au présent article en tant que base juridique de la demande;

b) indique le but de la demande;

c) précise la nature des informations demandées;

d) fixe un délai dans lequel ces informations doivent être communiquées;

e) informe le représentant du tiers prestataire critique de services informatiques auquel les informations sont demandées qu’il n’est pas tenu de les communiquer, mais que toute réponse donnée volontairement à la demande de renseignements ne doit pas être inexacte ni trompeuse;

3. Lorsqu’il demande des informations par voie de décision en vertu du paragraphe 1, le superviseur principal:

a) se réfère au présent article en tant que base juridique de la demande;

b) indique le but de la demande;

c) précise la nature des informations demandées;

d) fixe un délai raisonnable dans lequel ces informations doivent être communiquées;

e) indique les astreintes prévues par l’article 31, paragraphe 4, pour le cas où les informations communiquées seraient incomplètes ou lorsque ces informations ne sont pas communiquées dans le délai fixé au point d);

f) informe du droit de former un recours contre la décision devant la commission de recours de l’AES et d’en demander le réexamen par la Cour de justice de l’Union européenne (ci-après la «Cour de justice») conformément aux articles 60 et 61 des règlements (UE) nº 1093/2010, (UE) nº 1094/2010 et (UE) nº 1095/2010, respectivement.

4. Les représentants des tiers prestataires critiques de services informatiques fournissent les informations demandées. Les avocats dûment mandatés peuvent fournir les renseignements demandés au nom de leurs mandants. Le tiers prestataire critique de services informatiques reste pleinement responsable du caractère complet, exact et non trompeur des renseignements fournis.

5. Le superviseur principal envoie sans retard une copie de la décision portant sur la communication d’informations aux autorités compétentes des entités financières qui ont recours aux services des tiers prestataires critiques de services informatiques.

Article 33

Enquêtes générales

1. Afin d’exercer les fonctions qui lui incombent en vertu du présent règlement, le superviseur principal, assisté de l’équipe d’examen visée à l’article 35, paragraphe 1, peut mener les enquêtes nécessaires auprès des tiers prestataires de services informatiques conformément au principe de proportionnalité. Lorsqu’il mène des enquêtes, le superviseur principal fait preuve de prudence et veille à protéger les droits des clients des tiers prestataires critiques de services informatiques ne relevant pas du champ d’application du présent règlement, y compris en ce qui concerne l’incidence sur les niveaux de service, la disponibilité des données et la confidentialité.

2. Le superviseur principal est habilité à:

a) examiner les dossiers, données, procédures et tout autre document pertinent pour l’exécution de ses tâches, quel qu’en soit le support;

b) examiner, de manière sécurisée, des copies certifiées conformes ou prélever des extraits de ces dossiers, données, procédures et autres documents;

c) convoquer les représentants du tiers prestataire de services informatiques et leur demander de fournir oralement ou par écrit des explications sur des faits ou des documents en rapport avec l’objet et le but de l’enquête, et enregistrer leurs réponses;

d) interroger toute autre personne physique ou morale qui accepte de l’être aux fins de recueillir des informations concernant l’objet d’une enquête;

e) demander les enregistrements des échanges téléphoniques et de données.

3. Les agents et autres personnes mandatés par le superviseur principal pour mener les enquêtes visées au paragraphe 1 exercent leurs pouvoirs sur présentation d’un mandat écrit qui indique l’objet et le but de l’enquête.

Ce mandat indique également les astreintes prévues à l’article 31, paragraphe 4, lorsque les dossiers, données, procédures ou autres documents requis, ou les réponses aux questions posées aux représentants du tiers prestataire de services informatiques ne sont pas fournis ou sont incomplets.

4. Les représentants des tiers prestataires de services informatiques sont tenus de se soumettre aux enquêtes sur la base d’une décision du superviseur principal. La décision indique l’objet et le but de l’enquête, les astreintes prévues à l’article 31, paragraphe 4, les voies de recours existantes en vertu des règlements (UE) nº 1093/2010, (UE) nº 1094/2010 et (UE) nº 1095/2010, ainsi que le droit de recours qui peut être ouvert devant la Cour de justice contre la décision.

5. En temps utile avant l’enquête, les superviseurs principaux informent les autorités compétentes des entités financières utilisant ce tiers prestataire de services informatiques de l’enquête prévue et de l’identité des personnes mandatées.

Article 34

Inspections sur place

1. Afin d’exercer les fonctions qui lui incombent en vertu du présent règlement, le superviseur principal, assisté des équipes d’examen visées à l’article 35, paragraphe 1, peut pénétrer dans tout local commercial, sur tout terrain ou sur toute propriété des tiers prestataires de services informatiques, tels que les sièges sociaux, les centres d’exploitation et les locaux secondaires, et y effectuer toutes les inspections sur place nécessaires, ainsi que procéder à des inspections hors site.

Le pouvoir de procéder à des inspections sur place visé au premier alinéa n'est pas limité aux sites situés dans l’Union à condition que l’inspection d'un site situé dans un pays tiers réponde à l’ensemble des exigences suivantes:

 elle est nécessaire pour que le superviseur principal puisse exécuter les tâches qui lui incombent en vertu du présent règlement;

 elle a un rapport direct avec la fourniture de services informatiques à des entités financières de l’Union;

 elle est pertinente pour une enquête en cours.

1 bis.  Lorsqu’ils procèdent à des inspections sur place, le superviseur principal et l’équipe d’examen font preuve de prudence et veillent à protéger les droits des clients des tiers prestataires critiques de services informatiques ne relevant pas du champ d’application du présent règlement, y compris en ce qui concerne l’incidence sur les niveaux de service, la disponibilité des données et la confidentialité.

2. Les agents et autres personnes mandatés par le superviseur principal pour effectuer une inspection sur place peuvent pénétrer dans ces locaux commerciaux, sur ces terrains ou sur ces propriétés et disposent de tous les pouvoirs nécessaires pour sceller les locaux commerciaux et les livres ou registres pendant la durée de l’inspection et dans la mesure nécessaire à celle-ci.

Ils exercent leurs pouvoirs sur présentation d’un mandat écrit précisant l’objet et le but de l’inspection et les astreintes prévues à l’article 31, paragraphe 4, lorsque les représentants des tiers prestataires de services informatiques concernés ne se soumettent pas à l’inspection.

3. En temps utile avant l’inspection, les superviseurs principaux informent les autorités compétentes des entités financières utilisant ce tiers prestataire de services informatiques.

4. Les inspections couvrent l’ensemble des systèmes, réseaux, dispositifs, informations et données informatiques que le superviseur principal juge appropriés et pertinents sur le plan technologique pour la fourniture de services aux entités financières ou contribuant à cette fourniture.

5. Avant toute inspection sur place prévue, les superviseurs principaux adressent un préavis raisonnable aux tiers prestataires critiques de services informatiques, à moins que ce préavis ne soit pas possible en raison d’une situation d’urgence ou de crise, ou qu’il n'aboutisse à une situation dans laquelle l’inspection ou l’audit ne serait plus efficace.

6. Le tiers prestataire critique de services informatiques se soumet aux inspections sur place ordonnées par décision du superviseur principal. La décision indique l’objet et le but de l’inspection, précise la date à laquelle celle-ci commencera et indique les astreintes prévues à l’article 31, paragraphe 4, les voies de recours existantes en vertu des règlements (UE) nº 1093/2010, (UE) nº 1094/2010 et (UE) nº 1095/2010, ainsi que le droit de recours qui peut être ouvert devant la Cour de justice contre la décision.

7. Lorsque les agents et les autres personnes mandatés par le superviseur principal constatent qu’un tiers prestataire critique de services informatiques s’oppose à une inspection ordonnée en vertu du présent article, le superviseur principal informe le tiers prestataire critique de services informatiques des conséquences de cette opposition, et notamment de la possibilité qu'ont les autorités compétentes des entités financières concernées de résilier les accords contractuels conclus avec ce tiers prestataire critique de services informatiques.

Article 35

Supervision continue

1. Lorsqu’ils procèdent à des enquêtes générales ou à des inspections sur place, les superviseurs principaux sont assistés par une équipe d’examen conjoint, constituée pour chaque tiers prestataire critique de services informatiques.

2. L’équipe d’examen conjoint visée au paragraphe 1 se compose de membres du personnel du superviseur principal, des autres AES et des autorités compétentes concernées qui assurent la surveillance des entités financières auxquelles le tiers prestataire critique de services informatiques fournit des services, qui participent à la préparation et à l’exécution des activités de supervision, avec un maximum de dix membres. Tous les membres de l’équipe d’examen conjoint possèdent une expertise en matière de TIC et de risque opérationnel. L’équipe d’examen conjoint travaille sous la coordination d’un membre désigné du personnel de l’AES (le «coordonnateur du superviseur principal»).

3. Les AES, par l’intermédiaire du comité mixte, élaborent des projets communs de normes techniques de réglementation afin de préciser les modalités de désignation des membres de l’équipe d’examen conjoint issus des autorités compétentes concernées, ainsi que les tâches et les modalités de travail de l’équipe d’examen. Les AES soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le [JO: insérer la date correspondant à une année après la date d’entrée en vigueur].

La Commission est habilitée à adopter les normes techniques de réglementation visées au premier alinéa conformément aux articles 10 à 14 du règlement (UE) nº 1093/2010, du règlement (UE) nº 1094/2010 et du règlement (UE) nº 1095/2010, respectivement.

4. Dans les trois mois suivant la fin d’une enquête ou d’une inspection sur place, l’organe de supervision conjoint adopte des recommandations qu’il adresse au tiers prestataire critique de services informatiques en vertu des pouvoirs prévus par l’article 31.

5. Les recommandations visées au paragraphe 4 sont immédiatement communiquées au tiers prestataire critique de services informatiques et aux autorités compétentes des entités financières auxquelles il fournit des services.

Aux fins de la réalisation des activités de supervision, les superviseurs principaux et l’organe de supervision conjoint peuvent prendre en considération toute certification pertinente d’un tiers et tout rapport d’audit interne ou externe d’un tiers prestataire de services informatiques mis à disposition par le tiers prestataire critique de services informatiques.

Article 36

Harmonisation des conditions permettant l’exercice de la supervision

 

1. Les AES élaborent, par l’intermédiaire du comité mixte, des projets de normes techniques de réglementation destinées à préciser:

a) les informations que doit fournir un tiers prestataire critique de services informatiques dans la demande d’adhésion volontaire visée à l’article 28, paragraphe 8;

b) le contenu et le format des rapports qui peuvent être demandés aux fins de l’article 31, paragraphe 1, point c);

c) la présentation des informations, y compris la structure, les formats et les méthodes, qu’un tiers prestataire critique de services informatiques est tenu de soumettre, de publier ou de fournir dans un rapport conformément à l’article 31, paragraphe 1;

d) les détails de l’évaluation, par les autorités compétentes, des mesures prises par des tiers prestataires critiques de services informatiques sur la base des recommandations formulées par l’organe de supervision conjoint conformément à l’article 37, paragraphe 2.

2. Les AES soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le 1er janvier 20xx [JO: insérer la date correspondant à une année après la date d’entrée en vigueur].

Le pouvoir de compléter le présent règlement en adoptant les normes techniques de réglementation prévues au premier alinéa est délégué à la Commission conformément à la procédure prévue aux articles 10 à 14 des règlements (UE) nº 1093/2010, (UE) nº 1094/2010 et (UE) nº 1095/2010, respectivement.

Article 37

Suivi par les autorités compétentes

1. Dans les trente jours civils suivant la réception des recommandations formulées par l’organe de supervision conjoint conformément à l’article 31, paragraphe 1 bis, les tiers prestataires critiques de services informatiques notifient à l’organe de supervision conjoint s’ils ont l’intention ou non de suivre ces recommandations. L’organe de supervision conjoint transmet immédiatement ces informations aux autorités compétentes des entités financières concernées.

2. Les autorités compétentes informent les entités financières qui ont conclu des accords contractuels avec des tiers prestataires critiques de services informatiques des risques identifiés dans les recommandations adressées à ces tiers prestataires critiques de services informatiques par l’organe de supervision conjoint conformément à l’article 31, paragraphe 1 bis, et vérifient si les entités financières tiennent compte des risques identifiés. L’organe de supervision conjoint vérifie si les tiers prestataires critiques de services informatiques ont écarté les risques identifiés dans ces recommandations.

3. Lorsque la réalisation d’objectifs réglementaires ne peut pas être garantie par d’autres mesures et que des avertissements ont été adressés aux entités financières affectées par les autorités nationales compétentes sur la base d’informations communiquées par l’organe de supervision conjoint, le comité du superviseur principal peut décider, sur recommandation de l’organe de supervision conjoint et après consultation des autorités compétentes des entités financières affectées, de suspendre temporairement, en partie ou en totalité, l’utilisation ou le déploiement d’un service fourni aux entités financières exposées aux risques identifiés dans les recommandations adressées aux tiers prestataires critiques de services informatiques jusqu’à ce que ces risques aient été écartés. Le cas échéant, et en dernier ressort, elles peuvent exiger des tiers prestataires critiques de services informatiques qu’ils résilient, en partie ou en totalité, les accords contractuels concernés conclus avec les entités financières clientes exposées aux risques identifiés.

4. Lorsqu’il prend les décisions prévues au paragraphe 3, le comité du superviseur principal tient compte du type et de l’ampleur des risques qui n’ont pas été écartés par le tiers prestataire critique de services informatiques, ainsi que de la gravité de la non-conformité, au regard des critères suivants, en examinant:

a) la gravité et la durée de la non-conformité;

b) si la non-conformité a révélé de graves faiblesses dans les procédures, les systèmes de gestion, la gestion des risques et les contrôles internes du tiers prestataire critique de services informatiques;

c) si un délit financier a été facilité ou occasionné par la non-conformité ou est imputable, d’une quelconque manière, à cette non-conformité;

d) si la non-conformité est délibérée ou résulte d’une négligence;

d bis) si la suspension ou la résiliation entraîne un risque pour la continuité des activités commerciales de l’utilisateur de services du tiers prestataire critique de services informatiques.

4 bis. Les décisions prévues au paragraphe 3 ne sont mises en œuvre qu’une fois que l’ensemble des entités financières affectées en ont été dûment informées. Les entités financières affectées bénéficient d’un délai, qui ne va pas au-delà de ce qui est strictement nécessaire, pour adapter leurs accords d’externalisation et leurs accords contractuels conclus avec des tiers prestataires critiques de services informatiques de façon à ne pas compromettre la résilience opérationnelle numérique et d’exécuter leurs stratégies de sortie et leurs plans de transition visés à l’article 25.

Les tiers prestataires critiques de services informatiques faisant l’objet des décisions prévues au paragraphe 3 coopèrent pleinement avec leurs entités financières affectées.

5. Les autorités compétentes informent régulièrement l’organe de supervision conjoint des approches suivies et des mesures prises dans le cadre de leurs tâches de surveillance des entités financières ▌.

Article 38

Redevances de supervision

1. Les AES perçoivent auprès des tiers prestataires critiques de services informatiques des redevances qui couvrent intégralement les dépenses qu’elles doivent engager pour exercer les tâches de supervision que leur assigne le présent règlement, y compris le remboursement de tous les coûts pouvant résulter des travaux effectués par les autorités compétentes qui participent aux activités de supervision conformément à l’article 35.

Le montant de la redevance perçue auprès d’un tiers prestataire critique de services informatiques couvre tous les frais afférents à l’exécution des tâches prévues dans la présente section et est proportionnel à son chiffre d’affaires.

1 bis.  En cas d’accord administratif conclu avec une autorité de réglementation et de surveillance d’un pays tiers conformément au paragraphe 1 du présent article, l’autorité en question peut faire partie de l’équipe d’examen visée à l’article 35, paragraphe 1.

2. La Commission est habilitée à adopter un acte délégué conformément à l’article 50 pour compléter le présent règlement en déterminant le montant des redevances et leurs modalités de paiement.

Article 39

Coopération internationale

1. L’ABE, l’AEMF et l’AEAPP peuvent, conformément à l’article 33 des règlements (UE) nº 1093/2010, (UE) nº 1094/2010 et (UE) nº 1095/2010, respectivement, conclure des accords administratifs avec les autorités de réglementation et de surveillance de pays tiers afin de faciliter la coopération internationale en ce qui concerne les risques liés aux tiers prestataires de services informatiques dans différents secteurs financiers, notamment en élaborant des bonnes pratiques pour l’examen des pratiques et des contrôles en matière de gestion des risques informatiques, des mesures d’atténuation et des réponses apportées en cas d’incident.

2. Les AES remettent tous les cinq ans au Parlement européen, au Conseil et à la Commission, par l’intermédiaire du comité mixte, un rapport conjoint confidentiel qui résume les conclusions de leurs discussions en la matière avec les autorités de pays tiers visées au paragraphe 1 et qui met l’accent sur l’évolution du risque lié aux tiers prestataires de services informatiques et sur ses implications pour la stabilité financière, l’intégrité du marché, la protection des investisseurs ou le fonctionnement du marché unique.


 

CHAPITRE VI

DISPOSITIFS DE PARTAGE D’INFORMATIONS

Article 40

Dispositifs de partage d’informations et de renseignements sur les cybermenaces

1. Les entités financières s’efforcent d'échanger entre elles et avec les tiers prestataires de services informatiques, des informations et des renseignements sur les cybermenaces, notamment des indicateurs de compromis, des tactiques, des techniques et des procédures, des alertes de cybersécurité et des outils de configuration, dans la mesure où ce partage d’informations et de renseignements:

a) vise à améliorer la résilience opérationnelle numérique des entités financières et des tiers prestataires de services informatiques, notamment en les sensibilisant aux cybermenaces, en limitant ou en bloquant la capacité de propagation des cybermenaces, et en soutenant les capacités défensives, les techniques de détection des menaces et les stratégies d’atténuation ▌, ou leurs phases de réponse et de rétablissement;

b) se déroule au sein de communautés d’entités financières de confiance et de tiers prestataires de services informatiques;

c) repose sur des dispositifs de partage des informations qui protègent la nature potentiellement sensible des informations partagées et qui sont régis par des règles de conduite dans le plein respect de la confidentialité des affaires, de la protection des données à caractère personnel[26] et des lignes directrices sur la politique de concurrence[27].

2. Aux fins du paragraphe 1, point c), les dispositifs de partage d’informations définissent les conditions à respecter pour y participer et, le cas échéant, précisent les modalités de participation des autorités publiques, et en quelle qualité elles peuvent être associées à ces dispositifs, ainsi que les aspects opérationnels de ce partage, y compris de l’utilisation de plateformes informatiques spécialisées.

3. Les entités financières notifient aux autorités compétentes leur participation aux dispositifs de partage d’informations visés au paragraphe 1 lors de la validation de leur adhésion ou, le cas échéant, la cessation de leur adhésion, lorsque celle-ci prend effet.


 

CHAPITRE VII

AUTORITÉS COMPÉTENTES

Article 41

Autorités compétentes

Sans préjudice des dispositions relatives au cadre de supervision des tiers prestataires critiques de services informatiques visés au chapitre V, section II, du présent règlement, le respect des obligations énoncées dans le présent règlement est assuré par les autorités compétentes suivantes, conformément aux pouvoirs conférés par les actes juridiques correspondants:

a) pour les établissements de crédit, l’autorité compétente désignée conformément à l’article 4 de la directive 2013/36/UE, sans préjudice des missions spécifiques confiées à la BCE par le règlement (UE) nº 1024/2013;

b) pour les prestataires de services de paiement, l’autorité compétente désignée conformément à l’article 22 de la directive (UE) 2015/2366;

c) pour les établissements de paiement électronique, l’autorité compétente désignée conformément à l’article 37 de la directive 2009/110/CE;

d) pour les entreprises d’investissement, l’autorité compétente désignée conformément à l’article 4 de la directive (UE) 2019/2034;

e) pour les prestataires de services sur crypto-actifs, les émetteurs et les offreurs de crypto-actifs, les émetteurs et les offreurs de jetons se référant à un ou des actifs et les émetteurs de jetons se référant à un ou des actifs et revêtant une importance significative, l’autorité compétente désignée conformément à l’article 3, paragraphe 1, point e sexies), premier tiret, du [règlement (UE) 20xx (règlement MICA)];

f) pour les dépositaires centraux de titres et les opérateurs de systèmes de règlement des opérations sur titres, l’autorité compétente désignée conformément à l’article 11 du règlement (UE) nº 909/2014;

g) pour les contreparties centrales, l’autorité compétente désignée conformément à l’article 22 du règlement (UE) nº 648/2012;

h) pour les plates-formes de négociation et les prestataires de services de communication de données, l’autorité compétente désignée conformément à l’article 67 de la directive 2014/65/UE;

i) pour les référentiels centraux, l’autorité compétente désignée conformément à l’article 55 du règlement (UE) nº 648/2012;

j) pour les gestionnaires de fonds d’investissement alternatifs, l’autorité compétente désignée conformément à l’article 44 de la directive 2011/61/UE;

k) pour les sociétés de gestion, l’autorité compétente désignée conformément à l’article 97 de la directive 2009/65/CE;

l) pour les entreprises d’assurance et de réassurance, l’autorité compétente désignée conformément à l’article 30 de la directive 2009/138/CE;

m) pour les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire, l’autorité compétente désignée conformément à l’article 12 de la directive (UE) 2016/97;

n) pour les institutions de retraite professionnelle, l’autorité compétente désignée conformément à l’article 47 de la directive (UE) 2016/2341;

o) pour les agences de notation de crédit, l’autorité compétente désignée conformément à l’article 21 du règlement (UE) nº 1060/2009;

p) pour les contrôleurs légaux des comptes et les cabinets d’audit, l’autorité compétente désignée conformément à l’article 3, paragraphe 2, et à l’article 32 de la directive 2006/43/CE;

q) pour les administrateurs d’indices de référence d’importance critique, l’autorité compétente désignée conformément aux articles 40 et 41 du règlement (UE) 2016/1011;

r) pour les prestataires de services de paiement, l’autorité compétente désignée conformément à l’article 29 du règlement (UE) 2020/1503;

s) pour les référentiels des titrisations, l’autorité compétente désignée conformément à l’article 10 et à l’article 14, paragraphe 1, du règlement (UE) 2017/2402.

 

Article 42

Coopération avec les structures et autorités établies par la directive (UE) 2016/1148

1. Afin de favoriser la coopération et de permettre des échanges en matière de surveillance entre les autorités compétentes désignées conformément au présent règlement et le groupe de coopération institué par l’article 11 de la directive (UE) 2016/1148, les AES et les autorités compétentes sont invitées à participer aux travaux du groupe de coopération dans la mesure où ces travaux concernent des activités de surveillance et de supervision, respectivement, en ce qui concerne les entités énumérées à l’annexe II, point 7, de la directive (UE) 2016/1148 qui ont également été désignées comme des tiers prestataires critiques de services informatiques conformément à l’article 28 du présent règlement.

2. Les autorités compétentes peuvent, le cas échéant, consulter le point de contact unique et les centres de réponse aux incidents de sécurité informatique visés respectivement aux articles 8 et 9 de la directive (UE) 2016/1148.

2 bis. Le superviseur principal informe les autorités compétentes désignées en vertu de la directive (UE) 2016/1148 et coopère avec elles avant de mener des enquêtes générales et de procéder à des inspections sur place conformément aux articles 33 et 34 du présent règlement.

 

Article 43

Exercices, communication et coopération entre secteurs financiers

1. Les AES, par l’intermédiaire du comité mixte et en collaboration avec les autorités compétentes, la BCE, le Conseil de résolution unique pour les informations relatives aux entités relevant du champ d’application du règlement (UE) nº 806/2014, et le CERS, peuvent mettre en place des mécanismes qui permettent le partage de pratiques efficaces entre les secteurs financiers afin d’améliorer la perception de chaque situation et de détecter les cybervulnérabilités et les cyberrisques communs aux différents secteurs.

Elles peuvent mettre au point des exercices de gestion de crise et d'urgence reposant sur des scénarios de cyberattaques, en vue de développer les canaux de communication et de favoriser la mise en place progressive d’une réponse efficace et coordonnée au niveau de l’Union, en cas d’incident transfrontière majeur lié à l’informatique ou de cybermenace importante ayant une incidence systémique sur l'ensemble du secteur financier de l’Union.

Ces exercices peuvent aussi éventuellement tester les relations de dépendance du secteur financier vis-à-vis d’autres secteurs économiques.

2. Les autorités compétentes, l’ABE, l’AEMF ou l’AEAPP, ▌la BCE, les autorités de résolution nationales et le Conseil de résolution unique pour les informations relatives aux entités relevant du champ d’application du règlement (UE) nº 806/2014 coopèrent étroitement entre elles et échangent des informations afin de s’acquitter de leurs missions conformément aux articles 42 à 48. Elles coordonnent étroitement leurs activités de surveillance afin d’identifier les infractions au présent règlement et d’y remédier, de mettre au point et de promouvoir des bonnes pratiques, de faciliter la coopération, de renforcer la cohérence des interprétations et de fournir des avis interjuridictionnels en cas de désaccord.

 

 

Article 44

Sanctions administratives et mesures correctives

1. Les autorités compétentes disposent de tous les pouvoirs de surveillance, d’enquête et de sanction nécessaires pour s’acquitter des tâches qui leur incombent en vertu du présent règlement.

2. Les pouvoirs visés au paragraphe 1 incluent au minimum les pouvoirs suivants:

a) accéder à tout document ou toute donnée, quelle qu'en soit la forme, que les autorités compétentes jugent pertinent(e) pour l’accomplissement de leur mission de surveillance, et en recevoir ou en réaliser une copie;

b) procéder à des inspections sur place ou à des enquêtes;

c) imposer des mesures correctives en cas de manquement aux exigences du présent règlement.

3. Sans préjudice du droit des États membres d’imposer des sanctions pénales conformément à l’article 46, les États membres arrêtent des règles prévoyant des sanctions administratives et des mesures correctives appropriées en cas de violation du présent règlement et veillent à leur mise en œuvre effective.

Ces sanctions et ces mesures sont efficaces, proportionnées et dissuasives.

4. Les États membres confèrent aux autorités compétentes le pouvoir d’appliquer au moins les sanctions administratives ou les mesures correctives suivantes en cas de violation du présent règlement:

a) émettre une injonction ordonnant à la personne physique ou morale de mettre un terme au comportement en cause et lui interdisant de le réitérer;

b) exiger la cessation temporaire ou définitive de toute pratique ou conduite jugée contraire aux dispositions du présent règlement et en prévenir la répétition;

c) adopter tout type de mesure, y compris de nature pécuniaire, propre à garantir que les entités financières continueront à respecter leurs obligations légales;

d) exiger, dans la mesure où le droit national le permet, les enregistrements d’échanges de données existants détenus par un opérateur de télécommunications, lorsqu’il est raisonnablement permis de suspecter une violation du présent règlement et que ces enregistrements peuvent être importants pour une enquête portant sur une violation du présent règlement; et

e) émettre des communications au public, y compris des déclarations publiques, indiquant l’identité de la personne physique ou morale et la nature de la violation.

5. Lorsque les dispositions du paragraphe 2, point c), et du paragraphe 4 s’appliquent à des personnes morales, les États membres confèrent aux autorités compétentes le pouvoir d’appliquer les sanctions administratives et les mesures correctives prévues, sous réserve des conditions prévues dans le droit national, aux membres de l’organe de direction, ainsi qu’aux autres personnes responsables de la violation au sens du droit national.

6. Les États membres veillent à ce que toute décision d’imposer des sanctions administratives ou des mesures correctives mentionnées au paragraphe 2, point c), soit dûment motivée et puisse faire l’objet d’un recours.

 

Article 45

Exercice du pouvoir d’imposer des sanctions administratives et des mesures correctives

1. Les autorités compétentes exercent le pouvoir d’imposer les sanctions administratives et les mesures correctives prévues par l’article 44 conformément à leurs cadres juridiques nationaux, et, selon le cas:

a) directement;

b) en collaboration avec d’autres autorités;

c) par délégation à d’autres autorités agissant sous leur responsabilité;

d) par la saisine des autorités judiciaires compétentes.

2. Les autorités compétentes, lorsqu’elles déterminent le type et le niveau des sanctions administratives ou des mesures correctives à imposer en vertu de l’article 44, examinent dans quelle mesure la violation est intentionnelle ou résulte d’une négligence ainsi que de toutes les autres circonstances pertinentes, et notamment, le cas échéant:

a) de la matérialité, de la gravité et de la durée de la violation;

b) du degré de responsabilité de la personne physique ou morale responsable de la violation;

c) de l’assise financière de la personne physique ou morale responsable;

d) de l’importance des gains obtenus ou des pertes évitées par la personne physique ou morale en cause, dans la mesure où ils peuvent être déterminés;

e) des préjudices subis par des tiers du fait de la violation, dans la mesure où ils peuvent être déterminés;

f) du degré de coopération de la personne physique ou morale en cause avec l’autorité compétente, sans préjudice de la nécessité de veiller à la restitution des gains obtenus ou des pertes évitées par cette personne;

g) des violations antérieures commises par la personne physique ou morale en cause.

 

Article 46

Sanctions pénales

1. Les États membres peuvent décider de ne pas prévoir de régime de sanctions administratives ou de mesures correctives pour les violations qui font l’objet de sanctions pénales dans le cadre de leur droit pénal national.

2. Les États membres qui choisissent d’instituer des sanctions pénales pour les violations du présent règlement veillent à ce que des mesures appropriées soient prises pour que les autorités compétentes disposent de tous les pouvoirs nécessaires pour se mettre en rapport avec les autorités judiciaires, les autorités chargées des poursuites ou les autorités judiciaires pénales de leur ressort territorial en vue de recevoir des informations spécifiques liées aux enquêtes ou procédures pénales engagées pour violation du présent règlement, et de fournir ces mêmes informations aux autres autorités compétentes, ainsi qu’à l’ABE, l’AEMF ou l’AEAPP, afin de s’acquitter de leurs obligations de coopération aux fins du présent règlement.

 

Article 47

Obligations de notification

Les États membres notifient à la Commission, à l’AEMF, à l’ABE et à l’AEAPP les dispositions législatives, réglementaires et administratives qui mettent en œuvre le présent chapitre, y compris toute disposition de droit pénal pertinente, au plus tard le [JO: insérer la date correspondant à 12 mois après la date d’entrée en vigueur]. Les États membres notifient à la Commission, à l’AEMF, à l’ABE et à l’AEAPP, dans les meilleurs délais, toute modification ultérieure desdites dispositions.

 

Article 48

Publication des sanctions administratives

1. Les autorités compétentes publient sur leur site web officiel, dans les meilleurs délais, toute décision d’imposer une sanction administrative contre laquelle il n’y a pas de recours, une fois que cette décision a été notifiée au destinataire de la sanction.

2. La publication prévue au paragraphe 1 contient des informations sur le type et la nature de la violation, sur les sanctions imposées et, à titre exceptionnel, sur l’identité des personnes responsables ▌.

3. Si l’autorité compétente, après une évaluation au cas par cas, estime que la publication de l’identité de personnes morales, ou de l’identité et des données à caractère personnel de personnes physiques, serait disproportionnée, compromettrait la stabilité des marchés financiers ou la poursuite d’une enquête pénale en cours, ou causerait, dans la mesure où ils peuvent être déterminés, des dommages disproportionnés à la personne concernée, elle adopte l’une des solutions suivantes en ce qui concerne la décision d’imposer une sanction administrative:

a) reporter sa publication jusqu’à ce qu’il n’existe plus aucune raison de ne pas la publier;

b) la publier en préservant l’anonymat des intéressés, conformément au droit national; ou

c) s’abstenir de la publier, si les options a) et b) sont jugées insuffisantes pour garantir l’absence totale de risque pour la stabilité des marchés financiers, ou si cette publication ne serait pas proportionnée, eu égard à la clémence de la sanction imposée.

4. S’il est décidé de publier une sanction administrative en préservant l’anonymat des intéressés, conformément au paragraphe 3, point b), la publication des données concernées peut être différée.

5. Si une autorité compétente publie une décision de sanction administrative pouvant faire l’objet d’un recours devant les autorités judiciaires concernées, les autorités compétentes publient immédiatement cette information sur leur site web officiel et y publient ensuite toute information connexe sur l’issue de ce recours. Toute décision judiciaire annulant une décision de sanction administrative est elle aussi publiée.

6. Les autorités compétentes veillent à ce que toute publication visée aux paragraphes 1 à 4 demeure sur leur site web officiel pendant une période d’au moins cinq ans après sa publication. Les données à caractère personnel figurant dans une telle publication ne sont maintenues sur le site web officiel de l’autorité compétente que pour la durée nécessaire au sens des règles applicables en matière de protection des données.

 

 

Article 49

Secret professionnel

 

1. Toute information confidentielle reçue, échangée ou transmise en vertu du présent règlement est soumise aux conditions relatives à l’obligation de secret professionnel énoncées au paragraphe 2.

2. L’obligation de secret professionnel s’applique à toutes les personnes qui travaillent ou ont travaillé pour les autorités compétentes en vertu du présent règlement, ou pour toute autorité, entreprise de marché ou personne physique ou morale à laquelle ces autorités compétentes ont délégué leurs pouvoirs, y compris les auditeurs et les experts qu’elles ont mandatés.

3. Les informations couvertes par le secret professionnel ne peuvent être divulguées à quelque autre personne ou autorité que ce soit, sauf en vertu de dispositions du droit de l’Union ou du droit national.

4. Toutes les informations que s’échangent les autorités compétentes au titre du présent règlement au sujet des conditions commerciales ou opérationnelles et d’autres questions économiques ou personnelles sont considérées comme confidentielles et sont soumises aux exigences du secret professionnel, sauf si l’autorité compétente précise, au moment où elle les communique, qu’elles peuvent être divulguées, ou si cette divulgation est nécessaire aux fins d’une procédure judiciaire.


 

CHAPITRE VIII

ACTES DÉLÉGUÉS

Article 50

Exercice de la délégation

1. Le pouvoir d’adopter des actes délégués conféré à la Commission est soumis aux conditions fixées au présent article.

2. Le pouvoir d’adopter des actes délégués visé à l’article 28, paragraphe 3, et à l’article 38, paragraphe 2, est conféré à la Commission pour une période de cinq ans à compter du [OP: insérer la date correspondant à cinq années après la date d’entrée en vigueur du présent règlement]. La Commission élabore un rapport relatif à la délégation de pouvoir au plus tard neuf mois avant la fin de la période de cinq ans. La délégation de pouvoir est tacitement prorogée pour des périodes d’une durée identique, sauf si le Parlement européen ou le Conseil s’oppose à cette prorogation trois mois au plus tard avant la fin de chaque période.

3. La délégation de pouvoir visée à l’article 28, paragraphe 3, et à l’article 38, paragraphe 2, peut être révoquée à tout moment par le Parlement européen ou le Conseil. Une décision de révocation met fin à la délégation de pouvoir spécifiée dans la décision. La révocation prend effet le jour suivant celui de la publication de ladite décision au Journal officiel de l’Union européenne ou à une date ultérieure qui est précisée dans cette décision. Elle ne porte pas atteinte à la validité des actes délégués déjà en vigueur.

4. Avant l’adoption d’un acte délégué, la Commission consulte les experts désignés par chaque État membre, conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016 «Mieux légiférer».

5. Aussitôt qu’elle adopte un acte délégué, la Commission le notifie au Parlement européen et au Conseil simultanément.

6. Un acte délégué adopté en vertu de l’article 28, paragraphe 3, et de l’article 38, paragraphe 2, n’entre en vigueur que si le Parlement européen ou le Conseil n’a pas exprimé d’objections dans un délai de trois mois à compter de la notification de cet acte au Parlement européen et au Conseil ou si, avant l’expiration de ce délai, le Parlement européen et le Conseil ont tous deux informé la Commission de leur intention de ne pas exprimer d’objections. Ce délai est prolongé de trois mois à l’initiative du Parlement européen ou du Conseil.


 

CHAPITRE IX

DISPOSITIONS TRANSITOIRES ET FINALES

SECTION I

Article 51

Clause de réexamen

Au plus tard le [OP: insérer la date correspondant à cinq années après la date d’entrée en vigueur du présent règlement], la Commission, après avoir consulté l’ABE, l’AEMF, l’AEAPP et le CERS, selon le cas, procède à un réexamen et remet au Parlement européen et au Conseil un rapport, accompagné, le cas échéant, d’une proposition législative. Le rapport examine au moins les éléments suivants:

a) la possibilité d’étendre le champ d’application du présent règlement aux opérateurs de systèmes de paiement;

b)  la nature volontaire de la notification des cybermenaces importantes;

c)  les critères de désignation des tiers prestataires critiques de services informatiques visés à l’article 28, paragraphe 2; et

d)  l’efficience du processus décisionnel de l’organe de supervision conjoint et de l’échange d’informations entre l’organe de supervision conjoint et les autorités nationales compétentes qui n’en sont pas membres.

 


SECTION II

MODIFICATIONS

Article 52

Modifications du règlement (CE) nº 1060/2009

À l’annexe I du règlement (CE) nº 1060/2009, dans la section A, au point 4, le premier alinéa est remplacé par le texte suivant:

 «Toute agence de notation de crédit dispose de procédures comptables et administratives saines, de mécanismes de contrôle interne, de procédures efficaces d’évaluation des risques et de dispositifs efficaces de contrôle et de sauvegarde pour une gestion des systèmes informatiques conforme au règlement (UE) 2021/xx du Parlement européen et du Conseil* [DORA].

* Règlement (UE) 2021/xx du Parlement européen et du Conseil […] (JO L XX, JJ.MM.AAAA, p. X).».

Article 53

Modifications du règlement (UE) nº 648/2012

Le règlement (UE) nº 648/2012 est modifié comme suit:

(1) L’article 26 est modifié comme suit:

a) le paragraphe 3 est remplacé par le texte suivant:

«3. Les contreparties centrales maintiennent et exploitent une structure organisationnelle qui assure la continuité et le bon fonctionnement de la fourniture de leurs services et de l’exercice de leurs activités. Ils utilisent des systèmes, des ressources et des procédures appropriés et proportionnés, dont des systèmes informatiques gérés conformément au règlement (UE) 2021/xx du Parlement européen et du Conseil* [DORA].

* Règlement (UE) 2021/xx du Parlement européen et du Conseil […] (JO L XX, JJ.MM.AAAA, p. X).».

b)   le paragraphe 6 est supprimé;

(2) L’article 34 est modifié comme suit:

a)  le paragraphe 1 est remplacé par le texte suivant:

«1. Les contreparties centrales établissent, mettent en œuvre et tiennent à jour une politique adéquate de continuité des activités et un plan de rétablissement après sinistre, qui incluent des plans de continuité des activités informatiques et de rétablissement après sinistre informatique établis conformément au règlement (UE) 2021/xx [DORA], visant à assurer la préservation de leurs fonctions, la reprise rapide de leurs activités et le respect de leurs obligations.»;

b) au paragraphe 3, le premier alinéa est remplacé par le texte suivant:

«Afin d’assurer une application cohérente du présent article, l’AEMF élabore, après avoir consulté les membres du SEBC, des projets de normes techniques de réglementation précisant le contenu minimal et les exigences minimales de la politique de continuité des activités et du plan de rétablissement après sinistre, à l’exclusion des plans de continuité des activités informatiques et de rétablissement après sinistre informatique.».

(3) À l’article 56, paragraphe 3, le premier alinéa est remplacé par le texte suivant:

«3. Afin d’assurer une application cohérente du présent article, l’AEMF élabore des projets de normes techniques de réglementation précisant les détails de la demande d’enregistrement prévue au paragraphe 1, autres que ceux concernant les exigences liées à la gestion des risques informatiques.».

(4) À l’article 79, les paragraphes 1 et 2 sont remplacés par le texte suivant:

«1. Les référentiels centraux détectent les sources de risques opérationnels et les réduisent au minimum en mettant en place des systèmes, des moyens de contrôle et des procédures appropriés, y compris des systèmes informatiques gérés conformément au règlement (UE) 2021/xx [DORA].

2. Les référentiels centraux établissent, mettent en œuvre et tiennent à jour une politique adéquate de continuité des activités et un plan de rétablissement après sinistre, y compris des plans de continuité des activités informatiques et de rétablissement après sinistre informatique établis conformément au règlement (UE) 2021/xx [DORA], visant à assurer la poursuite de leurs fonctions, la reprise rapide de leurs activités et le respect de leurs obligations.».

(5) À l’article 80, le paragraphe 1 est supprimé.

Article 54

Modifications du règlement (UE) nº 909/2014

L’article 45 du règlement (UE) nº 909/2014 est modifié comme suit:

(1) Le paragraphe 1 est remplacé par le texte suivant:

«1.  Le DCT identifie les sources de risque opérationnel, tant internes qu’externes, et réduit au minimum leur incidence potentielle par le déploiement d’outils, de processus et de politiques informatiques appropriés, mis en place et gérés conformément au règlement (UE) 2021/xx du Parlement européen et du Conseil* [DORA], ainsi que de tous autres outils, contrôles et procédures adaptés à d’autres types de risque opérationnel, notamment à tous les systèmes de règlement de titres qu’il exploite.

* Règlement (UE) 2021/xx du Parlement européen et du Conseil […] (JO L XX, JJ.MM.AAAA, p. X).».

(2) Le paragraphe 2 est supprimé.

(3) Les paragraphes 3 et 4 sont remplacés par le texte suivant:

«3. Pour les services qu’il fournit ainsi que pour chaque système de règlement de titres qu’il exploite, le DCT établit, met en œuvre et tient à jour une politique de continuité de l’activité et un plan de rétablissement après sinistre appropriés, y compris des plans de continuité des activités informatiques et de rétablissement après sinistre informatique établis conformément au règlement (UE) 2021/xx [DORA], pour garantir le maintien de ses services, la reprise rapide de ses activités et le respect de ses obligations en cas d’événement risquant sérieusement de perturber ses activités.

4. Le plan visé au paragraphe 3 prévoit le rétablissement de toutes les transactions et positions des participants en cours au moment où s’est produit le dysfonctionnement, de manière à permettre aux participants du DCT de continuer à fonctionner de manière sûre et de finaliser le règlement à la date programmée, notamment en veillant à ce que les systèmes informatiques critiques puissent reprendre les opérations à partir du moment où s’est produit le dysfonctionnement, comme prévu à l’article 11, paragraphes 5 et 7, du règlement (UE) 2021/xx [DORA].».

 

Article 55

Modifications du règlement (UE) nº 600/2014

Le règlement (UE) nº 600/2014 est modifié comme suit:

(1) L’article 27 septies est modifié comme suit:

a) le paragraphe 4 est supprimé;

b) au paragraphe 8, le point c) est remplacé par le texte suivant:

c) «c) les exigences organisationnelles concrètes prévues aux paragraphes 3 et 5.»;

(2) L’article 27 nonies est modifié comme suit:

a) le paragraphe 5 est supprimé;

b) au paragraphe 8, le point e) est remplacé par le texte suivant:

«e) les exigences organisationnelles concrètes prévues au paragraphe 4.»;

(3) L’article 27 decies est modifié comme suit:

a) le paragraphe 3 est supprimé;

b) au paragraphe 5, le point b) est remplacé par le texte suivant:

«b) les exigences organisationnelles concrètes prévues aux paragraphes 2 et 4.».

Article 56

Entrée en vigueur et application

Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.

Il s'applique à partir du [OP: insérer la date correspondant à 24 mois après la date d’entrée en vigueur].

Toutefois, les articles 23 et 24 s’appliquent à partir du [OP: insérer la date correspondant à 36 mois après la date d’entrée en vigueur du présent règlement].

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.

Fait à Bruxelles, le

Par le Parlement européen Par le Conseil

Le président Le président


PROCÉDURE DE LA COMMISSION COMPÉTENTE AU FOND

Titre

Résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) nº 1060/2009, (UE) nº 648/2012, (UE) nº 600/2014 et (UE) nº 909/2014

Références

COM(2020)0595 – C9-0304/2020 – 2020/0266(COD)

Date de la présentation au PE

24.9.2020

 

 

 

Commission compétente

 Date de l’annonce en séance

ECON

17.12.2020

 

 

 

Commissions saisies pour avis

 Date de l’annonce en séance

ITRE

17.12.2020

IMCO

17.12.2020

 

 

Avis non émis

 Date de la décision

ITRE

15.10.2020

IMCO

27.10.2020

 

 

Rapporteurs

 Date de la nomination

Billy Kelleher

15.10.2020

 

 

 

Examen en commission

14.4.2021

14.6.2021

 

 

Date de l’adoption

1.12.2021

 

 

 

Résultat du vote final

+:

–:

0:

44

5

5

Membres présents au moment du vote final

Gerolf Annemans, Gunnar Beck, Marek Belka, Isabel Benjumea Benjumea, Stefan Berger, Gilles Boyer, Engin Eroglu, Markus Ferber, Jonás Fernández, Raffaele Fitto, Frances Fitzgerald, Luis Garicano, Sven Giegold, Valentino Grant, Claude Gruffat, José Gusmão, Enikő Győri, Eero Heinäluoma, Danuta Maria Hübner, Stasys Jakeliūnas, France Jamet, Billy Kelleher, Ondřej Kovařík, Georgios Kyrtsos, Aurore Lalucq, Philippe Lamberts, Aušra Maldeikienė, Pedro Marques, Costas Mavrides, Jörg Meuthen, Csaba Molnár, Siegfried Mureşan, Caroline Nagtegaal, Luděk Niedermayer, Lefteris Nikolaou-Alavanos, Lídia Pereira, Kira Marie Peter-Hansen, Sirpa Pietikäinen, Evelyn Regner, Antonio Maria Rinaldi, Alfred Sant, Martin Schirdewan, Joachim Schuster, Ralf Seekatz, Pedro Silva Pereira, Paul Tang, Irene Tinagli, Ernest Urtasun, Inese Vaidere, Johan Van Overtveldt, Stéphanie Yon-Courtin, Marco Zanni, Roberts Zīle

Suppléants présents au moment du vote final

Lefteris Christoforou

Date du dépôt

7.12.2021

 


 

 

 

VOTE FINAL PAR APPEL NOMINAL EN COMMISSION COMPÉTENTE AU FOND

44

+

ECR

Raffaele Fitto, Johan Van Overtveldt, Roberts Zīle

NI

Enikő Győri

PPE

Isabel Benjumea Benjumea, Stefan Berger, Lefteris Christoforou, Markus Ferber, Frances Fitzgerald, Danuta Maria Hübner, Georgios Kyrtsos, Aušra Maldeikienė, Siegfried Mureşan, Luděk Niedermayer, Lídia Pereira, Sirpa Pietikäinen, Ralf Seekatz, Inese Vaidere

Renew

Gilles Boyer, Engin Eroglu, Luis Garicano, Billy Kelleher, Ondřej Kovařík, Caroline Nagtegaal, Stéphanie Yon-Courtin

S&D

Marek Belka, Jonás Fernández, Eero Heinäluoma, Aurore Lalucq, Pedro Marques, Costas Mavrides, Csaba Molnár, Evelyn Regner, Alfred Sant, Joachim Schuster, Pedro Silva Pereira, Paul Tang, Irene Tinagli

Verts/ALE

Sven Giegold, Claude Gruffat, Stasys Jakeliūnas, Philippe Lamberts, Kira Marie Peter-Hansen, Ernest Urtasun

 

5

-

ID

Gerolf Annemans, Gunnar Beck, France Jamet, Jörg Meuthen

NI

Lefteris Nikolaou-Alavanos

 

5

0

ID

Valentino Grant, Antonio Maria Rinaldi, Marco Zanni

The Left

José Gusmão, Martin Schirdewan

 

Légende des signes utilisés:

+ : pour

- : contre

0 : abstention

 

 

[1]  JO C 155 du 30.4.2021, p. 38.

[*] Amendements: le texte nouveau ou modifié est signalé par des italiques gras; les suppressions sont signalées par le symbole ▌.

[2] [ajouter la référence] JO C du , p. .

[3] JO C 155 du 30.4.2021, p. 38.

[4] Rapport du CERS sur le cyberrisque systémique, février 2020, https://www.esrb.europa.eu/pub/pdf/reports/esrb.report200219_systemiccyberrisk~101a09685e.en.pdf.

[5]  D’après l’analyse d’impact accompagnant le réexamen des autorités européennes de surveillance [SWD(2017) 308], il existe environ 5 665 établissements de crédit, 5 934 entreprises d’investissement, 2 666 entreprises d’assurance, 1 573 IRP, 2 500 entreprises de gestion d’investissements, 350 infrastructures de marché [telles que les CCP, les bourses, les internalisateurs systématiques, les référentiels centraux et les systèmes de négociation multilatérale («Multilateral Trading Facilities» ou MTF)], 45 agences de notation de crédit et 2 500 établissements de paiement et établissements de monnaie électronique agréés. Au total, cela représente environ 21 233 entités, sans compter les entités de financement participatif, les contrôleurs légaux des comptes et les cabinets d’audit, les prestataires de services sur crypto-actifs et les administrateurs d’indices de référence.

[6] Communication de la Commission au Parlement européen, au Conseil, à la Banque centrale européenne, au Comité économique et social européen et au Comité des régions, Plan d’action pour les technologies financières: Pour un secteur financier européen plus compétitif et plus innovant, COM(2018) 109 final, https://ec.europa.eu/info/publications/180308-action-plan-fintech_en.

[7]  Directive (UE) 2016/1148 du Parlement européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (JO L 194 du 19.7.2016, p. 1).

[8] Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection (JO L 345 du 23.12.2008, p. 75).

[9]  ENISA, «Reference Incident Classification Taxonomy», https://www.enisa.europa.eu/publications/reference-incident-classification-taxonomy.

[10]  Recommandations sur l’externalisation vers des fournisseurs de services en nuage (EBA/REC/2017/03), désormais abrogées et remplacées par les orientations de l’ABE relatives à l’externalisation (EBA/GL/2019/02).

[11]  Communication de la Commission − Lignes directrices sur l’applicabilité de l’article 101 du traité sur le fonctionnement de l’Union européenne aux accords de coopération horizontale, 2011/C 11/01.

[12]  Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

[13]  CPIM-OICV, Guidance on cyber resilience for financial market infrastructures, https://www.bis.org/cpmi/publ/d146.pdf G7, Fundamental Elements of Cybersecurity for the Financial Sector, https://www.ecb.europa.eu/paym/pol/shared/pdf/G7_Fundamental_Elements_Oct_2016.pdf; Cadre de cybersécurité du NIST, https://www.nist.gov/cyberframework; CSF, CIRR toolkit, https://www.fsb.org/2020/04/effective-practices-for-cyber-incident-response-and-recovery-consultative-document.

[14]  En outre, si le risque d’abus par un tiers prestataire de services informatiques considéré comme dominant devait se matérialiser, les entités financières devraient également avoir la possibilité de déposer une plainte formelle ou informelle auprès de la Commission européenne ou des autorités nationales chargées du droit de la concurrence.

[15]  Directive 2014/59/UE du Parlement européen et du Conseil du 15 mai 2014 établissant un cadre pour le redressement et la résolution des établissements de crédit et des entreprises d’investissement et modifiant la directive 82/891/CEE du Conseil ainsi que les directives du Parlement européen et du Conseil 2001/24/CE, 2002/47/CE, 2004/25/CE, 2005/56/CE, 2007/36/CE, 2011/35/UE, 2012/30/UE et 2013/36/UE et les règlements du Parlement européen et du Conseil (UE) nº 1093/2010 et (UE) nº 648/2012 (JO L 173 du 12.6.2014, p. 190).

[16]  Règlement (UE) nº 1024/2013 du Conseil du 15 octobre 2013 confiant à la Banque centrale européenne des missions spécifiques ayant trait aux politiques en matière de surveillance prudentielle des établissements de crédit (JO L 287 du 29.10.2013, p. 63).

[17]  Règlement (UE) nº 806/2014 du Parlement européen et du Conseil du 15 juillet 2014 établissant des règles et une procédure uniformes pour la résolution des établissements de crédit et de certaines entreprises d’investissement dans le cadre d’un mécanisme de résolution unique et d’un Fonds de résolution bancaire unique, et modifiant le règlement (UE) nº 1093/2010 (JO L 225 du 30.7.2014, p. 1).

[18]  JO L 123 du 12.5.2016, p. 1.

[19]  [Veuillez insérer la référence complète]

[20]  Règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) nº 526/2013 (règlement sur la cybersécurité) (JO L 151 du 7.6.2019, p. 15).

[21]  Directive (UE) 2018/1972 du Parlement européen et du Conseil du 11 décembre 2018 établissant le code des communications électroniques européen (refonte) (JO L 321 du 17.12.2018, p. 36).

[22]  Règlement (UE) 2016/1011 du Parlement européen et du Conseil du 8 juin 2016 concernant les indices utilisés comme indices de référence dans le cadre d’instruments et de contrats financiers ou pour mesurer la performance de fonds d’investissement et modifiant les directives 2008/48/CE et 2014/17/UE et le règlement (UE) nº 596/2014 (JO L 171 du 29.6.2016, p. 1).

[23]  [veuillez insérer le titre complet et la référence du JO]

[24]  Règlement (UE) nº 575/2013 du Parlement européen et du Conseil du 26 juin 2013 concernant les exigences prudentielles applicables aux établissements de crédit et aux entreprises d’investissement et modifiant le règlement (UE) nº 648/2012 (JO L 176 du 27.6.2013, p. 1).

[25]  Directive 2009/110/CE du Parlement européen et du Conseil du 16 septembre 2009 concernant l’accès à l’activité des établissements de monnaie électronique et son exercice ainsi que la surveillance prudentielle de ces établissements, modifiant les directives 2005/60/CE et 2006/48/CE et abrogeant la directive 2000/46/CE (JO L 267 du 10.10.2009, p. 7).

[26]  Conformément au règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1).

[27]  Communication de la Commission − Lignes directrices sur l’applicabilité de l’article 101 du traité sur le fonctionnement de l’Union européenne aux accords de coopération horizontale, 2011/C 11/01.

Dernière mise à jour: 13 décembre 2021Avis juridique - Politique de confidentialité