Télécharger la liste de contrôlePréparez-vous avec notre auto-évaluation

Préambule

LE PARLEMENT EUROPÉEN ET LE CONSEIL

vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 114,
Vu la proposition de la Commission européenne,
Après transmission du projet d'acte législatif aux parlements nationaux,
Vu l'avis du Comité économique et social européen,
Vu l'avis du Comité des régions,
Agissant conformément à la procédure législative ordinaire,

Considérant que

du 14 décembre 2022

sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011

(Texte présentant de l'intérêt pour l'EEE)

LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L'UNION EUROPÉENNE,

vu le traité sur le fonctionnement de l'Union européenne, et notamment son article 114, vu la proposition de la Commission européenne, après transmission du projet d'acte législatif aux parlements nationaux, vu l'avis de la Banque centrale européenne (1), vu l'avis du Comité économique et social européen (2), statuant conformément à la procédure législative ordinaire (3),

Considérant que

(1) À l'ère numérique, les technologies de l'information et de la communication (TIC) soutiennent des systèmes complexes utilisés dans les activités quotidiennes. Elles permettent à nos économies de fonctionner dans des secteurs clés, notamment le secteur financier, et améliorent le fonctionnement du marché intérieur. La numérisation et l'interconnexion accrues amplifient également les TIC risqueRisque désigne le potentiel de perte ou de perturbation causé par un incident et doit être exprimé comme une combinaison de l'ampleur de cette perte ou de cette perturbation et de la probabilité d'occurrence de l'incident. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2)La résilience numérique est un élément essentiel de l'économie de l'Union, qui rend la société dans son ensemble, et le système financier en particulier, plus vulnérables aux cybermenaces ou aux perturbations liées aux TIC. Alors que l'utilisation omniprésente des systèmes TIC et le degré élevé de numérisation et de connectivité sont aujourd'hui au cœur des activités des entités financières de l'Union, leur résilience numérique doit encore être mieux prise en compte et intégrée dans leurs cadres opérationnels plus larges.

(2) Au cours des dernières décennies, l'utilisation des TIC a joué un rôle central dans la fourniture de services financiers, au point d'avoir acquis une importance cruciale dans le fonctionnement des fonctions quotidiennes typiques de toutes les entités financières. La numérisation couvre désormais, par exemple, les paiements, qui sont de plus en plus souvent effectués au moyen de solutions numériques plutôt qu'en espèces ou sur papier, ainsi que la compensation et le règlement des titres, le commerce électronique et algorithmique, les opérations de prêt et de financement, le financement peer-to-peer, la notation de crédit, la gestion des sinistres et les opérations d'arrière-guichet. Le secteur de l'assurance a également été transformé par l'utilisation des TIC, depuis l'émergence d'intermédiaires d'assurance offrant leurs services en ligne et opérant avec InsurTech, jusqu'à la souscription d'assurance numérique. La finance est non seulement devenue largement numérique dans l'ensemble du secteur, mais la numérisation a également approfondi les interconnexions et les dépendances au sein du secteur financier et avec des infrastructures et des fournisseurs de services tiers.

(3) Le Comité européen du risque systémique (CERS) a réaffirmé, dans un rapport sur le risque systémique cybernétique publié en 2020, que le niveau élevé d'interconnexion entre les entités financières, les marchés financiers et les infrastructures des marchés financiers, et en particulier les interdépendances de leurs systèmes de TIC, pourrait constituer un risque systémique. vulnérabilitéVulnérabilité Faiblesse, susceptibilité ou défaut des produits ou services TIC pouvant être exploités par une cybermenace. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) car des cyberincidents localisés pourraient rapidement se propager de l'une des quelque 22 000 entités financières de l'Union à l'ensemble du système financier, sans tenir compte des frontières géographiques. Les violations graves des TIC qui se produisent dans le secteur financier n'affectent pas seulement les entités financières prises isolément. Elles ouvrent également la voie à la propagation de vulnérabilités localisées dans les canaux de transmission financière et peuvent avoir des conséquences négatives sur la stabilité du système financier de l'Union, telles que des retraits de liquidités et une perte générale de confiance dans les marchés financiers.

(4) Ces dernières années, les risques liés aux TIC ont attiré l'attention des décideurs politiques, des régulateurs et des autorités de régulation au niveau international, communautaire et national. standardStandard Une spécification technique, adoptée par un organisme de normalisation reconnu, pour une application répétée ou continue, dont le respect n'est pas obligatoire, et qui est l'une des suivantes : (a) "norme internationale", une norme adoptée par un organisme international de normalisation ; b) "norme européenne", une norme adoptée par un organisme européen de normalisation ; c) "norme harmonisée", une norme européenne adoptée sur la base d'une demande d'application de la législation d'harmonisation de l'Union formulée par la Commission ; d) "norme nationale", une norme adoptée par un organisme national de normalisation - Définition selon l'article 2, point 1), du règlement (UE) n° 1025/2012 du Parlement européen et du Conseil.-Les organismes de normalisation ont pour mission d'améliorer la résilience numérique, de fixer des normes et de coordonner les travaux de réglementation ou de surveillance. Au niveau international, le Comité de Bâle sur le contrôle bancaire, le Comité sur les paiements et les infrastructures de marché, le Conseil de stabilité financière, l'Institut de stabilité financière, ainsi que le G7 et le G20 visent à fournir aux autorités compétentes et aux opérateurs de marché de diverses juridictions des outils pour renforcer la résilience de leurs systèmes financiers. Ces travaux ont également été motivés par la nécessité de prendre dûment en compte le risque lié aux TIC dans le contexte d'un système financier mondial fortement interconnecté et de rechercher une plus grande cohérence des meilleures pratiques en la matière.

(5) Malgré les initiatives politiques et législatives ciblées de l'Union et des États membres, le risque lié aux TIC continue de compromettre la résilience opérationnelle, les performances et la stabilité du système financier de l'Union. Les réformes qui ont suivi la crise financière de 2008 ont principalement renforcé la résilience financière du secteur financier de l'Union et visaient à préserver la compétitivité et la stabilité de l'Union du point de vue économique, prudentiel et de la conduite du marché. Bien que la sécurité des TIC et la résilience numérique fassent partie du risque opérationnel, elles ont été moins au centre de l'agenda réglementaire post-crise financière et n'ont été développées que dans certains domaines de la politique et du paysage réglementaire des services financiers de l'Union, ou dans quelques États membres seulement.

(6) Dans sa communication du 8 mars 2018 intitulée "Plan d'action FinTech : Pour un secteur financier européen plus compétitif et plus innovant", la Commission a souligné l'importance primordiale de rendre le secteur financier de l'Union plus résilient, y compris d'un point de vue opérationnel pour garantir sa sécurité technologique et son bon fonctionnement, son rétablissement rapide en cas de violation des TIC et d'incidents, permettant en fin de compte la fourniture efficace et harmonieuse de services financiers dans l'ensemble de l'Union, y compris dans des situations de stress, tout en préservant la confiance des consommateurs et du marché.

(7) En avril 2019, l'Autorité européenne de surveillance (Autorité bancaire européenne) (ABE) instituée par le règlement (UE) n° 1093/2010 du Parlement européen et du Conseil (4), l'Autorité européenne de surveillance (Autorité européenne des assurances et des pensions professionnelles) ("AEAPP") instituée par le règlement (UE) n° 1094/2010 du Parlement européen et du Conseil (5) et l'Autorité européenne de surveillance (Autorité européenne des marchés financiers), ("ESMA") instituée par le règlement (UE) no 1095/2010 du Parlement européen et du Conseil (6) (appelées collectivement "autorités européennes de surveillance" ou "AES") ont publié conjointement un avis technique appelant à une approche cohérente du risque lié aux TIC dans la finance et recommandant de renforcer, de manière proportionnée, la résilience opérationnelle numérique du secteur des services financiers par une initiative sectorielle de l'Union.

(8) Le secteur financier de l'Union est réglementé par un règlement unique et régi par un système européen de surveillance financière. Néanmoins, les dispositions relatives à la résilience opérationnelle numérique et à la sécurité des TIC ne sont pas encore totalement ou systématiquement harmonisées, bien que la résilience opérationnelle numérique soit essentielle pour garantir la stabilité financière et l'intégrité du marché à l'ère numérique, et qu'elle ne soit pas moins importante que, par exemple, des normes prudentielles ou de conduite du marché communes. Le Single Rulebook et le système de surveillance devraient donc être développés pour couvrir également la résilience opérationnelle numérique, en renforçant les mandats des autorités compétentes pour leur permettre de superviser la gestion du risque lié aux TIC dans le secteur financier afin de protéger l'intégrité et l'efficacité du marché intérieur et de faciliter son fonctionnement ordonné.

(9) Les disparités législatives et les approches nationales inégales en matière de réglementation ou de surveillance des risques liés aux TIC constituent des obstacles au fonctionnement du marché intérieur des services financiers, entravant l'exercice harmonieux de la liberté d'établissement et de la prestation de services pour les entités financières opérant sur une base transfrontalière. La concurrence entre le même type d'entités financières opérant dans différents États membres pourrait également être faussée. C'est le cas, en particulier, dans les domaines où l'harmonisation de l'Union a été très limitée, comme les tests de résilience opérationnelle numérique, ou absente, comme la surveillance des risques liés aux TIC pour les tiers. Les disparités découlant des évolutions envisagées au niveau national pourraient créer de nouveaux obstacles au fonctionnement du marché intérieur, au détriment des acteurs du marché et de la stabilité financière.

(10) À ce jour, les dispositions relatives aux risques liés aux TIC n'étant que partiellement traitées au niveau de l'Union, il existe des lacunes ou des chevauchements dans des domaines importants, tels que les risques liés aux TIC. incidentIncident Un événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par les réseaux et les systèmes d'information ou accessibles par leur intermédiaire. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) Les risques liés aux technologies de l'information et de la communication et les tests de résilience opérationnelle numérique, ainsi que les incohérences résultant de l'émergence de règles nationales divergentes ou de l'application inefficace de règles qui se chevauchent. Cette situation est particulièrement préjudiciable pour un utilisateur à forte intensité de TIC tel que le secteur financier, étant donné que les risques technologiques ne connaissent pas de frontières et que le secteur financier déploie ses services sur une large base transfrontalière à l'intérieur et à l'extérieur de l'Union. Les entités financières individuelles qui opèrent sur une base transfrontalière ou qui détiennent plusieurs autorisations (par exemple, une société financière, une société d'assurance, une société d'assurance, une société de gestion, etc. entitéEntité Une personne physique ou morale créée et reconnue comme telle par le droit national de son lieu d'établissement, qui peut, en agissant sous son propre nom, exercer des droits et être soumise à des obligations. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) peuvent avoir une licence de banque, d'entreprise d'investissement et d'établissement de paiement, chacune délivrée par une autorité compétente différente dans un ou plusieurs États membres) sont confrontés à des défis opérationnels pour faire face aux risques liés aux TIC et atténuer les effets négatifs des incidents liés aux TIC de manière autonome et cohérente en termes de coût-efficacité.

(11) Étant donné que le Single Rulebook n'a pas été accompagné d'un cadre global pour les TIC ou le risque opérationnel, il est nécessaire de poursuivre l'harmonisation des principales exigences en matière de résilience opérationnelle numérique pour toutes les entités financières. Le développement des capacités TIC et de la résilience globale des entités financières, sur la base de ces exigences clés, en vue de résister aux pannes opérationnelles, contribuerait à préserver la stabilité et l'intégrité des marchés financiers de l'Union et, partant, à assurer un niveau élevé de protection des investisseurs et des consommateurs dans l'Union. Étant donné que le présent règlement vise à contribuer au bon fonctionnement du marché intérieur, il devrait être fondé sur les dispositions de l'article 114 du traité sur le fonctionnement de l'Union européenne (TFUE), telles qu'interprétées conformément à la jurisprudence constante de la Cour de justice de l'Union européenne (ci-après dénommée "Cour de justice").

(12) Le présent règlement vise à consolider et à améliorer les exigences relatives au risque TIC dans le cadre des exigences relatives au risque opérationnel qui, jusqu'à présent, ont été traitées séparément dans divers actes juridiques de l'Union. Si ces actes couvraient les principales catégories de risques financiers (par exemple, le risque de crédit, le risque de marché, le risque de crédit de contrepartie et le risque de liquidité, le risque de comportement sur le marché), ils n'abordaient pas de manière exhaustive, au moment de leur adoption, toutes les composantes de la résilience opérationnelle. Les règles relatives au risque opérationnel, lorsqu'elles ont été développées dans ces actes juridiques de l'Union, ont souvent privilégié une approche quantitative traditionnelle pour traiter le risque (à savoir la fixation d'une exigence de fonds propres pour couvrir le risque lié aux TIC) plutôt que des règles qualitatives ciblées pour les capacités de protection, de détection, de confinement, de récupération et de réparation en cas d'incidents liés aux TIC, ou pour les capacités d'établissement de rapports et de tests numériques. Ces actes étaient principalement destinés à couvrir et à mettre à jour les règles essentielles en matière de surveillance prudentielle, d'intégrité du marché ou de comportement. En consolidant et en actualisant les différentes règles relatives au risque lié aux TIC, toutes les dispositions relatives au risque numérique dans le secteur financier devraient, pour la première fois, être regroupées de manière cohérente dans un seul et même acte législatif. Par conséquent, le présent règlement comble les lacunes ou remédie aux incohérences de certains actes juridiques antérieurs, notamment en ce qui concerne la terminologie utilisée, et fait explicitement référence au risque lié aux TIC par le biais de règles ciblées sur les capacités de gestion du risque lié aux TIC, le signalement des incidents, les tests de résilience opérationnelle et la surveillance du risque lié aux TIC pour les tiers. Le présent règlement devrait donc également sensibiliser au risque lié aux TIC et reconnaître que les incidents liés aux TIC et le manque de résilience opérationnelle peuvent compromettre la solidité des entités financières.

(13) Les entités financières devraient suivre la même approche et les mêmes règles fondées sur des principes lorsqu'elles traitent le risque lié aux TIC, en tenant compte de leur taille et de leur profil de risque global, ainsi que de la nature, de l'échelle et de la complexité de leurs services, de leurs activités et de leurs opérations. La cohérence contribue à renforcer la confiance dans le système financier et à préserver sa stabilité, en particulier en période de forte dépendance à l'égard des systèmes, plateformes et infrastructures TIC, ce qui entraîne un risque numérique accru. L'observation d'une cyberhygiène de base devrait également permettre d'éviter d'imposer des coûts élevés à l'économie en minimisant l'impact et les coûts des perturbations des TIC.

(14) Un règlement contribue à réduire la complexité de la réglementation, à favoriser la convergence en matière de surveillance et à renforcer la sécurité juridique, ainsi qu'à limiter les coûts de mise en conformité, en particulier pour les entités financières exerçant des activités transfrontalières, et à réduire les distorsions de concurrence. Par conséquent, le choix d'un règlement pour l'établissement d'un cadre commun pour la résilience numérique opérationnelle des entités financières est le moyen le plus approprié de garantir une application homogène et cohérente de toutes les composantes de la gestion des risques liés aux TIC par le secteur financier de l'Union.

(15) La directive (UE) 2016/1148 du Parlement européen et du Conseil (7) a été la première directive horizontale à être adoptée par le Parlement européen et le Conseil. cybersécuritéCybersécurité "cybersécurité", la cybersécurité telle que définie à l'article 2, point 1), du règlement (UE) 2019/881 ; - Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) "cybersécurité" : les activités nécessaires pour protéger les réseaux et les systèmes d'information, les utilisateurs de ces systèmes et les autres personnes concernées par les cybermenaces ; - Définition selon l'article 2, point 1), du règlement (UE) 2019/881 ; cadre édicté au niveau de l'Union, s'appliquant également à trois types d'entités financières, à savoir les établissements de crédit, les plates-formes de négociation et les contreparties centrales. Toutefois, depuis que la directive (UE) 2016/1148 a établi un mécanisme d'identification au niveau national des opérateurs de services essentiels, seuls certains établissements de crédit, plates-formes de négociation et contreparties centrales identifiés par les États membres sont entrés dans son champ d'application dans la pratique, et donc tenus de se conformer aux exigences en matière de sécurité des TIC et de notification des incidents qui y sont énoncées. La directive (UE) 2022/2555 du Parlement européen et du Conseil (8) fixe un critère uniforme pour déterminer les entités entrant dans son champ d'application (règle du plafond de taille) tout en conservant les trois types d'entités financières dans son champ d'application.

(16) Toutefois, étant donné que le présent règlement accroît le niveau d'harmonisation des différentes composantes de la résilience numérique, en introduisant des exigences en matière de gestion des risques liés aux TIC et de notification des incidents liés aux TIC qui sont plus strictes que celles prévues par la législation actuelle de l'Union sur les services financiers, ce niveau plus élevé constitue également une harmonisation accrue par rapport aux exigences prévues par la directive (UE) 2022/2555. Par conséquent, le présent règlement constitue une lex specialis par rapport à la directive (UE) 2022/2555. Dans le même temps, il est essentiel de maintenir une relation étroite entre le secteur financier et le cadre horizontal de cybersécurité de l'Union, tel qu'il est actuellement défini dans la directive (UE) 2022/2555, afin d'assurer la cohérence avec les stratégies de cybersécurité adoptées par les États membres et de permettre aux autorités de surveillance financière d'être informées des cyberincidents qui touchent d'autres secteurs couverts par cette directive.

(17) Conformément à l'article 4, paragraphe 2, du traité sur l'Union européenne et sans préjudice du contrôle juridictionnel exercé par la Cour de justice, le présent règlement ne devrait pas porter atteinte à la responsabilité des États membres en ce qui concerne les fonctions essentielles de l'État liées à la sécurité publique, à la défense et à la sauvegarde de la sécurité nationale, par exemple en ce qui concerne la fourniture d'informations qui seraient contraires à la sauvegarde de la sécurité nationale.

(18) Afin de permettre un apprentissage intersectoriel et de tirer efficacement parti de l'expérience acquise par d'autres secteurs dans la lutte contre les cybermenaces, les entités financières visées dans la directive (UE) 2022/2555 devraient continuer à faire partie de l'"écosystème" de ladite directive (par exemple, le groupe de coopération et les équipes de réponse aux incidents de sécurité informatique (CSIRT)).Les AES et les autorités compétentes nationales devraient pouvoir participer aux discussions sur les politiques stratégiques et aux travaux techniques du groupe de coopération au titre de ladite directive, et échanger des informations et continuer à coopérer avec les points de contact uniques désignés ou établis conformément à ladite directive. Les autorités compétentes en vertu du présent règlement devraient également consulter les CSIRT et coopérer avec eux. Les autorités compétentes devraient également pouvoir demander des conseils techniques aux autorités compétentes désignées ou établies conformément à la directive (UE) 2022/2555 et établir des accords de coopération visant à garantir des mécanismes de coordination efficaces et rapides.

(19) Compte tenu des liens étroits entre la résilience numérique et la résilience physique des entités financières, il est nécessaire d'adopter une approche cohérente en ce qui concerne la résilience des entités critiques dans le présent règlement et dans la directive (UE) 2022/2557 du Parlement européen et du Conseil (9). Étant donné que la résilience physique des entités financières est traitée de manière globale par les obligations en matière de gestion des risques liés aux TIC et de communication d'informations couvertes par le présent règlement, les obligations prévues aux chapitres III et IV de la directive (UE) 2022/2557 ne devraient pas s'appliquer aux entités financières relevant du champ d'application de ladite directive.

(20) Service d'informatique en nuageService d'informatique en nuage désigne un service numérique qui permet l'administration à la demande et un large accès à distance à un pool évolutif et élastique de ressources informatiques partageables, y compris lorsque ces ressources sont réparties sur plusieurs sites. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) sont une catégorie d'infrastructure numérique couverte par la directive (UE) 2022/2555. Le cadre de surveillance de l'Union ("cadre de surveillance") établi par le présent règlement s'applique à tous les prestataires de services TIC critiques tiers, y compris les prestataires de services d'informatique en nuage fournissant des services TIC à des entités financières, et devrait être considéré comme complémentaire de la surveillance exercée en vertu de la directive (UE) 2022/2555. En outre, le cadre de surveillance établi par le présent règlement devrait couvrir les prestataires de services d'informatique en nuage en l'absence d'un cadre horizontal de l'Union établissant une autorité de surveillance numérique.

(21) Afin de maîtriser pleinement les risques liés aux TIC, les entités financières doivent disposer de capacités complètes permettant une gestion solide et efficace des risques liés aux TIC, ainsi que de mécanismes et de politiques spécifiques pour traiter tous les incidents liés aux TIC et pour signaler les incidents majeurs liés aux TIC. De même, les entités financières devraient mettre en place des politiques pour tester les systèmes, les contrôles et les processus liés aux TIC, ainsi que pour gérer les risques liés aux TIC pour les tiers. Le niveau de base de la résilience opérationnelle numérique pour les entités financières devrait être augmenté tout en permettant une application proportionnée des exigences pour certaines entités financières, en particulier les microentreprises, ainsi que pour les entités financières soumises à un cadre simplifié de gestion des risques liés aux TIC. Pour faciliter une surveillance efficace des institutions de retraite professionnelle qui soit proportionnée et réponde à la nécessité de réduire les charges administratives pesant sur les autorités compétentes, les dispositifs nationaux de surveillance pertinents concernant ces entités financières devraient tenir compte de leur taille et de leur profil de risque global, ainsi que de la nature, de l'échelle et de la complexité de leurs services, activités et opérations, même lorsque les seuils pertinents établis à l'article 5 de la directive (UE) 2016/2341 du Parlement européen et du Conseil (10) sont dépassés. En particulier, les activités de surveillance devraient se concentrer principalement sur la nécessité de traiter les risques graves associés à la gestion des risques liés aux TIC d'une entité donnée.

Les autorités compétentes devraient également maintenir une approche vigilante mais proportionnée en ce qui concerne la surveillance des institutions de retraite professionnelle qui, conformément à l'article 31 de la directive (UE) 2016/2341, confient à des prestataires de services une partie importante de leurs activités de base, telles que la gestion d'actifs, les calculs actuariels, la comptabilité et la gestion de données.

(22) Les seuils de déclaration des incidents liés aux TIC et les taxonomies varient considérablement au niveau national. Si un terrain d'entente peut être trouvé grâce aux travaux pertinents entrepris par l'Agence de l'Union européenne pour la cybersécurité (ENISA) établie par le règlement (UE) 2019/881 du Parlement européen et du Conseil (11) et le groupe de coopération au titre de la directive (UE) 2022/2555, des approches divergentes concernant la fixation des seuils et l'utilisation des taxonomies existent toujours, ou peuvent émerger, pour le reste des entités financières. En raison de ces divergences, les entités financières doivent se conformer à de multiples exigences, en particulier lorsqu'elles opèrent dans plusieurs États membres et lorsqu'elles font partie d'un groupe financier. En outre, ces divergences risquent d'entraver la création de nouveaux mécanismes uniformes ou centralisés de l'Union qui accélèrent le processus de déclaration et favorisent un échange d'informations rapide et sans heurts entre les autorités compétentes, ce qui est essentiel pour faire face aux risques liés aux TIC en cas d'attaques à grande échelle pouvant avoir des conséquences systémiques.

(23) Afin de réduire la charge administrative et les obligations de déclaration potentiellement redondantes pour certaines entités financières, l'obligation de déclaration des incidents conformément à la directive (UE) 2015/2366 du Parlement européen et du Conseil (12) devrait cesser de s'appliquer aux prestataires de services de paiement qui relèvent du champ d'application du présent règlement. Par conséquent, les établissements de crédit, les établissements de monnaie électronique, les établissements de paiement et les prestataires de services d'information sur les comptes, visés à l'article 33, paragraphe 1, de ladite directive, devraient, à compter de la date d'application du présent règlement, déclarer, conformément au présent règlement, tous les incidents de paiement opérationnels ou liés à la sécurité qui ont été précédemment déclarés conformément à ladite directive, que ces incidents soient ou non liés aux TIC.

(24) Pour permettre aux autorités compétentes de remplir leur mission de surveillance en acquérant une vue d'ensemble de la nature, de la fréquence, de l'importance et de l'impact des incidents liés aux TIC et pour améliorer l'échange d'informations entre les autorités publiques concernées, y compris les services répressifs et les autorités de résolution, le présent règlement devrait établir un régime solide de notification des incidents liés aux TIC, dans lequel les exigences pertinentes comblent les lacunes actuelles de la législation sur les services financiers et suppriment les chevauchements et les doubles emplois existants afin de réduire les coûts. Il est essentiel d'harmoniser le régime de notification des incidents liés aux TIC en exigeant de toutes les entités financières qu'elles fassent rapport à leurs autorités compétentes dans un cadre unique et rationalisé, comme le prévoit le présent règlement. En outre, les AES devraient être habilitées à préciser les éléments pertinents du cadre de notification des incidents liés aux TIC, tels que la taxonomie, les délais, les ensembles de données, les modèles et les seuils applicables. Afin d'assurer une cohérence totale avec la directive (UE) 2022/2555, les entités financières devraient être autorisées, sur une base volontaire, à notifier les cybermenaces importantes à l'autorité compétente concernée, lorsqu'elles considèrent que les cybermenaceCybermenace désigne toute circonstance, tout événement ou toute action potentielle susceptible d'endommager, de perturber ou de nuire d'une autre manière aux réseaux et aux systèmes d'information, aux utilisateurs de ces systèmes et à d'autres personnes - Définition selon l'article 2, point (8), du règlement (UE) 2019/881. présente un intérêt pour le système financier, les utilisateurs du service ou les clients.

(25) Des exigences en matière de tests de résilience opérationnelle numérique ont été élaborées dans certains sous-secteurs financiers, établissant des cadres qui ne sont pas toujours totalement alignés. Cela entraîne une duplication potentielle des coûts pour les entités financières transfrontalières et rend complexe la reconnaissance mutuelle des résultats des tests de résilience opérationnelle numérique, ce qui, à son tour, peut fragmenter le marché intérieur.

(26) En outre, lorsqu'aucun test des TIC n'est requis, les vulnérabilités ne sont pas détectées et exposent l'entité financière à un risque lié aux TIC, ce qui, en fin de compte, crée un risque plus élevé pour la stabilité et l'intégrité du secteur financier. Sans l'intervention de l'Union, les tests de résilience opérationnelle numérique continueraient d'être incohérents et il n'y aurait pas de système de reconnaissance mutuelle des résultats des tests TIC dans les différentes juridictions. En outre, comme il est peu probable que d'autres sous-secteurs financiers adoptent des programmes de test à une échelle significative, ils ne bénéficieraient pas des avantages potentiels d'un cadre de test, en termes de révélation des vulnérabilités et des risques liés aux TIC, et de test des capacités de défense et de la continuité des activités, ce qui contribue à accroître la confiance des clients, des fournisseurs et des partenaires commerciaux. Pour remédier à ces chevauchements, divergences et lacunes, il est nécessaire d'établir des règles pour un régime de test coordonné et de faciliter ainsi la reconnaissance mutuelle des tests avancés pour les entités financières qui satisfont aux critères énoncés dans le présent règlement.

(27) La dépendance des entités financières à l'égard des services TIC s'explique en partie par leur besoin de s'adapter à une économie mondiale numérique concurrentielle émergente, de renforcer l'efficacité de leurs activités et de répondre à la demande des consommateurs. La nature et l'ampleur de cette dépendance n'ont cessé d'évoluer ces dernières années, entraînant une réduction des coûts de l'intermédiation financière, permettant l'expansion des activités et l'extensibilité du déploiement des activités financières, tout en offrant une large gamme d'outils TIC pour gérer des processus internes complexes.

(28) L'utilisation intensive des services TIC se traduit par des accords contractuels complexes, en vertu desquels les entités financières éprouvent souvent des difficultés à négocier des conditions contractuelles adaptées aux normes prudentielles ou aux autres exigences réglementaires auxquelles elles sont soumises, ou à faire valoir des droits spécifiques, tels que des droits d'accès ou d'audit, même lorsque ces derniers sont inscrits dans leurs accords contractuels. En outre, nombre de ces accords contractuels ne prévoient pas de garanties suffisantes pour permettre un contrôle complet des processus de sous-traitance, privant ainsi l'entité financière de sa capacité à évaluer les risques associés. En outre, comme les prestataires de services TIC tiers fournissent souvent des services standardisés à différents types de clients, ces dispositions contractuelles ne répondent pas toujours de manière adéquate aux besoins individuels ou spécifiques des acteurs de l'industrie financière.

(29) Même si la législation de l'Union sur les services financiers contient certaines règles générales sur l'externalisation, le contrôle de la dimension contractuelle n'est pas pleinement ancré dans le droit de l'Union. En l'absence de normes de l'Union claires et personnalisées s'appliquant aux accords contractuels conclus avec des prestataires de services TIC tiers, la source externe du risque lié aux TIC n'est pas traitée de manière exhaustive. Par conséquent, il est nécessaire d'énoncer certains principes clés pour guider la gestion par les entités financières du risque lié aux TIC de tiers, qui revêtent une importance particulière lorsque les entités financières ont recours à des prestataires de services TIC de tiers pour soutenir leurs fonctions critiques ou importantes. Ces principes devraient être accompagnés d'un ensemble de droits contractuels fondamentaux concernant plusieurs éléments de l'exécution et de la résiliation des accords contractuels, en vue de fournir certaines garanties minimales pour renforcer la capacité des entités financières à contrôler efficacement tous les risques liés aux TIC qui apparaissent au niveau des prestataires de services tiers. Ces principes complètent le droit sectoriel applicable à l'externalisation.

(30) On constate aujourd'hui un certain manque d'homogénéité et de convergence en ce qui concerne la surveillance du risque TIC pour les tiers et des dépendances TIC pour les tiers. Malgré les efforts déployés pour traiter la question de l'externalisation, comme les lignes directrices de l'ABE sur l'externalisation de 2019 et les lignes directrices de l'AEMF sur l'externalisation vers des fournisseurs de services en nuage de 2021, la question plus large de la lutte contre le risque systémique qui peut être déclenché par l'exposition du secteur financier à un nombre limité de fournisseurs de services TIC tiers critiques n'est pas suffisamment prise en compte par le droit de l'Union. L'absence de règles au niveau de l'Union est aggravée par l'absence de règles nationales sur les mandats et les outils qui permettent aux autorités de surveillance financière d'acquérir une bonne compréhension des dépendances des TIC à l'égard des tiers et de surveiller de manière adéquate les risques découlant de la concentration des dépendances des TIC à l'égard des tiers.

(31) Compte tenu du risque systémique potentiel lié à l'augmentation des pratiques d'externalisation et à la concentration des TIC chez les tiers, et conscient du fait que les mécanismes nationaux ne fournissent pas aux autorités de surveillance financière les outils adéquats pour quantifier, qualifier et corriger les conséquences des risques liés aux TIC chez les fournisseurs de services TIC tiers essentiels, il est nécessaire d'établir un cadre de surveillance approprié permettant un contrôle continu des activités des fournisseurs de services TIC tiers essentiels aux entités financières, tout en veillant à ce que la confidentialité et la sécurité des clients autres que les entités financières soient préservées. Si la fourniture de services TIC au sein d'un groupe comporte des risques et des avantages spécifiques, elle ne devrait pas être automatiquement considérée comme moins risquée que la fourniture de services TIC par des prestataires extérieurs à un groupe financier et devrait donc être soumise au même cadre réglementaire. Toutefois, lorsque les services TIC sont fournis au sein d'un même groupe financier, les entités financières peuvent avoir un niveau de contrôle plus élevé sur les fournisseurs intragroupe, ce qui devrait être pris en compte dans l'évaluation globale des risques.

(32) Les risques liés aux TIC devenant de plus en plus complexes et sophistiqués, les bonnes mesures de détection et de prévention de ces risques dépendent dans une large mesure de l'échange régulier, entre les entités financières, de renseignements sur les menaces et les vulnérabilités. Le partage d'informations contribue à une meilleure prise de conscience des cybermenaces. En retour, cela renforce la capacité des entités financières à empêcher les cybermenaces de devenir de véritables incidents liés aux TIC et permet aux entités financières de contenir plus efficacement l'impact des incidents liés aux TIC et de se rétablir plus rapidement. En l'absence d'orientations au niveau de l'Union, plusieurs facteurs semblent avoir entravé ce partage de renseignements, en particulier l'incertitude quant à sa compatibilité avec les règles en matière de protection des données, d'antitrust et de responsabilité.

(33) En outre, les doutes concernant le type d'informations pouvant être partagées avec d'autres acteurs du marché ou avec des autorités non prudentielles (telles que l'ENISA, à des fins d'analyse, ou Europol, à des fins répressives) conduisent à ce que des informations utiles ne soient pas communiquées. Par conséquent, l'étendue et la qualité du partage d'informations restent actuellement limitées et fragmentées, les échanges pertinents étant principalement locaux (par le biais d'initiatives nationales) et en l'absence de dispositions cohérentes de partage d'informations à l'échelle de l'Union, adaptées aux besoins d'un système financier intégré. Il est donc important de renforcer ces canaux de communication.

(34) Les entités financières devraient être encouragées à échanger entre elles des informations et des renseignements sur les cybermenaces et à exploiter collectivement leurs connaissances individuelles et leur expérience pratique aux niveaux stratégique, tactique et opérationnel en vue de renforcer leurs capacités à évaluer, surveiller et défendre les cybermenaces de manière adéquate et à y répondre, en participant à des accords de partage d'informations. Il est donc nécessaire de permettre l'émergence, au niveau de l'Union, de mécanismes d'accords volontaires de partage d'informations qui, lorsqu'ils sont mis en œuvre dans des environnements de confiance, aideraient la communauté du secteur financier à prévenir les cybermenaces et à y répondre collectivement en limitant rapidement la propagation des risques liés aux TIC et en empêchant une contagion potentielle dans l'ensemble des circuits financiers. Ces mécanismes devraient être conformes aux règles applicables du droit de la concurrence de l'Union énoncées dans la communication de la Commission du 14 janvier 2011 intitulée "Lignes directrices sur l'applicabilité de l'article 101 du traité sur le fonctionnement de l'Union européenne aux accords de coopération horizontale", ainsi qu'aux règles de l'Union en matière de protection des données, en particulier le règlement (UE) 2016/679 du Parlement européen et du Conseil (13). Ils devraient fonctionner sur la base de l'utilisation d'une ou de plusieurs des bases juridiques qui sont énoncées à l'article 6 dudit règlement, par exemple dans le cadre du traitement de données à caractère personnel qui est nécessaire aux fins de l'intérêt légitime poursuivi par le responsable du traitement ou par un tiers, tel que visé à l'article 6, paragraphe 1, point f), dudit règlement, ainsi que dans le cadre du traitement de données à caractère personnel nécessaire au respect d'une obligation légale à laquelle le responsable du traitement est soumis, nécessaire à l'exécution d'une mission d'intérêt public ou relevant de l'exercice de l'autorité publique dont est investi le responsable du traitement, tel que visé à l'article 6, paragraphe 1, points c) et e), respectivement, dudit règlement.

(35) Afin de maintenir un niveau élevé de résilience opérationnelle numérique pour l'ensemble du secteur financier et, dans le même temps, de suivre le rythme des évolutions technologiques, le présent règlement devrait traiter le risque découlant de tous les types de services TIC. À cette fin, la définition des services TIC dans le contexte du présent règlement devrait être entendue au sens large et englober les services numériques et de données fournis par l'intermédiaire de systèmes TIC à un ou plusieurs utilisateurs internes ou externes de manière continue. Cette définition devrait, par exemple, inclure les services dits "over the top", qui relèvent de la catégorie des services de communications électroniques. Elle ne devrait exclure que la catégorie limitée des services téléphoniques analogiques traditionnels, à savoir les services du réseau téléphonique public commuté (RTPC), les services de lignes terrestres, les services téléphoniques ordinaires (POTS) ou les services de téléphonie fixe.

(36) Nonobstant la large couverture envisagée par le présent règlement, l'application des règles de résilience opérationnelle numérique devrait tenir compte des différences significatives entre les entités financières en termes de taille et de profil de risque global. En principe, lors de la répartition des ressources et des capacités pour la mise en œuvre du cadre de gestion des risques liés aux TIC, les entités financières devraient dûment adapter leurs besoins en matière de TIC à leur taille et à leur profil de risque global, ainsi qu'à la nature, à l'échelle et à la complexité de leurs services, activités et opérations, tandis que les autorités compétentes devraient continuer à évaluer et à réexaminer l'approche adoptée pour une telle répartition.

(37) Les prestataires de services d'information sur les comptes, visés à l'article 33, paragraphe 1, de la directive (UE) 2015/2366, sont explicitement inclus dans le champ d'application du présent règlement, compte tenu de la nature spécifique de leurs activités et des risques qui en découlent. En outre, les établissements de monnaie électronique et les établissements de paiement exemptés en vertu de l'article 9, paragraphe 1, de la directive 2009/110/CE du Parlement européen et du Conseil (14) et de l'article 32, paragraphe 1, de la directive (UE) 2015/2366 sont inclus dans le champ d'application du présent règlement, même s'ils n'ont pas reçu d'agrément conformément à la directive 2009/110/CE pour émettre de la monnaie électronique, ou s'ils n'ont pas reçu d'agrément conformément à la directive (UE) 2015/2366 pour fournir et exécuter des services de paiement. Toutefois, les établissements de chèques postaux, visés à l'article 2, paragraphe 5, point 3), de la directive 2013/36/UE du Parlement européen et du Conseil (15), sont exclus du champ d'application du présent règlement. L'autorité compétente pour les établissements de paiement exemptés en vertu de la directive (UE) 2015/2366, les établissements de monnaie électronique exemptés en vertu de la directive 2009/110/CE et les prestataires de services d'information sur les comptes visés à l'article 33, paragraphe 1, de la directive (UE) 2015/2366, devrait être l'autorité compétente désignée conformément à l'article 22 de la directive (UE) 2015/2366.

(38) Étant donné que les grandes entités financières peuvent disposer de ressources plus importantes et déployer rapidement des fonds pour développer des structures de gouvernance et mettre en place diverses stratégies d'entreprise, seules les entités financières qui ne sont pas des microentreprises au sens du présent règlement devraient être tenues de mettre en place des dispositifs de gouvernance plus complexes. Ces entités sont notamment mieux équipées pour mettre en place des fonctions de gestion dédiées à la supervision des accords avec les prestataires de services TIC tiers ou à la gestion des crises, pour organiser leur gestion des risques liés aux TIC selon le modèle des trois lignes de défense, ou pour mettre en place un modèle de gestion et de contrôle des risques internes, et pour soumettre leur cadre de gestion des risques liés aux TIC à des audits internes.

(39) Certaines entités financières bénéficient d'exemptions ou sont soumises à un cadre réglementaire très léger en vertu du droit de l'Union sectoriel applicable. Ces entités financières comprennent les gestionnaires de fonds d'investissement alternatifs visés à l'article 3, paragraphe 2, de la directive 2011/61/UE du Parlement européen et du Conseil (16), les entreprises d'assurance et de réassurance visées à l'article 4 de la directive 2009/138/CE du Parlement européen et du Conseil (17), et les institutions de retraite professionnelle qui gèrent des régimes de retraite ne comptant pas plus de 15 affiliés au total. Compte tenu de ces exemptions, il ne serait pas proportionné d'inclure ces entités financières dans le champ d'application du présent règlement. En outre, le présent règlement reconnaît les spécificités de la structure du marché de l'intermédiation en assurance, de sorte que les intermédiaires d'assurance, les intermédiaires de réassurance et les intermédiaires d'assurance auxiliaires qualifiés de microentreprises ou de petites ou moyennes entreprises ne devraient pas être soumis au présent règlement.

(40) Étant donné que les entités visées à l'article 2, paragraphe 5, points 4) à 23), de la directive 2013/36/UE sont exclues du champ d'application de cette directive, les États membres devraient par conséquent pouvoir choisir d'exempter de l'application du présent règlement ces entités situées sur leurs territoires respectifs.

(41) De même, afin d'aligner le présent règlement sur le champ d'application de la directive 2014/65/UE du Parlement européen et du Conseil (18), il convient également d'exclure du champ d'application du présent règlement les personnes physiques et morales visées aux articles 2 et 3 de ladite directive qui sont autorisées à fournir des services d'investissement sans devoir obtenir un agrément au titre de la directive 2014/65/UE. Toutefois, l'article 2 de la directive 2014/65/UE exclut également du champ d'application de cette directive les entités qui sont considérées comme des entités financières aux fins du présent règlement, telles que les dépositaires centraux de titres, les organismes de placement collectif ou les entreprises d'assurance et de réassurance. L'exclusion du champ d'application du présent règlement des personnes et entités visées aux articles 2 et 3 de ladite directive ne devrait pas englober les dépositaires centraux de titres, les organismes de placement collectif ou les entreprises d'assurance et de réassurance.

(42) En vertu du droit de l'Union sectoriel, certaines entités financières sont soumises à des exigences allégées ou à des exemptions pour des raisons liées à leur taille ou aux services qu'elles fournissent. Cette catégorie d'entités financières comprend les petites entreprises d'investissement non interconnectées, les petites institutions de retraite professionnelle qui peuvent être exclues du champ d'application de la directive (UE) 2016/2341 dans les conditions fixées à l'article 5 de cette directive par l'État membre concerné et qui gèrent des régimes de retraite ne comptant pas plus de 100 affiliés au total, ainsi que les institutions exemptées en vertu de la directive 2013/36/UE. Par conséquent, conformément au principe de proportionnalité et pour préserver l'esprit du droit de l'Union sectoriel, il convient également de soumettre ces entités financières à un cadre simplifié de gestion du risque lié aux TIC en vertu du présent règlement. Le caractère proportionné du cadre de gestion des risques liés aux TIC couvrant ces entités financières ne devrait pas être modifié par les normes techniques réglementaires qui doivent être élaborées par les AES. En outre, conformément au principe de proportionnalité, il convient de soumettre également les établissements de paiement visés à l'article 32, paragraphe 1, de la directive (UE) 2015/2366 et les établissements de monnaie électronique visés à l'article 9 de la directive 2009/110/CE exemptés conformément au droit national transposant ces actes juridiques de l'Union à un cadre simplifié de gestion du risque lié aux TIC en vertu du présent règlement, tandis que les établissements de paiement et les établissements de monnaie électronique qui n'ont pas été exemptés conformément à leur droit national respectif transposant le droit sectoriel de l'Union devraient se conformer au cadre général établi par le présent règlement.

(43) De même, les entités financières qui ont le statut de microentreprise ou qui sont soumises au cadre simplifié de gestion des risques liés aux TIC prévu par le présent règlement ne devraient pas être tenues de mettre en place un mécanisme de contrôle des accords conclus avec des prestataires de services TIC tiers en ce qui concerne l'utilisation des services TIC, ni de désigner un membre de l'encadrement supérieur chargé de superviser l'exposition aux risques et la documentation correspondante ; d'attribuer la responsabilité de la gestion et de la surveillance des risques liés aux TIC à une fonction de contrôle et de garantir un niveau approprié d'indépendance de cette fonction de contrôle afin d'éviter les conflits d'intérêts ; de documenter et d'examiner au moins une fois par an le cadre de gestion des risques liés aux TIC ; de soumettre régulièrement le cadre de gestion des risques liés aux TIC à l'audit interne ; d'effectuer des évaluations approfondies après des changements majeurs dans leurs systèmes de gestion des risques liés aux TIC ; et de mettre en place un système de gestion des risques liés aux TIC. réseau et système d'informationRéseau et système d'information (a) un réseau de communications électroniques tel que défini à l'article 2, point 1), de la directive (UE) 2018/1972 ; b) tout dispositif ou groupe de dispositifs interconnectés ou apparentés, dont un ou plusieurs effectuent, en application d'un programme, un traitement automatique de données numériques ; ou c) les données numériques stockées, traitées, récupérées ou transmises par les éléments visés aux points a) et b) aux fins de leur fonctionnement, de leur utilisation, de leur protection et de leur maintenance ; -. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) de disposer d'une fonction de gestion de crise, d'étendre les tests des plans de continuité d'activité, de réaction et de récupération afin de prendre en compte les scénarios de basculement entre l'infrastructure TIC principale et les installations redondantes ; de communiquer aux autorités compétentes, à leur demande, une estimation des coûts et des pertes annuels agrégés causés par des incidents majeurs liés aux TIC, de maintenir des capacités TIC redondantes ; communiquer aux autorités nationales compétentes les changements mis en œuvre à la suite d'examens effectués après un incident lié aux TIC ; suivre en permanence les évolutions technologiques pertinentes, mettre en place un programme complet d'essais de résilience numérique opérationnelle en tant que partie intégrante du cadre de gestion des risques liés aux TIC prévu par le présent règlement, ou adopter et réviser régulièrement une stratégie sur les risques liés aux TIC pour les tiers. En outre, les microentreprises ne devraient être tenues d'évaluer la nécessité de maintenir de telles capacités TIC redondantes que sur la base de leur profil de risque. Les microentreprises devraient bénéficier d'un régime plus souple en ce qui concerne les programmes de test de résilience opérationnelle numérique. Lors de l'examen du type et de la fréquence des tests à effectuer, elles devraient trouver un juste équilibre entre l'objectif de maintenir une résilience opérationnelle numérique élevée, les ressources disponibles et leur profil de risque global. Les microentreprises et les entités financières soumises au cadre simplifié de gestion des risques liés aux TIC prévu par le présent règlement devraient être exemptées de l'obligation de réaliser des tests avancés des outils, systèmes et processus TIC sur la base de tests de pénétration guidés par la menace (TLPT), étant donné que seules les entités financières répondant aux critères énoncés dans le présent règlement devraient être tenues de réaliser de tels tests. Compte tenu de leurs capacités limitées, les microentreprises devraient pouvoir convenir avec le prestataire de services TIC tiers de déléguer les droits d'accès, d'inspection et d'audit de l'entité financière à un tiers indépendant, désigné par le prestataire de services TIC tiers, à condition que l'entité financière soit en mesure de demander à tout moment au tiers indépendant concerné toutes les informations et assurances pertinentes sur les performances du prestataire de services TIC tiers.

(44) Étant donné que seules les entités financières identifiées aux fins des tests avancés de résilience numérique devraient être tenues d'effectuer des tests de pénétration guidés par la menace, les procédures administratives et les coûts financiers liés à la réalisation de ces tests devraient être supportés par un faible pourcentage d'entités financières.

(45) Pour assurer un alignement total et une cohérence globale entre les stratégies commerciales des entités financières, d'une part, et la gestion des risques liés aux TIC, d'autre part, les organes de direction des entités financières devraient être tenus de jouer un rôle central et actif dans le pilotage et l'adaptation du cadre de gestion des risques liés aux TIC et de la stratégie globale de résilience opérationnelle numérique. L'approche à adopter par les organes de direction ne devrait pas seulement se concentrer sur les moyens de garantir la résilience des systèmes TIC, mais devrait également couvrir les personnes et les processus grâce à un ensemble de politiques qui cultivent, à chaque niveau de l'entreprise et pour l'ensemble du personnel, une forte sensibilisation aux cyberrisques et un engagement à observer une stricte cyberhygiène à tous les niveaux. La responsabilité ultime de l'organe de direction dans la gestion des risques liés aux TIC d'une entité financière devrait être un principe fondamental de cette approche globale, qui se traduit par un engagement permanent de l'organe de direction dans le contrôle du suivi de la gestion des risques liés aux TIC.

(46) En outre, le principe de la responsabilité totale et ultime de l'organe de direction dans la gestion du risque TIC de l'entité financière va de pair avec la nécessité de garantir un niveau d'investissements liés aux TIC et un budget global pour l'entité financière qui permettraient à cette dernière d'atteindre un niveau élevé de résilience opérationnelle numérique.

(47) S'inspirant des meilleures pratiques, lignes directrices, recommandations et approches internationales, nationales et sectorielles en matière de gestion du risque cybernétique, le présent règlement promeut un ensemble de principes qui facilitent la structure globale de la gestion des risques liés aux TIC. Par conséquent, tant que les principales capacités mises en place par les entités financières répondent aux différentes fonctions de la gestion des risques liés aux TIC (identification, protection et prévention, détection, réaction et rétablissement, apprentissage et évolution, et communication) énoncées dans le présent règlement, les entités financières devraient rester libres d'utiliser des modèles de gestion des risques liés aux TIC qui sont encadrés ou classés différemment.

(48) Pour suivre l'évolution du paysage des cybermenaces, les entités financières devraient maintenir des systèmes TIC actualisés, fiables et capables, non seulement de garantir le traitement des données nécessaires à leurs services, mais aussi d'assurer une résilience technologique suffisante pour leur permettre de faire face de manière adéquate à des besoins de traitement supplémentaires dus à des conditions de marché tendues ou à d'autres situations défavorables.

(49) Des plans efficaces de continuité et de reprise des activités sont nécessaires pour permettre aux entités financières de résoudre rapidement les incidents liés aux TIC, en particulier les cyberattaques, en limitant les dommages et en donnant la priorité à la reprise des activités et aux actions de rétablissement conformément à leurs politiques de sauvegarde. Toutefois, cette reprise ne doit en aucun cas compromettre l'intégrité et la sécurité du réseau et des systèmes d'information, ni la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données.

(50) Si le présent règlement permet aux entités financières de déterminer leurs objectifs en matière de délai et de point de rétablissement de manière souple et donc de fixer ces objectifs en tenant pleinement compte de la nature et de la criticité des fonctions concernées et de tout besoin commercial spécifique, il devrait néanmoins les obliger à procéder à une évaluation de l'impact global potentiel sur l'efficience du marché lorsqu'elles déterminent ces objectifs.

(51) Les propagateurs des cyberattaques ont tendance à rechercher des gains financiers directement à la source, exposant ainsi les entités financières à des conséquences importantes. Pour éviter que les systèmes TIC ne perdent leur intégrité ou ne deviennent indisponibles, et donc pour éviter les violations de données et les dommages aux infrastructures TIC physiques, la notification des incidents majeurs liés aux TIC par les entités financières devrait être considérablement améliorée et rationalisée. La notification des incidents liés aux TIC devrait être harmonisée par l'introduction d'une obligation pour toutes les entités financières de notifier directement leurs autorités compétentes. Lorsqu'une entité financière est soumise à la surveillance de plusieurs autorités nationales compétentes, les États membres devraient désigner une seule autorité compétente comme destinataire de ces rapports. Les établissements de crédit classés comme importants conformément à l'article 6, paragraphe 4, du règlement (UE) n° 1024/2013 du Conseil (19) devraient soumettre ce rapport aux autorités nationales compétentes, qui devraient ensuite le transmettre à la Banque centrale européenne (BCE).

(52) La notification directe devrait permettre aux autorités de surveillance financière d'avoir un accès immédiat aux informations relatives aux incidents majeurs liés aux TIC. Les autorités de surveillance financière devraient à leur tour transmettre les détails des incidents majeurs liés aux TIC aux autorités publiques non financières (telles que les autorités compétentes et les points de contact uniques au titre de la directive (UE) 2022/2555, les autorités nationales chargées de la protection des données, et les autorités chargées de l'application de la loi pour les incidents majeurs liés aux TIC de nature criminelle) afin de sensibiliser davantage ces autorités à ces incidents et, dans le cas des CSIRT, de faciliter l'assistance rapide qui peut être apportée aux entités financières, le cas échéant. Les États membres devraient, en outre, pouvoir déterminer que les entités financières elles-mêmes doivent fournir ces informations aux autorités publiques en dehors de l'espace des services financiers. Ces flux d'informations devraient permettre aux entités financières de bénéficier rapidement de tout apport technique pertinent, de conseils sur les mesures correctives et d'un suivi ultérieur de la part de ces autorités. Les informations sur les incidents majeurs liés aux TIC devraient être canalisées mutuellement : les autorités de surveillance financière devraient fournir tous les commentaires ou conseils nécessaires à l'entité financière, tandis que les AES devraient partager des données anonymes sur les cybermenaces et les vulnérabilités liées à un incident, afin de contribuer à une défense collective plus large.

(53) Si toutes les entités financières devraient être tenues de notifier les incidents, cette obligation ne devrait pas les concerner toutes de la même manière. En effet, les seuils de matérialité pertinents, ainsi que les délais de notification, devraient être dûment ajustés, dans le contexte des actes délégués fondés sur les normes techniques réglementaires à élaborer par les AES, en vue de ne couvrir que les incidents majeurs liés aux TIC. En outre, les spécificités des entités financières devraient être prises en compte lors de la fixation des délais pour les obligations de déclaration.

(54) Le présent règlement devrait exiger des établissements de crédit, des établissements de paiement, des prestataires de services d'information sur les comptes et des établissements de monnaie électronique qu'ils signalent tous les incidents opérationnels ou liés à la sécurité des paiements - précédemment signalés au titre de la directive (UE) 2015/2366 -, quelle que soit la nature TIC de l'incident.

(55) Les AES devraient être chargées d'évaluer la faisabilité et les conditions d'une éventuelle centralisation des rapports d'incidents liés aux TIC au niveau de l'Union. Cette centralisation pourrait consister en un centre européen unique de notification des incidents majeurs liés aux TIC, soit qui recevrait directement les rapports pertinents et les notifierait automatiquement aux autorités nationales compétentes, soit qui se contenterait de centraliser les rapports pertinents transmis par les autorités nationales compétentes, remplissant ainsi un rôle de coordination. Les AES devraient être chargées de préparer, en consultation avec la BCE et l'ENISA, un rapport conjoint explorant la faisabilité de la mise en place d'un centre européen unique.

(56) Afin d'atteindre un niveau élevé de résilience opérationnelle numérique, et conformément aux normes internationales pertinentes (par exemple, les éléments fondamentaux du G7 pour les tests de pénétration basés sur la menace) et aux cadres appliqués dans l'Union, tels que le TIBER-UE, les entités financières devraient régulièrement tester leurs systèmes TIC et le personnel ayant des responsabilités liées aux TIC en ce qui concerne l'efficacité de leurs capacités de prévention, de détection, de réaction et de récupération, afin de découvrir les vulnérabilités potentielles des TIC et d'y remédier. Pour tenir compte des différences qui existent entre les divers sous-secteurs financiers et au sein de ceux-ci en ce qui concerne le niveau de préparation des entités financières en matière de cybersécurité, les tests devraient comprendre une grande variété d'outils et d'actions, allant de l'évaluation des exigences de base (par exemple, évaluations et analyses des vulnérabilités, analyses des sources ouvertes, évaluations de la sécurité des réseaux, analyses des lacunes, examens de la sécurité physique, questionnaires et analyses des solutions logicielles, examens du code source lorsque cela est possible, tests basés sur des scénarios, tests de compatibilité, tests de performance ou tests de bout en bout) à des tests plus avancés au moyen de TLPT. Ces tests avancés ne devraient être exigés que des entités financières qui sont suffisamment matures du point de vue des TIC pour pouvoir raisonnablement les réaliser. Les tests de résilience opérationnelle numérique requis par le présent règlement devraient donc être plus exigeants pour les entités financières répondant aux critères énoncés dans le présent règlement (par exemple, les établissements de crédit, les bourses, les dépositaires centraux de titres et les contreparties centrales de grande taille, systémiques et matures sur le plan des TIC) que pour les autres entités financières. Dans le même temps, le test de résilience opérationnelle numérique au moyen du TLPT devrait être plus pertinent pour les entités financières opérant dans les sous-secteurs essentiels des services financiers et jouant un rôle systémique (par exemple, les paiements, la banque, la compensation et le règlement), et moins pertinent pour d'autres sous-secteurs (par exemple, les gestionnaires d'actifs et les agences de notation de crédit).

(57) Les entités financières participant à des activités transfrontalières et exerçant les libertés d'établissement ou de prestation de services dans l'Union devraient se conformer à un ensemble unique d'exigences en matière de tests avancés (c'est-à-dire le TLPT) dans leur État membre d'origine, qui devrait inclure les infrastructures TIC dans toutes les juridictions où le groupe financier transfrontalier opère dans l'Union, ce qui permettrait à ces groupes financiers transfrontaliers d'engager les coûts des tests TIC dans une seule juridiction.

(58) Pour tirer parti de l'expertise déjà acquise par certaines autorités compétentes, notamment en ce qui concerne la mise en œuvre du cadre TIBER-UE, le présent règlement devrait permettre aux États membres de désigner une seule autorité publique responsable dans le secteur financier, au niveau national, pour toutes les questions liées au TLPT, ou des autorités compétentes, de déléguer, en l'absence d'une telle désignation, l'exercice des tâches liées au TLPT à une autre autorité financière nationale compétente.

(59) Étant donné que le présent règlement n'exige pas des entités financières qu'elles couvrent toutes les fonctions critiques ou importantes dans le cadre d'un seul test de pénétration fondé sur la menace, les entités financières devraient être libres de déterminer quelles fonctions critiques ou importantes devraient être incluses dans le champ d'application d'un tel test, et combien d'entre elles.

(60) Les tests groupés au sens du présent règlement - impliquant la participation de plusieurs entités financières à un TLPT et pour lesquels un fournisseur de services TIC tiers peut directement conclure des accords contractuels avec un testeur externe - ne devraient être autorisés que lorsque l'on peut raisonnablement s'attendre à ce que la qualité ou la sécurité des services fournis par le fournisseur de services TIC tiers à des clients qui sont des entités ne relevant pas du champ d'application du présent règlement, ou la confidentialité des données liées à ces services, soient affectées de manière négative. Les tests groupés devraient également être soumis à des garanties (direction par une entité financière désignée, calibrage du nombre d'entités financières participantes) afin d'assurer un exercice de test rigoureux pour les entités financières impliquées qui répondent aux objectifs du TLPT conformément au présent règlement.

(61) Afin de tirer parti des ressources internes disponibles au niveau de l'entreprise, le présent règlement devrait autoriser le recours à des testeurs internes pour l'exécution du TLPT, à condition qu'il y ait approbation de l'autorité de surveillance, qu'il n'y ait pas de conflit d'intérêts et qu'il y ait une alternance périodique entre testeurs internes et externes (tous les trois tests), tout en exigeant également que le fournisseur de renseignements sur les menaces dans le TLPT soit toujours externe à l'entité financière. L'entité financière doit conserver l'entière responsabilité de la conduite du TLPT. Les attestations fournies par les autorités ne devraient servir qu'à des fins de reconnaissance mutuelle et ne devraient pas exclure toute action de suivi nécessaire pour traiter le risque lié aux TIC auquel l'entité financière est exposée, ni être considérées comme une approbation par les autorités de surveillance des capacités de gestion et d'atténuation du risque lié aux TIC d'une entité financière.

(62) Pour assurer une surveillance efficace du risque lié aux TIC pour des tiers dans le secteur financier, il est nécessaire d'établir un ensemble de règles fondées sur des principes pour guider les entités financières dans la surveillance du risque lié aux fonctions externalisées auprès de fournisseurs de services TIC pour des tiers, en particulier pour les services TIC soutenant des fonctions critiques ou importantes, et plus généralement dans le contexte de toutes les dépendances à l'égard de TIC pour des tiers.

(63) Pour faire face à la complexité des différentes sources de risques liés aux TIC, tout en tenant compte de la multitude et de la diversité des fournisseurs de solutions technologiques qui permettent une fourniture harmonieuse des services financiers, le présent règlement devrait couvrir un large éventail de fournisseurs de services TIC tiers, y compris les fournisseurs de services d'informatique en nuage, de logiciels, de services d'analyse de données et les fournisseurs de services de centres de données. De même, étant donné que les entités financières devraient identifier et gérer de manière efficace et cohérente tous les types de risques, y compris dans le contexte des services TIC fournis au sein d'un groupe financier, il convient de préciser que les entreprises qui font partie d'un groupe financier et qui fournissent des services TIC principalement à leur entreprise mère, ou aux filiales ou succursales de leur entreprise mère, ainsi que les entités financières qui fournissent des services TIC à d'autres entités financières, devraient également être considérées comme des prestataires de services TIC tiers au sens du présent règlement. Enfin, compte tenu de l'évolution du marché des services de paiement, qui dépend de plus en plus de solutions techniques complexes, et compte tenu des nouveaux types de services de paiement et de solutions liées aux paiements, les participants à l'écosystème des services de paiement qui fournissent des activités de traitement des paiements ou qui exploitent des infrastructures de paiement devraient également être considérés comme des prestataires de services TIC tiers au sens du présent règlement, à l'exception des banques centrales lorsqu'elles exploitent des systèmes de paiement ou de règlement des opérations sur titres, et des autorités publiques lorsqu'elles fournissent des services liés aux TIC dans le cadre de l'exercice des fonctions de l'État.

(64) Une entité financière doit à tout moment rester pleinement responsable du respect des obligations qui lui incombent en vertu du présent règlement. Les entités financières devraient appliquer une approche proportionnée au suivi des risques émergeant au niveau des prestataires de services TIC tiers, en tenant dûment compte de la nature, de l'échelle, de la complexité et de l'importance de leurs dépendances liées aux TIC, de la criticité ou de l'importance des services, processus ou fonctions faisant l'objet des dispositions contractuelles et, en définitive, sur la base d'une évaluation minutieuse de toute incidence potentielle sur la continuité et la qualité des services financiers au niveau individuel et au niveau du groupe, selon le cas.

(65) Ce suivi doit s'inscrire dans une approche stratégique du risque TIC pour les tiers, formalisée par l'adoption, par l'organe de direction de l'entité financière, d'une stratégie dédiée au risque TIC pour les tiers, fondée sur un examen continu de toutes les dépendances TIC pour les tiers. Afin de sensibiliser davantage les autorités de surveillance aux dépendances à l'égard de tiers en matière de TIC, et en vue de soutenir davantage les travaux menés dans le contexte du cadre de surveillance établi par le présent règlement, toutes les entités financières devraient être tenues de conserver un registre d'informations contenant tous les accords contractuels relatifs à l'utilisation de services de TIC fournis par des prestataires de services tiers en matière de TIC. Les autorités de surveillance financière devraient pouvoir demander le registre complet ou des sections spécifiques de celui-ci, et obtenir ainsi des informations essentielles pour mieux comprendre les dépendances des entités financières à l'égard des TIC.

(66) Une analyse précontractuelle approfondie devrait étayer et précéder la conclusion formelle des accords contractuels, notamment en se concentrant sur des éléments tels que la criticité ou l'importance des services couverts par le contrat TIC envisagé, les approbations prudentielles nécessaires ou d'autres conditions, le risque de concentration éventuel, ainsi que l'application d'une diligence raisonnable dans le processus de sélection et d'évaluation des prestataires de services TIC tiers et l'évaluation des conflits d'intérêts potentiels. Pour les accords contractuels concernant des fonctions critiques ou importantes, les entités financières devraient prendre en considération l'utilisation par les prestataires de services TIC tiers des normes les plus récentes et les plus élevées en matière de sécurité de l'information. La résiliation des accords contractuels pourrait être motivée au moins par une série de circonstances montrant des insuffisances au niveau du fournisseur de services TIC tiers, en particulier des violations importantes des lois ou des clauses contractuelles, des circonstances révélant une altération potentielle de l'exécution des fonctions prévues dans les accords contractuels, des preuves de faiblesses du fournisseur de services TIC tiers dans sa gestion globale des risques liés aux TIC, ou des circonstances indiquant l'incapacité de l'autorité compétente concernée à superviser efficacement l'entité financière.

(67) Pour faire face à l'impact systémique du risque de concentration des TIC avec des tiers, le présent règlement préconise une solution équilibrée en adoptant une approche souple et progressive de ce risque de concentration, étant donné que l'imposition de plafonds rigides ou de limitations strictes pourrait entraver la conduite des affaires et restreindre la liberté contractuelle. Les entités financières devraient procéder à une évaluation approfondie des accords contractuels qu'elles envisagent de conclure afin d'identifier la probabilité d'émergence d'un tel risque, y compris au moyen d'analyses approfondies des accords de sous-traitance, en particulier lorsqu'ils sont conclus avec des prestataires de services TIC tiers établis dans un pays tiers. À ce stade, et en vue de trouver un juste équilibre entre l'impératif de préserver la liberté contractuelle et celui de garantir la stabilité financière, il n'est pas jugé approprié d'établir des règles sur des plafonds et des limites stricts aux expositions des tiers TIC. Dans le contexte du cadre de surveillance, un superviseur principal, nommé en vertu du présent règlement, devrait, en ce qui concerne les prestataires de services TIC tiers critiques, accorder une attention particulière à la pleine compréhension de l'ampleur des interdépendances, découvrir des cas spécifiques où un degré élevé de concentration de prestataires de services TIC tiers critiques dans l'Union est susceptible de mettre à mal la stabilité et l'intégrité du système financier de l'Union et maintenir un dialogue avec les prestataires de services TIC tiers critiques lorsqu'un tel risque spécifique est mis en évidence.

(68) Afin d'évaluer et de contrôler régulièrement la capacité d'un prestataire de services TIC tiers à fournir des services en toute sécurité à une entité financière sans effets négatifs sur la résilience opérationnelle numérique de cette dernière, il convient d'harmoniser plusieurs éléments contractuels clés avec les prestataires de services TIC tiers. Cette harmonisation devrait couvrir un minimum de domaines cruciaux pour permettre à l'entité financière de surveiller pleinement les risques qui pourraient émerger du fournisseur de services TIC tiers, du point de vue de la nécessité pour une entité financière de garantir sa résilience numérique parce qu'elle dépend fortement de la stabilité, de la fonctionnalité, de la disponibilité et de la sécurité des services TIC qu'elle reçoit.

(69) Lorsqu'elles renégocient des accords contractuels pour s'aligner sur les exigences du présent règlement, les entités financières et les prestataires de services TIC tiers doivent s'assurer que les principales dispositions contractuelles prévues par le présent règlement sont couvertes.

(70) La définition de "fonction critique ou importante" prévue par le présent règlement englobe les "fonctions critiques" telles que définies à l'article 2, paragraphe 1, point (35), de la directive 2014/59/UE du Parlement européen et du Conseil (20). En conséquence, les fonctions considérées comme critiques en vertu de la directive 2014/59/UE sont incluses dans la définition des fonctions critiques au sens du présent règlement.

(71) Indépendamment de la criticité ou de l'importance de la fonction prise en charge par les services TIC, les dispositions contractuelles devraient notamment prévoir une spécification des descriptions complètes des fonctions et des services, des lieux où ces fonctions sont fournies et où les données doivent être traitées, ainsi qu'une indication des descriptions des niveaux de service. D'autres éléments essentiels pour permettre à une entité financière de surveiller le risque lié aux TIC pour les tiers sont les suivants des dispositions contractuelles précisant comment l'accessibilité, la disponibilité, l'intégrité, la sécurité et la protection des données à caractère personnel sont assurées par le fournisseur de services TIC tiers, des dispositions établissant les garanties pertinentes pour permettre l'accès, la récupération et la restitution des données en cas d'insolvabilité, de résolution ou de cessation des activités commerciales du fournisseur de services TIC tiers, ainsi que des dispositions exigeant du fournisseur de services TIC tiers qu'il fournisse une assistance en cas d'incidents liés aux TIC en rapport avec les services fournis, sans coût supplémentaire ou à un coût déterminé ex ante ; des dispositions relatives à l'obligation pour le prestataire de services TIC tiers de coopérer pleinement avec les autorités compétentes et les autorités de résolution de l'entité financière ; et des dispositions relatives aux droits de résiliation et aux délais de préavis minimums pour la résiliation des accords contractuels, conformément aux attentes des autorités compétentes et des autorités de résolution.

(72) Outre ces dispositions contractuelles, et afin de garantir que les entités financières conservent un contrôle total sur tous les développements survenant au niveau des tiers et susceptibles de porter atteinte à la sécurité de leurs TIC, les contrats de fourniture de services TIC à l'appui de fonctions critiques ou importantes devraient également prévoir ce qui suit : la spécification des descriptions complètes des niveaux de service, avec des objectifs de performance quantitatifs et qualitatifs précis, afin de permettre sans délai des actions correctives appropriées lorsque les niveaux de service convenus ne sont pas atteints ; les délais de préavis et les obligations de rapport du prestataire de services TIC tiers en cas de développements ayant un impact matériel potentiel sur la capacité du prestataire de services TIC tiers à fournir efficacement leurs services TIC respectifs ; l'obligation pour le prestataire de services TIC tiers de mettre en œuvre et de tester des plans d'urgence commerciaux et de disposer de mesures, d'outils et de politiques de sécurité des TIC permettant la fourniture sécurisée de services, et de participer et de coopérer pleinement au TLPT effectué par l'entité financière.

(73) Les contrats de fourniture de services TIC à l'appui de fonctions critiques ou importantes doivent également contenir des dispositions prévoyant des droits d'accès, d'inspection et d'audit par l'entité financière ou un tiers désigné, ainsi que le droit de prendre des copies, en tant qu'instruments essentiels du contrôle permanent, par l'entité financière, des performances du prestataire de services TIC tiers, ainsi que la pleine coopération du prestataire de services lors des inspections. De même, l'autorité compétente de l'entité financière devrait avoir le droit, sur la base d'avis, d'inspecter et d'auditer le prestataire de services TIC tiers, sous réserve de la protection des informations confidentielles.

(74) Ces dispositions contractuelles devraient également prévoir des stratégies de sortie spécifiques pour permettre, en particulier, des périodes de transition obligatoires pendant lesquelles les prestataires de services TIC tiers devraient continuer à fournir les services concernés en vue de réduire le risque de perturbations au niveau de l'entité financière, ou pour permettre à cette dernière de passer effectivement à l'utilisation d'autres prestataires de services TIC tiers ou, alternativement, de passer à des solutions internes, en fonction de la complexité des services fournis. Service TICService TIC Un service consistant entièrement ou principalement en la transmission, le stockage, l'extraction ou le traitement d'informations au moyen de réseaux et de systèmes d'information - Définition selon l'article 2, point (13), du règlement (UE) 2019/881.. En outre, les entités financières relevant du champ d'application de la directive 2014/59/UE devraient veiller à ce que les contrats de services TIC concernés soient solides et pleinement exécutoires en cas de résolution de ces entités financières. Par conséquent, conformément aux attentes des autorités de résolution, ces entités financières devraient veiller à ce que les contrats de services TIC concernés soient résilients. Tant qu'elles continuent à respecter leurs obligations de paiement, ces entités financières doivent veiller, entre autres, à ce que les contrats de services TIC concernés contiennent des clauses de non-résiliation, de non-suspension et de non-modification pour des raisons de restructuration ou de résolution.

(75) En outre, l'utilisation volontaire de clauses contractuelles types élaborées par les autorités publiques ou les institutions de l'Union, en particulier l'utilisation de clauses contractuelles élaborées par la Commission pour les services d'informatique en nuage, pourrait rassurer davantage les entités financières et les prestataires de services TIC tiers, en renforçant leur niveau de sécurité juridique concernant l'utilisation de services d'informatique en nuage dans le secteur financier, en parfaite adéquation avec les exigences et les attentes définies par la législation de l'Union sur les services financiers. L'élaboration de clauses contractuelles types s'appuie sur les mesures déjà envisagées dans le plan d'action Fintech de 2018, qui annonçait l'intention de la Commission d'encourager et de faciliter l'élaboration de clauses contractuelles types pour l'utilisation de services d'informatique en nuage externalisés par les entités financières, en s'appuyant sur les efforts intersectoriels des parties prenantes des services d'informatique en nuage, que la Commission a facilités avec l'aide de la participation du secteur financier.

(76) Afin de promouvoir la convergence et l'efficacité des approches prudentielles dans la gestion du risque lié aux TIC pour les tiers dans le secteur financier, ainsi que de renforcer la résilience opérationnelle numérique des entités financières qui dépendent de prestataires de services TIC critiques pour la fourniture de services TIC à l'appui de la prestation de services financiers, et de contribuer ainsi à préserver la stabilité du système financier de l'Union et l'intégrité du marché intérieur des services financiers, les prestataires de services TIC critiques pour les tiers devraient être soumis à un cadre de surveillance de l'Union. Si la mise en place du cadre de surveillance se justifie par la valeur ajoutée d'une action au niveau de l'Union et par le rôle inhérent et les spécificités de l'utilisation des services TIC dans la fourniture de services financiers, il convient de rappeler, dans le même temps, que cette solution ne semble convenir que dans le contexte du présent règlement, qui traite spécifiquement de la résilience opérationnelle numérique dans le secteur financier. Toutefois, ce cadre de surveillance ne devrait pas être considéré comme un nouveau modèle pour la surveillance de l'Union dans d'autres domaines de services et d'activités financiers.

(77) Le cadre de surveillance ne doit s'appliquer qu'aux prestataires de services TIC tiers critiques. Il devrait donc y avoir un mécanisme de désignation qui tienne compte de la dimension et de la nature de la dépendance du secteur financier à l'égard de ces prestataires de services TIC tiers. Ce mécanisme devrait comporter un ensemble de critères quantitatifs et qualitatifs permettant de fixer les paramètres de criticité qui serviront de base à l'inclusion dans le cadre de surveillance. Afin de garantir l'exactitude de cette évaluation, et quelle que soit la structure de l'entreprise du prestataire de services TIC tiers, ces critères devraient, dans le cas d'un prestataire de services TIC tiers faisant partie d'un groupe plus large, prendre en considération l'ensemble de la structure du groupe du prestataire de services TIC tiers. D'une part, les prestataires de services TIC tiers critiques, qui ne sont pas automatiquement désignés en vertu de l'application de ces critères, devraient avoir la possibilité d'adhérer au cadre de surveillance sur une base volontaire ; d'autre part, les prestataires de services TIC tiers qui sont déjà soumis à des cadres de mécanismes de surveillance contribuant à l'accomplissement des missions du Système européen de banques centrales visées à l'article 127, paragraphe 2, du TFUE, devraient être exemptés de cette obligation.

(78) De même, les entités financières qui fournissent des services TIC à d'autres entités financières, tout en appartenant à la catégorie des prestataires de services TIC tiers au sens du présent règlement, devraient également être exemptées du cadre de surveillance puisqu'elles sont déjà soumises aux mécanismes de surveillance établis par la législation de l'Union applicable en matière de services financiers. Le cas échéant, les autorités compétentes devraient tenir compte, dans le cadre de leurs activités de surveillance, du risque lié aux TIC que représentent pour les entités financières les entités financières fournissant des services TIC. De même, en raison des mécanismes existants de surveillance des risques au niveau du groupe, la même exemption devrait être introduite pour les prestataires de services TIC tiers fournissant des services principalement aux entités de leur propre groupe. Les prestataires de services TIC tiers fournissant des services TIC uniquement dans un État membre à des entités financières actives uniquement dans cet État membre devraient également être exemptés du mécanisme de désignation en raison de leurs activités limitées et de l'absence d'impact transfrontalier.

(79) La transformation numérique que connaissent les services financiers a entraîné un niveau sans précédent d'utilisation des services TIC et de dépendance à leur égard. Étant donné qu'il est devenu inconcevable de fournir des services financiers sans recourir à des services d'informatique en nuage, à des solutions logicielles et à des services liés aux données, l'écosystème financier de l'Union est devenu intrinsèquement codépendant de certains services TIC fournis par des prestataires de services TIC. Certains de ces fournisseurs, qui innovent dans le développement et l'application de technologies basées sur les TIC, jouent un rôle important dans la fourniture de services financiers ou sont intégrés dans la chaîne de valeur des services financiers. Ils sont donc devenus essentiels à la stabilité et à l'intégrité du système financier de l'Union. Cette large dépendance à l'égard des services fournis par des prestataires de services TIC tiers essentiels, combinée à l'interdépendance des systèmes d'information des différents opérateurs de marché, crée un risque direct et potentiellement grave pour le système de services financiers de l'Union et pour la continuité de la fourniture de services financiers si les prestataires de services TIC tiers essentiels devaient être affectés par des perturbations opérationnelles ou des cyber-incidents majeurs. Les cyberincidents ont la particularité de se multiplier et de se propager dans le système financier à un rythme beaucoup plus rapide que d'autres types de risques surveillés dans le secteur financier et peuvent s'étendre à d'autres secteurs et au-delà des frontières géographiques. Ils peuvent évoluer vers une crise systémique, où la confiance dans le système financier a été érodée en raison de la perturbation des fonctions soutenant l'économie réelle, ou vers des pertes financières substantielles, atteignant un niveau que le système financier n'est pas en mesure de supporter, ou qui nécessite le déploiement de lourdes mesures d'absorption des chocs. Pour éviter que ces scénarios ne se produisent et ne mettent ainsi en péril la stabilité et l'intégrité financières de l'Union, il est essentiel d'assurer la convergence des pratiques de surveillance concernant le risque lié aux TIC pour les tiers dans le secteur financier, en particulier grâce à de nouvelles règles permettant la surveillance par l'Union des fournisseurs de services TIC critiques pour les tiers.

(80) Le cadre de surveillance dépend largement du degré de collaboration entre le superviseur principal et le prestataire de services TIC tiers essentiels qui fournit aux entités financières des services ayant une incidence sur la fourniture de services financiers. Le succès de la surveillance repose, entre autres, sur la capacité du superviseur principal à mener efficacement des missions de surveillance et des inspections pour évaluer les règles, les contrôles et les processus utilisés par les fournisseurs de services TIC critiques, ainsi que pour évaluer l'impact cumulatif potentiel de leurs activités sur la stabilité financière et l'intégrité du système financier. Dans le même temps, il est essentiel que les fournisseurs de services TIC critiques suivent les recommandations de la haute surveillance et répondent à ses préoccupations. Étant donné qu'un manque de coopération de la part d'un prestataire de services TIC tiers essentiel fournissant des services qui affectent la fourniture de services financiers, tel que le refus d'accorder l'accès à ses locaux ou de soumettre des informations, priverait en fin de compte la supervision principale de ses outils essentiels pour évaluer le risque TIC tiers et pourrait avoir un impact négatif sur la stabilité financière et l'intégrité du système financier, il est nécessaire de prévoir également un régime de sanctions proportionné.

(81) Dans ce contexte, la nécessité pour le superviseur principal d'imposer des astreintes pour contraindre les fournisseurs de services TIC critiques tiers à se conformer aux obligations en matière de transparence et d'accès énoncées dans le présent règlement ne doit pas être compromise par les difficultés que soulève l'exécution de ces astreintes en ce qui concerne les fournisseurs de services TIC critiques tiers établis dans des pays tiers. Afin de garantir le caractère exécutoire de ces astreintes et de permettre un déploiement rapide des procédures faisant respecter les droits de la défense des fournisseurs de services TIC critiques tiers dans le cadre du mécanisme de désignation et de l'émission de recommandations, ces fournisseurs de services TIC critiques tiers, qui fournissent aux entités financières des services ayant une incidence sur la fourniture de services financiers, devraient être tenus de maintenir une présence commerciale adéquate dans l'Union. En raison de la nature de la surveillance et de l'absence de dispositions comparables dans d'autres juridictions, il n'existe pas d'autres mécanismes appropriés permettant d'atteindre cet objectif par une coopération efficace avec les autorités de surveillance financière de pays tiers en ce qui concerne la surveillance de l'impact des risques opérationnels numériques posés par les fournisseurs systémiques de services TIC tiers, qualifiés de fournisseurs critiques de services TIC tiers, établis dans des pays tiers. Par conséquent, afin de poursuivre sa prestation de services TIC aux entités financières dans l'Union, un prestataire de services TIC tiers établi dans un pays tiers qui a été désigné comme critique conformément au présent règlement devrait prendre, dans les douze mois suivant cette désignation, toutes les dispositions nécessaires pour assurer son incorporation dans l'Union, au moyen de la création d'une filiale, au sens de l'ensemble de l'acquis de l'Union, à savoir dans la directive 2013/34/UE du Parlement européen et du Conseil (21).

(82) L'obligation de créer une filiale dans l'Union ne devrait pas empêcher le prestataire tiers de services TIC critiques de fournir des services TIC et l'assistance technique correspondante à partir d'installations et d'infrastructures situées en dehors de l'Union. Le présent règlement n'impose pas d'obligation de localisation des données puisqu'il n'exige pas que le stockage ou le traitement des données soit effectué dans l'Union.

(83) Les prestataires de services TIC critiques tiers devraient être en mesure de fournir des services TIC à partir de n'importe quel endroit du monde, et pas nécessairement ou pas uniquement à partir de locaux situés dans l'Union. Les activités de surveillance devraient d'abord être menées dans des locaux situés dans l'Union et en interagissant avec des entités situées dans l'Union, y compris les filiales établies par les prestataires de services TIC critiques tiers conformément au présent règlement. Toutefois, ces actions au sein de l'Union pourraient s'avérer insuffisantes pour permettre au superviseur principal de s'acquitter pleinement et efficacement des tâches qui lui incombent en vertu du présent règlement. Il convient donc que le superviseur principal puisse également exercer ses pouvoirs de supervision dans les pays tiers. L'exercice de ces pouvoirs dans les pays tiers devrait permettre au superviseur principal d'examiner les installations à partir desquelles les services TIC ou les services d'assistance technique sont effectivement fournis ou gérés par le prestataire tiers de services TIC critiques, et devrait permettre au superviseur principal d'avoir une compréhension globale et opérationnelle de la gestion des risques liés aux TIC par le prestataire tiers de services TIC critiques. La possibilité pour le superviseur principal, en tant qu'agence de l'Union, d'exercer des compétences en dehors du territoire de l'Union devrait être dûment encadrée par des conditions pertinentes, en particulier le consentement du fournisseur de services TIC critiques tiers concerné. De même, les autorités compétentes du pays tiers devraient être informées de l'exercice, sur leur propre territoire, des activités du superviseur principal et ne devraient pas s'y être opposées. Toutefois, afin d'assurer une mise en œuvre efficace, et sans préjudice des compétences respectives des institutions de l'Union et des États membres, ces pouvoirs doivent également être pleinement ancrés dans la conclusion d'accords de coopération administrative avec les autorités compétentes du pays tiers concerné. Le présent règlement devrait donc permettre aux AES de conclure des accords de coopération administrative avec les autorités compétentes des pays tiers, qui ne devraient par ailleurs pas créer d'obligations juridiques à l'égard de l'Union et de ses États membres.

(84) Afin de faciliter la communication avec le superviseur principal et d'assurer une représentation adéquate, les prestataires de services TIC critiques tiers qui font partie d'un groupe doivent désigner une personne morale comme point de coordination.

(85) Le cadre de supervision doit être sans préjudice de la compétence des États membres à mener leurs propres missions de supervision ou de contrôle en ce qui concerne les fournisseurs de services TIC tiers qui ne sont pas désignés comme critiques au titre du présent règlement, mais qui sont considérés comme importants au niveau national.

(86) Pour tirer parti de l'architecture institutionnelle à plusieurs niveaux dans le domaine des services financiers, le comité mixte des AES devrait continuer à assurer la coordination intersectorielle globale pour toutes les questions relatives aux risques liés aux TIC, conformément à ses tâches en matière de cybersécurité. Il devrait être soutenu par un nouveau sous-comité (le "forum de surveillance") effectuant des travaux préparatoires à la fois pour les décisions individuelles adressées aux prestataires de services TIC tiers critiques et pour l'émission de recommandations collectives, notamment en ce qui concerne l'étalonnage des programmes de surveillance des prestataires de services TIC tiers critiques et l'identification des meilleures pratiques pour traiter les questions de risques liés à la concentration des TIC.

(87) Pour faire en sorte que les prestataires de services TIC tiers critiques fassent l'objet d'une surveillance appropriée et efficace au niveau de l'Union, le présent règlement prévoit que n'importe laquelle des trois AES peut être désignée comme superviseur principal. L'attribution individuelle d'un fournisseur de services TIC tiers critiques à l'une des trois AES devrait résulter d'une évaluation de la prépondérance des entités financières opérant dans les secteurs financiers pour lesquels cette AES a des responsabilités. Cette approche devrait conduire à une répartition équilibrée des tâches et des responsabilités entre les trois AES, dans le cadre de l'exercice des fonctions de surveillance, et devrait permettre d'utiliser au mieux les ressources humaines et l'expertise technique disponibles dans chacune des trois AES.

(88) Il convient d'accorder aux contrôleurs principaux les pouvoirs nécessaires pour mener des enquêtes, effectuer des inspections sur place et hors site dans les locaux et sur les sites des prestataires de services TIC tiers essentiels et pour obtenir des informations complètes et actualisées. Ces pouvoirs devraient permettre au superviseur principal de se faire une idée précise du type, de la dimension et de l'impact du risque que représentent les TIC tierces pour les entités financières et, en fin de compte, pour le système financier de l'Union. Confier aux AES le rôle de superviseur principal est une condition préalable pour comprendre et traiter la dimension systémique du risque lié aux TIC dans le secteur financier. L'impact des fournisseurs de services TIC tiers critiques sur le secteur financier de l'Union et les problèmes potentiels causés par le risque de concentration des TIC exigent une approche collective au niveau de l'Union. La réalisation simultanée de multiples audits et droits d'accès, effectués séparément par de nombreuses autorités compétentes, avec peu ou pas de coordination entre elles, empêcherait les autorités de surveillance financière d'obtenir une vue d'ensemble complète et exhaustive du risque lié aux TIC pour les tiers dans l'Union, tout en créant une redondance, une charge et une complexité pour les prestataires de services TIC critiques tiers s'ils étaient soumis à de nombreuses demandes de contrôle et d'inspection.

(89) En raison de l'impact significatif de la désignation comme critique, le présent règlement devrait garantir que les droits des prestataires de services TIC tiers critiques sont respectés tout au long de la mise en œuvre du cadre de supervision. Avant d'être désignés comme critiques, ces fournisseurs devraient, par exemple, avoir le droit de soumettre au superviseur principal une déclaration motivée contenant toute information pertinente aux fins de l'évaluation liée à leur désignation. Étant donné que le superviseur principal devrait être habilité à soumettre des recommandations sur les questions relatives aux risques liés aux TIC et sur les mesures correctives appropriées, y compris le pouvoir de s'opposer à certains accords contractuels affectant en fin de compte la stabilité de l'entité financière ou du système financier, les prestataires de services TIC tiers critiques devraient également avoir la possibilité de fournir, avant la finalisation de ces recommandations, des explications concernant l'impact attendu des solutions envisagées dans les recommandations sur les clients qui sont des entités ne relevant pas du champ d'application du présent règlement, et de formuler des solutions pour atténuer les risques. Les prestataires de services TIC critiques tiers qui ne sont pas d'accord avec les recommandations doivent fournir une explication motivée de leur intention de ne pas approuver la recommandation. Si cette explication motivée n'est pas fournie ou si elle est jugée insuffisante, le superviseur principal émet un avis public décrivant sommairement la question de la non-conformité.

(90) Les autorités compétentes devraient dûment inclure dans leurs fonctions de surveillance prudentielle des entités financières la tâche de vérifier le respect effectif des recommandations émises par le superviseur principal. Les autorités compétentes devraient pouvoir exiger des entités financières qu'elles prennent des mesures supplémentaires pour faire face aux risques identifiés dans les recommandations du superviseur principal et devraient, en temps utile, émettre des notifications à cet effet. Lorsque le superviseur principal adresse des recommandations à des prestataires de services TIC tiers critiques qui sont surveillés au titre de la directive (UE) 2022/2555, les autorités compétentes devraient pouvoir, sur une base volontaire et avant d'adopter des mesures supplémentaires, consulter les autorités compétentes au titre de ladite directive afin de favoriser une approche coordonnée à l'égard des prestataires de services TIC tiers critiques en question.

(91) L'exercice de la supervision devrait être guidé par trois principes opérationnels visant à assurer : (a) une coordination étroite entre les AES dans leur rôle de superviseur principal, par l'intermédiaire d'un réseau de supervision conjointe (JON), (b) la cohérence avec le cadre établi par la directive (UE) 2022/2555 (par le biais d'une consultation volontaire des organismes relevant de cette directive afin d'éviter la duplication des mesures visant les fournisseurs de services TIC critiques tiers), et (c) l'application d'une diligence visant à minimiser le risque potentiel de perturbation des services fournis par les fournisseurs de services TIC critiques tiers à des clients qui sont des entités ne relevant pas du champ d'application du présent règlement.

(92) Le cadre de surveillance ne doit pas remplacer, ni en aucune manière ni pour aucune partie, l'obligation pour les entités financières de gérer elles-mêmes les risques liés à l'utilisation de prestataires de services TIC tiers, y compris leur obligation d'assurer un suivi permanent des accords contractuels conclus avec des prestataires de services TIC tiers critiques. De même, le cadre de surveillance ne devrait pas affecter la pleine responsabilité des entités financières en ce qui concerne le respect et l'exécution de toutes les obligations légales prévues par le présent règlement et par la législation applicable en matière de services financiers.

(93) Afin d'éviter les doubles emplois et les chevauchements, les autorités compétentes devraient s'abstenir de prendre individuellement des mesures visant à contrôler les risques liés au fournisseur de services TIC critiques tiers et devraient, à cet égard, s'appuyer sur l'évaluation de la supervision chef de file concernée. Toute mesure devrait en tout état de cause être coordonnée et convenue à l'avance avec le superviseur principal dans le contexte de l'exercice des tâches prévues par le cadre de surveillance.

(94) Pour favoriser la convergence au niveau international en ce qui concerne l'utilisation des meilleures pratiques dans l'examen et le suivi de la gestion du risque numérique par les prestataires de services TIC tiers, les AES devraient être encouragées à conclure des accords de coopération avec les autorités de surveillance et de réglementation compétentes des pays tiers.

(95) Afin de tirer parti des compétences spécifiques, des aptitudes techniques et de l'expertise du personnel spécialisé dans le risque opérationnel et le risque lié aux TIC au sein des autorités compétentes, des trois AES et, sur une base volontaire, des autorités compétentes au titre de la directive (UE) 2022/2555, le superviseur principal devrait s'appuyer sur les capacités et les connaissances nationales en matière de surveillance et mettre en place des équipes d'examen spécialisées pour chaque fournisseur tiers de services TIC critiques, en regroupant des équipes pluridisciplinaires pour soutenir la préparation et l'exécution des activités de surveillance, y compris les enquêtes générales et les inspections des fournisseurs tiers de services TIC critiques, ainsi que pour tout suivi nécessaire de ces activités.

(96) Alors que les coûts résultant des tâches de supervision seraient entièrement financés par les redevances perçues auprès des prestataires de services TIC critiques tiers, les AES sont toutefois susceptibles de supporter, avant le début du cadre de supervision, des coûts liés à la mise en œuvre de systèmes TIC spécialisés à l'appui de la supervision à venir, étant donné que des systèmes TIC spécialisés devraient être développés et déployés à l'avance. Le présent règlement prévoit donc un modèle de financement hybride, dans lequel le cadre de supervision serait, en tant que tel, entièrement financé par des redevances, tandis que le développement des systèmes TIC des AES serait financé par les contributions de l'Union et des autorités compétentes nationales.

(97) Les autorités compétentes devraient disposer de tous les pouvoirs de contrôle, d'enquête et de sanction nécessaires pour garantir l'exercice correct des fonctions qui leur incombent en vertu du présent règlement. Elles devraient, en principe, publier les avis relatifs aux sanctions administratives qu'elles imposent. Étant donné que les entités financières et les prestataires de services TIC tiers peuvent être établis dans différents États membres et surveillés par différentes autorités compétentes, l'application du présent règlement devrait être facilitée, d'une part, par une coopération étroite entre les autorités compétentes concernées, y compris la BCE en ce qui concerne les missions spécifiques qui lui sont confiées par le règlement (UE) n° 1024/2013 du Conseil, et, d'autre part, par la consultation des AES au moyen de l'échange mutuel d'informations et de la fourniture d'une assistance dans le cadre des activités de surveillance concernées.

(98) Afin de quantifier et de préciser davantage les critères de désignation des prestataires de services TIC tiers comme étant critiques et d'harmoniser les frais de surveillance, il convient de déléguer à la Commission le pouvoir d'adopter des actes conformément à l'article 290 du TFUE afin de compléter le présent règlement en précisant davantage l'impact systémique qu'une défaillance ou une panne opérationnelle d'un prestataire de services TIC tiers pourrait avoir sur les entités financières auxquelles il fournit des services TIC, le nombre d'établissements d'importance systémique mondiale (G-SII) ou d'autres établissements d'importance systémique (O-SII) qui dépendent du prestataire de services TIC tiers en question, le nombre de prestataires de services TIC tiers actifs sur un marché donné, les coûts de migration des données et des charges de travail TIC vers d'autres prestataires de services TIC tiers, ainsi que le montant des frais de surveillance et leur mode de paiement. Il est particulièrement important que la Commission procède à des consultations appropriées au cours de ses travaux préparatoires, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes énoncés dans l'accord interinstitutionnel du 13 avril 2016 "Mieux légiférer" (22). En particulier, pour assurer une participation égale à l'élaboration des actes délégués, le Parlement européen et le Conseil devraient recevoir tous les documents en même temps que les experts des États membres, et leurs experts devraient systématiquement avoir accès aux réunions des groupes d'experts de la Commission chargés de l'élaboration des actes délégués.

(99) Les normes techniques réglementaires devraient assurer l'harmonisation cohérente des exigences définies dans le présent règlement. En tant qu'organismes dotés d'une expertise hautement spécialisée, les AES devraient élaborer des projets de normes techniques réglementaires qui n'impliquent pas de choix politiques, en vue de les soumettre à la Commission. Des normes techniques réglementaires devraient être élaborées dans les domaines de la gestion des risques liés aux TIC, de la notification des incidents majeurs liés aux TIC, des essais, ainsi qu'en ce qui concerne les exigences essentielles pour une surveillance efficace des risques liés aux TIC pour les tiers. La Commission et les AES devraient veiller à ce que ces normes et exigences puissent être appliquées par toutes les entités financières d'une manière proportionnée à leur taille et à leur profil de risque global, ainsi qu'à la nature, à l'échelle et à la complexité de leurs services, activités et opérations. La Commission devrait être habilitée à adopter ces normes techniques réglementaires au moyen d'actes délégués en vertu de l'article 290 du TFUE et conformément aux articles 10 à 14 des règlements (UE) n° 1093/2010, (UE) n° 1094/2010 et (UE) n° 1095/2010.

(100) Pour faciliter la comparabilité des rapports sur les incidents majeurs liés aux TIC et les incidents majeurs liés aux paiements opérationnels ou de sécurité, ainsi que pour assurer la transparence des dispositions contractuelles relatives à l'utilisation des services TIC fournis par des prestataires de services TIC tiers, les AES devraient élaborer des projets de normes techniques d'exécution établissant des modèles, des formulaires et des procédures normalisés permettant aux entités financières de signaler un incident majeur lié aux TIC et un incident majeur lié aux paiements opérationnels ou de sécurité, ainsi que des modèles normalisés pour le registre d'informations. Lors de l'élaboration de ces normes, les AES devraient tenir compte de la taille et du profil de risque global de l'entité financière, ainsi que de la nature, de l'échelle et de la complexité de ses services, activités et opérations. La Commission devrait être habilitée à adopter ces normes techniques d'exécution au moyen d'actes d'exécution en vertu de l'article 291 du TFUE et conformément à l'article 15 des règlements (UE) n° 1093/2010, (UE) n° 1094/2010 et (UE) n° 1095/2010.

(101) Étant donné que des exigences supplémentaires ont déjà été précisées par des actes délégués et des actes d'exécution fondés sur des normes techniques réglementaires et d'exécution dans les règlements (CE) n° 1060/2009 (23), (UE) n° 648/2012 (24), (UE) n° 600/2014 (25) et (UE) n° 909/2014 (26) du Parlement européen et du Conseil, il convient de charger les AES, soit individuellement, soit conjointement par l'intermédiaire du comité mixte, de soumettre des normes techniques réglementaires et d'exécution à la Commission en vue de l'adoption d'actes délégués et d'exécution reprenant et mettant à jour les règles existantes en matière de gestion des risques liés aux TIC.

(102) Étant donné que le présent règlement, ainsi que la directive (UE) 2022/2556 du Parlement européen et du Conseil (27), entraîne une consolidation des dispositions relatives à la gestion des risques liés aux TIC dans de multiples règlements et directives de l'acquis de l'Union en matière de services financiers, y compris les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014 et (UE) n° 909/2014, et le règlement (UE) 2016/1011 du Parlement européen et du Conseil (28), il convient, pour assurer une parfaite cohérence, de modifier ces règlements afin de préciser que les dispositions applicables en matière de risque lié aux TIC sont énoncées dans le présent règlement.

(103) Par conséquent, le champ d'application des articles pertinents relatifs au risque opérationnel, sur lesquels les habilitations établies dans les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011 avaient prescrit l'adoption d'actes délégués et d'actes d'exécution, devrait être réduit en vue de reporter dans le présent règlement toutes les dispositions couvrant les aspects de la résilience opérationnelle numérique qui font aujourd'hui partie de ces règlements.

(104) Le cyberrisque systémique potentiel associé à l'utilisation des infrastructures TIC qui permettent le fonctionnement des systèmes de paiement et la fourniture d'activités de traitement des paiements devrait être dûment traité au niveau de l'Union au moyen de règles harmonisées en matière de résilience numérique. À cet effet, la Commission devrait rapidement évaluer la nécessité de réexaminer le champ d'application du présent règlement tout en alignant ce réexamen sur les résultats du réexamen complet envisagé au titre de la directive (UE) 2015/2366. Les nombreuses attaques à grande échelle perpétrées au cours de la dernière décennie montrent à quel point les systèmes de paiement sont devenus vulnérables aux cybermenaces. Placés au cœur de la chaîne des services de paiement et présentant de fortes interconnexions avec l'ensemble du système financier, les systèmes de paiement et les activités de traitement des paiements ont acquis une importance critique pour le fonctionnement des marchés financiers de l'Union. Les cyberattaques contre ces systèmes peuvent provoquer de graves perturbations opérationnelles, avec des répercussions directes sur des fonctions économiques essentielles, telles que la facilitation des paiements, et des effets indirects sur les processus économiques connexes. Jusqu'à ce qu'un régime harmonisé et la surveillance des opérateurs de systèmes de paiement et d'entités de traitement soient mis en place au niveau de l'Union, les États membres peuvent, en vue d'appliquer des pratiques de marché similaires, s'inspirer des exigences en matière de résilience opérationnelle numérique établies par le présent règlement, lorsqu'ils appliquent des règles aux opérateurs de systèmes de paiement et d'entités de traitement surveillés dans le cadre de leur propre juridiction.

(105) Étant donné que l'objectif du présent règlement, à savoir atteindre un niveau élevé de résilience opérationnelle numérique pour les entités financières réglementées, ne peut pas être réalisé de manière suffisante par les États membres parce qu'il nécessite l'harmonisation de plusieurs règles différentes en droit de l'Union et en droit national, mais peut plutôt, en raison de ses dimensions et de ses effets, être mieux réalisé au niveau de l'Union, celle-ci peut prendre des mesures conformément au principe de subsidiarité énoncé à l'article 5 du traité sur l'Union européenne. Conformément au principe de proportionnalité tel qu'énoncé audit article, le présent règlement n'excède pas ce qui est nécessaire pour atteindre cet objectif.

(106) Le contrôleur européen de la protection des données a été consulté conformément à l'article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil (29) et a rendu un avis le 10 mai 2021 (30),

ONT ADOPTÉ CE RÈGLEMENT :