{"id":1134,"date":"2024-01-29T16:47:57","date_gmt":"2024-01-29T16:47:57","guid":{"rendered":"https:\/\/nis2resources.eu\/?page_id=1134"},"modified":"2024-08-11T19:28:36","modified_gmt":"2024-08-11T19:28:36","slug":"preambule","status":"publish","type":"page","link":"https:\/\/nis2resources.eu\/fr\/directive-4\/preambule\/","title":{"rendered":"Pr\u00e9ambule"},"content":{"rendered":"
\n

LE PARLEMENT EUROP\u00c9EN ET LE CONSEIL<\/h2>\n\n\n\n
vu le trait\u00e9 sur le fonctionnement de l'Union europ\u00e9enne, et notamment son article 114,
Vu la proposition de la Commission europ\u00e9enne,
Apr\u00e8s transmission du projet d'acte l\u00e9gislatif aux parlements nationaux,
Vu l'avis du Comit\u00e9 \u00e9conomique et social europ\u00e9en,
Vu l'avis du Comit\u00e9 des r\u00e9gions,
Agissant conform\u00e9ment \u00e0 la proc\u00e9dure l\u00e9gislative ordinaire,<\/div>\n<\/div>\n\n\n\n

Consid\u00e9rant que<\/p>\n\n\n\n

du 14 d\u00e9cembre 2022<\/p>\n\n\n\n

sur la r\u00e9silience op\u00e9rationnelle num\u00e9rique du secteur financier et modifiant les r\u00e8glements (CE) n\u00b0 1060\/2009, (UE) n\u00b0 648\/2012, (UE) n\u00b0 600\/2014, (UE) n\u00b0 909\/2014 et (UE) 2016\/1011<\/p>\n\n\n\n

(Texte pr\u00e9sentant de l'int\u00e9r\u00eat pour l'EEE)<\/p>\n\n\n\n

LE PARLEMENT EUROP\u00c9EN ET LE CONSEIL DE L'UNION EUROP\u00c9ENNE,<\/p>\n\n\n\n

vu le trait\u00e9 sur le fonctionnement de l'Union europ\u00e9enne, et notamment son article 114, vu la proposition de la Commission europ\u00e9enne, apr\u00e8s transmission du projet d'acte l\u00e9gislatif aux parlements nationaux, vu l'avis de la Banque centrale europ\u00e9enne (1), vu l'avis du Comit\u00e9 \u00e9conomique et social europ\u00e9en (2), statuant conform\u00e9ment \u00e0 la proc\u00e9dure l\u00e9gislative ordinaire (3),<\/p>\n\n\n\n

Consid\u00e9rant que<\/p>\n\n\n\n

(1) \u00c0 l'\u00e8re num\u00e9rique, les technologies de l'information et de la communication (TIC) soutiennent des syst\u00e8mes complexes utilis\u00e9s dans les activit\u00e9s quotidiennes. Elles permettent \u00e0 nos \u00e9conomies de fonctionner dans des secteurs cl\u00e9s, notamment le secteur financier, et am\u00e9liorent le fonctionnement du march\u00e9 int\u00e9rieur. La num\u00e9risation et l'interconnexion accrues amplifient \u00e9galement les TIC risqueRisque<\/span> d\u00e9signe le potentiel de perte ou de perturbation caus\u00e9 par un incident et doit \u00eatre exprim\u00e9 comme une combinaison de l'ampleur de cette perte ou de cette perturbation et de la probabilit\u00e9 d'occurrence de l'incident. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span>La r\u00e9silience num\u00e9rique est un \u00e9l\u00e9ment essentiel de l'\u00e9conomie de l'Union, qui rend la soci\u00e9t\u00e9 dans son ensemble, et le syst\u00e8me financier en particulier, plus vuln\u00e9rables aux cybermenaces ou aux perturbations li\u00e9es aux TIC. Alors que l'utilisation omnipr\u00e9sente des syst\u00e8mes TIC et le degr\u00e9 \u00e9lev\u00e9 de num\u00e9risation et de connectivit\u00e9 sont aujourd'hui au c\u0153ur des activit\u00e9s des entit\u00e9s financi\u00e8res de l'Union, leur r\u00e9silience num\u00e9rique doit encore \u00eatre mieux prise en compte et int\u00e9gr\u00e9e dans leurs cadres op\u00e9rationnels plus larges.<\/p>\n\n\n\n

(2) Au cours des derni\u00e8res d\u00e9cennies, l'utilisation des TIC a jou\u00e9 un r\u00f4le central dans la fourniture de services financiers, au point d'avoir acquis une importance cruciale dans le fonctionnement des fonctions quotidiennes typiques de toutes les entit\u00e9s financi\u00e8res. La num\u00e9risation couvre d\u00e9sormais, par exemple, les paiements, qui sont de plus en plus souvent effectu\u00e9s au moyen de solutions num\u00e9riques plut\u00f4t qu'en esp\u00e8ces ou sur papier, ainsi que la compensation et le r\u00e8glement des titres, le commerce \u00e9lectronique et algorithmique, les op\u00e9rations de pr\u00eat et de financement, le financement peer-to-peer, la notation de cr\u00e9dit, la gestion des sinistres et les op\u00e9rations d'arri\u00e8re-guichet. Le secteur de l'assurance a \u00e9galement \u00e9t\u00e9 transform\u00e9 par l'utilisation des TIC, depuis l'\u00e9mergence d'interm\u00e9diaires d'assurance offrant leurs services en ligne et op\u00e9rant avec InsurTech, jusqu'\u00e0 la souscription d'assurance num\u00e9rique. La finance est non seulement devenue largement num\u00e9rique dans l'ensemble du secteur, mais la num\u00e9risation a \u00e9galement approfondi les interconnexions et les d\u00e9pendances au sein du secteur financier et avec des infrastructures et des fournisseurs de services tiers.<\/p>\n\n\n\n

(3) Le Comit\u00e9 europ\u00e9en du risque syst\u00e9mique (CERS) a r\u00e9affirm\u00e9, dans un rapport sur le risque syst\u00e9mique cybern\u00e9tique publi\u00e9 en 2020, que le niveau \u00e9lev\u00e9 d'interconnexion entre les entit\u00e9s financi\u00e8res, les march\u00e9s financiers et les infrastructures des march\u00e9s financiers, et en particulier les interd\u00e9pendances de leurs syst\u00e8mes de TIC, pourrait constituer un risque syst\u00e9mique. vuln\u00e9rabilit\u00e9Vuln\u00e9rabilit\u00e9<\/span> Faiblesse, susceptibilit\u00e9 ou d\u00e9faut des produits ou services TIC pouvant \u00eatre exploit\u00e9s par une cybermenace. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> car des cyberincidents localis\u00e9s pourraient rapidement se propager de l'une des quelque 22 000 entit\u00e9s financi\u00e8res de l'Union \u00e0 l'ensemble du syst\u00e8me financier, sans tenir compte des fronti\u00e8res g\u00e9ographiques. Les violations graves des TIC qui se produisent dans le secteur financier n'affectent pas seulement les entit\u00e9s financi\u00e8res prises isol\u00e9ment. Elles ouvrent \u00e9galement la voie \u00e0 la propagation de vuln\u00e9rabilit\u00e9s localis\u00e9es dans les canaux de transmission financi\u00e8re et peuvent avoir des cons\u00e9quences n\u00e9gatives sur la stabilit\u00e9 du syst\u00e8me financier de l'Union, telles que des retraits de liquidit\u00e9s et une perte g\u00e9n\u00e9rale de confiance dans les march\u00e9s financiers.<\/p>\n\n\n\n

(4) Ces derni\u00e8res ann\u00e9es, les risques li\u00e9s aux TIC ont attir\u00e9 l'attention des d\u00e9cideurs politiques, des r\u00e9gulateurs et des autorit\u00e9s de r\u00e9gulation au niveau international, communautaire et national. standardStandard<\/span> Une sp\u00e9cification technique, adopt\u00e9e par un organisme de normalisation reconnu, pour une application r\u00e9p\u00e9t\u00e9e ou continue, dont le respect n'est pas obligatoire, et qui est l'une des suivantes :\r(a) \"norme internationale\", une norme adopt\u00e9e par un organisme international de normalisation ; b) \"norme europ\u00e9enne\", une norme adopt\u00e9e par un organisme europ\u00e9en de normalisation ; c) \"norme harmonis\u00e9e\", une norme europ\u00e9enne adopt\u00e9e sur la base d'une demande d'application de la l\u00e9gislation d'harmonisation de l'Union formul\u00e9e par la Commission ; d) \"norme nationale\", une norme adopt\u00e9e par un organisme national de normalisation - D\u00e9finition selon l'article 2, point 1), du r\u00e8glement (UE) n\u00b0 1025\/2012 du Parlement europ\u00e9en et du Conseil.<\/span><\/span><\/span>-Les organismes de normalisation ont pour mission d'am\u00e9liorer la r\u00e9silience num\u00e9rique, de fixer des normes et de coordonner les travaux de r\u00e9glementation ou de surveillance. Au niveau international, le Comit\u00e9 de B\u00e2le sur le contr\u00f4le bancaire, le Comit\u00e9 sur les paiements et les infrastructures de march\u00e9, le Conseil de stabilit\u00e9 financi\u00e8re, l'Institut de stabilit\u00e9 financi\u00e8re, ainsi que le G7 et le G20 visent \u00e0 fournir aux autorit\u00e9s comp\u00e9tentes et aux op\u00e9rateurs de march\u00e9 de diverses juridictions des outils pour renforcer la r\u00e9silience de leurs syst\u00e8mes financiers. Ces travaux ont \u00e9galement \u00e9t\u00e9 motiv\u00e9s par la n\u00e9cessit\u00e9 de prendre d\u00fbment en compte le risque li\u00e9 aux TIC dans le contexte d'un syst\u00e8me financier mondial fortement interconnect\u00e9 et de rechercher une plus grande coh\u00e9rence des meilleures pratiques en la mati\u00e8re.<\/p>\n\n\n\n

(5) Malgr\u00e9 les initiatives politiques et l\u00e9gislatives cibl\u00e9es de l'Union et des \u00c9tats membres, le risque li\u00e9 aux TIC continue de compromettre la r\u00e9silience op\u00e9rationnelle, les performances et la stabilit\u00e9 du syst\u00e8me financier de l'Union. Les r\u00e9formes qui ont suivi la crise financi\u00e8re de 2008 ont principalement renforc\u00e9 la r\u00e9silience financi\u00e8re du secteur financier de l'Union et visaient \u00e0 pr\u00e9server la comp\u00e9titivit\u00e9 et la stabilit\u00e9 de l'Union du point de vue \u00e9conomique, prudentiel et de la conduite du march\u00e9. Bien que la s\u00e9curit\u00e9 des TIC et la r\u00e9silience num\u00e9rique fassent partie du risque op\u00e9rationnel, elles ont \u00e9t\u00e9 moins au centre de l'agenda r\u00e9glementaire post-crise financi\u00e8re et n'ont \u00e9t\u00e9 d\u00e9velopp\u00e9es que dans certains domaines de la politique et du paysage r\u00e9glementaire des services financiers de l'Union, ou dans quelques \u00c9tats membres seulement.<\/p>\n\n\n\n

(6) Dans sa communication du 8 mars 2018 intitul\u00e9e \"Plan d'action FinTech : Pour un secteur financier europ\u00e9en plus comp\u00e9titif et plus innovant\", la Commission a soulign\u00e9 l'importance primordiale de rendre le secteur financier de l'Union plus r\u00e9silient, y compris d'un point de vue op\u00e9rationnel pour garantir sa s\u00e9curit\u00e9 technologique et son bon fonctionnement, son r\u00e9tablissement rapide en cas de violation des TIC et d'incidents, permettant en fin de compte la fourniture efficace et harmonieuse de services financiers dans l'ensemble de l'Union, y compris dans des situations de stress, tout en pr\u00e9servant la confiance des consommateurs et du march\u00e9.<\/p>\n\n\n\n

(7) En avril 2019, l'Autorit\u00e9 europ\u00e9enne de surveillance (Autorit\u00e9 bancaire europ\u00e9enne) (ABE) institu\u00e9e par le r\u00e8glement (UE) n\u00b0 1093\/2010 du Parlement europ\u00e9en et du Conseil (4), l'Autorit\u00e9 europ\u00e9enne de surveillance (Autorit\u00e9 europ\u00e9enne des assurances et des pensions professionnelles) (\"AEAPP\") institu\u00e9e par le r\u00e8glement (UE) n\u00b0 1094\/2010 du Parlement europ\u00e9en et du Conseil (5) et l'Autorit\u00e9 europ\u00e9enne de surveillance (Autorit\u00e9 europ\u00e9enne des march\u00e9s financiers), (\"ESMA\") institu\u00e9e par le r\u00e8glement (UE) no 1095\/2010 du Parlement europ\u00e9en et du Conseil (6) (appel\u00e9es collectivement \"autorit\u00e9s europ\u00e9ennes de surveillance\" ou \"AES\") ont publi\u00e9 conjointement un avis technique appelant \u00e0 une approche coh\u00e9rente du risque li\u00e9 aux TIC dans la finance et recommandant de renforcer, de mani\u00e8re proportionn\u00e9e, la r\u00e9silience op\u00e9rationnelle num\u00e9rique du secteur des services financiers par une initiative sectorielle de l'Union.<\/p>\n\n\n\n

(8) Le secteur financier de l'Union est r\u00e9glement\u00e9 par un r\u00e8glement unique et r\u00e9gi par un syst\u00e8me europ\u00e9en de surveillance financi\u00e8re. N\u00e9anmoins, les dispositions relatives \u00e0 la r\u00e9silience op\u00e9rationnelle num\u00e9rique et \u00e0 la s\u00e9curit\u00e9 des TIC ne sont pas encore totalement ou syst\u00e9matiquement harmonis\u00e9es, bien que la r\u00e9silience op\u00e9rationnelle num\u00e9rique soit essentielle pour garantir la stabilit\u00e9 financi\u00e8re et l'int\u00e9grit\u00e9 du march\u00e9 \u00e0 l'\u00e8re num\u00e9rique, et qu'elle ne soit pas moins importante que, par exemple, des normes prudentielles ou de conduite du march\u00e9 communes. Le Single Rulebook et le syst\u00e8me de surveillance devraient donc \u00eatre d\u00e9velopp\u00e9s pour couvrir \u00e9galement la r\u00e9silience op\u00e9rationnelle num\u00e9rique, en renfor\u00e7ant les mandats des autorit\u00e9s comp\u00e9tentes pour leur permettre de superviser la gestion du risque li\u00e9 aux TIC dans le secteur financier afin de prot\u00e9ger l'int\u00e9grit\u00e9 et l'efficacit\u00e9 du march\u00e9 int\u00e9rieur et de faciliter son fonctionnement ordonn\u00e9.<\/p>\n\n\n\n

(9) Les disparit\u00e9s l\u00e9gislatives et les approches nationales in\u00e9gales en mati\u00e8re de r\u00e9glementation ou de surveillance des risques li\u00e9s aux TIC constituent des obstacles au fonctionnement du march\u00e9 int\u00e9rieur des services financiers, entravant l'exercice harmonieux de la libert\u00e9 d'\u00e9tablissement et de la prestation de services pour les entit\u00e9s financi\u00e8res op\u00e9rant sur une base transfrontali\u00e8re. La concurrence entre le m\u00eame type d'entit\u00e9s financi\u00e8res op\u00e9rant dans diff\u00e9rents \u00c9tats membres pourrait \u00e9galement \u00eatre fauss\u00e9e. C'est le cas, en particulier, dans les domaines o\u00f9 l'harmonisation de l'Union a \u00e9t\u00e9 tr\u00e8s limit\u00e9e, comme les tests de r\u00e9silience op\u00e9rationnelle num\u00e9rique, ou absente, comme la surveillance des risques li\u00e9s aux TIC pour les tiers. Les disparit\u00e9s d\u00e9coulant des \u00e9volutions envisag\u00e9es au niveau national pourraient cr\u00e9er de nouveaux obstacles au fonctionnement du march\u00e9 int\u00e9rieur, au d\u00e9triment des acteurs du march\u00e9 et de la stabilit\u00e9 financi\u00e8re.<\/p>\n\n\n\n

(10) \u00c0 ce jour, les dispositions relatives aux risques li\u00e9s aux TIC n'\u00e9tant que partiellement trait\u00e9es au niveau de l'Union, il existe des lacunes ou des chevauchements dans des domaines importants, tels que les risques li\u00e9s aux TIC. incidentIncident<\/span> Un \u00e9v\u00e9nement compromettant la disponibilit\u00e9, l'authenticit\u00e9, l'int\u00e9grit\u00e9 ou la confidentialit\u00e9 des donn\u00e9es stock\u00e9es, transmises ou trait\u00e9es ou des services offerts par les r\u00e9seaux et les syst\u00e8mes d'information ou accessibles par leur interm\u00e9diaire. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> Les risques li\u00e9s aux technologies de l'information et de la communication et les tests de r\u00e9silience op\u00e9rationnelle num\u00e9rique, ainsi que les incoh\u00e9rences r\u00e9sultant de l'\u00e9mergence de r\u00e8gles nationales divergentes ou de l'application inefficace de r\u00e8gles qui se chevauchent. Cette situation est particuli\u00e8rement pr\u00e9judiciable pour un utilisateur \u00e0 forte intensit\u00e9 de TIC tel que le secteur financier, \u00e9tant donn\u00e9 que les risques technologiques ne connaissent pas de fronti\u00e8res et que le secteur financier d\u00e9ploie ses services sur une large base transfrontali\u00e8re \u00e0 l'int\u00e9rieur et \u00e0 l'ext\u00e9rieur de l'Union. Les entit\u00e9s financi\u00e8res individuelles qui op\u00e8rent sur une base transfrontali\u00e8re ou qui d\u00e9tiennent plusieurs autorisations (par exemple, une soci\u00e9t\u00e9 financi\u00e8re, une soci\u00e9t\u00e9 d'assurance, une soci\u00e9t\u00e9 d'assurance, une soci\u00e9t\u00e9 de gestion, etc. entit\u00e9Entit\u00e9<\/span> Une personne physique ou morale cr\u00e9\u00e9e et reconnue comme telle par le droit national de son lieu d'\u00e9tablissement, qui peut, en agissant sous son propre nom, exercer des droits et \u00eatre soumise \u00e0 des obligations. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> peuvent avoir une licence de banque, d'entreprise d'investissement et d'\u00e9tablissement de paiement, chacune d\u00e9livr\u00e9e par une autorit\u00e9 comp\u00e9tente diff\u00e9rente dans un ou plusieurs \u00c9tats membres) sont confront\u00e9s \u00e0 des d\u00e9fis op\u00e9rationnels pour faire face aux risques li\u00e9s aux TIC et att\u00e9nuer les effets n\u00e9gatifs des incidents li\u00e9s aux TIC de mani\u00e8re autonome et coh\u00e9rente en termes de co\u00fbt-efficacit\u00e9.<\/p>\n\n\n\n

(11) \u00c9tant donn\u00e9 que le Single Rulebook n'a pas \u00e9t\u00e9 accompagn\u00e9 d'un cadre global pour les TIC ou le risque op\u00e9rationnel, il est n\u00e9cessaire de poursuivre l'harmonisation des principales exigences en mati\u00e8re de r\u00e9silience op\u00e9rationnelle num\u00e9rique pour toutes les entit\u00e9s financi\u00e8res. Le d\u00e9veloppement des capacit\u00e9s TIC et de la r\u00e9silience globale des entit\u00e9s financi\u00e8res, sur la base de ces exigences cl\u00e9s, en vue de r\u00e9sister aux pannes op\u00e9rationnelles, contribuerait \u00e0 pr\u00e9server la stabilit\u00e9 et l'int\u00e9grit\u00e9 des march\u00e9s financiers de l'Union et, partant, \u00e0 assurer un niveau \u00e9lev\u00e9 de protection des investisseurs et des consommateurs dans l'Union. \u00c9tant donn\u00e9 que le pr\u00e9sent r\u00e8glement vise \u00e0 contribuer au bon fonctionnement du march\u00e9 int\u00e9rieur, il devrait \u00eatre fond\u00e9 sur les dispositions de l'article 114 du trait\u00e9 sur le fonctionnement de l'Union europ\u00e9enne (TFUE), telles qu'interpr\u00e9t\u00e9es conform\u00e9ment \u00e0 la jurisprudence constante de la Cour de justice de l'Union europ\u00e9enne (ci-apr\u00e8s d\u00e9nomm\u00e9e \"Cour de justice\").<\/p>\n\n\n\n

(12) Le pr\u00e9sent r\u00e8glement vise \u00e0 consolider et \u00e0 am\u00e9liorer les exigences relatives au risque TIC dans le cadre des exigences relatives au risque op\u00e9rationnel qui, jusqu'\u00e0 pr\u00e9sent, ont \u00e9t\u00e9 trait\u00e9es s\u00e9par\u00e9ment dans divers actes juridiques de l'Union. Si ces actes couvraient les principales cat\u00e9gories de risques financiers (par exemple, le risque de cr\u00e9dit, le risque de march\u00e9, le risque de cr\u00e9dit de contrepartie et le risque de liquidit\u00e9, le risque de comportement sur le march\u00e9), ils n'abordaient pas de mani\u00e8re exhaustive, au moment de leur adoption, toutes les composantes de la r\u00e9silience op\u00e9rationnelle. Les r\u00e8gles relatives au risque op\u00e9rationnel, lorsqu'elles ont \u00e9t\u00e9 d\u00e9velopp\u00e9es dans ces actes juridiques de l'Union, ont souvent privil\u00e9gi\u00e9 une approche quantitative traditionnelle pour traiter le risque (\u00e0 savoir la fixation d'une exigence de fonds propres pour couvrir le risque li\u00e9 aux TIC) plut\u00f4t que des r\u00e8gles qualitatives cibl\u00e9es pour les capacit\u00e9s de protection, de d\u00e9tection, de confinement, de r\u00e9cup\u00e9ration et de r\u00e9paration en cas d'incidents li\u00e9s aux TIC, ou pour les capacit\u00e9s d'\u00e9tablissement de rapports et de tests num\u00e9riques. Ces actes \u00e9taient principalement destin\u00e9s \u00e0 couvrir et \u00e0 mettre \u00e0 jour les r\u00e8gles essentielles en mati\u00e8re de surveillance prudentielle, d'int\u00e9grit\u00e9 du march\u00e9 ou de comportement. En consolidant et en actualisant les diff\u00e9rentes r\u00e8gles relatives au risque li\u00e9 aux TIC, toutes les dispositions relatives au risque num\u00e9rique dans le secteur financier devraient, pour la premi\u00e8re fois, \u00eatre regroup\u00e9es de mani\u00e8re coh\u00e9rente dans un seul et m\u00eame acte l\u00e9gislatif. Par cons\u00e9quent, le pr\u00e9sent r\u00e8glement comble les lacunes ou rem\u00e9die aux incoh\u00e9rences de certains actes juridiques ant\u00e9rieurs, notamment en ce qui concerne la terminologie utilis\u00e9e, et fait explicitement r\u00e9f\u00e9rence au risque li\u00e9 aux TIC par le biais de r\u00e8gles cibl\u00e9es sur les capacit\u00e9s de gestion du risque li\u00e9 aux TIC, le signalement des incidents, les tests de r\u00e9silience op\u00e9rationnelle et la surveillance du risque li\u00e9 aux TIC pour les tiers. Le pr\u00e9sent r\u00e8glement devrait donc \u00e9galement sensibiliser au risque li\u00e9 aux TIC et reconna\u00eetre que les incidents li\u00e9s aux TIC et le manque de r\u00e9silience op\u00e9rationnelle peuvent compromettre la solidit\u00e9 des entit\u00e9s financi\u00e8res.<\/p>\n\n\n\n

(13) Les entit\u00e9s financi\u00e8res devraient suivre la m\u00eame approche et les m\u00eames r\u00e8gles fond\u00e9es sur des principes lorsqu'elles traitent le risque li\u00e9 aux TIC, en tenant compte de leur taille et de leur profil de risque global, ainsi que de la nature, de l'\u00e9chelle et de la complexit\u00e9 de leurs services, de leurs activit\u00e9s et de leurs op\u00e9rations. La coh\u00e9rence contribue \u00e0 renforcer la confiance dans le syst\u00e8me financier et \u00e0 pr\u00e9server sa stabilit\u00e9, en particulier en p\u00e9riode de forte d\u00e9pendance \u00e0 l'\u00e9gard des syst\u00e8mes, plateformes et infrastructures TIC, ce qui entra\u00eene un risque num\u00e9rique accru. L'observation d'une cyberhygi\u00e8ne de base devrait \u00e9galement permettre d'\u00e9viter d'imposer des co\u00fbts \u00e9lev\u00e9s \u00e0 l'\u00e9conomie en minimisant l'impact et les co\u00fbts des perturbations des TIC.<\/p>\n\n\n\n

(14) Un r\u00e8glement contribue \u00e0 r\u00e9duire la complexit\u00e9 de la r\u00e9glementation, \u00e0 favoriser la convergence en mati\u00e8re de surveillance et \u00e0 renforcer la s\u00e9curit\u00e9 juridique, ainsi qu'\u00e0 limiter les co\u00fbts de mise en conformit\u00e9, en particulier pour les entit\u00e9s financi\u00e8res exer\u00e7ant des activit\u00e9s transfrontali\u00e8res, et \u00e0 r\u00e9duire les distorsions de concurrence. Par cons\u00e9quent, le choix d'un r\u00e8glement pour l'\u00e9tablissement d'un cadre commun pour la r\u00e9silience num\u00e9rique op\u00e9rationnelle des entit\u00e9s financi\u00e8res est le moyen le plus appropri\u00e9 de garantir une application homog\u00e8ne et coh\u00e9rente de toutes les composantes de la gestion des risques li\u00e9s aux TIC par le secteur financier de l'Union.<\/p>\n\n\n\n

(15) La directive (UE) 2016\/1148 du Parlement europ\u00e9en et du Conseil (7) a \u00e9t\u00e9 la premi\u00e8re directive horizontale \u00e0 \u00eatre adopt\u00e9e par le Parlement europ\u00e9en et le Conseil. cybers\u00e9curit\u00e9Cybers\u00e9curit\u00e9<\/span> \"cybers\u00e9curit\u00e9\", la cybers\u00e9curit\u00e9 telle que d\u00e9finie \u00e0 l'article 2, point 1), du r\u00e8glement (UE) 2019\/881 ; - D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a>\r\r\"cybers\u00e9curit\u00e9\" : les activit\u00e9s n\u00e9cessaires pour prot\u00e9ger les r\u00e9seaux et les syst\u00e8mes d'information, les utilisateurs de ces syst\u00e8mes et les autres personnes concern\u00e9es par les cybermenaces ; - D\u00e9finition selon l'article 2, point 1), du r\u00e8glement (UE) 2019\/881 ;<\/span><\/span><\/span> cadre \u00e9dict\u00e9 au niveau de l'Union, s'appliquant \u00e9galement \u00e0 trois types d'entit\u00e9s financi\u00e8res, \u00e0 savoir les \u00e9tablissements de cr\u00e9dit, les plates-formes de n\u00e9gociation et les contreparties centrales. Toutefois, depuis que la directive (UE) 2016\/1148 a \u00e9tabli un m\u00e9canisme d'identification au niveau national des op\u00e9rateurs de services essentiels, seuls certains \u00e9tablissements de cr\u00e9dit, plates-formes de n\u00e9gociation et contreparties centrales identifi\u00e9s par les \u00c9tats membres sont entr\u00e9s dans son champ d'application dans la pratique, et donc tenus de se conformer aux exigences en mati\u00e8re de s\u00e9curit\u00e9 des TIC et de notification des incidents qui y sont \u00e9nonc\u00e9es. La directive (UE) 2022\/2555 du Parlement europ\u00e9en et du Conseil (8) fixe un crit\u00e8re uniforme pour d\u00e9terminer les entit\u00e9s entrant dans son champ d'application (r\u00e8gle du plafond de taille) tout en conservant les trois types d'entit\u00e9s financi\u00e8res dans son champ d'application.<\/p>\n\n\n\n

(16) Toutefois, \u00e9tant donn\u00e9 que le pr\u00e9sent r\u00e8glement accro\u00eet le niveau d'harmonisation des diff\u00e9rentes composantes de la r\u00e9silience num\u00e9rique, en introduisant des exigences en mati\u00e8re de gestion des risques li\u00e9s aux TIC et de notification des incidents li\u00e9s aux TIC qui sont plus strictes que celles pr\u00e9vues par la l\u00e9gislation actuelle de l'Union sur les services financiers, ce niveau plus \u00e9lev\u00e9 constitue \u00e9galement une harmonisation accrue par rapport aux exigences pr\u00e9vues par la directive (UE) 2022\/2555. Par cons\u00e9quent, le pr\u00e9sent r\u00e8glement constitue une lex specialis par rapport \u00e0 la directive (UE) 2022\/2555. Dans le m\u00eame temps, il est essentiel de maintenir une relation \u00e9troite entre le secteur financier et le cadre horizontal de cybers\u00e9curit\u00e9 de l'Union, tel qu'il est actuellement d\u00e9fini dans la directive (UE) 2022\/2555, afin d'assurer la coh\u00e9rence avec les strat\u00e9gies de cybers\u00e9curit\u00e9 adopt\u00e9es par les \u00c9tats membres et de permettre aux autorit\u00e9s de surveillance financi\u00e8re d'\u00eatre inform\u00e9es des cyberincidents qui touchent d'autres secteurs couverts par cette directive.<\/p>\n\n\n\n

(17) Conform\u00e9ment \u00e0 l'article 4, paragraphe 2, du trait\u00e9 sur l'Union europ\u00e9enne et sans pr\u00e9judice du contr\u00f4le juridictionnel exerc\u00e9 par la Cour de justice, le pr\u00e9sent r\u00e8glement ne devrait pas porter atteinte \u00e0 la responsabilit\u00e9 des \u00c9tats membres en ce qui concerne les fonctions essentielles de l'\u00c9tat li\u00e9es \u00e0 la s\u00e9curit\u00e9 publique, \u00e0 la d\u00e9fense et \u00e0 la sauvegarde de la s\u00e9curit\u00e9 nationale, par exemple en ce qui concerne la fourniture d'informations qui seraient contraires \u00e0 la sauvegarde de la s\u00e9curit\u00e9 nationale.<\/p>\n\n\n\n

(18) Afin de permettre un apprentissage intersectoriel et de tirer efficacement parti de l'exp\u00e9rience acquise par d'autres secteurs dans la lutte contre les cybermenaces, les entit\u00e9s financi\u00e8res vis\u00e9es dans la directive (UE) 2022\/2555 devraient continuer \u00e0 faire partie de l'\"\u00e9cosyst\u00e8me\" de ladite directive (par exemple, le groupe de coop\u00e9ration et les \u00e9quipes de r\u00e9ponse aux incidents de s\u00e9curit\u00e9 informatique (CSIRT)).Les AES et les autorit\u00e9s comp\u00e9tentes nationales devraient pouvoir participer aux discussions sur les politiques strat\u00e9giques et aux travaux techniques du groupe de coop\u00e9ration au titre de ladite directive, et \u00e9changer des informations et continuer \u00e0 coop\u00e9rer avec les points de contact uniques d\u00e9sign\u00e9s ou \u00e9tablis conform\u00e9ment \u00e0 ladite directive. Les autorit\u00e9s comp\u00e9tentes en vertu du pr\u00e9sent r\u00e8glement devraient \u00e9galement consulter les CSIRT et coop\u00e9rer avec eux. Les autorit\u00e9s comp\u00e9tentes devraient \u00e9galement pouvoir demander des conseils techniques aux autorit\u00e9s comp\u00e9tentes d\u00e9sign\u00e9es ou \u00e9tablies conform\u00e9ment \u00e0 la directive (UE) 2022\/2555 et \u00e9tablir des accords de coop\u00e9ration visant \u00e0 garantir des m\u00e9canismes de coordination efficaces et rapides.<\/p>\n\n\n\n

(19) Compte tenu des liens \u00e9troits entre la r\u00e9silience num\u00e9rique et la r\u00e9silience physique des entit\u00e9s financi\u00e8res, il est n\u00e9cessaire d'adopter une approche coh\u00e9rente en ce qui concerne la r\u00e9silience des entit\u00e9s critiques dans le pr\u00e9sent r\u00e8glement et dans la directive (UE) 2022\/2557 du Parlement europ\u00e9en et du Conseil (9). \u00c9tant donn\u00e9 que la r\u00e9silience physique des entit\u00e9s financi\u00e8res est trait\u00e9e de mani\u00e8re globale par les obligations en mati\u00e8re de gestion des risques li\u00e9s aux TIC et de communication d'informations couvertes par le pr\u00e9sent r\u00e8glement, les obligations pr\u00e9vues aux chapitres III et IV de la directive (UE) 2022\/2557 ne devraient pas s'appliquer aux entit\u00e9s financi\u00e8res relevant du champ d'application de ladite directive.<\/p>\n\n\n\n

(20) Service d'informatique en nuageService d'informatique en nuage<\/span> d\u00e9signe un service num\u00e9rique qui permet l'administration \u00e0 la demande et un large acc\u00e8s \u00e0 distance \u00e0 un pool \u00e9volutif et \u00e9lastique de ressources informatiques partageables, y compris lorsque ces ressources sont r\u00e9parties sur plusieurs sites. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> sont une cat\u00e9gorie d'infrastructure num\u00e9rique couverte par la directive (UE) 2022\/2555. Le cadre de surveillance de l'Union (\"cadre de surveillance\") \u00e9tabli par le pr\u00e9sent r\u00e8glement s'applique \u00e0 tous les prestataires de services TIC critiques tiers, y compris les prestataires de services d'informatique en nuage fournissant des services TIC \u00e0 des entit\u00e9s financi\u00e8res, et devrait \u00eatre consid\u00e9r\u00e9 comme compl\u00e9mentaire de la surveillance exerc\u00e9e en vertu de la directive (UE) 2022\/2555. En outre, le cadre de surveillance \u00e9tabli par le pr\u00e9sent r\u00e8glement devrait couvrir les prestataires de services d'informatique en nuage en l'absence d'un cadre horizontal de l'Union \u00e9tablissant une autorit\u00e9 de surveillance num\u00e9rique.<\/p>\n\n\n\n

(21) Afin de ma\u00eetriser pleinement les risques li\u00e9s aux TIC, les entit\u00e9s financi\u00e8res doivent disposer de capacit\u00e9s compl\u00e8tes permettant une gestion solide et efficace des risques li\u00e9s aux TIC, ainsi que de m\u00e9canismes et de politiques sp\u00e9cifiques pour traiter tous les incidents li\u00e9s aux TIC et pour signaler les incidents majeurs li\u00e9s aux TIC. De m\u00eame, les entit\u00e9s financi\u00e8res devraient mettre en place des politiques pour tester les syst\u00e8mes, les contr\u00f4les et les processus li\u00e9s aux TIC, ainsi que pour g\u00e9rer les risques li\u00e9s aux TIC pour les tiers. Le niveau de base de la r\u00e9silience op\u00e9rationnelle num\u00e9rique pour les entit\u00e9s financi\u00e8res devrait \u00eatre augment\u00e9 tout en permettant une application proportionn\u00e9e des exigences pour certaines entit\u00e9s financi\u00e8res, en particulier les microentreprises, ainsi que pour les entit\u00e9s financi\u00e8res soumises \u00e0 un cadre simplifi\u00e9 de gestion des risques li\u00e9s aux TIC. Pour faciliter une surveillance efficace des institutions de retraite professionnelle qui soit proportionn\u00e9e et r\u00e9ponde \u00e0 la n\u00e9cessit\u00e9 de r\u00e9duire les charges administratives pesant sur les autorit\u00e9s comp\u00e9tentes, les dispositifs nationaux de surveillance pertinents concernant ces entit\u00e9s financi\u00e8res devraient tenir compte de leur taille et de leur profil de risque global, ainsi que de la nature, de l'\u00e9chelle et de la complexit\u00e9 de leurs services, activit\u00e9s et op\u00e9rations, m\u00eame lorsque les seuils pertinents \u00e9tablis \u00e0 l'article 5 de la directive (UE) 2016\/2341 du Parlement europ\u00e9en et du Conseil (10) sont d\u00e9pass\u00e9s. En particulier, les activit\u00e9s de surveillance devraient se concentrer principalement sur la n\u00e9cessit\u00e9 de traiter les risques graves associ\u00e9s \u00e0 la gestion des risques li\u00e9s aux TIC d'une entit\u00e9 donn\u00e9e.<\/p>\n\n\n\n

Les autorit\u00e9s comp\u00e9tentes devraient \u00e9galement maintenir une approche vigilante mais proportionn\u00e9e en ce qui concerne la surveillance des institutions de retraite professionnelle qui, conform\u00e9ment \u00e0 l'article 31 de la directive (UE) 2016\/2341, confient \u00e0 des prestataires de services une partie importante de leurs activit\u00e9s de base, telles que la gestion d'actifs, les calculs actuariels, la comptabilit\u00e9 et la gestion de donn\u00e9es.<\/p>\n\n\n\n

(22) Les seuils de d\u00e9claration des incidents li\u00e9s aux TIC et les taxonomies varient consid\u00e9rablement au niveau national. Si un terrain d'entente peut \u00eatre trouv\u00e9 gr\u00e2ce aux travaux pertinents entrepris par l'Agence de l'Union europ\u00e9enne pour la cybers\u00e9curit\u00e9 (ENISA) \u00e9tablie par le r\u00e8glement (UE) 2019\/881 du Parlement europ\u00e9en et du Conseil (11) et le groupe de coop\u00e9ration au titre de la directive (UE) 2022\/2555, des approches divergentes concernant la fixation des seuils et l'utilisation des taxonomies existent toujours, ou peuvent \u00e9merger, pour le reste des entit\u00e9s financi\u00e8res. En raison de ces divergences, les entit\u00e9s financi\u00e8res doivent se conformer \u00e0 de multiples exigences, en particulier lorsqu'elles op\u00e8rent dans plusieurs \u00c9tats membres et lorsqu'elles font partie d'un groupe financier. En outre, ces divergences risquent d'entraver la cr\u00e9ation de nouveaux m\u00e9canismes uniformes ou centralis\u00e9s de l'Union qui acc\u00e9l\u00e8rent le processus de d\u00e9claration et favorisent un \u00e9change d'informations rapide et sans heurts entre les autorit\u00e9s comp\u00e9tentes, ce qui est essentiel pour faire face aux risques li\u00e9s aux TIC en cas d'attaques \u00e0 grande \u00e9chelle pouvant avoir des cons\u00e9quences syst\u00e9miques.<\/p>\n\n\n\n

(23) Afin de r\u00e9duire la charge administrative et les obligations de d\u00e9claration potentiellement redondantes pour certaines entit\u00e9s financi\u00e8res, l'obligation de d\u00e9claration des incidents conform\u00e9ment \u00e0 la directive (UE) 2015\/2366 du Parlement europ\u00e9en et du Conseil (12) devrait cesser de s'appliquer aux prestataires de services de paiement qui rel\u00e8vent du champ d'application du pr\u00e9sent r\u00e8glement. Par cons\u00e9quent, les \u00e9tablissements de cr\u00e9dit, les \u00e9tablissements de monnaie \u00e9lectronique, les \u00e9tablissements de paiement et les prestataires de services d'information sur les comptes, vis\u00e9s \u00e0 l'article 33, paragraphe 1, de ladite directive, devraient, \u00e0 compter de la date d'application du pr\u00e9sent r\u00e8glement, d\u00e9clarer, conform\u00e9ment au pr\u00e9sent r\u00e8glement, tous les incidents de paiement op\u00e9rationnels ou li\u00e9s \u00e0 la s\u00e9curit\u00e9 qui ont \u00e9t\u00e9 pr\u00e9c\u00e9demment d\u00e9clar\u00e9s conform\u00e9ment \u00e0 ladite directive, que ces incidents soient ou non li\u00e9s aux TIC.<\/p>\n\n\n\n

(24) Pour permettre aux autorit\u00e9s comp\u00e9tentes de remplir leur mission de surveillance en acqu\u00e9rant une vue d'ensemble de la nature, de la fr\u00e9quence, de l'importance et de l'impact des incidents li\u00e9s aux TIC et pour am\u00e9liorer l'\u00e9change d'informations entre les autorit\u00e9s publiques concern\u00e9es, y compris les services r\u00e9pressifs et les autorit\u00e9s de r\u00e9solution, le pr\u00e9sent r\u00e8glement devrait \u00e9tablir un r\u00e9gime solide de notification des incidents li\u00e9s aux TIC, dans lequel les exigences pertinentes comblent les lacunes actuelles de la l\u00e9gislation sur les services financiers et suppriment les chevauchements et les doubles emplois existants afin de r\u00e9duire les co\u00fbts. Il est essentiel d'harmoniser le r\u00e9gime de notification des incidents li\u00e9s aux TIC en exigeant de toutes les entit\u00e9s financi\u00e8res qu'elles fassent rapport \u00e0 leurs autorit\u00e9s comp\u00e9tentes dans un cadre unique et rationalis\u00e9, comme le pr\u00e9voit le pr\u00e9sent r\u00e8glement. En outre, les AES devraient \u00eatre habilit\u00e9es \u00e0 pr\u00e9ciser les \u00e9l\u00e9ments pertinents du cadre de notification des incidents li\u00e9s aux TIC, tels que la taxonomie, les d\u00e9lais, les ensembles de donn\u00e9es, les mod\u00e8les et les seuils applicables. Afin d'assurer une coh\u00e9rence totale avec la directive (UE) 2022\/2555, les entit\u00e9s financi\u00e8res devraient \u00eatre autoris\u00e9es, sur une base volontaire, \u00e0 notifier les cybermenaces importantes \u00e0 l'autorit\u00e9 comp\u00e9tente concern\u00e9e, lorsqu'elles consid\u00e8rent que les cybermenaceCybermenace<\/span> d\u00e9signe toute circonstance, tout \u00e9v\u00e9nement ou toute action potentielle susceptible d'endommager, de perturber ou de nuire d'une autre mani\u00e8re aux r\u00e9seaux et aux syst\u00e8mes d'information, aux utilisateurs de ces syst\u00e8mes et \u00e0 d'autres personnes - D\u00e9finition selon l'article 2, point (8), du r\u00e8glement (UE) 2019\/881.<\/span><\/span><\/span> pr\u00e9sente un int\u00e9r\u00eat pour le syst\u00e8me financier, les utilisateurs du service ou les clients.<\/p>\n\n\n\n

(25) Des exigences en mati\u00e8re de tests de r\u00e9silience op\u00e9rationnelle num\u00e9rique ont \u00e9t\u00e9 \u00e9labor\u00e9es dans certains sous-secteurs financiers, \u00e9tablissant des cadres qui ne sont pas toujours totalement align\u00e9s. Cela entra\u00eene une duplication potentielle des co\u00fbts pour les entit\u00e9s financi\u00e8res transfrontali\u00e8res et rend complexe la reconnaissance mutuelle des r\u00e9sultats des tests de r\u00e9silience op\u00e9rationnelle num\u00e9rique, ce qui, \u00e0 son tour, peut fragmenter le march\u00e9 int\u00e9rieur.<\/p>\n\n\n\n

(26) En outre, lorsqu'aucun test des TIC n'est requis, les vuln\u00e9rabilit\u00e9s ne sont pas d\u00e9tect\u00e9es et exposent l'entit\u00e9 financi\u00e8re \u00e0 un risque li\u00e9 aux TIC, ce qui, en fin de compte, cr\u00e9e un risque plus \u00e9lev\u00e9 pour la stabilit\u00e9 et l'int\u00e9grit\u00e9 du secteur financier. Sans l'intervention de l'Union, les tests de r\u00e9silience op\u00e9rationnelle num\u00e9rique continueraient d'\u00eatre incoh\u00e9rents et il n'y aurait pas de syst\u00e8me de reconnaissance mutuelle des r\u00e9sultats des tests TIC dans les diff\u00e9rentes juridictions. En outre, comme il est peu probable que d'autres sous-secteurs financiers adoptent des programmes de test \u00e0 une \u00e9chelle significative, ils ne b\u00e9n\u00e9ficieraient pas des avantages potentiels d'un cadre de test, en termes de r\u00e9v\u00e9lation des vuln\u00e9rabilit\u00e9s et des risques li\u00e9s aux TIC, et de test des capacit\u00e9s de d\u00e9fense et de la continuit\u00e9 des activit\u00e9s, ce qui contribue \u00e0 accro\u00eetre la confiance des clients, des fournisseurs et des partenaires commerciaux. Pour rem\u00e9dier \u00e0 ces chevauchements, divergences et lacunes, il est n\u00e9cessaire d'\u00e9tablir des r\u00e8gles pour un r\u00e9gime de test coordonn\u00e9 et de faciliter ainsi la reconnaissance mutuelle des tests avanc\u00e9s pour les entit\u00e9s financi\u00e8res qui satisfont aux crit\u00e8res \u00e9nonc\u00e9s dans le pr\u00e9sent r\u00e8glement.<\/p>\n\n\n\n

(27) La d\u00e9pendance des entit\u00e9s financi\u00e8res \u00e0 l'\u00e9gard des services TIC s'explique en partie par leur besoin de s'adapter \u00e0 une \u00e9conomie mondiale num\u00e9rique concurrentielle \u00e9mergente, de renforcer l'efficacit\u00e9 de leurs activit\u00e9s et de r\u00e9pondre \u00e0 la demande des consommateurs. La nature et l'ampleur de cette d\u00e9pendance n'ont cess\u00e9 d'\u00e9voluer ces derni\u00e8res ann\u00e9es, entra\u00eenant une r\u00e9duction des co\u00fbts de l'interm\u00e9diation financi\u00e8re, permettant l'expansion des activit\u00e9s et l'extensibilit\u00e9 du d\u00e9ploiement des activit\u00e9s financi\u00e8res, tout en offrant une large gamme d'outils TIC pour g\u00e9rer des processus internes complexes.<\/p>\n\n\n\n

(28) L'utilisation intensive des services TIC se traduit par des accords contractuels complexes, en vertu desquels les entit\u00e9s financi\u00e8res \u00e9prouvent souvent des difficult\u00e9s \u00e0 n\u00e9gocier des conditions contractuelles adapt\u00e9es aux normes prudentielles ou aux autres exigences r\u00e9glementaires auxquelles elles sont soumises, ou \u00e0 faire valoir des droits sp\u00e9cifiques, tels que des droits d'acc\u00e8s ou d'audit, m\u00eame lorsque ces derniers sont inscrits dans leurs accords contractuels. En outre, nombre de ces accords contractuels ne pr\u00e9voient pas de garanties suffisantes pour permettre un contr\u00f4le complet des processus de sous-traitance, privant ainsi l'entit\u00e9 financi\u00e8re de sa capacit\u00e9 \u00e0 \u00e9valuer les risques associ\u00e9s. En outre, comme les prestataires de services TIC tiers fournissent souvent des services standardis\u00e9s \u00e0 diff\u00e9rents types de clients, ces dispositions contractuelles ne r\u00e9pondent pas toujours de mani\u00e8re ad\u00e9quate aux besoins individuels ou sp\u00e9cifiques des acteurs de l'industrie financi\u00e8re.<\/p>\n\n\n\n

(29) M\u00eame si la l\u00e9gislation de l'Union sur les services financiers contient certaines r\u00e8gles g\u00e9n\u00e9rales sur l'externalisation, le contr\u00f4le de la dimension contractuelle n'est pas pleinement ancr\u00e9 dans le droit de l'Union. En l'absence de normes de l'Union claires et personnalis\u00e9es s'appliquant aux accords contractuels conclus avec des prestataires de services TIC tiers, la source externe du risque li\u00e9 aux TIC n'est pas trait\u00e9e de mani\u00e8re exhaustive. Par cons\u00e9quent, il est n\u00e9cessaire d'\u00e9noncer certains principes cl\u00e9s pour guider la gestion par les entit\u00e9s financi\u00e8res du risque li\u00e9 aux TIC de tiers, qui rev\u00eatent une importance particuli\u00e8re lorsque les entit\u00e9s financi\u00e8res ont recours \u00e0 des prestataires de services TIC de tiers pour soutenir leurs fonctions critiques ou importantes. Ces principes devraient \u00eatre accompagn\u00e9s d'un ensemble de droits contractuels fondamentaux concernant plusieurs \u00e9l\u00e9ments de l'ex\u00e9cution et de la r\u00e9siliation des accords contractuels, en vue de fournir certaines garanties minimales pour renforcer la capacit\u00e9 des entit\u00e9s financi\u00e8res \u00e0 contr\u00f4ler efficacement tous les risques li\u00e9s aux TIC qui apparaissent au niveau des prestataires de services tiers. Ces principes compl\u00e8tent le droit sectoriel applicable \u00e0 l'externalisation.<\/p>\n\n\n\n

(30) On constate aujourd'hui un certain manque d'homog\u00e9n\u00e9it\u00e9 et de convergence en ce qui concerne la surveillance du risque TIC pour les tiers et des d\u00e9pendances TIC pour les tiers. Malgr\u00e9 les efforts d\u00e9ploy\u00e9s pour traiter la question de l'externalisation, comme les lignes directrices de l'ABE sur l'externalisation de 2019 et les lignes directrices de l'AEMF sur l'externalisation vers des fournisseurs de services en nuage de 2021, la question plus large de la lutte contre le risque syst\u00e9mique qui peut \u00eatre d\u00e9clench\u00e9 par l'exposition du secteur financier \u00e0 un nombre limit\u00e9 de fournisseurs de services TIC tiers critiques n'est pas suffisamment prise en compte par le droit de l'Union. L'absence de r\u00e8gles au niveau de l'Union est aggrav\u00e9e par l'absence de r\u00e8gles nationales sur les mandats et les outils qui permettent aux autorit\u00e9s de surveillance financi\u00e8re d'acqu\u00e9rir une bonne compr\u00e9hension des d\u00e9pendances des TIC \u00e0 l'\u00e9gard des tiers et de surveiller de mani\u00e8re ad\u00e9quate les risques d\u00e9coulant de la concentration des d\u00e9pendances des TIC \u00e0 l'\u00e9gard des tiers.<\/p>\n\n\n\n

(31) Compte tenu du risque syst\u00e9mique potentiel li\u00e9 \u00e0 l'augmentation des pratiques d'externalisation et \u00e0 la concentration des TIC chez les tiers, et conscient du fait que les m\u00e9canismes nationaux ne fournissent pas aux autorit\u00e9s de surveillance financi\u00e8re les outils ad\u00e9quats pour quantifier, qualifier et corriger les cons\u00e9quences des risques li\u00e9s aux TIC chez les fournisseurs de services TIC tiers essentiels, il est n\u00e9cessaire d'\u00e9tablir un cadre de surveillance appropri\u00e9 permettant un contr\u00f4le continu des activit\u00e9s des fournisseurs de services TIC tiers essentiels aux entit\u00e9s financi\u00e8res, tout en veillant \u00e0 ce que la confidentialit\u00e9 et la s\u00e9curit\u00e9 des clients autres que les entit\u00e9s financi\u00e8res soient pr\u00e9serv\u00e9es. Si la fourniture de services TIC au sein d'un groupe comporte des risques et des avantages sp\u00e9cifiques, elle ne devrait pas \u00eatre automatiquement consid\u00e9r\u00e9e comme moins risqu\u00e9e que la fourniture de services TIC par des prestataires ext\u00e9rieurs \u00e0 un groupe financier et devrait donc \u00eatre soumise au m\u00eame cadre r\u00e9glementaire. Toutefois, lorsque les services TIC sont fournis au sein d'un m\u00eame groupe financier, les entit\u00e9s financi\u00e8res peuvent avoir un niveau de contr\u00f4le plus \u00e9lev\u00e9 sur les fournisseurs intragroupe, ce qui devrait \u00eatre pris en compte dans l'\u00e9valuation globale des risques.<\/p>\n\n\n\n

(32) Les risques li\u00e9s aux TIC devenant de plus en plus complexes et sophistiqu\u00e9s, les bonnes mesures de d\u00e9tection et de pr\u00e9vention de ces risques d\u00e9pendent dans une large mesure de l'\u00e9change r\u00e9gulier, entre les entit\u00e9s financi\u00e8res, de renseignements sur les menaces et les vuln\u00e9rabilit\u00e9s. Le partage d'informations contribue \u00e0 une meilleure prise de conscience des cybermenaces. En retour, cela renforce la capacit\u00e9 des entit\u00e9s financi\u00e8res \u00e0 emp\u00eacher les cybermenaces de devenir de v\u00e9ritables incidents li\u00e9s aux TIC et permet aux entit\u00e9s financi\u00e8res de contenir plus efficacement l'impact des incidents li\u00e9s aux TIC et de se r\u00e9tablir plus rapidement. En l'absence d'orientations au niveau de l'Union, plusieurs facteurs semblent avoir entrav\u00e9 ce partage de renseignements, en particulier l'incertitude quant \u00e0 sa compatibilit\u00e9 avec les r\u00e8gles en mati\u00e8re de protection des donn\u00e9es, d'antitrust et de responsabilit\u00e9.<\/p>\n\n\n\n

(33) En outre, les doutes concernant le type d'informations pouvant \u00eatre partag\u00e9es avec d'autres acteurs du march\u00e9 ou avec des autorit\u00e9s non prudentielles (telles que l'ENISA, \u00e0 des fins d'analyse, ou Europol, \u00e0 des fins r\u00e9pressives) conduisent \u00e0 ce que des informations utiles ne soient pas communiqu\u00e9es. Par cons\u00e9quent, l'\u00e9tendue et la qualit\u00e9 du partage d'informations restent actuellement limit\u00e9es et fragment\u00e9es, les \u00e9changes pertinents \u00e9tant principalement locaux (par le biais d'initiatives nationales) et en l'absence de dispositions coh\u00e9rentes de partage d'informations \u00e0 l'\u00e9chelle de l'Union, adapt\u00e9es aux besoins d'un syst\u00e8me financier int\u00e9gr\u00e9. Il est donc important de renforcer ces canaux de communication.<\/p>\n\n\n\n

(34) Les entit\u00e9s financi\u00e8res devraient \u00eatre encourag\u00e9es \u00e0 \u00e9changer entre elles des informations et des renseignements sur les cybermenaces et \u00e0 exploiter collectivement leurs connaissances individuelles et leur exp\u00e9rience pratique aux niveaux strat\u00e9gique, tactique et op\u00e9rationnel en vue de renforcer leurs capacit\u00e9s \u00e0 \u00e9valuer, surveiller et d\u00e9fendre les cybermenaces de mani\u00e8re ad\u00e9quate et \u00e0 y r\u00e9pondre, en participant \u00e0 des accords de partage d'informations. Il est donc n\u00e9cessaire de permettre l'\u00e9mergence, au niveau de l'Union, de m\u00e9canismes d'accords volontaires de partage d'informations qui, lorsqu'ils sont mis en \u0153uvre dans des environnements de confiance, aideraient la communaut\u00e9 du secteur financier \u00e0 pr\u00e9venir les cybermenaces et \u00e0 y r\u00e9pondre collectivement en limitant rapidement la propagation des risques li\u00e9s aux TIC et en emp\u00eachant une contagion potentielle dans l'ensemble des circuits financiers. Ces m\u00e9canismes devraient \u00eatre conformes aux r\u00e8gles applicables du droit de la concurrence de l'Union \u00e9nonc\u00e9es dans la communication de la Commission du 14 janvier 2011 intitul\u00e9e \"Lignes directrices sur l'applicabilit\u00e9 de l'article 101 du trait\u00e9 sur le fonctionnement de l'Union europ\u00e9enne aux accords de coop\u00e9ration horizontale\", ainsi qu'aux r\u00e8gles de l'Union en mati\u00e8re de protection des donn\u00e9es, en particulier le r\u00e8glement (UE) 2016\/679 du Parlement europ\u00e9en et du Conseil (13). Ils devraient fonctionner sur la base de l'utilisation d'une ou de plusieurs des bases juridiques qui sont \u00e9nonc\u00e9es \u00e0 l'article 6 dudit r\u00e8glement, par exemple dans le cadre du traitement de donn\u00e9es \u00e0 caract\u00e8re personnel qui est n\u00e9cessaire aux fins de l'int\u00e9r\u00eat l\u00e9gitime poursuivi par le responsable du traitement ou par un tiers, tel que vis\u00e9 \u00e0 l'article 6, paragraphe 1, point f), dudit r\u00e8glement, ainsi que dans le cadre du traitement de donn\u00e9es \u00e0 caract\u00e8re personnel n\u00e9cessaire au respect d'une obligation l\u00e9gale \u00e0 laquelle le responsable du traitement est soumis, n\u00e9cessaire \u00e0 l'ex\u00e9cution d'une mission d'int\u00e9r\u00eat public ou relevant de l'exercice de l'autorit\u00e9 publique dont est investi le responsable du traitement, tel que vis\u00e9 \u00e0 l'article 6, paragraphe 1, points c) et e), respectivement, dudit r\u00e8glement.<\/p>\n\n\n\n

(35) Afin de maintenir un niveau \u00e9lev\u00e9 de r\u00e9silience op\u00e9rationnelle num\u00e9rique pour l'ensemble du secteur financier et, dans le m\u00eame temps, de suivre le rythme des \u00e9volutions technologiques, le pr\u00e9sent r\u00e8glement devrait traiter le risque d\u00e9coulant de tous les types de services TIC. \u00c0 cette fin, la d\u00e9finition des services TIC dans le contexte du pr\u00e9sent r\u00e8glement devrait \u00eatre entendue au sens large et englober les services num\u00e9riques et de donn\u00e9es fournis par l'interm\u00e9diaire de syst\u00e8mes TIC \u00e0 un ou plusieurs utilisateurs internes ou externes de mani\u00e8re continue. Cette d\u00e9finition devrait, par exemple, inclure les services dits \"over the top\", qui rel\u00e8vent de la cat\u00e9gorie des services de communications \u00e9lectroniques. Elle ne devrait exclure que la cat\u00e9gorie limit\u00e9e des services t\u00e9l\u00e9phoniques analogiques traditionnels, \u00e0 savoir les services du r\u00e9seau t\u00e9l\u00e9phonique public commut\u00e9 (RTPC), les services de lignes terrestres, les services t\u00e9l\u00e9phoniques ordinaires (POTS) ou les services de t\u00e9l\u00e9phonie fixe.<\/p>\n\n\n\n

(36) Nonobstant la large couverture envisag\u00e9e par le pr\u00e9sent r\u00e8glement, l'application des r\u00e8gles de r\u00e9silience op\u00e9rationnelle num\u00e9rique devrait tenir compte des diff\u00e9rences significatives entre les entit\u00e9s financi\u00e8res en termes de taille et de profil de risque global. En principe, lors de la r\u00e9partition des ressources et des capacit\u00e9s pour la mise en \u0153uvre du cadre de gestion des risques li\u00e9s aux TIC, les entit\u00e9s financi\u00e8res devraient d\u00fbment adapter leurs besoins en mati\u00e8re de TIC \u00e0 leur taille et \u00e0 leur profil de risque global, ainsi qu'\u00e0 la nature, \u00e0 l'\u00e9chelle et \u00e0 la complexit\u00e9 de leurs services, activit\u00e9s et op\u00e9rations, tandis que les autorit\u00e9s comp\u00e9tentes devraient continuer \u00e0 \u00e9valuer et \u00e0 r\u00e9examiner l'approche adopt\u00e9e pour une telle r\u00e9partition.<\/p>\n\n\n\n

(37) Les prestataires de services d'information sur les comptes, vis\u00e9s \u00e0 l'article 33, paragraphe 1, de la directive (UE) 2015\/2366, sont explicitement inclus dans le champ d'application du pr\u00e9sent r\u00e8glement, compte tenu de la nature sp\u00e9cifique de leurs activit\u00e9s et des risques qui en d\u00e9coulent. En outre, les \u00e9tablissements de monnaie \u00e9lectronique et les \u00e9tablissements de paiement exempt\u00e9s en vertu de l'article 9, paragraphe 1, de la directive 2009\/110\/CE du Parlement europ\u00e9en et du Conseil (14) et de l'article 32, paragraphe 1, de la directive (UE) 2015\/2366 sont inclus dans le champ d'application du pr\u00e9sent r\u00e8glement, m\u00eame s'ils n'ont pas re\u00e7u d'agr\u00e9ment conform\u00e9ment \u00e0 la directive 2009\/110\/CE pour \u00e9mettre de la monnaie \u00e9lectronique, ou s'ils n'ont pas re\u00e7u d'agr\u00e9ment conform\u00e9ment \u00e0 la directive (UE) 2015\/2366 pour fournir et ex\u00e9cuter des services de paiement. Toutefois, les \u00e9tablissements de ch\u00e8ques postaux, vis\u00e9s \u00e0 l'article 2, paragraphe 5, point 3), de la directive 2013\/36\/UE du Parlement europ\u00e9en et du Conseil (15), sont exclus du champ d'application du pr\u00e9sent r\u00e8glement. L'autorit\u00e9 comp\u00e9tente pour les \u00e9tablissements de paiement exempt\u00e9s en vertu de la directive (UE) 2015\/2366, les \u00e9tablissements de monnaie \u00e9lectronique exempt\u00e9s en vertu de la directive 2009\/110\/CE et les prestataires de services d'information sur les comptes vis\u00e9s \u00e0 l'article 33, paragraphe 1, de la directive (UE) 2015\/2366, devrait \u00eatre l'autorit\u00e9 comp\u00e9tente d\u00e9sign\u00e9e conform\u00e9ment \u00e0 l'article 22 de la directive (UE) 2015\/2366.<\/p>\n\n\n\n

(38) \u00c9tant donn\u00e9 que les grandes entit\u00e9s financi\u00e8res peuvent disposer de ressources plus importantes et d\u00e9ployer rapidement des fonds pour d\u00e9velopper des structures de gouvernance et mettre en place diverses strat\u00e9gies d'entreprise, seules les entit\u00e9s financi\u00e8res qui ne sont pas des microentreprises au sens du pr\u00e9sent r\u00e8glement devraient \u00eatre tenues de mettre en place des dispositifs de gouvernance plus complexes. Ces entit\u00e9s sont notamment mieux \u00e9quip\u00e9es pour mettre en place des fonctions de gestion d\u00e9di\u00e9es \u00e0 la supervision des accords avec les prestataires de services TIC tiers ou \u00e0 la gestion des crises, pour organiser leur gestion des risques li\u00e9s aux TIC selon le mod\u00e8le des trois lignes de d\u00e9fense, ou pour mettre en place un mod\u00e8le de gestion et de contr\u00f4le des risques internes, et pour soumettre leur cadre de gestion des risques li\u00e9s aux TIC \u00e0 des audits internes.<\/p>\n\n\n\n

(39) Certaines entit\u00e9s financi\u00e8res b\u00e9n\u00e9ficient d'exemptions ou sont soumises \u00e0 un cadre r\u00e9glementaire tr\u00e8s l\u00e9ger en vertu du droit de l'Union sectoriel applicable. Ces entit\u00e9s financi\u00e8res comprennent les gestionnaires de fonds d'investissement alternatifs vis\u00e9s \u00e0 l'article 3, paragraphe 2, de la directive 2011\/61\/UE du Parlement europ\u00e9en et du Conseil (16), les entreprises d'assurance et de r\u00e9assurance vis\u00e9es \u00e0 l'article 4 de la directive 2009\/138\/CE du Parlement europ\u00e9en et du Conseil (17), et les institutions de retraite professionnelle qui g\u00e8rent des r\u00e9gimes de retraite ne comptant pas plus de 15 affili\u00e9s au total. Compte tenu de ces exemptions, il ne serait pas proportionn\u00e9 d'inclure ces entit\u00e9s financi\u00e8res dans le champ d'application du pr\u00e9sent r\u00e8glement. En outre, le pr\u00e9sent r\u00e8glement reconna\u00eet les sp\u00e9cificit\u00e9s de la structure du march\u00e9 de l'interm\u00e9diation en assurance, de sorte que les interm\u00e9diaires d'assurance, les interm\u00e9diaires de r\u00e9assurance et les interm\u00e9diaires d'assurance auxiliaires qualifi\u00e9s de microentreprises ou de petites ou moyennes entreprises ne devraient pas \u00eatre soumis au pr\u00e9sent r\u00e8glement.<\/p>\n\n\n\n

(40) \u00c9tant donn\u00e9 que les entit\u00e9s vis\u00e9es \u00e0 l'article 2, paragraphe 5, points 4) \u00e0 23), de la directive 2013\/36\/UE sont exclues du champ d'application de cette directive, les \u00c9tats membres devraient par cons\u00e9quent pouvoir choisir d'exempter de l'application du pr\u00e9sent r\u00e8glement ces entit\u00e9s situ\u00e9es sur leurs territoires respectifs.<\/p>\n\n\n\n

(41) De m\u00eame, afin d'aligner le pr\u00e9sent r\u00e8glement sur le champ d'application de la directive 2014\/65\/UE du Parlement europ\u00e9en et du Conseil (18), il convient \u00e9galement d'exclure du champ d'application du pr\u00e9sent r\u00e8glement les personnes physiques et morales vis\u00e9es aux articles 2 et 3 de ladite directive qui sont autoris\u00e9es \u00e0 fournir des services d'investissement sans devoir obtenir un agr\u00e9ment au titre de la directive 2014\/65\/UE. Toutefois, l'article 2 de la directive 2014\/65\/UE exclut \u00e9galement du champ d'application de cette directive les entit\u00e9s qui sont consid\u00e9r\u00e9es comme des entit\u00e9s financi\u00e8res aux fins du pr\u00e9sent r\u00e8glement, telles que les d\u00e9positaires centraux de titres, les organismes de placement collectif ou les entreprises d'assurance et de r\u00e9assurance. L'exclusion du champ d'application du pr\u00e9sent r\u00e8glement des personnes et entit\u00e9s vis\u00e9es aux articles 2 et 3 de ladite directive ne devrait pas englober les d\u00e9positaires centraux de titres, les organismes de placement collectif ou les entreprises d'assurance et de r\u00e9assurance.<\/p>\n\n\n\n

(42) En vertu du droit de l'Union sectoriel, certaines entit\u00e9s financi\u00e8res sont soumises \u00e0 des exigences all\u00e9g\u00e9es ou \u00e0 des exemptions pour des raisons li\u00e9es \u00e0 leur taille ou aux services qu'elles fournissent. Cette cat\u00e9gorie d'entit\u00e9s financi\u00e8res comprend les petites entreprises d'investissement non interconnect\u00e9es, les petites institutions de retraite professionnelle qui peuvent \u00eatre exclues du champ d'application de la directive (UE) 2016\/2341 dans les conditions fix\u00e9es \u00e0 l'article 5 de cette directive par l'\u00c9tat membre concern\u00e9 et qui g\u00e8rent des r\u00e9gimes de retraite ne comptant pas plus de 100 affili\u00e9s au total, ainsi que les institutions exempt\u00e9es en vertu de la directive 2013\/36\/UE. Par cons\u00e9quent, conform\u00e9ment au principe de proportionnalit\u00e9 et pour pr\u00e9server l'esprit du droit de l'Union sectoriel, il convient \u00e9galement de soumettre ces entit\u00e9s financi\u00e8res \u00e0 un cadre simplifi\u00e9 de gestion du risque li\u00e9 aux TIC en vertu du pr\u00e9sent r\u00e8glement. Le caract\u00e8re proportionn\u00e9 du cadre de gestion des risques li\u00e9s aux TIC couvrant ces entit\u00e9s financi\u00e8res ne devrait pas \u00eatre modifi\u00e9 par les normes techniques r\u00e9glementaires qui doivent \u00eatre \u00e9labor\u00e9es par les AES. En outre, conform\u00e9ment au principe de proportionnalit\u00e9, il convient de soumettre \u00e9galement les \u00e9tablissements de paiement vis\u00e9s \u00e0 l'article 32, paragraphe 1, de la directive (UE) 2015\/2366 et les \u00e9tablissements de monnaie \u00e9lectronique vis\u00e9s \u00e0 l'article 9 de la directive 2009\/110\/CE exempt\u00e9s conform\u00e9ment au droit national transposant ces actes juridiques de l'Union \u00e0 un cadre simplifi\u00e9 de gestion du risque li\u00e9 aux TIC en vertu du pr\u00e9sent r\u00e8glement, tandis que les \u00e9tablissements de paiement et les \u00e9tablissements de monnaie \u00e9lectronique qui n'ont pas \u00e9t\u00e9 exempt\u00e9s conform\u00e9ment \u00e0 leur droit national respectif transposant le droit sectoriel de l'Union devraient se conformer au cadre g\u00e9n\u00e9ral \u00e9tabli par le pr\u00e9sent r\u00e8glement.<\/p>\n\n\n\n

(43) De m\u00eame, les entit\u00e9s financi\u00e8res qui ont le statut de microentreprise ou qui sont soumises au cadre simplifi\u00e9 de gestion des risques li\u00e9s aux TIC pr\u00e9vu par le pr\u00e9sent r\u00e8glement ne devraient pas \u00eatre tenues de mettre en place un m\u00e9canisme de contr\u00f4le des accords conclus avec des prestataires de services TIC tiers en ce qui concerne l'utilisation des services TIC, ni de d\u00e9signer un membre de l'encadrement sup\u00e9rieur charg\u00e9 de superviser l'exposition aux risques et la documentation correspondante ; d'attribuer la responsabilit\u00e9 de la gestion et de la surveillance des risques li\u00e9s aux TIC \u00e0 une fonction de contr\u00f4le et de garantir un niveau appropri\u00e9 d'ind\u00e9pendance de cette fonction de contr\u00f4le afin d'\u00e9viter les conflits d'int\u00e9r\u00eats ; de documenter et d'examiner au moins une fois par an le cadre de gestion des risques li\u00e9s aux TIC ; de soumettre r\u00e9guli\u00e8rement le cadre de gestion des risques li\u00e9s aux TIC \u00e0 l'audit interne ; d'effectuer des \u00e9valuations approfondies apr\u00e8s des changements majeurs dans leurs syst\u00e8mes de gestion des risques li\u00e9s aux TIC ; et de mettre en place un syst\u00e8me de gestion des risques li\u00e9s aux TIC. r\u00e9seau et syst\u00e8me d'informationR\u00e9seau et syst\u00e8me d'information<\/span> (a) un r\u00e9seau de communications \u00e9lectroniques tel que d\u00e9fini \u00e0 l'article 2, point 1), de la directive (UE) 2018\/1972 ; b) tout dispositif ou groupe de dispositifs interconnect\u00e9s ou apparent\u00e9s, dont un ou plusieurs effectuent, en application d'un programme, un traitement automatique de donn\u00e9es num\u00e9riques ; ou c) les donn\u00e9es num\u00e9riques stock\u00e9es, trait\u00e9es, r\u00e9cup\u00e9r\u00e9es ou transmises par les \u00e9l\u00e9ments vis\u00e9s aux points a) et b) aux fins de leur fonctionnement, de leur utilisation, de leur protection et de leur maintenance ; -. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> de disposer d'une fonction de gestion de crise, d'\u00e9tendre les tests des plans de continuit\u00e9 d'activit\u00e9, de r\u00e9action et de r\u00e9cup\u00e9ration afin de prendre en compte les sc\u00e9narios de basculement entre l'infrastructure TIC principale et les installations redondantes ; de communiquer aux autorit\u00e9s comp\u00e9tentes, \u00e0 leur demande, une estimation des co\u00fbts et des pertes annuels agr\u00e9g\u00e9s caus\u00e9s par des incidents majeurs li\u00e9s aux TIC, de maintenir des capacit\u00e9s TIC redondantes ; communiquer aux autorit\u00e9s nationales comp\u00e9tentes les changements mis en \u0153uvre \u00e0 la suite d'examens effectu\u00e9s apr\u00e8s un incident li\u00e9 aux TIC ; suivre en permanence les \u00e9volutions technologiques pertinentes, mettre en place un programme complet d'essais de r\u00e9silience num\u00e9rique op\u00e9rationnelle en tant que partie int\u00e9grante du cadre de gestion des risques li\u00e9s aux TIC pr\u00e9vu par le pr\u00e9sent r\u00e8glement, ou adopter et r\u00e9viser r\u00e9guli\u00e8rement une strat\u00e9gie sur les risques li\u00e9s aux TIC pour les tiers. En outre, les microentreprises ne devraient \u00eatre tenues d'\u00e9valuer la n\u00e9cessit\u00e9 de maintenir de telles capacit\u00e9s TIC redondantes que sur la base de leur profil de risque. Les microentreprises devraient b\u00e9n\u00e9ficier d'un r\u00e9gime plus souple en ce qui concerne les programmes de test de r\u00e9silience op\u00e9rationnelle num\u00e9rique. Lors de l'examen du type et de la fr\u00e9quence des tests \u00e0 effectuer, elles devraient trouver un juste \u00e9quilibre entre l'objectif de maintenir une r\u00e9silience op\u00e9rationnelle num\u00e9rique \u00e9lev\u00e9e, les ressources disponibles et leur profil de risque global. Les microentreprises et les entit\u00e9s financi\u00e8res soumises au cadre simplifi\u00e9 de gestion des risques li\u00e9s aux TIC pr\u00e9vu par le pr\u00e9sent r\u00e8glement devraient \u00eatre exempt\u00e9es de l'obligation de r\u00e9aliser des tests avanc\u00e9s des outils, syst\u00e8mes et processus TIC sur la base de tests de p\u00e9n\u00e9tration guid\u00e9s par la menace (TLPT), \u00e9tant donn\u00e9 que seules les entit\u00e9s financi\u00e8res r\u00e9pondant aux crit\u00e8res \u00e9nonc\u00e9s dans le pr\u00e9sent r\u00e8glement devraient \u00eatre tenues de r\u00e9aliser de tels tests. Compte tenu de leurs capacit\u00e9s limit\u00e9es, les microentreprises devraient pouvoir convenir avec le prestataire de services TIC tiers de d\u00e9l\u00e9guer les droits d'acc\u00e8s, d'inspection et d'audit de l'entit\u00e9 financi\u00e8re \u00e0 un tiers ind\u00e9pendant, d\u00e9sign\u00e9 par le prestataire de services TIC tiers, \u00e0 condition que l'entit\u00e9 financi\u00e8re soit en mesure de demander \u00e0 tout moment au tiers ind\u00e9pendant concern\u00e9 toutes les informations et assurances pertinentes sur les performances du prestataire de services TIC tiers.<\/p>\n\n\n\n

(44) \u00c9tant donn\u00e9 que seules les entit\u00e9s financi\u00e8res identifi\u00e9es aux fins des tests avanc\u00e9s de r\u00e9silience num\u00e9rique devraient \u00eatre tenues d'effectuer des tests de p\u00e9n\u00e9tration guid\u00e9s par la menace, les proc\u00e9dures administratives et les co\u00fbts financiers li\u00e9s \u00e0 la r\u00e9alisation de ces tests devraient \u00eatre support\u00e9s par un faible pourcentage d'entit\u00e9s financi\u00e8res.<\/p>\n\n\n\n

(45) Pour assurer un alignement total et une coh\u00e9rence globale entre les strat\u00e9gies commerciales des entit\u00e9s financi\u00e8res, d'une part, et la gestion des risques li\u00e9s aux TIC, d'autre part, les organes de direction des entit\u00e9s financi\u00e8res devraient \u00eatre tenus de jouer un r\u00f4le central et actif dans le pilotage et l'adaptation du cadre de gestion des risques li\u00e9s aux TIC et de la strat\u00e9gie globale de r\u00e9silience op\u00e9rationnelle num\u00e9rique. L'approche \u00e0 adopter par les organes de direction ne devrait pas seulement se concentrer sur les moyens de garantir la r\u00e9silience des syst\u00e8mes TIC, mais devrait \u00e9galement couvrir les personnes et les processus gr\u00e2ce \u00e0 un ensemble de politiques qui cultivent, \u00e0 chaque niveau de l'entreprise et pour l'ensemble du personnel, une forte sensibilisation aux cyberrisques et un engagement \u00e0 observer une stricte cyberhygi\u00e8ne \u00e0 tous les niveaux. La responsabilit\u00e9 ultime de l'organe de direction dans la gestion des risques li\u00e9s aux TIC d'une entit\u00e9 financi\u00e8re devrait \u00eatre un principe fondamental de cette approche globale, qui se traduit par un engagement permanent de l'organe de direction dans le contr\u00f4le du suivi de la gestion des risques li\u00e9s aux TIC.<\/p>\n\n\n\n

(46) En outre, le principe de la responsabilit\u00e9 totale et ultime de l'organe de direction dans la gestion du risque TIC de l'entit\u00e9 financi\u00e8re va de pair avec la n\u00e9cessit\u00e9 de garantir un niveau d'investissements li\u00e9s aux TIC et un budget global pour l'entit\u00e9 financi\u00e8re qui permettraient \u00e0 cette derni\u00e8re d'atteindre un niveau \u00e9lev\u00e9 de r\u00e9silience op\u00e9rationnelle num\u00e9rique.<\/p>\n\n\n\n

(47) S'inspirant des meilleures pratiques, lignes directrices, recommandations et approches internationales, nationales et sectorielles en mati\u00e8re de gestion du risque cybern\u00e9tique, le pr\u00e9sent r\u00e8glement promeut un ensemble de principes qui facilitent la structure globale de la gestion des risques li\u00e9s aux TIC. Par cons\u00e9quent, tant que les principales capacit\u00e9s mises en place par les entit\u00e9s financi\u00e8res r\u00e9pondent aux diff\u00e9rentes fonctions de la gestion des risques li\u00e9s aux TIC (identification, protection et pr\u00e9vention, d\u00e9tection, r\u00e9action et r\u00e9tablissement, apprentissage et \u00e9volution, et communication) \u00e9nonc\u00e9es dans le pr\u00e9sent r\u00e8glement, les entit\u00e9s financi\u00e8res devraient rester libres d'utiliser des mod\u00e8les de gestion des risques li\u00e9s aux TIC qui sont encadr\u00e9s ou class\u00e9s diff\u00e9remment.<\/p>\n\n\n\n

(48) Pour suivre l'\u00e9volution du paysage des cybermenaces, les entit\u00e9s financi\u00e8res devraient maintenir des syst\u00e8mes TIC actualis\u00e9s, fiables et capables, non seulement de garantir le traitement des donn\u00e9es n\u00e9cessaires \u00e0 leurs services, mais aussi d'assurer une r\u00e9silience technologique suffisante pour leur permettre de faire face de mani\u00e8re ad\u00e9quate \u00e0 des besoins de traitement suppl\u00e9mentaires dus \u00e0 des conditions de march\u00e9 tendues ou \u00e0 d'autres situations d\u00e9favorables.<\/p>\n\n\n\n

(49) Des plans efficaces de continuit\u00e9 et de reprise des activit\u00e9s sont n\u00e9cessaires pour permettre aux entit\u00e9s financi\u00e8res de r\u00e9soudre rapidement les incidents li\u00e9s aux TIC, en particulier les cyberattaques, en limitant les dommages et en donnant la priorit\u00e9 \u00e0 la reprise des activit\u00e9s et aux actions de r\u00e9tablissement conform\u00e9ment \u00e0 leurs politiques de sauvegarde. Toutefois, cette reprise ne doit en aucun cas compromettre l'int\u00e9grit\u00e9 et la s\u00e9curit\u00e9 du r\u00e9seau et des syst\u00e8mes d'information, ni la disponibilit\u00e9, l'authenticit\u00e9, l'int\u00e9grit\u00e9 ou la confidentialit\u00e9 des donn\u00e9es.<\/p>\n\n\n\n

(50) Si le pr\u00e9sent r\u00e8glement permet aux entit\u00e9s financi\u00e8res de d\u00e9terminer leurs objectifs en mati\u00e8re de d\u00e9lai et de point de r\u00e9tablissement de mani\u00e8re souple et donc de fixer ces objectifs en tenant pleinement compte de la nature et de la criticit\u00e9 des fonctions concern\u00e9es et de tout besoin commercial sp\u00e9cifique, il devrait n\u00e9anmoins les obliger \u00e0 proc\u00e9der \u00e0 une \u00e9valuation de l'impact global potentiel sur l'efficience du march\u00e9 lorsqu'elles d\u00e9terminent ces objectifs.<\/p>\n\n\n\n

(51) Les propagateurs des cyberattaques ont tendance \u00e0 rechercher des gains financiers directement \u00e0 la source, exposant ainsi les entit\u00e9s financi\u00e8res \u00e0 des cons\u00e9quences importantes. Pour \u00e9viter que les syst\u00e8mes TIC ne perdent leur int\u00e9grit\u00e9 ou ne deviennent indisponibles, et donc pour \u00e9viter les violations de donn\u00e9es et les dommages aux infrastructures TIC physiques, la notification des incidents majeurs li\u00e9s aux TIC par les entit\u00e9s financi\u00e8res devrait \u00eatre consid\u00e9rablement am\u00e9lior\u00e9e et rationalis\u00e9e. La notification des incidents li\u00e9s aux TIC devrait \u00eatre harmonis\u00e9e par l'introduction d'une obligation pour toutes les entit\u00e9s financi\u00e8res de notifier directement leurs autorit\u00e9s comp\u00e9tentes. Lorsqu'une entit\u00e9 financi\u00e8re est soumise \u00e0 la surveillance de plusieurs autorit\u00e9s nationales comp\u00e9tentes, les \u00c9tats membres devraient d\u00e9signer une seule autorit\u00e9 comp\u00e9tente comme destinataire de ces rapports. Les \u00e9tablissements de cr\u00e9dit class\u00e9s comme importants conform\u00e9ment \u00e0 l'article 6, paragraphe 4, du r\u00e8glement (UE) n\u00b0 1024\/2013 du Conseil (19) devraient soumettre ce rapport aux autorit\u00e9s nationales comp\u00e9tentes, qui devraient ensuite le transmettre \u00e0 la Banque centrale europ\u00e9enne (BCE).<\/p>\n\n\n\n

(52) La notification directe devrait permettre aux autorit\u00e9s de surveillance financi\u00e8re d'avoir un acc\u00e8s imm\u00e9diat aux informations relatives aux incidents majeurs li\u00e9s aux TIC. Les autorit\u00e9s de surveillance financi\u00e8re devraient \u00e0 leur tour transmettre les d\u00e9tails des incidents majeurs li\u00e9s aux TIC aux autorit\u00e9s publiques non financi\u00e8res (telles que les autorit\u00e9s comp\u00e9tentes et les points de contact uniques au titre de la directive (UE) 2022\/2555, les autorit\u00e9s nationales charg\u00e9es de la protection des donn\u00e9es, et les autorit\u00e9s charg\u00e9es de l'application de la loi pour les incidents majeurs li\u00e9s aux TIC de nature criminelle) afin de sensibiliser davantage ces autorit\u00e9s \u00e0 ces incidents et, dans le cas des CSIRT, de faciliter l'assistance rapide qui peut \u00eatre apport\u00e9e aux entit\u00e9s financi\u00e8res, le cas \u00e9ch\u00e9ant. Les \u00c9tats membres devraient, en outre, pouvoir d\u00e9terminer que les entit\u00e9s financi\u00e8res elles-m\u00eames doivent fournir ces informations aux autorit\u00e9s publiques en dehors de l'espace des services financiers. Ces flux d'informations devraient permettre aux entit\u00e9s financi\u00e8res de b\u00e9n\u00e9ficier rapidement de tout apport technique pertinent, de conseils sur les mesures correctives et d'un suivi ult\u00e9rieur de la part de ces autorit\u00e9s. Les informations sur les incidents majeurs li\u00e9s aux TIC devraient \u00eatre canalis\u00e9es mutuellement : les autorit\u00e9s de surveillance financi\u00e8re devraient fournir tous les commentaires ou conseils n\u00e9cessaires \u00e0 l'entit\u00e9 financi\u00e8re, tandis que les AES devraient partager des donn\u00e9es anonymes sur les cybermenaces et les vuln\u00e9rabilit\u00e9s li\u00e9es \u00e0 un incident, afin de contribuer \u00e0 une d\u00e9fense collective plus large.<\/p>\n\n\n\n

(53) Si toutes les entit\u00e9s financi\u00e8res devraient \u00eatre tenues de notifier les incidents, cette obligation ne devrait pas les concerner toutes de la m\u00eame mani\u00e8re. En effet, les seuils de mat\u00e9rialit\u00e9 pertinents, ainsi que les d\u00e9lais de notification, devraient \u00eatre d\u00fbment ajust\u00e9s, dans le contexte des actes d\u00e9l\u00e9gu\u00e9s fond\u00e9s sur les normes techniques r\u00e9glementaires \u00e0 \u00e9laborer par les AES, en vue de ne couvrir que les incidents majeurs li\u00e9s aux TIC. En outre, les sp\u00e9cificit\u00e9s des entit\u00e9s financi\u00e8res devraient \u00eatre prises en compte lors de la fixation des d\u00e9lais pour les obligations de d\u00e9claration.<\/p>\n\n\n\n

(54) Le pr\u00e9sent r\u00e8glement devrait exiger des \u00e9tablissements de cr\u00e9dit, des \u00e9tablissements de paiement, des prestataires de services d'information sur les comptes et des \u00e9tablissements de monnaie \u00e9lectronique qu'ils signalent tous les incidents op\u00e9rationnels ou li\u00e9s \u00e0 la s\u00e9curit\u00e9 des paiements - pr\u00e9c\u00e9demment signal\u00e9s au titre de la directive (UE) 2015\/2366 -, quelle que soit la nature TIC de l'incident.<\/p>\n\n\n\n

(55) Les AES devraient \u00eatre charg\u00e9es d'\u00e9valuer la faisabilit\u00e9 et les conditions d'une \u00e9ventuelle centralisation des rapports d'incidents li\u00e9s aux TIC au niveau de l'Union. Cette centralisation pourrait consister en un centre europ\u00e9en unique de notification des incidents majeurs li\u00e9s aux TIC, soit qui recevrait directement les rapports pertinents et les notifierait automatiquement aux autorit\u00e9s nationales comp\u00e9tentes, soit qui se contenterait de centraliser les rapports pertinents transmis par les autorit\u00e9s nationales comp\u00e9tentes, remplissant ainsi un r\u00f4le de coordination. Les AES devraient \u00eatre charg\u00e9es de pr\u00e9parer, en consultation avec la BCE et l'ENISA, un rapport conjoint explorant la faisabilit\u00e9 de la mise en place d'un centre europ\u00e9en unique.<\/p>\n\n\n\n

(56) Afin d'atteindre un niveau \u00e9lev\u00e9 de r\u00e9silience op\u00e9rationnelle num\u00e9rique, et conform\u00e9ment aux normes internationales pertinentes (par exemple, les \u00e9l\u00e9ments fondamentaux du G7 pour les tests de p\u00e9n\u00e9tration bas\u00e9s sur la menace) et aux cadres appliqu\u00e9s dans l'Union, tels que le TIBER-UE, les entit\u00e9s financi\u00e8res devraient r\u00e9guli\u00e8rement tester leurs syst\u00e8mes TIC et le personnel ayant des responsabilit\u00e9s li\u00e9es aux TIC en ce qui concerne l'efficacit\u00e9 de leurs capacit\u00e9s de pr\u00e9vention, de d\u00e9tection, de r\u00e9action et de r\u00e9cup\u00e9ration, afin de d\u00e9couvrir les vuln\u00e9rabilit\u00e9s potentielles des TIC et d'y rem\u00e9dier. Pour tenir compte des diff\u00e9rences qui existent entre les divers sous-secteurs financiers et au sein de ceux-ci en ce qui concerne le niveau de pr\u00e9paration des entit\u00e9s financi\u00e8res en mati\u00e8re de cybers\u00e9curit\u00e9, les tests devraient comprendre une grande vari\u00e9t\u00e9 d'outils et d'actions, allant de l'\u00e9valuation des exigences de base (par exemple, \u00e9valuations et analyses des vuln\u00e9rabilit\u00e9s, analyses des sources ouvertes, \u00e9valuations de la s\u00e9curit\u00e9 des r\u00e9seaux, analyses des lacunes, examens de la s\u00e9curit\u00e9 physique, questionnaires et analyses des solutions logicielles, examens du code source lorsque cela est possible, tests bas\u00e9s sur des sc\u00e9narios, tests de compatibilit\u00e9, tests de performance ou tests de bout en bout) \u00e0 des tests plus avanc\u00e9s au moyen de TLPT. Ces tests avanc\u00e9s ne devraient \u00eatre exig\u00e9s que des entit\u00e9s financi\u00e8res qui sont suffisamment matures du point de vue des TIC pour pouvoir raisonnablement les r\u00e9aliser. Les tests de r\u00e9silience op\u00e9rationnelle num\u00e9rique requis par le pr\u00e9sent r\u00e8glement devraient donc \u00eatre plus exigeants pour les entit\u00e9s financi\u00e8res r\u00e9pondant aux crit\u00e8res \u00e9nonc\u00e9s dans le pr\u00e9sent r\u00e8glement (par exemple, les \u00e9tablissements de cr\u00e9dit, les bourses, les d\u00e9positaires centraux de titres et les contreparties centrales de grande taille, syst\u00e9miques et matures sur le plan des TIC) que pour les autres entit\u00e9s financi\u00e8res. Dans le m\u00eame temps, le test de r\u00e9silience op\u00e9rationnelle num\u00e9rique au moyen du TLPT devrait \u00eatre plus pertinent pour les entit\u00e9s financi\u00e8res op\u00e9rant dans les sous-secteurs essentiels des services financiers et jouant un r\u00f4le syst\u00e9mique (par exemple, les paiements, la banque, la compensation et le r\u00e8glement), et moins pertinent pour d'autres sous-secteurs (par exemple, les gestionnaires d'actifs et les agences de notation de cr\u00e9dit).<\/p>\n\n\n\n

(57) Les entit\u00e9s financi\u00e8res participant \u00e0 des activit\u00e9s transfrontali\u00e8res et exer\u00e7ant les libert\u00e9s d'\u00e9tablissement ou de prestation de services dans l'Union devraient se conformer \u00e0 un ensemble unique d'exigences en mati\u00e8re de tests avanc\u00e9s (c'est-\u00e0-dire le TLPT) dans leur \u00c9tat membre d'origine, qui devrait inclure les infrastructures TIC dans toutes les juridictions o\u00f9 le groupe financier transfrontalier op\u00e8re dans l'Union, ce qui permettrait \u00e0 ces groupes financiers transfrontaliers d'engager les co\u00fbts des tests TIC dans une seule juridiction.<\/p>\n\n\n\n

(58) Pour tirer parti de l'expertise d\u00e9j\u00e0 acquise par certaines autorit\u00e9s comp\u00e9tentes, notamment en ce qui concerne la mise en \u0153uvre du cadre TIBER-UE, le pr\u00e9sent r\u00e8glement devrait permettre aux \u00c9tats membres de d\u00e9signer une seule autorit\u00e9 publique responsable dans le secteur financier, au niveau national, pour toutes les questions li\u00e9es au TLPT, ou des autorit\u00e9s comp\u00e9tentes, de d\u00e9l\u00e9guer, en l'absence d'une telle d\u00e9signation, l'exercice des t\u00e2ches li\u00e9es au TLPT \u00e0 une autre autorit\u00e9 financi\u00e8re nationale comp\u00e9tente.<\/p>\n\n\n\n

(59) \u00c9tant donn\u00e9 que le pr\u00e9sent r\u00e8glement n'exige pas des entit\u00e9s financi\u00e8res qu'elles couvrent toutes les fonctions critiques ou importantes dans le cadre d'un seul test de p\u00e9n\u00e9tration fond\u00e9 sur la menace, les entit\u00e9s financi\u00e8res devraient \u00eatre libres de d\u00e9terminer quelles fonctions critiques ou importantes devraient \u00eatre incluses dans le champ d'application d'un tel test, et combien d'entre elles.<\/p>\n\n\n\n

(60) Les tests group\u00e9s au sens du pr\u00e9sent r\u00e8glement - impliquant la participation de plusieurs entit\u00e9s financi\u00e8res \u00e0 un TLPT et pour lesquels un fournisseur de services TIC tiers peut directement conclure des accords contractuels avec un testeur externe - ne devraient \u00eatre autoris\u00e9s que lorsque l'on peut raisonnablement s'attendre \u00e0 ce que la qualit\u00e9 ou la s\u00e9curit\u00e9 des services fournis par le fournisseur de services TIC tiers \u00e0 des clients qui sont des entit\u00e9s ne relevant pas du champ d'application du pr\u00e9sent r\u00e8glement, ou la confidentialit\u00e9 des donn\u00e9es li\u00e9es \u00e0 ces services, soient affect\u00e9es de mani\u00e8re n\u00e9gative. Les tests group\u00e9s devraient \u00e9galement \u00eatre soumis \u00e0 des garanties (direction par une entit\u00e9 financi\u00e8re d\u00e9sign\u00e9e, calibrage du nombre d'entit\u00e9s financi\u00e8res participantes) afin d'assurer un exercice de test rigoureux pour les entit\u00e9s financi\u00e8res impliqu\u00e9es qui r\u00e9pondent aux objectifs du TLPT conform\u00e9ment au pr\u00e9sent r\u00e8glement.<\/p>\n\n\n\n

(61) Afin de tirer parti des ressources internes disponibles au niveau de l'entreprise, le pr\u00e9sent r\u00e8glement devrait autoriser le recours \u00e0 des testeurs internes pour l'ex\u00e9cution du TLPT, \u00e0 condition qu'il y ait approbation de l'autorit\u00e9 de surveillance, qu'il n'y ait pas de conflit d'int\u00e9r\u00eats et qu'il y ait une alternance p\u00e9riodique entre testeurs internes et externes (tous les trois tests), tout en exigeant \u00e9galement que le fournisseur de renseignements sur les menaces dans le TLPT soit toujours externe \u00e0 l'entit\u00e9 financi\u00e8re. L'entit\u00e9 financi\u00e8re doit conserver l'enti\u00e8re responsabilit\u00e9 de la conduite du TLPT. Les attestations fournies par les autorit\u00e9s ne devraient servir qu'\u00e0 des fins de reconnaissance mutuelle et ne devraient pas exclure toute action de suivi n\u00e9cessaire pour traiter le risque li\u00e9 aux TIC auquel l'entit\u00e9 financi\u00e8re est expos\u00e9e, ni \u00eatre consid\u00e9r\u00e9es comme une approbation par les autorit\u00e9s de surveillance des capacit\u00e9s de gestion et d'att\u00e9nuation du risque li\u00e9 aux TIC d'une entit\u00e9 financi\u00e8re.<\/p>\n\n\n\n

(62) Pour assurer une surveillance efficace du risque li\u00e9 aux TIC pour des tiers dans le secteur financier, il est n\u00e9cessaire d'\u00e9tablir un ensemble de r\u00e8gles fond\u00e9es sur des principes pour guider les entit\u00e9s financi\u00e8res dans la surveillance du risque li\u00e9 aux fonctions externalis\u00e9es aupr\u00e8s de fournisseurs de services TIC pour des tiers, en particulier pour les services TIC soutenant des fonctions critiques ou importantes, et plus g\u00e9n\u00e9ralement dans le contexte de toutes les d\u00e9pendances \u00e0 l'\u00e9gard de TIC pour des tiers.<\/p>\n\n\n\n

(63) Pour faire face \u00e0 la complexit\u00e9 des diff\u00e9rentes sources de risques li\u00e9s aux TIC, tout en tenant compte de la multitude et de la diversit\u00e9 des fournisseurs de solutions technologiques qui permettent une fourniture harmonieuse des services financiers, le pr\u00e9sent r\u00e8glement devrait couvrir un large \u00e9ventail de fournisseurs de services TIC tiers, y compris les fournisseurs de services d'informatique en nuage, de logiciels, de services d'analyse de donn\u00e9es et les fournisseurs de services de centres de donn\u00e9es. De m\u00eame, \u00e9tant donn\u00e9 que les entit\u00e9s financi\u00e8res devraient identifier et g\u00e9rer de mani\u00e8re efficace et coh\u00e9rente tous les types de risques, y compris dans le contexte des services TIC fournis au sein d'un groupe financier, il convient de pr\u00e9ciser que les entreprises qui font partie d'un groupe financier et qui fournissent des services TIC principalement \u00e0 leur entreprise m\u00e8re, ou aux filiales ou succursales de leur entreprise m\u00e8re, ainsi que les entit\u00e9s financi\u00e8res qui fournissent des services TIC \u00e0 d'autres entit\u00e9s financi\u00e8res, devraient \u00e9galement \u00eatre consid\u00e9r\u00e9es comme des prestataires de services TIC tiers au sens du pr\u00e9sent r\u00e8glement. Enfin, compte tenu de l'\u00e9volution du march\u00e9 des services de paiement, qui d\u00e9pend de plus en plus de solutions techniques complexes, et compte tenu des nouveaux types de services de paiement et de solutions li\u00e9es aux paiements, les participants \u00e0 l'\u00e9cosyst\u00e8me des services de paiement qui fournissent des activit\u00e9s de traitement des paiements ou qui exploitent des infrastructures de paiement devraient \u00e9galement \u00eatre consid\u00e9r\u00e9s comme des prestataires de services TIC tiers au sens du pr\u00e9sent r\u00e8glement, \u00e0 l'exception des banques centrales lorsqu'elles exploitent des syst\u00e8mes de paiement ou de r\u00e8glement des op\u00e9rations sur titres, et des autorit\u00e9s publiques lorsqu'elles fournissent des services li\u00e9s aux TIC dans le cadre de l'exercice des fonctions de l'\u00c9tat.<\/p>\n\n\n\n

(64) Une entit\u00e9 financi\u00e8re doit \u00e0 tout moment rester pleinement responsable du respect des obligations qui lui incombent en vertu du pr\u00e9sent r\u00e8glement. Les entit\u00e9s financi\u00e8res devraient appliquer une approche proportionn\u00e9e au suivi des risques \u00e9mergeant au niveau des prestataires de services TIC tiers, en tenant d\u00fbment compte de la nature, de l'\u00e9chelle, de la complexit\u00e9 et de l'importance de leurs d\u00e9pendances li\u00e9es aux TIC, de la criticit\u00e9 ou de l'importance des services, processus ou fonctions faisant l'objet des dispositions contractuelles et, en d\u00e9finitive, sur la base d'une \u00e9valuation minutieuse de toute incidence potentielle sur la continuit\u00e9 et la qualit\u00e9 des services financiers au niveau individuel et au niveau du groupe, selon le cas.<\/p>\n\n\n\n

(65) Ce suivi doit s'inscrire dans une approche strat\u00e9gique du risque TIC pour les tiers, formalis\u00e9e par l'adoption, par l'organe de direction de l'entit\u00e9 financi\u00e8re, d'une strat\u00e9gie d\u00e9di\u00e9e au risque TIC pour les tiers, fond\u00e9e sur un examen continu de toutes les d\u00e9pendances TIC pour les tiers. Afin de sensibiliser davantage les autorit\u00e9s de surveillance aux d\u00e9pendances \u00e0 l'\u00e9gard de tiers en mati\u00e8re de TIC, et en vue de soutenir davantage les travaux men\u00e9s dans le contexte du cadre de surveillance \u00e9tabli par le pr\u00e9sent r\u00e8glement, toutes les entit\u00e9s financi\u00e8res devraient \u00eatre tenues de conserver un registre d'informations contenant tous les accords contractuels relatifs \u00e0 l'utilisation de services de TIC fournis par des prestataires de services tiers en mati\u00e8re de TIC. Les autorit\u00e9s de surveillance financi\u00e8re devraient pouvoir demander le registre complet ou des sections sp\u00e9cifiques de celui-ci, et obtenir ainsi des informations essentielles pour mieux comprendre les d\u00e9pendances des entit\u00e9s financi\u00e8res \u00e0 l'\u00e9gard des TIC.<\/p>\n\n\n\n

(66) Une analyse pr\u00e9contractuelle approfondie devrait \u00e9tayer et pr\u00e9c\u00e9der la conclusion formelle des accords contractuels, notamment en se concentrant sur des \u00e9l\u00e9ments tels que la criticit\u00e9 ou l'importance des services couverts par le contrat TIC envisag\u00e9, les approbations prudentielles n\u00e9cessaires ou d'autres conditions, le risque de concentration \u00e9ventuel, ainsi que l'application d'une diligence raisonnable dans le processus de s\u00e9lection et d'\u00e9valuation des prestataires de services TIC tiers et l'\u00e9valuation des conflits d'int\u00e9r\u00eats potentiels. Pour les accords contractuels concernant des fonctions critiques ou importantes, les entit\u00e9s financi\u00e8res devraient prendre en consid\u00e9ration l'utilisation par les prestataires de services TIC tiers des normes les plus r\u00e9centes et les plus \u00e9lev\u00e9es en mati\u00e8re de s\u00e9curit\u00e9 de l'information. La r\u00e9siliation des accords contractuels pourrait \u00eatre motiv\u00e9e au moins par une s\u00e9rie de circonstances montrant des insuffisances au niveau du fournisseur de services TIC tiers, en particulier des violations importantes des lois ou des clauses contractuelles, des circonstances r\u00e9v\u00e9lant une alt\u00e9ration potentielle de l'ex\u00e9cution des fonctions pr\u00e9vues dans les accords contractuels, des preuves de faiblesses du fournisseur de services TIC tiers dans sa gestion globale des risques li\u00e9s aux TIC, ou des circonstances indiquant l'incapacit\u00e9 de l'autorit\u00e9 comp\u00e9tente concern\u00e9e \u00e0 superviser efficacement l'entit\u00e9 financi\u00e8re.<\/p>\n\n\n\n

(67) Pour faire face \u00e0 l'impact syst\u00e9mique du risque de concentration des TIC avec des tiers, le pr\u00e9sent r\u00e8glement pr\u00e9conise une solution \u00e9quilibr\u00e9e en adoptant une approche souple et progressive de ce risque de concentration, \u00e9tant donn\u00e9 que l'imposition de plafonds rigides ou de limitations strictes pourrait entraver la conduite des affaires et restreindre la libert\u00e9 contractuelle. Les entit\u00e9s financi\u00e8res devraient proc\u00e9der \u00e0 une \u00e9valuation approfondie des accords contractuels qu'elles envisagent de conclure afin d'identifier la probabilit\u00e9 d'\u00e9mergence d'un tel risque, y compris au moyen d'analyses approfondies des accords de sous-traitance, en particulier lorsqu'ils sont conclus avec des prestataires de services TIC tiers \u00e9tablis dans un pays tiers. \u00c0 ce stade, et en vue de trouver un juste \u00e9quilibre entre l'imp\u00e9ratif de pr\u00e9server la libert\u00e9 contractuelle et celui de garantir la stabilit\u00e9 financi\u00e8re, il n'est pas jug\u00e9 appropri\u00e9 d'\u00e9tablir des r\u00e8gles sur des plafonds et des limites stricts aux expositions des tiers TIC. Dans le contexte du cadre de surveillance, un superviseur principal, nomm\u00e9 en vertu du pr\u00e9sent r\u00e8glement, devrait, en ce qui concerne les prestataires de services TIC tiers critiques, accorder une attention particuli\u00e8re \u00e0 la pleine compr\u00e9hension de l'ampleur des interd\u00e9pendances, d\u00e9couvrir des cas sp\u00e9cifiques o\u00f9 un degr\u00e9 \u00e9lev\u00e9 de concentration de prestataires de services TIC tiers critiques dans l'Union est susceptible de mettre \u00e0 mal la stabilit\u00e9 et l'int\u00e9grit\u00e9 du syst\u00e8me financier de l'Union et maintenir un dialogue avec les prestataires de services TIC tiers critiques lorsqu'un tel risque sp\u00e9cifique est mis en \u00e9vidence.<\/p>\n\n\n\n

(68) Afin d'\u00e9valuer et de contr\u00f4ler r\u00e9guli\u00e8rement la capacit\u00e9 d'un prestataire de services TIC tiers \u00e0 fournir des services en toute s\u00e9curit\u00e9 \u00e0 une entit\u00e9 financi\u00e8re sans effets n\u00e9gatifs sur la r\u00e9silience op\u00e9rationnelle num\u00e9rique de cette derni\u00e8re, il convient d'harmoniser plusieurs \u00e9l\u00e9ments contractuels cl\u00e9s avec les prestataires de services TIC tiers. Cette harmonisation devrait couvrir un minimum de domaines cruciaux pour permettre \u00e0 l'entit\u00e9 financi\u00e8re de surveiller pleinement les risques qui pourraient \u00e9merger du fournisseur de services TIC tiers, du point de vue de la n\u00e9cessit\u00e9 pour une entit\u00e9 financi\u00e8re de garantir sa r\u00e9silience num\u00e9rique parce qu'elle d\u00e9pend fortement de la stabilit\u00e9, de la fonctionnalit\u00e9, de la disponibilit\u00e9 et de la s\u00e9curit\u00e9 des services TIC qu'elle re\u00e7oit.<\/p>\n\n\n\n

(69) Lorsqu'elles ren\u00e9gocient des accords contractuels pour s'aligner sur les exigences du pr\u00e9sent r\u00e8glement, les entit\u00e9s financi\u00e8res et les prestataires de services TIC tiers doivent s'assurer que les principales dispositions contractuelles pr\u00e9vues par le pr\u00e9sent r\u00e8glement sont couvertes.<\/p>\n\n\n\n

(70) La d\u00e9finition de \"fonction critique ou importante\" pr\u00e9vue par le pr\u00e9sent r\u00e8glement englobe les \"fonctions critiques\" telles que d\u00e9finies \u00e0 l'article 2, paragraphe 1, point (35), de la directive 2014\/59\/UE du Parlement europ\u00e9en et du Conseil (20). En cons\u00e9quence, les fonctions consid\u00e9r\u00e9es comme critiques en vertu de la directive 2014\/59\/UE sont incluses dans la d\u00e9finition des fonctions critiques au sens du pr\u00e9sent r\u00e8glement.<\/p>\n\n\n\n

(71) Ind\u00e9pendamment de la criticit\u00e9 ou de l'importance de la fonction prise en charge par les services TIC, les dispositions contractuelles devraient notamment pr\u00e9voir une sp\u00e9cification des descriptions compl\u00e8tes des fonctions et des services, des lieux o\u00f9 ces fonctions sont fournies et o\u00f9 les donn\u00e9es doivent \u00eatre trait\u00e9es, ainsi qu'une indication des descriptions des niveaux de service. D'autres \u00e9l\u00e9ments essentiels pour permettre \u00e0 une entit\u00e9 financi\u00e8re de surveiller le risque li\u00e9 aux TIC pour les tiers sont les suivants des dispositions contractuelles pr\u00e9cisant comment l'accessibilit\u00e9, la disponibilit\u00e9, l'int\u00e9grit\u00e9, la s\u00e9curit\u00e9 et la protection des donn\u00e9es \u00e0 caract\u00e8re personnel sont assur\u00e9es par le fournisseur de services TIC tiers, des dispositions \u00e9tablissant les garanties pertinentes pour permettre l'acc\u00e8s, la r\u00e9cup\u00e9ration et la restitution des donn\u00e9es en cas d'insolvabilit\u00e9, de r\u00e9solution ou de cessation des activit\u00e9s commerciales du fournisseur de services TIC tiers, ainsi que des dispositions exigeant du fournisseur de services TIC tiers qu'il fournisse une assistance en cas d'incidents li\u00e9s aux TIC en rapport avec les services fournis, sans co\u00fbt suppl\u00e9mentaire ou \u00e0 un co\u00fbt d\u00e9termin\u00e9 ex ante ; des dispositions relatives \u00e0 l'obligation pour le prestataire de services TIC tiers de coop\u00e9rer pleinement avec les autorit\u00e9s comp\u00e9tentes et les autorit\u00e9s de r\u00e9solution de l'entit\u00e9 financi\u00e8re ; et des dispositions relatives aux droits de r\u00e9siliation et aux d\u00e9lais de pr\u00e9avis minimums pour la r\u00e9siliation des accords contractuels, conform\u00e9ment aux attentes des autorit\u00e9s comp\u00e9tentes et des autorit\u00e9s de r\u00e9solution.<\/p>\n\n\n\n

(72) Outre ces dispositions contractuelles, et afin de garantir que les entit\u00e9s financi\u00e8res conservent un contr\u00f4le total sur tous les d\u00e9veloppements survenant au niveau des tiers et susceptibles de porter atteinte \u00e0 la s\u00e9curit\u00e9 de leurs TIC, les contrats de fourniture de services TIC \u00e0 l'appui de fonctions critiques ou importantes devraient \u00e9galement pr\u00e9voir ce qui suit : la sp\u00e9cification des descriptions compl\u00e8tes des niveaux de service, avec des objectifs de performance quantitatifs et qualitatifs pr\u00e9cis, afin de permettre sans d\u00e9lai des actions correctives appropri\u00e9es lorsque les niveaux de service convenus ne sont pas atteints ; les d\u00e9lais de pr\u00e9avis et les obligations de rapport du prestataire de services TIC tiers en cas de d\u00e9veloppements ayant un impact mat\u00e9riel potentiel sur la capacit\u00e9 du prestataire de services TIC tiers \u00e0 fournir efficacement leurs services TIC respectifs ; l'obligation pour le prestataire de services TIC tiers de mettre en \u0153uvre et de tester des plans d'urgence commerciaux et de disposer de mesures, d'outils et de politiques de s\u00e9curit\u00e9 des TIC permettant la fourniture s\u00e9curis\u00e9e de services, et de participer et de coop\u00e9rer pleinement au TLPT effectu\u00e9 par l'entit\u00e9 financi\u00e8re.<\/p>\n\n\n\n

(73) Les contrats de fourniture de services TIC \u00e0 l'appui de fonctions critiques ou importantes doivent \u00e9galement contenir des dispositions pr\u00e9voyant des droits d'acc\u00e8s, d'inspection et d'audit par l'entit\u00e9 financi\u00e8re ou un tiers d\u00e9sign\u00e9, ainsi que le droit de prendre des copies, en tant qu'instruments essentiels du contr\u00f4le permanent, par l'entit\u00e9 financi\u00e8re, des performances du prestataire de services TIC tiers, ainsi que la pleine coop\u00e9ration du prestataire de services lors des inspections. De m\u00eame, l'autorit\u00e9 comp\u00e9tente de l'entit\u00e9 financi\u00e8re devrait avoir le droit, sur la base d'avis, d'inspecter et d'auditer le prestataire de services TIC tiers, sous r\u00e9serve de la protection des informations confidentielles.<\/p>\n\n\n\n

(74) Ces dispositions contractuelles devraient \u00e9galement pr\u00e9voir des strat\u00e9gies de sortie sp\u00e9cifiques pour permettre, en particulier, des p\u00e9riodes de transition obligatoires pendant lesquelles les prestataires de services TIC tiers devraient continuer \u00e0 fournir les services concern\u00e9s en vue de r\u00e9duire le risque de perturbations au niveau de l'entit\u00e9 financi\u00e8re, ou pour permettre \u00e0 cette derni\u00e8re de passer effectivement \u00e0 l'utilisation d'autres prestataires de services TIC tiers ou, alternativement, de passer \u00e0 des solutions internes, en fonction de la complexit\u00e9 des services fournis. Service TICService TIC<\/span> Un service consistant enti\u00e8rement ou principalement en la transmission, le stockage, l'extraction ou le traitement d'informations au moyen de r\u00e9seaux et de syst\u00e8mes d'information - D\u00e9finition selon l'article 2, point (13), du r\u00e8glement (UE) 2019\/881.<\/span><\/span><\/span>. En outre, les entit\u00e9s financi\u00e8res relevant du champ d'application de la directive 2014\/59\/UE devraient veiller \u00e0 ce que les contrats de services TIC concern\u00e9s soient solides et pleinement ex\u00e9cutoires en cas de r\u00e9solution de ces entit\u00e9s financi\u00e8res. Par cons\u00e9quent, conform\u00e9ment aux attentes des autorit\u00e9s de r\u00e9solution, ces entit\u00e9s financi\u00e8res devraient veiller \u00e0 ce que les contrats de services TIC concern\u00e9s soient r\u00e9silients. Tant qu'elles continuent \u00e0 respecter leurs obligations de paiement, ces entit\u00e9s financi\u00e8res doivent veiller, entre autres, \u00e0 ce que les contrats de services TIC concern\u00e9s contiennent des clauses de non-r\u00e9siliation, de non-suspension et de non-modification pour des raisons de restructuration ou de r\u00e9solution.<\/p>\n\n\n\n

(75) En outre, l'utilisation volontaire de clauses contractuelles types \u00e9labor\u00e9es par les autorit\u00e9s publiques ou les institutions de l'Union, en particulier l'utilisation de clauses contractuelles \u00e9labor\u00e9es par la Commission pour les services d'informatique en nuage, pourrait rassurer davantage les entit\u00e9s financi\u00e8res et les prestataires de services TIC tiers, en renfor\u00e7ant leur niveau de s\u00e9curit\u00e9 juridique concernant l'utilisation de services d'informatique en nuage dans le secteur financier, en parfaite ad\u00e9quation avec les exigences et les attentes d\u00e9finies par la l\u00e9gislation de l'Union sur les services financiers. L'\u00e9laboration de clauses contractuelles types s'appuie sur les mesures d\u00e9j\u00e0 envisag\u00e9es dans le plan d'action Fintech de 2018, qui annon\u00e7ait l'intention de la Commission d'encourager et de faciliter l'\u00e9laboration de clauses contractuelles types pour l'utilisation de services d'informatique en nuage externalis\u00e9s par les entit\u00e9s financi\u00e8res, en s'appuyant sur les efforts intersectoriels des parties prenantes des services d'informatique en nuage, que la Commission a facilit\u00e9s avec l'aide de la participation du secteur financier.<\/p>\n\n\n\n

(76) Afin de promouvoir la convergence et l'efficacit\u00e9 des approches prudentielles dans la gestion du risque li\u00e9 aux TIC pour les tiers dans le secteur financier, ainsi que de renforcer la r\u00e9silience op\u00e9rationnelle num\u00e9rique des entit\u00e9s financi\u00e8res qui d\u00e9pendent de prestataires de services TIC critiques pour la fourniture de services TIC \u00e0 l'appui de la prestation de services financiers, et de contribuer ainsi \u00e0 pr\u00e9server la stabilit\u00e9 du syst\u00e8me financier de l'Union et l'int\u00e9grit\u00e9 du march\u00e9 int\u00e9rieur des services financiers, les prestataires de services TIC critiques pour les tiers devraient \u00eatre soumis \u00e0 un cadre de surveillance de l'Union. Si la mise en place du cadre de surveillance se justifie par la valeur ajout\u00e9e d'une action au niveau de l'Union et par le r\u00f4le inh\u00e9rent et les sp\u00e9cificit\u00e9s de l'utilisation des services TIC dans la fourniture de services financiers, il convient de rappeler, dans le m\u00eame temps, que cette solution ne semble convenir que dans le contexte du pr\u00e9sent r\u00e8glement, qui traite sp\u00e9cifiquement de la r\u00e9silience op\u00e9rationnelle num\u00e9rique dans le secteur financier. Toutefois, ce cadre de surveillance ne devrait pas \u00eatre consid\u00e9r\u00e9 comme un nouveau mod\u00e8le pour la surveillance de l'Union dans d'autres domaines de services et d'activit\u00e9s financiers.<\/p>\n\n\n\n

(77) Le cadre de surveillance ne doit s'appliquer qu'aux prestataires de services TIC tiers critiques. Il devrait donc y avoir un m\u00e9canisme de d\u00e9signation qui tienne compte de la dimension et de la nature de la d\u00e9pendance du secteur financier \u00e0 l'\u00e9gard de ces prestataires de services TIC tiers. Ce m\u00e9canisme devrait comporter un ensemble de crit\u00e8res quantitatifs et qualitatifs permettant de fixer les param\u00e8tres de criticit\u00e9 qui serviront de base \u00e0 l'inclusion dans le cadre de surveillance. Afin de garantir l'exactitude de cette \u00e9valuation, et quelle que soit la structure de l'entreprise du prestataire de services TIC tiers, ces crit\u00e8res devraient, dans le cas d'un prestataire de services TIC tiers faisant partie d'un groupe plus large, prendre en consid\u00e9ration l'ensemble de la structure du groupe du prestataire de services TIC tiers. D'une part, les prestataires de services TIC tiers critiques, qui ne sont pas automatiquement d\u00e9sign\u00e9s en vertu de l'application de ces crit\u00e8res, devraient avoir la possibilit\u00e9 d'adh\u00e9rer au cadre de surveillance sur une base volontaire ; d'autre part, les prestataires de services TIC tiers qui sont d\u00e9j\u00e0 soumis \u00e0 des cadres de m\u00e9canismes de surveillance contribuant \u00e0 l'accomplissement des missions du Syst\u00e8me europ\u00e9en de banques centrales vis\u00e9es \u00e0 l'article 127, paragraphe 2, du TFUE, devraient \u00eatre exempt\u00e9s de cette obligation.<\/p>\n\n\n\n

(78) De m\u00eame, les entit\u00e9s financi\u00e8res qui fournissent des services TIC \u00e0 d'autres entit\u00e9s financi\u00e8res, tout en appartenant \u00e0 la cat\u00e9gorie des prestataires de services TIC tiers au sens du pr\u00e9sent r\u00e8glement, devraient \u00e9galement \u00eatre exempt\u00e9es du cadre de surveillance puisqu'elles sont d\u00e9j\u00e0 soumises aux m\u00e9canismes de surveillance \u00e9tablis par la l\u00e9gislation de l'Union applicable en mati\u00e8re de services financiers. Le cas \u00e9ch\u00e9ant, les autorit\u00e9s comp\u00e9tentes devraient tenir compte, dans le cadre de leurs activit\u00e9s de surveillance, du risque li\u00e9 aux TIC que repr\u00e9sentent pour les entit\u00e9s financi\u00e8res les entit\u00e9s financi\u00e8res fournissant des services TIC. De m\u00eame, en raison des m\u00e9canismes existants de surveillance des risques au niveau du groupe, la m\u00eame exemption devrait \u00eatre introduite pour les prestataires de services TIC tiers fournissant des services principalement aux entit\u00e9s de leur propre groupe. Les prestataires de services TIC tiers fournissant des services TIC uniquement dans un \u00c9tat membre \u00e0 des entit\u00e9s financi\u00e8res actives uniquement dans cet \u00c9tat membre devraient \u00e9galement \u00eatre exempt\u00e9s du m\u00e9canisme de d\u00e9signation en raison de leurs activit\u00e9s limit\u00e9es et de l'absence d'impact transfrontalier.<\/p>\n\n\n\n

(79) La transformation num\u00e9rique que connaissent les services financiers a entra\u00een\u00e9 un niveau sans pr\u00e9c\u00e9dent d'utilisation des services TIC et de d\u00e9pendance \u00e0 leur \u00e9gard. \u00c9tant donn\u00e9 qu'il est devenu inconcevable de fournir des services financiers sans recourir \u00e0 des services d'informatique en nuage, \u00e0 des solutions logicielles et \u00e0 des services li\u00e9s aux donn\u00e9es, l'\u00e9cosyst\u00e8me financier de l'Union est devenu intrins\u00e8quement cod\u00e9pendant de certains services TIC fournis par des prestataires de services TIC. Certains de ces fournisseurs, qui innovent dans le d\u00e9veloppement et l'application de technologies bas\u00e9es sur les TIC, jouent un r\u00f4le important dans la fourniture de services financiers ou sont int\u00e9gr\u00e9s dans la cha\u00eene de valeur des services financiers. Ils sont donc devenus essentiels \u00e0 la stabilit\u00e9 et \u00e0 l'int\u00e9grit\u00e9 du syst\u00e8me financier de l'Union. Cette large d\u00e9pendance \u00e0 l'\u00e9gard des services fournis par des prestataires de services TIC tiers essentiels, combin\u00e9e \u00e0 l'interd\u00e9pendance des syst\u00e8mes d'information des diff\u00e9rents op\u00e9rateurs de march\u00e9, cr\u00e9e un risque direct et potentiellement grave pour le syst\u00e8me de services financiers de l'Union et pour la continuit\u00e9 de la fourniture de services financiers si les prestataires de services TIC tiers essentiels devaient \u00eatre affect\u00e9s par des perturbations op\u00e9rationnelles ou des cyber-incidents majeurs. Les cyberincidents ont la particularit\u00e9 de se multiplier et de se propager dans le syst\u00e8me financier \u00e0 un rythme beaucoup plus rapide que d'autres types de risques surveill\u00e9s dans le secteur financier et peuvent s'\u00e9tendre \u00e0 d'autres secteurs et au-del\u00e0 des fronti\u00e8res g\u00e9ographiques. Ils peuvent \u00e9voluer vers une crise syst\u00e9mique, o\u00f9 la confiance dans le syst\u00e8me financier a \u00e9t\u00e9 \u00e9rod\u00e9e en raison de la perturbation des fonctions soutenant l'\u00e9conomie r\u00e9elle, ou vers des pertes financi\u00e8res substantielles, atteignant un niveau que le syst\u00e8me financier n'est pas en mesure de supporter, ou qui n\u00e9cessite le d\u00e9ploiement de lourdes mesures d'absorption des chocs. Pour \u00e9viter que ces sc\u00e9narios ne se produisent et ne mettent ainsi en p\u00e9ril la stabilit\u00e9 et l'int\u00e9grit\u00e9 financi\u00e8res de l'Union, il est essentiel d'assurer la convergence des pratiques de surveillance concernant le risque li\u00e9 aux TIC pour les tiers dans le secteur financier, en particulier gr\u00e2ce \u00e0 de nouvelles r\u00e8gles permettant la surveillance par l'Union des fournisseurs de services TIC critiques pour les tiers.<\/p>\n\n\n\n

(80) Le cadre de surveillance d\u00e9pend largement du degr\u00e9 de collaboration entre le superviseur principal et le prestataire de services TIC tiers essentiels qui fournit aux entit\u00e9s financi\u00e8res des services ayant une incidence sur la fourniture de services financiers. Le succ\u00e8s de la surveillance repose, entre autres, sur la capacit\u00e9 du superviseur principal \u00e0 mener efficacement des missions de surveillance et des inspections pour \u00e9valuer les r\u00e8gles, les contr\u00f4les et les processus utilis\u00e9s par les fournisseurs de services TIC critiques, ainsi que pour \u00e9valuer l'impact cumulatif potentiel de leurs activit\u00e9s sur la stabilit\u00e9 financi\u00e8re et l'int\u00e9grit\u00e9 du syst\u00e8me financier. Dans le m\u00eame temps, il est essentiel que les fournisseurs de services TIC critiques suivent les recommandations de la haute surveillance et r\u00e9pondent \u00e0 ses pr\u00e9occupations. \u00c9tant donn\u00e9 qu'un manque de coop\u00e9ration de la part d'un prestataire de services TIC tiers essentiel fournissant des services qui affectent la fourniture de services financiers, tel que le refus d'accorder l'acc\u00e8s \u00e0 ses locaux ou de soumettre des informations, priverait en fin de compte la supervision principale de ses outils essentiels pour \u00e9valuer le risque TIC tiers et pourrait avoir un impact n\u00e9gatif sur la stabilit\u00e9 financi\u00e8re et l'int\u00e9grit\u00e9 du syst\u00e8me financier, il est n\u00e9cessaire de pr\u00e9voir \u00e9galement un r\u00e9gime de sanctions proportionn\u00e9.<\/p>\n\n\n\n

(81) Dans ce contexte, la n\u00e9cessit\u00e9 pour le superviseur principal d'imposer des astreintes pour contraindre les fournisseurs de services TIC critiques tiers \u00e0 se conformer aux obligations en mati\u00e8re de transparence et d'acc\u00e8s \u00e9nonc\u00e9es dans le pr\u00e9sent r\u00e8glement ne doit pas \u00eatre compromise par les difficult\u00e9s que soul\u00e8ve l'ex\u00e9cution de ces astreintes en ce qui concerne les fournisseurs de services TIC critiques tiers \u00e9tablis dans des pays tiers. Afin de garantir le caract\u00e8re ex\u00e9cutoire de ces astreintes et de permettre un d\u00e9ploiement rapide des proc\u00e9dures faisant respecter les droits de la d\u00e9fense des fournisseurs de services TIC critiques tiers dans le cadre du m\u00e9canisme de d\u00e9signation et de l'\u00e9mission de recommandations, ces fournisseurs de services TIC critiques tiers, qui fournissent aux entit\u00e9s financi\u00e8res des services ayant une incidence sur la fourniture de services financiers, devraient \u00eatre tenus de maintenir une pr\u00e9sence commerciale ad\u00e9quate dans l'Union. En raison de la nature de la surveillance et de l'absence de dispositions comparables dans d'autres juridictions, il n'existe pas d'autres m\u00e9canismes appropri\u00e9s permettant d'atteindre cet objectif par une coop\u00e9ration efficace avec les autorit\u00e9s de surveillance financi\u00e8re de pays tiers en ce qui concerne la surveillance de l'impact des risques op\u00e9rationnels num\u00e9riques pos\u00e9s par les fournisseurs syst\u00e9miques de services TIC tiers, qualifi\u00e9s de fournisseurs critiques de services TIC tiers, \u00e9tablis dans des pays tiers. Par cons\u00e9quent, afin de poursuivre sa prestation de services TIC aux entit\u00e9s financi\u00e8res dans l'Union, un prestataire de services TIC tiers \u00e9tabli dans un pays tiers qui a \u00e9t\u00e9 d\u00e9sign\u00e9 comme critique conform\u00e9ment au pr\u00e9sent r\u00e8glement devrait prendre, dans les douze mois suivant cette d\u00e9signation, toutes les dispositions n\u00e9cessaires pour assurer son incorporation dans l'Union, au moyen de la cr\u00e9ation d'une filiale, au sens de l'ensemble de l'acquis de l'Union, \u00e0 savoir dans la directive 2013\/34\/UE du Parlement europ\u00e9en et du Conseil (21).<\/p>\n\n\n\n

(82) L'obligation de cr\u00e9er une filiale dans l'Union ne devrait pas emp\u00eacher le prestataire tiers de services TIC critiques de fournir des services TIC et l'assistance technique correspondante \u00e0 partir d'installations et d'infrastructures situ\u00e9es en dehors de l'Union. Le pr\u00e9sent r\u00e8glement n'impose pas d'obligation de localisation des donn\u00e9es puisqu'il n'exige pas que le stockage ou le traitement des donn\u00e9es soit effectu\u00e9 dans l'Union.<\/p>\n\n\n\n

(83) Les prestataires de services TIC critiques tiers devraient \u00eatre en mesure de fournir des services TIC \u00e0 partir de n'importe quel endroit du monde, et pas n\u00e9cessairement ou pas uniquement \u00e0 partir de locaux situ\u00e9s dans l'Union. Les activit\u00e9s de surveillance devraient d'abord \u00eatre men\u00e9es dans des locaux situ\u00e9s dans l'Union et en interagissant avec des entit\u00e9s situ\u00e9es dans l'Union, y compris les filiales \u00e9tablies par les prestataires de services TIC critiques tiers conform\u00e9ment au pr\u00e9sent r\u00e8glement. Toutefois, ces actions au sein de l'Union pourraient s'av\u00e9rer insuffisantes pour permettre au superviseur principal de s'acquitter pleinement et efficacement des t\u00e2ches qui lui incombent en vertu du pr\u00e9sent r\u00e8glement. Il convient donc que le superviseur principal puisse \u00e9galement exercer ses pouvoirs de supervision dans les pays tiers. L'exercice de ces pouvoirs dans les pays tiers devrait permettre au superviseur principal d'examiner les installations \u00e0 partir desquelles les services TIC ou les services d'assistance technique sont effectivement fournis ou g\u00e9r\u00e9s par le prestataire tiers de services TIC critiques, et devrait permettre au superviseur principal d'avoir une compr\u00e9hension globale et op\u00e9rationnelle de la gestion des risques li\u00e9s aux TIC par le prestataire tiers de services TIC critiques. La possibilit\u00e9 pour le superviseur principal, en tant qu'agence de l'Union, d'exercer des comp\u00e9tences en dehors du territoire de l'Union devrait \u00eatre d\u00fbment encadr\u00e9e par des conditions pertinentes, en particulier le consentement du fournisseur de services TIC critiques tiers concern\u00e9. De m\u00eame, les autorit\u00e9s comp\u00e9tentes du pays tiers devraient \u00eatre inform\u00e9es de l'exercice, sur leur propre territoire, des activit\u00e9s du superviseur principal et ne devraient pas s'y \u00eatre oppos\u00e9es. Toutefois, afin d'assurer une mise en \u0153uvre efficace, et sans pr\u00e9judice des comp\u00e9tences respectives des institutions de l'Union et des \u00c9tats membres, ces pouvoirs doivent \u00e9galement \u00eatre pleinement ancr\u00e9s dans la conclusion d'accords de coop\u00e9ration administrative avec les autorit\u00e9s comp\u00e9tentes du pays tiers concern\u00e9. Le pr\u00e9sent r\u00e8glement devrait donc permettre aux AES de conclure des accords de coop\u00e9ration administrative avec les autorit\u00e9s comp\u00e9tentes des pays tiers, qui ne devraient par ailleurs pas cr\u00e9er d'obligations juridiques \u00e0 l'\u00e9gard de l'Union et de ses \u00c9tats membres.<\/p>\n\n\n\n

(84) Afin de faciliter la communication avec le superviseur principal et d'assurer une repr\u00e9sentation ad\u00e9quate, les prestataires de services TIC critiques tiers qui font partie d'un groupe doivent d\u00e9signer une personne morale comme point de coordination.<\/p>\n\n\n\n

(85) Le cadre de supervision doit \u00eatre sans pr\u00e9judice de la comp\u00e9tence des \u00c9tats membres \u00e0 mener leurs propres missions de supervision ou de contr\u00f4le en ce qui concerne les fournisseurs de services TIC tiers qui ne sont pas d\u00e9sign\u00e9s comme critiques au titre du pr\u00e9sent r\u00e8glement, mais qui sont consid\u00e9r\u00e9s comme importants au niveau national.<\/p>\n\n\n\n

(86) Pour tirer parti de l'architecture institutionnelle \u00e0 plusieurs niveaux dans le domaine des services financiers, le comit\u00e9 mixte des AES devrait continuer \u00e0 assurer la coordination intersectorielle globale pour toutes les questions relatives aux risques li\u00e9s aux TIC, conform\u00e9ment \u00e0 ses t\u00e2ches en mati\u00e8re de cybers\u00e9curit\u00e9. Il devrait \u00eatre soutenu par un nouveau sous-comit\u00e9 (le \"forum de surveillance\") effectuant des travaux pr\u00e9paratoires \u00e0 la fois pour les d\u00e9cisions individuelles adress\u00e9es aux prestataires de services TIC tiers critiques et pour l'\u00e9mission de recommandations collectives, notamment en ce qui concerne l'\u00e9talonnage des programmes de surveillance des prestataires de services TIC tiers critiques et l'identification des meilleures pratiques pour traiter les questions de risques li\u00e9s \u00e0 la concentration des TIC.<\/p>\n\n\n\n

(87) Pour faire en sorte que les prestataires de services TIC tiers critiques fassent l'objet d'une surveillance appropri\u00e9e et efficace au niveau de l'Union, le pr\u00e9sent r\u00e8glement pr\u00e9voit que n'importe laquelle des trois AES peut \u00eatre d\u00e9sign\u00e9e comme superviseur principal. L'attribution individuelle d'un fournisseur de services TIC tiers critiques \u00e0 l'une des trois AES devrait r\u00e9sulter d'une \u00e9valuation de la pr\u00e9pond\u00e9rance des entit\u00e9s financi\u00e8res op\u00e9rant dans les secteurs financiers pour lesquels cette AES a des responsabilit\u00e9s. Cette approche devrait conduire \u00e0 une r\u00e9partition \u00e9quilibr\u00e9e des t\u00e2ches et des responsabilit\u00e9s entre les trois AES, dans le cadre de l'exercice des fonctions de surveillance, et devrait permettre d'utiliser au mieux les ressources humaines et l'expertise technique disponibles dans chacune des trois AES.<\/p>\n\n\n\n

(88) Il convient d'accorder aux contr\u00f4leurs principaux les pouvoirs n\u00e9cessaires pour mener des enqu\u00eates, effectuer des inspections sur place et hors site dans les locaux et sur les sites des prestataires de services TIC tiers essentiels et pour obtenir des informations compl\u00e8tes et actualis\u00e9es. Ces pouvoirs devraient permettre au superviseur principal de se faire une id\u00e9e pr\u00e9cise du type, de la dimension et de l'impact du risque que repr\u00e9sentent les TIC tierces pour les entit\u00e9s financi\u00e8res et, en fin de compte, pour le syst\u00e8me financier de l'Union. Confier aux AES le r\u00f4le de superviseur principal est une condition pr\u00e9alable pour comprendre et traiter la dimension syst\u00e9mique du risque li\u00e9 aux TIC dans le secteur financier. L'impact des fournisseurs de services TIC tiers critiques sur le secteur financier de l'Union et les probl\u00e8mes potentiels caus\u00e9s par le risque de concentration des TIC exigent une approche collective au niveau de l'Union. La r\u00e9alisation simultan\u00e9e de multiples audits et droits d'acc\u00e8s, effectu\u00e9s s\u00e9par\u00e9ment par de nombreuses autorit\u00e9s comp\u00e9tentes, avec peu ou pas de coordination entre elles, emp\u00eacherait les autorit\u00e9s de surveillance financi\u00e8re d'obtenir une vue d'ensemble compl\u00e8te et exhaustive du risque li\u00e9 aux TIC pour les tiers dans l'Union, tout en cr\u00e9ant une redondance, une charge et une complexit\u00e9 pour les prestataires de services TIC critiques tiers s'ils \u00e9taient soumis \u00e0 de nombreuses demandes de contr\u00f4le et d'inspection.<\/p>\n\n\n\n

(89) En raison de l'impact significatif de la d\u00e9signation comme critique, le pr\u00e9sent r\u00e8glement devrait garantir que les droits des prestataires de services TIC tiers critiques sont respect\u00e9s tout au long de la mise en \u0153uvre du cadre de supervision. Avant d'\u00eatre d\u00e9sign\u00e9s comme critiques, ces fournisseurs devraient, par exemple, avoir le droit de soumettre au superviseur principal une d\u00e9claration motiv\u00e9e contenant toute information pertinente aux fins de l'\u00e9valuation li\u00e9e \u00e0 leur d\u00e9signation. \u00c9tant donn\u00e9 que le superviseur principal devrait \u00eatre habilit\u00e9 \u00e0 soumettre des recommandations sur les questions relatives aux risques li\u00e9s aux TIC et sur les mesures correctives appropri\u00e9es, y compris le pouvoir de s'opposer \u00e0 certains accords contractuels affectant en fin de compte la stabilit\u00e9 de l'entit\u00e9 financi\u00e8re ou du syst\u00e8me financier, les prestataires de services TIC tiers critiques devraient \u00e9galement avoir la possibilit\u00e9 de fournir, avant la finalisation de ces recommandations, des explications concernant l'impact attendu des solutions envisag\u00e9es dans les recommandations sur les clients qui sont des entit\u00e9s ne relevant pas du champ d'application du pr\u00e9sent r\u00e8glement, et de formuler des solutions pour att\u00e9nuer les risques. Les prestataires de services TIC critiques tiers qui ne sont pas d'accord avec les recommandations doivent fournir une explication motiv\u00e9e de leur intention de ne pas approuver la recommandation. Si cette explication motiv\u00e9e n'est pas fournie ou si elle est jug\u00e9e insuffisante, le superviseur principal \u00e9met un avis public d\u00e9crivant sommairement la question de la non-conformit\u00e9.<\/p>\n\n\n\n

(90) Les autorit\u00e9s comp\u00e9tentes devraient d\u00fbment inclure dans leurs fonctions de surveillance prudentielle des entit\u00e9s financi\u00e8res la t\u00e2che de v\u00e9rifier le respect effectif des recommandations \u00e9mises par le superviseur principal. Les autorit\u00e9s comp\u00e9tentes devraient pouvoir exiger des entit\u00e9s financi\u00e8res qu'elles prennent des mesures suppl\u00e9mentaires pour faire face aux risques identifi\u00e9s dans les recommandations du superviseur principal et devraient, en temps utile, \u00e9mettre des notifications \u00e0 cet effet. Lorsque le superviseur principal adresse des recommandations \u00e0 des prestataires de services TIC tiers critiques qui sont surveill\u00e9s au titre de la directive (UE) 2022\/2555, les autorit\u00e9s comp\u00e9tentes devraient pouvoir, sur une base volontaire et avant d'adopter des mesures suppl\u00e9mentaires, consulter les autorit\u00e9s comp\u00e9tentes au titre de ladite directive afin de favoriser une approche coordonn\u00e9e \u00e0 l'\u00e9gard des prestataires de services TIC tiers critiques en question.<\/p>\n\n\n\n

(91) L'exercice de la supervision devrait \u00eatre guid\u00e9 par trois principes op\u00e9rationnels visant \u00e0 assurer : (a) une coordination \u00e9troite entre les AES dans leur r\u00f4le de superviseur principal, par l'interm\u00e9diaire d'un r\u00e9seau de supervision conjointe (JON), (b) la coh\u00e9rence avec le cadre \u00e9tabli par la directive (UE) 2022\/2555 (par le biais d'une consultation volontaire des organismes relevant de cette directive afin d'\u00e9viter la duplication des mesures visant les fournisseurs de services TIC critiques tiers), et (c) l'application d'une diligence visant \u00e0 minimiser le risque potentiel de perturbation des services fournis par les fournisseurs de services TIC critiques tiers \u00e0 des clients qui sont des entit\u00e9s ne relevant pas du champ d'application du pr\u00e9sent r\u00e8glement.<\/p>\n\n\n\n

(92) Le cadre de surveillance ne doit pas remplacer, ni en aucune mani\u00e8re ni pour aucune partie, l'obligation pour les entit\u00e9s financi\u00e8res de g\u00e9rer elles-m\u00eames les risques li\u00e9s \u00e0 l'utilisation de prestataires de services TIC tiers, y compris leur obligation d'assurer un suivi permanent des accords contractuels conclus avec des prestataires de services TIC tiers critiques. De m\u00eame, le cadre de surveillance ne devrait pas affecter la pleine responsabilit\u00e9 des entit\u00e9s financi\u00e8res en ce qui concerne le respect et l'ex\u00e9cution de toutes les obligations l\u00e9gales pr\u00e9vues par le pr\u00e9sent r\u00e8glement et par la l\u00e9gislation applicable en mati\u00e8re de services financiers.<\/p>\n\n\n\n

(93) Afin d'\u00e9viter les doubles emplois et les chevauchements, les autorit\u00e9s comp\u00e9tentes devraient s'abstenir de prendre individuellement des mesures visant \u00e0 contr\u00f4ler les risques li\u00e9s au fournisseur de services TIC critiques tiers et devraient, \u00e0 cet \u00e9gard, s'appuyer sur l'\u00e9valuation de la supervision chef de file concern\u00e9e. Toute mesure devrait en tout \u00e9tat de cause \u00eatre coordonn\u00e9e et convenue \u00e0 l'avance avec le superviseur principal dans le contexte de l'exercice des t\u00e2ches pr\u00e9vues par le cadre de surveillance.<\/p>\n\n\n\n

(94) Pour favoriser la convergence au niveau international en ce qui concerne l'utilisation des meilleures pratiques dans l'examen et le suivi de la gestion du risque num\u00e9rique par les prestataires de services TIC tiers, les AES devraient \u00eatre encourag\u00e9es \u00e0 conclure des accords de coop\u00e9ration avec les autorit\u00e9s de surveillance et de r\u00e9glementation comp\u00e9tentes des pays tiers.<\/p>\n\n\n\n

(95) Afin de tirer parti des comp\u00e9tences sp\u00e9cifiques, des aptitudes techniques et de l'expertise du personnel sp\u00e9cialis\u00e9 dans le risque op\u00e9rationnel et le risque li\u00e9 aux TIC au sein des autorit\u00e9s comp\u00e9tentes, des trois AES et, sur une base volontaire, des autorit\u00e9s comp\u00e9tentes au titre de la directive (UE) 2022\/2555, le superviseur principal devrait s'appuyer sur les capacit\u00e9s et les connaissances nationales en mati\u00e8re de surveillance et mettre en place des \u00e9quipes d'examen sp\u00e9cialis\u00e9es pour chaque fournisseur tiers de services TIC critiques, en regroupant des \u00e9quipes pluridisciplinaires pour soutenir la pr\u00e9paration et l'ex\u00e9cution des activit\u00e9s de surveillance, y compris les enqu\u00eates g\u00e9n\u00e9rales et les inspections des fournisseurs tiers de services TIC critiques, ainsi que pour tout suivi n\u00e9cessaire de ces activit\u00e9s.<\/p>\n\n\n\n

(96) Alors que les co\u00fbts r\u00e9sultant des t\u00e2ches de supervision seraient enti\u00e8rement financ\u00e9s par les redevances per\u00e7ues aupr\u00e8s des prestataires de services TIC critiques tiers, les AES sont toutefois susceptibles de supporter, avant le d\u00e9but du cadre de supervision, des co\u00fbts li\u00e9s \u00e0 la mise en \u0153uvre de syst\u00e8mes TIC sp\u00e9cialis\u00e9s \u00e0 l'appui de la supervision \u00e0 venir, \u00e9tant donn\u00e9 que des syst\u00e8mes TIC sp\u00e9cialis\u00e9s devraient \u00eatre d\u00e9velopp\u00e9s et d\u00e9ploy\u00e9s \u00e0 l'avance. Le pr\u00e9sent r\u00e8glement pr\u00e9voit donc un mod\u00e8le de financement hybride, dans lequel le cadre de supervision serait, en tant que tel, enti\u00e8rement financ\u00e9 par des redevances, tandis que le d\u00e9veloppement des syst\u00e8mes TIC des AES serait financ\u00e9 par les contributions de l'Union et des autorit\u00e9s comp\u00e9tentes nationales.<\/p>\n\n\n\n

(97) Les autorit\u00e9s comp\u00e9tentes devraient disposer de tous les pouvoirs de contr\u00f4le, d'enqu\u00eate et de sanction n\u00e9cessaires pour garantir l'exercice correct des fonctions qui leur incombent en vertu du pr\u00e9sent r\u00e8glement. Elles devraient, en principe, publier les avis relatifs aux sanctions administratives qu'elles imposent. \u00c9tant donn\u00e9 que les entit\u00e9s financi\u00e8res et les prestataires de services TIC tiers peuvent \u00eatre \u00e9tablis dans diff\u00e9rents \u00c9tats membres et surveill\u00e9s par diff\u00e9rentes autorit\u00e9s comp\u00e9tentes, l'application du pr\u00e9sent r\u00e8glement devrait \u00eatre facilit\u00e9e, d'une part, par une coop\u00e9ration \u00e9troite entre les autorit\u00e9s comp\u00e9tentes concern\u00e9es, y compris la BCE en ce qui concerne les missions sp\u00e9cifiques qui lui sont confi\u00e9es par le r\u00e8glement (UE) n\u00b0 1024\/2013 du Conseil, et, d'autre part, par la consultation des AES au moyen de l'\u00e9change mutuel d'informations et de la fourniture d'une assistance dans le cadre des activit\u00e9s de surveillance concern\u00e9es.<\/p>\n\n\n\n

(98) Afin de quantifier et de pr\u00e9ciser davantage les crit\u00e8res de d\u00e9signation des prestataires de services TIC tiers comme \u00e9tant critiques et d'harmoniser les frais de surveillance, il convient de d\u00e9l\u00e9guer \u00e0 la Commission le pouvoir d'adopter des actes conform\u00e9ment \u00e0 l'article 290 du TFUE afin de compl\u00e9ter le pr\u00e9sent r\u00e8glement en pr\u00e9cisant davantage l'impact syst\u00e9mique qu'une d\u00e9faillance ou une panne op\u00e9rationnelle d'un prestataire de services TIC tiers pourrait avoir sur les entit\u00e9s financi\u00e8res auxquelles il fournit des services TIC, le nombre d'\u00e9tablissements d'importance syst\u00e9mique mondiale (G-SII) ou d'autres \u00e9tablissements d'importance syst\u00e9mique (O-SII) qui d\u00e9pendent du prestataire de services TIC tiers en question, le nombre de prestataires de services TIC tiers actifs sur un march\u00e9 donn\u00e9, les co\u00fbts de migration des donn\u00e9es et des charges de travail TIC vers d'autres prestataires de services TIC tiers, ainsi que le montant des frais de surveillance et leur mode de paiement. Il est particuli\u00e8rement important que la Commission proc\u00e8de \u00e0 des consultations appropri\u00e9es au cours de ses travaux pr\u00e9paratoires, y compris au niveau des experts, et que ces consultations soient men\u00e9es conform\u00e9ment aux principes \u00e9nonc\u00e9s dans l'accord interinstitutionnel du 13 avril 2016 \"Mieux l\u00e9gif\u00e9rer\" (22). En particulier, pour assurer une participation \u00e9gale \u00e0 l'\u00e9laboration des actes d\u00e9l\u00e9gu\u00e9s, le Parlement europ\u00e9en et le Conseil devraient recevoir tous les documents en m\u00eame temps que les experts des \u00c9tats membres, et leurs experts devraient syst\u00e9matiquement avoir acc\u00e8s aux r\u00e9unions des groupes d'experts de la Commission charg\u00e9s de l'\u00e9laboration des actes d\u00e9l\u00e9gu\u00e9s.<\/p>\n\n\n\n

(99) Les normes techniques r\u00e9glementaires devraient assurer l'harmonisation coh\u00e9rente des exigences d\u00e9finies dans le pr\u00e9sent r\u00e8glement. En tant qu'organismes dot\u00e9s d'une expertise hautement sp\u00e9cialis\u00e9e, les AES devraient \u00e9laborer des projets de normes techniques r\u00e9glementaires qui n'impliquent pas de choix politiques, en vue de les soumettre \u00e0 la Commission. Des normes techniques r\u00e9glementaires devraient \u00eatre \u00e9labor\u00e9es dans les domaines de la gestion des risques li\u00e9s aux TIC, de la notification des incidents majeurs li\u00e9s aux TIC, des essais, ainsi qu'en ce qui concerne les exigences essentielles pour une surveillance efficace des risques li\u00e9s aux TIC pour les tiers. La Commission et les AES devraient veiller \u00e0 ce que ces normes et exigences puissent \u00eatre appliqu\u00e9es par toutes les entit\u00e9s financi\u00e8res d'une mani\u00e8re proportionn\u00e9e \u00e0 leur taille et \u00e0 leur profil de risque global, ainsi qu'\u00e0 la nature, \u00e0 l'\u00e9chelle et \u00e0 la complexit\u00e9 de leurs services, activit\u00e9s et op\u00e9rations. La Commission devrait \u00eatre habilit\u00e9e \u00e0 adopter ces normes techniques r\u00e9glementaires au moyen d'actes d\u00e9l\u00e9gu\u00e9s en vertu de l'article 290 du TFUE et conform\u00e9ment aux articles 10 \u00e0 14 des r\u00e8glements (UE) n\u00b0 1093\/2010, (UE) n\u00b0 1094\/2010 et (UE) n\u00b0 1095\/2010.<\/p>\n\n\n\n

(100) Pour faciliter la comparabilit\u00e9 des rapports sur les incidents majeurs li\u00e9s aux TIC et les incidents majeurs li\u00e9s aux paiements op\u00e9rationnels ou de s\u00e9curit\u00e9, ainsi que pour assurer la transparence des dispositions contractuelles relatives \u00e0 l'utilisation des services TIC fournis par des prestataires de services TIC tiers, les AES devraient \u00e9laborer des projets de normes techniques d'ex\u00e9cution \u00e9tablissant des mod\u00e8les, des formulaires et des proc\u00e9dures normalis\u00e9s permettant aux entit\u00e9s financi\u00e8res de signaler un incident majeur li\u00e9 aux TIC et un incident majeur li\u00e9 aux paiements op\u00e9rationnels ou de s\u00e9curit\u00e9, ainsi que des mod\u00e8les normalis\u00e9s pour le registre d'informations. Lors de l'\u00e9laboration de ces normes, les AES devraient tenir compte de la taille et du profil de risque global de l'entit\u00e9 financi\u00e8re, ainsi que de la nature, de l'\u00e9chelle et de la complexit\u00e9 de ses services, activit\u00e9s et op\u00e9rations. La Commission devrait \u00eatre habilit\u00e9e \u00e0 adopter ces normes techniques d'ex\u00e9cution au moyen d'actes d'ex\u00e9cution en vertu de l'article 291 du TFUE et conform\u00e9ment \u00e0 l'article 15 des r\u00e8glements (UE) n\u00b0 1093\/2010, (UE) n\u00b0 1094\/2010 et (UE) n\u00b0 1095\/2010.<\/p>\n\n\n\n

(101) \u00c9tant donn\u00e9 que des exigences suppl\u00e9mentaires ont d\u00e9j\u00e0 \u00e9t\u00e9 pr\u00e9cis\u00e9es par des actes d\u00e9l\u00e9gu\u00e9s et des actes d'ex\u00e9cution fond\u00e9s sur des normes techniques r\u00e9glementaires et d'ex\u00e9cution dans les r\u00e8glements (CE) n\u00b0 1060\/2009 (23), (UE) n\u00b0 648\/2012 (24), (UE) n\u00b0 600\/2014 (25) et (UE) n\u00b0 909\/2014 (26) du Parlement europ\u00e9en et du Conseil, il convient de charger les AES, soit individuellement, soit conjointement par l'interm\u00e9diaire du comit\u00e9 mixte, de soumettre des normes techniques r\u00e9glementaires et d'ex\u00e9cution \u00e0 la Commission en vue de l'adoption d'actes d\u00e9l\u00e9gu\u00e9s et d'ex\u00e9cution reprenant et mettant \u00e0 jour les r\u00e8gles existantes en mati\u00e8re de gestion des risques li\u00e9s aux TIC.<\/p>\n\n\n\n

(102) \u00c9tant donn\u00e9 que le pr\u00e9sent r\u00e8glement, ainsi que la directive (UE) 2022\/2556 du Parlement europ\u00e9en et du Conseil (27), entra\u00eene une consolidation des dispositions relatives \u00e0 la gestion des risques li\u00e9s aux TIC dans de multiples r\u00e8glements et directives de l'acquis de l'Union en mati\u00e8re de services financiers, y compris les r\u00e8glements (CE) n\u00b0 1060\/2009, (UE) n\u00b0 648\/2012, (UE) n\u00b0 600\/2014 et (UE) n\u00b0 909\/2014, et le r\u00e8glement (UE) 2016\/1011 du Parlement europ\u00e9en et du Conseil (28), il convient, pour assurer une parfaite coh\u00e9rence, de modifier ces r\u00e8glements afin de pr\u00e9ciser que les dispositions applicables en mati\u00e8re de risque li\u00e9 aux TIC sont \u00e9nonc\u00e9es dans le pr\u00e9sent r\u00e8glement.<\/p>\n\n\n\n

(103) Par cons\u00e9quent, le champ d'application des articles pertinents relatifs au risque op\u00e9rationnel, sur lesquels les habilitations \u00e9tablies dans les r\u00e8glements (CE) n\u00b0 1060\/2009, (UE) n\u00b0 648\/2012, (UE) n\u00b0 600\/2014, (UE) n\u00b0 909\/2014 et (UE) 2016\/1011 avaient prescrit l'adoption d'actes d\u00e9l\u00e9gu\u00e9s et d'actes d'ex\u00e9cution, devrait \u00eatre r\u00e9duit en vue de reporter dans le pr\u00e9sent r\u00e8glement toutes les dispositions couvrant les aspects de la r\u00e9silience op\u00e9rationnelle num\u00e9rique qui font aujourd'hui partie de ces r\u00e8glements.<\/p>\n\n\n\n

(104) Le cyberrisque syst\u00e9mique potentiel associ\u00e9 \u00e0 l'utilisation des infrastructures TIC qui permettent le fonctionnement des syst\u00e8mes de paiement et la fourniture d'activit\u00e9s de traitement des paiements devrait \u00eatre d\u00fbment trait\u00e9 au niveau de l'Union au moyen de r\u00e8gles harmonis\u00e9es en mati\u00e8re de r\u00e9silience num\u00e9rique. \u00c0 cet effet, la Commission devrait rapidement \u00e9valuer la n\u00e9cessit\u00e9 de r\u00e9examiner le champ d'application du pr\u00e9sent r\u00e8glement tout en alignant ce r\u00e9examen sur les r\u00e9sultats du r\u00e9examen complet envisag\u00e9 au titre de la directive (UE) 2015\/2366. Les nombreuses attaques \u00e0 grande \u00e9chelle perp\u00e9tr\u00e9es au cours de la derni\u00e8re d\u00e9cennie montrent \u00e0 quel point les syst\u00e8mes de paiement sont devenus vuln\u00e9rables aux cybermenaces. Plac\u00e9s au c\u0153ur de la cha\u00eene des services de paiement et pr\u00e9sentant de fortes interconnexions avec l'ensemble du syst\u00e8me financier, les syst\u00e8mes de paiement et les activit\u00e9s de traitement des paiements ont acquis une importance critique pour le fonctionnement des march\u00e9s financiers de l'Union. Les cyberattaques contre ces syst\u00e8mes peuvent provoquer de graves perturbations op\u00e9rationnelles, avec des r\u00e9percussions directes sur des fonctions \u00e9conomiques essentielles, telles que la facilitation des paiements, et des effets indirects sur les processus \u00e9conomiques connexes. Jusqu'\u00e0 ce qu'un r\u00e9gime harmonis\u00e9 et la surveillance des op\u00e9rateurs de syst\u00e8mes de paiement et d'entit\u00e9s de traitement soient mis en place au niveau de l'Union, les \u00c9tats membres peuvent, en vue d'appliquer des pratiques de march\u00e9 similaires, s'inspirer des exigences en mati\u00e8re de r\u00e9silience op\u00e9rationnelle num\u00e9rique \u00e9tablies par le pr\u00e9sent r\u00e8glement, lorsqu'ils appliquent des r\u00e8gles aux op\u00e9rateurs de syst\u00e8mes de paiement et d'entit\u00e9s de traitement surveill\u00e9s dans le cadre de leur propre juridiction.<\/p>\n\n\n\n

(105) \u00c9tant donn\u00e9 que l'objectif du pr\u00e9sent r\u00e8glement, \u00e0 savoir atteindre un niveau \u00e9lev\u00e9 de r\u00e9silience op\u00e9rationnelle num\u00e9rique pour les entit\u00e9s financi\u00e8res r\u00e9glement\u00e9es, ne peut pas \u00eatre r\u00e9alis\u00e9 de mani\u00e8re suffisante par les \u00c9tats membres parce qu'il n\u00e9cessite l'harmonisation de plusieurs r\u00e8gles diff\u00e9rentes en droit de l'Union et en droit national, mais peut plut\u00f4t, en raison de ses dimensions et de ses effets, \u00eatre mieux r\u00e9alis\u00e9 au niveau de l'Union, celle-ci peut prendre des mesures conform\u00e9ment au principe de subsidiarit\u00e9 \u00e9nonc\u00e9 \u00e0 l'article 5 du trait\u00e9 sur l'Union europ\u00e9enne. Conform\u00e9ment au principe de proportionnalit\u00e9 tel qu'\u00e9nonc\u00e9 audit article, le pr\u00e9sent r\u00e8glement n'exc\u00e8de pas ce qui est n\u00e9cessaire pour atteindre cet objectif.<\/p>\n\n\n\n

(106) Le contr\u00f4leur europ\u00e9en de la protection des donn\u00e9es a \u00e9t\u00e9 consult\u00e9 conform\u00e9ment \u00e0 l'article 42, paragraphe 1, du r\u00e8glement (UE) 2018\/1725 du Parlement europ\u00e9en et du Conseil (29) et a rendu un avis le 10 mai 2021 (30),<\/p>\n\n\n\n

ONT ADOPT\u00c9 CE R\u00c8GLEMENT :<\/p>","protected":false},"excerpt":{"rendered":"

Whereas: of 14 December 2022 on digital operational resilience for the financial sector and amending Regulations (EC) No 1060\/2009, (EU) No 648\/2012, (EU) No 600\/2014, (EU) No 909\/2014 and (EU) 2016\/1011 (Text with EEA relevance) THE EUROPEAN PARLIAMENT AND THE COUNCIL OF THE EUROPEAN UNION, Having regard to the Treaty on the Functioning of the […]<\/p>","protected":false},"author":1,"featured_media":0,"parent":1133,"menu_order":0,"comment_status":"closed","ping_status":"closed","template":"","meta":{"_gspb_post_css":".gspb_container-id-gsbp-b565ac4{flex-direction:column;box-sizing:border-box}#gspb_container-id-gsbp-b565ac4.gspb_container>p:last-of-type{margin-bottom:0}.gspb_container{position:relative}#gspb_container-id-gsbp-b565ac4.gspb_container{display:flex;flex-direction:column;align-items:center;margin-bottom:40px}@media (max-width:991.98px){#gspb_container-id-gsbp-b565ac4.gspb_container{margin-bottom:40px}}#gspb_heading-id-gsbp-d1b4c76{font-size:30px}@media (max-width:991.98px){#gspb_heading-id-gsbp-d1b4c76{font-size:30px}}@media (max-width:575.98px){#gspb_heading-id-gsbp-d1b4c76{font-size:25px}}#gspb_heading-id-gsbp-d1b4c76,#gspb_heading-id-gsbp-d1b4c76 .gsap-g-line,.gspb_text-id-gsbp-2c13756,.gspb_text-id-gsbp-2c13756 .gsap-g-line{text-align:center!important}#gspb_heading-id-gsbp-d1b4c76{margin-top:0;margin-bottom:10px}.gspb_text-id-gsbp-2c13756{max-width:800px}","footnotes":""},"class_list":["post-1134","page","type-page","status-publish","hentry"],"blocksy_meta":{"has_hero_section":"enabled","styles_descriptor":{"styles":{"desktop":"[data-prefix=\"single_page\"] .entry-header .page-title {--theme-font-size:30px;} [data-prefix=\"single_page\"] .entry-header .entry-meta {--theme-font-weight:600;--theme-text-transform:uppercase;--theme-font-size:12px;--theme-line-height:1.3;}","tablet":"","mobile":""},"google_fonts":[],"version":6},"vertical_spacing_source":"custom","content_area_spacing":"none","page_structure_type":"type-2","hero_elements":[{"id":"custom_title","enabled":true,"heading_tag":"h1","title":"Home","__id":"zUAv84-iCqwWhwHz_7eMU"},{"id":"custom_description","enabled":false,"description_visibility":{"desktop":true,"tablet":true,"mobile":false},"__id":"q0z81OBwVS1eiBNwQJZ31"},{"id":"custom_meta","enabled":false,"meta_elements":[{"id":"author","enabled":true,"label":"By","has_author_avatar":"yes","avatar_size":25},{"id":"post_date","enabled":true,"label":"On","date_format_source":"default","date_format":"M j, Y"},{"id":"updated_date","enabled":false,"label":"On","date_format_source":"default","date_format":"M j, Y"},{"id":"categories","enabled":false,"label":"In","style":"simple"},{"id":"comments","enabled":true}],"page_meta_elements":{"joined":true,"articles_count":true,"comments":true},"__id":"908KnW1IQtQMH2CkUzVag"},{"id":"breadcrumbs","enabled":true,"__id":"gyh2MB_UdPumL0ReCyfHv"},{"id":"content-block","enabled":false,"__id":"RhhTfxRztIm-fh5C63-qH"}]},"rankMath":{"parentDomain":"nis2resources.eu","noFollowDomains":[],"noFollowExcludeDomains":[],"noFollowExternalLinks":false,"featuredImageNotice":"L\u2019image en vedette devrait \u00eatre au moins 200 par 200 pixels pour \u00eatre utilis\u00e9 par Facebook et d\u2019autres sites de m\u00e9dias sociaux.","pluginReviewed":false,"postSettings":{"linkSuggestions":true,"useFocusKeyword":false},"frontEndScore":false,"postName":"preamble","permalinkFormat":"https:\/\/nis2resources.eu\/fr\/%pagename%\/","showLockModifiedDate":true,"assessor":{"focusKeywordLink":"https:\/\/nis2resources.eu\/wp-admin\/edit.php?focus_keyword=%focus_keyword%&post_type=%post_type%","hasTOCPlugin":false,"primaryTaxonomy":false,"serpData":{"title":"","description":"","focusKeywords":"","pillarContent":false,"canonicalUrl":"","breadcrumbTitle":"","advancedRobots":{"max-snippet":"-1","max-video-preview":"-1","max-image-preview":"large"},"facebookTitle":"","facebookDescription":"","facebookImage":"","facebookImageID":"","facebookHasOverlay":false,"facebookImageOverlay":"","facebookAuthor":"","twitterCardType":"","twitterUseFacebook":true,"twitterTitle":"","twitterDescription":"","twitterImage":"","twitterImageID":"","twitterHasOverlay":false,"twitterImageOverlay":"","twitterPlayerUrl":"","twitterPlayerSize":"","twitterPlayerStream":"","twitterPlayerStreamCtype":"","twitterAppDescription":"","twitterAppIphoneName":"","twitterAppIphoneID":"","twitterAppIphoneUrl":"","twitterAppIpadName":"","twitterAppIpadID":"","twitterAppIpadUrl":"","twitterAppGoogleplayName":"","twitterAppGoogleplayID":"","twitterAppGoogleplayUrl":"","twitterAppCountry":"","robots":{"index":true},"twitterAuthor":"identifiant","primaryTerm":0,"authorName":"admin","titleTemplate":"%title% %sep% %sitename%","descriptionTemplate":"%excerpt%","showScoreFrontend":true,"lockModifiedDate":false},"powerWords":["absolument","amazement","astonishing","authentique","beau","bien-\u00eatre","brillant","captivant","charismatique","choc","clair","compl\u00e8tement","confidentiel","confiance","cons\u00e9quent","cr\u00e9atif","d\u00e9finitivement","d\u00e9licieux","d\u00e9montrer","d\u00e9p\u00eachez-vous","d\u00e9termin\u00e9","digne","dynamique","\u00e9blouissant","\u00e9clatant","\u00e9conomique","\u00e9fficace","\u00e9l\u00e9gant","\u00e9motionnel","\u00e9nergique","\u00e9norme","\u00e9poustouflant","essentiel","\u00e9tonnant","exclusif","exp\u00e9rience","fabuleux","fantastique","formidable","fort","garanti","g\u00e9ant","g\u00e9n\u00e9reux","grandiose","gratuit","habile","harmonieux","historique","hors pair","important","incroyable","indispensable","inoubliable","inspirant","innovant","intense","invention","irr\u00e9sistible","l\u00e9gendaire","lumineux","luxe","magique","magnifique","majestueux","marquant","merveilleux","miraculeux","motivant","n\u00e9cessaire","nouvelle","officiel","parfait","passionn\u00e9","persuasif","ph\u00e9nom\u00e9nal","plaisir","populaire","pouvoir","prestigieux","prodigieux","profond","prosp\u00e8re","puissant","qualit\u00e9","radieux","rapide","r\u00e9ussi","r\u00e9volutionnaire","satisfait","s\u00e9curit\u00e9","sensationnel","serein","somptueux","splendide","sublime","surprenant","talentueux","terrifiant","unique","valeur","vibrant","victorieux","vif","vraiment","z\u00e9l\u00e9"],"diacritics":{"A":"[\\u0041\\u24B6\\uFF21\\u00C0\\u00C1\\u00C2\\u1EA6\\u1EA4\\u1EAA\\u1EA8\\u00C3\\u0100\\u0102\\u1EB0\\u1EAE\\u1EB4\\u1EB2\\u0226\\u01E0\\u00C4\\u01DE\\u1EA2\\u00C5\\u01FA\\u01CD\\u0200\\u0202\\u1EA0\\u1EAC\\u1EB6\\u1E00\\u0104\\u023A\\u2C6F]","AA":"[\\uA732]","AE":"[\\u00C6\\u01FC\\u01E2]","AO":"[\\uA734]","AU":"[\\uA736]","AV":"[\\uA738\\uA73A]","AY":"[\\uA73C]","B":"[\\u0042\\u24B7\\uFF22\\u1E02\\u1E04\\u1E06\\u0243\\u0182\\u0181]","C":"[\\u0043\\u24B8\\uFF23\\u0106\\u0108\\u010A\\u010C\\u00C7\\u1E08\\u0187\\u023B\\uA73E]","D":"[\\u0044\\u24B9\\uFF24\\u1E0A\\u010E\\u1E0C\\u1E10\\u1E12\\u1E0E\\u0110\\u018B\\u018A\\u0189\\uA779]","DZ":"[\\u01F1\\u01C4]","Dz":"[\\u01F2\\u01C5]","E":"[\\u0045\\u24BA\\uFF25\\u00C8\\u00C9\\u00CA\\u1EC0\\u1EBE\\u1EC4\\u1EC2\\u1EBC\\u0112\\u1E14\\u1E16\\u0114\\u0116\\u00CB\\u1EBA\\u011A\\u0204\\u0206\\u1EB8\\u1EC6\\u0228\\u1E1C\\u0118\\u1E18\\u1E1A\\u0190\\u018E]","F":"[\\u0046\\u24BB\\uFF26\\u1E1E\\u0191\\uA77B]","G":"[\\u0047\\u24BC\\uFF27\\u01F4\\u011C\\u1E20\\u011E\\u0120\\u01E6\\u0122\\u01E4\\u0193\\uA7A0\\uA77D\\uA77E]","H":"[\\u0048\\u24BD\\uFF28\\u0124\\u1E22\\u1E26\\u021E\\u1E24\\u1E28\\u1E2A\\u0126\\u2C67\\u2C75\\uA78D]","I":"[\\u0049\\u24BE\\uFF29\\u00CC\\u00CD\\u00CE\\u0128\\u012A\\u012C\\u0130\\u00CF\\u1E2E\\u1EC8\\u01CF\\u0208\\u020A\\u1ECA\\u012E\\u1E2C\\u0197]","J":"[\\u004A\\u24BF\\uFF2A\\u0134\\u0248]","K":"[\\u004B\\u24C0\\uFF2B\\u1E30\\u01E8\\u1E32\\u0136\\u1E34\\u0198\\u2C69\\uA740\\uA742\\uA744\\uA7A2]","L":"[\\u004C\\u24C1\\uFF2C\\u013F\\u0139\\u013D\\u1E36\\u1E38\\u013B\\u1E3C\\u1E3A\\u0141\\u023D\\u2C62\\u2C60\\uA748\\uA746\\uA780]","LJ":"[\\u01C7]","Lj":"[\\u01C8]","M":"[\\u004D\\u24C2\\uFF2D\\u1E3E\\u1E40\\u1E42\\u2C6E\\u019C]","N":"[\\u004E\\u24C3\\uFF2E\\u01F8\\u0143\\u00D1\\u1E44\\u0147\\u1E46\\u0145\\u1E4A\\u1E48\\u0220\\u019D\\uA790\\uA7A4]","NJ":"[\\u01CA]","Nj":"[\\u01CB]","O":"[\\u004F\\u24C4\\uFF2F\\u00D2\\u00D3\\u00D4\\u1ED2\\u1ED0\\u1ED6\\u1ED4\\u00D5\\u1E4C\\u022C\\u1E4E\\u014C\\u1E50\\u1E52\\u014E\\u022E\\u0230\\u00D6\\u022A\\u1ECE\\u0150\\u01D1\\u020C\\u020E\\u01A0\\u1EDC\\u1EDA\\u1EE0\\u1EDE\\u1EE2\\u1ECC\\u1ED8\\u01EA\\u01EC\\u00D8\\u01FE\\u0186\\u019F\\uA74A\\uA74C]","OI":"[\\u01A2]","OO":"[\\uA74E]","OU":"[\\u0222]","P":"[\\u0050\\u24C5\\uFF30\\u1E54\\u1E56\\u01A4\\u2C63\\uA750\\uA752\\uA754]","Q":"[\\u0051\\u24C6\\uFF31\\uA756\\uA758\\u024A]","R":"[\\u0052\\u24C7\\uFF32\\u0154\\u1E58\\u0158\\u0210\\u0212\\u1E5A\\u1E5C\\u0156\\u1E5E\\u024C\\u2C64\\uA75A\\uA7A6\\uA782]","S":"[\\u0053\\u24C8\\uFF33\\u1E9E\\u015A\\u1E64\\u015C\\u1E60\\u0160\\u1E66\\u1E62\\u1E68\\u0218\\u015E\\u2C7E\\uA7A8\\uA784]","T":"[\\u0054\\u24C9\\uFF34\\u1E6A\\u0164\\u1E6C\\u021A\\u0162\\u1E70\\u1E6E\\u0166\\u01AC\\u01AE\\u023E\\uA786]","TZ":"[\\uA728]","U":"[\\u0055\\u24CA\\uFF35\\u00D9\\u00DA\\u00DB\\u0168\\u1E78\\u016A\\u1E7A\\u016C\\u00DC\\u01DB\\u01D7\\u01D5\\u01D9\\u1EE6\\u016E\\u0170\\u01D3\\u0214\\u0216\\u01AF\\u1EEA\\u1EE8\\u1EEE\\u1EEC\\u1EF0\\u1EE4\\u1E72\\u0172\\u1E76\\u1E74\\u0244]","V":"[\\u0056\\u24CB\\uFF36\\u1E7C\\u1E7E\\u01B2\\uA75E\\u0245]","VY":"[\\uA760]","W":"[\\u0057\\u24CC\\uFF37\\u1E80\\u1E82\\u0174\\u1E86\\u1E84\\u1E88\\u2C72]","X":"[\\u0058\\u24CD\\uFF38\\u1E8A\\u1E8C]","Y":"[\\u0059\\u24CE\\uFF39\\u1EF2\\u00DD\\u0176\\u1EF8\\u0232\\u1E8E\\u0178\\u1EF6\\u1EF4\\u01B3\\u024E\\u1EFE]","Z":"[\\u005A\\u24CF\\uFF3A\\u0179\\u1E90\\u017B\\u017D\\u1E92\\u1E94\\u01B5\\u0224\\u2C7F\\u2C6B\\uA762]","a":"[\\u0061\\u24D0\\uFF41\\u1E9A\\u00E0\\u00E1\\u00E2\\u1EA7\\u1EA5\\u1EAB\\u1EA9\\u00E3\\u0101\\u0103\\u1EB1\\u1EAF\\u1EB5\\u1EB3\\u0227\\u01E1\\u00E4\\u01DF\\u1EA3\\u00E5\\u01FB\\u01CE\\u0201\\u0203\\u1EA1\\u1EAD\\u1EB7\\u1E01\\u0105\\u2C65\\u0250]","aa":"[\\uA733]","ae":"[\\u00E6\\u01FD\\u01E3]","ao":"[\\uA735]","au":"[\\uA737]","av":"[\\uA739\\uA73B]","ay":"[\\uA73D]","b":"[\\u0062\\u24D1\\uFF42\\u1E03\\u1E05\\u1E07\\u0180\\u0183\\u0253]","c":"[\\u0063\\u24D2\\uFF43\\u0107\\u0109\\u010B\\u010D\\u00E7\\u1E09\\u0188\\u023C\\uA73F\\u2184]","d":"[\\u0064\\u24D3\\uFF44\\u1E0B\\u010F\\u1E0D\\u1E11\\u1E13\\u1E0F\\u0111\\u018C\\u0256\\u0257\\uA77A]","dz":"[\\u01F3\\u01C6]","e":"[\\u0065\\u24D4\\uFF45\\u00E8\\u00E9\\u00EA\\u1EC1\\u1EBF\\u1EC5\\u1EC3\\u1EBD\\u0113\\u1E15\\u1E17\\u0115\\u0117\\u00EB\\u1EBB\\u011B\\u0205\\u0207\\u1EB9\\u1EC7\\u0229\\u1E1D\\u0119\\u1E19\\u1E1B\\u0247\\u025B\\u01DD]","f":"[\\u0066\\u24D5\\uFF46\\u1E1F\\u0192\\uA77C]","g":"[\\u0067\\u24D6\\uFF47\\u01F5\\u011D\\u1E21\\u011F\\u0121\\u01E7\\u0123\\u01E5\\u0260\\uA7A1\\u1D79\\uA77F]","h":"[\\u0068\\u24D7\\uFF48\\u0125\\u1E23\\u1E27\\u021F\\u1E25\\u1E29\\u1E2B\\u1E96\\u0127\\u2C68\\u2C76\\u0265]","hv":"[\\u0195]","i":"[\\u0069\\u24D8\\uFF49\\u00EC\\u00ED\\u00EE\\u0129\\u012B\\u012D\\u00EF\\u1E2F\\u1EC9\\u01D0\\u0209\\u020B\\u1ECB\\u012F\\u1E2D\\u0268\\u0131]","j":"[\\u006A\\u24D9\\uFF4A\\u0135\\u01F0\\u0249]","k":"[\\u006B\\u24DA\\uFF4B\\u1E31\\u01E9\\u1E33\\u0137\\u1E35\\u0199\\u2C6A\\uA741\\uA743\\uA745\\uA7A3]","l":"[\\u006C\\u24DB\\uFF4C\\u0140\\u013A\\u013E\\u1E37\\u1E39\\u013C\\u1E3D\\u1E3B\\u017F\\u0142\\u019A\\u026B\\u2C61\\uA749\\uA781\\uA747]","lj":"[\\u01C9]","m":"[\\u006D\\u24DC\\uFF4D\\u1E3F\\u1E41\\u1E43\\u0271\\u026F]","n":"[\\u006E\\u24DD\\uFF4E\\u01F9\\u0144\\u00F1\\u1E45\\u0148\\u1E47\\u0146\\u1E4B\\u1E49\\u019E\\u0272\\u0149\\uA791\\uA7A5]","nj":"[\\u01CC]","o":"[\\u006F\\u24DE\\uFF4F\\u00F2\\u00F3\\u00F4\\u1ED3\\u1ED1\\u1ED7\\u1ED5\\u00F5\\u1E4D\\u022D\\u1E4F\\u014D\\u1E51\\u1E53\\u014F\\u022F\\u0231\\u00F6\\u022B\\u1ECF\\u0151\\u01D2\\u020D\\u020F\\u01A1\\u1EDD\\u1EDB\\u1EE1\\u1EDF\\u1EE3\\u1ECD\\u1ED9\\u01EB\\u01ED\\u00F8\\u01FF\\u0254\\uA74B\\uA74D\\u0275]","oi":"[\\u01A3]","ou":"[\\u0223]","oo":"[\\uA74F]","p":"[\\u0070\\u24DF\\uFF50\\u1E55\\u1E57\\u01A5\\u1D7D\\uA751\\uA753\\uA755]","q":"[\\u0071\\u24E0\\uFF51\\u024B\\uA757\\uA759]","r":"[\\u0072\\u24E1\\uFF52\\u0155\\u1E59\\u0159\\u0211\\u0213\\u1E5B\\u1E5D\\u0157\\u1E5F\\u024D\\u027D\\uA75B\\uA7A7\\uA783]","s":"[\\u0073\\u24E2\\uFF53\\u015B\\u1E65\\u015D\\u1E61\\u0161\\u1E67\\u1E63\\u1E69\\u0219\\u015F\\u023F\\uA7A9\\uA785\\u1E9B]","ss":"[\\u00DF]","t":"[\\u0074\\u24E3\\uFF54\\u1E6B\\u1E97\\u0165\\u1E6D\\u021B\\u0163\\u1E71\\u1E6F\\u0167\\u01AD\\u0288\\u2C66\\uA787]","tz":"[\\uA729]","u":"[\\u0075\\u24E4\\uFF55\\u00F9\\u00FA\\u00FB\\u0169\\u1E79\\u016B\\u1E7B\\u016D\\u00FC\\u01DC\\u01D8\\u01D6\\u01DA\\u1EE7\\u016F\\u0171\\u01D4\\u0215\\u0217\\u01B0\\u1EEB\\u1EE9\\u1EEF\\u1EED\\u1EF1\\u1EE5\\u1E73\\u0173\\u1E77\\u1E75\\u0289]","v":"[\\u0076\\u24E5\\uFF56\\u1E7D\\u1E7F\\u028B\\uA75F\\u028C]","vy":"[\\uA761]","w":"[\\u0077\\u24E6\\uFF57\\u1E81\\u1E83\\u0175\\u1E87\\u1E85\\u1E98\\u1E89\\u2C73]","x":"[\\u0078\\u24E7\\uFF58\\u1E8B\\u1E8D]","y":"[\\u0079\\u24E8\\uFF59\\u1EF3\\u00FD\\u0177\\u1EF9\\u0233\\u1E8F\\u00FF\\u1EF7\\u1E99\\u1EF5\\u01B4\\u024F\\u1EFF]","z":"[\\u007A\\u24E9\\uFF5A\\u017A\\u1E91\\u017C\\u017E\\u1E93\\u1E95\\u01B6\\u0225\\u0240\\u2C6C\\uA763]"},"researchesTests":["contentHasTOC","contentHasShortParagraphs","contentHasAssets","keywordInTitle","keywordInMetaDescription","keywordInPermalink","keywordIn10Percent","keywordInContent","keywordInSubheadings","keywordInImageAlt","keywordDensity","keywordNotUsed","lengthContent","lengthPermalink","linksHasInternal","linksHasExternals","linksNotAllExternals","titleStartWithKeyword","titleSentiment","titleHasPowerWords","titleHasNumber","hasContentAI"],"hasRedirection":true,"hasBreadcrumb":true},"homeUrl":"https:\/\/nis2resources.eu\/fr","objectID":1134,"objectType":"post","locale":"fr","localeFull":"fr_FR","overlayImages":{"play":{"name":"Ic\u00f4ne de lecture","url":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-play.png","path":"\/var\/www\/vhosts\/nis2resources.eu\/httpdocs\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-play.png","position":"middle_center"},"gif":{"name":"Ic\u00f4ne GIF","url":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-gif.png","path":"\/var\/www\/vhosts\/nis2resources.eu\/httpdocs\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/icon-gif.png","position":"middle_center"}},"defautOgImage":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/social-placeholder.jpg","customPermalinks":true,"isUserRegistered":true,"autoSuggestKeywords":true,"connectSiteUrl":"https:\/\/rankmath.com\/auth?site=https%3A%2F%2Fnis2resources.eu%2Ffr&r=https%3A%2F%2Fnis2resources.eu%2Ffr%2Fwp-json%2Fwp%2Fv2%2Fpages%2F1134%2F%3Fnonce%3D7c2ab2316e&pro=1","maxTags":100,"trendsIcon":"<\/svg>","showScore":true,"siteFavIcon":"https:\/\/nis2resources.eu\/wp-content\/uploads\/2024\/08\/cropped-nis2resources-icon-32x32.png","canUser":{"general":false,"advanced":false,"snippet":false,"social":false,"analysis":false,"analytics":false,"content_ai":false},"showKeywordIntent":true,"isPro":true,"is_front_page":false,"trendsUpgradeLink":"https:\/\/rankmath.com\/pricing\/?utm_source=Plugin&utm_medium=CE%20General%20Tab%20Trends&utm_campaign=WP","trendsUpgradeLabel":"Mettre \u00e0 niveau","trendsPreviewImage":"https:\/\/nis2resources.eu\/wp-content\/plugins\/seo-by-rank-math\/assets\/admin\/img\/trends-preview.jpg","currentEditor":false,"homepageData":{"assessor":{"powerWords":["absolument","amazement","astonishing","authentique","beau","bien-\u00eatre","brillant","captivant","charismatique","choc","clair","compl\u00e8tement","confidentiel","confiance","cons\u00e9quent","cr\u00e9atif","d\u00e9finitivement","d\u00e9licieux","d\u00e9montrer","d\u00e9p\u00eachez-vous","d\u00e9termin\u00e9","digne","dynamique","\u00e9blouissant","\u00e9clatant","\u00e9conomique","\u00e9fficace","\u00e9l\u00e9gant","\u00e9motionnel","\u00e9nergique","\u00e9norme","\u00e9poustouflant","essentiel","\u00e9tonnant","exclusif","exp\u00e9rience","fabuleux","fantastique","formidable","fort","garanti","g\u00e9ant","g\u00e9n\u00e9reux","grandiose","gratuit","habile","harmonieux","historique","hors pair","important","incroyable","indispensable","inoubliable","inspirant","innovant","intense","invention","irr\u00e9sistible","l\u00e9gendaire","lumineux","luxe","magique","magnifique","majestueux","marquant","merveilleux","miraculeux","motivant","n\u00e9cessaire","nouvelle","officiel","parfait","passionn\u00e9","persuasif","ph\u00e9nom\u00e9nal","plaisir","populaire","pouvoir","prestigieux","prodigieux","profond","prosp\u00e8re","puissant","qualit\u00e9","radieux","rapide","r\u00e9ussi","r\u00e9volutionnaire","satisfait","s\u00e9curit\u00e9","sensationnel","serein","somptueux","splendide","sublime","surprenant","talentueux","terrifiant","unique","valeur","vibrant","victorieux","vif","vraiment","z\u00e9l\u00e9"],"diacritics":true,"researchesTests":["contentHasTOC","contentHasShortParagraphs","contentHasAssets","keywordInTitle","keywordInMetaDescription","keywordInPermalink","keywordIn10Percent","keywordInContent","keywordInSubheadings","keywordInImageAlt","keywordDensity","keywordNotUsed","lengthContent","lengthPermalink","linksHasInternal","linksHasExternals","linksNotAllExternals","titleStartWithKeyword","titleSentiment","titleHasPowerWords","titleHasNumber","hasContentAI"],"hasBreadcrumb":true,"serpData":{"title":"%sitename% %page% %sep% %sitedesc%","description":"","titleTemplate":"%sitename% %page% %sep% %sitedesc%","descriptionTemplate":"","focusKeywords":"","breadcrumbTitle":"Home","robots":{"index":true},"advancedRobots":{"max-snippet":"-1","max-video-preview":"-1","max-image-preview":"large"},"facebookTitle":"","facebookDescription":"","facebookImage":"","facebookImageID":""}}},"searchIntents":[],"isAnalyticsConnected":false,"tocTitle":"Table of Contents","tocExcludeHeadings":[],"listStyle":"ul"},"_links":{"self":[{"href":"https:\/\/nis2resources.eu\/fr\/wp-json\/wp\/v2\/pages\/1134","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/nis2resources.eu\/fr\/wp-json\/wp\/v2\/pages"}],"about":[{"href":"https:\/\/nis2resources.eu\/fr\/wp-json\/wp\/v2\/types\/page"}],"author":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/fr\/wp-json\/wp\/v2\/comments?post=1134"}],"version-history":[{"count":0,"href":"https:\/\/nis2resources.eu\/fr\/wp-json\/wp\/v2\/pages\/1134\/revisions"}],"up":[{"embeddable":true,"href":"https:\/\/nis2resources.eu\/fr\/wp-json\/wp\/v2\/pages\/1133"}],"wp:attachment":[{"href":"https:\/\/nis2resources.eu\/fr\/wp-json\/wp\/v2\/media?parent=1134"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}