Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2024R1773_EN.3. Retour au Sommaire du niveau 1. Ouvrir le PDF.
Article 2 – Application à l’échelle d’un groupe ⬅️ | ➡️ Article 4 – Principales phases du cycle de vie pour l’adoption et l’utilisation d’accords contractuels
Références LVL1 <=> LVL2
Level 1 reference(s): 2022R2554_FR.9 > 4, 2022R2554_FR.19, 2022R2554_FR.11, 2022R2554_FR.6
Article 3 - Dispositifs de gouvernance
1.
L’organe de direction réexamine la politique au moins une fois par an et l’actualise si nécessaire. Les modifications apportées à la politique sont mises en œuvre en temps utile, et dès que possible, dans le cadre des accords contractuels concernés. L’entité financière documente le calendrier prévu pour la mise en œuvre.
2.
La politique établit ou fait référence à une méthode permettant de déterminer quels services TIC soutiennent des fonctions critiques ou importantes. La politique précise également quand cette évaluation doit être effectuée et réexaminée.
3.
La politique attribue clairement les responsabilités internes en matière d’approbation, de gestion, de contrôle et de documentation des accords contractuels concernés et garantit le maintien, au sein de l’entité financière, des compétences, de l’expérience et des connaissances nécessaires à une supervision effective de ces accords, y compris des services TIC fournis conformément à ceux-ci.
4.
Sans préjudice de la responsabilité finale de l’entité financière de superviser effectivement les accords contractuels conclus, la politique exige une évaluation du prestataire tiers de services TIC attestant qu’il dispose de ressources suffisantes pour garantir que l’entité financière respecte toutes les exigences légales et réglementaires lui incombant quant aux services TIC qui lui sont fournis à l’appui de fonctions critiques ou importantes.
5.
La politique indique clairement à quel rôle ou à quel membre de la direction générale incombe la responsabilité de suivre le respect des accords contractuels conclus. La politique précise comment s’exerce la coopération entre ce rôle ou ce membre de la direction générale et les fonctions de contrôle, à moins qu’il n’en fasse partie, et elle indique les lignes hiérarchiques à respecter pour faire rapport à l’organe de direction, notamment la nature des informations et les documents à lui fournir. Elle précise également la fréquence ce reporting.
6.
La politique garantit la cohérence des accords contractuels avec les éléments suivants:
a)
le cadre de gestion du risque lié aux TIC prévu par l’2554;
b)
la politique de sécurité de l’information prévue par l’2554:
c)
la politique de continuité des activités de TIC prévue par l’2554;
d)
les exigences en matière de déclaration des incidents liés aux TIC prévues par l’2554.
7.
La politique exige que les services TIC fournis par des prestataires tiers de services TIC à l’appui de fonctions critiques ou importantes fassent l’objet d’un examen indépendant et soient inclus dans le plan d’audit.
8.
La politique précise explicitement que les accords contractuels:
a)
ne dispensent pas l’entité financière, ni son organe de direction, des obligations réglementaires de l’entité financière et de ses responsabilités à l’égard de ses clients;
b)
ne doivent pas empêcher la surveillance effective de l’entité financière et ne doivent enfreindre aucune restriction de services ou d’activités imposée par les autorités de surveillance;
c)
doivent imposer aux prestataires tiers de services TIC de coopérer avec les autorités compétentes;
d)
doivent exiger que l’entité financière, ses auditeurs et les autorités compétentes aient effectivement accès aux données et aux locaux en lien avec l’utilisation de services TIC soutenant des fonctions critiques ou importantes.