Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2024R1773_EN.8. Retour au Sommaire du niveau 1. Ouvrir le PDF.
Article 7 – Conflits d’intérêts ⬅️ | ➡️ Article 9 – Suivi des accords contractuels
Références LVL1 <=> LVL2
Level 1 reference(s): 2022R2554_FR.1 > 1#a, 2022R2554_FR.30
Article 8 - Clauses contractuelles
1.
La politique précise que les accords contractuels doivent être écrits et inclure tous les éléments visés à l’article 30, paragraphes 2 et 3, du règlement (UE) 2022/2554. La politique inclut aussi des éléments portant sur les exigences visées à l’article 1 er
, paragraphe 1, point a), du règlement (UE) 2022/2554 et, le cas échéant, sur d’autres dispositions pertinentes du droit de l’Union et du droit national.
2.
La politique précise que les accords contractuels doivent prévoir le droit pour l’entité financière d’accéder à des informations, de procéder à des inspections et des audits, et d’effectuer des tests portant sur les TIC. À cette fin, la politique exige que l’entité financière utilise les méthodes suivantes, sans préjudice de sa responsabilité ultime:
a)
son propre audit interne ou un audit effectué par un tiers désigné;
b)
lorsque cela est approprié, des audits groupés et des tests groupés de TIC, y compris des tests de pénétration fondés sur la menace, organisés conjointement avec d’autres entités financières ou entreprises contractantes qui utilisent des services TIC du même prestataire tiers de services TIC, et effectués par ces entités financières ou entreprises contractantes ou par un tiers désigné par elles;
c)
lorsque cela est approprié, des certifications délivrées par des tiers;
d)
lorsque cela est approprié, des rapports d’audit internes ou de tiers fournis par le prestataire tiers de services TIC
3.
L’entité financière ne peut indéfiniment s’appuyer uniquement sur les certifications visées au paragraphe 2, point c), ou sur les rapports d’audit visés au point d) du même paragraphe. La politique n’autorise l’utilisation des méthodes visées au paragraphe 2, points c) et d), que lorsque l’entité financière:
a)
est convaincue par le plan d’audit du prestataire tiers de services TIC pour les accords contractuels concernés;
b)
s’assure que les certifications ou rapports d’audit couvrent les systèmes et contrôles clés indiqués par elle, et veille au respect des exigences réglementaires applicables;
c)
évalue en permanence et de manière approfondie le contenu des certifications ou des rapports d’audit et vérifie que ces rapports ou certifications ne sont pas obsolètes;
d)
veille à ce que les systèmes et contrôles clés soient couverts par les futures versions des certifications ou rapports d’audit;
e)
est convaincue des aptitudes du tiers qui délivre la certification ou effectue l’audit;
f)
a la conviction que les certifications sont délivrées, et les audits effectués, dans le respect de normes professionnelles pertinentes largement reconnues, et qu’ils comportent un test de l’efficacité opérationnelle des contrôles clés mis en place;
g)
a le droit contractuel de demander, à une fréquence raisonnable et légitime du point de vue de la gestion des risques, que les certifications ou rapports d’audit soient modifiés de manière à englober d’autres systèmes et contrôles pertinents;
h)
a le droit contractuel d’effectuer à sa discrétion des audits individuels et groupés relatifs aux accords contractuels, et d’exercer ce droit selon la fréquence convenue.
4.
La politique garantit que toute modification importante apportée à un accord contractuel sera formalisée dans un document écrit, daté et signé par toutes les parties, et elle précise la procédure de reconduction des accords contractuels.