ANNEX I
Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2025R0295_EN.I. Retour au Sommaire du niveau 1. Lien vers le PDF.
Article 7 – Entrée en vigueur ⬅️ | ➡️ Retour au sommaire
Catégorie d’information
Éléments d’information clés
Informations générales
—
Nom du prestataire tiers critique de services TIC.
—
Code d’identification du prestataire tiers critique de services TIC.
—
Nom de la personne de contact et coordonnées du prestataire tiers critique de services TIC.
—
Date de présentation du modèle.
Vue d’ensemble des accords de sous-traitance
—
Cartographie des accords de sous-traitance, y compris une brève description de l’objet et de la portée des relations de sous-traitance (notamment une indication du niveau de criticité ou de l’importance des accords de sous-traitance pour le prestataire tiers critique de services TIC).
—
Spécification et description des types de services TIC sous-traités et de leur importance par rapport aux services TIC fournis à des entités financières, conformément aux normes techniques d’exécution adoptées en vertu de l’article 28, paragraphe 9, du règlement (UE) 2022/2554.
—
Pour préciser les types de services TIC, veuillez vous référer à la liste figurant à l’annexe IV des normes techniques d’exécution adoptées en vertu de l’article 28, paragraphe 9, du règlement (UE) 2022/2554.
Informations relatives aux sous-traitants
—
Nom et coordonnées de l’entité juridique (y compris le code d’identification) de chaque sous-traitant.
—
Coordonnées des membres du personnel responsables de chacune des relations de sous-traitance dans la structure de gestion du prestataire tiers critique de services TIC.
—
Vue d’ensemble, pour chaque sous-traitant, de l’expertise, de l’expérience et des qualifications liées aux services TIC visés par le contrat.
Description des services fournis par les sous-traitants
—
Description détaillée des services TIC spécifiques fournis par chaque sous-traitant.
—
Délimitation des responsabilités et des tâches attribuées aux sous-traitants en détaillant les différents rôles aux différentes étapes des processus TIC.
—
Informations sur le niveau d’accès des sous-traitants à des données à caractère personnel ou autrement sensibles ou à des systèmes sensibles concernant les services TIC fournis à des entités financières.
—
Informations sur les sites à partir desquels les services des sous-traitants sont fournis et sur les mesures prises pour faire face aux risques découlant des services fournis en dehors de l’Union.
Gouvernance et supervision de la sous-traitance
—
Description du cadre contractuel et de gouvernance en place pour gérer les relations de sous-traitance, y compris les clauses limitant l’utilisation de données sensibles.
—
Explication des processus de sélection, d’engagement et de suivi des sous-traitants.
—
Vue d’ensemble des indicateurs de performance, des accords et des objectifs de niveau de service, ainsi que des indicateurs de performance clés utilisés pour évaluer les performances et le suivi de la fiabilité du sous-traitant.
Gestion des risques et conformité
—
Évaluation des profils de risque du sous-traitant et de l’incidence potentielle sur les services TIC fournis aux entités financières.
—
Explication des mesures d’atténuation des risques mises en œuvre pour faire face aux risques liés à la sous-traitance.
—
Précisions sur le respect par le sous-traitant de la réglementation applicable, y compris en ce qui concerne la protection des données et les normes du secteur.
Continuité des activités et plans d’urgence
—
Vue d’ensemble des plans de continuité des activités et de réponse et de rétablissement du sous-traitant.
—
Description des modalités mises en place pour assurer la continuité du service en cas de perturbations ou de résiliation par le sous-traitant.
—
Fréquence des tests des plans de continuité des activités ainsi que des plans de réponse et de rétablissement effectués par les sous-traitants, dates des derniers tests au cours des trois dernières années, et spécification si le prestataire tiers critique de services TIC a participé à ces tests.
Notification
—
Description des mécanismes de déclaration et de la fréquence de notification entre le prestataire tiers critique de services TIC et ses sous-traitants.
Gestion des incidents et des corrections
—
Description des procédures de traitement des incidents, infractions ou non-conformités liés au sous-traitant.
Certifications et audits
—
Informations sur toute certification, tout audit indépendant ou toute évaluation concernant des sous-traitants pour valider leurs contrôles de sécurité, leurs normes de qualité ou leur conformité réglementaire.
—
Date et fréquence des audits des sous-traitants menés par le prestataire tiers critique de services TIC.# Table 1 in anx_1
| Catégorie d’information | Éléments d’information clés |
|---|---|
| Informations générales | —Nom du prestataire tiers critique de services TIC.—Code d’identification du prestataire tiers critique de services TIC.—Nom de la personne de contact et coordonnées du prestataire tiers critique de services TIC.—Date de présentation du modèle. |
| — | Nom du prestataire tiers critique de services TIC. |
| — | Code d’identification du prestataire tiers critique de services TIC. |
| — | Nom de la personne de contact et coordonnées du prestataire tiers critique de services TIC. |
| — | Date de présentation du modèle. |
| Vue d’ensemble des accords de sous-traitance | —Cartographie des accords de sous-traitance, y compris une brève description de l’objet et de la portée des relations de sous-traitance (notamment une indication du niveau de criticité ou de l’importance des accords de sous-traitance pour le prestataire tiers critique de services TIC).—Spécification et description des types de services TIC sous-traités et de leur importance par rapport aux services TIC fournis à des entités financières, conformément aux normes techniques d’exécution adoptées en vertu de l’article 28, paragraphe 9, du règlement (UE) 2022/2554.—Pour préciser les types de services TIC, veuillez vous référer à la liste figurant à l’annexe IV des normes techniques d’exécution adoptées en vertu de l’article 28, paragraphe 9, du règlement (UE) 2022/2554. |
| — | Cartographie des accords de sous-traitance, y compris une brève description de l’objet et de la portée des relations de sous-traitance (notamment une indication du niveau de criticité ou de l’importance des accords de sous-traitance pour le prestataire tiers critique de services TIC). |
| — | Spécification et description des types de services TIC sous-traités et de leur importance par rapport aux services TIC fournis à des entités financières, conformément aux normes techniques d’exécution adoptées en vertu de l’article 28, paragraphe 9, du règlement (UE) 2022/2554. |
| — | Pour préciser les types de services TIC, veuillez vous référer à la liste figurant à l’annexe IV des normes techniques d’exécution adoptées en vertu de l’article 28, paragraphe 9, du règlement (UE) 2022/2554. |
| Informations relatives aux sous-traitants | —Nom et coordonnées de l’entité juridique (y compris le code d’identification) de chaque sous-traitant.—Coordonnées des membres du personnel responsables de chacune des relations de sous-traitance dans la structure de gestion du prestataire tiers critique de services TIC.—Vue d’ensemble, pour chaque sous-traitant, de l’expertise, de l’expérience et des qualifications liées aux services TIC visés par le contrat. |
| — | Nom et coordonnées de l’entité juridique (y compris le code d’identification) de chaque sous-traitant. |
| — | Coordonnées des membres du personnel responsables de chacune des relations de sous-traitance dans la structure de gestion du prestataire tiers critique de services TIC. |
| — | Vue d’ensemble, pour chaque sous-traitant, de l’expertise, de l’expérience et des qualifications liées aux services TIC visés par le contrat. |
| Description des services fournis par les sous-traitants | —Description détaillée des services TIC spécifiques fournis par chaque sous-traitant.—Délimitation des responsabilités et des tâches attribuées aux sous-traitants en détaillant les différents rôles aux différentes étapes des processus TIC.—Informations sur le niveau d’accès des sous-traitants à des données à caractère personnel ou autrement sensibles ou à des systèmes sensibles concernant les services TIC fournis à des entités financières.—Informations sur les sites à partir desquels les services des sous-traitants sont fournis et sur les mesures prises pour faire face aux risques découlant des services fournis en dehors de l’Union. |
| — | Description détaillée des services TIC spécifiques fournis par chaque sous-traitant. |
| — | Délimitation des responsabilités et des tâches attribuées aux sous-traitants en détaillant les différents rôles aux différentes étapes des processus TIC. |
| — | Informations sur le niveau d’accès des sous-traitants à des données à caractère personnel ou autrement sensibles ou à des systèmes sensibles concernant les services TIC fournis à des entités financières. |
| — | Informations sur les sites à partir desquels les services des sous-traitants sont fournis et sur les mesures prises pour faire face aux risques découlant des services fournis en dehors de l’Union. |
| Gouvernance et supervision de la sous-traitance | —Description du cadre contractuel et de gouvernance en place pour gérer les relations de sous-traitance, y compris les clauses limitant l’utilisation de données sensibles.—Explication des processus de sélection, d’engagement et de suivi des sous-traitants.—Vue d’ensemble des indicateurs de performance, des accords et des objectifs de niveau de service, ainsi que des indicateurs de performance clés utilisés pour évaluer les performances et le suivi de la fiabilité du sous-traitant. |
| — | Description du cadre contractuel et de gouvernance en place pour gérer les relations de sous-traitance, y compris les clauses limitant l’utilisation de données sensibles. |
| — | Explication des processus de sélection, d’engagement et de suivi des sous-traitants. |
| — | Vue d’ensemble des indicateurs de performance, des accords et des objectifs de niveau de service, ainsi que des indicateurs de performance clés utilisés pour évaluer les performances et le suivi de la fiabilité du sous-traitant. |
| Gestion des risques et conformité | —Évaluation des profils de risque du sous-traitant et de l’incidence potentielle sur les services TIC fournis aux entités financières.—Explication des mesures d’atténuation des risques mises en œuvre pour faire face aux risques liés à la sous-traitance.—Précisions sur le respect par le sous-traitant de la réglementation applicable, y compris en ce qui concerne la protection des données et les normes du secteur. |
| — | Évaluation des profils de risque du sous-traitant et de l’incidence potentielle sur les services TIC fournis aux entités financières. |
| — | Explication des mesures d’atténuation des risques mises en œuvre pour faire face aux risques liés à la sous-traitance. |
| — | Précisions sur le respect par le sous-traitant de la réglementation applicable, y compris en ce qui concerne la protection des données et les normes du secteur. |
| Continuité des activités et plans d’urgence | —Vue d’ensemble des plans de continuité des activités et de réponse et de rétablissement du sous-traitant.—Description des modalités mises en place pour assurer la continuité du service en cas de perturbations ou de résiliation par le sous-traitant.—Fréquence des tests des plans de continuité des activités ainsi que des plans de réponse et de rétablissement effectués par les sous-traitants, dates des derniers tests au cours des trois dernières années, et spécification si le prestataire tiers critique de services TIC a participé à ces tests. |
| — | Vue d’ensemble des plans de continuité des activités et de réponse et de rétablissement du sous-traitant. |
| — | Description des modalités mises en place pour assurer la continuité du service en cas de perturbations ou de résiliation par le sous-traitant. |
| — | Fréquence des tests des plans de continuité des activités ainsi que des plans de réponse et de rétablissement effectués par les sous-traitants, dates des derniers tests au cours des trois dernières années, et spécification si le prestataire tiers critique de services TIC a participé à ces tests. |
| Notification | —Description des mécanismes de déclaration et de la fréquence de notification entre le prestataire tiers critique de services TIC et ses sous-traitants. |
| — | Description des mécanismes de déclaration et de la fréquence de notification entre le prestataire tiers critique de services TIC et ses sous-traitants. |
| Gestion des incidents et des corrections | —Description des procédures de traitement des incidents, infractions ou non-conformités liés au sous-traitant. |
| — | Description des procédures de traitement des incidents, infractions ou non-conformités liés au sous-traitant. |
| Certifications et audits | —Informations sur toute certification, tout audit indépendant ou toute évaluation concernant des sous-traitants pour valider leurs contrôles de sécurité, leurs normes de qualité ou leur conformité réglementaire.—Date et fréquence des audits des sous-traitants menés par le prestataire tiers critique de services TIC. |
| — | Informations sur toute certification, tout audit indépendant ou toute évaluation concernant des sous-traitants pour valider leurs contrôles de sécurité, leurs normes de qualité ou leur conformité réglementaire. |
| — | Date et fréquence des audits des sous-traitants menés par le prestataire tiers critique de services TIC. |
Table 2 in anx_1
| — | Nom du prestataire tiers critique de services TIC. |
|---|
Table 3 in anx_1
| — | Code d’identification du prestataire tiers critique de services TIC. |
|---|
Table 4 in anx_1
| — | Nom de la personne de contact et coordonnées du prestataire tiers critique de services TIC. |
|---|
Table 5 in anx_1
| — | Date de présentation du modèle. |
|---|
Table 6 in anx_1
| — | Cartographie des accords de sous-traitance, y compris une brève description de l’objet et de la portée des relations de sous-traitance (notamment une indication du niveau de criticité ou de l’importance des accords de sous-traitance pour le prestataire tiers critique de services TIC). |
|---|
Table 7 in anx_1
| — | Spécification et description des types de services TIC sous-traités et de leur importance par rapport aux services TIC fournis à des entités financières, conformément aux normes techniques d’exécution adoptées en vertu de l’article 28, paragraphe 9, du règlement (UE) 2022/2554. |
|---|
Table 8 in anx_1
| — | Pour préciser les types de services TIC, veuillez vous référer à la liste figurant à l’annexe IV des normes techniques d’exécution adoptées en vertu de l’article 28, paragraphe 9, du règlement (UE) 2022/2554. |
|---|
Table 9 in anx_1
| — | Nom et coordonnées de l’entité juridique (y compris le code d’identification) de chaque sous-traitant. |
|---|
Table 10 in anx_1
| — | Coordonnées des membres du personnel responsables de chacune des relations de sous-traitance dans la structure de gestion du prestataire tiers critique de services TIC. |
|---|
Table 11 in anx_1
| — | Vue d’ensemble, pour chaque sous-traitant, de l’expertise, de l’expérience et des qualifications liées aux services TIC visés par le contrat. |
|---|
Table 12 in anx_1
| — | Description détaillée des services TIC spécifiques fournis par chaque sous-traitant. |
|---|
Table 13 in anx_1
| — | Délimitation des responsabilités et des tâches attribuées aux sous-traitants en détaillant les différents rôles aux différentes étapes des processus TIC. |
|---|
Table 14 in anx_1
| — | Informations sur le niveau d’accès des sous-traitants à des données à caractère personnel ou autrement sensibles ou à des systèmes sensibles concernant les services TIC fournis à des entités financières. |
|---|
Table 15 in anx_1
| — | Informations sur les sites à partir desquels les services des sous-traitants sont fournis et sur les mesures prises pour faire face aux risques découlant des services fournis en dehors de l’Union. |
|---|
Table 16 in anx_1
| — | Description du cadre contractuel et de gouvernance en place pour gérer les relations de sous-traitance, y compris les clauses limitant l’utilisation de données sensibles. |
|---|
Table 17 in anx_1
| — | Explication des processus de sélection, d’engagement et de suivi des sous-traitants. |
|---|
Table 18 in anx_1
| — | Vue d’ensemble des indicateurs de performance, des accords et des objectifs de niveau de service, ainsi que des indicateurs de performance clés utilisés pour évaluer les performances et le suivi de la fiabilité du sous-traitant. |
|---|
Table 19 in anx_1
| — | Évaluation des profils de risque du sous-traitant et de l’incidence potentielle sur les services TIC fournis aux entités financières. |
|---|
Table 20 in anx_1
| — | Explication des mesures d’atténuation des risques mises en œuvre pour faire face aux risques liés à la sous-traitance. |
|---|
Table 21 in anx_1
| — | Précisions sur le respect par le sous-traitant de la réglementation applicable, y compris en ce qui concerne la protection des données et les normes du secteur. |
|---|
Table 22 in anx_1
| — | Vue d’ensemble des plans de continuité des activités et de réponse et de rétablissement du sous-traitant. |
|---|
Table 23 in anx_1
| — | Description des modalités mises en place pour assurer la continuité du service en cas de perturbations ou de résiliation par le sous-traitant. |
|---|
Table 24 in anx_1
| — | Fréquence des tests des plans de continuité des activités ainsi que des plans de réponse et de rétablissement effectués par les sous-traitants, dates des derniers tests au cours des trois dernières années, et spécification si le prestataire tiers critique de services TIC a participé à ces tests. |
|---|
Table 25 in anx_1
| — | Description des mécanismes de déclaration et de la fréquence de notification entre le prestataire tiers critique de services TIC et ses sous-traitants. |
|---|
Table 26 in anx_1
| — | Description des procédures de traitement des incidents, infractions ou non-conformités liés au sous-traitant. |
|---|
Table 27 in anx_1
| — | Informations sur toute certification, tout audit indépendant ou toute évaluation concernant des sous-traitants pour valider leurs contrôles de sécurité, leurs normes de qualité ou leur conformité réglementaire. |
|---|
Table 28 in anx_1
| — | Date et fréquence des audits des sous-traitants menés par le prestataire tiers critique de services TIC. |
|---|