Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2025R0302_EN.7. Retour au Sommaire du niveau 1. Ouvrir le PDF.
Article 6 – Notification de l’externalisation des obligations de déclaration ⬅️ | ➡️ Article 8 – Notification des cybermenaces importantes
Références LVL1 <=> LVL2
Level 1 reference(s): 2022R2554_FR.19 > 5
Article 7 - Déclaration agrégée
1.
Un prestataire tiers de services auprès duquel des obligations de déclaration ont été externalisées conformément à l’2554 peut utiliser le modèle figurant à l’annexe I du présent règlement pour fournir, dans une seule et même notification ou un seul et même rapport, des informations agrégées sur un incident majeur lié aux TIC ayant une incidence sur plusieurs entités financières, et soumettre cette notification ou ce rapport à l’autorité compétente au nom de toutes les entités financières touchées, pour autant que toutes les conditions suivantes soient réunies:
a)
l’incident majeur lié aux TIC devant être déclaré est imputable à un prestataire tiers de services TIC ou est causé par celui-ci;
b)
ce prestataire tiers de services fournit le service TIC concerné à plus d’une entité financière ou à un groupe;
c)
l’incident lié aux TIC est classé comme majeur par chaque entité financière mentionnée dans la notification agrégée ou le rapport agrégé;
d)
l’incident majeur lié aux TIC touche des entités financières au sein d’un seul État membre et le rapport agrégé concerne des entités financières qui sont soumises à la surveillance de la même autorité compétente;
e)
les autorités compétentes ont explicitement autorisé ce type d’entités financières à agréger leurs déclarations.
2.
Le paragraphe 1 ne s’applique pas aux établissements de crédit jugés d’importance significative au sens de l’2014 de la Banque centrale européenne
, aux opérateurs de plates-formes de négociation et aux contreparties centrales, qui utilisent uniquement le modèle figurant à l’annexe I pour soumettre individuellement à leur autorité compétente des notifications ou des rapports d’incidents majeurs liés aux TIC.
3.
Lorsque les autorités compétentes exigent des informations relatives à l’incidence individuelle de l’incident majeur lié aux TIC sur une seule et même entité financière, à la demande de l’autorité compétente, l’entité financière soumet une notification individuelle ou un rapport sur l’incident majeur lié aux TIC.