25 MAI 2025. - Loi relative à la surveillance des fournisseurs de services de messagerie financière

Chapitre 1er.- Objectif - définitions - champ d'application

Article 1er. La présente loi règle une matière visée à l'article 74 de la Constitution.

Art. 2.§ 1er. La présente loi règle, dans un but de protection du bon fonctionnement, de la solidité et de l'efficacité des systèmes de compensation, de règlement et de paiements ainsi que de la solidité du système financier en général, les activités et la surveillance par la Banque nationale de Belgique des fournisseurs de services de messagerie financière établis en Belgique.

§ 2. Les missions dévolues à la Banque nationale de Belgique par la présente loi relèvent des missions visées à l'article 8 de la loi du 22 février 1998 fixant le statut organique de la Banque nationale de Belgique.

§ 3. Sans préjudice des dispositions de l'article 8, § 2, de la loi du 22 février 1998 fixant le statut organique de la Banque nationale de Belgique, la Banque nationale de Belgique peut clarifier les attentes concernant le respect de la présente loi et des arrêtés et règlements adoptés aux fins de son exécution au moyen de communications, de recommandations et de circulaires.

Art. 3.Aux fins de l'application de la présente loi, il y a lieu d'entendre par :

1°loi du 22 février 1998 : la loi du 22 février 1998 fixant le statut organique de la Banque nationale de Belgique ;

2°loi du 25 avril 2014 : la loi du 25 avril 2014 relative au statut et au contrôle des établissements de crédit ;

3°la Banque : la Banque nationale de Belgique, à savoir l'organisme dont le statut est régi par la loi du 22 février 1998, ci-après désignée "la Banque" ;

4°services de messagerie financière : services qui permettent aux entités financières et aux autorités publiques d'envoyer et de recevoir des messages contenant des informations relatives à des transactions financières, telles que les paiements et les transactions sur titres, y inclus des services opérationnels et des services auxiliaires qui y sont étroitement liés, se situent dans leur prolongement direct ou en constituent le complément ;

5°fournisseur : toute personne physique ou morale établie en Belgique qui fournit des services de messagerie financière ;

6°fournisseur d'importance systémique : tout fournisseur à qui une notification a été donnée en vertu de l'article 7, § 1er ;

7°direction effective : les personnes qui sont membres du conseil de direction et les personnes auxquelles la gestion journalière est déléguée ;

8°personnel de direction : personnel de direction au sens de l'article 4, 4°, de la loi du 4 décembre 2007 relative aux élections sociales ;

9°société ou personne liée : toute société ou personne liée à un fournisseur au sens de l'article 1:20 du Code des sociétés et des associations ;

10°fonctions de contrôle indépendantes : la fonction d'audit interne, la fonction de conformité (compliance) ou la fonction de gestion des risques ;

11°décision stratégique :

a)une décision prise par un fournisseur d'importance systémique ou par une entité sous son contrôle, qui peut avoir un impact significatif sur le profil de risque du fournisseur ;

b)tout type de décision produisant des effets similaires dans le chef du fournisseur d'importance systémique, prise par un actionnaire qui exerce le contrôle sur ce fournisseur ;

12°externalisation : tout accord, quelle que soit sa forme, entre un fournisseur d'importance systémique et un prestataire de services, y compris les prestataires tiers de services TIC, en vertu duquel ce prestataire de services prend en charge un processus, un service ou une activité aux fins de permettre au fournisseur d'importance systémique la fourniture de services de messagerie financière et qui aurait autrement été pris en charge par ce fournisseur lui-même ;

13°fonction critique ou importante : une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d'un fournisseur d'importance systémique, à la solidité ou à la continuité de ses services et activités ou à l'exécution de transactions financières nationales ou internationales, ou dont l'interruption, l'anomalie ou la défaillance est susceptible de nuire sérieusement à la capacité d'un fournisseur d'importance systémique de respecter en permanence les obligations découlant des dispositions de la présente loi ;

14°résilience opérationnelle numérique : la capacité d'un fournisseur d'importance systémique à développer, garantir et évaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l'intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d'information qu'il utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations ;

15°réseau et système d'information : un réseau et système d'information visé à l'article 8, 1°, de la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique ;

16°sécurité des réseaux et des systèmes d'information : la capacité des réseaux et des systèmes d'information de résister, à un niveau de confiance donné, à tout événement susceptible de compromettre la disponibilité, l'authenticité, l'intégrité ou la confidentialité de données stockées, transmises ou faisant l'objet d'un traitement, ou des services que ces réseaux et systèmes d'information offrent ou rendent accessibles, y inclus la protection de l'infrastructure physique ;

17°risque lié aux TIC : toute circonstance raisonnablement identifiable liée à l'utilisation des réseaux et des systèmes d'information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d'information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l'environnement numérique ou physique ;

18°actifs de TIC : les actifs logiciel ou matériel dans les réseaux et les systèmes d'information utilisés par un fournisseur d'importance systémique ;

19°incident : un événement qui perturbe ou est susceptible de perturber la fourniture de services de messagerie financière, y compris, le cas échéant, un incident lié aux TIC ;

20°incident lié aux TIC : un événement ou une série d'événements liés entre eux que le fournisseur d'importance systémique n'a pas prévu qui compromet la sécurité des réseaux et des systèmes d'information, et a une incidence négative sur la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données ou sur les services fournis par le fournisseur ;

21°incident majeur : un incident qui a une incidence négative élevée sur le fonctionnement du fournisseur d'importance systémique ou sur les actifs ou les réseaux et les systèmes d'information qui soutiennent ses fonctions critiques ou importantes, y compris toute indisponibilité des services ;

22°cybermenace : une cybermenace au sens de l'article 2, point 8), du règlement (UE) 2019/881 du Parlement européen et du Conseil du 17 avril 2019 relatif à l'ENISA (Agence de l'Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l'information et des communications, et abrogeant le règlement (UE) n° 526/2013 ;

23°cybermenace majeure : une cybermenace dont les caractéristiques techniques indiquent qu'elle pourrait donner lieu à un incident majeur ;

24°cyberattaque : un incident lié aux TIC malveillant causé par une tentative de destruction, d'exposition, de modification, de désactivation, de vol, d'utilisation non autorisée d'un actif ou d'accès non autorisé à celui-ci, perpétrée par un acteur de la menace ;

25°tests de pénétration fondés sur la menace (threat led penetration testing - TLPT) : un cadre simulant les tactiques, les techniques et les procédures d'acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements les systèmes critiques en environnement de production du fournisseur d'importance systémique ;

26°prestataire tiers de services TIC : une entreprise qui fournit des services TIC ;

27°services TIC : les services numériques et de données fournis de manière permanente par l'intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d'assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l'exclusion des services de téléphonie analogique traditionnels ;

28°liens étroits :

a)une situation dans laquelle il existe un lien de participation, ou ;

b)une situation dans laquelle des entreprises sont des entreprises liées, ou ;

c)une relation de même nature que sous les a) et b) entre une personne physique et une personne morale.

Art. 4.La présente loi s'applique aux fournisseurs de services de messagerie financière établis en Belgique.

Chapitre 2.- Seuil et obligations de notification

Art. 5.Si un fournisseur a traité au minimum 1 milliard de messages financiers par an, calculés comme la moyenne des trois années civiles antérieures, ce fournisseur est considéré comme un fournisseur d'importance systémique à partir du moment où la notification visée à l'article 7, § 1er, prend effet.

Sur avis de la Banque, le Roi est habilité à :

1°modifier le montant du seuil visé à l'alinéa 1er ;

2°fixer des règles plus précises pour le calcul du seuil visé à l'alinéa 1er.

Art. 6.§ 1er. Tout fournisseur transmet chaque année à la Banque, avant le 1er avril, les informations qu'elle estime nécessaires pour déterminer s'il a dépassé le seuil visé à l'article 5.

§ 2. Tout fournisseur est tenu d'immédiatement informer la Banque en cas de dépassement du seuil visé à l'article 5.

Art. 7.§ 1er. Lorsqu'un fournisseur a dépassé le seuil visé à l'article 5, la Banque prend une décision sur sa qualification de fournisseur d'importance systémique.

La Banque porte sa décision à la connaissance du fournisseur, soit par courrier recommandé, soit par courrier avec accusé de réception. Cette notification prend effet à compter de la date arrêtée par la Banque et au plus tôt six mois après la date de la notification.

§ 2. Lorsqu'un fournisseur d'importance systémique ne dépasse plus le seuil visé à l'article 5, la Banque prend une décision sur le retrait de sa qualification de fournisseur d'importance systémique. La Banque prend cette décision soit de sa propre initiative, soit sur demande du fournisseur d'importance systémique, auquel cas le fournisseur joint à sa demande toutes les explications et données nécessaires.

La Banque porte sa décision à la connaissance du fournisseur, soit par courrier recommandé, soit par courrier avec accusé de réception. Cette notification prend effet à compter de la date arrêtée par la Banque.

§ 3. Lors de la prise d'une décision sur la base de cet article, la Banque tient compte de toute information qu'elle reçoit en vertu de cet article et de l'article 6, ainsi que de toute information dont elle dispose dans l'exercice de ses missions.

Art. 8.La Banque conserve une liste de tous les fournisseurs d'importance systémique. La Banque publie cette liste sur son site internet et la met à jour si besoin en est.

La liste visée à l'alinéa 1er mentionne au minimum les informations suivantes concernant chaque fournisseur d'importance systémique :

1°la date à laquelle la notification de qualification de fournisseur d'importance systémique prend effet, conformément à l'article 7, § 1er ;

2°la dénomination sociale, la forme juridique et l'adresse du siège du fournisseur d'importance sytémique.

Chapitre 3.- Organisation et administration

Section 1ère.- Forme de société

Art. 9.Chaque fournisseur d'importance systémique est constitué sous la forme d'une société coopérative ou d'une société anonyme de droit belge, moyennant le respect des exigences spécifiques prévues par la présente loi ou par la réglementation européenne.

Section 2.- Organes sociétaires

Art. 10.§ 1er. L'administration d'un fournisseur d'importance systémique constitué sous la forme de société anonyme est assurée par un conseil de surveillance et un conseil de direction. Sans préjudice des dispositions prévues par la présente loi ou par les normes de droit européen directement applicables, les dispositions relatives à l'administration duale visées au livre 7, titre 4, chapitre 1er, section 3, du Code des sociétés et associations sont d'application.

§ 2. Les statuts d'un fournisseur d'importance systémique constitué sous la forme d'une société coopérative prévoient la constitution d'un conseil de surveillance et d'un conseil de direction. Sans préjudice des dispositions prévues par la présente loi ou par les normes de droit européen directement applicables, les dispositions relatives à l'administration duale visées au livre 7, titre 4, chapitre 1er, section 3, du Code des sociétés et associations sont d'application par analogie.

§ 3. La gestion journalière, lorsqu'elle est prévue par le Code des sociétés et des associations pour la forme sociétaire concernée, ne peut pas être confiée à un membre du conseil de surveillance.

Art. 11.§ 1er. Au moins un tiers mais pas moins de trois des membres du conseil de surveillance, dont le président, sont des administrateurs indépendants.

§ 2. Un administrateur est considéré être indépendant lorsqu'il ou elle :

1°a la capacité de former un jugement approfondi et objectif fondé sur une évaluation juste et proportionnée des intérêts de toutes les parties internes et externes impliquées, en tenant compte de toutes les informations pertinentes ;

2°a la capacité de prévenir et, le cas échéant, de résister à toute influence indue de la part de la direction effective ou du personnel de direction du fournisseur d'importance systémique ou de parties externes ;

3°durant une période de cinq années précédant sa nomination, n'a pas exercé auprès du fournisseur d'importance systémique un mandat de personne chargée de la direction effective, et n'a pas exercée auprès d'une société ou personne liée un mandat de membre du conseil de surveillance ou de l'organe d'administration, ni un mandat de personne chargée de la direction effective ;

4°durant une période de trois années précédant sa nomination, n'a pas fait partie du personnel du fournisseur d'importance systémique ;

5°n'entretient pas, ni a entretenu durant une période d'un an avant sa nomination, une relation d'affaires significative avec le fournisseur d'importance systémique ou avec une société ou personne liée ;

6°n'a pas été au cours des trois dernières années, membre de l'équipe d'audit du réviseur, actuel ou précédent, du fournisseur d'importance systémique ou d'une société ou personne liée ;

7°n'a au sein du fournisseur d'importance systémique ou au sein d'une société ou personne liée, ni conjoint ni cohabitant légal, ni parents ni alliés jusqu'au deuxième degré exerçant un mandat de membre du conseil de surveillance ou de l'organe d'administration, un mandat de personne chargée de la direction effective ou de personnel de direction, ou se trouvant dans un des autres cas définis aux 3° à 6°.

§ 3. Un administrateur indépendant ne peut pas faire partie du personnel d'un fournisseur d'importance systémique. Cependant, un administrateur indépendant peut faire partie du personnel d'une société ou personne liée, à condition que le fournisseur d'importance systémique puisse fournir des garanties suffisantes que ceci ne complique pas ou n'entrave pas l'exercice indépendant de son mandat d'administrateur.

L'indépendance visée à l'alinéa 1er est réputée non compromise lorsque :

1°ni la personne concernée dans ses fonctions quotidiennes de membre du personnel, ni son supérieur direct, au sein de la société ou personne liée ne sont impliqués dans la préparation ou le processus des décisions stratégiques relatives au fournisseur d'importance systémique ;

2°la personne concernée n'exerce pas de fonction commerciale ou de tâches liées à une activité de paiement au sein de la société ou personne liée ;

3°le fournisseur d'importance systémique peut offrir toute autre garantie fondée et acceptable pour la Banque.

§ 4. Moyennant justification dûment motivée et sous réserve d'une appréciation contraire de la Banque, qui vérifie le bien-fondé de cette justification, un fournisseur d'importance systémique peut déroger aux critères visés au paragraphe 2, 3° à 7°.

§ 5. La décision de nomination d'un administrateur indépendant fait mention des motifs sur la base desquels est octroyée cette qualité à l'administrateur. Les statuts du fournisseur d'importance systémique peuvent prévoir des critères additionnels ou plus sévères.

Art. 12.Les membres du conseil de surveillance ne peuvent exercer ce mandat plus de douze ans au total. Les statuts du fournisseur d'importance systémique peuvent prévoir des délais plus stricts.

Section 3.- Mise en place de comités

Art. 13.§ 1er. Sans préjudice des missions du conseil de surveillance, tout fournisseur d'importance systémique constitue, au sein de cet organe, au moins les comités suivants :

1°un comité d'audit ;

2°un comité des risques ;

3°un comité de gouvernance et de nomination.

Ces comités sont exclusivement composés de membres du conseil de surveillance, un membre ne pouvant pas siéger dans plus de deux des comités précités.

§ 2. Le président de chaque comité est indépendant et ne peut être le président que d'un seul comité.

§ 3. Le président d'un comité est considéré être indépendant lorsqu'il ou elle satisfait aux critères visés à l'article 11, § 2. Le fournisseur d'importance systémique ne peut pas déroger à ces critères.

§ 4. Le président indépendant d'un comité ne peut en aucun cas faire partie du personnel d'un fournisseur d'importance systémique ou d'une société avec laquelle il existe un lien de participation au sens de l'article 1:23 du Code des sociétés et des associations.

§ 5. La décision de nomination d'un président indépendant d'un comité fait mention des motifs sur la base desquels cette qualité est octroyée au président. Les statuts du fournisseur d'importance systémique peuvent prévoir des critères additionnels ou plus sévères.

Art. 14.§ 1er. Le président du comité d'audit est désigné par le conseil de surveillance, sur recommandation du comité de gouvernance et de nomination.

§ 2. Les membres du comité d'audit disposent d'une compétence collective dans le domaine d'activités du fournisseur d'importance systémique. Au moins un membre du comité d'audit justifie de la compétence nécessaire en matière de comptabilité et d'audit.

§ 3. Le comité d'audit est au moins chargé des missions prévues par l'article 7:99, § 4, du Code des sociétés et des associations.

Le comité d'audit fait régulièrement rapport au conseil de surveillance sur l'exercice de ses missions.

§ 4. Cet article est sans préjudice des dispositions du Code des sociétés et des associations relatives au comité d'audit au sein de sociétés cotées au sens de l'article 1:11 de ce Code.

Art. 15.§ 1er. Le président du comité de risque est désigné par le conseil de surveillance, sur recommandation du comité de gouvernance et de nomination.

§ 2. Les membres du comité des risques disposent individuellement des connaissances, des compétences, de l'expérience et des aptitudes nécessaires pour leur permettre de comprendre et d'appréhender la stratégie et le niveau de tolérance au risque du fournisseur d'importance systémique.

§ 3. Le comité des risques conseille le conseil de surveillance pour les aspects concernant la stratégie et le niveau de tolérance en matière de risques, tant actuels que futurs. Il assiste le conseil de surveillance lors de la mise en oeuvre de cette stratégie et lors de sa supervision.

§ 4. Le comité des risques détermine la nature, le volume, la forme et la fréquence des informations concernant les risques à lui transmettre. Il dispose d'un accès direct à la fonction de gestion des risques du fournisseur d'importance systémique et aux conseils d'experts extérieurs.

Art. 16.§ 1er. Le président du comité de gouvernance et de nomination est désigné par le conseil de surveillance, sur recommandation du comité de gouvernance et de nomination.

§ 2. Le comité de gouvernance et de nomination est composé de manière à lui permettre d'exercer un jugement pertinent et indépendant sur la gouvernance d'entreprise et la composition et le fonctionnement efficace des organes d'administration et de gestion du fournisseur d'importance systémique, en particulier sur l'expertise individuelle et collective de leurs membres et sur l'intégrité, la réputation, la diversité, l'indépendance d'esprit et la disponibilité de ceux-ci.

§ 3. Le comité de gouvernance et de nomination :

1°identifie et recommande, pour approbation par l'assemblée générale ou, le cas échéant, par le conseil de surveillance, des candidats aptes à occuper des sièges vacants au sein du conseil de surveillance, des comité et du conseil de direction, évalue l'équilibre de connaissances, de compétences, de diversité et d'expérience au sein du conseil de surveillance et du conseil de direction, élabore une description des missions et des qualifications liées à une nomination donnée et évalue le temps à consacrer à ces fonctions ;

2°évalue périodiquement, et à tout le moins une fois par an, la structure, la taille, la composition et les performances du conseil de surveillance, des comités et du conseil de direction et soumet au conseil de surveillance des recommandations en ce qui concerne des changements éventuels ;

3°évalue périodiquement, et à tout le moins une fois par an, les connaissances, les compétences, l'expérience, le degré d'implication, notamment l'assiduité, des membres du conseil de surveillance, des comités et du conseil de direction, tant individuellement que collectivement, et en rend compte au conseil de surveillance ;

4°examine périodiquement les politiques du conseil de surveillance en matière de sélection et de nomination des membres du conseil de direction, et formule des recommandations à l'intention du conseil de surveillance ;

5°élaborer et recommander des politiques et des procédures de gouvernance pour approbation par l'assemblée générale, y compris les statuts et les règles d'entreprise, et pour approbation par le conseil de surveillance, y compris le code de conduite ;

6°prépare et examine périodiquement le respect des procédures visées à l'article 30, § 1er, 3°, servant à identifier, à gérer et à régler les conflits d'intérêts, y compris la tenue d'un registre central des conflits potentiels et des mandats externes des membres du conseil de surveillance ;

7°promeut une culture de formation continue des membres du conseil de surveillance ;

8°identifie des lacunes potentielles dans les processus de gouvernance et propose des changements basés sur les meilleures pratiques.

§ 4. Dans l'exercice de ses attributions, le comité de gouvernance et de nomination veille à ce que la prise de décision au sein des organes décisionnels ne soit pas dominée par une personne ou un petit groupe de personnes, d'une manière qui porte atteinte à la collégialité de ces organes ou qui soit préjudiciable aux intérêts du fournisseur d'importance systémique dans son ensemble.

§ 5. Le comité de gouvernance et de nomination peut recourir à tout type de ressource qu'il considère comme étant appropriée à l'exercice de sa mission, y compris à des conseils externes, et reçoit les moyens financiers appropriés à cet effet.

Art. 17.La Banque peut, par voie de règlement pris en application de l'article 8, § 2, de la loi du 22 février 1998, préciser et compléter les éléments visés aux articles 14, 15 et 16.

Section 4.- Fonctions de contrôle indépendantes opérationnelles

Art. 18.§ 1er. Chaque fournisseur d'importance systémique prend les mesures nécessaires pour disposer en permanence des fonctions de contrôle indépendantes adéquates suivantes :

1°conformité (compliance) ;

2°gestion des risques ;

3°audit interne.

Les personnes qui assurent l'exercice de ces fonctions de contrôle sont indépendantes des unités opérationnelles du fournisseur d'importance systémique et disposent des prérogatives nécessaires au bon accomplissement de leurs fonctions. La rémunération de ces personnes est fixée en fonction de la réalisation des objectifs liés à leurs fonctions, indépendamment des performances des domaines d'activités contrôlés.

§ 2. Dans son évaluation du caractère adéquat des fonctions visées au paragraphe 1er, la Banque tient compte de la nature, de l'échelle et de la complexité des risques inhérents au modèle d'entreprise et aux activités du fournisseur d'importance systémique.

Art. 19.§ 1er. Chaque fournisseur d'importance systémique dispose d'une fonction de conformité (compliance) adéquate destinée à assurer le respect, par le fournisseur d'importance systémique, les membres de son conseil de surveillance, les personnes chargées de la direction effective, ses salariés et ses mandataires des règles légales et réglementaires d'intégrité et de conduite qui s'appliquent à son activité.

§ 2. Les personnes qui assurent la fonction de conformité (compliance) font rapport au conseil de surveillance au moins une fois par an.

Le conseil de surveillance transmet annuellement à la Banque un rapport relatif à l'évaluation qu'il effectue de la fonction de conformité en application de l'article 33, § 2, 2°.

Art. 20.§ 1er. Chaque fournisseur d'importance systémique dispose d'une fonction de gestion des risques adéquate, indépendante des fonctions opérationnelles et qui dispose d'une autorité, d'un statut et de ressources suffisants, ainsi que d'un accès direct au conseil de surveillance.

§ 2. Les personnes qui assurent la fonction de gestion des risques veillent à ce que tous les risques significatifs soient détectés, mesurés et correctement déclarés. Elles participent activement à l'élaboration de la stratégie en matière de risque du fournisseur d'importance systémique ainsi qu'à toutes les décisions de gestion ayant une incidence significative en matière de risque et peuvent fournir une vue complète de toute la gamme des risques auxquels est exposé le fournisseur d'importance systémique.

Art. 21.Les responsables des fonctions de gestion des risques et de conformité (compliance) rendent directement compte au conseil de surveillance et peuvent lui faire part de préoccupations et l'avertir, le cas échéant, en cas d'évolution des risques affectant ou susceptible d'affecter le fournisseur.

L'alinéa 1er ne porte pas préjudice aux responsabilités du conseil de surveillance en vertu de la présente loi.

Art. 22.§ 1er. Chaque fournisseur d'importance systémique garanti dans une charte d'audit, au minimum, l'indépendance de la fonction d'audit interne et l'étendue de ses missions à toute activité et entité du fournisseur, y compris en cas de sous-traitance.

§ 2. La fonction d'audit interne a pour objet de fournir au conseil de surveillance une évaluation indépendante de la qualité et de l'efficience du contrôle interne, de la gestion des risques et du dispositif de gouvernance du fournisseur.

§ 3. La fonction d'audit interne fait directement rapport au conseil de surveillance, le cas échéant via le comité d'audit.

Art. 23.Les personnes qui sont responsables des fonctions de contrôle indépendantes ne peuvent être démises de leur fonction sans l'accord préalable du conseil de surveillance.

Le fournisseur d'importance systémique en informe préalablement la Banque.

Art. 24.La Banque peut, par voie de règlement pris en application de l'article 8, § 2, de la loi du 22 février 1998, préciser et compléter ce qu'il y a lieu d'entendre par fonction d'audit interne indépendante adéquate, fonction de gestion des risques indépendante adéquate et fonction de conformité (compliance) indépendante adéquate.

Section 5.- Direction, honorabilité professionnelle et expertise adéquate

Art. 25.§ 1er. Les membres du conseil de surveillance du fournisseur d'importance systémique, les personnes chargées de la direction effective ainsi que les responsables des fonctions de contrôle indépendantes sont exclusivement des personnes physiques.

§ 2. Les personnes visées au paragraphe 1er doivent disposer en permanence de l'honorabilité professionnelle nécessaire et de l'expertise adéquate à l'exercice de leur fonction, y compris en ce qui concerne le respect de l'exigence visée à l'article 26.

Art. 26.§ 1er. Ne peuvent exercer les fonctions de membre du conseil de surveillance, de personne chargée de la direction effective ou de responsable d'une fonction de contrôle indépendante, les personnes qui ont été condamnées à une peine visée à l'article 20, § 1er, de la loi du 25 avril 2014.

§ 2. Les interdictions mentionnées au paragraphe 1er ont une durée :

1°de vingt ans pour les peines d'emprisonnement supérieure à douze mois ;

2°de dix ans pour les autres peines d'emprisonnement ou d'amende ainsi qu'en cas de condamnation assortie d'un sursis.

Art. 27.§ 1er. Chaque fournisseur d'importance systémique informe préalablement la Banque de la proposition de nomination :

1°du président du conseil de surveillance ;

2°du président du conseil de direction ;

3°du président de chaque comité visé à l'article 13, § 1er ;

4°du responsable de la fonction de la gestion des risques ;

5°le responsable de la fonction d'audit interne.

Dans le cadre de l'information requise en vertu de l'alinéa 1er, le fournisseur d'importance systémique communique à la Banque tous les documents et informations lui permettant d'évaluer si les personnes dont la nomination est proposée disposent de l'honorabilité professionnelle nécessaire et de l'expertise adéquate à l'exercice de leur fonction conformément à l'article 25, § 2.

L'alinéa 1er est également applicable à la proposition de renouvellement de la nomination des personnes qui y sont visées ainsi qu'au non-renouvellement de leur nomination, à leur révocation ou à leur démission.

§ 2. La nomination des personnes visées au paragraphe 1er est soumise à l'approbation préalable de la Banque.

§ 3. Le fournisseur d'importance systémique informe la Banque de la répartition éventuelle des tâches entre les membres du conseil de surveillance et entre les personnes chargées de la direction effective.

Les modifications importantes intervenues dans la répartition des tâches visée à l'alinéa 1er, donnent le cas échéant lieu à l'application des paragraphes 1er et 2.

§ 4. Outre les dispositions du paragraphe 1er, le fournisseur d'importance systémique et les personnes visées au paragraphe 1er communiquent sans délai à la Banque tout fait ou élément qui implique une modification des informations fournies lors de la nomination et qui pourrait avoir une incidence sur l'honorabilité professionnelle nécessaire ou l'expertise adéquate à l'exercice de la fonction concernée.

La Banque peut effectuer une réévaluation du respect des exigences visées à l'article 25, § 2, lorsqu'elle a connaissance, dans le cadre de l'exercice de sa mission de contrôle, d'un tel fait ou élément, obtenu ou non en application de l'alinéa 1er.

Art. 28.Les membres du conseil de surveillance et les personnes chargées de la direction effective, ainsi que les personnes qui sont responsables des fonctions de contrôle indépendantes consacrent le temps nécessaire à l'exercice de leurs fonctions au sein du fournisseur d'importance systémique.

Art. 29.La Banque peut, par voie de règlement pris en application de l'article 8, § 2, de la loi du 22 février 1998, préciser et compléter les éléments visés aux articles 25, 27 et 28.

Section 6.- Organisation d'entreprise

Art. 30.§ 1er. Tout fournisseur d'importance systémique doit disposer d'un dispositif solide et adéquat d'organisation d'entreprise, dont des mesures de surveillance, en vue de garantir une gestion efficace et prudente du fournisseur d'importance systémique, reposant notamment sur :

1°des objectifs consignés par écrit qui accordent une priorité élevée à la sécurité et l'efficacité de la fourniture de services de messagerie financière, et qui renforcent explicitement la stabilité du système financier et d'autres considérations d'intérêt public, en particulier des marchés financiers ouverts et efficaces ;

2°une structure de gestion adéquate basée, au plus haut niveau, sur une distinction claire entre la direction effective du fournisseur d'importance systémique d'une part, et le contrôle sur cette direction d'autre part, et prévoyant, au sein du fournisseur d'importance systémique, une séparation adéquate des fonctions et un dispositif d'attribution des responsabilités qui est bien défini, transparent et cohérent ;

3°une définition des procédures formalisées par écrit régissant le fonctionnement et l'évaluation des organes d'administration, notamment les procédures servant à identifier, à gérer et à régler les conflits d'intérêts de ses membres ;

4°une organisation administrative et un contrôle interne adéquats et efficaces, impliquant notamment des contrôles procurant un degré de certitude raisonnable quant à l`effectivité des mesures prises pour atteindre un niveau élevé de résilience opérationnelle numérique et quant à la fiabilité du processus de reporting opérationnel et financier ;

5°des fonctions de contrôle indépendantes adéquates ;

6°un cadre de gestion global des risques tel que visé à l'article 47 ;

7°la mise en place de mesures adéquates en vue de la continuité de l'activité et de la disponibilité de la fourniture des services, en particulier tel que visé à l'article 51 ;

8°un cadre efficace pour la gestion du risque TIC tel que visé à l'article 52, § 1er ;

9°un système adéquat d'alerte interne conforme à la loi du 28 novembre 2022 sur la protection des personnes qui signalent des violations au droit de l'Union ou au droit national constatées au sein d'une entité juridique du secteur privé, prévoyant notamment un mode de transmission spécifique, indépendant et autonome, des infractions aux normes et aux codes de conduite du fournisseur d'importance systémique.

§ 2. La Banque peut, par voie de règlement pris en application de l'article 8, § 2, de la loi du 22 février 1998, préciser et compléter les éléments visés au paragraphe 1er.

Art. 31.Les dispositifs organisationnels visés à l'article 30 sont exhaustifs et appropriés à la nature, à l'échelle et à la complexité des risques inhérents au modèle d'entreprise et aux activités du fournisseur d'importance systémique. Les dispositifs organisationnels tiennent en particulier, mais pas exclusivement, compte des obligations de conduite des activités et de gestion de risque visées au chapitre 7.

Art. 32.S'il existe des liens étroits entre le fournisseur d'importance systémique et d'autres personnes physiques ou morales, ces liens ou les dispositions légales, réglementaires et administratives applicables à ces personnes ou leur mise en oeuvre ne peuvent pas entraver l'exercice du contrôle du fournisseur par la Banque.

Section 7.- Contrôle et direction

Art. 33.§ 1er. Le conseil de surveillance évalue périodiquement, et au moins une fois par an, l'efficacité des dispositifs d'organisation du fournisseur d'importance systémique visés à l'article 30 et leur conformité aux obligations légales et réglementaires. Il veille à ce que les mesures nécessaires pour remédier aux éventuels manquements soient prises.

§ 2. Le conseil de surveillance :

1°exerce un contrôle effectif sur la direction effective et assure la surveillance des décisions prises par la direction effective ;

2°évalue le bon fonctionnement des fonctions de contrôle indépendantes ;

3°s'assure que le fournisseur d'importance systémique consacre des ressources humaines et financières adéquates à la formation continue des membres du conseil de surveillance ;

4°justifie dans le rapport annuel la compétence individuelle et collective des membres des comités visés à l'article 13, § 1er.

Art. 34.Les membres du conseil de surveillance disposent d'un accès adéquat à toutes les informations et tous les documents nécessaires pour assurer les missions dont ils sont chargés en application des dispositions de la présente loi et des arrêtés pris pour son exécution.

Art. 35.§ 1er. Sans préjudice des pouvoirs dévolus au conseil de surveillance, le conseil de direction prend les mesures nécessaires pour assurer le respect et la mise en oeuvre des dispositions de l'article 30.

§ 2. Le conseil de direction fait une fois par an rapport au conseil de surveillance et à la Banque concernant l'évaluation de l'efficacité des dispositifs d'organisation visés à l'article 30 et les mesures prises le cas échéant pour remédier aux déficiences qui auraient été constatées. Le rapport justifie en quoi ces mesures satisfont aux dispositions légales et réglementaires.

Art. 36.La Banque peut, par voie de règlement pris en application de l'article 8, § 2, de la loi du 22 février 1998, préciser et compléter les éléments visés aux articles 33, 34 et 35.

Chapitre 4.- Exigences de capital

Art. 37.§ 1er. Le capital, complété par les résultats reportés et les réserves du fournisseur d'importance systémique, est proportionnel au risque découlant des activités du fournisseur. Il doit être suffisant, à tout moment, pour :

1°garantir que le fournisseur d'importance systémique bénéficie d'une protection adéquate à l'égard du risque opérationnel, juridique, économique, de telle manière que le fournisseur d'importance systémique peut assurer la continuité de l'exploitation ;

2°assurer, dans le cadre d'un éventail de scénarios de crise, un redressement conformément au plan visé à l'article 48.

§ 2. La Banque, par voie de règlement pris en application de l'article 8, § 2, de la loi du 22 février 1998, peut préciser les exigences visées au paragraphe 1er.

Art. 38.Chaque fournisseur d'importance systémique tient à jour un plan pour :

1°lever des capitaux propres supplémentaires, pour le cas où son capital approcherait du seuil énoncé à l'article 37 ou tomberait sous ce seuil ;

2°assurer le redressement ou la cessation ordonnée de ses activités et services au cas où il ne serait pas en mesure de lever de nouveaux capitaux.

Le plan est approuvé par le conseil de surveillance ou un comité compétent à cet égard de cet organe et est régulièrement, et au moins chaque année, mis à jour. Chaque mise à jour du plan est transmise à la Banque. La Banque peut demander que le fournisseur d'importance systémique prenne des mesures supplémentaires ou prévoie d'autres dispositions si elle estime le plan du fournisseur insuffisant.

Chapitre 5.- Décisions stratégiques

Art. 39.§ 1er. Les décisions stratégiques sont soumises à l'autorisation préalable de la Banque.

§ 2. La Banque se prononce dans les deux mois de la réception d'un dossier complet de la décision stratégique prévue. Elle ne peut refuser son autorisation que pour des motifs tenant à la capacité du fournisseur d'importance systémique à satisfaire aux dispositions prévues par ou en vertu de la présente loi ou tenant à la gestion saine et prudente du fournisseur ou si la décision est susceptible d'affecter de façon significative la continuité et la stabilité de l'exécution de transactions financières nationales et internationales ou la solidité du système financier. Si elle n'intervient pas dans le délai fixé ci-dessus, l'autorisation est réputée acquise.

§ 3. La Banque peut, par voie de règlement pris en application de l'article 8, § 2, de la loi du 22 février 1998, préciser les décisions qui sont à considérer comme stratégiques au sens de l'article 3, 11°, en tenant notamment compte du profil de risque et de la nature des activités des fournisseurs d'importance systémique, ou, le cas échéant, le groupe auxquels ils appartiennent.

Chapitre 6.- Externalisation

Art. 40.§ 1er. Si un fournisseur d'importance systémique externalise des activités vers un prestataire tiers, y compris en cas d'externalisation vers un prestataire tiers de services TIC, il reste pleinement responsable du respect de toutes les obligations qui lui incombent en vertu de la présente loi et se conforme à tout moment aux conditions suivantes :

1°l'externalisation n'entraîne aucune délégation de la responsabilité du fournisseur d'importance systémique pour respecter les obligations qui lui incombent en vertu de la présente loi ;

2°la relation et les obligations du fournisseur d'importance systémique vis-à-vis de ses acheteurs de service ne sont pas modifiées ;

3°le respect des exigences que le fournisseur d'importance systémique est tenu de remplir en vertu de la présente loi n'est pas altéré ;

4°l'externalisation ne peut pas être faite d'une manière qui nuise sérieusement à la qualité du contrôle interne du fournisseur d'importance systémique et qui empêche la Banque de contrôler le respect, par le fournisseur d'importance systémique, de ses obligations ;

5°le fournisseur d'importance systémique a un accès direct aux informations pertinentes concernant les services externalisés ;

6°le prestataire de services coopère avec la Banque en ce qui concerne les activités externalisées.

§ 2. Le fournisseur d'importance systémique définit par un accord écrit ses droits et obligations et ceux du prestataire de services. L'accord d'externalisation comporte la possibilité pour le fournisseur d'importance systémique d'y mettre un terme.

Art. 41.§ 1er. Un fournisseur d'importance systémique ne peut externaliser des fonctions critiques ou importantes relatives aux services de messagerie financière à un prestataire de services qu'avec l'autorisation préalable de la Banque.

§ 2. En vue d'une gestion saine et prudente, d'une maîtrise adéquate des risques et de la continuité et de la stabilité de l'exécution de transactions financières nationales et internationales et de la solidité du système financier, la Banque peut soumettre l'externalisation des fonctions critiques ou importantes à des conditions additionnelles, y inclus dans le domaine des stratégies et plans de sortie.

Art. 42.La Banque peut, par voie de règlement pris en application de l'article 8, § 2, de la loi du 22 février 1998, préciser et compléter les éléments visés aux articles 40 et 41.

Chapitre 7.- Conduite des activités et gestion des risques

Section 1ère.- Dispositions générales

Art. 43.Un fournisseur d'importance systémique a des objectifs clairement définis et réalisables, notamment en ce qui concerne les niveaux de service minimum, les perspectives en matière de gestion des risques et les priorités économiques.

Art. 44.Un fournisseur d'importance systémique établit des systèmes de gestion et de contrôle solides afin d'identifier, de surveiller et de gérer les risques d'activité, y compris les pertes dues à une mauvaise exécution de la stratégie commerciale, à des flux de trésorerie négatifs ou à des charges d'exploitation inattendues et excessivement élevées.

Art. 45.La Banque peut, par voie de règlement pris en application de l'article 8, § 2, de la loi du 22 février 1998, préciser et compléter le contenu et les modalités d'application des exigences définies dans ce chapitre.

Section 2.- Risques juridiques

Art. 46.§ 1er. Un fournisseur d'importance systémique définit des règles et des procédures et conclut des contrats, qui sont clairs et conformes à la législation en vigueur dans tous les systèmes juridiques pertinents.

§ 2. Un fournisseur d'importance systémique conçoit ses règles, procédures et contrats de telle manière qu'ils soient exécutoires dans tous les systèmes juridiques pertinents.

§ 3. Un fournisseur d'importance systémique qui opère dans plus d'un système juridique identifie et atténue les risques résultant de tout conflit de lois éventuel.

Section 3.- Cadre de gestion globale des risques

Art. 47.§ 1er. Un fournisseur d'importance systémique met en place un cadre solide de gestion des risques lui permettant d'identifier, de mesurer, de suivre et de maîtriser les risques qui surviennent ou qu'il supporte. Il réexamine le cadre de gestion des risques au moins une fois par an. Le cadre de gestion des risques :

1°inclut la politique de tolérance aux risques du fournisseur d'importance systémique ainsi que des outils appropriés de gestion des risques ;

2°inclut le reporting interne des risques auxquels le fournisseur d'importance systémique est susceptible d'être exposé, y compris la prévention des conflits d'intérêts ;

3°assigne la responsabilité et l'obligation de rendre compte des décisions relatives aux risques ;

4°traite de la prise de décision dans les situations d'urgence concernant le fournisseur d'importance systémique, y compris les évolutions sur les marchés financiers susceptibles de nuire à la stabilité de l'exécution de transactions financières nationale et internationales.

§ 2. Un fournisseur d'importance systémique met en place des dispositifs incitant ses acheteurs de services et, le cas échéant, leurs clients à gérer et à contenir les risques qu'ils font courir à la fourniture de services de messagerie financière et que le fournisseur d'importance systémique leur fait supporter. En ce qui concerne les acheteurs de services, ces dispositifs incitatifs peuvent inclure un régime de sanctions pécuniaires efficaces, proportionnées et dissuasives ou des dispositifs de répartition des pertes, ou les deux.

§ 3. Un fournisseur d'importance systémique réexamine au moins annuellement les risques importants que d'autres entités font courir à la fourniture de services de messagerie financière ou qu'il fait courir à d'autres entités, en raison d'interdépendances. Le fournisseur d'importance systémique conçoit des outils de gestion des risques qui sont solides et proportionnés au niveau déterminé de risque.

§ 4. Un fournisseur d'importance systémique identifie ses fonctions critiques ou importantes. Il identifie les scénarios spécifiques susceptibles de l'empêcher d'assurer sans interruption ces fonctions critiques ou importantes, et évalue l'efficacité d'un éventail complet de solutions permettant le redressement ou la liquidation ordonnée de ses activités. Il évalue les fonctions critiques ou importantes au moins une fois par an.

Section 4.- Redressement et liquidation ordonnée

Art. 48.§ 1er. Sur la base de l'évaluation visée à l'article 47, § 4, un fournisseur d'importance systémique élabore un plan viable de redressement ou de liquidation ordonnée de ses activités. Ce plan de redressement ou de liquidation ordonnée comporte, entre autres, une synthèse détaillée des stratégies clés de redressement ou de liquidation ordonnée des activités, une redéfinition des fonctions critiques ou importantes et une description des mesures nécessaires pour la mise en oeuvre de ces stratégies clés.

§ 2. Un fournisseur d'importance systémique détermine le montant d'actifs nécessaire pour mettre en oeuvre le plan de redressement ou de liquidation ordonnée visé au paragraphe 1er. Le montant de ces actifs est déterminé en fonction du profil général de risque d'activité et du temps nécessaire pour procéder, si besoin, à un redressement ou à la liquidation ordonnée de ses fonctions critiques ou importantes. Ce montant représente au moins six mois de charges d'exploitation courantes.

§ 3. Afin de couvrir le montant visé au paragraphe 2, un fournisseur d'importance systémique détient des actifs nets liquides financés par des fonds propres, par exemple des actions ordinaires, des réserves ou des résultats reportés, de façon à pouvoir assurer la continuité de ses opérations et de ses services.

§ 4. Les actifs détenus pour couvrir le risque général d'activité sont de qualité élevée et suffisamment liquides pour être disponibles en temps utile. Le fournisseur d'importance systémique peut liquider ces actifs sans effets négatifs sur les prix, ou avec des effets minimes, de sorte qu'il peut assurer la continuité de ses opérations si ces pertes d'activité se matérialisent.

Section 5.- Risques d'investissement

Art. 49.§ 1er. Un fournisseur d'importance systémique définit sa stratégie d'investissement de manière compatible avec sa stratégie globale de gestion du risque. Il réexamine la stratégie d'investissement au moins une fois par an.

§ 2. Les placements effectués par le fournisseur d'importance systémique en vertu de sa stratégie d'investissement sont garantis par, ou sont des créances sur, des débiteurs de haute qualité. Le fournisseur d'importance systémique définit les critères auxquels répondent les débiteurs de haute de qualité. Les instruments d'investissement présentent des risques minimes de crédit, de marché et de liquidité.

Section 6.- Risque opérationnel

Art. 50.§ 1er. Un fournisseur d'importance systémique met en place un cadre solide, doté de systèmes, de politiques, de procédures et de contrôles appropriés pour identifier, surveiller et gérer les risques opérationnels.

Un fournisseur d'importance systémique réexamine, vérifie et teste les systèmes ainsi que les politiques, procédures et contrôles opérationnels de manière régulière et après tout changement important.

§ 2. Un fournisseur d'importance systémique définit des objectifs en termes de niveau de service et de fiabilité opérationnelle, ainsi que des politiques conçues pour atteindre ces objectifs. Il réexamine ces objectifs et politiques au moins une fois par an.

§ 3. Un fournisseur d'importance systémique dispose de politiques détaillées en termes de sécurité physique et de sécurité, disponibilité, confidentialité, authenticité et intégrité de l'information, qui identifient, évaluent et gèrent de façon adéquate toutes les vulnérabilités et menaces potentielles. Il réexamine ces politiques au moins une fois par an.

§ 4. Un fournisseur d'importance systémique identifie les acheteurs de services critiques en fonction, notamment, des volumes de services de messagerie financière achetés et de leur valeur, ainsi que de leur impact potentiel sur d'autres acheteurs de services et sur la fourniture de services par le fournisseur d'importance systémique, en cas de problème opérationnel significatif rencontré par ces acheteurs de services critiques.

§ 5. Un fournisseur d'importance systémique identifie, surveille et gère les risques auxquels les acheteurs de services critiques, d'autres infrastructures de marché financières et des prestataires de services pourraient exposer les opérations du fournisseur d'importance systémique.

Section 7.- Continuité d'activité et disponibilité des services

Art. 51.§ 1er. Sans préjudice de l'article 50, un fournisseur d'importance systémique élabore un plan de continuité d'activité qui remédie aux événements constituant un risque important pour le bon fonctionnement de la fourniture de services de messagerie financière. Ce plan est approuvé par le conseil de surveillance et :

1°tend vers une reprise rapide des activités et le respect de ses obligations en cas de perturbation de la fourniture de services de messagerie financière ;

2°est conçu de manière à ce que que le fournisseur d'importance systémique soit toujours en mesure de reprendre le plus vite possible tous les services de messagerie financière perturbés.

Le fournisseur d'importance systémique teste et réexamine le plan au moins une fois par an. Selon le cas, les acheteurs de services et les prestataires tiers de services TIC qui fournissent des services qui soutiennent des fonctions critiques ou importantes participent dans le test du plan.

§ 2. Un fournisseur d'importance systémique informe immédiatement la Banque lorsqu'il existe des indications selon lesquelles le plan de continuité d'activité doit être appliqué en tout ou en partie.

§ 3. Un fournisseur d'importance systémique veille à ce qu'il peut à tout moment étendre sa capacité à fournir des services de messagerie financière en cas d'augmentation des volumes à traiter en raison d'événements de crise. Il assure également qu'il peut atteindre ses objectifs de niveau de service.

Section 8.- Résilience opérationnelle numérique

Art. 52.§ 1er. Un fournisseur d'importance systémique met en place un cadre efficace pour la gestion du risque TIC, ainsi que des mesures de gouvernance appropriées, afin d'atteindre un niveau élevé de résilience opérationnelle numérique. Après avoir identifié toutes ses opérations et les actifs sous-jacents, le fournisseur d'importance systémique instaure des mesures appropriées afin de les protéger des cyber-attaques, de les détecter de réagir à celles-ci et de les surmonter. Ces mesures sont régulièrement testées.

§ 2. Le conseil de surveillance du fournisseur d'importance systémique définit, approuve, supervise et est responsable de la mise en oeuvre de toutes les dispositions relatives au cadre de gestion visé au paragraphe 1er. A ces fins, le conseil de surveillance :

1°assume la responsabilité ultime de la gestion du risque lié aux TIC du fournisseur d'importance systémique ;

2°met en place des stratégies visant à garantir le maintien de normes élevées en matière de disponibilité, d'authenticité, d'intégrité et de confidentialité des données ;

3°définit clairement les rôles et les responsabilités pour toutes les fonctions liées aux TIC et met en place des dispositifs de gouvernance appropriés pour assurer une communication, une coopération et une coordination efficaces et en temps utile entre ces fonctions ;

4°assume la responsabilité globale de la définition et de l'approbation de la stratégie de résilience opérationnelle numérique visée à l'article 54, § 4, y compris la détermination d'un niveau approprié de tolérance au risque lié aux TIC du fournisseur d'importance systémique ;

5°approuve, supervise et examine périodiquement la mise en oeuvre de la politique de continuité des activités de TIC du fournisseur d'importance systémique et des plans de réponse et de rétablissement des TIC visés, respectivement, à l'article 59, § 1er et § 2, qui peuvent faire partie intégrante de la politique globale de continuité d'activité visée à l'article 51 et du plan de redressement visé à l'article 48 ;

6°approuve et examine périodiquement les plans internes d'audit des TIC et les audits des TIC du fournisseur d'importance systémique ainsi que les modifications significatives qui y sont apportées ;

7°alloue et réexamine périodiquement un budget approprié pour satisfaire les besoins en matière de résilience opérationnelle numérique pour tous les types de ressources, y compris les programmes pertinents de sensibilisation à la sécurité des TIC et les formations pertinentes à la résilience opérationnelle numérique visés à l'article 61, § 5, et les compétences en matière de TIC pour l'ensemble du personnel ;

8°approuve et examine périodiquement la politique du fournisseur d'importance systémique concernant les modalités d'utilisation des services TIC fournis par des prestataires tiers de services TIC ;

9°met en place, au niveau de l'entreprise, des canaux de notification lui permettant d'être dûment informé des éléments suivants :

a)des accords conclus avec des prestataires tiers de services TIC sur l'utilisation des services TIC ;

b)de tout changement significatif pertinent prévu concernant les prestataires tiers de services TIC ;

c)des incidences potentielles de ces changements sur les fonctions critiques ou importantes faisant l'objet de ces accords, notamment un résumé de l'analyse des risques visant à évaluer les incidences de ces changements, et au minimum des incidents majeurs liés aux TIC et de leur incidence, ainsi que des mesures de réponse, de rétablissement et de correction.

§ 3. Les membres du conseil de surveillance maintiennent activement à jour des connaissances et des compétences suffisantes pour comprendre et évaluer le risque lié aux TIC et son incidence sur les opérations du fournisseur d'importance systémique, notamment en suivant régulièrement une formation spécifique proportionnée au risque lié aux TIC géré.

Art. 53.§ 1er. Chaque fournisseur d'importance systémique dispose d'une fonction de sécurité des réseaux et systèmes d'information adéquate qui assure le développement, la mise en oeuvre et le contrôle, par le fournisseur d'importance systémique, de politiques et procédures offrant une protection adéquate des réseaux et systèmes d'information et une gestion adéquate des risques liés aux TIC y afférents, conformément aux dispositions de la section présente.

En plus, cette fonction fait le suivi des accords conclus avec des prestataires tiers de services TIC sur l'utilisation des services TIC et est chargée de superviser l'exposition aux risques connexe et la documentation pertinente.

§ 2. La fonction de sécurité des réseaux et systèmes d'information :

1°est indépendante des fonctions opérationnelles, notamment des services responsables de l'exploitation et du développement des systèmes TIC ;

2°n'est pas impliqué dans des activités d'audit interne ;

3°possède une solide connaissance des solutions de sécurité logique et physique, ainsi qu'une compréhension approfondie du modèle d'entreprise et de la structure organisationnelle du fournisseur d'importance systémique ;

4°a un accès direct au conseil de surveillance et au conseil de direction.

§ 3. Les personnes qui assurent la fonction de sécurité des réseaux et systèmes d'information font rapport au conseil de direction au moins deux fois par an.

Art. 54.§ 1er. Chaque fournisseur d'importance systémique dispose d'un cadre de gestion du risque lié aux TIC solide, complet et bien documenté, faisant partie de son cadre de gestion global des risques visé à l'article 47, qui lui permet de parer au risque lié aux TIC de manière rapide, efficiente et exhaustive et de garantir un niveau élevé de résilience opérationnelle numérique.

§ 2. Le cadre de gestion du risque lié aux TIC englobe au moins les stratégies, les politiques, les procédures, les protocoles et les outils de TIC qui sont nécessaires pour protéger dûment et de manière appropriée tous les actifs informationnels et les actifs de TIC, y compris les logiciels, le matériel informatique, les serveurs, ainsi que toutes les composantes et infrastructures physiques pertinentes, telles que les locaux, centres de données et zones sensibles désignées, afin de garantir que tous les actifs informationnels et actifs de TIC sont correctement protégés contre les risques, y compris les dommages et les accès ou utilisations non autorisés.

§ 3. Le cadre de gestion du risque lié aux TIC est documenté et réexaminé au moins une fois par an, ainsi qu'en cas de survenance d'incidents majeurs liés aux TIC, et conformément aux conclusions tirées des tests de résilience opérationnelle numérique ou des processus d'audit pertinents. Il est amélioré en permanence sur la base des enseignements tirés de la mise en oeuvre et du suivi.

§ 4. Le cadre de gestion du risque lié aux TIC précise les méthodes pour mettre en oeuvre la stratégie de résilience opérationnelle numérique et pour atteindre les objectifs spécifiques en matière de TIC.

Art. 55.§ 1er. Afin d'atténuer et de gérer le risque lié aux TIC, les fournisseurs d'importance systémique utilisent et tiennent à jour des systèmes, protocoles et outils de TIC qui sont :

1°adaptés à l'ampleur des opérations qui sous-tendent l'exercice de leurs activités ;

2°fiables ;

3°équipés d'une capacité suffisante pour traiter avec exactitude les données nécessaires à l'exécution des activités et à la fourniture des services en temps utile, et pour faire face aux pics de volume d'ordres, de messages ou de transactions, selon les besoins, y compris lorsque de nouvelles technologies sont mises en place ;

4°suffisamment résilients sur le plan technologique pour répondre de manière adéquate aux besoins supplémentaires de traitement de l'information qui apparaissent en situation de tensions sur les marchés ou dans d'autres situations défavorables.

§ 2. Les fournisseurs d'importance systémique disposent de méthodologies robustes afin de pouvoir planifier l'ensemble de la durée de vie des technologies utilisées et la sélection de normes technologiques.

Art. 56.§ 1er. Aux fins du cadre de gestion du risque lié aux TIC visé à l'article 54, § 1er, les fournisseurs d'importance systémique identifient, classent et documentent de manière adéquate toutes les fonctions "métiers", tous les rôles et toutes les responsabilités s'appuyant sur les TIC, les actifs informationnels et les actifs de TIC qui soutiennent ces fonctions, ainsi que leurs rôles et dépendances en ce qui concerne le risque lié aux TIC.

§ 2. Les fournisseurs d'importance systémique identifient, de manière continue, toutes les sources de risque lié aux TIC, en particulier l'exposition au risque vis-à-vis d'autres entités financières et émanant de celles-ci, et évaluent les cybermenaces et les vulnérabilités des TIC qui concernent leurs fonctions "métiers" s'appuyant sur les TIC, leurs actifs informationnels et leurs actifs de TIC. Ils examinent régulièrement, et au moins une fois par an, les scénarios de risque qui ont des incidences sur elles.

§ 3. Les fournisseurs d'importance systémique procèdent à une évaluation des risques à chaque modification importante de l'infrastructure du réseau et du système d'information, des processus ou des procédures, qui affecte leurs fonctions "métiers" s'appuyant sur les TIC, leurs actifs informationnels ou leurs actifs de TIC.

§ 4. Les fournisseurs d'importance systémique identifient tous les actifs informationnels et actifs de TIC et répertorient ceux considérés comme critiques et les liens et interdépendances entre les différents actifs informationnels et actifs de TIC.

§ 5. Les fournisseurs d'importance systémique identifient et documentent tous les processus qui dépendent de prestataires tiers de services TIC, et identifient les interconnexions avec des prestataires tiers de services TIC qui fournissent des services qui soutiennent des fonctions critiques ou importantes.

Art. 57.§ 1er. Aux fins de la protection adéquate des systèmes de TIC et en vue d'organiser les mesures de réponse, les fournisseurs d'importance systémique assurent un suivi et un contrôle permanents de la sécurité et du fonctionnement des systèmes et outils de TIC et réduisent au minimum l'incidence du risque lié aux TIC sur les systèmes de TIC par le déploiement d'outils, de stratégies et de procédures appropriés en matière de sécurité des TIC.

§ 2. Les fournisseurs d'importance systémique conçoivent, acquièrent et mettent en oeuvre des stratégies, des politiques, des procédures, des protocoles et des outils de sécurité de TIC qui visent à garantir la résilience, la continuité et la disponibilité des systèmes de TIC, en particulier ceux qui soutiennent des fonctions critiques ou importantes, et à maintenir des normes élevées en matière de disponibilité, d'authenticité, d'intégrité et de confidentialité des données, que ce soit au repos, en cours d'utilisation ou en transit.

§ 3. Aux fins du cadre de gestion du risque lié aux TIC visé à l'article 54, § 1er, les fournisseurs d'importance systémique :

1°élaborent et documentent une politique de sécurité de l'information qui définit des règles visant à protéger la disponibilité, l'authenticité, l'intégrité et la confidentialité des données, des actifs informationnels et des actifs de TIC, y compris ceux de leurs utilisateurs, le cas échéant ;

2°instaurent, selon une approche fondée sur les risques, une gestion solide des réseaux et des infrastructures en recourant aux techniques, aux méthodes et aux protocoles appropriés, qui peuvent inclure la mise en oeuvre de mécanismes automatisés pour isoler les actifs informationnels affectés en cas de cyberattaques ;

3°mettent en oeuvre des politiques qui limitent l'accès physique ou logique aux actifs informationnels et aux actifs de TIC, à ce qui est nécessaire pour les fonctions et les activités légitimes et approuvées uniquement, et définissent à cette fin un ensemble de politiques, de procédures et de contrôles qui portent sur les droits d'accès et veillent à leur bonne administration ;

4°mettent en oeuvre des politiques et des protocoles pour des mécanismes d'authentification forte, fondés sur des normes pertinentes et des systèmes de contrôle spécifiques, et des mesures de protection des clés de chiffrement par lesquelles les données sont chiffrées sur la base des résultats des processus approuvés de classification des données et d'évaluation du risque lié aux TIC ;

5°mettent en oeuvre des politiques, des procédures et des contrôles documentés pour la gestion des changements dans les TIC, y compris les changements apportés aux logiciels, au matériel, aux composants de micrologiciels, aux systèmes ou aux paramètres de sécurité, qui sont fondés sur une approche d'évaluation des risques et font partie intégrante du processus global de gestion des changements du fournisseur d'importance systémique, afin de garantir que tous les changements apportés aux systèmes de TIC sont consignés, testés, évalués, approuvés, mis en oeuvre et vérifiés de manière contrôlée ;

6°disposent de stratégies documentées appropriées et globales en matière de correctifs et de mises à jour.

Art. 58.§ 1er. Les fournisseurs d'importance systémique mettent en place des mécanismes permettant de détecter rapidement les activités anormales, conformément à l'article 66, y compris les problèmes de performance des réseaux de TIC et les incidents liés aux TIC, ainsi que de repérer les points uniques de défaillance potentiellement significatifs. Tous ces mécanismes de détection sont régulièrement testés.

§ 2. Les mécanismes de détection visés au paragraphe 1er permettent la mise en place de plusieurs niveaux de contrôle, définissent des seuils d'alerte et des critères de déclenchement et de lancement des processus de réponse en cas d'incident lié aux TIC, y compris des mécanismes d'alerte automatique destinés au personnel compétent chargé de la réponse aux incidents liés aux TIC.

§ 3. Les fournisseurs d'importance systémique consacrent des ressources et des capacités suffisantes pour surveiller l'activité des utilisateurs, l'apparition d'anomalies liées aux TIC et d'incidents liés aux TIC, en particulier les cyberattaques.

Art. 59.§ 1er. Les fournisseurs d'importance systémique se dotent d'une politique de continuité des activités de TIC complète mais spécifique, qui forme une partie intégrante de leur politique globale de continuité d'activité visé à l'article 51, et qui est mise en oeuvre au moyen de dispositifs, de plans, de procédures et de mécanismes spécifiques, appropriés et documentés visant à :

1°garantir la continuité des fonctions critiques ou importantes du fournisseur d'importance systémique ;

2°répondre aux incidents liés aux TIC et les résoudre rapidement, dûment et efficacement de manière à limiter les dommages et à donner la priorité à la reprise des activités et aux mesures de rétablissement ;

3°activer, sans retard, des plans spécifiques permettant de déployer des mesures, des processus et des technologies d'endiguement adaptés à chaque type d'incident lié aux TIC et de prévenir tout dommage supplémentaire, ainsi que des procédures sur mesure de réponse et de rétablissement, définies conformément à l'article 60 ;

4°estimer les incidences, les dommages et les pertes préliminaires ;

5°définir des mesures de communication et de gestion des crises qui garantissent la transmission d'informations actualisées à tous les membres du personnel et à toutes les parties prenantes externes concernés, conformément à l'article 62, et leur déclaration à la Banque.

§ 2. Aux fins du cadre de gestion du risque lié aux TIC, les fournisseurs d'importance systémique mettent en oeuvre des plans de réponse et de rétablissement des TIC.

§ 3. Les fournisseurs d'importance systémique mettent en place, maintiennent et testent périodiquement des plans de continuité des activités de TIC appropriés, notamment en ce qui concerne les fonctions critiques ou importantes externalisées ou sous-traitées dans le cadre d'accords avec des prestataires tiers de services TIC.

§ 4. Dans le cadre de la politique globale de continuité d'activité, les fournisseurs d'importance systémique procèdent à une analyse des incidences sur les activités de leurs expositions à de graves perturbations de leurs activités. Dans le cadre de cette analyse, ils évaluent l'incidence potentielle de graves perturbations de leurs activités au moyen de critères quantitatifs et qualitatifs, à l'aide de données internes et externes et d'une analyse de scénarios, le cas échéant. L'analyse des incidences sur les activités tient compte du caractère critique des fonctions "métiers", des processus de soutien, des dépendances de tiers et des actifs informationnels identifiés et cartographiés, ainsi que de leurs interdépendances. Les actifs de TIC et les services TIC sont conçus et utilisés dans le respect total de l'analyse des incidences sur les activités, en particulier en garantissant de manière adéquate la redondance de toutes les composantes critiques.

§ 5. Les fournisseurs d'importance systémique testent :

1°les plans de continuité des activités de TIC et les plans de réponse et de rétablissement des TIC concernant les systèmes de TIC soutenant toutes les fonctions, au moins une fois par an ainsi qu'en cas de modifications substantielles apportées aux systèmes de TIC qui soutiennent des fonctions critiques ou importantes ;

2°les plans de communication en situation de crise établis conformément à l'article 62.

Aux fins du 1°, les fournisseurs d'importance systémique incluent dans les plans de test des scénarios de cyberattaques et de basculement entre l'infrastructure de TIC principale et la capacité redondante, les sauvegardes et les installations redondantes nécessaires pour satisfaire aux obligations énoncées à l'article 60.

Les fournisseurs d'importance systémique réexaminent régulièrement leur politique de continuité des activités de TIC et leurs plans de réponse et de rétablissement des TIC en tenant compte des résultats des tests effectués conformément à l'alinéa 1er, et des recommandations découlant des contrôles d'audit ou des examens de la Banque.

§ 6. Les fournisseurs d'importance systémique disposent d'une fonction de gestion de crise qui, en cas d'activation de leurs plans de continuité des activités de TIC ou de leurs plans de réponse et de rétablissement des TIC, définit, entre autres, des procédures claires pour gérer les communications internes et externes en situation de crise, conformément à l'article 62.

§ 7. Les fournisseurs d'importance systémique fournissent à la Banque des copies des résultats des tests de continuité des activités de TIC ou d'exercices similaires.

Art. 60.§ 1er. Dans le but de veiller à la restauration des systèmes et des données des TIC en limitant au maximum la durée d'indisponibilité, les perturbations et les pertes, aux fins de leur cadre de gestion du risque lié aux TIC, les fournisseurs d'importance systémique définissent et documentent :

1°des politiques et procédures de sauvegarde ;

2°des procédures et méthodes de restauration et de rétablissement.

§ 2. Les fournisseurs d'importance systémique mettent en place des systèmes de sauvegarde qui peuvent être activés conformément aux politiques et procédures de sauvegarde, ainsi qu'aux procédures et méthodes de restauration et de rétablissement. L'activation de systèmes de sauvegarde ne compromet pas la sécurité du réseau et des systèmes d'information ni la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données. Des tests des procédures de sauvegarde et des procédures et méthodes de restauration et de rétablissement sont effectués périodiquement.

§ 3. Les fournisseurs d'importance systémique maintiennent au moins un site de traitement secondaire doté de ressources, de capacités, de fonctions et d'effectifs adéquats pour répondre à leurs besoins.

Le site de traitement secondaire :

1°est situé à une certaine distance géographique du site de traitement primaire afin de veiller à ce qu'il présente un profil de risque distinct et d'éviter qu'il ne soit affecté par l'événement qui a touché le site primaire ;

2°est capable d'assurer la continuité des fonctions critiques ou importantes de la même manière que le site primaire, ou de fournir le niveau de services dont le fournisseur d'importance systémique a besoin pour effectuer ses opérations critiques dans le cadre des objectifs de rétablissement ;

3°est immédiatement accessible au personnel du fournisseur d'importance systémique afin d'assurer la continuité des fonctions critiques ou importantes en cas d'indisponibilité du site de traitement primaire.

§ 4. Lorsqu'elles déterminent les objectifs en matière de délai de rétablissement et de point de rétablissement pour chaque fonction, les fournisseurs d'importance systémique tiennent compte du caractère critique ou important de la fonction. Ces objectifs temporels permettent d'assurer, dans des scénarios extrêmes, le respect des niveaux de service convenus.

§ 5. Lorsqu'elles opèrent un rétablissement à la suite d'un incident lié aux TIC, les fournisseurs d'importance systémique effectuent les contrôles nécessaires, y compris tout contrôle multiple et rapprochement, afin de garantir le niveau d'intégrité des données le plus haut possible. Ces contrôles sont également effectués lors de la reconstitution des données provenant de parties prenantes externes, afin que toutes les données soient cohérentes entre les systèmes.

Art. 61.§ 1er. Les fournisseurs d'importance systémique disposent de capacités et d'effectifs pour recueillir des informations sur les vulnérabilités et les cybermenaces, et sur les incidents liés aux TIC, en particulier les cyberattaques, et analyser leurs incidences probables sur leur résilience opérationnelle numérique.

§ 2. Les fournisseurs d'importance systémique réalisent des examens post-incident lié aux TIC après qu'un incident majeur lié aux TIC a perturbé leurs activités principales, afin d'analyser les causes de la perturbation et de déterminer les améliorations à apporter aux opérations de TIC ou dans le cadre de la politique de continuité d'activité.

Les fournisseurs d'importance systémique communiquent à la Banque les changements qui ont été apportés à la suite des examens post-incident lié aux TIC visés à l'alinéa premier.

Les examens post-incident lié aux TIC concernent entre autres l'analyse technico-légale, l'efficacité de la remontée des incidents au sein du fournisseur d'importance systémique et l'efficacité de la communication interne et externe.

§ 3. Les enseignements tirés des tests de résilience opérationnelle numérique effectués conformément aux articles 63 et 65 et des incidents liés aux TIC en situation réelle, en particulier les cyberattaques, ainsi que les difficultés rencontrées lors de l'activation des plans de continuité des activités de TIC et des plans de réponse et de rétablissement des TIC, de même que les informations pertinentes échangées avec les contreparties, sont dûment intégrés, de manière continue, dans le processus d'évaluation du risque lié aux TIC.

§ 4. Les fournisseurs d'importance systémique contrôlent l'efficacité de la mise en oeuvre de leur stratégie de résilience opérationnelle numérique définie à l'article 54, § 4. Ils retracent l'évolution du risque lié aux TIC dans le temps, analysent la fréquence, les types, l'ampleur et l'évolution des incidents liés aux TIC, en particulier les cyberattaques et leurs caractéristiques, afin de cerner le niveau d'exposition au risque lié aux TIC, en particulier en ce qui concerne les fonctions critiques ou importantes, et de renforcer la maturité et la préparation des TIC.

§ 5. Les fournisseurs d'importance systémique élaborent des programmes de sensibilisation à la sécurité des TIC et des formations à la résilience opérationnelle numérique qu'elles intègrent à leurs programmes de formation du personnel sous forme de modules obligatoires. Ces programmes et formations sont destinés à tous les employés et au personnel de direction et présentent un niveau de complexité proportionné à leurs fonctions. Le cas échéant, les fournisseurs d'importance systémique incluent également les prestataires tiers de services TIC dans leurs programmes de formation pertinents.

§ 6. Les fournisseurs d'importance systémique assurent un suivi continu des évolutions technologiques pertinentes, notamment en vue de déterminer l'incidence que le déploiement de ces nouvelles technologies pourrait avoir sur les exigences en matière de sécurité des TIC et la résilience opérationnelle numérique. Ils se tiennent informés des processus de gestion du risque lié aux TIC les plus récents, afin de lutter efficacement contre les formes actuelles ou émergentes de cyberattaques.

Art. 62.§ 1er. Aux fins du cadre de gestion du risque lié aux TIC, les fournisseurs d'importance systémique mettent en place des plans de communication en situation de crise qui favorisent une divulgation responsable, au minimum, des incidents majeurs liés aux TIC ou des vulnérabilités majeures aux acheteurs de services et aux contreparties ainsi qu'au public, le cas échéant.

§ 2. Aux fins du cadre de gestion du risque lié aux TIC, les fournisseurs d'importance systémique mettent en oeuvre des politiques de communication à l'intention des membres du personnel et des parties prenantes externes. Les politiques de communication à l'intention du personnel tiennent compte de la nécessité d'établir une distinction entre le personnel participant à la gestion du risque lié aux TIC, en particulier le personnel responsable de la réponse et du rétablissement, et le personnel qui doit être informé.

Art. 63.§ 1er. Afin d'évaluer l'état de préparation en vue du traitement d'incidents liés aux TIC, de recenser les faiblesses, les défaillances et les lacunes en matière de résilience opérationnelle numérique et de mettre rapidement en oeuvre des mesures correctives, les fournisseurs d'importance systémique établissent, maintiennent et réexaminent un programme solide et complet de tests de résilience opérationnelle numérique, qui fait partie intégrante du cadre de gestion du risque lié aux TIC visé à l'article 54.

§ 2. Le programme de tests de résilience opérationnelle numérique comprend une série d'évaluations, de tests, de méthodologies, de pratiques et d'outils à appliquer conformément aux articles 64 et 65.

§ 3. Lorsqu'ils exécutent le programme de tests de résilience opérationnelle numérique, les fournisseurs d'importance systémique adoptent une approche fondée sur le risque en prenant dûment en considération l'évolution du risque lié aux TIC, tout risque spécifique auquel le fournisseur d'importance systémique est ou pourrait être exposée, la criticité des actifs informationnels et des services fournis, ainsi que tout autre facteur que le fournisseur d'importance systémique juge approprié.

§ 4. Les fournisseurs d'importance systémique veillent à ce que les tests soient effectués par des parties indépendantes internes ou externes. Lorsque les tests sont effectués par un testeur interne, ils leur accordent des ressources suffisantes et veillent à éviter les conflits d'intérêts pendant les phases de conception et d'exécution du test.

§ 5. Les fournisseurs d'importance systémique définissent des procédures et des stratégies destinées à hiérarchiser, classer et résoudre tous les problèmes mis en évidence au cours des tests et élaborent des méthodes de validation interne pour veiller à ce que toutes les faiblesses, défaillances ou lacunes recensées soient entièrement corrigées.

Art. 64.Le programme de tests de résilience opérationnelle numérique visé à l'article 63 prévoit l'exécution de tests appropriés, tels que des évaluations et des analyses de vulnérabilité, des analyses de sources ouvertes, des évaluations de la sécurité des réseaux, des analyses des écarts, des examens de la sécurité physique, des questionnaires et des solutions logicielles de balayage, des examens du code source lorsque cela est possible, des tests fondés sur des scénarios, des tests de compatibilité, des tests de performance, des tests de bout en bout et des tests de pénétration.

Art. 65.§ 1er. Les fournisseurs d'importance systémique effectuent au moins tous les trois ans des tests avancés au moyen d'un test de pénétration fondé sur la menace. Ces tests se déroulent conformément au cadre pour les tests de pénétration fondé sur la menace que la Banque établit.

§ 2. Chaque test de pénétration fondé sur la menace couvre plusieurs, voire la totalité, des fonctions critiques ou importantes d'un fournisseur d'importance systémique et est effectué sur des systèmes en environnement de production en direct qui soutiennent ces fonctions.

Les fournisseurs d'importance systémique recensent tous les systèmes, processus et technologies de TIC sous-jacents pertinents qui soutiennent des fonctions critiques ou importantes et des services TIC, y compris ceux qui soutiennent des fonctions critiques ou importantes qui ont été externalisés ou sous-traités à des prestataires tiers de services TIC.

Les fournisseurs d'importance systémique évaluent quelles fonctions critiques ou importantes doivent être couvertes par les tests de pénétration fondés sur la menace. Le résultat de cette évaluation détermine la portée précise de ces tests et est validé par la Banque.

§ 3. Lorsque des prestataires tiers de services TIC sont inclus dans le champ d'application du test de pénétration fondé sur la menace, le fournisseur d'importance systémique prend les mesures et garanties nécessaires pour assurer la participation de ces prestataires tiers de services TIC à ce test, et conserve à tout moment l'entière responsabilité de veiller au respect de la présente loi.

§ 4. Les fournisseurs d'importance systémique procèdent à des contrôles efficaces de la gestion des risques afin d'atténuer les risques d'incidence potentielle sur les données, de dommages aux actifs et de perturbation des fonctions, services ou opérations critiques ou importants au sein de lui-même, de ses contreparties ou du secteur financier.

§ 5. A l'issue du test, une fois que les rapports et les plans de mesures correctives ont été approuvés, le fournisseur d'importance systémique et, s'il y a lieu, les testeurs externes fournissent à la Banque une synthèse des conclusions pertinentes, les plans de mesures correctives et la documentation démontrant que le test de pénétration fondé sur la menace a été effectué conformément aux exigences.

Section 9.- Gestion, classification et notification des incidents

Art. 66.§ 1er. Les fournisseurs d'importance systémique établissent un processus de gestion des incidents afin de détecter, de gérer et de notifier les incidents, et le mettent en oeuvre.

§ 2. Les fournisseurs d'importance systémique enregistrent tous les incidents et les cybermenaces majeures. Ils mettent en place des procédures et des processus adéquats pour assurer une surveillance, un traitement et un suivi cohérents et intégrés des incidents, pour veiller à ce que les causes originelles soient identifiées et documentées et qu'il y soit remédié pour éviter que de tels incidents ne se produisent.

Art. 67.Les fournisseurs d'importance systémique classent tous les incidents et les cybermenaces majeures et déterminent leur incidence au moins sur la base des critères suivants :

1°le nombre et/ou l'importance des acheteurs de services touchés ;

2°la mesure dans laquelle les acheteurs de services sont touchés ;

3°le nombre de transactions touchées ;

4°la durée de l'incident, y compris les interruptions de service ;

5°l'impact sur la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données ;

6°la criticité des services touchés.

Art. 68.Sans préjudice des dispositions de l'article 69, les fournisseurs d'importance systémique notifient à la Banque tous les incidents.

Art. 69.§ 1er. Les fournisseurs d'importance systémique notifient à la Banque les incidents majeurs et les cybermenaces majeures sans délai et au plus tard le jour où l'incident ou la menace se produit.

§ 2. Après la notification initiale, les fournisseurs d'importance systémique tiennent la Banque informée des nouvelles informations sur l'incident ou la menace et du progrès réalisé dans la mise en oeuvre des mesures de réponse, de rétablissement et de correction.

§ 3. Les fournisseurs d'importance systémique soumettent à la Banque un rapport final sur chaque incident majeur et chaque cybermenace majeure.

Le rapport final contient au minimum :

1°une analyse des causes originelles de l'incident ou de la menace ;

2°une proposition de plan ou de mesures pour éviter que l'incident ou la menace ne se reproduise ;

3°un délai de mise en oeuvre de chaque partie du plan ou de chaque mesure.

Art. 70.§ 1er. Lorsqu'un incident majeur survient et a une incidence sur les intérêts financiers des clients, les fournisseurs d'importance systémique informent leurs acheteurs de services de cet incident majeur et des mesures qui ont été prises pour atténuer les effets préjudiciables de cet incident sans retard injustifié, dès qu'ils en ont connaissance.

§ 2. En cas de cybermenace majeure, les fournisseurs d'importance systémique informent leurs acheteurs de services susceptibles d'être affectés de toute mesure de protection appropriée que ces derniers pourraient envisager de prendre.

Section 10.- Critères de fourniture de services

Art. 71.§ 1er. Un fournisseur d'importance systémique définit et rend publics des critères non discriminatoires pour la fourniture de ses services à tous les acheteurs de services. Il réexamine ces critères au moins une fois par an.

§ 2. Les critères mentionnés au paragraphe 1er sont justifiés en termes de sécurité et d'efficience de la fourniture de services de messagerie financière et des marchés qu'il dessert, et sont adaptés et proportionnels aux risques spécifiques y afférents. Conformément au principe de proportionnalité, un fournisseur d'importance systémique fixe des exigences restreignant le moins possible la fourniture de ses services. Si un fournisseur d'importance systémique refuse à une entité l'accès à ses services, il donne par écrit les raisons de ce refus, en se fondant sur une analyse générale du risque.

§ 3. Un fournisseur d'importance systémique contrôle en permanence si les acheteurs de services respectent les critères mentionnés au paragraphe 1er. Il définit et rend publiques des procédures non discriminatoires afin de faciliter la suspension ou la cessation ordonnée de la fourniture des services lorsqu'un acheteur de services ne satisfait plus aux critères mentionnés au paragraphe 1er. Il réexamine ces procédures au moins une fois par an.

Section 11.- Procédures et normes de communication

Art. 72.Un fournisseur d'importance systémique utilise des procédures et des normes de communication internationalement acceptées, ou s'y adapte, afin d'assurer l'efficience des services de messagerie financière et des transactions financières.

Section 12.- Communication de règles, procédures clés et données de marché

Art. 73.§ 1er. Un fournisseur d'importance systémique adopte un ensemble de règles et de procédures claires et exhaustives, qui sont entièrement communiquées aux acheteurs de services. Les règles et procédures clés applicables sont également rendues publiques.

§ 2. Un fournisseur d'importance systémique communique des descriptions claires de la fourniture de services, ainsi que de ses droits et obligations et de ceux des acheteurs de services, afin que ces derniers puissent évaluer les risques liés à leur achat de services.

§ 3. Un fournisseur d'importance systémique fournit toute la documentation et la formation nécessaires et appropriées pour permettre aux acheteurs de services de comprendre facilement les règles et procédures, ainsi que les risques auxquels ils sont confrontés du fait de leur achat de services.

§ 4. Un fournisseur d'importance systémique rend publiques les commissions qu'il perçoit pour chaque service de messagerie financière qu'il propose, ainsi que sa politique de remises. Le fournisseur d'importance systémique fournit des descriptions claires des services facturés, à des fins de comparaison.

Chapitre 8.- Surveillance des fournisseurs de services de messagerie financière

Section 1ère.- Surveillance par la Banque

Art. 74.§ 1er. Les fournisseurs sont soumis au contrôle de la Banque.

§ 2. La Banque veille à ce que chaque fournisseur fonctionne en permanence en conformité avec les dispositions de la présente loi qui lui sont applicables, ainsi que des arrêtés et règlements pris pour son exécution. La surveillance exercée par la Banque doit être proportionnée et adaptée à la nature, à l'étendue et à la complexité des activités exercées par le fournisseur, et aux risques qui y sont liés.

Art. 75.La Banque peut se faire transmettre par chaque fournisseur tous les renseignements dont elle a besoin selon les modalités qu'elle détermine.

La Banque peut demander les renseignements visés à l'alinéa 1er afin de vérifier si les prescriptions de la présente loi ou des arrêtés et règlements pris pour son application sont respectées, ainsi que pour contribuer aux objectifs visés à l'article 2, § 1er.

A cette fin, la Banque peut également se faire communiquer des informations par les agents de fournisseurs ou par des entités auprès desquelles un fournisseur d'importance systémique a externalisé des activités. Les fournisseurs d'importance systémique imposent à ces agents et entités une obligation contractuelle de coopérer pleinement avec la Banque lorsque celle-ci demande les renseignements visés par cet article.

Dans la mesure où les informations visées au présent article concernent des personnes physiques, la Banque ne peut demander ces informations que si cela est nécessaire pour vérifier le respect des dispositions du Chapitre 3 ou si la Banque y est expressément autorisée en vertu d'une autre disposition de droit national ou européen déterminant les éléments essentiels de ce traitement de données à caractère personnel.

Art. 76.§ 1er. La Banque peut procéder auprès de chaque fournisseur à des inspections sur place et prendre connaissance et copie, sur place également, de toute information détenue par le fournisseur, y inclus l'information visée à l'article 75, en vue de vérifier le respect des dispositions de la présente loi ainsi que l'exactitude et la sincérité des états et autres informations qui lui sont fournis, et pour contribuer aux objectifs visés à l'article 2, § 1er.

Dans la mesure où l'information visée au présent article concerne des personnes physiques, la Banque ne peut en prendre connaissance et copie que si cela est nécessaire pour vérifier le respect des dispositions du Chapitre 3 ou si la Banque y est expressément autorisée en vertu d'une autre disposition de droit national ou européen déterminant les éléments essentiels de ce traitement de données à caractère personnel.

§ 2. Les prérogatives visées au présent article couvrent également l'accès aux ordres du jour et aux procès-verbaux des réunions des différents organes des fournisseurs et de leurs comités internes, ainsi qu'aux documents y afférents et aux résultats de l'évaluation interne et/ou externe du fonctionnement desdits organes.

§ 3. Aux fins visées au paragraphe 1er, la Banque peut également procéder à des inspections sur place auprès des agents de fournisseurs ou des entités auprès desquelles un fournisseur d'importance systémique a externalisé l'exécution des activités et prendre connaissance et copie, sans déplacement, de toutes informations détenues par ces derniers. Les fournisseurs d'importance systémique imposent à ces agents et entités une obligation contractuelle de coopérer pleinement lors des inspections sur place effectuées par la Banque.

§ 4. L'article 36/20 de la loi du 22 février 1998 est applicable lorsque la Banque est empêchée d'exercer les prérogatives qui lui sont accordées en vertu du présent article ou lorsque des informations inexactes ou incomplètes lui sont sciemment fournies.

Art. 77.Dans le cadre du contrôle et notamment des inspections, les agents de la Banque sont habilités à demander des dirigeants et des employés du fournisseur, des agents et des entités auprès desquelles des activités sont externalisées toutes informations et explications qu'ils estiment nécessaires pour l'exercice de leurs missions et peuvent, à cette fin, requérir la tenue d'entretiens avec les dirigeants ou membres du personnel qu'ils désignent.

Art. 78.La Banque peut, pour l'exécution de sa mission de contrôle, recourir à des experts qu'elle désigne en vue d'effectuer les vérifications et expertises utiles. La Banque peut répercuter le coût de ces experts sur le fournisseur concerné.

Art. 79.Les rapports d'inspection et plus généralement tous les documents émanant de la Banque dont elle indique qu'ils sont confidentiels ne peuvent être divulgués par les fournisseurs sans son consentement exprès.

Le non-respect de cette obligation est puni des peines prévues par l'article 458 du Code pénal.

Art. 80.§ 1er. Un fournisseur d'importance systémique conserve tous les enregistrements relatifs aux services fournis et aux activités exercées, aussi longtemps que nécessaire pour permettre à la Banque de contrôler le respect de la présente loi.

§ 2. Les fournisseurs d'importance systémique imposent à leurs agents et entités auprès desquelles des activités sont externalisées une obligation contractuelle équivalente pour permettre à la Banque de contrôler le respect de la présente loi.

§ 3. La Banque précise, par voie de règlement pris en application de l'article 8, § 2, de la loi du 22 février 1998, quels enregistrements doivent être conservés aux fins visées au paragraphe 1er, ainsi que la durée, qui ne peut excéder dix ans, pendant laquelle ils doivent être conservés.

Section 2.- Surveillance coopérative

Art. 81.§ 1er. Le cas échéant, la Banque peut conclure des arrangements de coopération non contraignants avec les autorités de l'Union européenne, d'autres Etats membres de l'Espace économique européen et d'Etats tiers chargées de missions équivalentes à celles visées à l'article 8 de la loi du 22 février 1998, ainsi qu'avec les banques centrales ou les autorités monétaires de l'Union européenne, d'autres Etats membres de l'Espace économique européen et d'Etats tiers.

§ 2. Lorsque la surveillance d'un fournisseur d'importance systémique fait l'objet d'un arrangement de coopération visé au paragraphe 1er, la Banque exerce les missions qui lui sont dévolues par la présente loi en soutien de cette coopération.

§ 3. La Banque consulte préalablement les participants aux arrangements de coopération visés au paragraphe 1er lorsqu'elle envisage, en vue de l'application de la présente loi, émettre une communication, une recommandation ou une circulaire, ou adopter un règlement en application de l'article 8, § 2, de la loi du 22 février 1998.

§ 4. La Banque peut communiquer aux participants aux arrangements de coopération visés au paragraphe 1er les informations confidentielles dont elle a connaissance en raison de l'exercice de ses compétences visées par la présente loi, sous les conditions déterminées par l'article 35/1, § 2 et § 3, de la loi du 22 février 1998.

Chapitre 9.- Mesures contraignantes

Art. 82.§ 1er. Lorsque la Banque constate ou qu'elle dispose d'éléments indiquant :

1°qu'un fournisseur d'importance systémique ne fonctionne pas en conformité avec les dispositions de cette loi ou des arrêtés et règlements pris pour son exécution ;

2°qu'un fournisseur d'importance systémique risque de ne plus fonctionner en conformité avec ces dispositions au cours des douze prochains mois ;

3°que l'exercice de l'activité d'un fournisseur d'importance systémique présente une menace pour la stabilité et la continuité des transactions financières nationales et internationales ; ou

4°que l'exercice de l'activité d'un fournisseur d'importance systémique présente une menace pour l'assurance des objectifs visés à l'article 2, § 1er, elle fixe le délai dans lequel il doit être remédié à cette situation.

§ 2. Aussi longtemps qu'il n'a pas été remédié par le fournisseur d'importance systémique à la situation visée au paragraphe 1er, la Banque peut, à tout moment :

1°imposer la mise en réserve totale ou partielle de bénéfices distribuables ;

2°imposer des exigences de capital plus sévères que, ou complémentaires à, celles prévues en vertu de l'article 37 ;

3°limiter ou interdire toute distribution de dividendes ou tout paiement, notamment d'intérêts, aux actionnaires, dans la mesure où la suspension des versements qui en résulterait n'entraîne pas les conditions d'ouverture d'une procédure de faillite en application des dispositions du livre XX, titre VI, chapitre 1er, du Code de droit économique ;

4°imposer que le fournisseur d'importance systémique diminue le risque inhérent à certaines activités ou à son organisation, le cas échéant en imposant la cession de tout ou partie de ses activités ou de son réseau ;

5°imposer une obligation d'information (reporting) supplémentaire ou imposer une fréquence d'information (reporting) plus élevée que ce qui est prévu par ou en vertu de cette loi, notamment en matière de risques ;

6°imposer la publication d'informations dont l'objet est déterminé par la Banque.

§ 3. Lorsque la Banque estime que les mesures prises par le fournisseur d'importance systémique dans le délai fixé en application du paragraphe 1er pour remédier à la situation constatée sont satisfaisantes, elle lève, selon les modalités qu'elle détermine, tout ou partie des mesures décidées en application du paragraphe 2.

Art. 83.§ 1er. Sans préjudice des autres dispositions prévues par ou en vertu de la présente loi, lorsque la Banque constate qu'un fournisseur d'importance systémique ne se conforme pas ou cesse de se conformer aux mesures adoptées en application de l'article 82, § 2, ou qu'à l'issue du délai fixé en application de l'article 82, § 1er, il n'a pas remédié à la situation, la Banque peut :

1°désigner un commissaire spécial conformément à l'article 84 ;

2°suspendre pour la durée qu'elle détermine l'exercice direct ou indirect de tout ou partie de l'activité du fournisseur d'importance systémique ou interdire cet exercice ;

3°enjoindre le remplacement de tout ou partie des dirigeants du fournisseur d'importance systémique, ou, désigner des administrateurs provisoires conformément à l'article 85 ;

4°enjoindre au fournisseur d'importance systémique de convoquer, dans le délai qu'elle fixe, une assemblée générale des actionnaires, dont elle établit l'ordre du jour.

Une suspension ou interdiction visée à l'alinéa 1er, 2°, peut, dans la mesure déterminée par la Banque, impliquer la suspension totale ou partielle de l'exécution des contrats en cours. Les membres du conseil de surveillance et les personnes chargées de la direction effective qui accomplissent des actes ou prennent des décisions en violation de la suspension ou de l'interdiction sont responsables solidairement du préjudice qui en est résulté pour le fournisseur d'importance systémique ou les tiers. Si la Banque a publié la suspension ou l'interdiction au Moniteur belge, les actes et décisions intervenus en contravention à celle-ci sont nuls.

§ 2. Nonobstant les conditions d'application du paragraphe 1er, en cas d'extrême urgence ou lorsque la gravité des faits le justifie, la Banque peut adopter les mesures visées audit paragraphe 1er sans qu'un délai soit préalablement fixé.

§ 3. Les décisions de la Banque visées au paragraphe 1er sortent leurs effets à l'égard du fournisseur d'importance systémique à dater de leur notification à celle-ci par lettre recommandée ou avec accusé de réception et, à l'égard des tiers, à dater de leur publication.

Art. 84.§ 1er. Lorsque la Banque désigne un commissaire spécial, l'autorisation écrite, générale ou spéciale de celui-ci est requise pour tous les actes et décisions de tous les organes du fournisseur d'importance systémique, y compris l'assemblée générale, et pour ceux des personnes chargées de la gestion. La Banque peut toutefois limiter le champ des opérations soumises à autorisation.

§ 2. Le commissaire spécial peut soumettre à la délibération de tous les organes du fournisseur d'importance systémique, y compris l'assemblée générale, toutes propositions qu'il juge opportunes.

§ 3. La rémunération du commissaire spécial est fixée par la Banque et supportée par le fournisseur d'importance systémique.

§ 4. Les membres des organes d'administration et de gestion et les personnes chargées de la gestion qui accomplissent des actes ou prennent des décisions sans avoir recueilli l'autorisation requise du commissaire spécial sont responsables solidairement du préjudice qui en est résulté pour le fournisseur d'importance systémique ou les tiers.

§ 5. Si la Banque a publié au Moniteur belge la désignation du commissaire spécial et spécifié les actes et décisions soumis à son autorisation, les actes et décisions intervenus sans cette autorisation alors qu'elle était requise sont nuls, à moins que le commissaire spécial ne les ratifie. Dans les mêmes conditions toute décision d'assemblée générale prise sans avoir recueilli l'autorisation requise du commissaire spécial est nulle, à moins que le commissaire spécial ne la ratifie.

§ 6. La Banque peut désigner un commissaire suppléant.

Art. 85.§ 1er. La Banque peut enjoindre le remplacement de tout ou partie des membres du conseil de surveillance et/ou des personnes chargées de la direction effective du fournisseur d'importance systémique, dans un délai qu'elle fixe. A défaut d'un tel remplacement dans ce délai, la Banque peut démettre un ou plusieurs membres du conseil de surveillance ou une ou plusieurs personnes chargées de la direction effective du fournisseur ou substituer à l'ensemble des organes d'administration et de gestion du fournisseur un ou plusieurs administrateurs provisoires qui disposent, seuls ou collégialement selon le cas, des pouvoirs des personnes remplacées. La Banque publie sa décision au Moniteur belge.

§ 2. Lorsque les circonstances le justifient, la Banque peut procéder à la désignation d'un ou plusieurs administrateurs provisoires sans procéder préalablement à l'injonction de remplacer tout ou partie des dirigeants du fournisseur d'importance systémique.

§ 3. Moyennant l'autorisation de la Banque, le ou les administrateurs provisoires peuvent convoquer une assemblée générale et en établir l'ordre du jour.

§ 4. Le mandat des personnes remplacées prend fin dès la notification de la décision de la Banque substituant un ou plusieurs administrateurs provisoires. Le fournisseur d'importance systémique accomplit les formalités de publicité requises par la fin des mandats concernés.

§ 5. La Banque peut déroger aux obligations de reporting prévues par ou en vertu de la présente loi à l'égard du fournisseur d'importance systémique faisant l'objet d'une mesure de nomination d'un ou plusieurs administrateurs provisoires.

§ 6. La rémunération du ou des administrateurs provisoires est fixée par la Banque et supportée par le fournisseur d'importance systémique.

§ 7. La Banque peut, à tout moment, remplacer le ou les administrateurs provisoires, soit d'office, soit à la demande d'une majorité des actionnaires ou associés lorsque ceux-ci justifient que la gestion des intéressés ne présente plus les garanties nécessaires.

Art. 86.§ 1er. Le commissaire spécial et le ou les administrateurs provisoires visés aux articles 84 et 85 contribuent à l'exercice de la mission légale de la Banque, pour compte de celle-ci. Dans le cadre de cette mission :

1°ils agissent exclusivement dans le cadre de la finalité prévue par l'article 2 de la présente loi ;

2°ils suivent les instructions de la Banque quant à la manière d'accomplir la mission particulière qui leur est confiée ;

3°ils sont assujettis aux mêmes obligations en matière de secret professionnel que celles applicables à la Banque en ce qui concerne la mission de contrôle prévue par la présente loi, l'usage des exceptions légales étant soumis à une autorisation préalable de la Banque ;

4°ils font, à la requête de la Banque, selon les modalités qu'elle détermine, rapport sur la situation financière du fournisseur d'importance systémique et sur les mesures prises dans le cadre de leur mission, ainsi que sur la situation financière au début et à la fin de cette mission.

Leur qualité d'auxiliaire de la Banque implique qu'ils ne peuvent, comme tels, être considérés comme une autorité administrative.

§ 2. La substitution de l'ensemble des organes d'administration et de gestion du fournisseur d'importance systémique par les administrateurs provisoires opérée en application de l'article 85 n'implique pas que ces derniers doivent être considérés comme des administrateurs ou membres de l'organe légal d'administration au sens du Code des sociétés et des associations mais seulement qu'ils bénéficient des pouvoirs des personnes remplacées, notamment aux fins d'accomplir les actes permettant au fournisseur d'importance systémique de satisfaire à ses obligations légales et réglementaires, en particulier celles prévues par ou en vertu du Code des sociétés et des associations. A ce titre, ils ne font pas l'objet d'une décision ou d'un vote sur la décharge tel que prévu par le Code des sociétés et des associations mais répondent de leur mission à l'égard de la Banque exclusivement qui leur donne décharge s'il y échet.

Art. 87.§ 1er. Le tribunal de l'entreprise prononce à la requête de tout intéressé, les nullités prévues à l'article 83, § 1er, alinéa 2, et à l'article 84, § 5.

§ 2. L'action en nullité est dirigée contre le fournisseur d'importance systémique. Si des motifs graves le justifient, le demandeur en nullité peut solliciter en référé la suspension provisoire des actes ou décisions attaqués. L'ordonnance de suspension et le jugement prononçant la nullité produisent leurs effets à l'égard de tous. Au cas où l'acte ou la décision suspendu ou annulé a fait l'objet d'une publication, l'ordonnance de suspension et le jugement prononçant la nullité sont publiés en extrait dans les mêmes formes.

§ 3. Lorsque la nullité est de nature à porter atteinte aux droits acquis de bonne foi par un tiers à l'égard du fournisseur d'importance systémique, le tribunal peut déclarer sans effet la nullité à l'égard de ces droits, sans préjudice du droit du demandeur à des dommages et intérêts s'il y a lieu.

§ 4. L'action en nullité ne peut plus être intentée après l'expiration d'un délai de six mois à compter de la date à laquelle les actes ou décisions intervenus sont opposables à celui qui invoque la nullité ou sont connus de lui.

Chapitre 10.- Astreintes, sanctions administratives et autres mesures

Art. 88.Sans préjudice des autres mesures prévues par la présente loi, la Banque peut publier qu'un fournisseur d'importance systémique ne s'est pas conformé aux injonctions qui lui ont été faites de respecter dans le délai qu'elle détermine les dispositions de la présente loi et des arrêtés et règlements pris pour son exécution.

Art. 89.§ 1er. Lorsque la Banque a fixé un délai visé à l'article 82, § 1er, et qu'au terme de ce délai il n'a pas été remédié à la situation, la Banque peut infliger une astreinte après avoir entendu ou à tout le moins avoir dûment convoqué le fournisseur d'importance systémique. L'astreinte ne pourra excéder 50.000 euros par jour, ni 2.500.000 euros au total.

§ 2. Le montant de l'astreinte est fixé en tenant notamment compte :

1°de la gravité des manquements rencontrés et, le cas échéant, de l'impact potentiel de ces manquements sur la stabilité financière et sur la stabilité et la continuité des transactions financières nationales et internationales ;

2°de l'assise financière du fournisseur d'importance systémique, telle qu'elle ressort notamment de son chiffre d'affaires total.

Art. 90.§ 1er. Sans préjudice des autres mesures prévues par la présente loi, la Banque peut imposer une amende administrative au fournisseur d'importance systémique ou à la personne physique en cause, si elle constate une infraction aux dispositions de la présente loi ou des arrêtés et règlements pris pour son exécution. Le montant de l'amende administrative, pour le même fait ou pour le même ensemble de faits, est de maximum 10 % du chiffre d'affaires annuel net au cours de l'exercice précédent du fournisseur d'importance systémique.

§ 2. Lorsque l'infraction a procuré un profit au contrevenant ou a permis à ce dernier d'éviter une perte, ce maximum peut être porté au triple du montant de ce profit ou de cette perte.

§ 3. Le montant de l'amende est notamment fixé en fonction :

1°de la gravité et de la durée des manquements ;

2°du degré de responsabilité de la personne en cause ;

3°de l'assise financière de la personne en cause, telle qu'elle ressort notamment de son chiffre d'affaires total de la personne morale en cause ou des revenus annuels de la personne physique en cause ;

4°des avantages ou profits éventuellement tirés de ces manquements ;

5°d'un préjudice subi par des tiers du fait des manquements, dans la mesure où il peut être déterminé ;

6°du degré de coopération avec la Banque dont a fait preuve la personne physique ou morale en cause ;

7°des manquements antérieurs commis par la personne en cause ;

8°de l'impact négatif potentiel des manquements sur la stabilité financière et sur la stabilité et la continuité des transactions financières nationales et internationales.

Art. 91.Les astreintes et amendes imposées en application des articles 89 et 90 sont recouvrées au profit du Trésor public par l'Administration générale de la Perception et du Recouvrement du Service public fédéral Finances.

Art. 92.La Banque peut rendre publiques les mesures imposées conformément au présent Chapitre après avoir informé le fournisseur d'importance systémique ou les personnes physiques concernées, sauf si la publication compromettrait une enquête pénale en cours ou la stabilité des machés financiers, ou causerait un préjudice disproportionné au fournisseur d'importance systémique ou aux personnes physiques concernées.

La Banque veille à ce que toute information publiée en vertu du présent article demeure sur son site internet pendant au moins cinq ans. Les données à caractère personnel ne peuvent être maintenus sur le site internet de la Banque que si les règles applicables en matière de protection des données le permettent.

Chapitre 11.- Modifications et entrée en vigueur

Art. 93.L'article 8 de la loi du 22 février 1998 fixant le statut organique de la Banque nationale de Belgique, remplacé par la loi du 24 mars 2017, est complété par un paragraphe 4 rédigé comme suit :

" § 4. La Banque peut récupérer auprès des établissements soumis à son contrôle les frais de fonctionnement qui ont trait au contrôle visé au paragraphe 1er, selon les modalités fixées par le Roi.

La Banque peut charger l'Administration générale de la perception et du recouvrement du service public fédéral Finances du recouvrement des contributions impayées.".

Art. 94.La présente loi entre en vigueur le 1er janvier 2026.