1° Au 6° de l'article 1er, après les mots : « Les établissements de paiement » sont insérés les mots : « et les prestataires de services d'information sur les comptes » ;
2° A l'article 10 :
a) Au premier alinéa du a, la référence : « septième alinéa du II » est remplacée par la référence : « 1° du III » ;
b) Au deuxième alinéa du a, après les mots : « dans le cas d'établissement de paiement » sont insérés les mots : « ou de prestataire de services d'information sur les comptes » ;
c) Il est ajouté un alinéa ainsi rédigé :
« ak) incident de sécurité : un événement ou une série d'événements imprévus résultant de processus internes inadaptés ou défaillants ou d'évènements extérieurs affectant la disponibilité, l'intégrité, la confidentialité et la continuité des systèmes d'information et de communication et/ ou les informations utilisées pour la fourniture de services de paiement. Ceci inclut les incidents provenant de cyber-attaque ou de la non pertinence des mesures de sécurité physique. » ;
3° Au premier alinéa de l'article 94, après les mots : « les risques liés au modèle et le risque opérationnel » sont insérés les mots : « et le risque de sécurité » ;
4° Au premier alinéa de l'article 98, après les mots : « seuils permettant d'identifier comme significatifs » sont insérés les mots : « ou majeurs » ;
5° A l'article 232, après les mots : « Les établissements de paiement » sont insérés les mots : «, les prestataires de services d'information sur les comptes » ;
6° Après l'article 249, il est inséré un article ainsi rédigé :
« Art. 249-1.-En ce qui concerne les incidents majeurs au sens de l'article L. 521-10 du code monétaire et financier, les dirigeants effectifs informent sans retard injustifié l'Autorité de contrôle prudentiel et de résolution de tout incident opérationnel et la Banque de France de tout incident de sécurité. » ;
7° Le quatrième alinéa de l'article 262 est remplacé par un alinéa ainsi rédigé :
« Ce rapport comprend, pour les entreprises assujetties, les compagnies financières holding et les compagnies financières holding mixtes concernées, une annexe relative à la sécurité des moyens de paiement et de l'accès aux comptes de paiement et à leurs informations. Elles y présentent l'évaluation, la mesure et le suivi de la sécurité des moyens de paiement qu'elles émettent ou qu'elles gèrent ainsi que de l'accès aux comptes de paiement et à leurs informations, au regard de leurs éventuelles normes internes et des recommandations que la Banque de France ou le Système européen de banques centrales portent à leur connaissance. » ;
8° A l'article 272 :
a) La référence : « L. 526-25 » est remplacé par la référence : « L. 526-24 » ;
b) Il est ajouté un alinéa ainsi rédigé :
« A l'exception des dispositions prévues aux articles 258 et 259, le présent arrêté ne s'applique pas aux succursales des prestataires de services d'information sur les comptes ayant leur siège social dans un autre Etat membre de l'Union européenne ou partie à l'accord sur l'Espace économique européen. » ;
9° A l'article 273 :
a) Aux premier et deuxième alinéas, après les mots : « Les établissements de paiement » sont insérés les mots : «, les prestataires de services d'information sur les comptes » ;
b) Il est ajouté un alinéa ainsi rédigé :
« Les prestataires de services d'information sur les comptes ne sont pas soumis aux dispositions relatives au risque de blanchiment des capitaux et de financement du terrorisme prévues aux articles 43 à 73 et 246. » ;
10° A l'article 275, après les mots : « aux établissements de paiement » sont insérés les mots : «, aux prestataires de services d'information sur les comptes ».