Source: OJ L 333, 27.12.2022, pp. 153–163
Current language: FR
Recital 4 Amendments to the capital requirements directive
Dans le domaine des services bancaires, la directive 2013/36/UE n’énonce actuellement que des règles générales de gouvernance interne et des dispositions relatives au risque opérationnel définissant des exigences en matière de plans d’urgence et de poursuite de l’activité qui servent implicitement de base pour traiter le risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;. Toutefois, afin de traiter le risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; explicitement et clairement, les exigences en matière de plans d’urgence et de poursuite de l’activité devraient être modifiées de manière à inclure également les plans de continuité des activités et les plans de réponse et de rétablissement en ce qui concerne le risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, conformément aux exigences fixées dans le règlement (UE) 22022/2554 En outre, le risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; n’est inclus que de façon implicite, dans le cadre du risque opérationnel, dans le processus de contrôle et d’évaluation prudentiels (SREP) mené par les autorités compétentes et ses critères d’évaluation sont actuellement définis dans les orientations sur l’évaluation du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; dans le cadre du processus de contrôle et d’évaluation prudentiels (SREP), émises par l’Autorité européenne de surveillance (Autorité bancaire européenne) (ABE), instituée par le règlement (UE) no 1093/2010 du Parlement européen et du Conseil(13)Règlement (UE) no 1093/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité bancaire européenne), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/78/CE de la Commission (JO L 331 du 15.12.2010, p. 12).. Dans un souci de clarté juridique et pour veiller à ce que les autorités de surveillance du secteur bancaire cernent efficacement le risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; et contrôlent sa gestion par les entités financières conformément au nouveau cadre sur la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations;, le champ d’application du SREP devrait également être modifié pour se référer explicitement aux exigences fixées dans le règlement (UE) 2022/2554 et couvrir en particulier les risques mis en évidence par les rapports sur les incidents majeurs liés aux TIC et par les résultats des tests de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; effectués par les entités financières conformément audit règlement.