Beta

Source: OJ L 333, 27.12.2022, p. 1–79

Current language: FR

Article 12 Politiques et procédures de sauvegarde, procédures et méthodes de restauration et de rétablissement

    1. Dans le but de veiller à la restauration des systèmes et des données des TIC en limitant au maximum la durée d’indisponibilité, les perturbations et les pertes, aux fins de leur cadre de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, les entités financières définissent et documentent:

      1. des politiques et procédures de sauvegarde qui précisent la portée des données concernées par la sauvegarde et la fréquence minimale de celle-ci, en fonction de la criticité des informations ou du niveau de confidentialité des données;

      2. des procédures et méthodes de restauration et de rétablissement.

    1. Les entités financières mettent en place des systèmes de sauvegarde qui peuvent être activés conformément aux politiques et procédures de sauvegarde, ainsi qu’aux procédures et méthodes de restauration et de rétablissement. L’activation de systèmes de sauvegarde ne compromet pas la sécurité du réseau et des systèmes d’information ni la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données. Des tests des procédures de sauvegarde et des procédures et méthodes de restauration et de rétablissement sont effectués périodiquement.

    1. Lorsqu’elles restaurent des données de sauvegarde à l’aide de leurs propres systèmes, les entités financières utilisent des systèmes de TIC qui sont séparés physiquement et logiquement du système de TIC source. Les systèmes de TIC sont protégés de manière sécurisée contre tout accès non autorisé ou toute corruption des TIC et permettent la restauration en temps utile des services grâce à la sauvegarde des données et des systèmes si nécessaire.

    2. Dans le cas des contreparties centrales: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) no 648/2012;, les plans de rétablissement favorisent la reprise de toutes les transactions qui étaient en cours au moment de la perturbation, pour permettre aux contreparties centrales: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) no 648/2012; de continuer à fonctionner avec précision et d’achever le règlement à la date programmée.

    3. Les prestataires de services de communication de données: un prestataire de services de communication de données au sens du règlement (UE) no 600/2014, tel que visé à l’article 2, paragraphe 1, points 34) à 36), dudit règlement; maintiennent en outre des ressources adéquates et possèdent des dispositifs de sauvegarde et de restauration afin d’offrir et de maintenir leurs services à tout moment.

    1. Les entités financières, autres que les microentreprises: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros;, maintiennent des capacités en matière de TIC redondantes dotées de ressources, de capacités et de fonctions adéquates pour répondre à leurs besoins. Les microentreprises: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros; évaluent la nécessité de maintenir ces capacités en matière de TIC redondantes en se fondant sur leur profil de risque.

    1. Les dépositaires centraux de titres maintiennent au moins un site de traitement secondaire doté de ressources, de capacités, de fonctions et d’effectifs adéquats pour répondre à leurs besoins.

    2. Le site de traitement secondaire:

      1. est situé à une certaine distance géographique du site de traitement primaire afin de veiller à ce qu’il présente un profil de risque distinct et d’éviter qu’il ne soit affecté par l’événement qui a touché le site primaire;

      2. est capable d’assurer la continuité des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; de la même manière que le site primaire, ou de fournir le niveau de services dont l’entité financière a besoin pour effectuer ses opérations critiques dans le cadre des objectifs de rétablissement;

      3. est immédiatement accessible au personnel de l’entité financière afin d’assurer la continuité des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; en cas d’indisponibilité du site de traitement primaire.

    1. Lorsqu’elles déterminent les objectifs en matière de délai de rétablissement et de point de rétablissement pour chaque fonction, les entités financières tiennent compte du caractère critique ou important de la fonction et des effets globaux potentiels sur l’efficience du marché. Ces objectifs temporels permettent d’assurer, dans des scénarios extrêmes, le respect des niveaux de service convenus.

    1. Lorsqu’elles opèrent un rétablissement à la suite d’un incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière;, les entités financières effectuent les contrôles nécessaires, y compris tout contrôle multiple et rapprochement, afin de garantir le niveau d’intégrité des données le plus haut possible. Ces contrôles sont également effectués lors de la reconstitution des données provenant de parties prenantes externes, afin que toutes les données soient cohérentes entre les systèmes.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod