Art. 13 Apprentissage et évolution | DORA regulation | DORA

1. Les entités financières disposent de capacités et d’effectifs pour recueillir des informations sur les s et les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;, et sur les incidents liés aux TIC, en particulier les cyberattaques: un incident lié aux TIC malveillant causé par une tentative de destruction, d’exposition, de modification, de désactivation, de vol, d’utilisation non autorisée d’un actif ou d’accès non autorisé à celui-ci, perpétrée par un acteur de la menace;, et analyser leurs incidences probables sur leur résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations;.
1. Les entités financières réalisent des examens post-incident lié aux TIC après qu’un incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; a perturbé leurs activités principales, afin d’analyser les causes de la perturbation et de déterminer les améliorations à apporter aux opérations de TIC ou dans le cadre de la politique de continuité des activités de TIC visée à l’article 11.
2. Les entités financières, autres que les microentreprises: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros;, communiquent, sur demande, aux autorités compétentes les changements qui ont été apportés à la suite des examens post-incident lié aux TIC visés au premier alinéa.
3. Les examens post-incident lié aux TIC visés au premier alinéa consistent à déterminer si les procédures établies ont été suivies et si les mesures prises ont été efficaces, notamment en ce qui concerne:
  1. la célérité de la réponse aux alertes de sécurité et de l’évaluation des effets associés aux incidents liés aux TIC et de leur gravité;
  2. la qualité et la rapidité de l’analyse technico-légale, le cas échéant;
  3. l’efficacité de la remontée des incidents au sein de l’entité financière;
  4. l’efficacité de la communication interne et externe.
1. Les enseignements tirés des tests de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; effectués conformément aux articles 26 et 27 et des incidents liés aux TIC en situation réelle, en particulier les cyberattaques: un incident lié aux TIC malveillant causé par une tentative de destruction, d’exposition, de modification, de désactivation, de vol, d’utilisation non autorisée d’un actif ou d’accès non autorisé à celui-ci, perpétrée par un acteur de la menace;, ainsi que les difficultés rencontrées lors de l’activation des plans de continuité des activités de TIC et des plans de réponse et de rétablissement des TIC, de même que les informations pertinentes échangées avec les contreparties et évaluées lors des contrôles prudentiels, sont dûment intégrés, de manière continue, dans le processus d’évaluation du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;. Ces constatations permettent d’effectuer un examen approprié des composantes pertinentes du cadre de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; visé à l’article 6, paragraphe 1.
1. Les entités financières contrôlent l’efficacité de la mise en œuvre de leur stratégie de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; définie à l’article 6, paragraphe 8. Elles retracent l’évolution du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; dans le temps, analysent la fréquence, les types, l’ampleur et l’évolution des incidents liés aux TIC, en particulier les cyberattaques: un incident lié aux TIC malveillant causé par une tentative de destruction, d’exposition, de modification, de désactivation, de vol, d’utilisation non autorisée d’un actif ou d’accès non autorisé à celui-ci, perpétrée par un acteur de la menace; et leurs caractéristiques, afin de cerner le niveau d’exposition au risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, en particulier en ce qui concerne les fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;, et de renforcer la maturité et la préparation des TIC de l’entité financière.
1. Les membres de l’encadrement supérieur responsables des TIC rendent compte au moins une fois par an, à l’organe de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(^31^), de l’article 2, paragraphe 1, point 45), du règlement (UE) n^o 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32)., des constatations visées au paragraphe 3 et formulent des recommandations.
1. Les entités financières élaborent des programmes de sensibilisation à la sécurité des TIC et des formations à la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; qu’elles intègrent à leurs programmes de formation du personnel sous forme de modules obligatoires. Ces programmes et formations sont destinés à tous les employés et aux membres de la direction et présentent un niveau de complexité proportionné à leurs fonctions. Le cas échéant, les entités financières incluent également les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; dans leurs programmes de formation pertinents conformément à l’article 30, paragraphe 2, point i).
1. Les entités financières, autres que les microentreprises: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros;, assurent un suivi continu des évolutions technologiques pertinentes, notamment en vue de déterminer l’incidence que le déploiement de ces nouvelles technologies pourrait avoir sur les exigences en matière de sécurité des TIC et la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations;. Elles se tiennent informées des processus de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; les plus récents, afin de lutter efficacement contre les formes actuelles ou émergentes de cyberattaques: un incident lié aux TIC malveillant causé par une tentative de destruction, d’exposition, de modification, de désactivation, de vol, d’utilisation non autorisée d’un actif ou d’accès non autorisé à celui-ci, perpétrée par un acteur de la menace;.