Art. 15 Harmonisation accrue des outils, méthodes, processus et politiques de gestion du risque lié aux TIC | DORA regulation | DORA

Les AES élaborent, par l’intermédiaire du comité mixte: le comité visé à l’article 54 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010;, en concertation avec l’Agence de l’Union européenne pour la cybersécurité (ENISA), des projets communs de normes techniques de réglementation afin:
1. de préciser davantage les éléments à inclure dans les politiques, procédures, protocoles et outils de sécurité des TIC visés à l’article 9, paragraphe 2, en vue de garantir la sécurité des réseaux, de favoriser la mise en place de garanties adéquates contre les intrusions et les utilisations abusives des données, de préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, y compris en recourant à des techniques cryptographiques, et de garantir une transmission précise et rapide des données sans perturbation majeure et sans retard injustifié;
2. d’approfondir les composantes relatives au contrôle des droits de gestion des accès visés à l’article 9, paragraphe 4, point c), et de la politique connexe en matière de ressources humaines, en précisant les droits d’accès, les procédures d’octroi et de révocation des droits, le suivi des comportements anormaux par rapport au risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; au moyen d’indicateurs adéquats, notamment pour les manières d’utiliser le réseau et les heures d’utilisation du réseau, l’activité de TIC et les dispositifs inconnus;
3. d’approfondir les mécanismes précisés à l’article 10, paragraphe 1, qui permettent une détection rapide des activités anormales, ainsi que les critères définis à l’article 10, paragraphe 2, qui entraînent le déclenchement des processus de détection des incidents liés aux TIC et de réponse à ces incidents;
4. de détailler davantage les composantes de la politique de continuité des activités de TIC visée à l’article 11, paragraphe 1;
5. de détailler davantage les tests des plans de continuité des activités de TIC visés à l’article 11, paragraphe 6, afin de veiller à ce que ces tests tiennent dûment compte des scénarios dans lesquels la qualité de l’exécution d’une fonction critique ou importante: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; se détériore à un niveau inacceptable ou dans lesquels l’exécution d’une fonction critique ou importante: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; échoue, et à ce que ces tests prennent dûment en considération les incidences potentielles de l’insolvabilité ou d’autres défaillances de tout prestataire tiers de services TIC: une entreprise qui fournit des services TIC; concerné et, le cas échéant, les risques politiques dans les juridictions des prestataires en question;
6. de détailler davantage les composantes des plans de réponse et de rétablissement des TIC visés à l’article 11, paragraphe 3;
7. de préciser davantage le contenu et le format du rapport sur le réexamen du cadre de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; visé à l’article 6, paragraphe 5.
Lors de l’élaboration de ces projets de normes techniques de réglementation, les AES tiennent compte de la taille et du profil de risque global de l’entité financière, ainsi que de la nature, de l’ampleur et de la complexité de ses services, activités et opérations, tout en tenant dûment compte de toute caractéristique particulière découlant de la nature distincte des activités dans les différents secteurs des services financiers.
Les AES soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le 17 janvier 2024.
Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au premier alinéa est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010.