Beta

Source: OJ L 333, 27.12.2022, p. 1–79

Current language: FR

Article 19 Déclaration des incidents majeurs liés aux TIC et notification volontaire des cybermenaces importantes

    1. Les entités financières déclarent à l’autorité compétente pertinente visée à l’article 46 les incidents majeurs liés aux TIC, conformément au paragraphe 4 du présent article.

    2. Lorsqu’une entité financière est soumise à la surveillance de plusieurs autorités nationales compétentes visées à l’article 46, les États membres désignent une seule autorité compétente en tant qu’autorité compétente concernée chargée d’exercer les fonctions et missions prévues au présent article.

    3. Les établissements de crédit classés comme importants, conformément à l’article 6, paragraphe 4, du règlement (UE) no 1024/2013, déclarent les incidents majeurs liés aux TIC à l’autorité nationale compétente concernée désignée conformément à l’article 4 de la directive 2013/36/UE, qui transmet immédiatement cette déclaration à la BCE.

    4. Aux fins du premier alinéa, les entités financières établissent, après avoir recueilli et analysé toutes les informations pertinentes, la notification initiale et les rapports visés au paragraphe 4 du présent article en utilisant les modèles visés à l’article 20, et les soumettent à l’autorité compétente. S’il s’avère qu’une impossibilité technique empêche la soumission de la notification initiale au moyen du modèle, les entités financières le notifient à l’autorité compétente par d’autres moyens.

    5. La notification initiale et les rapports visés au paragraphe 4 comprennent toutes les informations nécessaires pour permettre à l’autorité compétente de déterminer l’importance de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; et d’évaluer les éventuelles incidences transfrontières.

    6. Sans préjudice de la déclaration par l’entité financière à l’autorité compétente concernée en vertu du premier alinéa, les États membres peuvent en outre décider que certaines entités financières ou toutes les entités financières fournissent également la notification initiale et chacun des rapports visés au paragraphe 4 du présent article, en utilisant les modèles visés à l’article 20, aux autorités compétentes ou aux centres de réponse aux incidents de sécurité informatique (CSIRT) désignés ou établis conformément à la directive (UE) 2022/2555.

    1. Les entités financières peuvent notifier, à titre volontaire, les cybermenaces importantes: une cybermenace dont les caractéristiques techniques indiquent qu’elle pourrait donner lieu à un incident majeur lié aux TIC ou à un incident opérationnel ou de sécurité majeur lié au paiement; à l’autorité compétente concernée lorsqu’elles estiment que la menace est pertinente pour le système financier, les utilisateurs de services ou les clients. L’autorité compétente concernée peut communiquer ces informations à d’autres autorités compétentes conformément au paragraphe 6.

    2. Les établissements de crédit classés comme importants, conformément à l’article 6, paragraphe 4, du règlement (UE) no 1024/2013, peuvent, à titre volontaire, notifier les cybermenaces importantes: une cybermenace dont les caractéristiques techniques indiquent qu’elle pourrait donner lieu à un incident majeur lié aux TIC ou à un incident opérationnel ou de sécurité majeur lié au paiement; à l’autorité nationale compétente concernée, désignée conformément à l’article 4 de la directive 2013/36/UE, qui transmet immédiatement la notification à la BCE.

    3. Les États membres peuvent décider que les entités financières qui, à titre volontaire, notifient conformément au premier alinéa peuvent également transmettre cette notification aux CSIRT désignés ou établis conformément à la directive (UE) 2022/2555.

    1. Lorsqu’un incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; survient et a une incidence sur les intérêts financiers des clients, les entités financières informent leurs clients de cet incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; et des mesures qui ont été prises pour atténuer les effets préjudiciables de cet incident sans retard injustifié, dès qu’elles en ont connaissance.

    2. En cas de cybermenace importante: une cybermenace dont les caractéristiques techniques indiquent qu’elle pourrait donner lieu à un incident majeur lié aux TIC ou à un incident opérationnel ou de sécurité majeur lié au paiement;, les entités financières informent, le cas échéant, leurs clients susceptibles d’être affectés de toute mesure de protection appropriée que ces derniers pourraient envisager de prendre.

    1. Les entités financières soumettent, dans les délais à fixer conformément à l’article 20, premier alinéa, point a) ii), à l’autorité compétente concernée les éléments suivants:

      1. une notification initiale;

      2. un rapport intermédiaire après la notification initiale visée au point a), dès que la situation de l’incident initial a sensiblement changé ou que le traitement de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; a changé sur la base des nouvelles informations disponibles, suivi, le cas échéant, de notifications actualisées chaque fois qu’une mise à jour pertinente de la situation est disponible, ainsi que sur demande spécifique de l’autorité compétente;

      3. un rapport final, lorsque l’analyse des causes originelles est terminée, que des mesures d’atténuation aient déjà été mises en œuvre ou non, et lorsque les chiffres relatifs aux incidences réelles sont disponibles en lieu et place des estimations.

    1. Les entités financières peuvent externaliser, conformément au droit sectoriel de l’Union et national, les obligations de déclaration prévues par le présent article à un prestataire tiers de services. Dans le cas d’une telle externalisation, l’entité financière reste pleinement responsable du respect des exigences en matière de déclaration des incidents.

    1. Dès réception de la notification initiale et de chaque rapport visé au paragraphe 4, l’autorité compétente fournit, en temps utile, des détails sur l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; aux destinataires suivants sur la base, selon le cas, de leurs compétences respectives:

      1. à l’ABE, à l’AEMF ou à l’AEAPP;

      2. à la BCE pour ce qui est des entités financières visées à l’article 2, paragraphe 1, points a), b) et d);

      3. aux autorités compétentes, aux points de contact uniques ou aux CSIRT désignés ou établis conformément à la directive (UE) 2022/2555;

      4. aux autorités de résolution visées à l’article 3 de la directive 2014/59/UE et au Conseil de résolution unique (CRU) en ce qui concerne les entités visées à l’article 7, paragraphe 2, du règlement (UE) no 806/2014 du Parlement européen et du Conseil(37)Règlement (UE) no 806/2014 du Parlement européen et du Conseil du 15 juillet 2014 établissant des règles et une procédure uniformes pour la résolution des établissements de crédit et de certaines entreprises d’investissement dans le cadre d’un mécanisme de résolution unique et d’un Fonds de résolution bancaire unique, et modifiant le règlement (UE) no 1093/2010 (JO L 225 du 30.7.2014, p. 1). et, en ce qui concerne les entités et les groupes: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; visés à l’article 7, paragraphe 4, point b), et à l’article 7, paragraphe 5, du règlement (UE) no 806/2014, si ces détails concernent des incidents qui présentent un risque pour l’exercice de fonctions critiques au sens de l’article 2, paragraphe 1, point 35, de la directive 2014/59/UE; et

      5. à d’autres autorités publiques compétentes en vertu du droit national.

    1. Après réception des informations visées au paragraphe 6, l’ABE, l’AEMF ou l’AEAPP et la BCE, en consultation avec l’ENISA et en coopération avec l’autorité compétente concernée, évaluent si l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; est pertinent pour les autorités compétentes d’autres États membres. À la suite de cette évaluation, l’ABE, l’AEMF ou l’AEAPP informent en conséquence, dès que possible, les autorités compétentes concernées des autres États membres. La BCE informe les membres du Système européen de banques centrales des questions pertinentes pour le système de paiement. Sur la base de cette notification, les autorités compétentes prennent, le cas échéant, toutes les mesures nécessaires afin de protéger la stabilité immédiate du système financier.

    1. La notification à effectuer par l’AEMF en vertu du paragraphe 7 du présent article est sans préjudice de la responsabilité de l’autorité compétente de transmettre d’urgence les détails de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; à l’autorité concernée de l’État membre d’accueil, lorsqu’un dépositaire central de titres: un dépositaire central de titres au sens de l’article 2, paragraphe 1, point 1), du règlement (UE) no 909/2014; exerce une activité transfrontière importante dans l’État membre d’accueil, que l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; est susceptible d’avoir de graves conséquences sur les marchés financiers de l’État membre d’accueil et qu’il existe des accords de coopération entre les autorités compétentes en matière de surveillance des entités financières.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod