Beta

Source: OJ L 333, 27.12.2022, p. 1–79

Current language: FR

Article 20 Harmonisation du contenu et des modèles des rapports de notification

  1. Les AES, agissant par l’intermédiaire du comité mixte: le comité visé à l’article 54 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010; et en concertation avec l’ENISA et la BCE, élaborent:

    1. des projets communs de normes techniques de réglementation dans le but:

      1. de définir le contenu des rapports relatifs aux incidents majeurs liés aux TIC afin de refléter les critères énoncés à l’article 18, paragraphe 1, et d’intégrer d’autres éléments, tels que des détails permettant de déterminer la pertinence de la notification pour les autres États membres et s’il s’agit d’un incident opérationnel ou de sécurité majeur lié au paiement: un incident opérationnel ou de sécurité lié au paiement qui a une incidence négative élevée sur les services fournis liés au paiement;;

      2. de fixer les délais pour la notification initiale et pour chaque rapport visé à l’article 19, paragraphe 4;

      3. d’établir le contenu de la notification en ce qui concerne les cybermenaces importantes: une cybermenace dont les caractéristiques techniques indiquent qu’elle pourrait donner lieu à un incident majeur lié aux TIC ou à un incident opérationnel ou de sécurité majeur lié au paiement;.

      Lorsqu’elles élaborent ces projets de normes techniques de réglementation, les AES tiennent compte de la taille et du profil de risque global de l’entité financière, ainsi que de la nature, de l’ampleur et de la complexité de ses services, activités et opérations, et en particulier en vue de garantir que, aux fins du point a) ii), du présent alinéa, différents délais puissent refléter, le cas échéant, les spécificités des secteurs financiers, sans préjudice du maintien d’une approche cohérente de la notification des incidents liés aux TIC en application du présent règlement et de la directive (UE) 2022/2555. Les AES fournissent, le cas échéant, une justification lorsqu’elles s’écartent des approches adoptées dans le cadre de ladite directive;

    2. des projets communs de normes techniques d’exécution afin de définir les formulaires, les modèles et les procédures types permettant aux entités financières de notifier un incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; et de notifier une cybermenace importante: une cybermenace dont les caractéristiques techniques indiquent qu’elle pourrait donner lieu à un incident majeur lié aux TIC ou à un incident opérationnel ou de sécurité majeur lié au paiement;.

  2. Les AES soumettent à la Commission les projets communs de normes techniques de réglementation visés au premier alinéa, point a), et les projets communs de normes techniques d’exécution visés au premier alinéa, point b), au plus tard le 17 juillet 2024.

  3. Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation communes visées au premier alinéa, point a), est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.

  4. Le pouvoir d’adopter les normes techniques d’exécution communes visées au premier alinéa, point b), est conféré à la Commission conformément à l’article 15 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod