Beta

Source: OJ L 333, 27.12.2022, p. 1–79

Current language: FR

Article 26 Tests avancés d’outils, de systèmes et de processus de TIC sur la base de tests de pénétration fondés sur la menace

    1. Les entités financières, autres que les entités visées à l’article 16, paragraphe 1, premier alinéa, et autres que les microentreprises: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros;, qui sont identifiées conformément au paragraphe 8, troisième alinéa, du présent article effectuent au moins tous les trois ans des tests avancés au moyen d’un test de pénétration fondé sur la menace. En fonction du profil de risque de l’entité financière et compte tenu des circonstances opérationnelles, l’autorité compétente peut, le cas échéant, demander à l’entité financière de réduire ou d’augmenter cette fréquence.

    1. Chaque test de pénétration fondé sur la menace couvre plusieurs, voire la totalité, des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; d’une entité financière et est effectué sur des systèmes en environnement de production en direct qui soutiennent ces fonctions.

    2. Les entités financières recensent tous les systèmes, processus et technologies de TIC sous-jacents pertinents qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; et des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;, y compris ceux qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; qui ont été externalisés ou sous-traités à des prestataires tiers de services TIC.

    3. Les entités financières évaluent quelles fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; doivent être couvertes par les tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière;. Le résultat de cette évaluation détermine la portée précise de ces tests et est validé par les autorités compétentes.

    1. Lorsque des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; sont inclus dans le champ d’application du test de pénétration fondé sur la menace, l’entité financière prend les mesures et garanties nécessaires pour assurer la participation de ces prestataires tiers de services TIC: une entreprise qui fournit des services TIC; à ce test, et conserve à tout moment l’entière responsabilité de veiller au respect du présent règlement.

    1. Sans préjudice du paragraphe 2, premier et deuxième alinéas, lorsque l’on peut raisonnablement s’attendre à ce que la participation d’un prestataire tiers de services TIC: une entreprise qui fournit des services TIC; au test de pénétration fondé sur la menace, visée au paragraphe 3, ait une incidence négative sur la qualité ou sur la sécurité des services que le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; fournit à des clients qui sont des entités ne relevant pas du champ d’application du présent règlement, ou sur la confidentialité des données liées à ces services, l’entité financière et le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; peuvent convenir par écrit que le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; conclut directement des accords contractuels avec un testeur externe, aux fins de la réalisation, sous la direction d’une entité financière désignée, d’un test groupmeans a group as defined in Article 2, point (11), of Directive 2013/34/EU;é de pénétration fondé sur la menace associant plusieurs entités financières (test groupmeans a group as defined in Article 2, point (11), of Directive 2013/34/EU;é) auxquelles le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; fournit des services TIC.

    2. Ce test groupmeans a group as defined in Article 2, point (11), of Directive 2013/34/EU;é couvre la gamme pertinente de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; sous-traitées par les entités financières au prestataire tiers de services TIC: une entreprise qui fournit des services TIC; concerné. Le test groupmeans a group as defined in Article 2, point (11), of Directive 2013/34/EU;é est considéré comme un test de pénétration fondé sur la menace réalisé par les entités financières participant au test groupmeans a group as defined in Article 2, point (11), of Directive 2013/34/EU;é.

    3. Le nombre d’entités financières participant au test groupmeans a group as defined in Article 2, point (11), of Directive 2013/34/EU;é est dûment calibré compte tenu de la complexité et des types de services concernés.

    1. Les entités financières procèdent, avec la coopération de prestataires tiers de services TIC: une entreprise qui fournit des services TIC; et d’autres parties concernées, y compris les testeurs mais à l’exception des autorités compétentes, à des contrôles efficaces de la gestion des risques afin d’atténuer les risques d’incidence potentielle sur les données, de dommages aux actifs et de perturbation des fonctions, services ou opérations critiques ou importants au sein de l’entité financière elle-même, de ses contreparties ou du secteur financier.

    1. À l’issue du test, une fois que les rapports et les plans de mesures correctives ont été approuvés, l’entité financière et, s’il y a lieu, les testeurs externes fournissent à l’autorité, désignée conformément au paragraphe 9 ou 10, une synthèse des conclusions pertinentes, les plans de mesures correctives et la documentation démontrant que le test de pénétration fondé sur la menace a été effectué conformément aux exigences.

    1. Les autorités fournissent aux entités financières une attestation qui confirme que le test a été effectué conformément aux exigences, comme prouvé dans la documentation, afin de permettre la reconnaissance mutuelle des tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière; entre les autorités compétentes. L’entité financière notifie à l’autorité compétente concernée l’attestation, la synthèse des conclusions pertinentes et les plans de mesures correctives.

    2. Sans préjudice de ladite attestation, les entités financières restent à tout moment pleinement responsables de l’incidence des tests visée au paragraphe 4.

    1. Pour réaliser les tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière;, les entités financières font appel à des testeurs, conformément à l’article 27. Lorsque des entités financières ont recours à des testeurs internes aux fins de la réalisation de ces tests, elles engagent un testeur externe tous les trois tests.

    2. Les établissements de crédit qui sont classés comme importants conformément à l’article 6, paragraphe 4, du règlement (UE) no 1024/2013 ont uniquement recours à des testeurs externes conformément à l’article 27, paragraphe 1, points a) à e).

    3. Les autorités compétentes désignent les entités financières qui sont tenues de réaliser un test de pénétration fondé sur la menace en tenant compte des critères énoncés à l’article 4, paragraphe 2, sur la base d’une appréciation des éléments suivants:

      1. les facteurs d’incidence, en particulier la mesure dans laquelle les services fournis et les activités entreprises par l’entité financière affectent le secteur financier;

      2. les éventuels problèmes de stabilité financière, y compris le caractère systémique de l’entité financière au niveau de l’Union ou au niveau national, le cas échéant;

      3. le profil du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; spécifique, le niveau de maturité des TIC de l’entité financière ou les caractéristiques technologiques concernées.

    1. Les États membres peuvent désigner une autorité publique: tout gouvernement ou toute autre entité de l’administration publique, y compris les banques centrales nationales. unique au sein du secteur financier chargée des questions liées aux tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière; dans le secteur financier au niveau national, et leur confient toutes les compétences et tâches nécessaires à cet effet.

    1. En l’absence de désignation conformément au paragraphe 9 du présent article, et sans préjudice du pouvoir de désigner les entités financières qui sont tenues de réaliser un test de pénétration fondé sur la menace, une autorité compétente peut déléguer l’exercice de tout ou partie des tâches visées au présent article et à l’article 27 à une autre autorité nationale du secteur financier.

    1. Les AES élaborent, en accord avec la BCE, des projets conjoints de normes techniques de réglementation conformément au cadre TIBER-EU afin de préciser:

      1. les critères utilisés aux fins de l’application du paragraphe 8, deuxième alinéa;

      2. les exigences et normes régissant le recours à des testeurs internes;

      3. les exigences concernant:

        1. la portée du test de pénétration fondé sur la menace visé au paragraphe 2;

        2. la méthodologie des tests et l’approche à suivre pour chaque phase spécifique du processus de test;

        3. les stades de résultats, de clôture et de correction des tests;

      4. le type de coopération en matière de surveillance et les autres types de coopération pertinents qui sont nécessaires pour l’exécution des tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière; et pour la facilitation de la reconnaissance mutuelle de ces tests, dans le contexte des entités financières qui opèrent dans plus d’un État membre, afin de garantir un niveau approprié de participation des autorités de surveillance et une mise en œuvre souple tenant compte des spécificités des sous-secteurs financiers ou des marchés financiers locaux.

    2. Lors de l’élaboration de ces projets de normes techniques de réglementation, les AES tiennent dûment compte de toute caractéristique particulière découlant de la nature distincte des activités dans les différents secteurs des services financiers.

    3. Les AES soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le 17 juillet 2024.

    4. Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au premier alinéa est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod