Art. 8 Identification | DORA regulation | DORA

1. Aux fins du cadre de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; visé à l’article 6, paragraphe 1, les entités financières identifient, classent et documentent de manière adéquate toutes les fonctions «métiers», tous les rôles et toutes les responsabilités s’appuyant sur les TIC, les actifs informationnels: un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection; et les actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; qui soutiennent ces fonctions, ainsi que leurs rôles et dépendances en ce qui concerne le risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;. Les entités financières examinent si nécessaire, et au moins une fois par an, le caractère adéquat de cette classification et de toute documentation pertinente.
1. Les entités financières identifient, de manière continue, toutes les sources de risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, en particulier l’exposition au risque vis-à-vis d’autres entités financières et émanant de celles-ci, et évaluent les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; et les s des TIC qui concernent leurs fonctions «métiers» s’appuyant sur les TIC, leurs actifs informationnels: un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection; et leurs actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière;. Les entités financières examinent régulièrement, et au moins une fois par an, les scénarios de risque qui ont des incidences sur elles.
1. Les entités financières, autres que les microentreprises: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros;, procèdent à une évaluation des risques à chaque modification importante de l’infrastructure du réseau et du système d’information, des processus ou des procédures, qui affecte leurs fonctions «métiers» s’appuyant sur les TIC, leurs actifs informationnels: un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection; ou leurs actifs de TIC.
1. Les entités financières identifient tous les actifs informationnels: un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection; et actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière;, y compris ceux situés sur des sites extérieurs, les ressources du réseau et les équipements matériels, et répertorient ceux considérés comme critiques. Elles répertorient la configuration des actifs informationnels: un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection; et des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; et les liens et interdépendances entre les différents actifs informationnels: un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection; et actifs de TIC.
1. Les entités financières identifient et documentent tous les processus qui dépendent de prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, et identifient les interconnexions avec des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; qui fournissent des services qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;.
1. Aux fins des paragraphes 1, 4 et 5, les entités financières tiennent des inventaires pertinents et les mettent à jour périodiquement et chaque fois qu’a lieu une modification importante visée au paragraphe 3.
1. Les entités financières, autres que les microentreprises: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros;, procèdent régulièrement, et au moins une fois par an, à une évaluation spécifique du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; sur tous les s et, dans tous les cas, avant et après la connexion de technologies, d’applications ou de systèmes.