Source: OJ L, 2025/302, 20.2.2025
Current language: FR
ITS on templates for incident reporting
RÈGLEMENT D’EXÉCUTION (UE) 2025/302 DE LA COMMISSION
du 23 octobre 2024
définissant des normes techniques d’exécution pour l’application du règlement (UE) 2022/2554 du Parlement européen et du Conseil en ce qui concerne les formulaires, modèles et procédures types permettant aux entités financières de notifier un incident majeur lié aux TIC et de notifier une cybermenace importante
(Texte présentant de l’intérêt pour l’EEE)
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011(1)JO L 333 du 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj., et notamment son article 20, quatrième alinéa,
considérant ce qui suit:
Considérant 1 Single reporting template
Afin que les entités financières déclarent les incidents majeurs à leurs autorités compétentes de manière cohérente et qu’elles fournissent auxdites autorités des données de bonne qualité, il convient de préciser les champs de données correspondant aux données que les entités financières doivent fournir aux différentes étapes de la déclaration prévue à l’article 19, paragraphe 4, du règlement (UE) 2022/2554. Il importe que ces informations soient présentées de manière que l’on puisse disposer d’une vue d’ensemble unique de l’incident. Il est donc nécessaire d’établir un modèle de déclaration unique à ces fins.
Considérant 2 Filling in the reporting template
Les entités financières devraient remplir les champs de données du modèle de déclaration qui correspondent aux exigences d’information applicables à la notification ou déclaration concernée. Toutefois, les entités financières qui disposent déjà d’informations qu’elles doivent fournir à un stade ultérieur de la déclaration, c’est-à-dire dans le rapport intermédiaire ou le rapport final, devraient être autorisées à anticiper la communication de ces données.
Considérant 3 Recurring incidents
Étant donné que des incidents multiples ou récurrents peuvent constituer un incident majeur au sens de l’article 8 du règlement délégué (UE) 2024/1772 de la Commission(2)Règlement délégué (UE) 2024/1772 de la Commission du 13 mars 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par des normes techniques de réglementation précisant les critères de classification des incidents liés aux TIC et des cybermenaces, fixant des seuils d’importance significative et précisant les détails des rapports d’incidents majeurs (JO L, 2024/1772, 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1772/oj)., la conception du modèle de déclaration et des champs de données devrait permettre aux entités financières de déclarer ces incidents récurrents.
Considérant 4 Updating previous information
Afin que les informations soient exactes et à jour, le modèle de déclaration devrait permettre aux entités financières, lorsqu’elles soumettent le rapport intermédiaire et le rapport final, de mettre à jour toutes les informations qui ont été précédemment communiquées et, s’il y a lieu, de reclasser les incidents majeurs en incidents non majeurs.
Considérant 5 Legal identification of entities
L’identification juridique des entités devrait être harmonisée avec les identifiants indiqués dans les normes techniques d’exécution adoptées en vertu de l’article 28, paragraphe 9, du règlement (UE) 2022/2554.
Considérant 6 Outsourcing of incident reporting obligations
Lorsque des entités financières externalisent auprès d’un tiers les obligations de déclaration des incidents majeurs liés aux TIC, les autorités compétentes devraient avoir connaissance de l’identité du tiers effectuant la déclaration au nom de l’entité financière avant que la première notification ou déclaration soit soumise, afin de vérifier la légitimité du tiers déclarant.
Considérant 7 Incidents concerning ICT third-party service providers
Pour mesurer facilement l’incidence d’un incident qui est survenu chez un prestataire tiers, ou a été causé par celui-ci, et qui touche plusieurs entités financières au sein d’un même État membre, ainsi que pour réduire l’effort de déclaration qui pèse sur les entités financières, le modèle de déclaration devrait permettre la soumission d’un rapport agrégé qui reprenne les informations agrégées concernant l’incidence de l’incident sur toutes les entités financières touchées qui ont classé l’incident comme majeur.
Considérant 8 Technology neutral template
Le modèle de déclaration devrait être conçu de manière neutre sur le plan technologique afin qu’il puisse être transposé dans diverses solutions de notification des incidents qui existent déjà ou qui peuvent être élaborées pour la mise en œuvre des exigences du règlement (UE) 2022/2554.
Considérant 9 Facilitate outsourced incident reporting
La conception du modèle de déclaration et des champs de données devrait faciliter la notification des incidents majeurs liés aux TIC par les tiers auprès desquels des entités financières ont externalisé leur obligation de déclaration en vertu de l’article 19, paragraphe 5, du règlement (UE) 2022/2554.
Considérant 10 Draft implementing technical standards from ESAs
Le présent règlement se fonde sur le projet de normes techniques d’exécution soumis à la Commission par les autorités européennes de surveillance.
Considérant 11 Open public consultations
Les autorités européennes de surveillance ont procédé à des consultations publiques ouvertes sur les projets de normes techniques d’exécution sur lesquels se fonde le présent règlement, en ont analysé les coûts et avantages potentiels et ont sollicité l’avis du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées au secteur bancaire institué par l’article 37 des règlements (UE) no 1093/2010(3)Règlement (UE) no 1093/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité bancaire européenne), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/78/CE de la Commission (JO L 331 du 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., (UE) no 1094/2010(4)Règlement (UE) no 1094/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des assurances et des pensions professionnelles), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/79/CE de la Commission (JO L 331 du 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). et (UE) no 1095/2010(5)Règlement (UE) no 1095/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des marchés financiers), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/77/CE de la Commission (JO L 331 du 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj). du Parlement européen et du Conseil.
Considérant 12 Processing of personal data
Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil(6)Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). et a rendu un avis favorable le 22 juillet 2024. Tout traitement de données à caractère personnel relevant du champ d’application du présent règlement devrait être effectué conformément aux principes et dispositions applicables en matière de protection des données énoncés dans le règlement (UE) 2018/1725,
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
- Article premierModèle de déclaration des incidents majeurs liés aux TIC
- Article 2Soumission conjointe de la notification initiale ainsi que des rapports intermédiaire et final
- Article 3Incidents récurrents liés aux TIC
- Article 4Utilisation de canaux électroniques sécurisés
- Article 5Reclassement des incidents majeurs liés aux TIC
- Article 6Notification de l’externalisation des obligations de déclaration
- Article 7Déclaration agrégée
- Article 8Notification des cybermenaces importantes
- Article 9Entrée en vigueur
- Annexe IModèles de déclaration des incidents majeurs liés aux tic
- Annexe IIGlossaire de données et instructions pour la notification des incidents majeurs
- Annexe IIIModèles de notification des cybermenaces importantes
- Annexe IVGlossaire de données et instructions pour la notification des cybermenaces importantes
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 23 octobre 2024.
Par la Commission
La présidente
Ursula VON DER LEYEN