Source: OJ L, 2025/302, 20.2.2025
Current language: FR
- Digital operational resilience in the financial sector
ICT-related incidents
- ITS on templates for incident reporting
Annexe I Modèles de déclaration des incidents majeurs liés aux tic
Numéro du champ | Champ de données | |
|---|---|---|
Informations générales relatives à l’entité financière | ||
1.1 | Type de soumission | |
1.2 | Nom de l’entité soumettant le rapport | |
1.3 | Code d’identification de l’entité soumettant le rapport | |
1.4 | Type d’entité financière touchée | |
1.5 | Nom de l’entité financière touchée | |
1.6 | Code LEI de l’entité financière touchée | |
1.7 | Nom de la personne de contact principale | |
1.8 | Adresse électronique de la personne de contact principale | |
1.9 | Numéro de téléphone de la personne de contact principale | |
1.10 | Nom de la deuxième personne de contact | |
1.11 | Adresse électronique de la deuxième personne de contact | |
1.12 | Numéro de téléphone de la deuxième personne de contact | |
1.13 | Nom de la société mère ultime | |
1.14 | Code LEI de la société mère ultime | |
1.15 | Monnaie de déclaration | |
Contenu de la notification initiale | ||
2.1 | Code de référence de l’incident attribué par l’entité financière | |
2.2 | Date et heure de détection de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; | |
2.3 | Date et heure de classification de l’incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière; comme majeur | |
2.4 | Description de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; | |
2.5 | Critères de classification donnant lieu à la déclaration d’incident | |
2.6 | Seuils d’importance significative pour le critère de classification «répartition géographique» | |
2.7 | Détection de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; | |
2.8 | Mention indiquant si l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; est imputable à un prestataire tiers ou à une autre entité financière | |
2.9 | Activation du plan de continuité des activités, s’il est activé | |
2.10 | Autres informations utiles | |
Contenu du rapport intermédiaire | ||
3.1 | Code de référence de l’incident attribué par l’autorité compétente | |
3.2 | Date et heure auxquelles l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; est survenu | |
3.3 | Date et heure auxquelles les services, activités ou opérations ont repris | |
3.4 | Nombre des clients touchés | |
3.5 | Pourcentage de clients touchés | |
3.6 | Nombre des contreparties financières touchées | |
3.7 | Pourcentage de contreparties financières touchées | |
3.8 | Incidence sur les clients ou contreparties financières importants | |
3.9 | Nombre des transactions touchées | |
3.10 | Pourcentage de transactions touchées | |
3.11 | Valeur des transactions touchées | |
3.12 | Mention précisant si les chiffres sont réels ou sont des estimations, ou s’il n’y a pas eu d’incidence | |
3.13 | Atteinte à la réputation | |
3.14 | Informations contextuelles sur l’atteinte à la réputation | |
3.15 | Durée de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; | |
3.16 | Interruptions de service | |
3.17 | Mention précisant si les chiffres relatifs à la durée et à l’interruption de service sont réels ou sont des estimations | |
3.18 | Types d’incidence dans les États membres | |
3.19 | Description de la manière dont l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; a une incidence dans d’autres États membres | |
3.20 | Seuils d’importance significative pour le critère de classification «pertes de données» | |
3.21 | Description des pertes de données | |
3.22 | Critère de classification «services critiques touchés» | |
3.23 | Type d’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; | |
3.24 | Autres types d’incidents | |
3.25 | Menaces et techniques utilisées par l’acteur de la menace | |
3.26 | Autres types de techniques | |
3.27 | Informations sur les domaines fonctionnels et les processus opérationnels touchés | |
3.28 | Composants d’infrastructure touchés soutenant les processus opérationnels | |
3.29 | Informations sur les composants d’infrastructure touchés soutenant les processus opérationnels | |
3.30 | Incidence sur les intérêts financiers des clients | |
3.31 | Déclaration à d’autres autorités | |
3.32 | Indication des «autres» autorités | |
3.33 | Actions/mesures temporaires prises ou prévues pour le rétablissement après l’incident | |
3.34 | Description de toute action et mesure temporaire prise ou prévue pour le rétablissement après l’incident | |
3.35 | Indicateurs de compromis | |
Contenu du rapport final | ||
4.1 | Classification générale des causes originelles de l’incident | |
4.2 | Classification détaillée des causes originelles de l’incident | |
4.3 | Classification supplémentaire des causes originelles de l’incident | |
4.4 | Autres types de causes originelles | |
4.5 | Informations sur les causes originelles de l’incident | |
4.6 | Résumé de la résolution de l’incident | |
4.7 | Date et heure de traitement de la cause originelle de l’incident | |
4.8 | Date et heure de résolution de l’incident | |
4.9 | Informations indiquant si la date de résolution définitive de l’incident diffère de la date de mise en œuvre initialement prévue | |
4.10 | Évaluation des risques pour les fonctions critiques aux fins de la résolution | |
4.11 | Informations utiles aux autorités de résolution | |
4.12 | Seuil d’importance significative pour le critère de classification «conséquences économiques» | |
4.13 | Montant des coûts et pertes directs et indirects bruts | |
4.14 | Montant des recouvrements financiers | |
4.15 | Mention précisant si les incidents non majeurs ont été récurrents | |
4.16 | Date et heure auxquelles les incidents récurrents sont survenus | |
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.