Annexe II Glossaire de données et instructions pour la notification des incidents majeurs

• notification initiale,

• rapport intermédiaire,

• rapport final,

• incident majeur reclassé en incident non majeur.

Code d’identification de l’entité soumettant le rapport.

Lorsque les entités financières soumettent la notification/le rapport, le code d’identification est l’identifiant d’entité juridique (LEI), code unique à 20 caractères alphanumériques conforme à la norme ISO 17442-1:2020.

Un prestataire tiers qui soumet un rapport pour une entité financière peut utiliser un code d’identification tel que spécifié dans les normes techniques d’exécution adoptées en vertu de l’article 28, paragraphe 9, du règlement (UE) 2022/2554.

Type de l’entité, tel qu’énuméré à l’article 2, paragraphe 1, points a) à t), du règlement (UE) 2022/2554 pour laquelle le rapport est soumis.

En cas de déclaration agrégée prévue à l’article 7 du présent règlement, les différents types d’entités financières mentionnés dans le rapport agrégé doivent être sélectionnés.

• les établissements de crédit,

• les établissements de paiement,

• les établissements de paiement exemptés,

• les prestataires de services d’information sur les comptes: un prestataire de services d’information sur les comptes visé à l’article 33, paragraphe 1, de la directive (UE) 2015/2366;,

• les établissements de monnaie électronique,

• les établissements de monnaie électronique exemptés,

• les entreprises d’investissement: une entreprise d’investissement au sens de l’article 4, paragraphe 1, point 1), de la directive 2014/65/UE;,

• les prestataires de services sur crypto-actifs: un prestataire de services sur crypto-actifs au sens de la disposition pertinente du règlement sur les marchés de crypto-actifs;,

• les émetteurs de jetons se référant à un ou des actifs,

• les dépositaires centraux de titres,

• les contreparties centrales: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) n^o 648/2012;,

• les plates-formes de négociation,

• les référentiels centraux,

• les gestionnaires de fonds d’investissement alternatifs: un gestionnaire de fonds d’investissement alternatifs au sens de l’article 4, paragraphe 1, point b), de la directive 2011/61/UE;,

• les sociétés de gestion,

• les prestataires de services de communication de données: un prestataire de services de communication de données au sens du règlement (UE) n^o 600/2014, tel que visé à l’article 2, paragraphe 1, points 34) à 36), dudit règlement;,

• les entreprises d’assurance: une entreprise d’assurance au sens de l’article 13, point 1), de la directive 2009/138/CE; et de réassurance,

• les intermédiaires d’assurance: un intermédiaire d’assurance au sens de l’article 2, paragraphe 1, point 3), de la directive (UE) 2016/97 du Parlement européen et du Conseil(^34^);Directive (UE) 2016/97 du Parlement européen et du Conseil du 20 janvier 2016 sur la distribution d’assurances (JO L 26 du 2.2.2016, p. 19)., les intermédiaires de réassurance: un intermédiaire de réassurance au sens de l’article 2, paragraphe 1, point 5), de la directive (UE) 2016/97; et les intermédiaires d’assurance à titre accessoire: un intermédiaire d’assurance à titre accessoire au sens de l’article 2, paragraphe 1, point 4), de la directive (UE) 2016/97;,

• les institutions de retraite professionnelle: une institution de retraite professionnelle au sens de l’article 6, point 1), de la directive (UE) 2016/2341;,

• les agences de notation de crédit: une agence de notation de crédit au sens de l’article 3, paragraphe 1, point b), du règlement (CE) n^o 1060/2009;,

• les administrateurs d’indices de référence d’importance critique: un administrateur d’indices de référence d’importance critique au sens de l’article 3, paragraphe 1, point 25), du règlement (UE) 2016/1011;,

• les prestataires de services de financement participatif: un prestataire de services de financement participatif au sens de l’article 2, paragraphe 1, point e), du règlement (UE) 2020/1503 du Parlement européen et du Conseil(^35^);Règlement (UE) 2020/1503 du Parlement européen et du Conseil du 7 octobre 2020 relatif aux prestataires européens de services de financement participatif pour les entrepreneurs, et modifiant le règlement (UE) 2017/1129 et la directive (UE) 2019/1937 (JO L 347 du 20.10.2020, p. 1).,

• les référentiels des titrisations: un référentiel des titrisations au sens de l’article 2, point 23), du règlement (UE) 2017/2402 du Parlement européen et du Conseil(^36^);Règlement (UE) 2017/2402 du Parlement européen et du Conseil du 12 décembre 2017 créant un cadre général pour la titrisation ainsi qu’un cadre spécifique pour les titrisations simples, transparentes et standardisées, et modifiant les directives 2009/65/CE, 2009/138/CE et 2011/61/UE et les règlements (CE) n^o 1060/2009 et (UE) n^o 648/2012 (JO L 347 du 28.12.2017, p. 35)..

Dénomination sociale complète de l’entité financière touchée par l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; et tenue de déclarer celui-ci à son autorité compétente en application de l’article 19 du règlement (UE) 2022/2554.

• liste des noms de toutes les entités financières touchées par l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;, séparés par un point-virgule;

• le prestataire tiers qui soumet une notification ou un rapport d’incident majeur sous la forme agrégée prévue à l’article 7 du présent règlement doit dresser la liste des noms de toutes les entités financières touchées par l’incident, séparés par un point-virgule.

Identifiant d’entité juridique (LEI) de l’entité financière touchée par l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; attribué conformément aux normes établies par l’Organisation internationale de normalisation.

• liste de tous les codes LEI des entités financières touchées par l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;, séparés par un point-virgule;

• le prestataire tiers qui soumet une notification ou un rapport d’incident majeur sous la forme agrégée prévue à l’article 7 du présent règlement doit dresser la liste des codes LEI de toutes les entités financières touchées par l’incident, séparés par un point-virgule.

L’ordre dans lequel sont cités les codes LEI et les noms des entités financières est identique.

Nom et prénom de la personne de contact principale de l’entité financière.

En cas de déclaration agrégée prévue à l’article 7 du présent règlement, nom de la personne de contact principale au sein de l’entité qui soumet le rapport agrégé.

Adresse électronique de la personne de contact principale que l’autorité compétente peut utiliser pour la communication de suivi.

En cas de déclaration agrégée prévue à l’article 7 du présent règlement, adresse électronique de la personne de contact principale au sein de l’entité qui soumet le rapport agrégé.

Numéro de téléphone de la personne de contact principale que l’autorité compétente peut utiliser pour la communication de suivi.

En cas de déclaration agrégée prévue à l’article 7 du présent règlement, numéro de téléphone de la personne de contact principale au sein de l’entité qui soumet le rapport agrégé.

Le numéro de téléphone indiqué comporte tous les préfixes internationaux (par exemple +33 XXXXXXXXX).

Numéro de téléphone de la deuxième personne de contact, ou d’une équipe, que l’autorité compétente peut utiliser pour la communication de suivi.

Le numéro de téléphone indiqué comporte tous les préfixes internationaux (par exemple +33 XXXXXXXXX).

Code de référence unique délivré par l’entité financière identifiant sans équivoque l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;.

En cas de déclaration agrégée prévue à l’article 7 du présent règlement, code de référence de l’incident attribué par le prestataire tiers.

Date et heure auxquelles l’entité financière a pris connaissance de l’incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière;.

Pour les incidents récurrents, date et heure auxquelles le dernier incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière; a été détecté.

Description des aspects les plus pertinents de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;.

Les entités financières fournissent un aperçu schématique des informations suivantes: causes possibles, incidences immédiates, systèmes concernés, etc. Les entités financières indiquent, lorsque ces informations sont connues ou devraient raisonnablement l’être, si l’incident a une incidence sur les prestataires tiers ou d’autres entités financières, le type de prestataire ou d’entité financière, leur nom, leurs codes d’identification respectifs et le type de code d’identification (par exemple, LEI ou EUID).

Dans les rapports ultérieurs, le contenu de ce champ peut évoluer au fil du temps pour qu’en ressorte à tout moment la compréhension de l’incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière; et pour qu’y soit consignée toute autre information pertinente concernant ce dernier qui n’est pas couverte par les champs de données, y compris l’évaluation interne de la gravité par l’entité financière (par exemple, très faible, faible, moyenne, élevée, très élevée) ainsi que le niveau et le nom des structures décisionnelles les plus élevées qui ont participé à la réaction à l’incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière;.

Critères de classification au titre du règlement délégué (UE) 2024/1772 selon lesquels l’incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière; a été qualifié de majeur et qui ont donné lieu à la notification et aux rapports ultérieurs.

En cas de déclaration agrégée prévue à l’article 7 du présent règlement, critères de classification selon lesquels l’incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière; a été qualifié de majeur pour au moins une ou plusieurs entités financières.

• clients, contreparties financières et transactions touchés,

• atteinte à la réputation,

• durée et interruptions de service,

• répartition géographique,

• pertes de données,

• services critiques touchés,

• conséquences économiques.

États membres de l’EEE touchés par l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;

Lorsqu’elles évaluent l’incidence de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; dans d’autres États membres, les entités financières tiennent compte des articles 4 et 12 du règlement délégué (UE) 2024/1772.

• sécurité informatique,

• personnel,

• audit interne,

• audit externe,

• clients,

• contreparties financières,

• prestataire tiers,

• agresseur,

• systèmes de surveillance,

• autorité/agence/organe répressif,

• autres.

Mention précisant si l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; est imputable à un prestataire tiers ou à une autre entité financière.

Les entités financières indiquent si l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; est imputable à un prestataire tiers ou à une autre entité financière (y compris les entités financières appartenant au même groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; que l’entité déclarante), ainsi que le nom, le code d’identification du prestataire tiers ou de l’entité financière et le type de code d’identification (par exemple, LEI ou EUID).

Toute autre information non reprise dans le modèle.

Les entités financières qui ont reclassé un incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; en incident non majeur exposent les raisons pour lesquelles cet incident ne remplit pas, et ne devrait pas remplir, les critères pour être considéré comme un incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;.

Date et heure auxquelles l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; est survenu, si elles diffèrent du moment où l’entité financière en a pris connaissance.

Pour les incidents majeurs récurrents liés aux TIC, date et heure auxquelles s’est produit le dernier incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;.

Nombre des clients touchés par l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; qui utilisent le service fourni par l’entité financière.

Lorsqu’elles évaluent le nombre des clients touchés, les entités financières tiennent compte, dans leur évaluation, de l’article 1^er, paragraphe 1, et de l’article 9, paragraphe 1, point b), du règlement délégué (UE) 2024/1772. Une entité financière qui n’est pas en mesure de déterminer le nombre réel des clients touchés utilise des estimations établies à partir des données disponibles portant sur des périodes de référence comparables.

En cas de déclaration agrégée prévue à l’article 7 du présent règlement, nombre total des clients touchés pour l’ensemble des entités financières.

Pourcentage de clients touchés par l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; par rapport au nombre total de clients qui utilisent le service touché fourni par l’entité financière. Dans le cas où plusieurs services seraient touchés, les services sont fournis de manière agrégée.

Les entités financières tiennent compte, dans leur évaluation, de l’article 1^er, paragraphe 1, et de l’article 9, paragraphe 1, point a), du règlement délégué (UE) 2024/1772.

Une entité financière qui ne peut pas déterminer le pourcentage réel de clients touchés utilise des estimations établies à partir des données disponibles portant sur des périodes de référence comparables.

En cas de déclaration agrégée prévue à l’article 7 du présent règlement, une entité financière divise la somme de tous les clients touchés par le nombre total des clients de toutes les entités financières touchées.

Nombre des contreparties financières touchées par l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; qui ont conclu un contrat avec l’entité financière.

Lorsqu’elles évaluent le nombre des contreparties financières touchées, les entités financières tiennent compte, dans leur évaluation, de l’article 1^er, paragraphe 2, du règlement délégué (UE) 2024/1772. Une entité financière qui ne peut pas déterminer le nombre réel des contreparties financières touchées utilise des estimations établies à partir des données disponibles portant sur des périodes de référence comparables.

En cas de déclaration agrégée prévue à l’article 7 du présent règlement, nombre total des contreparties financières touchées pour l’ensemble des entités financières.

Pourcentage de contreparties financières touchées par l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; par rapport au nombre total de contreparties financières ayant conclu un contrat avec l’entité financière.

Lors de l’évaluation du pourcentage de contreparties financières touchées, les entités financières tiennent compte, dans leur évaluation, de l’article 1^er, paragraphe 1, et de l’article 9, paragraphe 1, point c), du règlement délégué (UE) 2024/1772.

Une entité financière qui ne peut pas déterminer le pourcentage réel de contreparties financières touchées utilise des estimations établies à partir des données disponibles portant sur des périodes de référence comparables.

En cas de déclaration agrégée prévue à l’article 7 du présent règlement, indiquer la somme de toutes les contreparties financières touchées divisée par le nombre total des contreparties financières de toutes les entités financières touchées.

Nombre des transactions touchées par l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;.

Lorsqu’elles évaluent l’incidence sur les transactions, les entités financières tiennent compte de l’article 1^er, paragraphe 4, du règlement délégué (UE) 2024/1772, y compris de toutes les transactions nationales et transfrontières touchées impliquant un montant monétaire qui sont au moins en partie effectuées dans l’Union.

Une entité financière qui ne peut pas déterminer le nombre réel des transactions touchées utilise des estimations établies à partir des données disponibles portant sur des périodes de référence comparables.

En cas de déclaration agrégée prévue à l’article 7 du présent règlement, indiquer le nombre total de transactions touchées pour l’ensemble des entités financières.

Pourcentage de transactions touchées par rapport au nombre moyen journalier de transactions nationales et transfrontières effectuées par l’entité financière liées au service touché.

Les entités financières tiennent compte de l’article 1^er, paragraphe 4, et de l’article 9, paragraphe 1, point d), du règlement délégué (UE) 2024/1772.

Une entité financière qui ne peut pas déterminer le pourcentage réel des transactions touchées utilise des estimations.

En cas de déclaration agrégée prévue à l’article 7 du présent règlement, une entité financière additionne le nombre de toutes les transactions touchées et divise cette somme par le nombre total des transactions de toutes les entités financières touchées.

La valeur totale des transactions touchées par l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; est évaluée conformément à l’article 1^er, paragraphe 4, et à l’article 9, paragraphe 1, point e), du règlement délégué (UE) 2024/1772.

Une entité financière qui ne peut pas déterminer la valeur réelle des transactions touchées utilise des estimations établies à partir des données disponibles portant sur des périodes de référence comparables.

Une entité financière déclare le montant monétaire comme une valeur positive.

En cas de déclaration agrégée prévue à l’article 7 du présent règlement, indiquer la valeur totale des transactions touchées pour toutes les entités financières.

Monétaire

Les entités financières déclarent le point de données en unités avec une précision minimale fixée au millier d’unités (par exemple 2,5 au lieu de2 500 EUR).

• chiffres réels pour les clients touchés,

• chiffres réels pour les contreparties financières touchées,

• chiffres réels pour les transactions touchées,

• estimations pour les clients touchés,

• estimations pour les contreparties financières touchées,

• estimations pour les transactions touchées,

• aucune incidence sur les clients,

• aucune incidence sur les contreparties financières,

• aucune incidence sur les transactions.

Informations sur l’incidence de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; sur la réputation, telle que prévue aux articles 2 et 10 du règlement délégué (UE) 2024/1772.

En cas de déclaration agrégée prévue à l’article 7 du présent règlement, indiquer les catégories d’atteintes à la réputation qui s’appliquent à au moins une entité financière.

• l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; a été relayé par les médias,

• l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; a donné lieu à des plaintes répétées de la part de différents clients ou contreparties financières concernant des services en contact direct avec la clientèle ou des relations commerciales critiques,

• l’entité financière ne pourra pas satisfaire à certaines exigences réglementaires, ou il est probable qu’elle ne le pourra pas, en raison de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;,

• l’entité financière perdra, ou il est probable qu’elle perdra, des clients ou des contreparties financières en raison de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;, au grand détriment de son activité.

Informations expliquant comment l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; a porté, ou pourrait porter, atteinte à la réputation de l’entité financière, y compris les infractions à la loi, les exigences réglementaires non respectées, le nombre de plaintes de clients, etc.

Les informations contextuelles comprennent le type de médias (par exemple, médias traditionnels et numériques, blogs, plateformes de diffusion en continu) et la couverture médiatique, y compris la portée des médias (locale, nationale, internationale). Ne relèvent pas d’une couverture médiatique dans ce contexte les quelques commentaires négatifs d’abonnés ou d’utilisateurs de réseaux sociaux.

L’entité financière indique également si la couverture médiatique a mis en évidence des risques importants pour ses clients liés à l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;, y compris le risque d’insolvabilité de l’entité financière ou le risque de perte de fonds.

Les entités financières indiquent également si elles ont communiqué aux médias des éléments permettant d’informer de manière fiable le public de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; et de ses conséquences.

Les entités financières peuvent également indiquer si de fausses informations ont circulé dans les médias en ce qui concerne l’incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière;, y compris des informations fondées sur la propagation délibérée de fausses informations par des acteurs de la menace, ou des informations relatives à la dégradation du site web de l’entité financière ou illustrant cette dégradation.

Les entités financières mesurent la durée de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; à partir du moment où l’incident est survenu jusqu’au moment où il est résolu.

Les entités financières qui ne sont pas en mesure de déterminer le moment auquel l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; est survenu mesurent la durée de l’incident entre le moment où l’entité financière a détecté l’incident et celui où elle l’a enregistré dans les journaux des réseaux ou des systèmes ou dans d’autres sources de données, le moment le plus proche étant retenu. Les entités financières qui ne savent pas encore quand l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; sera résolu appliquent des estimations. La valeur est exprimée en jours, heures et minutes.

En cas de déclaration agrégée prévue à l’article 7 du présent règlement, les entités financières mesurent la durée la plus longue de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; en cas de différences entre les entités financières.

Les interruptions de service sont mesurées à partir du moment où le service est totalement ou partiellement indisponible pour les clients, les contreparties financières ou d’autres utilisateurs internes ou externes jusqu’au moment où les activités ou opérations régulières ont repris au niveau de service qui était fourni avant l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;.

Lorsque l’interruption de service provoque un retard dans la fourniture d’un service après la reprise des activités ou opérations régulières, les entités financières mesurent l’interruption à partir du début de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; jusqu’au moment où le service ayant subi un retard est fourni. Les entités financières qui ne sont pas en mesure de déterminer le moment auquel l’interruption de service a commencé, mesurent l’interruption de service entre le moment où l’incident a été détecté et celui où il a été enregistré, le moment le plus proche étant retenu.

En cas de déclaration agrégée prévue à l’article 7 du présent règlement, les entités financières mesurent, en cas de différences entre les entités financières, la durée la plus longue de l’interruption de service.

• chiffres réels,

• estimations,

• chiffres réels et estimations,

• aucune information disponible.

Type d’incidence dans les différents États membres de l’EEE.

• les clients et les contreparties financières touchés dans d’autres États membres; ou

• les succursales ou les autres entités financières du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; qui exercent des activités dans d’autres États membres; ou

• les infrastructures des marchés financiers ou les prestataires tiers susceptibles d’affecter les entités financières établies dans d’autres États membres auxquelles ils fournissent des services.

• clients,

• contreparties financières,

• succursale de l’entité financière,

• entités financières du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; qui exercent des activités dans l’État membre concerné,

• infrastructure des marchés financiers,

• prestataires tiers qui peuvent être communs à d’autres entités financières.

• les clients;

• les contreparties financières;

• les succursales de l’entité financière;

• les autres entités financières du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; qui exercent des activités dans l’État membre concerné;

• les infrastructures des marchés financiers;

• les prestataires tiers qui peuvent être communs à d’autres entités financières, le cas échéant, dans un ou plusieurs autres États membres.

Type de pertes de données occasionnées par l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; en ce qui concerne la disponibilité, l’authenticité, l’intégrité et la confidentialité des données.

Les entités financières tiennent compte, dans leur évaluation, des articles 5 et 13 du règlement délégué (UE) 2024/1772.

En cas de déclaration agrégée prévue à l’article 7 du présent règlement, indiquer les pertes de données touchant au moins une entité financière.

• disponibilité,

• authenticité,

• intégrité,

• confidentialité.

Description de l’incidence de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; sur la disponibilité, l’authenticité, l’intégrité et la confidentialité des données critiques conformément aux articles 5 et 13 du règlement délégué (UE) 2024/1772.

Informations concernant l’incidence sur la mise en œuvre des objectifs opérationnels de l’entité financière ou sur le respect des exigences réglementaires.

Dans les informations communiquées, les entités financières indiquent si les données touchées sont des données de clients, des données d’autres entités (par exemple, les contreparties financières) ou des données de l’entité financière elle-même.

L’entité financière peut également indiquer le type de données concernées par l’incident — en particulier, si les données sont confidentielles et le type de confidentialité concerné (par exemple, secret commercial/secret des affaires, données à caractère personnel, secret professionnel: secret bancaire, secret des assurances, secret des services de paiement, etc.).

Ces informations peuvent également inclure les risques éventuels associés aux pertes de données, par exemple le fait que les données touchées par l’incident puissent être utilisées pour identifier des personnes et que l’acteur de la menace puisse s’en servir pour obtenir des crédits ou des prêts sans leur consentement, pour commettre des attaques d’hameçonnage ciblé ou pour divulguer des informations au public.

En cas de déclaration agrégée prévue à l’article 7 du présent règlement, description générale de l’incidence de l’incident sur les entités financières touchées. Lorsque cette incidence est différenciée, l’incidence particulière sur les différentes entités financières est clairement indiquée dans la description.

Informations relatives au critère «services critiques touchés».

• les services ou activités touchés qui nécessitent un agrément ou un enregistrement ou qui sont surveillés par les autorités compétentes, ou

• les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; ou les réseaux et les systèmes d’information qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; de l’entité financière, et

• la nature de l’accès malveillant et non autorisé aux réseaux et aux systèmes d’information de l’entité financière.

En cas de déclaration agrégée prévue à l’article 7 du présent règlement, indiquer l’incidence sur les services critiques qui s’appliquent à au moins une entité financière.

• lié à la cybersécurité,

• défaillance de processus,

• défaillance des systèmes,

• événement extérieur,

• lié aux paiements,

• autres (veuillez préciser).

• ingénierie sociale, y compris hameçonnage;

• attaque par déni de service distribué (DDoS);

• usurpation d’identité;

• chiffrement de données aux fins de leur destruction (data encryption for impact), y compris rançongiciels;

• détournement de ressources;

• exfiltration et manipulation de données, à l’exclusion de l’usurpation d’identité;

• destruction de données;

• défacement;

• attaque de la chaîne d’approvisionnement;

• autres (veuillez préciser).

• ingénierie sociale (y compris hameçonnage),

• attaque par déni de service distribué (DDoS),

• usurpation d’identité,

• chiffrement de données aux fins de leur destruction (data encryption for impact), y compris rançongiciels,

• détournement de ressources,

• exfiltration et manipulation de données, y compris usurpation d’identité,

• destruction de données,

• défacement,

• attaque de la chaîne d’approvisionnement,

• autres (veuillez préciser).

Autres types de techniques

Les entités financières qui ont sélectionné «autres» types de techniques dans le champ de données 3.25 précisent le type de technique utilisée.

Indication des domaines fonctionnels et des processus opérationnels qui sont touchés par l’incident, y compris les produits et services.

• les activités de marketing et le développement commercial;

• le service à la clientèle;

• la gestion des produits;

• le respect des dispositions réglementaires;

• la gestion des risques;

• les finances et la comptabilité;

• les RH et les services généraux;

• les technologies de l’information.

• l’information sur les comptes,

• les services des actuaires,

• l’acquisition d’opérations de paiement,

• l’authentification/autorisation,

• l’autorité,

• l’entrée en relation avec le client,

• l’administration des prestations,

• la gestion du paiement des prestations,

• l’achat et la vente de contrats d’assurance à forfait entre société d’assurances,

• les paiements par carte,

• la gestion de la caisse,

• le placement ou le retrait d’espèces,

• la gestion des créances d’assurance,

• la procédure de demande d’indemnités assurance,

• la compensation,

• les conglomérats de prêts aux entreprises,

• les assurances collectives,

• les virements,

• la garde et la conservation d’actifs,

• l’entrée en relation avec un client,

• l’ingestion de données,

• le traitement de données,

• les prélèvements,

• les assurances à l’exportation,

• la finalisation des opérations/transactions,

• le placement d’instruments financiers,

• la comptabilité de fonds,

• le change de devises,

• le conseil en investissement,

• la gestion d’investissements,

• l’émission d’instruments de paiement,

• la gestion des prêts,

• les modalités de paiement de l’assurance-vie,

• les transmissions de fonds,

• le calcul de l’actif net,

• les ordres,

• l’initiation de paiements,

• la souscription d’assurances,

• la gestion de portefeuille,

• la perception des primes,

• la réception/la transmission/l’exécution,

• la réassurance,

• le règlement,

• le suivi des transactions.

En cas de déclaration agrégée prévue à l’article 7 du présent règlement, indiquer les domaines fonctionnels et processus opérationnels touchés dans au moins une entité financière.

• oui,

• non,

• informations non disponibles.

Description de l’incidence de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; sur les composants d’infrastructure soutenant les processus opérationnels, y compris le matériel et les logiciels.

• les informations sur la version;

• l’infrastructure interne/partiellement externalisée/entièrement externalisée — nom du prestataire tiers;

• si l’infrastructure est utilisée ou partagée entre plusieurs fonctions opérationnelles;

• les dispositions pertinentes prises en matière de résilience/continuité/rétablissement/substituabilité.

• oui,

• non,

• informations non disponibles.

Mention des autorités qui ont été informées de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;.

Compte tenu des différences résultant de la législation nationale des États membres, on entend par autorités répressives les entités financières au sens large pour y inclure les autorités publiques, y compris la police, les forces de l’ordre et les procureurs, habilitées à poursuivre les auteurs d’actes de cybercriminalité.

• police/services répressifs,

• CSIRT,

• Autorité chargée de la protection des données,

• Agence nationale de cybersécurité,

• aucune,

• autres (veuillez préciser).

Indication des «autres» types d’autorités informées de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;.

Si l’option «autres» a été sélectionnée dans le champ de données 3.31, la description comprend des informations plus détaillées sur l’autorité à laquelle l’entité financière a communiqué des informations relatives à l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;.

Les informations décrivent les actions immédiates prises, y compris l’isolement de l’incident au niveau du réseau, les procédures de contournement activées, les ports USB bloqués, le site de reprise après sinistre activé, tout autre contrôle de sécurité supplémentaire temporairement mis en place.

Les entités financières indiquent la date et l’heure de la mise en œuvre des actions temporaires ainsi que la date prévue de retour sur le site primaire. Pour les éventuelles actions temporaires qui n’auraient pas été mises en œuvre mais qui sont encore prévues, indiquer la date à laquelle leur mise en œuvre est attendue.

Si aucune action/mesure temporaire n’a été prise, veuillez en indiquer la raison.

Informations relatives à l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; qui peuvent contribuer à la détection des activités malveillantes au sein d’un réseau ou d’un système d’information (indicateurs de compromis), le cas échéant.

Ce champ ne s’applique qu’aux entités financières qui relèvent du champ d’application de la directive (UE) 2022/2555 du Parlement européen et du Conseil(¹)Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj). et aux entités financières considérées comme entités essentielles ou importantes en vertu des règles nationales transposant l’article 3 de la directive (UE) 2022/2555, le cas échéant.

• les adresses IP;

• les adresses URL;

• les noms de domaine;

• les empreintes numériques;

• les données relatives aux logiciels malveillants (nom du logiciel malveillant, noms de fichiers et leur emplacement, clés de registre spécifiques associées à l’activité des logiciels malveillants);

• les données relatives à l’activité du réseau (ports, protocoles, adresses, référents, agents utilisateurs, en-têtes, journaux spécifiques ou caractéristiques distinctes du trafic réseau);

• les données du message électronique (expéditeur, destinataire, objet, en-tête, contenu);

• les requêtes DNS et les configurations du registre;

• les activités relatives aux comptes d’utilisateur (connexions, activité de compte d’utilisateur privilégié, escalade de privilèges);

• le trafic de bases de données (lecture/écriture), les demandes dans le même fichier.

Dans la pratique, ce type d’informations peut inclure des données concernant, entre autres, des indicateurs décrivant les caractéristiques du trafic réseau correspondant à des attaques connues/à des communications de réseaux zombies (botnets), les adresses IP des machines infectées par des logiciels malveillants (bots), des données relatives aux serveurs de «commande et contrôle» utilisés par des logiciels malveillants (généralement des domaines ou des adresses IP), et les URL de sites d’hameçonnage ou de sites web dont on a observé qu’ils hébergent des logiciels malveillants ou des kits d’exploit.

• actions malveillantes;

• défaillance de processus;

• défaillance/dysfonctionnement de systèmes;

• erreur humaine;

• événement extérieur.

• actions malveillantes,

• défaillance de processus,

• défaillance/dysfonctionnement de systèmes,

• erreur humaine,

• événement extérieur.

• Actions malveillantes (si cette réponse est sélectionnée, choisissez un ou plusieurs des éléments suivants):

  • actions internes délibérées;

  • dommage physique délibéré/manipulation/vol;

  • actions frauduleuses.

• Défaillance de processus (si cette réponse est sélectionnée, choisissez un ou plusieurs des éléments suivants):

  • surveillance insuffisante ou absence de surveillance et de contrôle;

  • rôles et responsabilités insuffisants/peu clairs;

  • défaillance du processus de gestion des risques liés aux TIC;

  • insuffisance ou défaillance des opérations de TIC et des opérations de sécurité des TIC;

  • gestion des projets de TIC insuffisante ou défaillante;

  • politiques, procédures et documents internes inadéquats;

  • acquisition, développement ou entretien inadéquats des systèmes de TIC;

  • autres (veuillez préciser).

• Défaillance/dysfonctionnement de systèmes (si cette réponse est sélectionnée, choisissez un ou plusieurs des éléments suivants):

  • capacité et performances du matériel: incidents majeurs liés aux TIC causés par des ressources matérielles qui se révèlent inadéquates sur le plan de la capacité ou de la performance pour satisfaire aux exigences législatives applicables;

  • maintenance du matériel: incidents majeurs liés aux TIC résultant d’une maintenance inadéquate ou insuffisante des composants matériels, autres que «obsolescence/vieillissement du matériel»;

  • obsolescence/vieillissement du matériel: ce type de cause originelle implique des incidents majeurs liés aux TIC résultant de composants matériels obsolètes ou vieillissants;

  • compatibilité/configuration des logiciels: incidents majeurs liés aux TIC causés par des composants logiciels incompatibles avec d’autres configurations de logiciels ou de systèmes, y compris les incidents majeurs liés aux TIC résultant de conflits logiciels, de paramètres incorrects ou de paramètres mal configurés qui ont une incidence sur la fonctionnalité globale du système;

  • performance: incidents majeurs liés aux TIC résultant de composants logiciels peu performants ou inefficients, pour des raisons autres que celles énoncées au point «compatibilité/configuration des logiciels», y compris les incidents majeurs liés aux TIC causés par des temps de réaction lents, une consommation excessive de ressources ou une exécution inefficace des requêtes ayant une incidence sur les performances du logiciel ou du système;

  • configuration du réseau: incidents majeurs liés aux TIC résultant de paramètres ou d’infrastructures de réseau incorrects ou mal configurés, y compris les incidents majeurs liés aux TIC causés par des erreurs de configuration du réseau, des problèmes de routage, des erreurs de configuration de pare-feu ou d’autres problèmes liés au réseau perturbant la connectivité ou la communication;

  • dommages physiques: incidents majeurs liés aux TIC causés par des dommages physiques aux infrastructures des TIC qui entraînent des défaillances de systèmes;

  • autres (veuillez préciser).

• Erreur humaine (si cette réponse est sélectionnée, choisissez un ou plusieurs des éléments suivants):

  • omission (involontaire);

  • erreur;

  • compétences et connaissances: incidents majeurs liés aux TIC résultant d’un manque d’expertise ou de compétences dans la gestion des systèmes de TIC ou des processus de TIC, qui peut être dû à une formation inadaptée, à des connaissances insuffisantes ou à des lacunes dans les compétences requises pour accomplir des tâches particulières ou pour résoudre des problèmes techniques;

  • ressources humaines insuffisantes: incidents majeurs liés aux TIC dus à l’absence des ressources nécessaires, y compris le matériel, les logiciels, les infrastructures ou le personnel, et notamment les situations dans lesquelles l’insuffisance des ressources entraîne des inefficacités opérationnelles, des défaillances de systèmes ou une incapacité à répondre aux besoins opérationnels;

  • mauvaise communication;

  • autres (veuillez préciser).

• Événement extérieur (si cette réponse est sélectionnée, choisissez un ou plusieurs des éléments suivants):

  • catastrophes naturelles/force majeure;

  • défaillances de tiers;

  • autres (veuillez préciser).

Les entités financières tiennent compte du fait que, pour les incidents majeurs récurrents liés aux TIC, la cause originelle apparente particulière de l’incident est prise en considération et non les grandes catégories figurant dans ce champ.

• actions malveillantes: actions internes délibérées,

• actions malveillantes: dommage physique délibéré/manipulation/vol,

• actions malveillantes: actions frauduleuses,

• défaillance de processus: surveillance insuffisante ou absence de surveillance et de contrôle,

• défaillance de processus: rôles et responsabilités insuffisants/peu clairs,

• défaillance de processus: défaillance du processus de gestion des risques liés aux TIC,

• défaillance de processus: insuffisance ou défaillance des opérations de TIC et des opérations de sécurité des TIC,

• défaillance de processus: gestion des projets de TIC insuffisante ou défaillante,

• défaillance de processus: inadéquation des politiques, des procédures et de la documentation internes,

• défaillance de processus: acquisition, développement et entretien inadéquats des systèmes de TIC,

• défaillance de processus: autres (veuillez préciser),

• défaillance de systèmes: capacité et performances du matériel,

• défaillance de systèmes: entretien du matériel,

• défaillance de systèmes: obsolescence/vieillissement du matériel,

• défaillance de systèmes: compatibilité/configuration du logiciel,

• défaillance de systèmes: performance:

• défaillance de systèmes: configuration du réseau,

• défaillance de systèmes: dommages physiques,

• défaillance de systèmes: autres (veuillez préciser),

• erreur humaine: omission,

• erreur humaine: erreur,

• erreur humaine: compétences et connaissances,

• erreur humaine: ressources humaines insuffisantes,

• erreur humaine: mauvaise communication,

• erreur humaine: autres (veuillez préciser),

• événement extérieur: catastrophes naturelles/force majeure,

• événement extérieur: défaillances de tiers,

• événement extérieur: autres (veuillez préciser).

Classification supplémentaire des causes originelles de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; selon le type d’incident, y compris les catégories de classification supplémentaire suivantes rattachées aux catégories détaillées qui doivent être déclarées dans le champ de données 4.2.

• Surveillance et contrôle insuffisants ou défaillants:

  • surveillance du respect des politiques;

  • suivi des prestataires tiers de services;

  • suivi et vérification de la correction des s;

  • gestion des identités et des accès;

  • chiffrement et cryptographie;

  • journalisation.

• Défaillances du processus de gestion des risques liés aux TIC:

  • défaut de précision des niveaux exacts de tolérance au risque;

  • évaluations insuffisantes des s et des menaces;

  • inadéquation des mesures de traitement des risques;

  • mauvaise gestion des risques résiduels liés aux TIC.

• Insuffisance ou défaillance des opérations de TIC et des opérations de sécurité des TIC:

  • gestion des s et des correctifs;

  • gestion des changements;

  • gestion des capacités et des performances;

  • gestion des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; et classification des informations;

  • sauvegarde et restauration;

  • traitement des erreurs.

• Acquisition, développement et entretien inadéquats des systèmes de TIC:

  • acquisition, développement et entretien inadéquats des systèmes de TIC;

  • insuffisance ou échec des essais de logiciels.

• surveillance du respect des politiques,

• suivi des prestataires tiers de services,

• suivi et vérification de la correction des s,

• gestion des identités et des accès,

• chiffrement et cryptographie,

• journalisation,

• défaut de précision des niveaux exacts de tolérance au risque,

• évaluations insuffisantes des s et des menaces,

• inadéquation des mesures de traitement des risques,

• mauvaise gestion des risques résiduels liés aux TIC,

• gestion des s et des correctifs,

• gestion des changements,

• gestion des capacités et des performances,

• gestion des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; et classification des informations,

• sauvegarde et restauration,

• traitement des erreurs,

• acquisition, développement et entretien inadéquats des systèmes de TIC,

• insuffisance ou échec des essais de logiciels.

Description de la séquence des événements qui ont conduit à l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; et description de la manière dont l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; a une cause originelle apparente similaire si cet incident est qualifié d’incident récurrent, y compris un exposé succinct de toutes les raisons sous-jacentes et des facteurs principaux qui ont contribué à la survenance de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;.

En cas d’actions malveillantes, description du mode opératoire de l’action malveillante, y compris les tactiques, techniques et procédures utilisées, ainsi que du vecteur d’entrée de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;, y compris une description des enquêtes et des analyses qui ont permis d’identifier les causes originelles, le cas échéant.

Informations supplémentaires concernant les actions/mesures prises/prévues pour résoudre de façon définitive l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; et empêcher qu’il ne se reproduise.

Enseignements tirés de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;.

• Description des mesures de résolution

  • Actions prises pour résoudre de façon définitive l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; (à l’exclusion de toute action temporaire);

  • pour chaque action prise, indiquer la participation potentielle d’un prestataire tiers et de l’entité financière;

  • indiquer si les procédures ont été adaptées à la suite de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;;

  • indiquer tout contrôle supplémentaire qui a été mis en place ou qu’il est prévu d’instaurer, avec le calendrier de mise en œuvre correspondant.

  Problèmes potentiels recensés quant à la solidité des systèmes informatiques touchés ou, le cas échéant, en ce qui concerne les procédures ou contrôles en place.

  Les entités financières indiquent clairement la manière dont les mesures de réparation envisagées traiteront les causes originelles identifiées et la date à laquelle elles comptent sur la résolution définitive de l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;.

• Enseignements tirés

  Les entités financières décrivent les conclusions de l’examen post-incident.

Évaluation visant à déterminer si l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; présente un risque pour les fonctions critiques au sens de l’article 2, paragraphe 1, point 35), de la directive 2014/59/UE du Parlement européen et du Conseil(²)Directive 2014/59/UE du Parlement européen et du Conseil du 15 mai 2014 établissant un cadre pour le redressement et la résolution des établissements de crédit et des entreprises d’investissement et modifiant la directive 82/891/CEE du Conseil ainsi que les directives du Parlement européen et du Conseil 2001/24/CE, 2002/47/CE, 2004/25/CE, 2005/56/CE, 2007/36/CE, 2011/35/UE, 2012/30/UE et 2013/36/UE et les règlements du Parlement européen et du Conseil (UE) no 1093/2010 et (UE) no 648/2012 (JO L 173 du 12.6.2014, p. 190, ELI: http://data.europa.eu/eli/dir/2014/59/oj)..

Les entités visées à l’article 1^er, paragraphe 1, de la directive 2014/59/UE indiquent si l’incident présente un risque pour les fonctions critiques au sens de l’article 2, paragraphe 1, point 35), de ladite directive, déclarées dans le modèle Z 07.01 du règlement d’exécution (UE) 2018/1624 de la Commission(³)Règlement d’exécution (UE) 2018/1624 de la Commission du 23 octobre 2018 définissant des normes techniques d’exécution concernant les procédures, les formulaires types et les modèles à utiliser pour la fourniture d’informations aux fins de l’établissement de plans de résolution pour les établissements de crédit et les entreprises d’investissement, conformément à la directive 2014/59/UE du Parlement européen et du Conseil, et abrogeant le règlement d’exécution (UE) 2016/1066 de la Commission (JO L 277 du 7.11.2018, p. 1, ELI: http://data.europa.eu/eli/reg_impl/2018/1624/oj). et mises en correspondance avec l’entité spécifique dans le modèle Z 07.02.

Description indiquant si l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; a compromis la résolvabilité de l’entité ou du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; et, dans l’affirmative, la manière dont il l’a compromise.

Les entités visées à l’article 1^er, paragraphe 1, de la directive 2014/59/UE indiquent si l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; a compromis la résolvabilité de l’entité ou du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; et, dans l’affirmative, la manière dont il l’a compromise.

Ces entités indiquent également si l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; nuit à la solvabilité ou à la liquidité de l’entité financière et à la quantification potentielle de l’incidence.

Ces entités fournissent également des informations relatives à l’incidence sur la continuité opérationnelle, à l’incidence sur la résolvabilité de l’entité, à toute incidence supplémentaire sur les coûts et les pertes dus à l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;, y compris sur la situation des fonds propres de l’entité financière, et elles indiquent si les accords contractuels relatifs à l’utilisation de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; sont toujours solides et pleinement exécutoires en cas de résolution de l’entité.

• le montant des fonds ou des actifs financiers expropriés dont l’entité financière est responsable;

• le montant des coûts du remplacement ou du déplacement de logiciels, de matériel ou d’infrastructures;

• le montant des frais de personnel, y compris les coûts liés au remplacement ou au déménagement du personnel, au recrutement de personnel supplémentaire, à la rémunération des heures supplémentaires et à la récupération des compétences perdues ou altérées;

• le montant des frais dus au non-respect d’obligations contractuelles;

• le montant des coûts de dédommagement et d’indemnisation des clients;

• le montant des pertes dues aux recettes non perçues;

• le montant des coûts liés à la communication interne et externe;

• le montant des frais de conseil, y compris les coûts liés au conseil juridique, aux services d’analyse forensique et aux services de remédiation;

• le montant des autres coûts et pertes, y compris:

  • les charges directes portées au compte de résultat, dépréciations et frais de règlement compris, et les réductions de valeur dues à l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;;

  • les provisions ou réserves inscrites au compte de résultat pour pertes probables liées à l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;;

  • les pertes latentes, à savoir les pertes dues à l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; qui sont temporairement inscrites dans des comptes transitoires ou d’attente et ne sont donc pas encore portées au compte de résultat et qu’il est prévu d’inclure dans un délai correspondant à la taille et à l’âge du poste en suspens;

  • les recettes non perçues d’un montant significatif liées à des obligations contractuelles envers des tiers, y compris à la décision, consécutive à l’incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;, d’indemniser un client non par remboursement ou paiement direct, mais par un ajustement des recettes consistant à ne pas appliquer, ou à réduire, des frais contractuels sur une certaine période à venir;

  • les pertes temporaires, lorsqu’elles couvrent plus d’un exercice financier et s’accompagnent d’un risque juridique.

Les entités financières tiennent compte, dans leur évaluation, de l’article 7, paragraphes 1 et 2, du règlement délégué (UE) 2024/1772. Elles n’incluent dans ce chiffre aucun recouvrement financier de quelque nature que ce soit.

Les entités financières déclarent le montant monétaire comme une valeur positive.

En cas de déclaration agrégée prévue à l’article 7 du présent règlement, les entités financières tiennent compte du montant total des coûts et pertes pour toutes les entités financières.

Les entités financières déclarent le point de données en unités avec une précision minimale fixée au millier d’unités.

Montant total des recouvrements financiers.

Les recouvrements financiers se rapportent à la perte initiale causée par l’incident, quel que soit le moment où les recouvrements financiers sous la forme de fonds ou de flux d’avantages économiques sont reçus.

Les entités financières déclarent le montant monétaire comme une valeur positive.

En cas de déclaration agrégée prévue à l’article 7 du présent règlement, les entités financières tiennent compte du montant total des recouvrements financiers dans toutes les entités financières.

Monétaire

Les entités financières déclarent le point de données en unités avec une précision minimale fixée au millier d’unités.

Informations précisant si plusieurs incidents non majeurs liés aux TIC ont été récurrents et s’ils sont considérés ensemble comme un incident majeur au sens de l’article 8, paragraphe 2, du règlement délégué (UE) 2024/1772.

Les entités financières indiquent si les incidents non majeurs liés aux TIC ont été récurrents et s’ils sont considérés ensemble comme un incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière;.

Les entités financières indiquent également le nombre de ces incidents non majeurs liés aux TIC.