Source: OJ L, 2024/1772, 25.6.2024Current language: FR
- Digital operational resilience in the financial sector
ICT-related incidents
- RTS on incident classification
Article 5 Pertes de données
Afin de déterminer les pertes de données occasionnées par l’incident, visées à l’article 18, paragraphe 1, point d), du règlement (UE) 2022/2554, les entités financières cherchent à savoir:
en ce qui concerne la disponibilité des données, si l’incident a rendu temporairement ou durablement inaccessibles ou inutilisables les données sollicitées par l’entité financière, ses clients ou ses contreparties;
en ce qui concerne l’authenticité des données, si l’incident a compromis la fiabilité de la source des données;
en ce qui concerne l’intégrité des données, si l’incident a entraîné une modification non autorisée des données qui les a rendues inexactes ou incomplètes;
en ce qui concerne la confidentialité des données, si l’incident a eu pour conséquence qu’une partie ou un système non autorisé a eu accès à des données ou que celles-ci lui ont été divulguées.
Relevant recitals
Considérant 5 Cyber attacks
Les critères de classification devraient permettre de rendre compte de tous les types d’incidents majeurs pertinents. De nombreux critères de classification ne rendent pas nécessairement compte des cyberattaques: un incident lié aux TIC malveillant causé par une tentative de destruction, d’exposition, de modification, de désactivation, de vol, d’utilisation non autorisée d’un actif ou d’accès non autorisé à celui-ci, perpétrée par un acteur de la menace; liées à l’intrusion dans le réseau ou les systèmes d’information. Or celles-ci sont importantes car toute intrusion dans le réseau ou les systèmes d’information est susceptible de nuire à l’entité financière. En conséquence, les critères de classification «services critiques touchés» et «pertes de données» devraient être définis de manière à rendre compte de ces types d’incidents majeurs, en particulier des intrusions non autorisées qui, même si l’on n’en connaît pas immédiatement l’incidence, sont susceptibles d’entraîner de graves conséquences, notamment des violations de données et des fuites de données.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.