Preamble Recitals

Le règlement (UE) 2022/2554 vise à harmoniser et à rationaliser les obligations de déclaration des incidents liés aux TIC et des incidents opérationnels ou de sécurité liés au paiement concernant les établissements de crédit, les établissements de paiement, les prestataires de services d’information sur les comptes: un prestataire de services d’information sur les comptes visé à l’article 33, paragraphe 1, de la directive (UE) 2015/2366; et les établissements de monnaie électronique (ci-après les «incidents»). Étant donné que ces obligations de déclaration concernent 20 types différents d’entités financières, les critères de classification et les seuils d’importance significative servant à identifier les incidents majeurs et les cybermenaces importantes: une cybermenace dont les caractéristiques techniques indiquent qu’elle pourrait donner lieu à un incident majeur lié aux TIC ou à un incident opérationnel ou de sécurité majeur lié au paiement; devraient être précisés d’une manière simple, harmonisée et cohérente qui tienne compte des spécificités des services et activités de toutes les entités financières concernées.

Dans un souci de proportionnalité, les critères de classification et les seuils d’importance significative devraient prendre en compte la taille des différentes entités financières, leur profil de risque général, ainsi que la nature, l’échelle et la complexité de leurs services. En outre, les critères et les seuils d’importance significative devraient être conçus de manière à s’appliquer de manière cohérente à toutes les entités financières, indépendamment de leur taille et de leur profil de risque, et à ne pas entraîner de charge déclarative disproportionnée pour les plus petites d’entre elles. Cependant, afin de tenir compte des situations où un incident ne dépasse pas le seuil applicable mais touche néanmoins un nombre significatif de clients, il convient de fixer un seuil absolu ciblant surtout les grandes entités financières.

Il convient d’assurer aux entités financières une continuité par rapport aux cadres de notification des incidents qui préexistaient à l’entrée en vigueur du règlement (UE) 2022/2554. Par conséquent, les critères de classification et les seuils d’importance significative devraient s’appuyer et s’aligner sur les orientations de l’ABE sur la notification des incidents majeurs au titre de la directive (UE) 2015/2366 du Parlement européen et du Conseil(²)Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) n^o 1093/2010, et abrogeant la directive 2007/64/CE (JO L 337 du 23.12.2015, p. 35, ELI: http://data.europa.eu/eli/dir/2015/2366/oj)., les orientations sur l’information périodique et la notification des modifications importantes que les référentiels centraux doivent soumettre à l’AEMF, le dispositif BCE/MSU de déclaration des cyberincidents et d’autres orientations pertinentes. Il convient également de faire en sorte que les critères et seuils de classification soient adéquats pour les entités financières qui n’étaient pas soumises à des obligations de déclaration des incidents avant l’adoption du règlement (UE) 2022/2554.

En ce qui concerne le critère de classification «volume et nombre de transactions touchées», la notion de transactions est large et couvre différentes activités et services dans les différents actes sectoriels applicables aux entités financières. Aux fins de ce critère de classification, les opérations de paiement et toutes les formes d’échange d’instruments financiers, de crypto-actifs, de matières premières ou de tout autre actif, également sous forme de marges, de sûretés ou de garanties, tant contre des espèces que contre tout autre actif, devraient être couvertes. Toutes les transactions impliquant des actifs dont la valeur peut être exprimée sous la forme d’un montant monétaire devraient être prises en considération aux fins de la classification.

Les critères de classification devraient permettre de rendre compte de tous les types d’incidents majeurs pertinents. De nombreux critères de classification ne rendent pas nécessairement compte des cyberattaques: un incident lié aux TIC malveillant causé par une tentative de destruction, d’exposition, de modification, de désactivation, de vol, d’utilisation non autorisée d’un actif ou d’accès non autorisé à celui-ci, perpétrée par un acteur de la menace; liées à l’intrusion dans le réseau ou les systèmes d’information. Or celles-ci sont importantes car toute intrusion dans le réseau ou les systèmes d’information est susceptible de nuire à l’entité financière. En conséquence, les critères de classification «services critiques touchés» et «pertes de données» devraient être définis de manière à rendre compte de ces types d’incidents majeurs, en particulier des intrusions non autorisées qui, même si l’on n’en connaît pas immédiatement l’incidence, sont susceptibles d’entraîner de graves conséquences, notamment des violations de données et des fuites de données.

Étant donné que les établissements de crédit sont soumis à la fois au cadre de classification des incidents prévu à l’article 18 du règlement (UE) 2022/2554 et au cadre relatif au risque opérationnel prévu par le règlement délégué (UE) 2018/959 de la Commission(³)Règlement délégué (UE) 2018/959 de la Commission du 14 mars 2018 complétant le règlement (UE) n^o 575/2013 du Parlement européen et du Conseil par des normes techniques de réglementation précisant la méthode d’évaluation en vertu de laquelle les autorités compétentes autorisent les établissements à utiliser des approches par mesure avancée pour le risque opérationnel (JO L 169 du 6.7.2018, p. 1, ELI: http://data.europa.eu/eli/reg_del/2018/959/oj)., les approches que prévoient respectivement ces deux cadres pour déterminer les conséquences économiques d’un incident sur la base du calcul des coûts et des pertes devraient, dans toute la mesure du possible, concorder, afin de ne pas donner lieu à des exigences incompatibles ou contradictoires.

Le critère relatif à la répartition géographique d’un incident énoncé à l’article 18, paragraphe 1, point c), du règlement (UE) 2022/2554 devrait se concentrer sur l’incidence transfrontière de l’incident, puisque l’incidence d’un incident sur les activités d’une entité financière au sein d’une même juridiction sera appréhendée par les autres critères énoncés dans cet article.

Étant donné que les critères de classification sont interdépendants et liés entre eux, l’approche pour identifier les incidents majeurs qui doivent être déclarés en vertu de l’article 19, paragraphe 1, du règlement (UE) 2022/2554 devrait se fonder sur une combinaison de critères, qui donnerait à certains critères étroitement liés à la définition d’un incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière; et à celle d’un incident majeur lié aux TIC: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; données à l’article 3, paragraphes 8 et 10, du règlement (UE) 2022/2554 la prééminence sur les autres critères pour la classification d’un incident comme majeur.

Afin que les rapports et notifications d’incidents majeurs reçus par les autorités compétentes en vertu de l’article 19, paragraphe 1, du règlement (UE) 2022/2554 soient utiles aussi bien à des fins de surveillance que pour la prévention de la contagion à l’ensemble du secteur financier, les seuils d’importance significative devraient permettre de rendre compte des incidents majeurs, en se concentrant, entre autres, sur l’incidence sur les services critiques propres à l’entité, sur les seuils absolus et relatifs spécifiques de clients ou de contreparties financières, sur les transactions qui indiquent une incidence significative sur l’entité financière, et sur l’importance de l’incidence dans d’autres États membres.

Les incidents qui touchent des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; ou des réseaux et des systèmes d’information qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ou qui touchent des services financiers nécessitant une autorisation, ou les accès malveillants non autorisés aux réseaux et aux systèmes d’information qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;, devraient être considérés comme des incidents touchant des services critiques des entités financières. L’accès malveillant non autorisé aux réseaux et aux systèmes d’information qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; des entités financières comporte des risques graves pour l’entité financière et, étant donné qu’il peut toucher d’autres entités financières, devrait toujours être considéré comme un incident majeur à déclarer.

Les incidents récurrents qui sont liés par une cause originelle apparente similaire et qui, pris isolément, ne constituent pas des incidents majeurs peuvent néanmoins être le signe de défaillances et de faiblesses importantes dans les procédures de gestion des risques et des incidents mises en place par l’entité financière. Par conséquent, les incidents récurrents devraient être collectivement considérés comme majeurs lorsqu’ils se produisent de manière répétée au cours d’une certaine période.

Étant donné que les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; peuvent avoir une incidence négative sur l’entité financière et sur le secteur financier, toute notification de cybermenace importante: une cybermenace dont les caractéristiques techniques indiquent qu’elle pourrait donner lieu à un incident majeur lié aux TIC ou à un incident opérationnel ou de sécurité majeur lié au paiement; effectuée par une entité financière devrait préciser la probabilité que cette menace se concrétise et la criticité de son incidence potentielle. En conséquence, afin de garantir une évaluation claire et cohérente de l’importance des cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;, la classification d’une cybermenace: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; comme importante devrait dépendre du type de cybermenace: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;, des informations dont dispose l’entité financière, et de la probabilité que, si la cybermenace: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; se concrétisait, elle remplirait les critères permettant de classer un incident comme majeur et atteindrait les seuils correspondants.

Étant donné que les autorités compétentes d’autres États membres doivent être informées des incidents qui ont une incidence sur des entités financières et des clients sur leur territoire, l’évaluation de l’incidence dans un autre État membre conformément à l’article 19, paragraphe 7, du règlement (UE) 2022/2554 devrait se fonder sur la cause originelle de l’incident, sur les risques de contagion par l’intermédiaire des prestataires tiers et des infrastructures des marchés financiers, ainsi que sur l’incidence de l’incident sur des groupes: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; importants de clients ou de contreparties financières.

Les processus de déclaration et de notification visés à l’article 19, paragraphes 6 et 7, du règlement (UE) 2022/2554 devraient permettre aux destinataires respectifs d’évaluer l’incidence des incidents. Par conséquent, les informations transmises devraient comporter tous les détails contenus dans les rapports d’incidents soumis par l’entité financière à l’autorité compétente.

Lorsqu’un incident constitue une violation de données à caractère personnel au sens du règlement (UE) 2016/679 du Parlement européen et du Conseil(⁴)Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj). et de la directive 2002/58/CE du Parlement européen et du Conseil(⁵)Directive 2002/58/CE du Parlement européen et du Conseil du 12 juillet 2002 concernant le traitement des données à caractère personnel et la protection de la vie privée dans le secteur des communications électroniques (directive vie privée et communications électroniques) (JO L 201 du 31.7.2002, p. 37, ELI: http://data.europa.eu/eli/dir/2002/58/oj)., le présent règlement ne devrait pas influer sur les obligations en matière d’enregistrement et de notification des violations de données à caractère personnel qu’imposent ces actes de l’Union. Les autorités compétentes devraient coopérer avec les autorités visées dans le règlement (UE) 2016/679 et la directive 2002/58/CE et échanger avec elles des informations sur toutes les questions pertinentes.

Le présent règlement se fonde sur les projets de normes techniques de réglementation soumis à la Commission par les autorités européennes de surveillance, après consultation de l’Agence de l’Union européenne pour la cybersécurité (ENISA) et de la Banque centrale européenne (BCE).

Le comité mixte: le comité visé à l’article 54 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010; des autorités européennes de surveillance visé à l’article 54 du règlement (UE) n^o 1093/2010 du Parlement européen et du Conseil(⁶)Règlement (UE) n^o 1093/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité bancaire européenne), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/78/CE de la Commission (JO L 331 du 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., à l’article 54 du règlement (UE) n^o 1094/2010 du Parlement européen et du Conseil(⁷)Règlement (UE) n^o 1094/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des assurances et des pensions professionnelles), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/79/CE de la Commission (JO L 331 du 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). et à l’article 54 du règlement (UE) n^o 1095/2010 du Parlement européen et du Conseil(⁸)Règlement (UE) n^o 1095/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des marchés financiers), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/77/CE de la Commission (JO L 331 du 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj). a procédé à des consultations publiques ouvertes sur les projets de normes techniques de réglementation sur lesquels se fonde le présent règlement, analysé les coûts et avantages potentiels qu’ils entraînent et sollicité l’avis du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées au secteur bancaire institué en application de l’article 37 du règlement (UE) n^o 1093/2010, du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées à l’assurance et la réassurance institué en application de l’article 37 du règlement (UE) n^o 1094/2010 et du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées au secteur financier institué en application de l’article 37 du règlement (UE) n^o 1095/2010.

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil(⁹)Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n^o 45/2001 et la décision n^o 1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). et a rendu un avis le 24 janvier 2024,