Source: OJ L, 2025/301, 20.2.2025
Current language: FR
RTS on incident reporting
RÈGLEMENT DÉLÉGUÉ (UE) 2025/301 DE LA COMMISSION
du 23 octobre 2024
complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par des normes techniques de réglementation précisant le contenu et les délais pour la notification initiale des incidents majeurs liés aux TIC, et pour les rapports intermédiaire et final y afférents, et le contenu de la notification volontaire en ce qui concerne les cybermenaces importantes
(Texte présentant de l’intérêt pour l’EEE)
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011(1)JO L 333 du 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj., et notamment son article 20, troisième alinéa,
considérant ce qui suit:
Considérant 1 Reporting time limits
Afin de garantir l’harmonisation et la simplification des exigences en matière de notification et de déclaration des incidents majeurs liés aux TIC visées à l’article 19, paragraphe 4, du règlement (UE) 2022/2554, les délais de notification des incidents majeurs liés aux TIC devraient suivre une approche cohérente pour tous les types d’entités financières. Pour ces raisons, les délais devraient également, dans toute la mesure du possible, suivre une approche cohérente avec les exigences énoncées dans la directive (UE) 2022/2555 du Parlement européen et du Conseil(2)Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj)., et avoir au moins un effet équivalent à celles-ci.
Considérant 2 Time limit for the initial notification
Afin d’éviter d’imposer une charge de déclaration excessive aux entités financières lorsqu’elles traitent l’incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière;, le contenu de la notification initiale devrait être limité aux informations les plus importantes. Pour pouvoir prendre des mesures de surveillance appropriées, les autorités compétentes doivent recevoir des informations sur les incidents majeurs liés aux TIC le plus rapidement possible après que l’entité financière a classé un incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière; comme majeur. Par conséquent, le délai de soumission d’une notification initiale visée à l’article 19, paragraphe 4, point a), du règlement (UE) 2022/2554 devrait être aussi court que possible après qu’un incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière; a été classé comme majeur, tout en permettant une certaine souplesse, en particulier pour les modèles commerciaux de services qui ne sont pas particulièrement limités dans le temps, si les entités financières ont besoin de plus de temps pour traiter l’incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière; après en avoir pris connaissance.
Considérant 3 The intermediate and final reports
Après avoir reçu la notification initiale, les autorités compétentes devraient recevoir des informations plus détaillées sur l’incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière; dans le rapport intermédiaire et toutes les informations pertinentes dans le rapport final. Les informations contenues dans ces rapports devraient permettre aux autorités compétentes d’évaluer plus avant l’incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière; et d’évaluer les mesures de surveillance qu’elles pourraient souhaiter prendre.
Considérant 4 Balance of time limits
Les délais de notification visés à l’article 20, premier alinéa, point a), ii), du règlement (UE) 2022/2554 devraient donc établir un équilibre entre la nécessité pour les autorités compétentes de recevoir rapidement les informations et la nécessité d’accorder aux entités financières suffisamment de temps pour obtenir des informations complètes et exactes.
Considérant 5 Microenterprises and to other financial entities that are not significant
Compte tenu des critères énoncés à l’article 20, premier alinéa, point a), du règlement (UE) 2022/2554, les délais de notification ne devraient pas représenter une charge disproportionnée pour les microentreprises: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros; et les autres entités financières qui ne sont pas importantes. En outre, les délais de notification devraient tenir compte des weekends et jours fériés, afin d’éviter de faire supporter une charge disproportionnée aux entités financières.
Considérant 6 Reporting significant cyber threats
Étant donné que les cybermenaces importantes: une cybermenace dont les caractéristiques techniques indiquent qu’elle pourrait donner lieu à un incident majeur lié aux TIC ou à un incident opérationnel ou de sécurité majeur lié au paiement; doivent être notifiées sur une base volontaire, le contenu de ces notifications ne devrait pas imposer de charge aux entités financières et devrait être plus limité que les informations demandées pour les incidents majeurs liés aux TIC.
Considérant 7 Draft regulatory technical standards from ESAs
Le présent règlement se fonde sur le projet de normes techniques de réglementation soumis à la Commission par les autorités européennes de surveillance.
Considérant 8 Open public consultations
Les autorités européennes de surveillance ont procédé à des consultations publiques ouvertes sur les projets de normes techniques de réglementation sur lesquels se fonde le présent règlement, analysé les coûts et avantages potentiels qu’ils impliquent et sollicité l’avis du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées institué en application de l’article 37 des règlements (UE) no 1093/2010(3)Règlement (UE) no 1093/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité bancaire européenne), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/78/CE de la Commission (JO L 331 du 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., (UE) no 1094/2010(4)Règlement (UE) no 1094/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des assurances et des pensions professionnelles), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/79/CE de la Commission (JO L 331 du 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). et (UE) no 1095/2010(5)Règlement (UE) no 1095/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des marchés financiers), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/77/CE de la Commission (JO L 331 du 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj). du Parlement européen et du Conseil.
Considérant 9 Processing of personal data
Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil(6)Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). et a rendu un avis positif le 22 juillet 2024. Tout traitement de données à caractère personnel relevant du champ d’application du présent règlement devrait être effectué conformément aux principes applicables en matière de protection des données et aux dispositions du règlement (UE) 2018/1725.
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
- Article premierInformations générales à fournir dans les notifications initiales et les rapports intermédiaire et final sur les incidents majeurs liés aux TIC
- Article 2Informations spécifiques à fournir dans les notifications initiales
- Article 3Informations spécifiques à fournir dans les rapports intermédiaires
- Article 4Informations spécifiques à fournir dans les rapports finaux
- Article 5Délais pour la notification initiale et pour les rapports intermédiaire et final
- Article 6Contenu de la notification volontaire des cybermenaces importantes
- Article 7Entrée en vigueur
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 23 octobre 2024.
Par la Commission
La présidente
Ursula VON DER LEYEN