Source: OJ L, 2025/301, 20.2.2025

Current language: FR

Preamble Recitals


Considérant 1 Reporting time limits

Afin de garantir l’harmonisation et la simplification des exigences en matière de notification et de déclaration des incidents majeurs liés aux TIC visées à l’article 19, paragraphe 4, du règlement (UE) 2022/2554, les délais de notification des incidents majeurs liés aux TIC devraient suivre une approche cohérente pour tous les types d’entités financières. Pour ces raisons, les délais devraient également, dans toute la mesure du possible, suivre une approche cohérente avec les exigences énoncées dans la directive (UE) 2022/2555 du Parlement européen et du Conseil(2)Directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) no 910/2014 et la directive (UE) 2018/1972, et abrogeant la directive (UE) 2016/1148 (directive SRI 2) (JO L 333 du 27.12.2022, p. 80, ELI: http://data.europa.eu/eli/dir/2022/2555/oj)., et avoir au moins un effet équivalent à celles-ci.

Considérant 2 Time limit for the initial notification

Afin d’éviter d’imposer une charge de déclaration excessive aux entités financières lorsqu’elles traitent l’incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière;, le contenu de la notification initiale devrait être limité aux informations les plus importantes. Pour pouvoir prendre des mesures de surveillance appropriées, les autorités compétentes doivent recevoir des informations sur les incidents majeurs liés aux TIC le plus rapidement possible après que l’entité financière a classé un incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière; comme majeur. Par conséquent, le délai de soumission d’une notification initiale visée à l’article 19, paragraphe 4, point a), du règlement (UE) 2022/2554 devrait être aussi court que possible après qu’un incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière; a été classé comme majeur, tout en permettant une certaine souplesse, en particulier pour les modèles commerciaux de services qui ne sont pas particulièrement limités dans le temps, si les entités financières ont besoin de plus de temps pour traiter l’incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière; après en avoir pris connaissance.

Considérant 3 The intermediate and final reports

Après avoir reçu la notification initiale, les autorités compétentes devraient recevoir des informations plus détaillées sur l’incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière; dans le rapport intermédiaire et toutes les informations pertinentes dans le rapport final. Les informations contenues dans ces rapports devraient permettre aux autorités compétentes d’évaluer plus avant l’incident lié aux TIC: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière; et d’évaluer les mesures de surveillance qu’elles pourraient souhaiter prendre.

Considérant 4 Balance of time limits

Les délais de notification visés à l’article 20, premier alinéa, point a), ii), du règlement (UE) 2022/2554 devraient donc établir un équilibre entre la nécessité pour les autorités compétentes de recevoir rapidement les informations et la nécessité d’accorder aux entités financières suffisamment de temps pour obtenir des informations complètes et exactes.

Considérant 5 Microenterprises and to other financial entities that are not significant

Compte tenu des critères énoncés à l’article 20, premier alinéa, point a), du règlement (UE) 2022/2554, les délais de notification ne devraient pas représenter une charge disproportionnée pour les microentreprises: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros; et les autres entités financières qui ne sont pas importantes. En outre, les délais de notification devraient tenir compte des weekends et jours fériés, afin d’éviter de faire supporter une charge disproportionnée aux entités financières.

Considérant 6 Reporting significant cyber threats

Étant donné que les cybermenaces importantes: une cybermenace dont les caractéristiques techniques indiquent qu’elle pourrait donner lieu à un incident majeur lié aux TIC ou à un incident opérationnel ou de sécurité majeur lié au paiement; doivent être notifiées sur une base volontaire, le contenu de ces notifications ne devrait pas imposer de charge aux entités financières et devrait être plus limité que les informations demandées pour les incidents majeurs liés aux TIC.

Considérant 7 Draft regulatory technical standards from ESAs

Le présent règlement se fonde sur le projet de normes techniques de réglementation soumis à la Commission par les autorités européennes de surveillance.

Considérant 8 Open public consultations

Les autorités européennes de surveillance ont procédé à des consultations publiques ouvertes sur les projets de normes techniques de réglementation sur lesquels se fonde le présent règlement, analysé les coûts et avantages potentiels qu’ils impliquent et sollicité l’avis du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées institué en application de l’article 37 des règlements (UE) no 1093/2010(3)Règlement (UE) no 1093/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité bancaire européenne), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/78/CE de la Commission (JO L 331 du 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., (UE) no 1094/2010(4)Règlement (UE) no 1094/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des assurances et des pensions professionnelles), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/79/CE de la Commission (JO L 331 du 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). et (UE) no 1095/2010(5)Règlement (UE) no 1095/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des marchés financiers), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/77/CE de la Commission (JO L 331 du 15.12.2010, p. 84, ELI: http://data.europa.eu/eli/reg/2010/1095/oj). du Parlement européen et du Conseil.

Considérant 9 Processing of personal data

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil(6)Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). et a rendu un avis positif le 22 juillet 2024. Tout traitement de données à caractère personnel relevant du champ d’application du présent règlement devrait être effectué conformément aux principes applicables en matière de protection des données et aux dispositions du règlement (UE) 2018/1725.

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod