RTS on ICT risk management framework

Afin de limiter le risque de conflits d’intérêts, les entités financières devraient veiller à la séparation des tâches lors de l’attribution de rôles et de responsabilités dans le domaine des TIC.

Dans un souci de souplesse et pour simplifier le cadre de contrôle des entités financières, ces dernières ne devraient pas être tenues d’élaborer des dispositions spécifiques sur les conséquences du non-respect des politiques, procédures et protocoles de sécurité des TIC visés au titre II, chapitre I, du présent règlement si de telles dispositions sont déjà prévues dans une autre politique ou procédure.

Dans un environnement dynamique où les risques liés aux TIC évoluent constamment, il importe que les entités financières élaborent l’ensemble de leurs politiques de sécurité des TIC sur la base de pratiques de pointe et, le cas échéant, de normes telles que définies à l’article 2, point 1), du règlement (UE) n^o 1025/2012 du Parlement européen et du Conseil(²)Règlement (UE) n^o 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision n^o 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12, ELI: http://data.europa.eu/eli/reg/2012/1025/oj).. Cela devrait permettre aux entités financières visées au titre II du présent règlement de rester informées et préparées dans un contexte appelé à évoluer.

Afin de garantir leur résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations;, les entités financières visées au titre II du présent règlement devraient, dans le cadre de leurs politiques, procédures, protocoles et outils de sécurité des TIC, élaborer et mettre en œuvre une politique de gestion des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière;, des procédures de gestion des capacités et des performances, ainsi que des politiques et procédures pour les opérations de TIC. Ces politiques et procédures sont nécessaires pour assurer le suivi de l’état des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; tout au long de leur cycle de vie, de sorte que ces actifs soient utilisés et entretenus de manière efficace (gestion des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière;). Ces politiques et procédures devraient également garantir l’optimisation du fonctionnement des systèmes de TIC et faire en sorte que les performances des systèmes de TIC et des capacités en matière de TIC répondent aux objectifs établis en matière de sécurité des activités et de l’information (gestion des capacités et des performances). Enfin, ces politiques et procédures devraient garantir une gestion et une exploitation quotidiennes efficaces et fluides des systèmes de TIC (et des opérations de TIC), afin de réduire le risque de perte de confidentialité, d’intégrité et de disponibilité des données. Ces politiques et procédures sont donc nécessaires pour garantir la sécurité des réseaux, fournir des garanties adéquates contre les intrusions et les utilisations abusives des données et préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données.

Afin de garantir une bonne gestion du risque lié aux s, les entités financières devraient enregistrer et surveiller les dates d’expiration des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; d’appui fournis par des tiers. En raison des conséquences potentielles qu’une perte de confidentialité, d’intégrité ou de disponibilité des données peut avoir, les entités financières devraient, lorsqu’elles enregistrement et suivent ces dates d’expiration, se concentrer sur les actifs ou systèmes de TIC qui sont critiques pour le fonctionnement de l’entreprise.

Les contrôles cryptographiques peuvent garantir la disponibilité, l’authenticité, l’intégrité et la confidentialité des données. Les entités financières visées au titre II du présent règlement devraient donc définir et mettre en œuvre ces contrôles sur la base d’une approche fondée sur les risques. À cette fin, les entités financières devraient chiffrer les données concernées, au repos, en transit ou, si nécessaire, en cours d’utilisation, sur la base des résultats d’un processus en deux volets, à savoir la classification des données et une évaluation complète du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;. Compte tenu de la complexité du chiffrement des données en cours d’utilisation, les entités financières visées au titre II du présent règlement ne devraient chiffrer les données en cours d’utilisation que lorsque cela est approprié à la lumière des résultats de l’évaluation du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;. Les entités financières visées au titre II du présent règlement devraient toutefois être en mesure, lorsque le chiffrement des données en cours d’utilisation n’est pas possible ou est trop complexe, de protéger la confidentialité, l’intégrité et la disponibilité des données concernées au moyen d’autres mesures de sécurité des TIC. Compte tenu de la rapidité de l’évolution technologique dans le domaine des techniques cryptographiques, les entités financières visées au titre II du présent règlement devraient se tenir informées des évolutions qui les concernent en matière de cryptanalyse et tenir compte des pratiques de pointe et des normes existantes. Elles devraient donc suivre une approche souple, fondée sur l’atténuation et la surveillance des risques, pour s’adapter au paysage changeant des menaces cryptographiques, y compris des menaces résultant des progrès de l’informatique quantique.

La sécurité des opérations de TIC et les politiques, procédures, protocoles et outils opérationnels sont essentiels pour garantir la confidentialité, l’intégrité et la disponibilité des données. Un aspect essentiel est la séparation stricte entre les environnements de production des TIC, d’une part, et les environnements dans lesquels les systèmes de TIC sont développés et testés, ou les autres environnements hors production, d’autre part. Cette séparation devrait constituer une mesure importante de sécurisation des TIC contre les accès non désirés et non autorisés aux données ainsi que contre les modifications et les suppressions non désirées et non autorisées de données dans l’environnement de production, qui pourraient entraîner des perturbations majeures des activités métiers des entités financières visées au titre II du présent règlement. Toutefois, compte tenu des pratiques actuelles de développement des systèmes de TIC, les entités financières devraient être autorisées, dans des circonstances exceptionnelles, à réaliser des tests dans des environnements de production, à condition qu’elles justifient ces tests et obtiennent l’approbation requise.

Compte tenu de l’évolution rapide des TIC, des s des TIC et des cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;, il est nécessaire d’adopter une approche proactive et globale pour identifier, évaluer et éliminer ces s. En l’absence d’une telle approche, les entités financières, leurs clients, leurs utilisateurs ou leurs contreparties peuvent être exposés à des risques graves mettant en péril leur résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations;, la sécurité de leurs réseaux, ainsi que la disponibilité, l’authenticité, l’intégrité et la confidentialité des données que les politiques et procédures de sécurité des TIC sont censées protéger. Les entités financières visées au titre II du présent règlement devraient donc identifier les s qui peuvent exister dans leur environnement de TIC et y remédier, et tant les entités financières que leurs prestataires tiers de services TIC: une entreprise qui fournit des services TIC; devraient appliquer un cadre de gestion des s cohérent, transparent et responsable. Pour la même raison, les entités financières devraient surveiller les s des TIC en utilisant des ressources fiables et des outils automatisés, et en vérifiant que les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; garantissent une action rapide contre les s des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; fournis.

La gestion des correctifs devrait être un élément essentiel des politiques et procédures de sécurité des TIC qui, grâce aux tests et au déploiement dans un environnement contrôlé, doivent permettre de remédier aux s identifiées et d’éviter des perturbations lors de l’installation de correctifs.

Afin de garantir une communication rapide et transparente concernant les menaces potentielles pour la sécurité susceptibles d’avoir un impact sur l’entité financière et ses parties prenantes, les entités financières devraient établir des procédures pour une divulgation responsable des s des TIC à leurs clients, à leurs contreparties et au public. Lors de l’établissement de ces procédures, les entités financières devraient tenir compte de facteurs tels que la gravité de la vulnérabilité, son impact potentiel de cette vulnérabilité sur les parties prenantes et les solutions ou mesures d’atténuation disponibles.

Afin de permettre l’attribution de droits d’accès aux utilisateurs, chacune des entités financières visées au titre II du présent règlement devrait mettre en place des mesures fortes pour garantir l’identification unique des personnes et des systèmes qui auront accès à ses informations. À défaut, elle s’exposerait au risque d’accès non autorisés, de violations de données et d’activités frauduleuses, ce qui compromettrait la confidentialité, l’intégrité et la disponibilité de données financières sensibles. L’utilisation de comptes génériques ou de comptes partagés devrait être autorisée à titre exceptionnel dans des circonstances définies par les entités financières, mais celles-ci devraient veiller à ce que la responsabilité des actions effectuées via ces comptes soit maintenue. Sans cette garantie, d’éventuels utilisateurs malveillants auraient la possibilité d’entraver des mesures d’enquête et de correction, ce qui exposerait les entités financières vulnérables à des actes de malveillance non détectés ou à des sanctions pour non-conformité.

Afin de gérer les progrès rapides des environnements TIC, les entités financières visées au titre II du présent règlement devraient mettre en œuvre de solides politiques et procédures de gestion des projets TIC afin de préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données. Ces politiques et procédures de gestion de projets TIC devraient identifier les éléments nécessaires pour bien gérer ces projets, notamment les modifications et acquisitions de systèmes de TIC par l’entité financière, ainsi que la maintenance et l’évolution de ces systèmes quelle que soit la méthode de gestion de projets TIC choisie par cette dernière. Dans le cadre de ces politiques et procédures, les entités financières devraient adopter des pratiques et des méthodes de test qui répondent à leurs besoins, tout en respectant une approche fondée sur les risques et en veillant au maintien d’un environnement TIC sûr, fiable et résilient. Afin de garantir la mise en œuvre en toute sécurité d’un projet de TIC, les entités financières devraient veiller à ce que le personnel chargé des différents secteurs d’activité ou rôles influencés ou concernés par ce projet puisse fournir les informations et l’expertise nécessaires. Afin d’assurer une surveillance efficace, les rapports sur les projets TIC, en particulier sur les projets touchant des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; et sur les risques qui y sont associés, devraient être soumis à l’organe de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(^31^), de l’article 2, paragraphe 1, point 45), du règlement (UE) n^o 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32).. Les entités financières devraient adapter la fréquence et le détail des examens et rapports systématiques et continus à l’importance et à la taille des projets TIC concernés.

Il est nécessaire de veiller à ce que les progiciels que les entités financières visées au titre II du présent règlement acquièrent et développent soient intégrés de manière efficace et sécurisée dans l’environnement TIC existant, conformément aux objectifs établis en matière de sécurité des activités et de l’information. Les entités financières devraient donc procéder à une évaluation approfondie de ces progiciels. À cette fin, et pour pouvoir identifier les s et les lacunes potentielles en matière de sécurité, tant dans les progiciels que dans les systèmes de TIC au sens large, les entités financières devraient effectuer des tests de sécurité des TIC. Pour évaluer l’intégrité d’un logiciel et s’assurer que son utilisation ne présente pas de risques pour la sécurité des TIC, les entités financières devraient également examiner les codes sources des logiciels qu’elles acquièrent, y compris, lorsque cela est faisable, des logiciels propriétaires fournis par des prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, en utilisant des méthodes de test aussi bien statiques que dynamiques.

Tout changement, quelle que soit son échelle, comporte des risques inhérents et peut comporter des risques importants de perte de confidentialité, d’intégrité et de disponibilité des données, et entraîner par ricochet de graves perturbations des activités. Afin de protéger les entités financières des s et faiblesses potentielles en matière de TIC qui pourraient les exposer à des risques importants, un processus de vérification rigoureux est nécessaire pour confirmer que tous les changements apportés satisfont aux exigences nécessaires en matière de sécurité des TIC. Les entités financières visées au titre II du présent règlement devraient donc disposer, en tant qu’élément essentiel de leurs politiques et procédures en matière de sécurité des TIC, de solides politiques et procédures de gestion des changements dans les TIC. Afin de préserver l’objectivité et l’efficacité du processus de gestion des changements dans les TIC, de prévenir les conflits d’intérêts et de garantir une évaluation objective des changements apportés aux TIC, il est nécessaire de séparer les fonctions chargées d’approuver ces changements des fonctions qui les demandent et les mettent en œuvre. Pour assurer des transitions efficaces, une mise en œuvre contrôlée des changements de TIC et des perturbations minimales du fonctionnement des systèmes de TIC, les entités financières devraient assigner clairement des rôles et responsabilités garantissant que les changements apportés aux TIC seront planifiés, testés de manière adéquate, et de qualité. Pour veiller à ce que les systèmes de TIC continuent de fonctionner efficacement, et pour fournir un filet de sécurité aux entités financières, il convient par ailleurs que celles-ci élaborent et mettent en œuvre des procédures de secours. Les entités financières devraient clairement définir ces procédures de secours et assigner les responsabilités nécessaires à une réaction rapide et efficace en cas de changements infructueux dans les TIC.

Pour détecter, gérer et notifier les incidents liés aux TIC, les entités financières visées au titre II du présent règlement devraient se doter d’une politique en matière d’incidents liés aux TIC qui inclue les composantes d’un processus de gestion des incidents liés aux TIC. À cette fin, les entités financières devraient identifier tous les contacts pertinents, à l’intérieur et à l’extérieur de l’organisation, susceptibles de faciliter la bonne coordination et la bonne mise en œuvre des différentes phases de ce processus. Afin d’optimiser la détection des incidents liés aux TIC et la réponse à ces incidents, et pour cerner les tendances que révèlent ces incidents et qui constituent une source précieuse d’informations permettant aux entités financières d’identifier les causes profondes et les problèmes et d’y remédier de manière efficace, les entités financières devraient en particulier analyser en détail les incidents liés aux TIC qu’elles jugent les plus importants, notamment en raison de leur répétition régulière.

Afin de garantir une détection précoce et efficace des activités anormales, les entités financières visées au titre II du présent règlement devraient collecter, surveiller et analyser les différentes sources d’information et devraient attribuer les rôles et responsabilités correspondants. En ce qui concerne les sources d’information internes, les journaux sont une source extrêmement pertinente, mais qui ne devrait pas être la seule sur laquelle les entités financières s’appuient. Ainsi, les entités financières devraient prendre en considération l’ensemble des informations dont elles peuvent disposer, y compris celles obtenues grâce à d’autres fonctions internes, lesquelles constituent souvent une source précieuse d’informations pertinentes. Pour la même raison, les entités financières devraient analyser et surveiller les informations recueillies auprès de sources externes, notamment les informations fournies par des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; sur les incidents touchant leurs systèmes et réseaux, et auprès d’autres sources qu’elles jugent pertinentes. Dans la mesure où ces informations constituent des données à caractère personnel, le droit de l’Union en matière de protection des données s’applique. Les données à caractère personnel devraient être limitées à ce qui est nécessaire à la détection d’incidents.

Afin de faciliter la détection des incidents liés aux TIC, les entités financières devraient conserver les preuves de ces incidents. Pour que ces preuves soient conservées suffisamment longtemps, et pour s’éviter une charge réglementaire excessive, les entités financières devraient déterminer la durée de conservation en tenant compte, entre autres, de la criticité des données et des exigences en matière de conservation imposées par le droit de l’Union.

Pour que les incidents liés aux TIC soient détectés à temps, il convient que les entités financières visées au titre II du présent règlement considèrent comme non exhaustifs les critères définis pour le déclenchement de la détection des incidents liés aux TIC et des réponses à ces incidents. En outre, les entités financières devraient certes tenir compte de chacun de ces critères, mais elles ne devraient pas considérer que les circonstances qu’ils décrivent doivent nécessairement exister simultanément, et l’importance des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; concernés devrait être dûment prise en considération pour déclencher les processus de détection des incidents liés aux TIC et de réponse à ces incidents.

Lorsqu’elles élaborent une politique de continuité des activités de TIC, les entités financières visées au titre II du présent règlement devraient tenir compte des éléments essentiels de la gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, notamment des stratégies de gestion et de communication en matière d’incidents liés aux TIC, du processus de gestion des changements dans les TIC et des risques associés aux prestataires tiers de services TIC.

Il est nécessaire de définir l’ensemble des scénarios que les entités financières visées au titre II du présent règlement devraient prendre en compte tant pour mettre en œuvre des plans de réponse et de rétablissement des TIC que pour tester des plans de continuité des activités de TIC. Ces scénarios devraient leur servir de point de départ pour analyser aussi bien la pertinence et la plausibilité de chaque scénario que la nécessité d’en élaborer d’autres. Les entités financières devraient se concentrer sur les scénarios dans lesquels les investissements dans les mesures de résilience pourraient être les plus efficaces et les plus efficients. En testant le basculement entre l’infrastructure de TIC principale et toute capacité redondante, les sauvegardes et les installations redondantes, les établissements financiers devraient évaluer si cette capacité, ces sauvegardes et ces installations redondantes fonctionnent efficacement pendant une durée suffisante et s’assurer que le fonctionnement normal de l’infrastructure de TIC principale est restauré conformément aux objectifs de rétablissement.

Il est nécessaire de fixer des exigences en matière de risque opérationnel, et plus particulièrement en matière de gestion des projets TIC, de gestion des changements dans les TIC et de gestion de la continuité des activités de TIC, en s’appuyant sur les exigences qui s’appliquent déjà aux contreparties centrales: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) n^o 648/2012;, aux dépositaires centraux de titres et aux plates-formes de négociation en vertu, respectivement, des règlements (UE) n^o 648/2012(³)Règlement (UE) n^o 648/2012 du Parlement européen et du Conseil du 4 juillet 2012 sur les produits dérivés de gré à gré, les contreparties centrales et les référentiels centraux (JO L 201 du 27.7.2012, p. 1, ELI: http://data.europa.eu/eli/reg/2012/648/oj)., (UE) n^o 600/2014(⁴)Règlement (UE) n^o 600/2014 du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant le règlement (UE) n^o 648/2012 (JO L 173 du 12.6.2014, p. 84, ELI: http://data.europa.eu/eli/reg/2014/600/oj). et (UE) n^o 909/2014(⁵)Règlement (UE) n^o 909/2014 du Parlement européen et du Conseil du 23 juillet 2014 concernant l’amélioration du règlement de titres dans l’Union européenne et les dépositaires centraux de titres et modifiant les directives 98/26/CE et 2014/65/UE et le règlement (UE) n^o 236/2012 (JO L 257 du 28.8.2014, p. 1, ELI: http://data.europa.eu/eli/reg/2014/909/oj). du Parlement européen et du Conseil.

L’article 6, paragraphe 5, du règlement (UE) 2022/2554 impose aux entités financières de réexaminer leur cadre de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; et de présenter à leur autorité compétente un rapport sur ce réexamen. Afin de permettre aux autorités compétentes de traiter facilement les informations contenues dans ces rapports et de garantir une transmission adéquate de ces informations, les entités financières devraient présenter ces rapports sous un format électronique interrogeable.

Les exigences applicables aux entités financières qui sont soumises au cadre simplifié de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; prévu à l’article 16 du règlement (UE) 2022/2554 devraient se concentrer sur les domaines et éléments essentiels qui, compte tenu de l’échelle, du risque, de la taille et de la complexité de ces entités financières, constituent le minimum nécessaire pour garantir la confidentialité, l’intégrité, la disponibilité et l’authenticité des données et des services de ces entités. Dans ce contexte, ces entités financières devraient disposer d’un cadre de gouvernance et de contrôle interne définissant clairement les responsabilités claires, afin que le cadre de gestion des risques soit efficace et solide. En outre, afin de réduire leur charge administrative et opérationnelle, ces entités financières ne devraient élaborer et documenter qu’une seule politique, à savoir une politique de sécurité de l’information, qui précise les principes et règles généraux nécessaires pour protéger la confidentialité, l’intégrité, la disponibilité et l’authenticité des données et des services de ces entités.

Les dispositions du présent règlement portent sur le domaine dont relève le cadre de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, puisqu’elles détaillent les éléments spécifiques applicables aux entités financières conformément à l’article 15 du règlement (UE) 2022/2554 et définissent le cadre simplifié de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; pour les entités financières prévu à l’article 16, paragraphe 1, dudit règlement. Afin de garantir la cohérence entre le cadre ordinaire et le cadre simplifié de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, et compte tenu du fait que ces dispositions devraient devenir applicables en même temps, il convient d’inclure ces dispositions dans un acte législatif unique.

Le présent règlement se fonde sur les projets de normes techniques de réglementation soumis à la Commission par l’Autorité bancaire européenne, l’Autorité européenne des assurances et des pensions professionnelles et l’Autorité européenne des marchés financiers (les «autorités européennes de surveillance»), en concertation avec l’Agence de l’Union européenne pour la cybersécurité (ENISA).

Le comité mixte: le comité visé à l’article 54 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010; des autorités européennes de surveillance visé à l’article 54 du règlement (UE) n^o 1093/2010 du Parlement européen et du Conseil(⁶)Règlement (UE) n^o 1093/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité bancaire européenne), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/78/CE de la Commission (JO L 331 du 15.12.2010, p. 12, ELI: http://data.europa.eu/eli/reg/2010/1093/oj)., à l’article 54 du règlement (UE) n^o 1094/2010 du Parlement européen et du Conseil(⁷)Règlement (UE) n^o 1094/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des assurances et des pensions professionnelles), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/79/CE de la Commission (JO L 331 du 15.12.2010, p. 48, ELI: http://data.europa.eu/eli/reg/2010/1094/oj). et à l’article 54 du règlement (UE) n^o 1095/2010 du Parlement européen et du Conseil(⁸)Règlement (UE) n^o 1095/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité européenne des marchés financiers), modifiant la décision n^o 716/2009/CE et abrogeant la décision 2009/77/CE de la Commission (JO L 331 du 15.12.2010, p. 84, ELI: https://eur-lex.europa.eu/eli/reg/2010/1095/oj). a procédé à des consultations publiques ouvertes sur les projets de normes techniques de réglementation sur lesquels se fonde le présent règlement, analysé les coûts et avantages potentiels des normes proposées et sollicité l’avis du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées au secteur bancaire institué en application de l’article 37 du règlement (UE) n^o 1093/2010, du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées à l’assurance et la réassurance et du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées aux pensions professionnelles institués en application de l’article 37 du règlement (UE) n^o 1094/2010 et du groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; des parties intéressées au secteur financier institué en application de l’article 37 du règlement (UE) n^o 1095/2010.

Dans la mesure où le traitement de données à caractère personnel est requis pour satisfaire aux obligations énoncées dans le présent acte, les règlements (UE) 2016/679(⁹)Règlement (UE) 2016/679 du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du 4.5.2016, p. 1, ELI: http://data.europa.eu/eli/reg/2016/679/oj). et (UE) 2018/1725(¹⁰)Règlement (UE) 2018/1725 du Parlement européen et du Conseil du 23 octobre 2018 relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) n^o 45/2001 et la décision n^o 1247/2002/CE (JO L 295 du 21.11.2018, p. 39, ELI: http://data.europa.eu/eli/reg/2018/1725/oj). du Parlement européen et du Conseil devraient s’appliquer pleinement. Par exemple, le principe de minimisation des données devrait être respecté lorsque des données à caractère personnel sont collectées, afin d’assurer une détection appropriée des incidents. Le Contrôleur européen de la protection des données a également été consulté sur le projet de texte du présent acte,