Art. 10 Gestion des vulnérabilités et des correctifs | RTS on ICT risk management framework | DORA

1. Dans le cadre des politiques, procédures, protocoles et outils de sécurité des TIC visés à l’article 9, paragraphe 2, du règlement (UE) 2022/2554, les entités financières élaborent, documentent et mettent en œuvre des procédures de gestion des s.
1. Les procédures de gestion des s visées au paragraphe 1:
  1. identifient et tiennent à jour des ressources d’information pertinentes et fiables pour renforcer et maintenir la sensibilisation aux s;
  2. prévoient des scans et évaluations automatisés des s des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière;, la fréquence et le champ d’application de ces activités étant proportionnés à la classification établie conformément à l’article 8, paragraphe 1, du règlement (UE) 2022/2554 et au profil de risque global de l’actif de TIC;
  3. vérifient:
    
    si les prestataires tiers de services TIC: une entreprise qui fournit des services TIC; traitent les s liées aux services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; fournis à l’entité financière;
    
    si ces prestataires de services informent l’entité financière, en temps utile, au moins des s critiques, ainsi que des statistiques et tendances;
  4. tracent l’utilisation:
    
    de bibliothèques tierces, y compris de bibliothèques à code source ouvert, utilisées par les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;;
    
    de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; développés par l’entité financière elle-même, ou spécifiquement adaptés ou développés pour elle par un prestataire tiers de services TIC;
  5. établissent des procédures pour une divulgation responsable des s aux clients, aux contreparties et au public;
  6. donnent la priorité au déploiement de correctifs et d’autres mesures d’atténuation pour remédier aux s décelées;
  7. suivent et vérifient la correction des s;
  8. exigent l’enregistrement de toute vulnérabilité détectée touchant les systèmes de TIC et le suivi de leur résolution.
2. Aux fins du point b), les entités financières effectuent au moins une fois par semaine les scans et évaluations automatisés des s des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;.
3. Aux fins du point c), les entités financières demandent aux prestataires tiers de services TIC: une entreprise qui fournit des services TIC; d’enquêter sur les s concernées, d’en déterminer les causes profondes et de mettre en œuvre des mesures d’atténuation appropriées.
4. Aux fins du point d), les entités financières surveillent, le cas échéant en collaboration avec le prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, les versions et mises à jour éventuelles des bibliothèques tierces. Dans le cas d’actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; prêts à l’emploi ou de composants d’actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; acquis et utilisés dans le cadre de l’exploitation de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; qui ne soutiennent pas des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;, les entités financières tracent, dans la mesure du possible, l’utilisation de bibliothèques tierces, y compris des bibliothèques à code source ouvert.
5. Aux fins du point f), les entités financières tiennent compte de la criticité des s, de la classification établie conformément à l’article 8, paragraphe 1, du règlement (UE) 2022/2554 et du profil de risque des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; concernés par les s décelées.
1. Dans le cadre des politiques, procédures, protocoles et outils de sécurité des TIC visés à l’article 9, paragraphe 2, du règlement (UE) 2022/2554, les entités financières élaborent, documentent et mettent en œuvre des procédures de gestion des correctifs.
1. Les procédures de gestion des correctifs visées au paragraphe 3:
  1. dans la mesure du possible, identifient et évaluent les correctifs et mises à jour logiciels et matériels disponibles à l’aide d’outils automatisés;
  2. définissent des procédures d’urgence pour l’application des correctifs et des mises à jour des actifs de TIC;
  3. testent et déploient les correctifs logiciels et matériels et les mises à jour visées à l’article 8, paragraphe 2, point b) v), vi) et vii);
  4. fixent des délais pour l’installation des correctifs et mises à jour logiciels et matériels, ainsi que des procédures de remontée d’informations lorsque ces délais ne peuvent pas être respectés.