Source: OJ L, 2024/1774, 25.6.2024
Current language: FR
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Article 11 Sécurité des données et des systèmes
Dans le cadre des politiques, procédures, protocoles et outils de sécurité des TIC visés à l’article 9, paragraphe 2, du règlement (UE) 2022/2554, les entités financières élaborent, documentent et mettent en œuvre une procédure de sécurité des données et des systèmes.
La procédure de sécurité des données et des systèmes visée au paragraphe 1 contient tous les éléments suivants relatifs à la sécurité des données et des systèmes de TIC, conformément à la classification établie en application de l’article 8, paragraphe 1, du règlement (UE) 2022/2554:
les restrictions d’accès, visées à l’article 21 du présent règlement, appuyant les exigences de protection prévues pour chaque niveau de classification;
l’identification d’une configuration sécurisée de référence pour les actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; qui réduise à un minimum l’exposition de ces actifs aux cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;, et des mesures visant à vérifier régulièrement que ces références sont effectivement déployées;
la définition de mesures de sécurité visant à garantir que seuls des logiciels autorisés sont installés dans les systèmes de TIC et les périphériques de point de terminaison;
la définition de mesures de sécurité contre les codes malveillants;
la définition de mesures de sécurité visant à garantir que seuls des supports de stockage de données, des systèmes et des périphériques de point de terminaison autorisés sont utilisés pour transférer et stocker les données de l’entité financière;
les exigences suivantes, pour sécuriser l’utilisation de périphériques de point de terminaison portables et de périphériques de point de terminaison non portables privés:
l’obligation d’utiliser une solution de gestion qui permet de gérer à distance les périphériques de point de terminaison et d’effacer à distance les données de l’entité financière;
l’obligation d’utiliser des mécanismes de sécurité qui ne peuvent pas être modifiés, supprimés ou contournés sans autorisation par des membres du personnel ou par des prestataires tiers de services TIC;
l’obligation de n’utiliser des dispositifs de stockage de données amovibles que lorsque le risque résiduel lié aux TIC reste dans les limites du niveau de tolérance au risque de l’entité financière visé à l’article 3, premier alinéa, point a);
le processus d’effacement sécurisé des données, présentes dans les locaux de l’entité financière ou stockées à l’extérieur, que l’entité financière n’a plus besoin de collecter ou de stocker;
le processus d’élimination ou de déclassement en toute sécurité des dispositifs de stockage de données, présents dans les locaux de l’entité financière ou stockés à l’extérieur, qui contiennent des informations confidentielles;
la définition et la mise en œuvre, pour les systèmes et les périphériques de point de terminaison, de mesures de sécurité visant à prévenir la perte et la fuite de données;
la mise en œuvre de mesures de sécurité visant à garantir que le télétravail et l’utilisation de périphériques de point de terminaison privés n’aient pas d’incidence négative sur la sécurité des TIC de l’entité financière;
pour les actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; ou les services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; exploités par un prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, la définition et la mise en œuvre d’exigences visant à maintenir la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations;, conformément aux résultats de la classification des données et de l’évaluation du risque lié aux TIC.
La configuration sécurisée de référence visée au point b) tient compte, aux fins dudit point, des pratiques de pointe et des techniques appropriées définies dans les normes visées à l’article 2, point 1), du règlement (UE) no 1025/2012.
Aux fins du point k), les entités financières prennent en considération les éléments suivants:
l’application de paramètres recommandés par le vendeur aux éléments exploités par l’entité financière;
une attribution claire des rôles et des responsabilités en matière de sécurité de l’information entre l’entité financière et le prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, conformément au principe, défini à l’article 28, paragraphe 1, point a), du règlement (UE) 2022/2554, selon lequel l’entité financière est pleinement responsable de son prestataire tiers de services TIC: une entreprise qui fournit des services TIC;, et conformément à la politique de l’entité financière relative à l’utilisation de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;, pour les entités financières visées à l’article 28, paragraphe 2, dudit règlement;
la nécessité de garantir et de maintenir des compétences adéquates au sein de l’entité financière en matière de gestion et de sécurité du service utilisé;
des mesures techniques et organisationnelles visant à réduire à un minimum les risques liés à l’infrastructure utilisée par le prestataire tiers de services TIC: une entreprise qui fournit des services TIC; pour ses services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels;, compte tenu des pratiques de pointe et des normes telles que définies à l’article 2, point 1), du règlement (UE) no 1025/2012.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.