Source: OJ L, 2024/1774, 25.6.2024
Current language: FR
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Article 13 Gestion de la sécurité des réseaux
Dans le cadre des garanties de sécurité des réseaux contre les intrusions et l’utilisation abusive de données, les entités financières élaborent, documentent et mettent en œuvre des politiques, des procédures, des protocoles et des outils de gestion de la sécurité des réseaux comprenant l’ensemble des éléments suivants:
la séparation et la segmentation des systèmes et réseaux de TIC, compte tenu:
de la criticité ou de l’importance de la fonction que soutiennent ces systèmes et réseaux de TIC;
de la classification établie conformément à l’article 8, paragraphe 1, du règlement (UE) 2022/2554;
du profil de risque global des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; qui utilisent ces systèmes et réseaux de TIC;
la documentation de l’ensemble des connexions réseau et des flux de données de l’entité financière;
l’utilisation d’un réseau distinct et spécifique pour l’administration des actifs de TIC;
la définition et la mise en œuvre de contrôles d’accès au réseau afin de prévenir et de détecter les connexions au réseau de l’entité financière à partir de tout appareil ou système non autorisé, ou de tout point de terminaison ne répondant pas aux exigences de l’entité financière en matière de sécurité;
le chiffrement des connexions au réseau transitant par des réseaux d’entreprise, des réseaux publics, des réseaux nationaux, des réseaux tiers et des réseaux sans fil, pour les protocoles de communication utilisés, en tenant compte des résultats de la classification de données approuvée, des résultats de l’évaluation du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; et du chiffrement des connexions au réseau prévu par l’article 6, paragraphe 2;
une conception du réseau conforme aux exigences en matière de sécurité des TIC définies par l’entité financière, tenant compte des pratiques de pointe afin de garantir la confidentialité, l’intégrité et la disponibilité du réseau;
la sécurisation du trafic entre les réseaux internes et l’internet et d’autres connexions externes;
la définition des rôles et responsabilités et des étapes de la spécification, de la mise en œuvre, de l’approbation, de la modification et du réexamen des règles de pare-feu et des filtres de connexion;
la réalisation d’examens de l’architecture du réseau et de la conception de la sécurité du réseau une fois par an, et périodiquement pour les microentreprises: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros;, afin de détecter les s potentielles;
des mesures visant à isoler temporairement, si nécessaire, les sous-réseaux et les composants et dispositifs de réseau;
la mise en œuvre d’une configuration sécurisée de référence incluant tous les composants du réseau, et le renforcement du réseau et des dispositifs de réseau conformément aux éventuelles instructions du vendeur, aux normes telles que définies à l’article 2, point 1), du règlement (UE) no 1025/2012, le cas échéant, et aux pratiques de pointe;
les procédures de limitation, de verrouillage et d’arrêt du système et des sessions à distance après une période déterminée d’inactivité;
pour les accords de services de réseau:
l’indication et la spécification des mesures de sécurité des TIC et de l’information, des niveaux de service et des exigences en matière de gestion de tous les services de réseau;
une indication précisant si ces services sont fournis par un prestataire intra-groupe de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; ou par des prestataires tiers de services TIC.
Aux fins du point h), les entités financières procèdent à un réexamen régulier des règles de pare-feu et des filtres de connexion, conformément à la classification établie en application de l’article 8, paragraphe 1, du règlement (UE) 2022/2554 et au profil de risque global des systèmes de TIC concernés. Pour les systèmes de TIC qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;, les entités financières vérifient l’adéquation des règles de pare-feu et des filtres de connexion existants au moins tous les six mois.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.