Art. 15 Gestion des projets de TIC | RTS on ICT risk management framework | DORA

1. Dans le cadre des garanties visant à préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, les entités financières élaborent, documentent et mettent en œuvre une politique de gestion des projets de TIC.
1. La politique de gestion des projets de TIC visée au paragraphe 1 précise les éléments qui garantissent la gestion efficace des projets de TIC liés à l’acquisition, à la maintenance et, le cas échéant, au développement des systèmes de TIC de l’entité financière.
1. La politique de gestion des projets de TIC visée au paragraphe 1 comporte l’ensemble des éléments suivants:
  1. les objectifs des projets de TIC;
  2. la gouvernance des projets de TIC, notamment les rôles et responsabilités;
  3. la planification, le calendrier et les étapes des projets de TIC;
  4. l’évaluation des risques liés aux projets de TIC;
  5. les jalons pertinents;
  6. les exigences en matière de gestion des changements;
  7. les tests de toutes les exigences, notamment des exigences de sécurité, et le processus d’approbation correspondant lors du déploiement d’un système de TIC dans l’environnement de production.
1. La politique de gestion des projets de TIC visée au paragraphe 1 garantit la sécurité de la mise en œuvre des projets de TIC grâce à la fourniture des informations et de l’expertise nécessaires par le domaine d’activité ou les fonctions concernées par les projets de TIC.
1. Conformément à l’évaluation des risques liés aux projets de TIC visée au paragraphe 3, point d), la politique de gestion des projets de TIC visée au paragraphe 1 prévoit que la mise en place de projets de TIC ayant une incidence sur les fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; de l’entité financière, l’avancement de ces projets et les risques qui y sont associés sont notifiés à l’organe de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(^31^), de l’article 2, paragraphe 1, point 45), du règlement (UE) n^o 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32). comme suit:
  1. individuellement ou de façon groupmeans a group as defined in Article 2, point (11), of Directive 2013/34/EU;ée, en fonction de l’importance et de la taille des projets de TIC;
  2. périodiquement et, si nécessaire, chaque fois qu’un évènement l’exige.