Article 15 Gestion des projets de TIC

Afin de gérer les progrès rapides des environnements TIC, les entités financières visées au titre II du présent règlement devraient mettre en œuvre de solides politiques et procédures de gestion des projets TIC afin de préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données. Ces politiques et procédures de gestion de projets TIC devraient identifier les éléments nécessaires pour bien gérer ces projets, notamment les modifications et acquisitions de systèmes de TIC par l’entité financière, ainsi que la maintenance et l’évolution de ces systèmes quelle que soit la méthode de gestion de projets TIC choisie par cette dernière. Dans le cadre de ces politiques et procédures, les entités financières devraient adopter des pratiques et des méthodes de test qui répondent à leurs besoins, tout en respectant une approche fondée sur les risques et en veillant au maintien d’un environnement TIC sûr, fiable et résilient. Afin de garantir la mise en œuvre en toute sécurité d’un projet de TIC, les entités financières devraient veiller à ce que le personnel chargé des différents secteurs d’activité ou rôles influencés ou concernés par ce projet puisse fournir les informations et l’expertise nécessaires. Afin d’assurer une surveillance efficace, les rapports sur les projets TIC, en particulier sur les projets touchant des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; et sur les risques qui y sont associés, devraient être soumis à l’organe de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(31) Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32)., de l’article 2, paragraphe 1, point 45), du règlement (UE) no 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;. Les entités financières devraient adapter la fréquence et le détail des examens et rapports systématiques et continus à l’importance et à la taille des projets TIC concernés.