Source: OJ L, 2024/1774, 25.6.2024
Current language: FR
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Article 16 Acquisition, développement et maintenance des systèmes de TIC
Dans le cadre des garanties visant à préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, les entités financières élaborent, documentent et mettent en œuvre une politique régissant l’acquisition, le développement et la maintenance des systèmes de TIC. Cette politique:
identifie les pratiques en matière de sécurité et les méthodes relatives à l’acquisition, au développement et à la maintenance des systèmes de TIC;
exige l’identification:
des spécifications techniques et des spécifications techniques des TIC, au sens de l’article 2, points 4) et 5), du règlement (UE) no 1025/2012;
des exigences relatives à l’acquisition, au développement et à la maintenance des systèmes de TIC, en accordant une attention particulière aux exigences en matière de sécurité des TIC et à leur approbation par la fonction «métier» concernée et par le propriétaire des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; conformément aux dispositifs de gouvernance interne de l’entité financière;
précise les mesures visant à atténuer le risque d’altération involontaire ou de manipulation intentionnelle des systèmes de TIC lors du développement, de la maintenance et du déploiement de ces systèmes dans l’environnement de production.
Les entités financières élaborent, documentent et mettent en œuvre une procédure d’acquisition, de développement et de maintenance des systèmes de TIC pour les tests et l’approbation de tous les systèmes de TIC avant leur utilisation et après les opérations de maintenance, conformément à l’article 8, paragraphe 2, point b) v), vi) et vii). Le niveau des tests doit être proportionné à la criticité des procédures opérationnelles et des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; concernés. Les tests sont conçus pour permettre de vérifier que les nouveaux systèmes de TIC sont aptes à fonctionner comme prévu, ainsi que la qualité du logiciel développé en interne.
En plus de respecter les exigences prévues au premier alinéa, les contreparties centrales: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) no 648/2012; associent, s’il y a lieu, à la conception et à la conduite des tests visés au premier alinéa:
les membres compensateurs et leurs clients;
les contreparties centrales: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) no 648/2012; interopérables;
les autres parties intéressées.
En plus de respecter les exigences énoncées au premier alinéa, les dépositaires centraux de titres associent, s’il y a lieu, à la conception et à la conduite des tests visés au premier alinéa:
les utilisateurs;
les prestataires de services et fournisseurs de services de réseau essentiels;
d’autres dépositaires centraux de titres;
d’autres infrastructures de marché;
d’autres établissements avec lesquels les dépositaires centraux de titres ont constaté des interdépendances dans le cadre de leur politique de continuité des activités.
La procédure visée au paragraphe 2 comprend la réalisation d’examens du code source comprenant des tests aussi bien statiques que dynamiques. Ces tests comprennent des tests de sécurité pour les systèmes et applications exposés à l’internet conformément à l’article 8, paragraphe 2, point b) v), vi) et vii). Les entités financières:
identifient et analysent les s et les anomalies dans le code source;
adoptent un plan d’action pour remédier à ces s et anomalies;
suivent la mise en œuvre de ce plan d’action.
La procédure visée au paragraphe 2 comprend des tests de sécurité des progiciels au plus tard lors de la phase d’intégration, conformément à l’article 8, paragraphe 2, point b) v), vi) et vii).
La procédure visée au paragraphe 2 prévoit que:
les environnements hors production ne stockent que des données de production anonymisées, pseudonymisées ou randomisées;
les entités financières doivent protéger l’intégrité et la confidentialité des données dans les environnements hors production.
Par dérogation au paragraphe 5, la procédure visée au paragraphe 2 peut prévoir que les données de production ne sont stockées que pour des situations de test spécifiques, pendant des durées limitées, et après approbation par la fonction compétente et la notification de ces situations à la fonction de gestion du risque lié aux TIC.
La procédure visée au paragraphe 2 comprend la mise en œuvre de contrôles visant à protéger l’intégrité du code source des systèmes de TIC qui sont développés en interne ou développés par un prestataire tiers de services TIC: une entreprise qui fournit des services TIC; et fournis à l’entité financière par ce prestataire.
La procédure visée au paragraphe 2 prévoit que les logiciels propriétaires et, dans la mesure du possible, le code source fourni par des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; ou provenant de projets à code source ouvert doivent être analysés et testés conformément au paragraphe 3 avant leur déploiement dans l’environnement de production.
Les paragraphes 1 à 8 du présent article s’appliquent également aux systèmes de TIC développés ou gérés par des utilisateurs extérieurs à la fonction TIC, selon une approche fondée sur les risques.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.