Art. 16 Acquisition, développement et maintenance des systèmes de TIC | RTS on ICT risk management framework | DORA

1. Dans le cadre des garanties visant à préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, les entités financières élaborent, documentent et mettent en œuvre une politique régissant l’acquisition, le développement et la maintenance des systèmes de TIC. Cette politique:
  1. identifie les pratiques en matière de sécurité et les méthodes relatives à l’acquisition, au développement et à la maintenance des systèmes de TIC;
  2. exige l’identification:
    des spécifications techniques et des spécifications techniques des TIC, au sens de l’article 2, points 4) et 5), du règlement (UE) n^o 1025/2012;
    des exigences relatives à l’acquisition, au développement et à la maintenance des systèmes de TIC, en accordant une attention particulière aux exigences en matière de sécurité des TIC et à leur approbation par la fonction «métier» concernée et par le propriétaire des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; conformément aux dispositifs de gouvernance interne de l’entité financière;
  3. précise les mesures visant à atténuer le risque d’altération involontaire ou de manipulation intentionnelle des systèmes de TIC lors du développement, de la maintenance et du déploiement de ces systèmes dans l’environnement de production.
1. Les entités financières élaborent, documentent et mettent en œuvre une procédure d’acquisition, de développement et de maintenance des systèmes de TIC pour les tests et l’approbation de tous les systèmes de TIC avant leur utilisation et après les opérations de maintenance, conformément à l’article 8, paragraphe 2, point b) v), vi) et vii). Le niveau des tests doit être proportionné à la criticité des procédures opérationnelles et des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; concernés. Les tests sont conçus pour permettre de vérifier que les nouveaux systèmes de TIC sont aptes à fonctionner comme prévu, ainsi que la qualité du logiciel développé en interne.
2. En plus de respecter les exigences prévues au premier alinéa, les contreparties centrales: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) no 648/2012; associent, s’il y a lieu, à la conception et à la conduite des tests visés au premier alinéa:
  1. les membres compensateurs et leurs clients;
  2. les contreparties centrales: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) no 648/2012; interopérables;
  3. les autres parties intéressées.
3. En plus de respecter les exigences énoncées au premier alinéa, les dépositaires centraux de titres associent, s’il y a lieu, à la conception et à la conduite des tests visés au premier alinéa:
  1. les utilisateurs;
  2. les prestataires de services et fournisseurs de services de réseau essentiels;
  3. d’autres dépositaires centraux de titres;
  4. d’autres infrastructures de marché;
  5. d’autres établissements avec lesquels les dépositaires centraux de titres ont constaté des interdépendances dans le cadre de leur politique de continuité des activités.
1. La procédure visée au paragraphe 2 comprend la réalisation d’examens du code source comprenant des tests aussi bien statiques que dynamiques. Ces tests comprennent des tests de sécurité pour les systèmes et applications exposés à l’internet conformément à l’article 8, paragraphe 2, point b) v), vi) et vii). Les entités financières:
  1. identifient et analysent les vulnérabilités et les anomalies dans le code source;
  2. adoptent un plan d’action pour remédier à ces vulnérabilités et anomalies;
  3. suivent la mise en œuvre de ce plan d’action.
1. La procédure visée au paragraphe 2 comprend des tests de sécurité des progiciels au plus tard lors de la phase d’intégration, conformément à l’article 8, paragraphe 2, point b) v), vi) et vii).
1. La procédure visée au paragraphe 2 prévoit que:
  1. les environnements hors production ne stockent que des données de production anonymisées, pseudonymisées ou randomisées;
  2. les entités financières doivent protéger l’intégrité et la confidentialité des données dans les environnements hors production.
1. Par dérogation au paragraphe 5, la procédure visée au paragraphe 2 peut prévoir que les données de production ne sont stockées que pour des situations de test spécifiques, pendant des durées limitées, et après approbation par la fonction compétente et la notification de ces situations à la fonction de gestion du risque lié aux TIC.
1. La procédure visée au paragraphe 2 comprend la mise en œuvre de contrôles visant à protéger l’intégrité du code source des systèmes de TIC qui sont développés en interne ou développés par un prestataire tiers de services TIC: une entreprise qui fournit des services TIC; et fournis à l’entité financière par ce prestataire.
1. La procédure visée au paragraphe 2 prévoit que les logiciels propriétaires et, dans la mesure du possible, le code source fourni par des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; ou provenant de projets à code source ouvert doivent être analysés et testés conformément au paragraphe 3 avant leur déploiement dans l’environnement de production.
1. Les paragraphes 1 à 8 du présent article s’appliquent également aux systèmes de TIC développés ou gérés par des utilisateurs extérieurs à la fonction TIC, selon une approche fondée sur les risques.

Il est nécessaire de fixer des exigences en matière de risque opérationnel, et plus particulièrement en matière de gestion des projets TIC, de gestion des changements dans les TIC et de gestion de la continuité des activités de TIC, en s’appuyant sur les exigences qui s’appliquent déjà aux contreparties centrales: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) no 648/2012;, aux dépositaires centraux de titres et aux plates-formes de négociation en vertu, respectivement, des règlements (UE) n^o 648/2012(³)Règlement (UE) n^o 648/2012 du Parlement européen et du Conseil du 4 juillet 2012 sur les produits dérivés de gré à gré, les contreparties centrales et les référentiels centraux (JO L 201 du 27.7.2012, p. 1, ELI: http://data.europa.eu/eli/reg/2012/648/oj)., (UE) n^o 600/2014(⁴)Règlement (UE) n^o 600/2014 du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant le règlement (UE) n^o 648/2012 (JO L 173 du 12.6.2014, p. 84, ELI: http://data.europa.eu/eli/reg/2014/600/oj). et (UE) n^o 909/2014(⁵)Règlement (UE) n^o 909/2014 du Parlement européen et du Conseil du 23 juillet 2014 concernant l’amélioration du règlement de titres dans l’Union européenne et les dépositaires centraux de titres et modifiant les directives 98/26/CE et 2014/65/UE et le règlement (UE) n^o 236/2012 (JO L 257 du 28.8.2014, p. 1, ELI: http://data.europa.eu/eli/reg/2014/909/oj). du Parlement européen et du Conseil.

Article 16 Acquisition, développement et maintenance des systèmes de TIC

Relevant recitals