Art. 18 Sécurité physique et environnementale | RTS on ICT risk management framework | DORA

1. Dans le cadre des garanties visant à préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, les entités financières précisent, documentent et mettent en œuvre une politique de sécurité physique et environnementale. Les entités financières conçoivent cette politique à la lumière de l’éventail des cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;, conformément à la classification établie en application de l’article 8, paragraphe 1, du règlement (UE) 2022/2554, et à la lumière du profil de risque global des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; et des actifs informationnels: un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection; accessibles.
1. La politique de sécurité physique et environnementale visée au paragraphe 1 comporte l’ensemble des éléments suivants:
  1. une référence à la section de la politique relative au contrôle des droits de gestion des accès visé à l’article 21, premier alinéa, point g);
  2. des mesures de protection des locaux, des centres de données de l’entité financière et des zones sensibles désignées par l’entité financière, où se trouvent les actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; et les actifs informationnels: un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection;, contre les attaques, les accidents et les menaces et dangers environnementaux;
  3. des mesures visant à sécuriser les actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière;, tant à l’intérieur qu’à l’extérieur des locaux de l’entité financière, en tenant compte des résultats de l’évaluation du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; portant sur les actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; concernés;
  4. des mesures visant à garantir la disponibilité, l’authenticité, l’intégrité et la confidentialité des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière;, des actifs informationnels: un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection; et des dispositifs de contrôle de l’accès physique de l’entité financière grâce à une maintenance appropriée;
  5. des mesures visant à préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, notamment:
    
    une politique du bureau propre pour les documents;
    
    une politique de l’écran vide pour les installations de traitement de l’information.
2. Aux fins du point b), les mesures de protection contre les menaces et dangers environnementaux sont proportionnées à l’importance des locaux, des centres de données, des zones sensibles désignées et à la criticité des opérations ou des systèmes de TIC qui y sont situés.
3. Aux fins du point c), la politique de sécurité physique et environnementale visée au paragraphe 1 comporte des mesures visant à assurer une protection appropriée des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; laissés sans surveillance.