Beta

Source: OJ L, 2024/1774, 25.6.2024

Current language: FR

Article 2 Éléments généraux des politiques, procédures, protocoles et outils de sécurité des TIC

    1. Les entités financières veillent à ce que leurs politiques de sécurité des TIC, la sécurité de l’information et les procédures, protocoles et outils y afférents visés à l’article 9, paragraphe 2, du règlement (UE) 2022/2554 soient intégrés dans leur cadre de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;. Les entités financières établissent les politiques, procédures, protocoles et outils de sécurité des TIC prévus au présent chapitre qui:

      1. garantissent la sécurité des réseaux;

      2. comportent des garanties contre les intrusions et les utilisations abusives des données;

      3. préservent la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, y compris en recourant à des techniques cryptographiques;

      4. garantissent une transmission précise et rapide des données sans perturbation majeure et sans retard injustifié.

    1. Les entités financières veillent à ce que les politiques de sécurité des TIC visées au paragraphe 1:

      1. soient alignées sur les objectifs de l’entité financière en matière de sécurité de l’information définis dans la stratégie de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; visée à l’article 6, paragraphe 8, du règlement (UE) 2022/2554;

      2. indiquent la date de l’approbation formelle des politiques de sécurité des TIC par l’organe de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(^31^), de l’article 2, paragraphe 1, point 45), du règlement (UE) no 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32).;

      3. contiennent des indicateurs et des mesures pour:

        1. suivre la mise en œuvre des politiques, procédures, protocoles et outils de sécurité des TIC;

        2. enregistrer les exceptions à cette mise en œuvre;

        3. veiller à ce que la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; de l’entité financière soit assurée en cas d’exceptions visées au point ii);

      4. précisent les responsabilités du personnel à tous les niveaux afin d’assurer la sécurité des TIC de l’entité financière;

      5. précisent les conséquences du non-respect, par le personnel de l’entité financière, des politiques de sécurité des TIC, lorsque des dispositions à cet effet ne sont pas prévues dans d’autres politiques de l’entité financière;

      6. répertorient les documents à tenir à jour;

      7. précisent les modalités de séparation des fonctions dans le cadre du modèle reposant sur trois lignes de défense ou d’un autre modèle interne de gestion et de contrôle des risques, selon le cas, afin d’éviter les conflits d’intérêts;

      8. tiennent compte des pratiques de pointe et, le cas échéant, des normes telles que définies à l’article 2, point 1), du règlement (UE) no 1025/2012;

      9. définissent les rôles et les responsabilités en ce qui concerne l’élaboration, la mise en œuvre et la maintenance des politiques, procédures, protocoles et outils de sécurité des TIC;

      10. soient réexaminées conformément à l’article 6, paragraphe 5, du règlement (UE) 2022/2554;

      11. tiennent compte des changements importants concernant l’entité financière, notamment des changements importants intervenant dans ses activités ou processus, dans l’éventail des cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; ou dans les obligations légales applicables.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod