Source: OJ L, 2024/1774, 25.6.2024Current language: FR
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Article 2 Éléments généraux des politiques, procédures, protocoles et outils de sécurité des TIC
Les entités financières veillent à ce que leurs politiques de sécurité des TIC, la sécurité de l’information et les procédures, protocoles et outils y afférents visés à l’article 9, paragraphe 2, du règlement (UE) 2022/2554 soient intégrés dans leur cadre de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;. Les entités financières établissent les politiques, procédures, protocoles et outils de sécurité des TIC prévus au présent chapitre qui:
garantissent la sécurité des réseaux;
comportent des garanties contre les intrusions et les utilisations abusives des données;
préservent la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, y compris en recourant à des techniques cryptographiques;
garantissent une transmission précise et rapide des données sans perturbation majeure et sans retard injustifié.
Les entités financières veillent à ce que les politiques de sécurité des TIC visées au paragraphe 1:
soient alignées sur les objectifs de l’entité financière en matière de sécurité de l’information définis dans la stratégie de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; visée à l’article 6, paragraphe 8, du règlement (UE) 2022/2554;
indiquent la date de l’approbation formelle des politiques de sécurité des TIC par l’organe de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(31) Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32)., de l’article 2, paragraphe 1, point 45), du règlement (UE) no 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;;
contiennent des indicateurs et des mesures pour:
suivre la mise en œuvre des politiques, procédures, protocoles et outils de sécurité des TIC;
enregistrer les exceptions à cette mise en œuvre;
veiller à ce que la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; de l’entité financière soit assurée en cas d’exceptions visées au point ii);
précisent les responsabilités du personnel à tous les niveaux afin d’assurer la sécurité des TIC de l’entité financière;
précisent les conséquences du non-respect, par le personnel de l’entité financière, des politiques de sécurité des TIC, lorsque des dispositions à cet effet ne sont pas prévues dans d’autres politiques de l’entité financière;
répertorient les documents à tenir à jour;
précisent les modalités de séparation des fonctions dans le cadre du modèle reposant sur trois lignes de défense ou d’un autre modèle interne de gestion et de contrôle des risques, selon le cas, afin d’éviter les conflits d’intérêts;
tiennent compte des pratiques de pointe et, le cas échéant, des normes telles que définies à l’article 2, point 1), du règlement (UE) no 1025/2012;
définissent les rôles et les responsabilités en ce qui concerne l’élaboration, la mise en œuvre et la maintenance des politiques, procédures, protocoles et outils de sécurité des TIC;
soient réexaminées conformément à l’article 6, paragraphe 5, du règlement (UE) 2022/2554;
tiennent compte des changements importants concernant l’entité financière, notamment des changements importants intervenant dans ses activités ou processus, dans l’éventail des cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; ou dans les obligations légales applicables.
Relevant recitals
Considérant 2 Flexibility in documentation requirements compliance
Pour la même raison, les entités financières soumises au règlement (UE) 2022/2554 devraient disposer d’une certaine souplesse dans la manière de se conformer aux exigences concernant les politiques, procédures, protocoles et outils de sécurité des TIC et à un éventuel cadre simplifié de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;. C’est pourquoi elles devraient être autorisées à utiliser tout document dont elles disposent déjà pour se conformer aux obligations de documentation découlant de ces exigences. Il s’ensuit que l’élaboration, la documentation et la mise en œuvre de politiques spécifiques en matière de sécurité des TIC ne devraient être requises que pour certains éléments essentiels, en tenant compte, entre autres, des pratiques de pointe du secteur et des normes applicables. En outre, il est nécessaire d’élaborer, de documenter et de mettre en œuvre des procédures de sécurité des TIC couvrant des aspects spécifiques de la mise en œuvre technique, notamment la gestion des capacités et des performances, la gestion de la vulnérabilité: une faiblesse, une susceptibilité ou un défaut d’un actif, d’un système, d’un processus ou d’un contrôle qui peuvent être exploités; et des correctifs, la sécurité des données et des systèmes, et la journalisation.
Considérant 3 Importance of roles, responsibilities and non-compliance consequences
Afin de garantir la mise en œuvre correcte, sur la durée, des politiques, procédures, protocoles et outils de sécurité des TIC visés au titre II, chapitre I, du présent règlement, il importe que les entités financières attribuent correctement et maintiennent tous les rôles et responsabilités liés à la sécurité des TIC, et qu’elles définissent les conséquences du non-respect des politiques ou procédures en matière de sécurité des TIC.
Considérant 4 Avoid conflicts of interests
Afin de limiter le risque de conflits d’intérêts, les entités financières devraient veiller à la séparation des tâches lors de l’attribution de rôles et de responsabilités dans le domaine des TIC.
Considérant 5 Flexibility in provisions for non-compliance consequences
Dans un souci de souplesse et pour simplifier le cadre de contrôle des entités financières, ces dernières ne devraient pas être tenues d’élaborer des dispositions spécifiques sur les conséquences du non-respect des politiques, procédures et protocoles de sécurité des TIC visés au titre II, chapitre I, du présent règlement si de telles dispositions sont déjà prévues dans une autre politique ou procédure.
Considérant 6 Standards-based ICT security policies
Dans un environnement dynamique où les risques liés aux TIC évoluent constamment, il importe que les entités financières élaborent l’ensemble de leurs politiques de sécurité des TIC sur la base de pratiques de pointe et, le cas échéant, de normes telles que définies à l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(2)Règlement (UE) no 1025/2012 du Parlement européen et du Conseil du 25 octobre 2012 relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du 14.11.2012, p. 12, ELI: http://data.europa.eu/eli/reg/2012/1025/oj).. Cela devrait permettre aux entités financières visées au titre II du présent règlement de rester informées et préparées dans un contexte appelé à évoluer.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.