Beta

Source: OJ L, 2024/1774, 25.6.2024

Current language: FR

Article 23 Détection des activités anormales et critères pour la détection des incidents liés aux TIC et la réponse à ces incidents

    1. Les entités financières définissent clairement les rôles et les responsabilités pour ce qui est de détecter efficacement les incidents liés aux TIC et les activités anormales et d’y répondre.

    1. Le mécanisme permettant de détecter rapidement les activités anormales, y compris les problèmes de performance des réseaux de TIC et les incidents liés aux TIC, visé à l’article 10, paragraphe 1, du règlement (UE) 2022/2554, permet aux entités financières:

      1. de collecter, suivre et analyser l’ensemble des éléments suivants:

        1. les facteurs internes et externes, y compris au moins les journaux collectés conformément à l’article 12 du présent règlement, les informations provenant des fonctions «métiers» et des fonctions TIC, et tout problème signalé par les utilisateurs de l’entité financière;

        2. les cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; potentielles internes et externes, en tenant compte des scénarios couramment utilisés par les acteurs de la menace et des scénarios fondés sur les activités de renseignement sur les menaces;

        3. les notifications, par un prestataire tiers de services TIC: une entreprise qui fournit des services TIC; de l’entité financière, d’incidents liés aux TIC détectés dans les systèmes et réseaux de TIC du prestataire tiers de services TIC: une entreprise qui fournit des services TIC; et susceptibles d’affecter l’entité financière;

      2. d’identifier les activités et les comportements anormaux et de mettre en œuvre des outils générant des alertes pour les activités et comportements anormaux, au moins pour les actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; et les actifs informationnels: un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection; qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;;

      3. de hiérarchiser les alertes visées au point b) afin de permettre que les incidents liés aux TIC détectés soient gérés dans le délai de résolution prévu, tel que spécifié par les entités financières, tant pendant les heures de travail qu’en dehors de celles-ci;

      4. d’enregistrer, analyser et évaluer, automatiquement ou manuellement, toutes les informations pertinentes sur l’ensemble des activités et comportements anormaux.

    2. Aux fins du point b), les outils visés audit point comprennent des outils qui fournissent des alertes automatisées selon des règles prédéfinies afin de détecter les anomalies affectant l’exhaustivité et l’intégrité des sources de données ou de la collecte de journaux.

    1. Les entités financières protègent tout enregistrement d’activités anormales contre toute falsification et tout accès non autorisé au repos, en transit et, le cas échéant, en cours d’utilisation.

    1. Les entités financières journalisent, pour chaque activité anormale détectée, toutes les informations pertinentes permettant:

      1. de déterminer la date et l’heure de survenance de l’activité anormale;

      2. de déterminer la date et l’heure de détection de l’activité anormale;

      3. de déterminer le type d’activité anormale.

    1. Pour déclencher les processus de détection des incidents liés aux TIC et de réponse à ces incidents visés à l’article 10, paragraphe 2, du règlement (UE) 2022/2554, les entités financières tiennent compte de l’ensemble des critères suivants:

      1. des éléments indiquant qu’une activité malveillante est susceptible d’avoir été menée dans un système ou un réseau de TIC, ou que ce système ou réseau de TIC est susceptible d’avoir été compromis;

      2. des pertes de données détectées en lien avec la disponibilité, l’authenticité, l’intégrité et la confidentialité des données;

      3. une incidence négative détectée sur les transactions et opérations de l’entité financière;

      4. l’indisponibilité des systèmes et réseaux de TIC.

    1. Aux fins du paragraphe 5, les entités financières tiennent également compte de la criticité des services affectés.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod