Beta

Source: OJ L, 2024/1774, 25.6.2024

Current language: FR

Article 24 Composantes de la politique de continuité des activités de TIC

    1. Les entités financières incluent dans leur politique de continuité des activités de TIC visée à l’article 11, paragraphe 1, du règlement (UE) 2022/2554 l’ensemble des éléments suivants:

      1. une description:

        1. des objectifs de la politique de continuité des activités de TIC, notamment l’interaction entre la continuité des activités de TIC et la continuité globale des activités, en tenant compte des résultats de l’analyse des incidences sur les activités visée à l’article 11, paragraphe 5, du règlement (UE) 2022/2554;

        2. du champ d’application des dispositifs, plans, procédures et mécanismes de continuité des activités de TIC, y compris des limitations et exclusions;

        3. de la période de temps à couvrir par les dispositifs, plans, procédures et mécanismes de continuité des activités de TIC;

        4. des critères d’activation et de désactivation des plans de continuité des activités de TIC, des plans de réponse et de rétablissement des TIC, ainsi que des plans de communication en situation de crise;

      2. des dispositions concernant:

        1. la gouvernance et l’organisation nécessaires à la mise en œuvre de la politique de continuité des activités de TIC, y compris les rôles, les responsabilités et les procédures de remontée des informations, en veillant à ce que des ressources suffisantes soient disponibles;

        2. l’alignement entre les plans de continuité des activités de TIC et les plans globaux de continuité des activités, en ce qui concerne au moins l’ensemble des éléments suivants:

          1. les scénarios de défaillance potentielle, notamment les scénarios visés à l’article 26, paragraphe 2, du présent règlement;

          2. les objectifs de rétablissement, en précisant que l’entité financière doit être en mesure de rétablir les opérations de ses fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; après des perturbations en respectant un objectif en matière de délai de rétablissement et un objectif en matière de point de rétablissement;

        3. l’élaboration de plans de continuité des activités de TIC en cas de graves perturbations des activités dans le cadre de ces plans, et la hiérarchisation des mesures de continuité des activités de TIC selon une approche fondée sur les risques;

        4. l’élaboration, le test et l’examen des plans de réponse et de rétablissement des TIC, conformément aux articles 25 et 26 du présent règlement;

        5. l’examen de l’efficacité des dispositifs, plans, procédures et mécanismes de continuité des activités de TIC mis en œuvre, conformément à l’article 26 du présent règlement;

        6. l’alignement de la politique de continuité des activités de TIC sur:

          1. la politique de communication visée à l’article 14, paragraphe 2, du règlement (UE) 2022/2554;

          2. les mesures de communication et de communication de crise visées à l’article 11, paragraphe 2, point e), du règlement (UE) 2022/2554.

    1. En plus de respecter les exigences prévues au paragraphe 1, les contreparties centrales: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) no 648/2012; veillent à ce que leur politique de continuité des activités de TIC:

      1. prévoie, pour leurs fonctions critiques, un délai de rétablissement maximal ne dépassant pas deux heures;

      2. tienne compte des liens extérieurs et des interdépendances au sein des infrastructures financières, y compris les plates-formes de négociation compensées par la contrepartie centrale: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) no 648/2012;, les systèmes de règlement et de paiement des opérations sur titres, et les établissements de crédit utilisés par la contrepartie centrale: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) no 648/2012; ou par une contrepartie centrale: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) no 648/2012; à laquelle elle est liée;

      3. exige la mise en place de dispositifs pour:

        1. assurer la continuité des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; de la contrepartie centrale: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) no 648/2012; sur la base de scénarios de sinistres;

        2. maintenir un site de traitement secondaire capable d’assurer la continuité des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; de la même manière que le site primaire;

        3. maintenir ou avoir un accès immédiat à un site opérationnel secondaire permettant au personnel d’assurer la continuité du service si le site opérationnel principal n’est pas disponible;

        4. évaluer la nécessité de mettre en place des sites de traitement supplémentaires, en particulier lorsque la diversité des profils de risque des sites primaire et secondaire ne permet pas de garantir avec suffisamment de certitude que les objectifs de continuité des activités de la contrepartie centrale: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) no 648/2012; seront atteints dans tous les cas de figure.

    2. Aux fins du point a), les contreparties centrales: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) no 648/2012; finalisent les procédures et les paiements de fin de journée à l’heure et à la date requises, et cela en toutes circonstances.

    3. Aux fins du point c) i), les dispositifs visés audit point garantissent la disponibilité de ressources humaines adéquates, une durée maximale d’indisponibilité des fonctions critiques ainsi qu’un transfert automatique et une reprise des activités sur un site secondaire.

    4. Aux fins du point c) ii), le site secondaire de traitement visé audit point présente un profil de risque géographique distinct de celui du site primaire.

    1. En plus de respecter les exigences prévues au paragraphe 1, les dépositaires centraux de titres veillent à ce que leur politique de continuité des activités de TIC:

      1. tienne compte des liens et interdépendances avec les utilisateurs, les prestataires de services et fournisseurs de services de réseau essentiels, les autres dépositaires centraux de titres et les autres infrastructures de marché;

      2. exige que ses dispositifs de continuité des activités de TIC garantissent que l’objectif en matière de délai de rétablissement des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; ne dépasse pas deux heures.

    1. En plus de respecter les exigences prévues au paragraphe 1, les plates-formes de négociation veillent à ce que leur politique de continuité des activités de TIC garantisse:

      1. qu’après un incident perturbateur, la négociation peut reprendre dans les deux heures, ou dans un délai proche de deux heures;

      2. que la quantité maximale de données susceptibles d’être perdues par un service informatique de la plate-forme de négociation: une plate-forme de négociation au sens de l’article 4, paragraphe 1, point 24), de la directive 2014/65/UE; après un incident perturbateur est proche de zéro.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod