Beta

Source: OJ L, 2024/1774, 25.6.2024

Current language: FR

Article 25 Tests des plans de continuité des activités de TIC

    1. Lorsqu’elles testent les plans de continuité des activités de TIC conformément à l’article 11, paragraphe 6, du règlement (UE) 2022/2554, les entités financières tiennent compte de l’analyse des incidences sur les activités de l’entité financière et de l’évaluation du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; visée à l’article 3, premier alinéa, point b), du présent règlement.

    1. Les entités financières évaluent, au moyen des tests de leurs plans de continuité des activités de TIC visés au paragraphe 1, si elles sont en mesure d’assurer la continuité de leurs fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;. Ces tests:

      1. sont réalisés sur la base de scénarios de test simulant des perturbations potentielles, y compris un ensemble adéquat de scénarios graves mais plausibles;

      2. comprennent, le cas échéant, des tests des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; fournis par des prestataires tiers de services TIC;

      3. pour les entités financières, autres que les microentreprises: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros;, visées à l’article 11, paragraphe 6, deuxième alinéa, du règlement (UE) 2022/2554, comprennent des scénarios de basculement entre l’infrastructure de TIC principale et la capacité redondante, les sauvegardes et les installations redondantes;

      4. sont conçus pour éprouver les hypothèses sur lesquelles se fondent les plans de continuité des activités, y compris les dispositifs de gouvernance et les plans de communication en situation de crise;

      5. comportent des procédures visant à vérifier la capacité du personnel des entités financières, des prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, des systèmes de TIC et des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; à répondre de manière adéquate aux scénarios dûment pris en considération conformément à l’article 26, paragraphe 2.

    2. Aux fins du point a), les entités financières incluent toujours dans les tests les scénarios envisagés pour l’élaboration des plans de continuité des activités.

    3. Aux fins du point b), les entités financières tiennent dûment compte des scénarios liés à l’insolvabilité ou aux défaillances des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; ou aux risques politiques dans les juridictions des prestataires tiers de services TIC: une entreprise qui fournit des services TIC;, le cas échéant.

    4. Aux fins du point c), les tests permettent de vérifier si au moins les fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; peuvent être exercées de manière appropriée pendant une durée suffisante et si le fonctionnement normal peut être rétabli.

    1. En plus de respecter les exigences prévues au paragraphe 2, les contreparties centrales: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) no 648/2012; associent aux tests de leurs plans de continuité des activités de TIC visés au paragraphe 1:

      1. les membres compensateurs;

      2. les prestataires externes;

      3. les établissements de l’infrastructure financière avec lesquels les contreparties centrales: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) no 648/2012; ont constaté des interdépendances dans le cadre de leur politique de continuité des activités.

    1. En plus de respecter les exigences prévues au paragraphe 2, les dépositaires centraux de titres associent, le cas échéant, aux tests de leurs plans de continuité des activités de TIC visés au paragraphe 1:

      1. les utilisateurs des dépositaires centraux de titres;

      2. les prestataires de services et fournisseurs de services de réseau essentiels;

      3. d’autres dépositaires centraux de titres;

      4. d’autres infrastructures de marché;

      5. d’autres établissements avec lesquels les dépositaires centraux de titres ont constaté des interdépendances dans le cadre de leur politique de continuité des activités.

    1. Les entités financières documentent les résultats des tests visés au paragraphe 1. Toute défaillance constatée à la suite de ces tests est analysée, traitée et notifiée à l’organe de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(^31^), de l’article 2, paragraphe 1, point 45), du règlement (UE) no 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32)..

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod