Beta

Source: OJ L, 2024/1774, 25.6.2024

Current language: FR

Article 26 Plans de réponse et de rétablissement des TIC

    1. Lorsqu’elles élaborent les plans de réponse et de rétablissement des TIC visés à l’article 11, paragraphe 3, du règlement (UE) 2022/2554, les entités financières tiennent compte des résultats de l’analyse des incidences sur les activités de l’entité financière. Ces plans de réponse et de rétablissement des TIC:

      1. définissent les conditions qui déclenchent leur activation ou désactivation, ainsi que toute exception à cette activation ou désactivation;

      2. décrivent les mesures à prendre pour garantir la disponibilité, l’intégrité, la continuité et le rétablissement au moins des systèmes et services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; de l’entité financière;

      3. sont conçus pour atteindre les objectifs de rétablissement des opérations des entités financières;

      4. sont documentés et mis à la disposition du personnel participant à l’exécution des plans de réponse et de rétablissement des TIC et sont facilement accessibles en cas d’urgence;

      5. prévoient des options de rétablissement à court et à long terme, y compris de rétablissement partiel des systèmes;

      6. définissent les objectifs des plans de réponse et de rétablissement des TIC et les conditions permettant de déclarer que ces plans ont été exécutés avec succès.

    2. Aux fins du point d), les entités financières précisent clairement les rôles et responsabilités.

    1. Les plans de réponse et de rétablissement des TIC visés au paragraphe 1 recensent les scénarios pertinents, y compris les scénarios de graves perturbations des activités et de probabilité accrue de survenance d’une perturbation. Ces plans établissent des scénarios fondés sur les informations actuelles sur les menaces et sur les enseignements tirés des perturbations des activités survenues antérieurement. Les entités financières tiennent dûment compte de tous les scénarios suivants:

      1. des cyberattaques: un incident lié aux TIC malveillant causé par une tentative de destruction, d’exposition, de modification, de désactivation, de vol, d’utilisation non autorisée d’un actif ou d’accès non autorisé à celui-ci, perpétrée par un acteur de la menace; et des basculements entre l’infrastructure de TIC principale et la capacité redondante, les sauvegardes et les installations redondantes;

      2. les scénarios dans lesquels la qualité de l’exécution d’une fonction critique ou importante: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; se détériore à un niveau inacceptable, en prenant alors dûment en considération les incidences potentielles de l’insolvabilité ou d’autres défaillances de tout prestataire tiers de services TIC: une entreprise qui fournit des services TIC; concerné;

      3. la défaillance partielle ou totale des locaux, notamment des locaux de bureau et des locaux commerciaux, et des centres de données;

      4. une défaillance substantielle des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; ou de l’infrastructure de communication;

      5. l’indisponibilité d’un nombre critique de membres du personnel ou de personnes chargées de garantir la continuité des opérations;

      6. les incidences des événements liés au changement climatique et à la dégradation de l’environnement, des catastrophes naturelles, des pandémies et des attaques physiques, y compris des intrusions et des attentats terroristes;

      7. les attaques internes;

      8. l’instabilité politique et sociale, y compris, le cas échéant, dans la juridiction du prestataire tiers de services TIC: une entreprise qui fournit des services TIC; et à l’endroit où les données sont stockées et traitées;

      9. les coupures de courant à une grande échelle.

    1. Lorsque les mesures de rétablissement primaires sont susceptibles de ne pas être réalisables à court terme en raison des coûts, des risques, de problèmes logistiques ou de circonstances imprévues, les plans de réponse et de rétablissement des TIC visés au paragraphe 1 envisagent d’autres options.

    1. Dans le cadre des plans de réponse et de rétablissement des TIC visés au paragraphe 1, les entités financières étudient et mettent en œuvre des mesures de continuité pour atténuer les conséquences des défaillances des prestataires tiers de services TIC: une entreprise qui fournit des services TIC; qui fournissent des services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; à l’appui de fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; de l’entité financière.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod