Beta

Source: OJ L, 2024/1774, 25.6.2024

Current language: FR

Article 27 Format et contenu du rapport sur le réexamen du cadre de gestion du risque lié aux TIC

    1. Les entités financières présentent le rapport sur le réexamen du cadre de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; visé à l’article 6, paragraphe 5, du règlement (UE) 2022/2554 dans un format électronique interrogeable.

    1. Les entités financières incluent l’ensemble des informations suivantes dans le rapport visé au paragraphe 1:

      1. une partie introductive qui:

        1. identifie clairement l’entité financière faisant l’objet du rapport et décrit sa structure de groupe: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE;, le cas échéant;

        2. décrit le contexte du rapport en ce qui concerne la nature, l’échelle et la complexité des services, activités et opérations de l’entité financière, son organisation, ses fonctions critiques recensées, sa stratégie, ses grands projets ou activités en cours, ses relations et sa dépendance à l’égard de services et systèmes de TIC internes ou sous-traités, ou les conséquences qu’une perte totale ou une dégradation grave de ces systèmes engendrerait en ce qui concerne les fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; et l’efficience du marché;

        3. résume les changements majeurs dont le cadre de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; a fait l’objet depuis le rapport précédent;

        4. présente une synthèse du profil de risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; actuel et à court terme, due l’éventail des menaces, de l’évaluation de l’efficacité de ses contrôles et de la posture de sécurité de l’entité financière;

      2. la date d’approbation du rapport par l’organe de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(^31^), de l’article 2, paragraphe 1, point 45), du règlement (UE) no 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32). de l’entité financière;

      3. une description de la raison du réexamen du cadre de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; engagé conformément à l’article 6, paragraphe 5, du règlement (UE) 2022/2554;

      4. les dates de début et de fin de la période examinée;

      5. l’indication de la fonction responsable du réexamen;

      6. une description des principales modifications et améliorations dont le cadre de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; a fait l’objet depuis le réexamen précédent;

      7. un résumé des conclusions du réexamen ainsi qu’une analyse et une évaluation détaillées de la gravité des faiblesses, des défaillances et des lacunes du cadre de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; au cours de la période examinée;

      8. une description des mesures prises face aux faiblesses, défaillances et lacunes constatées, comprenant l’ensemble des éléments suivants:

        1. un résumé des mesures prises pour remédier aux faiblesses, défaillances et lacunes constatées;

        2. une date prévue pour la mise en œuvre des mesures et des dates relatives au contrôle interne de la mise en œuvre, y compris des informations sur l’état d’avancement de la mise en œuvre de ces mesures à la date de rédaction du rapport, en expliquant, le cas échéant, s’il existe un risque que les délais ne soient pas respectés;

        3. les outils à utiliser et l’identification de la fonction responsable de l’exécution des mesures, en précisant si les outils et les fonctions sont internes ou externes;

        4. une description de l’incidence des modifications envisagées dans les mesures sur les ressources budgétaires, humaines et matérielles de l’entité financière, y compris sur les ressources consacrées à la mise en œuvre de toute mesure corrective;

        5. des informations sur le processus d’information de l’autorité compétente, le cas échéant;

        6. lorsque les faiblesses, défaillances ou lacunes recensées ne font pas l’objet de mesures correctives, une explication détaillée des critères appliqués pour analyser leur incidence et évaluer le risque résiduel lié aux TIC qui leur est associé, ainsi que des critères appliqués pour accepter ce risque résiduel;

      9. des informations sur les nouvelles évolutions prévues du cadre de gestion du risque lié aux TIC;

      10. les conclusions résultant du réexamen du cadre de gestion du risque lié aux TIC;

      11. des informations sur les réexamens antérieurs, comprenant:

        1. une liste des réexamens antérieurs;

        2. le cas échéant, un état d’avancement de la mise en œuvre des mesures correctives déterminées dans le dernier rapport;

        3. lorsque les mesures correctives proposées lors des réexamens précédents se sont révélées inefficaces ou ont créé des difficultés inattendues, une description de la manière dont ces mesures correctives pourraient être améliorées ou de ces difficultés imprévues;

      12. les sources d’information utilisées pour l’élaboration du rapport, y compris l’ensemble des éléments suivants:

        1. pour les entités financières, autres que les microentreprises: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros;, visées à l’article 6, paragraphe 6, du règlement (UE) 2022/2554, les résultats des audits internes;

        2. les résultats des évaluations de la conformité;

        3. les résultats des tests de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; et, le cas échéant, les résultats des tests avancés des outils de TIC, des systèmes de TIC et des processus de TIC sur la base de tests de pénétration fondés sur la menace: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière;;

        4. les sources externes.

    2. Aux fins du point c), lorsque le réexamen a été engagé à la suite d’instructions des autorités de surveillance ou à la suite des conclusions tirées des tests de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; ou des processus d’audit pertinents, le rapport contient des références explicites à ces instructions ou conclusions, permettant d’identifier la raison du réexamen. Lorsque le réexamen a été engagé à la suite d’incidents liés aux TIC, le rapport contient la liste de tous les incidents liés aux TIC accompagnée d’une analyse de la cause originelle des incidents.

    3. Aux fins du point f), la description contient une analyse de l’incidence des modifications sur la stratégie de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; de l’entité financière, sur le cadre de contrôle interne des TIC de l’entité financière et sur la gouvernance de la gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; de l’entité financière.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod