Beta

Source: OJ L, 2024/1774, 25.6.2024

Current language: FR

Article 3 Gestion du risque lié aux TIC

  1. Les entités financières élaborent, documentent et mettent en œuvre des politiques et procédures de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; qui contiennent l’ensemble des éléments suivants:

    1. l’indication de l’approbation du niveau de tolérance au risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; déterminé conformément à l’article 6, paragraphe 8, point b), du règlement (UE) 2022/2554;

    2. une procédure et une méthode d’évaluation du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, précisant:

      1. les s et les menaces qui affectent ou peuvent affecter les fonctions opérationnelles soutenues et les systèmes de TIC et actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; qui les soutiennent;

      2. les indicateurs quantitatifs ou qualitatifs à utiliser pour mesurer l’incidence et la probabilité des s et des menaces visées au point i);

    3. la procédure de détermination, de mise en œuvre et de documentation des mesures de traitement du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; pour les risques liés aux TIC qui ont été identifiés et évalués, y compris la définition des mesures de traitement du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; nécessaires pour ramener ce risque dans les limites du niveau de tolérance au risque visé au point a);

    4. pour les risques résiduels liés aux TIC qui sont toujours présents à l’issue de la mise en œuvre des mesures de traitement du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; visées au point c):

      1. des dispositions relatives à l’identification de ces risques résiduels liés aux TIC;

      2. l’attribution des rôles et des responsabilités concernant:

        1. l’acceptation des risques résiduels liés aux TIC qui dépassent le niveau de tolérance au risque de l’entité financière visé au point a);

        2. le processus de réexamen visé au point iv) du présent point d);

      3. l’établissement d’un inventaire des risques résiduels liés aux TIC qui ont été acceptés, accompagné d’une justification de leur acceptation;

      4. des dispositions relatives au réexamen, au moins une fois par an, des risques résiduels liés aux TIC qui ont été acceptés, comprenant:

        1. l’indication de tout changement dans les risques résiduels liés aux TIC;

        2. l’évaluation des mesures d’atténuation disponibles;

        3. une évaluation indiquant si les raisons justifiant l’acceptation des risques résiduels liés aux TIC sont toujours valables et applicables à la date du réexamen;

    5. des dispositions qui prévoient le suivi:

      1. de tout changement dans l’éventail des risques liés aux TIC et des cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;;

      2. des s et menaces internes et externes;

      3. du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; de l’entité financière, et qui permettent de détecter rapidement les changements susceptibles d’avoir une incidence sur son profil de risque lié aux TIC;

    6. des dispositions relatives à un processus garantissant la prise en compte de toute modification de la stratégie commerciale et de la stratégie de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; de l’entité financière.

  2. La procédure visée au point c) du premier alinéa garantit, aux fins dudit point:

    1. le suivi de l’efficacité des mesures de traitement du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; qui sont mises en œuvre;

    2. une évaluation indiquant si les niveaux de tolérance au risque établis pour l’entité financière ont été atteints;

    3. une évaluation indiquant si l’entité financière a pris, si nécessaire, des mesures pour corriger ou améliorer ces mesures.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod