Source: OJ L, 2024/1774, 25.6.2024
Current language: FR
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Article 35 Sécurité des données, des systèmes et des réseaux
Les entités financières visées à l’article 16, paragraphe 1, du règlement (UE) 2022/2554 élaborent et mettent en œuvre, dans le cadre de leurs systèmes, protocoles et outils, des garanties pour assurer la protection des réseaux contre les intrusions et les utilisations abusives des données et préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données. En particulier, les entités financières mettent en place, en tenant compte de la classification visée à l’article 30, paragraphe 1, du présent règlement, l’ensemble des éléments suivants:
la définition et la mise en œuvre de mesures visant à protéger les données en cours d’utilisation, en transit et au repos;
la définition et la mise en œuvre de mesures de sécurité concernant l’utilisation de logiciels, de supports de stockage de données, de systèmes et de périphériques de point de terminaison qui transfèrent et stockent des données de l’entité financière;
la définition et la mise en œuvre de mesures visant à prévenir et à détecter les connexions non autorisées au réseau de l’entité financière et à sécuriser le trafic réseau entre les réseaux internes de l’entité financière et l’internet et d’autres connexions externes;
la définition et la mise en œuvre de mesures garantissant la disponibilité, l’authenticité, l’intégrité et la confidentialité des données lors des transmissions sur le réseau;
un processus permettant de supprimer de manière sécurisée les données dans les locaux, ou stockées à l’extérieur, que l’entité financière n’a plus besoin de collecter ou de stocker;
un processus permettant d’éliminer ou de déclasser de manière sécurisée des dispositifs de stockage de données dans les locaux, ou des dispositifs de stockage des données stockés à l’extérieur, qui contiennent des informations confidentielles;
la définition et la mise en œuvre de mesures visant à garantir que le télétravail et l’utilisation de périphériques de point de terminaison privés n’ont pas d’incidence négative sur la capacité de l’entité financière à mener ses activités critiques de manière adéquate, rapide et sûre.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.