Beta

Source: OJ L, 2024/1774, 25.6.2024

Current language: FR

Article 39 Composantes du plan de continuité des activités de TIC

    1. Les entités financières visées à l’article 16, paragraphe 1, du règlement (UE) 2022/2554 élaborent leurs plans de continuité des activités de TIC en prenant en considération les résultats de l’analyse de leurs expositions aux graves perturbations des activités et de leurs incidences potentielles, ainsi que les scénarios auxquels leurs actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; pourraient être exposés, y compris un scénario de cyberattaque: un incident lié aux TIC malveillant causé par une tentative de destruction, d’exposition, de modification, de désactivation, de vol, d’utilisation non autorisée d’un actif ou d’accès non autorisé à celui-ci, perpétrée par un acteur de la menace;.

    1. Les plans de continuité des activités de TIC visés au paragraphe 1:

      1. sont approuvés par l’organe de direction: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil(^31^), de l’article 2, paragraphe 1, point 45), du règlement (UE) no 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable;Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32). de l’entité financière;

      2. sont documentés et facilement accessibles en cas d’urgence ou de crise;

      3. affectent des ressources suffisantes à leur exécution;

      4. établissent les niveaux de rétablissement et les délais prévus pour le rétablissement et la reprise des fonctions et des principales relations de dépendance internes et externes, y compris les prestataires tiers de services TIC;

      5. définissent les conditions susceptibles de déclencher l’activation des plans de continuité des activités de TIC et les mesures à prendre pour garantir la disponibilité, la continuité et le rétablissement des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; des entités financières qui soutiennent des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers;;

      6. définissent les mesures de restauration et de rétablissement pour les fonctions «métiers» critiques ou importantes, les processus de soutien, les actifs informationnels: un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection; et leurs interdépendances afin d’éviter des effets préjudiciables sur le fonctionnement des entités financières;

      7. définissent des procédures et mesures de sauvegarde qui précisent l’étendue des données concernées par la sauvegarde ainsi que la fréquence minimale de celle-ci, selon la criticité de la fonction qui utilise ces données;

      8. prévoient d’autres options pour le cas où le rétablissement ne serait pas réalisable à court terme en raison des coûts, des risques, de problèmes logistiques ou de circonstances imprévues;

      9. précisent les modalités de communication interne et externe, y compris les plans de remontée des informations;

      10. sont actualisés en fonction des enseignements tirés des incidents, des tests, des nouveaux risques et des menaces identifiés, des changements des objectifs de rétablissement, des changements majeurs apportés à l’organisation de l’entité financière et aux actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; qui soutiennent des fonctions critiques ou des fonctions «métiers».

    2. Aux fins du point f), les mesures visées audit point prévoient l’atténuation des défaillances des prestataires tiers critiques.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod