Art. 6 Chiffrement et contrôles cryptographiques | RTS on ICT risk management framework | DORA

1. Dans le cadre de leurs politiques, procédures, protocoles et outils de sécurité de TIC visés à l’article 9, paragraphe 2, du règlement (UE) 2022/2554, les entités financières élaborent, documentent et mettent en œuvre une politique en matière de chiffrement et de contrôles cryptographiques.
1. Les entités financières conçoivent la politique en matière de chiffrement et de contrôles cryptographiques visée au paragraphe 1 sur la base des résultats d’une classification des données approuvée et de l’évaluation du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;. Cette politique contient des règles pour tous les éléments suivants:
  1. le chiffrement des données au repos et en transit;
  2. le chiffrement des données en cours d’utilisation, si nécessaire;
  3. le chiffrement des connexions internes au réseau et du trafic avec des tiers;
  4. la gestion des clés cryptographiques visée à l’article 7, y compris des règles relatives à la bonne utilisation, à la protection et au cycle de vie des clés cryptographiques.
2. Aux fins du point b), lorsque le chiffrement des données en cours d’utilisation n’est pas possible, les entités financières traitent ces données dans un environnement séparé et protégé, ou prennent des mesures équivalentes pour garantir la confidentialité, l’intégrité, l’authenticité et la disponibilité des données.
1. Les entités financières incluent dans la politique en matière de chiffrement et de contrôles cryptographiques visée au paragraphe 1 des critères de sélection des techniques cryptographiques et des pratiques d’utilisation, tenant compte des pratiques de pointe, ainsi que des normes définies à l’article 2, point 1), du règlement (UE) n^o 1025/2012, et de la classification des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; concernés effectuée conformément à l’article 8, paragraphe 1, du règlement (UE) 2022/2554. Les entités financières qui ne sont pas en mesure d’appliquer les pratiques de pointe ou les normes, ou d’utiliser les techniques les plus fiables, adoptent des mesures d’atténuation et de suivi qui garantissent la résilience face aux cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;.
1. Les entités financières incluent dans la politique en matière de chiffrement et de contrôles cryptographiques visée au paragraphe 1 des dispositions relatives à la mise à jour ou à la modification, si nécessaire, de la technologie cryptographique, en fonction de l’évolution de la cryptanalyse. Ces mises à jour ou modifications garantissent que la technologie cryptographique reste résiliente face aux cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;, comme l’exige l’article 10, paragraphe 2, point a). Les entités financières qui ne sont pas en mesure de mettre à jour ou de modifier la technologie cryptographique adoptent des mesures d’atténuation et de suivi qui garantissent la résilience face aux cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;.
1. Les entités financières incluent dans la politique en matière de chiffrement et de contrôles cryptographiques visée au paragraphe 1 l’obligation d’enregistrer l’adoption des mesures d’atténuation et de suivi adoptées conformément aux paragraphes 3 et 4 et de fournir une explication motivée des raisons pour lesquelles elles procèdent ainsi.