Source: OJ L, 2024/1774, 25.6.2024Current language: FR
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Article 6 Chiffrement et contrôles cryptographiques
Dans le cadre de leurs politiques, procédures, protocoles et outils de sécurité de TIC visés à l’article 9, paragraphe 2, du règlement (UE) 2022/2554, les entités financières élaborent, documentent et mettent en œuvre une politique en matière de chiffrement et de contrôles cryptographiques.
Les entités financières conçoivent la politique en matière de chiffrement et de contrôles cryptographiques visée au paragraphe 1 sur la base des résultats d’une classification des données approuvée et de l’évaluation du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;. Cette politique contient des règles pour tous les éléments suivants:
le chiffrement des données au repos et en transit;
le chiffrement des données en cours d’utilisation, si nécessaire;
le chiffrement des connexions internes au réseau et du trafic avec des tiers;
la gestion des clés cryptographiques visée à l’article 7, y compris des règles relatives à la bonne utilisation, à la protection et au cycle de vie des clés cryptographiques.
Aux fins du point b), lorsque le chiffrement des données en cours d’utilisation n’est pas possible, les entités financières traitent ces données dans un environnement séparé et protégé, ou prennent des mesures équivalentes pour garantir la confidentialité, l’intégrité, l’authenticité et la disponibilité des données.
Les entités financières incluent dans la politique en matière de chiffrement et de contrôles cryptographiques visée au paragraphe 1 des critères de sélection des techniques cryptographiques et des pratiques d’utilisation, tenant compte des pratiques de pointe, ainsi que des normes définies à l’article 2, point 1), du règlement (UE) no 1025/2012, et de la classification des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; concernés effectuée conformément à l’article 8, paragraphe 1, du règlement (UE) 2022/2554. Les entités financières qui ne sont pas en mesure d’appliquer les pratiques de pointe ou les normes, ou d’utiliser les techniques les plus fiables, adoptent des mesures d’atténuation et de suivi qui garantissent la résilience face aux cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;.
Les entités financières incluent dans la politique en matière de chiffrement et de contrôles cryptographiques visée au paragraphe 1 des dispositions relatives à la mise à jour ou à la modification, si nécessaire, de la technologie cryptographique, en fonction de l’évolution de la cryptanalyse. Ces mises à jour ou modifications garantissent que la technologie cryptographique reste résiliente face aux cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;, comme l’exige l’article 10, paragraphe 2, point a). Les entités financières qui ne sont pas en mesure de mettre à jour ou de modifier la technologie cryptographique adoptent des mesures d’atténuation et de suivi qui garantissent la résilience face aux cybermenaces: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881;.
Les entités financières incluent dans la politique en matière de chiffrement et de contrôles cryptographiques visée au paragraphe 1 l’obligation d’enregistrer l’adoption des mesures d’atténuation et de suivi adoptées conformément aux paragraphes 3 et 4 et de fournir une explication motivée des raisons pour lesquelles elles procèdent ainsi.
Relevant recitals
Considérant 9 Encryption and cryptographic controls
Les contrôles cryptographiques peuvent garantir la disponibilité, l’authenticité, l’intégrité et la confidentialité des données. Les entités financières visées au titre II du présent règlement devraient donc définir et mettre en œuvre ces contrôles sur la base d’une approche fondée sur les risques. À cette fin, les entités financières devraient chiffrer les données concernées, au repos, en transit ou, si nécessaire, en cours d’utilisation, sur la base des résultats d’un processus en deux volets, à savoir la classification des données et une évaluation complète du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;. Compte tenu de la complexité du chiffrement des données en cours d’utilisation, les entités financières visées au titre II du présent règlement ne devraient chiffrer les données en cours d’utilisation que lorsque cela est approprié à la lumière des résultats de l’évaluation du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;. Les entités financières visées au titre II du présent règlement devraient toutefois être en mesure, lorsque le chiffrement des données en cours d’utilisation n’est pas possible ou est trop complexe, de protéger la confidentialité, l’intégrité et la disponibilité des données concernées au moyen d’autres mesures de sécurité des TIC. Compte tenu de la rapidité de l’évolution technologique dans le domaine des techniques cryptographiques, les entités financières visées au titre II du présent règlement devraient se tenir informées des évolutions qui les concernent en matière de cryptanalyse et tenir compte des pratiques de pointe et des normes existantes. Elles devraient donc suivre une approche souple, fondée sur l’atténuation et la surveillance des risques, pour s’adapter au paysage changeant des menaces cryptographiques, y compris des menaces résultant des progrès de l’informatique quantique.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.