Art. 8 Politiques et procédures pour les opérations de TIC | RTS on ICT risk management framework | DORA

1. Dans le cadre des politiques, procédures, protocoles et outils de sécurité des TIC visés à l’article 9, paragraphe 2, du règlement (UE) 2022/2554, les entités financières élaborent, documentent et mettent en œuvre des politiques et des procédures pour gérer les opérations de TIC. Ces politiques et procédures précisent la manière dont les entités financières gèrent, suivent, contrôlent et restaurent leurs actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière;, y compris la documentation relative aux opérations de TIC.
1. Les politiques et procédures relatives aux opérations de TIC visées au paragraphe 1 contiennent l’ensemble des éléments suivants:
  1. une description des actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière;, comprenant l’ensemble des éléments suivants:
    
    des exigences relatives à la sécurité de l’installation, de la maintenance, de la configuration et de la désinstallation d’un système de TIC;
    
    des exigences relatives à la gestion des actifs informationnels: un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection; utilisés par les actifs de TIC: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière;, y compris leur traitement et leur gestion, tant automatisés que manuels;
    
    des exigences relatives à l’identification et au contrôle des s;
  2. des contrôles et un suivi des systèmes de TIC, comprenant l’ensemble des éléments suivants:
    
    des exigences de sauvegarde et de restauration des systèmes de TIC;
    
    des exigences de programmation dans le temps, tenant compte des interdépendances entre les systèmes de TIC;
    
    des protocoles pour les informations de la piste d’audit et du journal du système;
    
    des exigences visant à garantir que la réalisation d’audits internes et d’autres tests perturbe le moins possible les activités;
    
    des exigences relatives à la séparation entre les environnements de production des TIC, d’une part, et les environnements de développement, de tests et les autres environnements hors production, d’autre part;
    
    des exigences imposant que le développement et les tests aient lieu dans des environnements séparés de l’environnement de production;
    
    les exigences à respecter pour développer et tester en environnement de production;
  3. le traitement des erreurs concernant les systèmes de TIC, comprenant l’ensemble des éléments suivants:
    
    des procédures et protocoles de traitement des erreurs;
    
    les interlocuteurs à contacter pour un appui technique et la remontée d’informations, y compris les interlocuteurs à contacter pour un appui technique externe en cas de problèmes opérationnels ou techniques imprévus;
    
    les procédures de redémarrage, de reprise et de rétablissement des systèmes de TIC à appliquer en cas de dysfonctionnement des systèmes de TIC.
2. Aux fins du point b) v), la séparation tient compte de toutes les composantes de l’environnement, notamment des comptes, données ou connexions, comme l’exige l’article 13, paragraphe 1, point a).
3. Aux fins du point b) vii), les politiques et procédures visées au paragraphe 1 prévoient que les cas de réalisation de tests dans un environnement de production soient clairement identifiés et motivés, d’une durée limitée et approuvés par la fonction compétente conformément à l’article 16, paragraphe 6. Les entités financières garantissent la disponibilité, la confidentialité, l’intégrité et l’authenticité des systèmes de TIC et des données de production lors des activités de développement et de test dans l’environnement de production.