Recital 2 Flexibility in documentation requirements compliance

Pour la même raison, les entités financières soumises au règlement (UE) 2022/2554 devraient disposer d’une certaine souplesse dans la manière de se conformer aux exigences concernant les politiques, procédures, protocoles et outils de sécurité des TIC et à un éventuel cadre simplifié de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;. C’est pourquoi elles devraient être autorisées à utiliser tout document dont elles disposent déjà pour se conformer aux obligations de documentation découlant de ces exigences. Il s’ensuit que l’élaboration, la documentation et la mise en œuvre de politiques spécifiques en matière de sécurité des TIC ne devraient être requises que pour certains éléments essentiels, en tenant compte, entre autres, des pratiques de pointe du secteur et des normes applicables. En outre, il est nécessaire d’élaborer, de documenter et de mettre en œuvre des procédures de sécurité des TIC couvrant des aspects spécifiques de la mise en œuvre technique, notamment la gestion des capacités et des performances, la gestion de la vulnérabilité et des correctifs, la sécurité des données et des systèmes, et la journalisation.