Recital 26 Simplified ICT risk management framework

Les exigences applicables aux entités financières qui sont soumises au cadre simplifié de gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; prévu à l’article 16 du règlement (UE) 2022/2554 devraient se concentrer sur les domaines et éléments essentiels qui, compte tenu de l’échelle, du risque, de la taille et de la complexité de ces entités financières, constituent le minimum nécessaire pour garantir la confidentialité, l’intégrité, la disponibilité et l’authenticité des données et des services de ces entités. Dans ce contexte, ces entités financières devraient disposer d’un cadre de gouvernance et de contrôle interne définissant clairement les responsabilités claires, afin que le cadre de gestion des risques soit efficace et solide. En outre, afin de réduire leur charge administrative et opérationnelle, ces entités financières ne devraient élaborer et documenter qu’une seule politique, à savoir une politique de sécurité de l’information, qui précise les principes et règles généraux nécessaires pour protéger la confidentialité, l’intégrité, la disponibilité et l’authenticité des données et des services de ces entités.