Beta

Source: OJ L, 2025/1190, 18.6.2025

Current language: FR

Article 5 Gestion des risques pour les TIFM

    1. Au cours de la phase de préparation visée à l’article 9, l’équipe chargée du contrôle évalue les risques associés au test des systèmes en environnement de production des fonctions critiques ou importantes: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; de l’entité financière, y compris les incidences potentielles sur:

      1. le secteur financier;

      2. la stabilité financière au niveau de l’Union ou au niveau national.

    2. L’équipe chargée du contrôle examine ces incidences tout au long des tests.

    1. Aux fins de l’évaluation et de la gestion des risques, l’équipe chargée du contrôle tient compte au moins des types de risques suivants liés:

      1. au fait d’accorder au fournisseur de renseignements sur les menaces: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; et aux testeurs externes, le cas échéant, l’accès à des informations sensibles: des informations qui peuvent facilement être exploitées pour mener des attaques contre les systèmes de TIC de l’entité financière, la propriété intellectuelle, des données commerciales confidentielles ou des données à caractère personnel, qui, si elles tombaient entre les mains d’acteurs malveillants, pourraient porter directement ou indirectement préjudice à l’entité financière et à son écosystème; sur l’entité financière;

      2. au non-respect, par le TIFM, du règlement (UE) 2022/2554 et du présent règlement lorsque ce non-respect entraîne l’absence de l’attestation visée à l’article 26, paragraphe 7, du règlement (UE) 2022/2554, y compris lorsque ce non-respect est dû à des violations de la confidentialité du TIFM ou à une conduite non éthique;

      3. à une remontée des incidents et des crises;

      4. à la phase active de l’équipe rouge, en ce compris les risques liés à l’interruption d’activités critiques et à la corruption de données due aux activités des testeurs, et à ses incidences potentielles sur des tiers;

      5. à l’activité de l’équipe bleue, en ce compris les risques liés à l’interruption d’activités critiques et à la corruption de données due aux activités de l’équipe bleue, et à ses incidences potentielles sur des tiers;

      6. à la restauration incomplète des systèmes touchés par le TIFM.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod