Beta

Source: OJ L, 2025/303, 20.2.2025

Current language: FR

Article 4 Systèmes de TIC et dispositifs de sécurité correspondants

Aux fins de l’article 60, paragraphe 7, point c), du règlement (UE) 2023/1114, l’entité à l’origine de la notification fournit à l’autorité compétente: une ou plusieurs autorités:désignées par chaque État membre conformément à l’article 93 en ce qui concerne les offreurs, les personnes qui demandent l’admission à la négociation de crypto-actifs autres que les jetons se référant à un ou des actifs et les jetons de monnaie électronique, les émetteurs de jetons se référant à un ou des actifs ou les prestataires de services sur crypto-actifs;désignées par chaque État membre aux fins de l’application de la directive 2009/110/CE en ce qui concerne les émetteurs de jetons de monnaie électronique; les informations suivantes:

  1. la documentation technique des systèmes de TIC, l’infrastructure DLT utilisée, le cas échéant, et les dispositifs de sécurité, y compris une description des dispositifs mis en place et des ressources humaines et ressources TIC déployées pour se conformer au règlement (UE) 2022/2554 du Parlement européen et du Conseil(8)Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011 (JO L 333 du 27.12.2022, p. 1, ELI: http://data.europa.eu/eli/reg/2022/2554/oj)., comprenant les éléments suivants:

    1. une description de la manière dont l’entité à l’origine de la notification garantit un cadre de gestion des risques liés aux TIC solide, complet et bien documenté, faisant partie de son système global de gestion des risques, y compris une description détaillée des systèmes, protocoles et outils de TIC et de la manière dont les procédures, politiques et systèmes de ladite entité préserveront la sécurité, l’intégrité, la disponibilité, l’authenticité et la confidentialité des données, conformément aux règlements (UE) 2022/2554 et (UE) 2016/679;

    2. l’identification des services TIC soutenant des fonctions critiques ou importantes développés ou maintenus par l’entité à l’origine de la notification, ainsi que de ceux fournis par des prestataires de services tiers, la description des accords contractuels concernés et de la manière dont ils se conforment à l’article 73 du règlement (UE) 2023/1114 et au chapitre V du règlement (UE) 2022/2554;

    3. une description des procédures, politiques, dispositifs et systèmes de l’entité à l’origine de la notification en matière de sécurité et de gestion des incidents;

  2. le cas échéant, la description d’un audit de cybersécurité, réalisé par un auditeur en cybersécurité tiers doté d’une expérience suffisante, conformément au règlement délégué de la Commission définissant des normes techniques en application de l’article 26, paragraphe 11, quatrième alinéa, du règlement (UE) 2022/2554, et incluant idéalement les audits ou tests suivants par des tiers indépendants:

    1. dispositions relatives à la cybersécurité organisationnelle, à la sécurité physique et au cycle de vie du développement de logiciels sécurisés;

    2. évaluations de la vulnérabilité et évaluations de la sécurité des réseaux;

    3. examens de la configuration des actifs de TIC soutenant des fonctions critiques et importantes, telles qu’elles sont définies à l’article 3, point 22), du règlement (UE) 2022/2554;

    4. tests d’intrusion, au sens de l’article 3, point 17), du règlement (UE) 2022/2554, effectués sur les actifs de TIC soutenant des fonctions critiques et importantes suivant toutes les méthodes de test d’audit suivantes:

      1. audit en boîte noire: l’auditeur ne dispose d’aucune information autre que les adresses IP et URL associées à la cible de l’audit. Cette phase est généralement précédée de la découverte d’informations et de l’identification de la cible, effectuées en interrogeant les services de systèmes de noms de domaine (DNS), en scannant les ports ouverts, en détectant la présence d’équipements de filtrage;

      2. audit en boîte grise: les auditeurs disposent des connaissances d’un utilisateur standard du système d’information (authentification légitime, poste de travail «standard»). Les identifiants peuvent appartenir à différents profils d’utilisateur, afin de tester différents niveaux de privilège;

      3. audit en boîte blanche: les auditeurs reçoivent le plus d’informations techniques possible (architecture, code source, contacts téléphoniques, identifiants, etc.) avant de lancer l’analyse et ont également accès aux contacts techniques liés à la cible;

    5. lorsque l’entité à l’origine de la notification utilise et/ou développe des contrats intelligents, un examen du code source de ces contrats du point de vue de la cybersécurité;

  3. une description des audits réalisés sur les systèmes de TIC, le cas échéant, y compris sur l’infrastructure DLT et les dispositifs de sécurité utilisés;

  4. une description, dans un langage non technique, des informations pertinentes visées aux points a) et b).

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod