Chapitre 2 - Définitions

Chapitre 2. Définitions Établissement financier Tout au long de ce document, ce terme fait référence aux entités surveillées relevant du champ d’application de la présente circulaire telles que définies au chapitre 1.

Prestataire de services de Tout au long de ce document, ce terme fait référence à paiement (PSP) POST Luxembourg et aux succursales au Luxembourg d’établissements de crédit, d’établissements de paiement et d’établissements de monnaie électronique ayant leur siège social dans un pays tiers, lorsqu’ils fournissent des services de paiement tels que définis à l’article 1er, point 38) de la LSP.

Risque lié aux TIC et à la sécurité Risque de perte découlant d’une violation de la confidentialité, d’une défaillance de l’intégrité des systèmes et des données, de l’inadéquation ou de l’indisponibilité des systèmes et des données, ou de l’impossibilité de modifier les technologies de l’information dans un délai et pour des coûts raisonnables, lorsque l’environnement ou les exigences « métiers » changent (agilité). Cela inclut les risques de sécurité découlant de processus internes insuffisants ou de défaillance de ces processus, ou bien d’événements externes, tels que des cyberattaques ou une sécurité physique insuffisante.

2 Par souci de clarté, le terme « services financiers postaux » a la même signification qu’à l’article 1er de la loi modifiée du 15 décembre 2000.

telle que modifiée par les circulaires CSSF 22/828 et CSSF 25/881 Organe de direction L’organe ou les organes d’un établissement financier qui sont désignés conformément au droit national, qui sont compétents pour définir la stratégie, les objectifs et la direction globale de l’établissement financier et qui assurent la supervision et le suivi des décisions prises en matière de gestion et, incluent, les personnes qui dirigent effectivement les activités de l’établissement financier et les administrateurs et les personnes responsables de la gestion de l’établissement financier.

Conformément aux circulaires CSSF applicables, le terme « organe de direction » englobe les notions de direction autorisée, de conseil d’administration ou de conseil de gérance et/ou de conseil de surveillance et de conseil exécutif.

Incident opérationnel ou de Un événement unique ou une série d’événements liés sécurité non planifiés par l’établissement financier, qui a ou aura probablement une incidence négative sur l’intégrité, la disponibilité, la confidentialité et/ou l’authenticité des services.

Appétit pour le risque Le niveau et les types agrégés de risque que les PSP et les établissements sont prêts à accepter dans le cadre de leur capacité à prendre des risques, conformément à leur modèle d’entreprise, afin d’atteindre leurs objectifs stratégiques.

Projets de TIC Tout projet, ou toute partie d’un projet, dans le cadre duquel les services et les systèmes de TIC sont modifiés, remplacés, supprimés ou mis en œuvre. Les projets de TIC peuvent faire partie de programmes plus larges de TIC ou de transformation des activités.

Tiers Toute organisation ayant conclu un contrat ou une relation d’affaires avec une entité dans le but de fournir un produit ou un service.

Actifs informationnels Ensemble d’informations, tangibles ou non, suffisamment importantes pour être protégées.

Actifs informatiques Logiciel ou équipement informatique présent dans l’environnement de l’entreprise.

Systèmes de TIC TIC mises en place dans le cadre d’un mécanisme ou d’un réseau d’interconnexion qui soutient les opérations d’un établissement financier.

telle que modifiée par les circulaires CSSF 22/828 et CSSF 25/881 Services TIC Les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels. 3