Réponse et rétablissement
Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554
Réponse et rétablissement
1. Aux fins du cadre de gestion du risque lié aux TIC visé à l’article 6, paragraphe 1, et sur la base des exigences en matière d’identification énoncées à l’article 8, les entités financières se dotent d’une politique de continuité des activités de TIC complète, qui peut être adoptée en tant que politique spécifique, et qui forme une partie intégrante de leur politique globale de continuité des activités.
2. Les entités financières mettent en œuvre la politique de continuité des activités de TIC au moyen de dispositifs, de plans, de procédures et de mécanismes spécifiques, appropriés et documentés visant à:
| a) | garantir la continuité des fonctions critiques ou importantes de l’entité financière; |
| b) | répondre aux incidents liés aux TIC et les résoudre rapidement, dûment et efficacement de manière à limiter les dommages et à donner la priorité à la reprise des activités et aux mesures de rétablissement; |
| c) | activer, sans retard, des plans spécifiques permettant de déployer des mesures, des processus et des technologies d’endiguement adaptés à chaque type d’incident lié aux TIC et de prévenir tout dommage supplémentaire, ainsi que des procédures sur mesure de réponse et de rétablissement, définies conformément à l’article 12; |
| d) | estimer les incidences, les dommages et les pertes préliminaires; |
| e) | définir des mesures de communication et de gestion des crises qui garantissent la transmission d’informations actualisées à tous les membres du personnel interne et à toutes les parties prenantes externes concernés, conformément à l’article 14, et leur déclaration aux autorités compétentes, conformément à l’article 19. |
3. Aux fins du cadre de gestion du risque lié aux TIC visé à l’article 6, paragraphe 1, les entités financières mettent en œuvre des plans de réponse et de rétablissement des TIC qui, dans le cas des entités financières, autres que les microentreprises, font l’objet de revues indépendantes de l’audit interne.
4. Les entités financières mettent en place, maintiennent et testent périodiquement des plans de continuité des activités de TIC appropriés, notamment en ce qui concerne les fonctions critiques ou importantes externalisées ou sous-traitées dans le cadre d’accords avec des prestataires tiers de services TIC.
5. Dans le cadre de la politique globale de continuité des activités, les entités financières procèdent à une analyse des incidences sur les activités de leurs expositions à de graves perturbations de leurs activités. Dans le cadre de cette analyse, les entités financières évaluent l’incidence potentielle de graves perturbations de leurs activités au moyen de critères quantitatifs et qualitatifs, à l’aide de données internes et externes et d’une analyse de scénarios, le cas échéant. L’analyse des incidences sur les activités tient compte du caractère critique des fonctions «métiers», des processus de soutien, des dépendances de tiers et des actifs informationnels identifiés et cartographiés, ainsi que de leurs interdépendances. Les entités financières veillent à ce que les actifs de TIC et les services TIC soient conçus et utilisés dans le respect total de l’analyse des incidences sur les activités, en particulier en garantissant de manière adéquate la redondance de toutes les composantes critiques.
6. Dans le cadre de leur gestion globale du risque lié aux TIC, les entités financières:
| a) | testent les plans de continuité des activités de TIC et les plans de réponse et de rétablissement des TIC concernant les systèmes de TIC soutenant toutes les fonctions au moins une fois par an ainsi qu’en cas de modifications substantielles apportées aux systèmes de TIC qui soutiennent des fonctions critiques ou importantes; |
| b) | testent les plans de communication en situation de crise établis conformément à l’article 14. |
Aux fins du premier alinéa, point a), les entités financières, autres que les microentreprises, incluent dans les plans de test des scénarios de cyberattaques et de basculement entre l’infrastructure de TIC principale et la capacité redondante, les sauvegardes et les installations redondantes nécessaires pour satisfaire aux obligations énoncées à l’article 12.
Les entités financières réexaminent régulièrement leur politique de continuité des activités de TIC et leurs plans de réponse et de rétablissement des TIC en tenant compte des résultats des tests effectués conformément au premier alinéa et des recommandations découlant des contrôles d’audit ou des examens des autorités de surveillance.
7. Les entités financières, autres que les microentreprises, disposent d’une fonction de gestion de crise qui, en cas d’activation de leurs plans de continuité des activités de TIC ou de leurs plans de réponse et de rétablissement des TIC, définit, entre autres, des procédures claires pour gérer les communications internes et externes en situation de crise, conformément à l’article 14.
8. Les entités financières tiennent un registre, facile d’accès, des activités avant et pendant les perturbations lorsque leurs plans de continuité des activités de TIC et leurs plans de réponse et de rétablissement des TIC sont activés.
9. Les dépositaires centraux de titres fournissent aux autorités compétentes des copies des résultats des tests de continuité des activités de TIC ou d’exercices similaires.
10. Les entités financières, autres que les microentreprises, communiquent aux autorités compétentes, à leur demande, une estimation des coûts et pertes annuels agrégés occasionnés par des incidents majeurs liés aux TIC.
11. Conformément à l’article 16 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010, les AES, agissant par l’intermédiaire du comité mixte, élaborent, au plus tard le 17 juillet 2024, des orientations communes sur l’estimation des coûts et pertes annuels agrégés visés au paragraphe 10.