Politiques et procédures de sauvegarde, procédures et méthodes de restauration et de rétablissement
Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554
Politiques et procédures de sauvegarde, procédures et méthodes de restauration et de rétablissement
1. Dans le but de veiller à la restauration des systèmes et des données des TIC en limitant au maximum la durée d’indisponibilité, les perturbations et les pertes, aux fins de leur cadre de gestion du risque lié aux TIC, les entités financières définissent et documentent:
| a) | des politiques et procédures de sauvegarde qui précisent la portée des données concernées par la sauvegarde et la fréquence minimale de celle-ci, en fonction de la criticité des informations ou du niveau de confidentialité des données; |
| b) | des procédures et méthodes de restauration et de rétablissement. |
2. Les entités financières mettent en place des systèmes de sauvegarde qui peuvent être activés conformément aux politiques et procédures de sauvegarde, ainsi qu’aux procédures et méthodes de restauration et de rétablissement. L’activation de systèmes de sauvegarde ne compromet pas la sécurité du réseau et des systèmes d’information ni la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données. Des tests des procédures de sauvegarde et des procédures et méthodes de restauration et de rétablissement sont effectués périodiquement.
3. Lorsqu’elles restaurent des données de sauvegarde à l’aide de leurs propres systèmes, les entités financières utilisent des systèmes de TIC qui sont séparés physiquement et logiquement du système de TIC source. Les systèmes de TIC sont protégés de manière sécurisée contre tout accès non autorisé ou toute corruption des TIC et permettent la restauration en temps utile des services grâce à la sauvegarde des données et des systèmes si nécessaire.
Dans le cas des contreparties centrales, les plans de rétablissement favorisent la reprise de toutes les transactions qui étaient en cours au moment de la perturbation, pour permettre aux contreparties centrales de continuer à fonctionner avec précision et d’achever le règlement à la date programmée.
Les prestataires de services de communication de données maintiennent en outre des ressources adéquates et possèdent des dispositifs de sauvegarde et de restauration afin d’offrir et de maintenir leurs services à tout moment.
4. Les entités financières, autres que les microentreprises, maintiennent des capacités en matière de TIC redondantes dotées de ressources, de capacités et de fonctions adéquates pour répondre à leurs besoins. Les microentreprises évaluent la nécessité de maintenir ces capacités en matière de TIC redondantes en se fondant sur leur profil de risque.
5. Les dépositaires centraux de titres maintiennent au moins un site de traitement secondaire doté de ressources, de capacités, de fonctions et d’effectifs adéquats pour répondre à leurs besoins.
Le site de traitement secondaire:
| a) | est situé à une certaine distance géographique du site de traitement primaire afin de veiller à ce qu’il présente un profil de risque distinct et d’éviter qu’il ne soit affecté par l’événement qui a touché le site primaire; |
| b) | est capable d’assurer la continuité des fonctions critiques ou importantes de la même manière que le site primaire, ou de fournir le niveau de services dont l’entité financière a besoin pour effectuer ses opérations critiques dans le cadre des objectifs de rétablissement; |
| c) | est immédiatement accessible au personnel de l’entité financière afin d’assurer la continuité des fonctions critiques ou importantes en cas d’indisponibilité du site de traitement primaire. |
6. Lorsqu’elles déterminent les objectifs en matière de délai de rétablissement et de point de rétablissement pour chaque fonction, les entités financières tiennent compte du caractère critique ou important de la fonction et des effets globaux potentiels sur l’efficience du marché. Ces objectifs temporels permettent d’assurer, dans des scénarios extrêmes, le respect des niveaux de service convenus.
7. Lorsqu’elles opèrent un rétablissement à la suite d’un incident lié aux TIC, les entités financières effectuent les contrôles nécessaires, y compris tout contrôle multiple et rapprochement, afin de garantir le niveau d’intégrité des données le plus haut possible. Ces contrôles sont également effectués lors de la reconstitution des données provenant de parties prenantes externes, afin que toutes les données soient cohérentes entre les systèmes.
Au Luxembourg, la CSSF a intégré les exigences DORA dans sa circulaire CSSF 24/847 sur la gestion des risques TIC et la notification d'incidents, qui remplace la circulaire 22/806 pour les entités soumises a DORA depuis le 17 janvier 2025. La CSSF exige notamment que les tests de restauration article 12(2) soient documentes dans le rapport ICT annuel et que les contreparties centrales et CSD luxembourgeois (Clearstream, LuxCSD) demontrent la distance géographique reelle entre site primaire et secondaire, le partagé d'un même datacenter eBRC ou LuxConnect etant considéré comme une non-conformite matérielle.
Pratique Luxgap : nos équipes croisent vos coordonnees de sites declares avec la cartographie eBRC/LuxConnect/POST et produisent une attestation de profil de risque distinct, prete a être annexee au rapport CSSF annuel.