Apprentissage et évolution

Apprentissage et évolution

1.   Les entités financières disposent de capacités et d’effectifs pour recueillir des informations sur les vulnérabilités et les cybermenaces, et sur les incidents liés aux TIC, en particulier les cyberattaques, et analyser leurs incidences probables sur leur résilience opérationnelle numérique.

2.   Les entités financières réalisent des examens post-incident lié aux TIC après qu’un incident majeur lié aux TIC a perturbé leurs activités principales, afin d’analyser les causes de la perturbation et de déterminer les améliorations à apporter aux opérations de TIC ou dans le cadre de la politique de continuité des activités de TIC visée à l’article 11.

Les entités financières, autres que les microentreprises, communiquent, sur demande, aux autorités compétentes les changements qui ont été apportés à la suite des examens post-incident lié aux TIC visés au premier alinéa.

Les examens post-incident lié aux TIC visés au premier alinéa consistent à déterminer si les procédures établies ont été suivies et si les mesures prises ont été efficaces, notamment en ce qui concerne:

3.   Les enseignements tirés des tests de résilience opérationnelle numérique effectués conformément aux articles 26 et 27 et des incidents liés aux TIC en situation réelle, en particulier les cyberattaques, ainsi que les difficultés rencontrées lors de l’activation des plans de continuité des activités de TIC et des plans de réponse et de rétablissement des TIC, de même que les informations pertinentes échangées avec les contreparties et évaluées lors des contrôles prudentiels, sont dûment intégrés, de manière continue, dans le processus d’évaluation du risque lié aux TIC. Ces constatations permettent d’effectuer un examen approprié des composantes pertinentes du cadre de gestion du risque lié aux TIC visé à l’article 6, paragraphe 1.

4.   Les entités financières contrôlent l’efficacité de la mise en œuvre de leur stratégie de résilience opérationnelle numérique définie à l’article 6, paragraphe 8. Elles retracent l’évolution du risque lié aux TIC dans le temps, analysent la fréquence, les types, l’ampleur et l’évolution des incidents liés aux TIC, en particulier les cyberattaques et leurs caractéristiques, afin de cerner le niveau d’exposition au risque lié aux TIC, en particulier en ce qui concerne les fonctions critiques ou importantes, et de renforcer la maturité et la préparation des TIC de l’entité financière.

5.   Les membres de l’encadrement supérieur responsables des TIC rendent compte au moins une fois par an, à l’organe de direction, des constatations visées au paragraphe 3 et formulent des recommandations.

6.   Les entités financières élaborent des programmes de sensibilisation à la sécurité des TIC et des formations à la résilience opérationnelle numérique qu’elles intègrent à leurs programmes de formation du personnel sous forme de modules obligatoires. Ces programmes et formations sont destinés à tous les employés et aux membres de la direction et présentent un niveau de complexité proportionné à leurs fonctions. Le cas échéant, les entités financières incluent également les prestataires tiers de services TIC dans leurs programmes de formation pertinents conformément à l’article 30, paragraphe 2, point i).

7.   Les entités financières, autres que les microentreprises, assurent un suivi continu des évolutions technologiques pertinentes, notamment en vue de déterminer l’incidence que le déploiement de ces nouvelles technologies pourrait avoir sur les exigences en matière de sécurité des TIC et la résilience opérationnelle numérique. Elles se tiennent informées des processus de gestion du risque lié aux TIC les plus récents, afin de lutter efficacement contre les formes actuelles ou émergentes de cyberattaques.