Cadre simplifié de gestion du risque lié aux TIC
Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554
Cadre simplifié de gestion du risque lié aux TIC
1. Les articles 5 à 15 du présent règlement ne s’appliquent pas aux petites entreprises d’investissement non interconnectées et aux établissements de paiement exemptés en vertu de la directive (UE) 2015/2366; aux établissements exemptés en vertu de la directive 2013/36/UE pour lesquels les États membres ont décidé de ne pas appliquer l’option visée à l’article 2, paragraphe 4, du présent règlement; aux établissements de monnaie électronique exemptés en vertu de la directive 2009/110/CE; et aux petites institutions de retraite professionnelle.
Sans préjudice du premier alinéa, les entités énumérées au premier alinéa doivent:
| a) | mettre en place et maintenir un cadre de gestion du risque lié aux TIC solide et documenté qui détaille les mécanismes et les mesures permettant une gestion rapide, efficace et complète du risque lié aux TIC, y compris en ce qui concerne la protection des composantes et infrastructures physiques pertinentes; |
| b) | surveiller en permanence la sécurité et le fonctionnement de tous les systèmes de TIC; |
| c) | réduire au minimum l’incidence du risque lié aux TIC grâce à l’utilisation de systèmes, protocoles et outils de TIC solides, résilients et actualisés, aptes à soutenir l’exercice de leurs activités et la fourniture de services et à protéger de manière adéquate la disponibilité, l’authenticité, l’intégrité et la confidentialité des données dans le réseau et les systèmes d’information; |
| d) | permettre d’identifier et de détecter rapidement les sources de risque et les anomalies liés aux TIC dans le réseau et les systèmes d’information et de traiter rapidement les incidents liés aux TIC; |
| e) | recenser les principales dépendances vis-à-vis des prestataires tiers de services TIC; |
| f) | assurer la continuité des fonctions critiques ou importantes, au moyen de plans de continuité des activités et de mesures de réponse et de rétablissement, qui comprennent au moins des mesures de sauvegarde et de restauration; |
| g) | tester régulièrement les plans et mesures visés au point f), ainsi que l’efficacité des contrôles mis en œuvre conformément aux points a) et c); |
| h) | mettre en œuvre, le cas échéant, les conclusions opérationnelles pertinentes résultant des tests visés au point g) et de l’analyse post-incident dans le processus d’évaluation du risque lié aux TIC et élaborer, en fonction des besoins et du profil de risque lié aux TIC, des programmes de sensibilisation en matière de sécurité des TIC et de formation à la résilience opérationnelle numérique à l’intention du personnel et de la direction. |
2. Le cadre de gestion du risque lié aux TIC visé au paragraphe 1, deuxième alinéa, point a), est documenté et réexaminé périodiquement et en cas d’incidents majeurs liés aux TIC conformément aux instructions des autorités de surveillance. Il est amélioré en permanence sur la base des enseignements tirés de la mise en œuvre et du suivi. Un rapport sur le réexamen du cadre de gestion du risque lié aux TIC est présenté à l’autorité compétente à sa demande.
3. Les AES élaborent, par l’intermédiaire du comité mixte, en concertation avec l’ENISA, des projets communs de normes techniques de réglementation afin de:
| a) | préciser davantage les éléments à inclure dans le cadre de gestion du risque lié aux TIC visé au paragraphe 1, deuxième alinéa, point a); |
| b) | préciser davantage les éléments relatifs aux systèmes, protocoles et outils visant à réduire au minimum l’incidence du risque lié aux TIC visés au paragraphe 1, deuxième alinéa, point c), en vue de garantir la sécurité des réseaux, de favoriser la mise en place de garanties adéquates contre les intrusions et les utilisations abusives des données et de préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données; |
| c) | détailler davantage les composantes des plans de continuité des activités de TIC visés au paragraphe 1, deuxième alinéa, point f); |
| d) | préciser davantage les règles relatives aux tests des plans de continuité des activités, veiller à l’efficacité des contrôles visées au paragraphe 1, deuxième alinéa, point g), et veiller à ce que ces tests tiennent dûment compte des scénarios dans lesquels la qualité de l’exécution d’une fonction critique ou importante se détériore à un niveau inacceptable ou dans lesquels l’exécution d’une fonction critique ou importante échoue; |
| e) | préciser davantage le contenu et le format du rapport sur le réexamen du cadre de gestion du risque lié aux TIC visé au paragraphe 2. |
Lorsqu’elles élaborent ces projets de normes techniques de réglementation, les AES tiennent compte de la taille et du profil de risque global de l’entité financière, ainsi que de la nature, de l’ampleur et de la complexité de ses services, activités et opérations.
Les AES soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le 17 janvier 2024.
Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au premier alinéa est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.