Classification des incidents liés aux TIC et des cybermenaces
Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554
Classification des incidents liés aux TIC et des cybermenaces
1. Les entités financières classent les incidents liés aux TIC et déterminent leur incidence sur la base des critères suivants:
| a) | le nombre et/ou l’importance des clients ou des contreparties financières touchés et, le cas échéant, le volume ou le nombre de transactions touchées par l’incident lié aux TIC, et si cet incident a porté atteinte à la réputation; |
| b) | la durée de l’incident lié aux TIC, y compris les interruptions de service; |
| c) | la répartition géographique en ce qui concerne les zones touchées par l’incident lié aux TIC, en particulier si celui-ci touche plus de deux États membres; |
| d) | les pertes de données occasionnées par l’incident lié aux TIC en ce qui concerne la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données; |
| e) | la criticité des services touchés, y compris les transactions et les opérations de l’entité financière; |
| f) | les conséquences économiques, en particulier les coûts et pertes directs et indirects, en termes absolus et relatifs, de l’incident lié aux TIC. |
2. Les entités financières classent les cybermenaces comme significatives en fonction de la criticité des services à risque, y compris des transactions et des opérations de l’entité financière, du nombre et/ou de l’importance des clients ou des contreparties financières ciblés et de la répartition géographique des zones à risque.
3. Les AES élaborent, par l’intermédiaire du comité mixte et en concertation avec la BCE et l’ENISA, des projets communs de normes techniques de réglementation qui précisent les éléments suivants:
| a) | les critères énoncés au paragraphe 1, y compris les seuils d’importance significative pour déterminer les incidents majeurs liés aux TIC ou, le cas échéant, les incidents opérationnels ou de sécurité majeurs liés au paiement, qui sont soumis à l’obligation de déclaration prévue à l’article 19, paragraphe 1; |
| b) | les critères que les autorités compétentes doivent appliquer pour évaluer si des incidents majeurs liés aux TIC ou, le cas échéant, des incidents opérationnels ou de sécurité majeurs liés au paiement, sont pertinents pour les autorités compétentes concernées des autres États membres, et les détails des rapports d’incidents majeurs liés aux TIC ou, le cas échéant, d’incidents opérationnels ou de sécurité majeurs liés au paiement, à partager avec les autres autorités compétentes conformément à l’article 19, paragraphes 6 et 7; |
| c) | les critères énoncés au paragraphe 2 du présent article, y compris les seuils d’importance significative élevés pour déterminer les cybermenaces importantes. |
4. Lors de l’élaboration des projets communs de normes techniques de réglementation visés au paragraphe 3 du présent article, les AES tiennent compte des critères énoncés à l’article 4, paragraphe 2, ainsi que des normes, orientations et spécifications internationales élaborées et publiées par l’ENISA, y compris, le cas échéant, des spécifications relatives à d’autres secteurs économiques. Aux fins de l’application des critères énoncés à l’article 4, paragraphe 2, les AES tiennent dûment compte de la nécessité pour les microentreprises et les petites et moyennes entreprises de mobiliser des ressources et des capacités suffisantes pour garantir une gestion rapide des incidents liés aux TIC.
Les AES soumettent ces projets communs de normes techniques de réglementation à la Commission au plus tard le 17 janvier 2024.
Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au paragraphe 3 est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010.