Définitions
Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554
Définitions
Aux fins du présent règlement, on entend par:
| 1) | «résilience opérationnelle numérique»: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; |
| 2) | «réseau et système d’information»: un réseau et système d’information au sens de l’article 6, point 1), de la directive (UE) 2022/2555; |
| 3) | «système de TIC hérité»: un système de TIC qui a atteint la fin de son cycle de vie (fin de vie), qui ne se prête pas à des mises à jour ou des corrections, pour des raisons technologiques ou commerciales, ou qui n’est plus pris en charge par son fournisseur ou par un prestataire tiers de services TIC, mais qui est toujours utilisé et soutient les fonctions de l’entité financière; |
| 4) | «sécurité des réseaux et des systèmes d’information»: la sécurité des réseaux et des systèmes d’information au sens de l’article 6, point 2), de la directive (UE) 2022/2555; |
| 5) | «risque lié aux TIC»: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; |
| 6) | «actif informationnel»: un ensemble d’informations, matérielles ou immatérielles, qui justifie une protection; |
| 7) | «actif de TIC»: un actif logiciel ou matériel dans les réseaux et les systèmes d’information utilisés par l’entité financière; |
| 8) | «incident lié aux TIC»: un événement ou une série d’événements liés entre eux que l’entité financière n’a pas prévu qui compromet la sécurité des réseaux et des systèmes d’information, et a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données ou sur les services fournis par l’entité financière; |
| 9) | «incident opérationnel ou de sécurité lié au paiement»: un événement ou une série d’événements liés entre eux que les entités financières visées à l’article 2, paragraphe 1, points a) à d), n’ont pas prévu, lié ou non aux TIC, qui a une incidence négative sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données liées au paiement ou sur les services liés au paiement fournis par l’entité financière; |
| 10) | «incident majeur lié aux TIC»: un incident lié aux TIC qui a une incidence négative élevée sur les réseaux et les systèmes d’information qui soutiennent les fonctions critiques ou importantes de l’entité financière; |
| 11) | «incident opérationnel ou de sécurité majeur lié au paiement»: un incident opérationnel ou de sécurité lié au paiement qui a une incidence négative élevée sur les services fournis liés au paiement; |
| 12) | «cybermenace»: une cybermenace au sens de l’article 2, point 8), du règlement (UE) 2019/881; |
| 13) | «cybermenace importante»: une cybermenace dont les caractéristiques techniques indiquent qu’elle pourrait donner lieu à un incident majeur lié aux TIC ou à un incident opérationnel ou de sécurité majeur lié au paiement; |
| 14) | «cyberattaque»: un incident lié aux TIC malveillant causé par une tentative de destruction, d’exposition, de modification, de désactivation, de vol, d’utilisation non autorisée d’un actif ou d’accès non autorisé à celui-ci, perpétrée par un acteur de la menace; |
| 15) | «renseignements sur les menaces»: les informations qui ont été rassemblées, transformées, analysées, interprétées ou enrichies pour fournir le contexte nécessaire à la prise de décisions et permettre une compréhension pertinente et suffisante en vue d’atténuer les effets d’un incident lié aux TIC ou d’une cybermenace, y compris les détails techniques d’une cyberattaque, les responsables de l’attaque, ainsi que leur mode opératoire et leurs motivations; |
| 16) | «vulnérabilité»: une faiblesse, une susceptibilité ou un défaut d’un actif, d’un système, d’un processus ou d’un contrôle qui peuvent être exploités; |
| 17) | «tests de pénétration fondés sur la menace»: un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière; |
| 18) | «risque lié aux prestataires tiers de services TIC»: un risque lié aux TIC auquel une entité financière peut être exposée du fait de son recours à des services TIC fournis par des prestataires tiers de services TIC ou par des sous-traitants, y compris au moyen d’accords d’externalisation; |
| 19) | «prestataire tiers de services TIC»: une entreprise qui fournit des services TIC; |
| 20) | «prestataire de services TIC intra-groupe»: une entreprise qui fait partie d’un groupe financier et qui fournit principalement des services TIC à des entités financières du même groupe ou à des entités financières appartenant au même système de protection institutionnel, y compris à leurs entreprises mères, filiales et succursales ou à d’autres entités détenues ou contrôlées par la même entité; |
| 21) | «services TIC»: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; |
| 22) | «fonction critique ou importante»: une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers; |
| 23) | «prestataire tiers critique de services TIC»: un prestataire tiers de services TIC désigné comme étant critique conformément à l’article 31; |
| 24) | «prestataire tiers de services TIC établi dans un pays tiers»: un prestataire tiers de services TIC qui est une personne morale établie dans un pays tiers et qui a conclu un accord contractuel avec une entité financière pour la fourniture de services TIC; |
| 25) | «filiale»: une entreprise filiale au sens de l’article 2, point 10), et de l’article 22 de la directive 2013/34/UE; |
| 26) | «groupe»: un groupe au sens de l’article 2, point 11), de la directive 2013/34/UE; |
| 27) | «entreprise mère»: une entreprise mère au sens de l’article 2, point 9), et de l’article 22 de la directive 2013/34/UE; |
| 28) | «sous-traitant de TIC établi dans un pays tiers»: un sous-traitant de TIC qui est une personne morale établie dans un pays tiers et qui a conclu un accord contractuel soit avec un prestataire tiers de services TIC, soit avec un prestataire tiers de services TIC établi dans un pays tiers; |
| 29) | «risque de concentration de TIC»: une exposition à des prestataires tiers critiques de services TIC individuels ou multiples et liés, créant un degré de dépendance à l’égard de ces prestataires, de sorte que l’indisponibilité, la défaillance ou tout autre type d’insuffisance de ces derniers peut potentiellement mettre en péril la capacité d’une entité financière à assurer des fonctions critiques ou importantes, ou l’exposer à subir d’autres types d’effets préjudiciables, y compris des pertes importantes, ou mettre en péril la stabilité financière de l’Union dans son ensemble; |
| 30) | «organe de direction»: un organe de direction au sens de l’article 4, paragraphe 1, point 36), de la directive 2014/65/UE, de l’article 3, paragraphe 1, point 7), de la directive 2013/36/UE, de l’article 2, paragraphe 1, point s), de la directive 2009/65/CE du Parlement européen et du Conseil (31), de l’article 2, paragraphe 1, point 45), du règlement (UE) no 909/2014, de l’article 3, paragraphe 1, point 20), du règlement (UE) 2016/1011, et de la disposition pertinente du règlement sur les marchés de crypto-actifs, ou les personnes assimilées qui dirigent effectivement l’entité ou qui exercent des fonctions clés conformément au droit de l’Union ou au droit national applicable; |
| 31) | «établissement de crédit»: un établissement de crédit au sens de l’article 4, paragraphe 1, point 1), du règlement (UE) no 575/2013 du Parlement européen et du Conseil (32); |
| 32) | «établissement exempté en vertu de la directive 2013/36/UE»: une entité visée à l’article 2, paragraphe 5, points 4) à 23), de la directive 2013/36/UE; |
| 33) | «entreprise d’investissement»: une entreprise d’investissement au sens de l’article 4, paragraphe 1, point 1), de la directive 2014/65/UE; |
| 34) | «petite entreprise d’investissement non interconnectée»: une entreprise d’investissement qui répond aux conditions énoncées à l’article 12, paragraphe 1, du règlement (UE) 2019/2033 du Parlement européen et du Conseil (33); |
| 35) | «établissement de paiement»: un établissement de paiement au sens de l’article 4, point 4), de la directive (UE) 2015/2366; |
| 36) | «établissement de paiement exempté en vertu de la directive (UE) 2015/2366»: un établissement de paiement bénéficiant d’une exemption au titre de l’article 32, paragraphe 1, de la directive (UE) 2015/2366; |
| 37) | «prestataires de services d’information sur les comptes»: un prestataire de services d’information sur les comptes visé à l’article 33, paragraphe 1, de la directive (UE) 2015/2366; |
| 38) | «établissement de monnaie électronique»: un établissement de monnaie électronique au sens de l’article 2, point 1), de la directive 2009/110/CE; |
| 39) | «établissement de monnaie électronique exempté en vertu de la directive 2009/110/CE»: un établissement de monnaie électronique bénéficiant d’une exemption visé à l’article 9, paragraphe 1, de la directive 2009/110/CE; |
| 40) | «contrepartie centrale»: une contrepartie centrale au sens de l’article 2, point 1), du règlement (UE) no 648/2012; |
| 41) | «référentiel central»: un référentiel central au sens de l’article 2, point 2), du règlement (UE) no 648/2012; |
| 42) | «dépositaire central de titres»: un dépositaire central de titres au sens de l’article 2, paragraphe 1, point 1), du règlement (UE) no 909/2014; |
| 43) | «plate-forme de négociation»: une plate-forme de négociation au sens de l’article 4, paragraphe 1, point 24), de la directive 2014/65/UE; |
| 44) | «gestionnaire de fonds d’investissement alternatifs»: un gestionnaire de fonds d’investissement alternatifs au sens de l’article 4, paragraphe 1, point b), de la directive 2011/61/UE; |
| 45) | «société de gestion»: une société de gestion au sens de l’article 2, paragraphe 1, point b), de la directive 2009/65/CE; |
| 46) | «prestataire de services de communication de données»: un prestataire de services de communication de données au sens du règlement (UE) no 600/2014, tel que visé à l’article 2, paragraphe 1, points 34) à 36), dudit règlement; |
| 47) | «entreprise d’assurance»: une entreprise d’assurance au sens de l’article 13, point 1), de la directive 2009/138/CE; |
| 48) | «entreprise de réassurance»: une entreprise de réassurance au sens de l’article 13, point 4), de la directive 2009/138/CE; |
| 49) | «intermédiaire d’assurance»: un intermédiaire d’assurance au sens de l’article 2, paragraphe 1, point 3), de la directive (UE) 2016/97 du Parlement européen et du Conseil (34); |
| 50) | «intermédiaire d’assurance à titre accessoire»: un intermédiaire d’assurance à titre accessoire au sens de l’article 2, paragraphe 1, point 4), de la directive (UE) 2016/97; |
| 51) | «intermédiaire de réassurance»: un intermédiaire de réassurance au sens de l’article 2, paragraphe 1, point 5), de la directive (UE) 2016/97; |
| 52) | «institution de retraite professionnelle»: une institution de retraite professionnelle au sens de l’article 6, point 1), de la directive (UE) 2016/2341; |
| 53) | «petite institution de retraite professionnelle»: une institution de retraite professionnelle qui gère des régimes de retraite qui, ensemble, comptent moins de cent affiliés au total; |
| 54) | «agence de notation de crédit»: une agence de notation de crédit au sens de l’article 3, paragraphe 1, point b), du règlement (CE) no 1060/2009; |
| 55) | «prestataire de services sur crypto-actifs»: un prestataire de services sur crypto-actifs au sens de la disposition pertinente du règlement sur les marchés de crypto-actifs; |
| 56) | «émetteur de jetons se référant à un ou des actifs»: un émetteur de jetons se référant à un ou des actifs au sens de la disposition pertinente du règlement sur les marchés de crypto-actifs; |
| 57) | «administrateur d’indices de référence d’importance critique»: un administrateur d’indices de référence d’importance critique au sens de l’article 3, paragraphe 1, point 25), du règlement (UE) 2016/1011; |
| 58) | «prestataire de services de financement participatif»: un prestataire de services de financement participatif au sens de l’article 2, paragraphe 1, point e), du règlement (UE) 2020/1503 du Parlement européen et du Conseil (35); |
| 59) | «référentiel des titrisations»: un référentiel des titrisations au sens de l’article 2, point 23), du règlement (UE) 2017/2402 du Parlement européen et du Conseil (36); |
| 60) | «microentreprise»: une entité financière, autre qu’une plate-forme de négociation, une contrepartie centrale, un référentiel central ou un dépositaire central de titres, qui emploie moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros; |
| 61) | «superviseur principal»: l’autorité européenne de surveillance désignée conformément à l’article 31, paragraphe 1, point b), du présent règlement; |
| 62) | «comité mixte»: le comité visé à l’article 54 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010; |
| 63) | «petite entreprise»: une entité financière qui emploie dix personnes ou plus mais moins de cinquante personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel dépasse 2 millions d’euros mais n’excède pas 10 millions d’euros; |
| 64) | «moyenne entreprise»: une entité financière qui n’est pas une petite entreprise et qui emploie moins de 250 personnes et dont le chiffre d’affaires annuel n’excède pas 50 millions d’euros et/ou dont le bilan annuel n’excède pas 43 millions d’euros; |
| 65) | «autorité publique»: tout gouvernement ou toute autre entité de l’administration publique, y compris les banques centrales nationales. |