Gouvernance et organisation
Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554
Gouvernance et organisation
1. Les entités financières disposent d’un cadre de gouvernance et de contrôle interne qui garantit une gestion efficace et prudente du risque lié aux TIC, conformément à l’article 6, paragraphe 4, en vue d’atteindre un niveau élevé de résilience opérationnelle numérique.
2. L’organe de direction de l’entité financière définit, approuve, supervise et est responsable de la mise en œuvre de toutes les dispositions relatives au cadre de gestion du risque lié aux TIC visé à l’article 6, paragraphe 1.
Aux fins du premier alinéa, l’organe de direction:
| a) | assume la responsabilité ultime de la gestion du risque lié aux TIC de l’entité financière; |
| b) | met en place des stratégies visant à garantir le maintien de normes élevées en matière de disponibilité, d’authenticité, d’intégrité et de confidentialité des données; |
| c) | définit clairement les rôles et les responsabilités pour toutes les fonctions liées aux TIC et met en place des dispositifs de gouvernance appropriés pour assurer une communication, une coopération et une coordination efficaces et en temps utile entre ces fonctions; |
| d) | assume la responsabilité globale de la définition et de l’approbation de la stratégie de résilience opérationnelle numérique visée à l’article 6, paragraphe 8, y compris la détermination du niveau approprié de tolérance au risque lié aux TIC de l’entité financière, tel que visé à l’article 6, paragraphe 8, point b); |
| e) | approuve, supervise et examine périodiquement la mise en œuvre de la politique de continuité des activités de TIC de l’entité financière et des plans de réponse et de rétablissement des TIC visés, respectivement, à l’article 11, paragraphes 1 et 3, qui peuvent être adoptés en tant que politique spécifique faisant partie intégrante de la politique globale de continuité des activités et du plan de réponse et de rétablissement de l’entité financière; |
| f) | approuve et examine périodiquement les plans internes d’audit des TIC et les audits des TIC de l’entité financière ainsi que les modifications significatives qui y sont apportées; |
| g) | alloue et réexamine périodiquement le budget approprié pour satisfaire les besoins de l’entité financière en matière de résilience opérationnelle numérique pour tous les types de ressources, y compris les programmes pertinents de sensibilisation à la sécurité des TIC et les formations pertinentes à la résilience opérationnelle numérique visés à l’article 13, paragraphe 6, et les compétences en matière de TIC pour l’ensemble du personnel; |
| h) | approuve et examine périodiquement la politique de l’entité financière concernant les modalités d’utilisation des services TIC fournis par des prestataires tiers de services TIC; |
| i) | met en place, au niveau de l’entreprise, des canaux de notification lui permettant d’être dûment informé des éléments suivants:
|
3. Les entités financières, autres que les microentreprises, instituent un rôle de suivi des accords conclus avec des prestataires tiers de services TIC sur l’utilisation des services TIC, ou désignent un membre de la direction générale chargé de superviser l’exposition aux risques connexe et la documentation pertinente.
4. Les membres de l’organe de direction de l’entité financière maintiennent activement à jour des connaissances et des compétences suffisantes pour comprendre et évaluer le risque lié aux TIC et son incidence sur les opérations de l’entité financière, notamment en suivant régulièrement une formation spécifique proportionnée au risque lié aux TIC géré.