Cadre de gestion du risque lié aux TIC
Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554
Cadre de gestion du risque lié aux TIC
1. Les entités financières disposent d’un cadre de gestion du risque lié aux TIC solide, complet et bien documenté, faisant partie de leur système global de gestion des risques, qui leur permet de parer au risque lié aux TIC de manière rapide, efficiente et exhaustive et de garantir un niveau élevé de résilience opérationnelle numérique.
2. Le cadre de gestion du risque lié aux TIC englobe au moins les stratégies, les politiques, les procédures, les protocoles et les outils de TIC qui sont nécessaires pour protéger dûment et de manière appropriée tous les actifs informationnels et les actifs de TIC, y compris les logiciels, le matériel informatique, les serveurs, ainsi que toutes les composantes et infrastructures physiques pertinentes, telles que les locaux, centres de données et zones sensibles désignées, afin de garantir que tous les actifs informationnels et actifs de TIC sont correctement protégés contre les risques, y compris les dommages et les accès ou utilisations non autorisés.
3. Conformément à leur cadre de gestion du risque lié aux TIC, les entités financières réduisent au minimum l’incidence du risque lié aux TIC en déployant des stratégies, des politiques, des procédures, des protocoles et des outils de TIC adéquats. Elles fournissent des informations complètes et actualisées sur le risque lié aux TIC et sur leur cadre de gestion du risque lié aux TIC aux autorités compétentes à leur demande.
4. Les entités financières, autres que les microentreprises, confient la responsabilité de la gestion et de la surveillance du risque lié aux TIC à une fonction de contrôle et garantissent un niveau approprié d’indépendance de cette fonction de contrôle afin d’éviter les conflits d’intérêts. Les entités financières garantissent une séparation et une indépendance adéquates des fonctions de gestion du risque lié aux TIC, des fonctions de contrôle et des fonctions d’audit interne, selon le modèle reposant sur trois lignes de défense ou un modèle de gestion des risques et de contrôle internes.
5. Le cadre de gestion du risque lié aux TIC est documenté et réexaminé au moins une fois par an, ou périodiquement pour les microentreprises, ainsi qu’en cas de survenance d’incidents majeurs liés aux ICT, et conformément aux instructions des autorités de surveillance ou aux conclusions tirées des tests de résilience opérationnelle numérique ou des processus d’audit pertinents. Il est amélioré en permanence sur la base des enseignements tirés de la mise en œuvre et du suivi. Un rapport sur le réexamen du cadre de gestion du risque lié aux TIC est présenté à l’autorité compétente à sa demande.
6. Le cadre de gestion du risque lié aux TIC des entités financières, autres que les microentreprises, fait l’objet d’audits internes réguliers réalisés par des auditeurs conformément au plan d’audit des entités financières. Ces auditeurs possèdent des connaissances, des compétences et une expertise suffisantes en matière de risque lié aux TIC, et font preuve d’une indépendance adéquate. La fréquence et l’objectif des audits des TIC sont proportionnés au risque lié aux TIC de l’entité financière.
7. Sur la base des conclusions de l’audit interne, les entités financières mettent en place un processus de suivi formel, comprenant des règles pour la vérification et la correction en temps utile des constatations d’importance critique de l’audit des TIC.
8. Le cadre de gestion du risque lié aux TIC comprend une stratégie de résilience opérationnelle numérique qui définit les modalités de mise en œuvre du cadre. À cette fin, la stratégie de résilience opérationnelle numérique précise les méthodes pour parer au risque lié aux TIC et atteindre des objectifs spécifiques en matière de TIC, en:
| a) | expliquant la manière dont le cadre de gestion du risque lié aux TIC soutient la stratégie d’entreprise et les objectifs de l’entité financière; |
| b) | déterminant le niveau de tolérance au risque lié aux TIC, en fonction de l’appétit pour le risque de l’entité financière, et en analysant la tolérance à l’incidence des dysfonctionnements des TIC; |
| c) | définissant des objectifs clairs en matière de sécurité de l’information, y compris des indicateurs de performance clés et des indicateurs de risque clés; |
| d) | décrivant l’architecture des TIC de référence et les changements nécessaires pour atteindre des objectifs spécifiques de l’entité financière; |
| e) | présentant les différents mécanismes mis en place pour détecter et prévenir les incidents liés aux TIC, ainsi que pour se protéger contre leurs effets; |
| f) | déterminant la situation actuelle en matière de résilience opérationnelle numérique sur la base du nombre d’incidents majeurs liés aux TIC signalés et de l’efficacité des mesures de prévention; |
| g) | mettant en œuvre des tests de résilience opérationnelle numérique, conformément au chapitre IV du présent règlement; |
| h) | définissant une stratégie de communication en cas d’incidents liés aux TIC qui doivent être divulgués en vertu de l’article 14. |
9. Les entités financières peuvent, dans le contexte de la stratégie de résilience opérationnelle numérique visée au paragraphe 8, définir une stratégie globale multi-fournisseurs en matière de TIC au niveau du groupe ou de l’entité, qui met en évidence les principales relations de dépendance à l’égard des prestataires tiers de services TIC et expose les raisons qui sous-tendent la combinaison de prestataires tiers de services TIC choisis.
10. Les entités financières peuvent, conformément au droit de l’Union et au droit sectoriel national, externaliser les tâches de vérification du respect des exigences en matière de gestion du risque lié aux TIC à des entreprises intra-groupe ou externes. Dans le cas d’une telle externalisation, l’entité financière reste pleinement responsable de la vérification du respect des exigences en matière de gestion du risque lié aux TIC.