Couverture Luxgap RGPD NIS 2 DORA AI Act Lanceurs d'alerte CSSF 22/806
Considérant 21

Considérant 21

Règlement sur la résilience opérationnelle numérique du secteur financier · UE 2022/2554

(21)

Afin de conserver la maîtrise totale du risque lié aux TIC, les entités financières doivent disposer de capacités globales permettant une gestion solide et efficace du risque lié aux TIC, ainsi que de mécanismes et de politiques spécifiques pour le traitement de tous les incidents liés aux TIC et pour la notification des incidents majeurs liés aux TIC. De même, les entités financières devraient disposer de politiques pour le test des systèmes de TIC, contrôles des TIC et processus des TIC, ainsi que pour la gestion des risques liés aux prestataires tiers de services TIC. Le niveau de référence en matière de résilience opérationnelle numérique des entités financières devrait être relevé tout en permettant également une application proportionnée des exigences à certaines entités financières, en particulier les microentreprises, ainsi que les entités financières soumises à un cadre de gestion du risque lié aux TIC simplifié. Pour favoriser une surveillance efficace des institutions de retraite professionnelle qui soit proportionnée et réponde au besoin de réduire les charges administratives pesant sur les autorités compétentes, les dispositions nationales pertinentes en matière de surveillance applicables à ces entités financières devraient tenir compte de leur taille et de leur profil de risque global ainsi que de la nature, de l’ampleur et de la complexité de leurs services, activités et opérations, même lorsque les seuils pertinents fixés à l’article 5 de la directive (UE) 2016/2341 du Parlement européen et du Conseil (10) sont dépassés. En particulier, les activités de surveillance devraient porter essentiellement sur la nécessité de faire face aux risques graves associés à la gestion du risque lié aux TIC d’une entité donnée.

Les autorités compétentes devraient également maintenir une approche vigilante, mais proportionnée, en ce qui concerne la surveillance des institutions de retraite professionnelle qui, conformément à l’article 31 de la directive (UE) 2016/2341, externalisent une partie importante de leurs activités de base, telles que la gestion d’actifs, les calculs actuariels, la comptabilité et la gestion de données, à des prestataires de services.