Considerant 43

(43)

De la même manière, les entités financières qui sont considérées comme des microentreprises ou sont soumises au cadre simplifié de gestion du risque lié aux TIC en vertu du présent règlement ne devraient pas être tenues d’instituer un rôle de suivi des accords qu’elles ont conclu avec des prestataires tiers de services TIC sur l’utilisation des services TIC, ni de désigner un membre de la direction générale chargé de superviser l’exposition aux risques connexe et la documentation pertinente, de confier la responsabilité de la gestion et de la surveillance du risque lié aux TIC à une fonction de contrôle et de veiller à un niveau approprié d’indépendance de cette fonction de contrôle afin d’éviter les conflits d’intérêts, de documenter et de réexaminer au moins une fois par an le cadre de gestion du risque lié aux TIC, de soumettre le cadre de gestion du risque lié aux TIC à un audit interne régulier, d’effectuer des évaluations approfondies après des changements majeurs dans leurs infrastructures de réseau et de système d’information et leurs procédures, de procéder régulièrement à des analyses de risque sur les systèmes de TIC hérités, de soumettre la mise en œuvre des plans de réponse et de rétablissement des TIC à des audits internes indépendants, de disposer d’une fonction de gestion de crise, d’étendre les tests des plans de continuité des activités et des plans de réponse et rétablissement pour tenir compte des scénarios de basculement depuis leur infrastructure de TIC principale vers les installations redondantes, de communiquer aux autorités compétentes, à leur demande, une estimation des coûts et des pertes annuels agrégés causés par des incidents majeurs liés aux TIC, de maintenir des capacités en matière de TIC redondantes, de communiquer aux autorités nationales compétentes les changements mis en œuvre à la suite des examens post-incident lié aux TIC, d’assurer un suivi continu des évolutions technologiques pertinentes, d’établir un programme solide et complet de tests de résilience opérationnelle numérique, qui fait partie intégrante du cadre de gestion du risque lié aux TIC prévu par le présent règlement, ou d’adopter et de régulièrement réexaminer une stratégie en matière de risques liés aux prestataires tiers de services TIC. En outre, les microentreprises ne devraient être tenues d’évaluer la nécessité de maintenir ces capacités en matière de TIC redondantes qu’en se fondant sur leur profil de risque. Les microentreprises devraient faire l’objet d’un régime plus flexible en ce qui concerne les programmes de test de résilience opérationnelle numérique. Lorsqu’elles examinent le type et la fréquence des tests à effectuer, elles devraient trouver un juste équilibre entre l’objectif consistant à maintenir une résilience opérationnelle numérique élevée, les ressources disponibles et leur profil de risque global. Les microentreprises et les entités financières soumises au cadre simplifié de gestion du risque lié aux TIC au titre du présent règlement devraient être exemptées de l’obligation de procéder à des tests avancés d’outils de TIC, de systèmes de TIC et de processus de TIC sur la base de tests de pénétration fondés sur la menace, étant donné que seules les entités financières remplissant les critères énoncés dans le présent règlement devraient être tenues de procéder à ces tests. Compte tenu de leurs capacités limitées, les microentreprises devraient pouvoir convenir avec le prestataire tiers de services TIC de déléguer les droits d’accès, d’inspection et d’audit de l’entité financière à un tiers indépendant, devant être désigné par le prestataire tiers de services TIC, à condition que l’entité financière soit en mesure de demander, à tout moment, toutes les informations et garanties sur la performance du prestataire tiers de services TIC auprès du tiers indépendant.