Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2017R0571_EN.7. Ouvrir le PDF.
Article 6 – Exigences organisationnelles en matière d’externalisation ⬅️ | ➡️ Article 8 – Tests et capacités
Article 7 - Mécanismes de continuité des activités et de sauvegarde
1.
Un prestataire de services de communication de données utilise des systèmes et des mécanismes appropriés et suffisamment solides pour garantir la continuité et la régularité des services visés dans la directive 2014/65/UE.
2.
Un prestataire de services de communication de données procède à des examens périodiques, au moins une fois par an, pour évaluer ses infrastructures techniques et ses politiques et procédures connexes, y compris ses mécanismes de continuité des activités. Il remédie à toute insuffisance constatée pendant l’examen.
3.
Un prestataire de services de communication de données a mis en place des mécanismes de continuité des activités efficaces pour faire face à des incidents perturbateurs, notamment: a) les processus indispensables à la fourniture de ses services, y compris des procédures d’intervention par paliers, l’externalisation d’activités pertinentes ou le recours à des prestataires externes; b) des mécanismes de continuité spécifiques, couvrant un éventail adéquat de scénarios possibles, à court et moyen termes, y compris de défaillances des systèmes, de catastrophe naturelle, de rupture de communication, de perte de collaborateurs clés et d’impossibilité d’utiliser les locaux normalement utilisés; c) la duplication des composants du matériel informatique, pour permettre de basculer vers une infrastructure de sauvegarde, tout en maintenant la connectivité des réseaux et les canaux de communication; d) la sauvegarde des données cruciales pour l’entreprise et des informations actualisées sur les contacts nécessaires, de manière à assurer la communication au sein du prestataire de services de communication de données et avec les clients; e) les procédures relatives au passage à un site de sauvegarde et à l’exploitation des services de communication de données depuis un tel site; f) le délai cible maximal de rétablissement des fonctions critiques, qui doit être aussi court que possible et, en tout état de cause, ne pas dépasser six heures dans le cas de dispositifs de publication agréés (APA) et de fournisseurs de systèmes consolidés de publication (CTP), ni l’heure de clôture des activités le jour ouvrable suivant dans le cas de mécanismes de déclaration agréés (ARM); g) une formation du personnel sur le fonctionnement des mécanismes de continuité des activités, définissant le rôle de chacun, et notamment de membres du personnel spécifiquement chargés des opérations de sécurité et prêts à réagir immédiatement en cas de perturbation des services.
4.
Un prestataire de services de communication de données met en place un programme en vue de périodiquement tester, réexaminer et, au besoin, modifier les mécanismes de continuité des activités.
5.
Un prestataire de services de communication de données informe immédiatement l’autorité compétente de son État membre d’origine et ses clients de toute interruption des services ou de toute perturbation des connexions, ainsi que du délai estimé pour le rétablissement de services normaux, et publie ces informations sur son site web.
6.
Dans le cas d’un ARM, les notifications visées au paragraphe 5 sont également effectuées auprès de toute autorité compétente à laquelle l’ARM soumet des déclarations de transactions.