Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2022R2554_EN.4. Ouvrir le PDF.
Article 3 – Définitions ⬅️ | ➡️ Article 7 – Systèmes, protocoles et outils de TIC
Article 4 - Principe de proportionnalité
1.
Les entités financières mettent en œuvre les règles énoncées au chapitre II conformément au principe de proportionnalité, en tenant compte de leur taille et de leur profil de risque global ainsi que de la nature, de l’ampleur et de la complexité de leurs services, activités et opérations.
2.
En outre, l’application par les entités financières des chapitres III et IV et du chapitre V, section I, est proportionnée à leur taille et à leur profil de risque global, ainsi qu’à la nature, à l’ampleur et à la complexité de leurs services, activités et opérations, comme le prévoient expressément les règles pertinentes desdits chapitres.
3.
Les autorités compétentes tiennent compte de l’application du principe de proportionnalité par les entités financières lorsqu’elles examinent la cohérence du cadre de gestion du risque lié aux TIC sur la base des rapports présentés à la demande des autorités compétentes conformément à l’article 6, paragraphe 5, et à l’article 16, paragraphe 2.
Gestion du risque lié aux TIC
Gouvernance et organisation
1.
Les entités financières disposent d’un cadre de gouvernance et de contrôle interne qui garantit une gestion efficace et prudente du risque lié aux TIC, conformément à l’article 6, paragraphe 4, en vue d’atteindre un niveau élevé de résilience opérationnelle numérique.
2.
L’organe de direction de l’entité financière définit, approuve, supervise et est responsable de la mise en œuvre de toutes les dispositions relatives au cadre de gestion du risque lié aux TIC visé à l’article 6, paragraphe 1.
Aux fins du premier alinéa, l’organe de direction:
a)
assume la responsabilité ultime de la gestion du risque lié aux TIC de l’entité financière;
b)
met en place des stratégies visant à garantir le maintien de normes élevées en matière de disponibilité, d’authenticité, d’intégrité et de confidentialité des données;
c)
définit clairement les rôles et les responsabilités pour toutes les fonctions liées aux TIC et met en place des dispositifs de gouvernance appropriés pour assurer une communication, une coopération et une coordination efficaces et en temps utile entre ces fonctions;
d)
assume la responsabilité globale de la définition et de l’approbation de la stratégie de résilience opérationnelle numérique visée à l’article 6, paragraphe 8, y compris la détermination du niveau approprié de tolérance au risque lié aux TIC de l’entité financière, tel que visé à l’article 6, paragraphe 8, point b);
e)
approuve, supervise et examine périodiquement la mise en œuvre de la politique de continuité des activités de TIC de l’entité financière et des plans de réponse et de rétablissement des TIC visés, respectivement, à l’article 11, paragraphes 1 et 3, qui peuvent être adoptés en tant que politique spécifique faisant partie intégrante de la politique globale de continuité des activités et du plan de réponse et de rétablissement de l’entité financière;
f)
approuve et examine périodiquement les plans internes d’audit des TIC et les audits des TIC de l’entité financière ainsi que les modifications significatives qui y sont apportées;
g)
alloue et réexamine périodiquement le budget approprié pour satisfaire les besoins de l’entité financière en matière de résilience opérationnelle numérique pour tous les types de ressources, y compris les programmes pertinents de sensibilisation à la sécurité des TIC et les formations pertinentes à la résilience opérationnelle numérique visés à l’article 13, paragraphe 6, et les compétences en matière de TIC pour l’ensemble du personnel;
h)
approuve et examine périodiquement la politique de l’entité financière concernant les modalités d’utilisation des services TIC fournis par des prestataires tiers de services TIC;
i)
met en place, au niveau de l’entreprise, des canaux de notification lui permettant d’être dûment informé des éléments suivants:
i)
des accords conclus avec des prestataires tiers de services TIC sur l’utilisation des services TIC;
ii)
de tout changement significatif pertinent prévu concernant les prestataires tiers de services TIC;
iii)
des incidences potentielles de ces changements sur les fonctions critiques ou importantes faisant l’objet de ces accords, notamment un résumé de l’analyse des risques visant à évaluer les incidences de ces changements, et au minimum des incidents majeurs liés aux TIC et de leur incidence, ainsi que des mesures de réponse, de rétablissement et de correction.
3.
Les entités financières, autres que les microentreprises, instituent un rôle de suivi des accords conclus avec des prestataires tiers de services TIC sur l’utilisation des services TIC, ou désignent un membre de la direction générale chargé de superviser l’exposition aux risques connexe et la documentation pertinente.
4.
Les membres de l’organe de direction de l’entité financière maintiennent activement à jour des connaissances et des compétences suffisantes pour comprendre et évaluer le risque lié aux TIC et son incidence sur les opérations de l’entité financière, notamment en suivant régulièrement une formation spécifique proportionnée au risque lié aux TIC géré. Cadre de gestion du risque lié aux TIC
1.
Les entités financières disposent d’un cadre de gestion du risque lié aux TIC solide, complet et bien documenté, faisant partie de leur système global de gestion des risques, qui leur permet de parer au risque lié aux TIC de manière rapide, efficiente et exhaustive et de garantir un niveau élevé de résilience opérationnelle numérique.
2.
Le cadre de gestion du risque lié aux TIC englobe au moins les stratégies, les politiques, les procédures, les protocoles et les outils de TIC qui sont nécessaires pour protéger dûment et de manière appropriée tous les actifs informationnels et les actifs de TIC, y compris les logiciels, le matériel informatique, les serveurs, ainsi que toutes les composantes et infrastructures physiques pertinentes, telles que les locaux, centres de données et zones sensibles désignées, afin de garantir que tous les actifs informationnels et actifs de TIC sont correctement protégés contre les risques, y compris les dommages et les accès ou utilisations non autorisés.
3.
Conformément à leur cadre de gestion du risque lié aux TIC, les entités financières réduisent au minimum l’incidence du risque lié aux TIC en déployant des stratégies, des politiques, des procédures, des protocoles et des outils de TIC adéquats. Elles fournissent des informations complètes et actualisées sur le risque lié aux TIC et sur leur cadre de gestion du risque lié aux TIC aux autorités compétentes à leur demande.
4.
Les entités financières, autres que les microentreprises, confient la responsabilité de la gestion et de la surveillance du risque lié aux TIC à une fonction de contrôle et garantissent un niveau approprié d’indépendance de cette fonction de contrôle afin d’éviter les conflits d’intérêts. Les entités financières garantissent une séparation et une indépendance adéquates des fonctions de gestion du risque lié aux TIC, des fonctions de contrôle et des fonctions d’audit interne, selon le modèle reposant sur trois lignes de défense ou un modèle de gestion des risques et de contrôle internes.
5.
Le cadre de gestion du risque lié aux TIC est documenté et réexaminé au moins une fois par an, ou périodiquement pour les microentreprises, ainsi qu’en cas de survenance d’incidents majeurs liés aux ICT, et conformément aux instructions des autorités de surveillance ou aux conclusions tirées des tests de résilience opérationnelle numérique ou des processus d’audit pertinents. Il est amélioré en permanence sur la base des enseignements tirés de la mise en œuvre et du suivi. Un rapport sur le réexamen du cadre de gestion du risque lié aux TIC est présenté à l’autorité compétente à sa demande.
6.
Le cadre de gestion du risque lié aux TIC des entités financières, autres que les microentreprises, fait l’objet d’audits internes réguliers réalisés par des auditeurs conformément au plan d’audit des entités financières. Ces auditeurs possèdent des connaissances, des compétences et une expertise suffisantes en matière de risque lié aux TIC, et font preuve d’une indépendance adéquate. La fréquence et l’objectif des audits des TIC sont proportionnés au risque lié aux TIC de l’entité financière.
7.
Sur la base des conclusions de l’audit interne, les entités financières mettent en place un processus de suivi formel, comprenant des règles pour la vérification et la correction en temps utile des constatations d’importance critique de l’audit des TIC.
8.
Le cadre de gestion du risque lié aux TIC comprend une stratégie de résilience opérationnelle numérique qui définit les modalités de mise en œuvre du cadre. À cette fin, la stratégie de résilience opérationnelle numérique précise les méthodes pour parer au risque lié aux TIC et atteindre des objectifs spécifiques en matière de TIC, en:
a)
expliquant la manière dont le cadre de gestion du risque lié aux TIC soutient la stratégie d’entreprise et les objectifs de l’entité financière;
b)
déterminant le niveau de tolérance au risque lié aux TIC, en fonction de l’appétit pour le risque de l’entité financière, et en analysant la tolérance à l’incidence des dysfonctionnements des TIC;
c)
définissant des objectifs clairs en matière de sécurité de l’information, y compris des indicateurs de performance clés et des indicateurs de risque clés;
d)
décrivant l’architecture des TIC de référence et les changements nécessaires pour atteindre des objectifs spécifiques de l’entité financière;
e)
présentant les différents mécanismes mis en place pour détecter et prévenir les incidents liés aux TIC, ainsi que pour se protéger contre leurs effets;
f)
déterminant la situation actuelle en matière de résilience opérationnelle numérique sur la base du nombre d’incidents majeurs liés aux TIC signalés et de l’efficacité des mesures de prévention;
g)
mettant en œuvre des tests de résilience opérationnelle numérique, conformément au chapitre IV du présent règlement;
h)
définissant une stratégie de communication en cas d’incidents liés aux TIC qui doivent être divulgués en vertu de l’article 14.
9.
Les entités financières peuvent, dans le contexte de la stratégie de résilience opérationnelle numérique visée au paragraphe 8, définir une stratégie globale multi-fournisseurs en matière de TIC au niveau du groupe ou de l’entité, qui met en évidence les principales relations de dépendance à l’égard des prestataires tiers de services TIC et expose les raisons qui sous-tendent la combinaison de prestataires tiers de services TIC choisis. 10. Les entités financières peuvent, conformément au droit de l’Union et au droit sectoriel national, externaliser les tâches de vérification du respect des exigences en matière de gestion du risque lié aux TIC à des entreprises intra-groupe ou externes. Dans le cas d’une telle externalisation, l’entité financière reste pleinement responsable de la vérification du respect des exigences en matière de gestion du risque lié aux TIC.