Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2024R1772_EN.9. Retour au Sommaire du niveau 1. Ouvrir le PDF.
Article 8 – Incidents majeurs ⬅️ | ➡️ Article 10 – Seuils d’importance significative élevés pour la détermination des cybermenaces importantes
Article 9 - Seuils d’importance significative pour la détermination des incidents majeurs
1.
Le seuil d’importance significative pour le critère «clients, contreparties financières et transactions» est atteint lorsque l’une des conditions suivantes est remplie:
a)
le nombre des clients touchés dépasse 10 % de l’ensemble des clients qui utilisent le service touché;
b)
le nombre des clients touchés qui utilisent le service touché dépasse 100 000;
c)
le nombre des contreparties financières touchées dépasse 30 % de l’ensemble des contreparties financières qui exercent des activités liées à la fourniture du service touché;
d)
le nombre des transactions touchées dépasse 10 % du nombre moyen journalier des transactions effectuées par l’entité financière liées au service touché;
e)
le volume des transactions touchées dépasse 10 % de la valeur moyenne journalière des transactions effectuées par l’entité financière liées au service touché;
f)
des clients ou des contreparties financières considérés comme importants en vertu de l’article 1
er
, paragraphe 3, ont été touchés.
Lorsque le nombre réel des clients ou des contreparties financières touchés, ou le nombre ou le volume réel des transactions touchées, ne peut pas être déterminé, l’entité financière estime ce nombre ou ce volume à partir des données disponibles portant sur des périodes de référence comparables.
2.
Le seuil d’importance significative pour le critère «atteinte à la réputation» est atteint lorsque l’une des conditions énoncées à l’article 2, points a) à d), est remplie.
3.
Le seuil d’importance significative pour le critère «durée et interruptions de service» est atteint lorsque l’une des conditions suivantes est remplie:
a)
la durée de l’incident dépasse 24 heures;
b)
l’interruption de service dépasse 2 heures pour les services TIC qui soutiennent des fonctions critiques ou importantes.
4.
Le seuil d’importance significative pour le critère «répartition géographique» est atteint lorsque l’incident a une incidence dans deux États membres ou plus, conformément à l’article 4.
5.
Le seuil d’importance significative pour le critère «pertes de données» est atteint lorsque l’une des conditions suivantes est remplie:
a)
l’incidence sur la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données, visée à l’article 5, nuit ou nuira à la mise en œuvre des objectifs opérationnels de l’entité financière ou à sa capacité de satisfaire aux exigences réglementaires;
b)
les réseaux et les systèmes d’information sont l’objet d’un accès réussi, malveillant et non autorisé non couvert par le point a) et susceptible d’entraîner des pertes de données.
6.
Le seuil d’importance significative pour le critère «conséquences économiques» est atteint lorsque les coûts et les pertes supportés par l’entité financière en raison de l’incident ont dépassé, ou sont susceptibles de dépasser, 100 000 EUR.