Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2024R1774_EN.17. Retour au Sommaire du niveau 1. Ouvrir le PDF.
Article 16 – Acquisition, développement et maintenance des systèmes de TIC ⬅️ | ➡️ Article 18 – Sécurité physique et environnementale
Références LVL1 <=> LVL2
Level 1 reference(s): 2022R2554_FR.15
Article 17 - Gestion des changements dans les TIC
1.
Dans le cadre des garanties visant à préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, les entités financières incluent dans les procédures de gestion des changements dans les TIC visées à l’2554, en ce qui concerne tous les changements apportés aux logiciels, au matériel, aux composants de micrologiciels, aux systèmes ou aux paramètres de sécurité, l’ensemble des éléments suivants:
a)
une vérification du respect des exigences en matière de sécurité des TIC;
b)
des mécanismes visant à garantir l’indépendance des fonctions qui approuvent les changements et des fonctions responsables de la demande et de la mise en œuvre de ces changements;
c)
une description claire des rôles et des responsabilités afin de garantir:
i)
que les changements sont définis et planifiés;
ii)
qu’une transition adéquate est conçue;
iii)
que les changements sont testés et finalisés de manière contrôlée;
iv)
qu’il existe une assurance de la qualité efficace;
d)
la documentation et la communication des détails des changements, notamment:
i)
de l’objectif et de la portée du changement;
ii)
du calendrier de mise en Ĺ“uvre du changement;
iii)
des résultats attendus;
e)
l’identification des procédures et responsabilités de repli, notamment des procédures et responsabilités pour l’abandon des changements ou le rétablissement à la suite de changements qui n’ont pas été mis en œuvre avec succès;
f)
des procédures, protocoles et outils de gestion des changements d’urgence qui offrent des garanties adéquates;
g)
des procédures de documentation, de réévaluation, d’évaluation et d’approbation des changements d’urgence après leur mise en œuvre, y compris des solutions de contournement et des correctifs;
h)
l’identification de l’incidence potentielle d’un changement sur les mesures existantes en matière de sécurité des TIC et une évaluation visant à déterminer si ce changement nécessite l’adoption de mesures supplémentaires en matière de sécurité des TIC.
2.
Après avoir apporté des changements importants à leurs systèmes de TIC, les contreparties centrales et les dépositaires centraux de titres soumettent leurs systèmes de TIC à des tests rigoureux, en simulant des situations de crise. Les contreparties centrales associent, s’il y a lieu, à la conception et à la conduite des tests visés au premier alinéa:
a)
les membres compensateurs et leurs clients;
b)
les contreparties centrales interopérables;
c)
les autres parties intéressées.
Les dépositaires centraux de titres associent, s’il y a lieu, à la conception et à la conduite des tests visés au premier alinéa:
a)
les utilisateurs;
b)
les prestataires de services et fournisseurs de services de réseau essentiels;
c)
d’autres dépositaires centraux de titres;
d)
d’autres infrastructures de marché;
e)
d’autres établissements avec lesquels les dépositaires centraux de titres ont constaté des interdépendances dans le cadre de leur politique de continuité des activités de TIC.