Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2024R1774_EN.28. Retour au Sommaire du niveau 1. Ouvrir le PDF.
Article 27 – Format et contenu du rapport sur le réexamen du cadre de gestion du risque lié aux TIC ⬅️ | ➡️ Article 29 – Politique et mesures en matière de sécurité de l’information
Références LVL1 <=> LVL2
Level 1 reference(s): 2022R2554_FR.16
Article 28 - Gouvernance et organisation
1.
Les entités financières visées à l’2554 disposent d’un cadre de gouvernance et de contrôle interne qui garantit une gestion efficace et prudente du risque lié aux TIC, en vue d’atteindre un niveau élevé de résilience opérationnelle numérique.
2.
Les entités financières visées au paragraphe 1 veillent, au titre de leur cadre simplifié de gestion du risque lié aux TIC, à ce que leur organe de direction:
a)
assume la responsabilité globale de veiller à ce que le cadre simplifié de gestion du risque lié aux TIC permette de réaliser la stratégie d’entreprise de l’entité financière conformément à l’appétit pour le risque de cette entité financière, et veille à ce que le risque lié aux TIC soit pris en considération dans ce contexte;
b)
définisse clairement les rôles et les responsabilités pour toutes les tâches relatives aux TIC;
c)
définisse les objectifs en matière de sécurité de l’information et les exigences en matière de TIC;
d)
approuve, supervise et réexamine périodiquement:
i)
la classification des actifs informationnels de l’entité financière visée à l’article 30, paragraphe 1, du présent règlement, la liste des principaux risques identifiés et l’analyse des incidences sur les activités ainsi que les politiques connexes;
ii)
les plans de continuité des activités de l’entité financière ainsi que les mesures de réponse et de rétablissement visés à l’2554;
e)
alloue et réexamine au moins une fois par an le budget nécessaire pour satisfaire les besoins de l’entité financière en matière de résilience opérationnelle numérique pour tous les types de ressources, y compris les programmes pertinents de sensibilisation à la sécurité des TIC et les formations pertinentes à la résilience opérationnelle numérique et les compétences en matière de TIC pour l’ensemble du personnel;
f)
précise et met en œuvre les politiques et mesures prévues aux chapitres I, II et III du présent titre permettant d’identifier, d’évaluer et de gérer le risque lié aux TIC auquel l’entité financière est exposée;
g)
définit et met en œuvre les procédures, les protocoles TIC et les outils nécessaires à la protection de tous les actifs informationnels et de TIC;
h)
veille au maintien à jour d’un niveau suffisant de connaissances et de compétences du personnel de l’entité financière permettant à ce dernier de comprendre et d’évaluer le risque lié aux TIC et son incidence sur les opérations de l’entité financière, de façon proportionnée au risque lié aux TIC géré;
i)
établit des modalités d’établissement de rapports, y compris la fréquence, la forme et le contenu des rapports à l’organe de direction sur la sécurité de l’information et la résilience opérationnelle numérique.
3.
Les entités financières visées au paragraphe 1 peuvent, conformément au droit de l’Union et au droit sectoriel national, externaliser les tâches de vérification du respect des exigences en matière de gestion du risque lié aux TIC à des prestataires de services TIC intra-groupe ou à des prestataires tiers de services TIC. Dans le cas d’une telle externalisation, les entités financières demeurent pleinement responsables de la vérification du respect des exigences en matière de gestion du risque lié aux TIC.
4.
Les entités financières visées au paragraphe 1 garantissent une séparation et une indépendance adéquates des fonctions de contrôle et des fonctions d’audit interne.
5.
Les entités financières visées au paragraphe 1 veillent à ce que leur cadre simplifié de gestion du risque lié aux TIC fasse l’objet d’un audit interne réalisé par des auditeurs conformément au plan d’audit de ces entités financières. Ces auditeurs disposent de connaissances, de compétences et d’une expertise suffisantes en matière de risque lié aux TIC, et sont indépendants. La fréquence et l’objectif des audits des TIC sont proportionnés au risque lié aux TIC de l’entité financière.
6.
Sur la base des résultats de l’audit visé au paragraphe 5, les entités financières visées au paragraphe 1 veillent à la vérification et à la correction en temps utile des constatations d’importance critique de l’audit des TIC.