Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2024R1774_EN.39. Retour au Sommaire du niveau 1. Ouvrir le PDF.
Article 38 – Gestion des projets de TIC et des changements dans les TIC ⬅️ | ➡️ Article 40 – Tests des plans de continuité des activités
Références LVL1 <=> LVL2
Level 1 reference(s): 2022R2554_FR.16
Article 39 - Composantes du plan de continuité des activités de TIC
1.
Les entités financières visées à l’2554 élaborent leurs plans de continuité des activités de TIC en prenant en considération les résultats de l’analyse de leurs expositions aux graves perturbations des activités et de leurs incidences potentielles, ainsi que les scénarios auxquels leurs actifs de TIC qui soutiennent des fonctions critiques ou importantes pourraient être exposés, y compris un scénario de cyberattaque.
2.
Les plans de continuité des activités de TIC visés au paragraphe 1:
a)
sont approuvés par l’organe de direction de l’entité financière;
b)
sont documentés et facilement accessibles en cas d’urgence ou de crise;
c)
affectent des ressources suffisantes à leur exécution;
d)
établissent les niveaux de rétablissement et les délais prévus pour le rétablissement et la reprise des fonctions et des principales relations de dépendance internes et externes, y compris les prestataires tiers de services TIC;
e)
définissent les conditions susceptibles de déclencher l’activation des plans de continuité des activités de TIC et les mesures à prendre pour garantir la disponibilité, la continuité et le rétablissement des actifs de TIC des entités financières qui soutiennent des fonctions critiques ou importantes;
f)
définissent les mesures de restauration et de rétablissement pour les fonctions «métiers» critiques ou importantes, les processus de soutien, les actifs informationnels et leurs interdépendances afin d’éviter des effets préjudiciables sur le fonctionnement des entités financières;
g)
définissent des procédures et mesures de sauvegarde qui précisent l’étendue des données concernées par la sauvegarde ainsi que la fréquence minimale de celle-ci, selon la criticité de la fonction qui utilise ces données;
h)
prévoient d’autres options pour le cas où le rétablissement ne serait pas réalisable à court terme en raison des coûts, des risques, de problèmes logistiques ou de circonstances imprévues;
i)
précisent les modalités de communication interne et externe, y compris les plans de remontée des informations;
j)
sont actualisés en fonction des enseignements tirés des incidents, des tests, des nouveaux risques et des menaces identifiés, des changements des objectifs de rétablissement, des changements majeurs apportés à l’organisation de l’entité financière et aux actifs de TIC qui soutiennent des fonctions critiques ou des fonctions «métiers».
Aux fins du point f), les mesures visées audit point prévoient l’atténuation des défaillances des prestataires tiers critiques.