Info
🔗 Retour au Sommaire. 🇬🇧 Version Anglaise: 2024R1774_EN.41. Retour au Sommaire du niveau 1. Ouvrir le PDF.
Article 40 – Tests des plans de continuité des activités ⬅️ | ➡️ Article 42 – Entrée en vigueur
Références LVL1 <=> LVL2
Level 1 reference(s): 2022R2554_FR.16
Article 41 - Format et contenu du rapport sur le réexamen du cadre simplifié de gestion du risque lié aux TIC
1.
Les entités financières visées à l’2554 présentent le rapport sur le réexamen du cadre de gestion du risque lié aux TIC visé au paragraphe 2 dudit article dans un format électronique interrogeable.
2.
Le rapport visé au paragraphe 1 contient l’ensemble des informations suivantes:
a)
une partie introductive contenant:
i)
une description du contexte du rapport en ce qui concerne la nature, l’échelle et la complexité des services, activités et opérations de l’entité financière, son organisation, ses fonctions critiques recensées, sa stratégie, ses grands projets ou activités en cours, ses relations et sa dépendance à l’égard des services et systèmes de TIC internes ou sous-traités, ou les conséquences qu’une perte totale ou une dégradation grave de ces systèmes engendrerait en ce qui concerne les fonctions critiques ou importantes et l’efficience du marché;
ii)
une synthèse du risque lié aux TIC actuel et à court terme qui a été identifié, de l’éventail des menaces, de l’évaluation de l’efficacité de ses contrôles et de la posture de sécurité de l’entité financière;
iii)
des informations sur le domaine faisant l’objet du rapport;
iv)
un résumé des changements majeurs dont le cadre de gestion du risque lié aux TIC a fait l’objet depuis le rapport précédent;
v)
un résumé et une description de l’incidence des changements dont le cadre simplifié de gestion du risque lié aux TIC a fait l’objet depuis le rapport précédent;
b)
le cas échéant, la date d’approbation du rapport par l’organe de direction de l’entité financière;
c)
une description des raisons du réexamen, notamment:
i)
lorsque le réexamen a été engagé à la suite d’instructions des autorités de surveillance, la preuve de ces instructions;
ii)
lorsque le réexamen a été engagé à la suite d’incidents liés aux TIC, la liste de ces incidents accompagnée d’une analyse de leur cause originelle;
d)
les dates de début et de fin de la période examinée;
e)
la personne responsable du réexamen;
f)
un résumé des constatations et une autoévaluation, comprenant une analyse détaillée, de la gravité des faiblesses, des défaillances et des lacunes identifiées du cadre de gestion du risque lié aux TIC pour la période examinée;
g)
les mesures définies pour remédier aux faiblesses, aux défaillances et aux lacunes du cadre simplifié de gestion du risque lié aux TIC, ainsi que la date prévue pour la mise en œuvre de ces mesures, y compris les suites données aux faiblesses, défaillances et lacunes identifiées dans les rapports précédents, lorsqu’il n’y a pas encore été remédié;
h)
les conclusions générales du réexamen du cadre simplifié de gestion du risque lié aux TIC, y compris les nouvelles évolutions prévues.