Source: OJ L 333, 27.12.2022, p. 1–79

Current language: FR

Article 11 Réponse et rétablissement

Summary What does Article 11 of the DORA regulation say?

This article deals with ICT business continuity, sitting within the broader ICT risk management framework established by Article 6 and drawing on the identification requirements of Article 8.

It requires financial entities to put in place a comprehensive ICT business continuity policy, supported by response and recovery plans, and to embed these into their overall business continuity approach.

The article is notably detailed, covering everything from the conduct of a business impact analysis and annual testing of plans, to crisis management functions, recordkeeping during disruptions, and reporting obligations — making it one of the more operationally demanding articles in the regulation.

Important points:

  • Implement a comprehensive ICT business continuity policy, including associated response and recovery plans, and test them at least yearly.
  • Conduct a business impact analysis to assess the potential impact of severe disruptions, ensuring ICT assets and services are designed and used in alignment with its findings.
  • Central securities depositories are required to provide competent authorities with copies of ICT business continuity test results, and financial entities other than microenterprises must report estimated annual costs and losses from major ICT-related incidents upon request.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Aux fins du cadre de gestion du risque lié aux TIC visé à l’article 6, paragraphe 1, et sur la base des exigences en matière d’identification énoncées à l’article 8, les entités financières se dotent d’une politique de continuité des activités de TIC complète, qui peut être adoptée en tant que politique spécifique, et qui forme une partie intégrante de leur politique globale de continuité des activités.

    1. Les entités financières mettent en œuvre la politique de continuité des activités de TIC au moyen de dispositifs, de plans, de procédures et de mécanismes spécifiques, appropriés et documentés visant à:

      1. garantir la continuité des fonctions critiques ou importantes de l’entité financière;

      2. répondre aux incidents liés aux TIC et les résoudre rapidement, dûment et efficacement de manière à limiter les dommages et à donner la priorité à la reprise des activités et aux mesures de rétablissement;

      3. activer, sans retard, des plans spécifiques permettant de déployer des mesures, des processus et des technologies d’endiguement adaptés à chaque type d’incident lié aux TIC et de prévenir tout dommage supplémentaire, ainsi que des procédures sur mesure de réponse et de rétablissement, définies conformément à l’article 12;

      4. estimer les incidences, les dommages et les pertes préliminaires;

      5. définir des mesures de communication et de gestion des crises qui garantissent la transmission d’informations actualisées à tous les membres du personnel interne et à toutes les parties prenantes externes concernés, conformément à l’article 14, et leur déclaration aux autorités compétentes, conformément à l’article 19.

    1. Aux fins du cadre de gestion du risque lié aux TIC visé à l’article 6, paragraphe 1, les entités financières mettent en œuvre des plans de réponse et de rétablissement des TIC qui, dans le cas des entités financières, autres que les microentreprises, font l’objet de revues indépendantes de l’audit interne.

    1. Les entités financières mettent en place, maintiennent et testent périodiquement des plans de continuité des activités de TIC appropriés, notamment en ce qui concerne les fonctions critiques ou importantes externalisées ou sous-traitées dans le cadre d’accords avec des prestataires tiers de services TIC.

    1. Dans le cadre de la politique globale de continuité des activités, les entités financières procèdent à une analyse des incidences sur les activités de leurs expositions à de graves perturbations de leurs activités. Dans le cadre de cette analyse, les entités financières évaluent l’incidence potentielle de graves perturbations de leurs activités au moyen de critères quantitatifs et qualitatifs, à l’aide de données internes et externes et d’une analyse de scénarios, le cas échéant. L’analyse des incidences sur les activités tient compte du caractère critique des fonctions «métiers», des processus de soutien, des dépendances de tiers et des actifs informationnels identifiés et cartographiés, ainsi que de leurs interdépendances. Les entités financières veillent à ce que les actifs de TIC et les services TIC soient conçus et utilisés dans le respect total de l’analyse des incidences sur les activités, en particulier en garantissant de manière adéquate la redondance de toutes les composantes critiques.

    1. Dans le cadre de leur gestion globale du risque lié aux TIC, les entités financières:

      1. testent les plans de continuité des activités de TIC et les plans de réponse et de rétablissement des TIC concernant les systèmes de TIC soutenant toutes les fonctions au moins une fois par an ainsi qu’en cas de modifications substantielles apportées aux systèmes de TIC qui soutiennent des fonctions critiques ou importantes;

      2. testent les plans de communication en situation de crise établis conformément à l’article 14.

    2. Aux fins du premier alinéa, point a), les entités financières, autres que les microentreprises, incluent dans les plans de test des scénarios de cyberattaques et de basculement entre l’infrastructure de TIC principale et la capacité redondante, les sauvegardes et les installations redondantes nécessaires pour satisfaire aux obligations énoncées à l’article 12.

    3. Les entités financières réexaminent régulièrement leur politique de continuité des activités de TIC et leurs plans de réponse et de rétablissement des TIC en tenant compte des résultats des tests effectués conformément au premier alinéa et des recommandations découlant des contrôles d’audit ou des examens des autorités de surveillance.

    1. Les entités financières, autres que les microentreprises, disposent d’une fonction de gestion de crise qui, en cas d’activation de leurs plans de continuité des activités de TIC ou de leurs plans de réponse et de rétablissement des TIC, définit, entre autres, des procédures claires pour gérer les communications internes et externes en situation de crise, conformément à l’article 14.

    1. Les entités financières tiennent un registre, facile d’accès, des activités avant et pendant les perturbations lorsque leurs plans de continuité des activités de TIC et leurs plans de réponse et de rétablissement des TIC sont activés.

    1. Les dépositaires centraux de titres fournissent aux autorités compétentes des copies des résultats des tests de continuité des activités de TIC ou d’exercices similaires.

    1. Les entités financières, autres que les microentreprises, communiquent aux autorités compétentes, à leur demande, une estimation des coûts et pertes annuels agrégés occasionnés par des incidents majeurs liés aux TIC.

    1. Conformément à l’article 16 des règlements (UE) no 1093/2010, (UE) no 1094/2010 et (UE) no 1095/2010, les AES, agissant par l’intermédiaire du comité mixte, élaborent, au plus tard le 17 juillet 2024, des orientations communes sur l’estimation des coûts et pertes annuels agrégés visés au paragraphe 10.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod