Source: OJ L 333, 27.12.2022, p. 1–79Current language: FR
- Digital operational resilience in the financial sector
Basic legislative acts
- DORA regulation
Article 12 Politiques et procédures de sauvegarde, procédures et méthodes de restauration et de rétablissement
Summary What does Article 12 of the DORA regulation say?
This article sits within the ICT risk management framework established by Article 6 and deals specifically with backup, recovery, and restoration requirements.
It sets out the practical infrastructure obligations financial entities must have in place to ensure systems and data can be restored with minimum downtime following a disruption.
Beyond the general requirements for backup policies and recovery procedures, the article carves out specific obligations for certain entity types — central counterparties, data reporting service providers, and central securities depositories — reflecting their particular operational criticality.
Important points:
- Develop documented backup policies and recovery procedures, test them periodically, and ensure backup systems are physically and logically segregated from source systems when restoring data.
- Financial entities other than microenterprises must maintain redundant ICT capacities; microenterprises are only required to assess whether such redundancy is needed.
- Central securities depositories must maintain at least one geographically separate secondary processing site that is immediately accessible and capable of sustaining critical or important functions.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Dans le but de veiller à la restauration des systèmes et des données des TIC en limitant au maximum la durée d’indisponibilité, les perturbations et les pertes, aux fins de leur cadre de gestion du risque lié aux TIC, les entités financières définissent et documentent:
des politiques et procédures de sauvegarde qui précisent la portée des données concernées par la sauvegarde et la fréquence minimale de celle-ci, en fonction de la criticité des informations ou du niveau de confidentialité des données;
des procédures et méthodes de restauration et de rétablissement.
Les entités financières mettent en place des systèmes de sauvegarde qui peuvent être activés conformément aux politiques et procédures de sauvegarde, ainsi qu’aux procédures et méthodes de restauration et de rétablissement. L’activation de systèmes de sauvegarde ne compromet pas la sécurité du réseau et des systèmes d’information ni la disponibilité, l’authenticité, l’intégrité ou la confidentialité des données. Des tests des procédures de sauvegarde et des procédures et méthodes de restauration et de rétablissement sont effectués périodiquement.
Lorsqu’elles restaurent des données de sauvegarde à l’aide de leurs propres systèmes, les entités financières utilisent des systèmes de TIC qui sont séparés physiquement et logiquement du système de TIC source. Les systèmes de TIC sont protégés de manière sécurisée contre tout accès non autorisé ou toute corruption des TIC et permettent la restauration en temps utile des services grâce à la sauvegarde des données et des systèmes si nécessaire.
Dans le cas des contreparties centrales, les plans de rétablissement favorisent la reprise de toutes les transactions qui étaient en cours au moment de la perturbation, pour permettre aux contreparties centrales de continuer à fonctionner avec précision et d’achever le règlement à la date programmée.
Les prestataires de services de communication de données maintiennent en outre des ressources adéquates et possèdent des dispositifs de sauvegarde et de restauration afin d’offrir et de maintenir leurs services à tout moment.
Les entités financières, autres que les microentreprises, maintiennent des capacités en matière de TIC redondantes dotées de ressources, de capacités et de fonctions adéquates pour répondre à leurs besoins. Les microentreprises évaluent la nécessité de maintenir ces capacités en matière de TIC redondantes en se fondant sur leur profil de risque.
Les dépositaires centraux de titres maintiennent au moins un site de traitement secondaire doté de ressources, de capacités, de fonctions et d’effectifs adéquats pour répondre à leurs besoins.
Le site de traitement secondaire:
est situé à une certaine distance géographique du site de traitement primaire afin de veiller à ce qu’il présente un profil de risque distinct et d’éviter qu’il ne soit affecté par l’événement qui a touché le site primaire;
est capable d’assurer la continuité des fonctions critiques ou importantes de la même manière que le site primaire, ou de fournir le niveau de services dont l’entité financière a besoin pour effectuer ses opérations critiques dans le cadre des objectifs de rétablissement;
est immédiatement accessible au personnel de l’entité financière afin d’assurer la continuité des fonctions critiques ou importantes en cas d’indisponibilité du site de traitement primaire.
Lorsqu’elles déterminent les objectifs en matière de délai de rétablissement et de point de rétablissement pour chaque fonction, les entités financières tiennent compte du caractère critique ou important de la fonction et des effets globaux potentiels sur l’efficience du marché. Ces objectifs temporels permettent d’assurer, dans des scénarios extrêmes, le respect des niveaux de service convenus.
Lorsqu’elles opèrent un rétablissement à la suite d’un incident lié aux TIC, les entités financières effectuent les contrôles nécessaires, y compris tout contrôle multiple et rapprochement, afin de garantir le niveau d’intégrité des données le plus haut possible. Ces contrôles sont également effectués lors de la reconstitution des données provenant de parties prenantes externes, afin que toutes les données soient cohérentes entre les systèmes.
Relevant recitals
Considérant 49 Business continuity and recovery plans
Des plans efficaces de continuité des activités et de rétablissement sont nécessaires pour permettre aux entités financières de résoudre immédiatement et rapidement les incidents liés aux TIC, en particulier les cyberattaques, en limitant les dégâts et en donnant la priorité à la reprise des activités et aux mesures de rétablissement conformément à leurs politiques de sauvegarde. Toutefois, cette reprise ne doit en aucun cas compromettre la disponibilité, l’authenticité, l’intégrité ou la sécurité des données.
Considérant 50 Assessment of impact on market efficiency
Si le présent règlement laisse aux entités financières une certaine latitude pour définir leurs objectifs en matière de délai et de point de rétablissement et, partant, pour fixer ces objectifs en tenant pleinement compte de la nature et de la criticité des fonctions concernées et de tout besoin spécifique, il devrait néanmoins leur imposer de mener une évaluation des incidences globales potentielles sur l’efficience du marché lors de la détermination de ces objectifs.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
référentiel central
(En. trade repository)
Definition
plate-forme de négociation
(En. trading venue)
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
incident lié aux TIC
(En. ICT-related incident)
Definition
dépositaire central de titres
(En. central securities depository)
Definition
prestataire de services de communication de données
(En. data reporting service provider)
Definition
cyberattaque
(En. cyber-attack)
Definition
contrepartie centrale
(En. central counterparty)
Definition
risque lié aux TIC
(En. ICT risk)
Definition
microentreprise
(En. microenterprise)
Definition
fonction critique ou importante
(En. critical or important function)