Article 16 Cadre simplifié de gestion du risque lié aux TIC

Summary What does Article 16 of the DORA regulation say?

This article establishes a simplified ICT risk management regime for a specific category of smaller or exempted entities, carving them out from the fuller obligations set out in Articles 5 to 15.

Rather than leaving these entities with no obligations at all, the article replaces the detailed framework with a streamlined but still substantive set of requirements covering the essentials: maintaining a documented ICT risk management framework, monitoring ICT systems, ensuring business continuity, identifying third-party dependencies, and feeding lessons from tests and incidents back into the framework.

The ESAs are also tasked with developing regulatory technical standards to flesh out the details of this lighter-touch regime.

Important points:

If your entity falls into one of the exempted categories (such as small and non-interconnected investment firms or small institutions for occupational retirement provision), the full ICT risk management requirements of Articles 5 to 15 do not apply to you — but you must still implement a documented ICT risk management framework covering the core obligations listed in this article.
Regularly test your business continuity plans and controls, and feed the conclusions from those tests and any post-incident analysis back into your ICT risk management framework.
The ESAs are required to develop regulatory technical standards to further specify the content of the simplified framework, in consultation with ENISA.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Les articles 5 à 15 du présent règlement ne s’appliquent pas aux petites entreprises d’investissement non interconnectées et aux établissements de paiement exemptés en vertu de la directive (UE) 2015/2366; aux établissements exemptés en vertu de la directive 2013/36/UE pour lesquels les États membres ont décidé de ne pas appliquer l’option visée à l’article 2, paragraphe 4, du présent règlement; aux établissements de monnaie électronique exemptés en vertu de la directive 2009/110/CE; et aux petites institutions de retraite professionnelle.
2. Sans préjudice du premier alinéa, les entités énumérées au premier alinéa doivent:
  1. mettre en place et maintenir un cadre de gestion du risque lié aux TIC solide et documenté qui détaille les mécanismes et les mesures permettant une gestion rapide, efficace et complète du risque lié aux TIC, y compris en ce qui concerne la protection des composantes et infrastructures physiques pertinentes;
  2. surveiller en permanence la sécurité et le fonctionnement de tous les systèmes de TIC;
  3. réduire au minimum l’incidence du risque lié aux TIC grâce à l’utilisation de systèmes, protocoles et outils de TIC solides, résilients et actualisés, aptes à soutenir l’exercice de leurs activités et la fourniture de services et à protéger de manière adéquate la disponibilité, l’authenticité, l’intégrité et la confidentialité des données dans le réseau et les systèmes d’information;
  4. permettre d’identifier et de détecter rapidement les sources de risque et les anomalies liés aux TIC dans le réseau et les systèmes d’information et de traiter rapidement les incidents liés aux TIC;
  5. recenser les principales dépendances vis-à-vis des prestataires tiers de services TIC;
  6. assurer la continuité des fonctions critiques ou importantes, au moyen de plans de continuité des activités et de mesures de réponse et de rétablissement, qui comprennent au moins des mesures de sauvegarde et de restauration;
  7. tester régulièrement les plans et mesures visés au point f), ainsi que l’efficacité des contrôles mis en œuvre conformément aux points a) et c);
  8. mettre en œuvre, le cas échéant, les conclusions opérationnelles pertinentes résultant des tests visés au point g) et de l’analyse post-incident dans le processus d’évaluation du risque lié aux TIC et élaborer, en fonction des besoins et du profil de risque lié aux TIC, des programmes de sensibilisation en matière de sécurité des TIC et de formation à la résilience opérationnelle numérique à l’intention du personnel et de la direction.
1. Le cadre de gestion du risque lié aux TIC visé au paragraphe 1, deuxième alinéa, point a), est documenté et réexaminé périodiquement et en cas d’incidents majeurs liés aux TIC conformément aux instructions des autorités de surveillance. Il est amélioré en permanence sur la base des enseignements tirés de la mise en œuvre et du suivi. Un rapport sur le réexamen du cadre de gestion du risque lié aux TIC est présenté à l’autorité compétente à sa demande.
1. Les AES élaborent, par l’intermédiaire du comité mixte, en concertation avec l’ENISA, des projets communs de normes techniques de réglementation afin de:
  1. préciser davantage les éléments à inclure dans le cadre de gestion du risque lié aux TIC visé au paragraphe 1, deuxième alinéa, point a);
  2. préciser davantage les éléments relatifs aux systèmes, protocoles et outils visant à réduire au minimum l’incidence du risque lié aux TIC visés au paragraphe 1, deuxième alinéa, point c), en vue de garantir la sécurité des réseaux, de favoriser la mise en place de garanties adéquates contre les intrusions et les utilisations abusives des données et de préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données;
  3. détailler davantage les composantes des plans de continuité des activités de TIC visés au paragraphe 1, deuxième alinéa, point f);
  4. préciser davantage les règles relatives aux tests des plans de continuité des activités, veiller à l’efficacité des contrôles visées au paragraphe 1, deuxième alinéa, point g), et veiller à ce que ces tests tiennent dûment compte des scénarios dans lesquels la qualité de l’exécution d’une fonction critique ou importante se détériore à un niveau inacceptable ou dans lesquels l’exécution d’une fonction critique ou importante échoue;
  5. préciser davantage le contenu et le format du rapport sur le réexamen du cadre de gestion du risque lié aux TIC visé au paragraphe 2.
2. Lorsqu’elles élaborent ces projets de normes techniques de réglementation, les AES tiennent compte de la taille et du profil de risque global de l’entité financière, ainsi que de la nature, de l’ampleur et de la complexité de ses services, activités et opérations.
3. Les AES soumettent ces projets de normes techniques de réglementation à la Commission au plus tard le 17 janvier 2024.
4. Le pouvoir de compléter le présent règlement par l’adoption des normes techniques de réglementation visées au premier alinéa est délégué à la Commission conformément aux articles 10 à 14 des règlements (UE) n^o 1093/2010, (UE) n^o 1094/2010 et (UE) n^o 1095/2010.

Relevant recitals

Considérant 42 Simplified ICT risk management for small financial entities

En vertu du droit sectoriel de l’Union, certaines entités financières sont soumises à des exigences moins strictes ou à des exemptions pour des raisons liées à leur taille ou aux services qu’elles fournissent. Cette catégorie d’entités financières inclut les petites entreprises d’investissement non interconnectées, les petites institutions de retraite professionnelle qui peuvent être exclues du champ d’application de la directive (UE) 2016/2341 dans les conditions prévues à l’article 5 de ladite directive par l’État membre concerné et qui gèrent des régimes de pension qui, ensemble, n’ont pas plus de cent affiliés au total, ainsi que les institutions exemptées en vertu de la directive 2013/36/UE. Par conséquent, conformément au principe de proportionnalité et afin de préserver l’esprit du droit sectoriel de l’Union, il convient également de soumettre ces entités financières à un cadre simplifié de gestion du risque lié aux TIC en vertu du présent règlement. Le caractère proportionné du cadre de gestion du risque lié aux TIC couvrant ces entités financières ne devrait pas être modifié par les normes techniques de réglementation qui doivent être élaborées par les AES. De plus, conformément au principe de proportionnalité, il convient de soumettre également les établissements de paiement visés à l’article 32, paragraphe 1, de la directive (UE) 2015/2366 et les établissements de monnaie électronique visés à l’article 9 de la directive 2009/110/CE exemptés conformément aux dispositions de droit national transposant ces actes juridiques de l’Union à un cadre simplifié de gestion du risque lié aux TIC en vertu du présent règlement, tandis que les établissements de paiement et les établissements de monnaie électronique qui n’ont pas été exemptés conformément aux dispositions de leur droit national respectif transposant le droit sectoriel de l’Union devraient respecter le cadre général établi par le présent règlement.

Considérant 43 Exemptions for microenterprises and financial entities subject to a simplified risk management framework

De la même manière, les entités financières qui sont considérées comme des microentreprises ou sont soumises au cadre simplifié de gestion du risque lié aux TIC en vertu du présent règlement ne devraient pas être tenues d’instituer un rôle de suivi des accords qu’elles ont conclu avec des prestataires tiers de services TIC sur l’utilisation des services TIC, ni de désigner un membre de la direction générale chargé de superviser l’exposition aux risques connexe et la documentation pertinente, de confier la responsabilité de la gestion et de la surveillance du risque lié aux TIC à une fonction de contrôle et de veiller à un niveau approprié d’indépendance de cette fonction de contrôle afin d’éviter les conflits d’intérêts, de documenter et de réexaminer au moins une fois par an le cadre de gestion du risque lié aux TIC, de soumettre le cadre de gestion du risque lié aux TIC à un audit interne régulier, d’effectuer des évaluations approfondies après des changements majeurs dans leurs infrastructures de réseau et de système d’information et leurs procédures, de procéder régulièrement à des analyses de risque sur les systèmes de TIC hérités, de soumettre la mise en œuvre des plans de réponse et de rétablissement des TIC à des audits internes indépendants, de disposer d’une fonction de gestion de crise, d’étendre les tests des plans de continuité des activités et des plans de réponse et rétablissement pour tenir compte des scénarios de basculement depuis leur infrastructure de TIC principale vers les installations redondantes, de communiquer aux autorités compétentes, à leur demande, une estimation des coûts et des pertes annuels agrégés causés par des incidents majeurs liés aux TIC, de maintenir des capacités en matière de TIC redondantes, de communiquer aux autorités nationales compétentes les changements mis en œuvre à la suite des examens post-incident lié aux TIC, d’assurer un suivi continu des évolutions technologiques pertinentes, d’établir un programme solide et complet de tests de résilience opérationnelle numérique, qui fait partie intégrante du cadre de gestion du risque lié aux TIC prévu par le présent règlement, ou d’adopter et de régulièrement réexaminer une stratégie en matière de risques liés aux prestataires tiers de services TIC. En outre, les microentreprises ne devraient être tenues d’évaluer la nécessité de maintenir ces capacités en matière de TIC redondantes qu’en se fondant sur leur profil de risque. Les microentreprises devraient faire l’objet d’un régime plus flexible en ce qui concerne les programmes de test de résilience opérationnelle numérique. Lorsqu’elles examinent le type et la fréquence des tests à effectuer, elles devraient trouver un juste équilibre entre l’objectif consistant à maintenir une résilience opérationnelle numérique élevée, les ressources disponibles et leur profil de risque global. Les microentreprises et les entités financières soumises au cadre simplifié de gestion du risque lié aux TIC au titre du présent règlement devraient être exemptées de l’obligation de procéder à des tests avancés d’outils de TIC, de systèmes de TIC et de processus de TIC sur la base de tests de pénétration fondés sur la menace, étant donné que seules les entités financières remplissant les critères énoncés dans le présent règlement devraient être tenues de procéder à ces tests. Compte tenu de leurs capacités limitées, les microentreprises devraient pouvoir convenir avec le prestataire tiers de services TIC de déléguer les droits d’accès, d’inspection et d’audit de l’entité financière à un tiers indépendant, devant être désigné par le prestataire tiers de services TIC, à condition que l’entité financière soit en mesure de demander, à tout moment, toutes les informations et garanties sur la performance du prestataire tiers de services TIC auprès du tiers indépendant.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.