Art. 17 Processus de gestion des incidents liés aux TIC | DORA regulation | DORA

This article requires financial entities to build and operate a formal ICT-related incident management process.

It sits at the heart of the regulation's incident handling framework, feeding directly into Article 18 (which sets the classification criteria) and Article 14 (which governs crisis communications).

The article covers the full lifecycle of incident management: detection, recording, classification, escalation, communication, and response.

Notably, the obligation extends beyond ICT-related incidents to also include the recording of significant cyber threats, and root cause analysis is explicitly required to prevent recurrence.

Important points:

Define, establish and implement an ICT-related incident management process covering detection, management and notification of incidents.
Record all ICT-related incidents and significant cyber threats, and ensure root causes are identified, documented and addressed.
Major ICT-related incidents must be escalated to senior management and the management body, with explanation of the impact, response and any additional controls required.

1. Les entités financières définissent, établissent et mettent en œuvre un processus de gestion des incidents liés aux TIC afin de détecter, de gérer et de notifier les incidents liés aux TIC.
1. Les entités financières enregistrent tous les incidents liés aux TIC et les cybermenaces importantes. Les entités financières mettent en place des procédures et des processus adéquats pour assurer une surveillance, un traitement et un suivi cohérents et intégrés des incidents liés aux TIC, pour veiller à ce que les causes originelles soient identifiées et documentées et qu’il y soit remédié pour éviter que de tels incidents ne se produisent.
1. Le processus de gestion des incidents liés aux TIC visé au paragraphe 1:
  1. met en place des indicateurs d’alerte précoce;
  2. instaure des procédures destinées à identifier, suivre, consigner, catégoriser et classer les incidents liés aux TIC en fonction de leur priorité et de leur gravité et en fonction de la criticité des services touchés, conformément aux critères fixés à l’article 18, paragraphe 1;
  3. attribue les rôles et les responsabilités qui doivent être activés pour différents types et scénarios d’incidents liés aux TIC;
  4. établit des plans pour la communication à l’intention du personnel, des parties prenantes externes et des médias, conformément à l’article 14, et pour la notification aux clients, les procédures internes de remontée des informations, y compris les plaintes des clients liées aux TIC, ainsi que pour la fourniture d’informations aux entités financières qui agissent en tant que contreparties, le cas échéant;
  5. permet de notifier au minimum les incidents majeurs liés aux TIC aux membres de la direction concernés et de communiquer à l’organe de direction au minimum des informations sur les incidents majeurs liés aux TIC, expliquant leurs incidences, la réponse à leur apporter et les contrôles supplémentaires à mettre en place à la suite de tels incidents;
  6. définit des procédures de réponse en cas d’incident lié aux TIC, afin d’en atténuer les effets et de garantir que les services redeviennent opérationnels et sécurisés en temps utile.