Source: OJ L 333, 27.12.2022, p. 1–79

Current language: FR

Article 61 Modifications du règlement (UE) no 909/2014

Summary What does Article 61 of the DORA regulation say?

This article is an amending provision, modifying Article 45 of Regulation (EU) No 909/2014, which governs Central Securities Depositories (CSDs).

The amendments integrate DORA's ICT requirements into the existing CSD framework, essentially carving out ICT risk management from the general operational risk provisions of the CSD regulation and redirecting it to DORA.

CSDs must now identify and minimise operational risks using ICT tools managed in accordance with DORA, and their business continuity and disaster recovery plans must explicitly include ICT-specific continuity and recovery plans as required by DORA.

Notably, ESMA is tasked with developing technical standards covering non-ICT operational risks only, with ICT risk now firmly within DORA's domain.

Important points:

  • As a CSD, identify sources of operational risk and minimise their impact through ICT tools, processes and policies managed in accordance with DORA.
  • Establish, implement and maintain a business continuity policy and disaster recovery plan — including ICT-specific plans under DORA — covering all securities settlement systems you operate, ensuring full recovery of transactions and participants' positions.
  • ESMA is required to develop regulatory technical standards covering operational risks other than ICT risk, reflecting the clean separation between DORA and the CSD regulation.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

L’article 45 du règlement (UE) no 909/2014 est modifié comme suit:

  1. Le paragraphe 1 est remplacé par le texte suivant:

    1. Le DCT identifie les sources de risque opérationnel, tant internes qu’externes, et réduit au minimum leur incidence potentielle par le déploiement d’outils, de processus et de politiques de TIC appropriés, mis en place et gérés conformément au règlement (UE) 2022/2554 du Parlement européen et du Conseil(42), ainsi que de tous autres outils, contrôles et procédures adaptés à d’autres types de risque opérationnel, notamment à tous les systèmes de règlement de titres qu’il exploite.

  2. Le paragraphe 2 est supprimé.

  3. Les paragraphes 3 et 4 sont remplacés par le texte suivant:

    1. Pour les services qu’il fournit ainsi que pour chaque système de règlement de titres qu’il exploite, le DCT établit, met en œuvre et tient à jour une politique de continuité de l’activité et un plan de rétablissement après sinistre appropriés, y compris une politique de continuité des activités de TIC et des plans de réponse et de rétablissement des TIC, établis conformément au règlement (UE) 2022/2554, pour garantir le maintien de ses services, la reprise rapide de ses activités et le respect de ses obligations en cas d’événements risquant sérieusement de perturber ses activités.

    1. Le plan visé au paragraphe 3 prévoit le rétablissement de toutes les transactions et positions des participants en cours au moment où s’est produit le dysfonctionnement, de manière à permettre aux participants du DCT de continuer à fonctionner de manière sûre et de finaliser le règlement à la date programmée, notamment en veillant à ce que les systèmes de TIC critiques puissent reprendre les opérations à partir du moment où s’est produit le dysfonctionnement, comme prévu à l’article 12, paragraphes 5 et 7, du règlement (UE) 2022/2554.».

  4. Le paragraphe 6 est remplacé par le texte suivant:

    1. Le DCT identifie, suit et gère les risques que sont susceptibles de représenter pour ses activités les participants clés aux systèmes de règlement de titres qu’il exploite, les prestataires de services et les fournisseurs de services de réseau, ainsi que les autres DCT et les autres infrastructures de marché. Il fournit sur demande aux autorités compétentes et aux autorités concernées des informations sur tout risque de cet ordre qu’il a identifié. Il informe également sans retard l’autorité compétente et les autorités concernées de tout incident opérationnel, autre qu’en lien avec un risque lié aux TIC, résultant de ces risques.».

  5. Au paragraphe 7, le premier alinéa est remplacé par le texte suivant:

    1. L’AEMF élabore, en étroite coopération avec les membres du SEBC, des projets de normes techniques de réglementation pour préciser les risques opérationnels visés aux paragraphes 1 et 6, autres que le risque lié aux TIC, et les méthodes visant à mesurer, à gérer ou à réduire au minimum ces risques, y compris les politiques de continuité de l’activité et les plans de rétablissement après sinistre visés aux paragraphes 3 et 4, et les méthodes d’évaluation de ces politiques et plans.».

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod