Source: OJ L, 2025/302, 20.2.2025

Current language: FR

Annexe IV GLOSSAIRE DE DONNÉES ET INSTRUCTIONS POUR LA NOTIFICATION DES CYBERMENACES IMPORTANTES

Champ de données

Description

Champ obligatoire

Type de champ

  • Nom de l’entité soumettant la notification

Dénomination sociale complète de l’entité soumettant la notification.

Oui

Alphanumérique

  • Code d’identification de l’entité soumettant la notification

Code d’identification de l’entité soumettant la notification.

Lorsque les entités financières soumettent la notification/le rapport, le code d’identification est l’identifiant d’entité juridique (LEI), code unique à 20 caractères alphanumériques conforme à la norme ISO 17442-1:2020.

Lorsqu’un prestataire tiers soumet un rapport au nom d’une entité financière, il peut utiliser un code d’identification tel que spécifié dans les normes techniques d’exécution adoptées en vertu de l’article 28, paragraphe 9, du règlement (UE) 2022/2554.

Oui

Alphanumérique

  • Type d’entité financière soumettant le rapport

Type de l’entité, tel qu’énuméré à l’article 2, paragraphe 1, points a) à t), du règlement (UE) 2022/2554, qui soumet le rapport.

Oui, si le rapport n’est pas transmis directement par l’entité financière touchée

Choix (sélection multiple):

  • les établissements de crédit,

  • les établissements de paiement,

  • les établissements de paiement exemptés,

  • les prestataires de services d’information sur les comptes,

  • les établissements de monnaie électronique,

  • les établissements de monnaie électronique exemptés,

  • les entreprises d’investissement,

  • les prestataires de services sur crypto-actifs,

  • les émetteurs de jetons se référant à un ou des actifs,

  • les dépositaires centraux de titres,

  • les contreparties centrales,

  • les plates-formes de négociation,

  • les référentiels centraux,

  • les gestionnaires de fonds d’investissement alternatifs,

  • les sociétés de gestion,

  • les prestataires de services de communication de données,

  • les entreprises d’assurance et de réassurance,

  • les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire,

  • les institutions de retraite professionnelle,

  • les agences de notation de crédit,

  • les administrateurs d’indices de référence d’importance critique,

  • les prestataires de services de financement participatif,

  • les référentiels des titrisations.

  • Nom de l’entité financière

Dénomination sociale complète de l’entité financière notifiant la cybermenace importante.

Oui, si l’entité financière diffère de l’entité qui soumet la notification

Alphanumérique

  • Code LEI de l’entité financière

Identifiant d’entité juridique (LEI) de l’entité financière notifiant la cybermenace importante, attribué conformément aux normes établies par l’Organisation internationale de normalisation.

Oui, si l’entité financière notifiant la cybermenace importante diffère de l’entité qui soumet le rapport

Code unique à 20 caractères alphanumériques, conforme à la norme ISO 17442-1:2020

  • Nom de la personne de contact principale

Nom et prénom de la personne de contact principale de l’entité financière.

Oui

Alphanumérique

  • Adresse électronique de la personne de contact principale

Adresse électronique de la personne de contact principale que l’autorité compétente peut utiliser pour la communication de suivi.

Oui

Alphanumérique

  • Numéro de téléphone de la personne de contact principale

Numéro de téléphone de la personne de contact principale que l’autorité compétente peut utiliser pour la communication de suivi.

Le numéro de téléphone indiqué comporte tous les préfixes internationaux (par exemple +33 XXXXXXXXX).

Oui

Alphanumérique

  • Nom de la deuxième personne de contact

Nom et prénom de la deuxième personne de contact de l’entité financière ou, lorsqu’ils sont disponibles, de l’entité qui soumet la notification au nom de l’entité financière.

Oui, si les nom et prénom de la deuxième personne de contact de l’entité financière ou de l’entité qui soumet la notification pour l’entité financière sont disponibles

Alphanumérique

  • Adresse électronique de la deuxième personne de contact

Adresse électronique de la deuxième personne de contact ou adresse électronique fonctionnelle de l’équipe que l’autorité compétente peut utiliser pour la communication de suivi, le cas échéant.

Oui, si l’adresse électronique de la deuxième personne de contact ou une adresse électronique fonctionnelle de l’équipe que l’autorité compétente peut utiliser pour la communication de suivi est disponible

Alphanumérique

  • Numéro de téléphone de la deuxième personne de contact

Numéro de téléphone de la deuxième personne de contact que l’autorité compétente peut utiliser pour la communication de suivi, le cas échéant.

Le numéro de téléphone indiqué comporte tous les préfixes internationaux (par exemple +33 XXXXXXXXX).

Oui, si le numéro de téléphone de la deuxième personne de contact que l’autorité compétente peut utiliser pour la communication de suivi est disponible

Alphanumérique

  • Date et heure de détection de la cybermenace

Date et heure auxquelles l’entité financière a pris connaissance de la cybermenace importante.

Oui

Norme ISO 8601 TUC (aaaa-mm-jj hh: mm:ss)

  • Description de la cybermenace importante

Description des aspects les plus pertinents de la cybermenace importante.

Les entités financières présentent:

  • un aperçu schématique des aspects les plus pertinents de la cybermenace importante;

  • les risques connexes qui en découlent, y compris les vulnérabilités potentielles des systèmes de l’entité financière qui peuvent être exploitées;

  • des informations sur la probabilité de matérialisation de la cybermenace importante; et

  • des informations concernant la source d’informations sur la cybermenace.

Oui

Alphanumérique

  • Informations relatives à l’incidence potentielle

Informations relatives à l’incidence potentielle de la cybermenace, en cas de matérialisation, sur l’entité financière, ses clients ou ses contreparties financières.

Oui

Alphanumérique

  • Critères de classification de l’incident potentiel

Les critères de classification qui auraient pu donner lieu à une déclaration d’incident majeur si la cybermenace s’était matérialisée.

Oui

Choix (plusieurs réponses possibles):

  • clients, contreparties financières et transactions touchés,

  • atteinte à la réputation,

  • durée et interruptions de service,

  • répartition géographique,

  • pertes de données,

  • services critiques touchés,

  • conséquences économiques.

  • Situation de la cybermenace

Informations sur la situation de la cybermenace pour l’entité financière et sur l’évolution éventuelle de l’activité de la menace.

Lorsque la cybermenace a cessé de communiquer avec les systèmes d’information de l’entité financière, elle peut être qualifiée d’inactive. Si l’entité financière dispose d’informations indiquant que la menace demeure active à l’égard d’autres parties ou du système financier dans son ensemble, la menace est qualifiée d’active.

Oui

Choix:

  • active,

  • inactive.

  • Mesures prises pour empêcher la matérialisation

Informations générales sur les actions prises par l’entité financière pour empêcher la matérialisation des cybermenaces importantes, le cas échéant.

Oui

Alphanumérique

  • Notification aux autres parties prenantes

Informations sur la notification de la cybermenace à d’autres entités ou autorités financières.

Oui, si d’autres entités ou autorités financières ont été informées de la cybermenace

Alphanumérique

  • Indicateurs de compromis

Informations relatives à la menace importante qui peuvent contribuer à la détection des activités malveillantes au sein d’un réseau ou d’un système d’information (indicateurs de compromis), le cas échéant.

Les indicateurs de compromis fournis par l’entité financière peuvent inclure, sans s’y limiter, les catégories de données suivantes:

  • les adresses IP;

  • les adresses URL;

  • les noms de domaine;

  • les empreintes numériques;

  • les données relatives aux logiciels malveillants (nom du logiciel malveillant, noms de fichiers et leur emplacement, clés de registre spécifiques associées à l’activité des logiciels malveillants);

  • les données relatives à l’activité du réseau (ports, protocoles, adresses, référents, agents utilisateurs, en-têtes, journaux spécifiques ou caractéristiques distinctes du trafic réseau);

  • les données du message électronique (expéditeur, destinataire, objet, en-tête, contenu);

  • les requêtes DNS et les configurations du registre;

  • les activités relatives aux comptes d’utilisateur (connexions, activité de compte d’utilisateur privilégié, escalade de privilèges);

  • le trafic de bases de données (lecture/écriture), les demandes dans le même fichier.

Ce type d’informations peut inclure des données concernant des indicateurs décrivant les caractéristiques du trafic réseau correspondant à des attaques connues/à des communications de réseaux zombies (botnets), les adresses IP des machines infectées par des logiciels malveillants (bots), des données relatives aux serveurs de «commande et contrôle» utilisés par des logiciels malveillants (généralement des domaines ou des adresses IP) et les URL de sites d’hameçonnage ou de sites web dont on a observé qu’ils hébergent des logiciels malveillants ou des kits d’exploit.

Oui, si des informations relatives à des indicateurs de compromis en rapport avec la cybermenace sont disponibles

Alphanumérique

  • Autres informations utiles

Toute autre information utile concernant la cybermenace importante

Oui, s’il y a lieu et si d’autres informations, non reprises dans le modèle, sont disponibles

Alphanumérique

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod