RTS on incident classification

En ce qui concerne le critère de classification «volume et nombre de transactions touchées», la notion de transactions est large et couvre différentes activités et services dans les différents actes sectoriels applicables aux entités financières. Aux fins de ce critère de classification, les opérations de paiement et toutes les formes d’échange d’instruments financiers, de crypto-actifs, de matières premières ou de tout autre actif, également sous forme de marges, de sûretés ou de garanties, tant contre des espèces que contre tout autre actif, devraient être couvertes. Toutes les transactions impliquant des actifs dont la valeur peut être exprimée sous la forme d’un montant monétaire devraient être prises en considération aux fins de la classification.

Les critères de classification devraient permettre de rendre compte de tous les types d’incidents majeurs pertinents. De nombreux critères de classification ne rendent pas nécessairement compte des cyberattaques liées à l’intrusion dans le réseau ou les systèmes d’information. Or celles-ci sont importantes car toute intrusion dans le réseau ou les systèmes d’information est susceptible de nuire à l’entité financière. En conséquence, les critères de classification «services critiques touchés» et «pertes de données» devraient être définis de manière à rendre compte de ces types d’incidents majeurs, en particulier des intrusions non autorisées qui, même si l’on n’en connaît pas immédiatement l’incidence, sont susceptibles d’entraîner de graves conséquences, notamment des violations de données et des fuites de données.

Étant donné que les établissements de crédit sont soumis à la fois au cadre de classification des incidents prévu à l’article 18 du règlement (UE) 2022/2554 et au cadre relatif au risque opérationnel prévu par le règlement délégué (UE) 2018/959 de la Commission(³), les approches que prévoient respectivement ces deux cadres pour déterminer les conséquences économiques d’un incident sur la base du calcul des coûts et des pertes devraient, dans toute la mesure du possible, concorder, afin de ne pas donner lieu à des exigences incompatibles ou contradictoires.

Le critère relatif à la répartition géographique d’un incident énoncé à l’article 18, paragraphe 1, point c), du règlement (UE) 2022/2554 devrait se concentrer sur l’incidence transfrontière de l’incident, puisque l’incidence d’un incident sur les activités d’une entité financière au sein d’une même juridiction sera appréhendée par les autres critères énoncés dans cet article.

Étant donné que les critères de classification sont interdépendants et liés entre eux, l’approche pour identifier les incidents majeurs qui doivent être déclarés en vertu de l’article 19, paragraphe 1, du règlement (UE) 2022/2554 devrait se fonder sur une combinaison de critères, qui donnerait à certains critères étroitement liés à la définition d’un incident lié aux TIC et à celle d’un incident majeur lié aux TIC données à l’article 3, paragraphes 8 et 10, du règlement (UE) 2022/2554 la prééminence sur les autres critères pour la classification d’un incident comme majeur.

Afin que les rapports et notifications d’incidents majeurs reçus par les autorités compétentes en vertu de l’article 19, paragraphe 1, du règlement (UE) 2022/2554 soient utiles aussi bien à des fins de surveillance que pour la prévention de la contagion à l’ensemble du secteur financier, les seuils d’importance significative devraient permettre de rendre compte des incidents majeurs, en se concentrant, entre autres, sur l’incidence sur les services critiques propres à l’entité, sur les seuils absolus et relatifs spécifiques de clients ou de contreparties financières, sur les transactions qui indiquent une incidence significative sur l’entité financière, et sur l’importance de l’incidence dans d’autres États membres.

Les incidents qui touchent des services TIC ou des réseaux et des systèmes d’information qui soutiennent des fonctions critiques ou importantes ou qui touchent des services financiers nécessitant une autorisation, ou les accès malveillants non autorisés aux réseaux et aux systèmes d’information qui soutiennent des fonctions critiques ou importantes, devraient être considérés comme des incidents touchant des services critiques des entités financières. L’accès malveillant non autorisé aux réseaux et aux systèmes d’information qui soutiennent des fonctions critiques ou importantes des entités financières comporte des risques graves pour l’entité financière et, étant donné qu’il peut toucher d’autres entités financières, devrait toujours être considéré comme un incident majeur à déclarer.

Les incidents récurrents qui sont liés par une cause originelle apparente similaire et qui, pris isolément, ne constituent pas des incidents majeurs peuvent néanmoins être le signe de défaillances et de faiblesses importantes dans les procédures de gestion des risques et des incidents mises en place par l’entité financière. Par conséquent, les incidents récurrents devraient être collectivement considérés comme majeurs lorsqu’ils se produisent de manière répétée au cours d’une certaine période.

Étant donné que les cybermenaces peuvent avoir une incidence négative sur l’entité financière et sur le secteur financier, toute notification de cybermenace importante effectuée par une entité financière devrait préciser la probabilité que cette menace se concrétise et la criticité de son incidence potentielle. En conséquence, afin de garantir une évaluation claire et cohérente de l’importance des cybermenaces, la classification d’une cybermenace comme importante devrait dépendre du type de cybermenace, des informations dont dispose l’entité financière, et de la probabilité que, si la cybermenace se concrétisait, elle remplirait les critères permettant de classer un incident comme majeur et atteindrait les seuils correspondants.

Étant donné que les autorités compétentes d’autres États membres doivent être informées des incidents qui ont une incidence sur des entités financières et des clients sur leur territoire, l’évaluation de l’incidence dans un autre État membre conformément à l’article 19, paragraphe 7, du règlement (UE) 2022/2554 devrait se fonder sur la cause originelle de l’incident, sur les risques de contagion par l’intermédiaire des prestataires tiers et des infrastructures des marchés financiers, ainsi que sur l’incidence de l’incident sur des groupes importants de clients ou de contreparties financières.

Les processus de déclaration et de notification visés à l’article 19, paragraphes 6 et 7, du règlement (UE) 2022/2554 devraient permettre aux destinataires respectifs d’évaluer l’incidence des incidents. Par conséquent, les informations transmises devraient comporter tous les détails contenus dans les rapports d’incidents soumis par l’entité financière à l’autorité compétente.

Lorsqu’un incident constitue une violation de données à caractère personnel au sens du règlement (UE) 2016/679 du Parlement européen et du Conseil(⁴) et de la directive 2002/58/CE du Parlement européen et du Conseil(⁵), le présent règlement ne devrait pas influer sur les obligations en matière d’enregistrement et de notification des violations de données à caractère personnel qu’imposent ces actes de l’Union. Les autorités compétentes devraient coopérer avec les autorités visées dans le règlement (UE) 2016/679 et la directive 2002/58/CE et échanger avec elles des informations sur toutes les questions pertinentes.

Le présent règlement se fonde sur les projets de normes techniques de réglementation soumis à la Commission par les autorités européennes de surveillance, après consultation de l’Agence de l’Union européenne pour la cybersécurité (ENISA) et de la Banque centrale européenne (BCE).

Le comité mixte des autorités européennes de surveillance visé à l’article 54 du règlement (UE) n^o 1093/2010 du Parlement européen et du Conseil(⁶), à l’article 54 du règlement (UE) n^o 1094/2010 du Parlement européen et du Conseil(⁷) et à l’article 54 du règlement (UE) n^o 1095/2010 du Parlement européen et du Conseil(⁸) a procédé à des consultations publiques ouvertes sur les projets de normes techniques de réglementation sur lesquels se fonde le présent règlement, analysé les coûts et avantages potentiels qu’ils entraînent et sollicité l’avis du groupe des parties intéressées au secteur bancaire institué en application de l’article 37 du règlement (UE) n^o 1093/2010, du groupe des parties intéressées à l’assurance et la réassurance institué en application de l’article 37 du règlement (UE) n^o 1094/2010 et du groupe des parties intéressées au secteur financier institué en application de l’article 37 du règlement (UE) n^o 1095/2010.

Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil(⁹) et a rendu un avis le 24 janvier 2024,