Source: OJ L, 2025/301, 20.2.2025Current language: FR
RTS on incident reporting
RÈGLEMENT DÉLÉGUÉ (UE) 2025/301 DE LA COMMISSION
du 23 octobre 2024
complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par des normes techniques de réglementation précisant le contenu et les délais pour la notification initiale des incidents majeurs liés aux TIC, et pour les rapports intermédiaire et final y afférents, et le contenu de la notification volontaire en ce qui concerne les cybermenaces importantes
LA COMMISSION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne,
vu le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) no 1060/2009, (UE) no 648/2012, (UE) no 600/2014, (UE) no 909/2014 et (UE) 2016/1011(1), et notamment son article 20, troisième alinéa,
considérant ce qui suit:
Considérant 1Reporting time limits
Afin de garantir l’harmonisation et la simplification des exigences en matière de notification et de déclaration des incidents majeurs liés aux TIC visées à l’article 19, paragraphe 4, du règlement (UE) 2022/2554, les délais de notification des incidents majeurs liés aux TIC devraient suivre une approche cohérente pour tous les types d’entités financières. Pour ces raisons, les délais devraient également, dans toute la mesure du possible, suivre une approche cohérente avec les exigences énoncées dans la directive (UE) 2022/2555 du Parlement européen et du Conseil(2), et avoir au moins un effet équivalent à celles-ci.
Considérant 2Time limit for the initial notification
Afin d’éviter d’imposer une charge de déclaration excessive aux entités financières lorsqu’elles traitent l’incident lié aux TIC, le contenu de la notification initiale devrait être limité aux informations les plus importantes. Pour pouvoir prendre des mesures de surveillance appropriées, les autorités compétentes doivent recevoir des informations sur les incidents majeurs liés aux TIC le plus rapidement possible après que l’entité financière a classé un incident lié aux TIC comme majeur. Par conséquent, le délai de soumission d’une notification initiale visée à l’article 19, paragraphe 4, point a), du règlement (UE) 2022/2554 devrait être aussi court que possible après qu’un incident lié aux TIC a été classé comme majeur, tout en permettant une certaine souplesse, en particulier pour les modèles commerciaux de services qui ne sont pas particulièrement limités dans le temps, si les entités financières ont besoin de plus de temps pour traiter l’incident lié aux TIC après en avoir pris connaissance.
Considérant 3The intermediate and final reports
Après avoir reçu la notification initiale, les autorités compétentes devraient recevoir des informations plus détaillées sur l’incident lié aux TIC dans le rapport intermédiaire et toutes les informations pertinentes dans le rapport final. Les informations contenues dans ces rapports devraient permettre aux autorités compétentes d’évaluer plus avant l’incident lié aux TIC et d’évaluer les mesures de surveillance qu’elles pourraient souhaiter prendre.
Considérant 4Balance of time limits
Les délais de notification visés à l’article 20, premier alinéa, point a), ii), du règlement (UE) 2022/2554 devraient donc établir un équilibre entre la nécessité pour les autorités compétentes de recevoir rapidement les informations et la nécessité d’accorder aux entités financières suffisamment de temps pour obtenir des informations complètes et exactes.
Considérant 5Microenterprises and to other financial entities that are not significant
Compte tenu des critères énoncés à l’article 20, premier alinéa, point a), du règlement (UE) 2022/2554, les délais de notification ne devraient pas représenter une charge disproportionnée pour les microentreprises et les autres entités financières qui ne sont pas importantes. En outre, les délais de notification devraient tenir compte des weekends et jours fériés, afin d’éviter de faire supporter une charge disproportionnée aux entités financières.
Considérant 6Reporting significant cyber threats
Étant donné que les cybermenaces importantes doivent être notifiées sur une base volontaire, le contenu de ces notifications ne devrait pas imposer de charge aux entités financières et devrait être plus limité que les informations demandées pour les incidents majeurs liés aux TIC.
Considérant 7Draft regulatory technical standards from ESAs
Le présent règlement se fonde sur le projet de normes techniques de réglementation soumis à la Commission par les autorités européennes de surveillance.
Considérant 8Open public consultations
Les autorités européennes de surveillance ont procédé à des consultations publiques ouvertes sur les projets de normes techniques de réglementation sur lesquels se fonde le présent règlement, analysé les coûts et avantages potentiels qu’ils impliquent et sollicité l’avis du groupe des parties intéressées institué en application de l’article 37 des règlements (UE) no 1093/2010(3), (UE) no 1094/2010(4) et (UE) no 1095/2010(5) du Parlement européen et du Conseil.
Considérant 9Processing of personal data
Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil(6) et a rendu un avis positif le 22 juillet 2024. Tout traitement de données à caractère personnel relevant du champ d’application du présent règlement devrait être effectué conformément aux principes applicables en matière de protection des données et aux dispositions du règlement (UE) 2018/1725.
A ADOPTÉ LE PRÉSENT RÈGLEMENT:
- Article premierInformations générales à fournir dans les notifications initiales et les rapports intermédiaire et final sur les incidents majeurs liés aux TIC
- Article 2Informations spécifiques à fournir dans les notifications initiales
- Article 3Informations spécifiques à fournir dans les rapports intermédiaires
- Article 4Informations spécifiques à fournir dans les rapports finaux
- Article 5Délais pour la notification initiale et pour les rapports intermédiaire et final
- Article 6Contenu de la notification volontaire des cybermenaces importantes
- Article 7Entrée en vigueur
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
Fait à Bruxelles, le 23 octobre 2024.
Par la Commission
La présidente
Ursula VON DER LEYEN
Definition
incident opérationnel ou de sécurité majeur lié au paiement
(En. major operational or security payment-related incident)
Definition
groupe
(En. group)
Definition
cybermenace
(En. cyber threat)
Definition
référentiel central
(En. trade repository)
Definition
plate-forme de négociation
(En. trading venue)
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
incident lié aux TIC
(En. ICT-related incident)
Definition
dépositaire central de titres
(En. central securities depository)
Definition
incident opérationnel ou de sécurité lié au paiement
(En. operational or security payment-related incident)
Definition
cybermenace importante
(En. significant cyber threat)
Definition
incident majeur lié aux TIC
(En. major ICT-related incident)
Definition
contrepartie centrale
(En. central counterparty)
Definition
microentreprise
(En. microenterprise)
Definition
fonction critique ou importante
(En. critical or important function)
Footnote 1
Footnote 6
Footnote 2
Footnote 3
Footnote 5
Footnote 4