Source: OJ L, 2025/301, 20.2.2025Current language: FR
Preamble Recitals
Considérant 1Reporting time limits
Afin de garantir l’harmonisation et la simplification des exigences en matière de notification et de déclaration des incidents majeurs liés aux TIC visées à l’article 19, paragraphe 4, du règlement (UE) 2022/2554, les délais de notification des incidents majeurs liés aux TIC devraient suivre une approche cohérente pour tous les types d’entités financières. Pour ces raisons, les délais devraient également, dans toute la mesure du possible, suivre une approche cohérente avec les exigences énoncées dans la directive (UE) 2022/2555 du Parlement européen et du Conseil(2), et avoir au moins un effet équivalent à celles-ci.
Considérant 2Time limit for the initial notification
Afin d’éviter d’imposer une charge de déclaration excessive aux entités financières lorsqu’elles traitent l’incident lié aux TIC, le contenu de la notification initiale devrait être limité aux informations les plus importantes. Pour pouvoir prendre des mesures de surveillance appropriées, les autorités compétentes doivent recevoir des informations sur les incidents majeurs liés aux TIC le plus rapidement possible après que l’entité financière a classé un incident lié aux TIC comme majeur. Par conséquent, le délai de soumission d’une notification initiale visée à l’article 19, paragraphe 4, point a), du règlement (UE) 2022/2554 devrait être aussi court que possible après qu’un incident lié aux TIC a été classé comme majeur, tout en permettant une certaine souplesse, en particulier pour les modèles commerciaux de services qui ne sont pas particulièrement limités dans le temps, si les entités financières ont besoin de plus de temps pour traiter l’incident lié aux TIC après en avoir pris connaissance.
Considérant 3The intermediate and final reports
Après avoir reçu la notification initiale, les autorités compétentes devraient recevoir des informations plus détaillées sur l’incident lié aux TIC dans le rapport intermédiaire et toutes les informations pertinentes dans le rapport final. Les informations contenues dans ces rapports devraient permettre aux autorités compétentes d’évaluer plus avant l’incident lié aux TIC et d’évaluer les mesures de surveillance qu’elles pourraient souhaiter prendre.
Considérant 4Balance of time limits
Les délais de notification visés à l’article 20, premier alinéa, point a), ii), du règlement (UE) 2022/2554 devraient donc établir un équilibre entre la nécessité pour les autorités compétentes de recevoir rapidement les informations et la nécessité d’accorder aux entités financières suffisamment de temps pour obtenir des informations complètes et exactes.
Considérant 5Microenterprises and to other financial entities that are not significant
Compte tenu des critères énoncés à l’article 20, premier alinéa, point a), du règlement (UE) 2022/2554, les délais de notification ne devraient pas représenter une charge disproportionnée pour les microentreprises et les autres entités financières qui ne sont pas importantes. En outre, les délais de notification devraient tenir compte des weekends et jours fériés, afin d’éviter de faire supporter une charge disproportionnée aux entités financières.
Considérant 6Reporting significant cyber threats
Étant donné que les cybermenaces importantes doivent être notifiées sur une base volontaire, le contenu de ces notifications ne devrait pas imposer de charge aux entités financières et devrait être plus limité que les informations demandées pour les incidents majeurs liés aux TIC.
Considérant 7Draft regulatory technical standards from ESAs
Le présent règlement se fonde sur le projet de normes techniques de réglementation soumis à la Commission par les autorités européennes de surveillance.
Considérant 8Open public consultations
Les autorités européennes de surveillance ont procédé à des consultations publiques ouvertes sur les projets de normes techniques de réglementation sur lesquels se fonde le présent règlement, analysé les coûts et avantages potentiels qu’ils impliquent et sollicité l’avis du groupe des parties intéressées institué en application de l’article 37 des règlements (UE) no 1093/2010(3), (UE) no 1094/2010(4) et (UE) no 1095/2010(5) du Parlement européen et du Conseil.
Considérant 9Processing of personal data
Le Contrôleur européen de la protection des données a été consulté conformément à l’article 42, paragraphe 1, du règlement (UE) 2018/1725 du Parlement européen et du Conseil(6) et a rendu un avis positif le 22 juillet 2024. Tout traitement de données à caractère personnel relevant du champ d’application du présent règlement devrait être effectué conformément aux principes applicables en matière de protection des données et aux dispositions du règlement (UE) 2018/1725.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
incident opérationnel ou de sécurité majeur lié au paiement
(En. major operational or security payment-related incident)
Definition
groupe
(En. group)
Definition
cybermenace
(En. cyber threat)
Definition
référentiel central
(En. trade repository)
Definition
plate-forme de négociation
(En. trading venue)
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
incident lié aux TIC
(En. ICT-related incident)
Definition
dépositaire central de titres
(En. central securities depository)
Definition
incident opérationnel ou de sécurité lié au paiement
(En. operational or security payment-related incident)
Definition
cybermenace importante
(En. significant cyber threat)
Definition
incident majeur lié aux TIC
(En. major ICT-related incident)
Definition
contrepartie centrale
(En. central counterparty)
Definition
microentreprise
(En. microenterprise)
Definition
fonction critique ou importante
(En. critical or important function)
Footnote 6
Footnote 2
Footnote 3
Footnote 5
Footnote 4