Source: OJ L, 2024/1774, 25.6.2024Current language: FR
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Article premier Profil de risque global et complexité
Summary What does Article 1 of the RTS on ICT risk management framework say?
This opening article establishes a cross-cutting principle that applies to everything that follows in the regulation.
It states that financial entities must take their own size, risk profile, and operational complexity into account when developing and implementing their ICT security policies and simplified ICT risk management framework.
In other words, the obligations set out in Titles II and III are not one-size-fits-all; the way they are applied must reflect the specific characteristics of each entity.
Important points:
- Tailor your ICT security policies and risk management framework to the size, risk profile, and complexity of your organisation.
- The tailoring requirement covers key domains including encryption, network security, ICT operations, and project and change management.
- Factor in the potential impact of ICT risk on the confidentiality, integrity, and availability of data, as well as on the continuity of your activities.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Lors de l’élaboration et de la mise en œuvre des politiques, procédures, protocoles et outils de sécurité de TIC visés au titre II et du cadre simplifié de gestion du risque lié aux TIC visé au titre III, il est tenu compte de la taille et du profil de risque global de l’entité financière, ainsi que de la nature, de l’échelle et des éléments tendant à accroître ou réduire la complexité de ses services, activités et opérations, notamment des éléments concernant:
le chiffrement et la cryptographie;
la sécurité des opérations de TIC;
la sécurité des réseaux;
la gestion des projets TIC et des changements dans les TIC;
l’incidence potentielle du risque lié aux TIC sur la confidentialité, l’intégrité et la disponibilité des données, et l’incidence potentielle des perturbations sur la continuité et la disponibilité des activités de l’entité financière.
Relevant recitals
Considérant 1 Principle of proportionality
Le règlement (UE) 2022/2554 couvre un large éventail d’entités financières qui diffèrent par leur taille, leur structure, leur organisation interne, ainsi que par la nature et la complexité de leurs activités, et qui présentent donc des facteurs plus ou moins grands de complexité ou de risque. Afin que cette diversité soit dûment prise en considération, toute exigence relative aux politiques, procédures, protocoles et outils de sécurité des TIC, ainsi qu’à un cadre simplifié de gestion du risque lié aux TIC, devrait être proportionnée à la taille, à la structure, à l’organisation interne, à la nature et à la complexité de ces entités financières, ainsi qu’aux risques correspondants.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
risque lié aux TIC
(En. ICT risk)