Source: OJ L, 2024/1774, 25.6.2024Current language: FR
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Article 10 Gestion des vulnérabilités et des correctifs
Summary What does Article 10 of the RTS on ICT risk management framework say?
This article covers two closely related obligations for financial entities: vulnerability management and patch management.
Both sit within the broader ICT security framework established under Article 9(2) of DORA.
The article is detailed in scope, setting out a full lifecycle approach to vulnerabilities — from detection and awareness, through scanning and third-party oversight, to remediation and disclosure.
The patch management section that follows complements this by requiring formal procedures for identifying, testing, deploying, and escalating software and hardware fixes.
Together, the two procedures form the operational backbone of how financial entities are expected to keep their ICT assets secure on an ongoing basis.
Important points:
- Implement automated vulnerability scanning on all ICT assets, with those supporting critical or important functions scanned at least weekly.
- Actively oversee ICT third-party service providers by verifying they handle vulnerabilities, report critical ones in a timely manner, and investigate root causes with appropriate mitigating action.
- Develop a formal patch management procedure that covers automated identification of available patches, emergency patching procedures, testing before deployment, and deadlines with escalation steps if those deadlines cannot be met.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Dans le cadre des politiques, procédures, protocoles et outils de sécurité des TIC visés à l’article 9, paragraphe 2, du règlement (UE) 2022/2554, les entités financières élaborent, documentent et mettent en œuvre des procédures de gestion des vulnérabilités.
Les procédures de gestion des vulnérabilités visées au paragraphe 1:
identifient et tiennent à jour des ressources d’information pertinentes et fiables pour renforcer et maintenir la sensibilisation aux vulnérabilités;
prévoient des scans et évaluations automatisés des vulnérabilités des actifs de TIC, la fréquence et le champ d’application de ces activités étant proportionnés à la classification établie conformément à l’article 8, paragraphe 1, du règlement (UE) 2022/2554 et au profil de risque global de l’actif de TIC;
vérifient:
si les prestataires tiers de services TIC traitent les vulnérabilités liées aux services TIC fournis à l’entité financière;
si ces prestataires de services informent l’entité financière, en temps utile, au moins des vulnérabilités critiques, ainsi que des statistiques et tendances;
tracent l’utilisation:
de bibliothèques tierces, y compris de bibliothèques à code source ouvert, utilisées par les services TIC qui soutiennent des fonctions critiques ou importantes;
de services TIC développés par l’entité financière elle-même, ou spécifiquement adaptés ou développés pour elle par un prestataire tiers de services TIC;
établissent des procédures pour une divulgation responsable des vulnérabilités aux clients, aux contreparties et au public;
donnent la priorité au déploiement de correctifs et d’autres mesures d’atténuation pour remédier aux vulnérabilités décelées;
suivent et vérifient la correction des vulnérabilités;
exigent l’enregistrement de toute vulnérabilité détectée touchant les systèmes de TIC et le suivi de leur résolution.
Aux fins du point b), les entités financières effectuent au moins une fois par semaine les scans et évaluations automatisés des vulnérabilités des actifs de TIC qui soutiennent des fonctions critiques ou importantes.
Aux fins du point c), les entités financières demandent aux prestataires tiers de services TIC d’enquêter sur les vulnérabilités concernées, d’en déterminer les causes profondes et de mettre en œuvre des mesures d’atténuation appropriées.
Aux fins du point d), les entités financières surveillent, le cas échéant en collaboration avec le prestataire tiers de services TIC, les versions et mises à jour éventuelles des bibliothèques tierces. Dans le cas d’actifs de TIC prêts à l’emploi ou de composants d’actifs de TIC acquis et utilisés dans le cadre de l’exploitation de services TIC qui ne soutiennent pas des fonctions critiques ou importantes, les entités financières tracent, dans la mesure du possible, l’utilisation de bibliothèques tierces, y compris des bibliothèques à code source ouvert.
Aux fins du point f), les entités financières tiennent compte de la criticité des vulnérabilités, de la classification établie conformément à l’article 8, paragraphe 1, du règlement (UE) 2022/2554 et du profil de risque des actifs de TIC concernés par les vulnérabilités décelées.
Dans le cadre des politiques, procédures, protocoles et outils de sécurité des TIC visés à l’article 9, paragraphe 2, du règlement (UE) 2022/2554, les entités financières élaborent, documentent et mettent en œuvre des procédures de gestion des correctifs.
Les procédures de gestion des correctifs visées au paragraphe 3:
dans la mesure du possible, identifient et évaluent les correctifs et mises à jour logiciels et matériels disponibles à l’aide d’outils automatisés;
définissent des procédures d’urgence pour l’application des correctifs et des mises à jour des actifs de TIC;
testent et déploient les correctifs logiciels et matériels et les mises à jour visées à l’article 8, paragraphe 2, point b) v), vi) et vii);
fixent des délais pour l’installation des correctifs et mises à jour logiciels et matériels, ainsi que des procédures de remontée d’informations lorsque ces délais ne peuvent pas être respectés.
Relevant recitals
Considérant 11 Vulnerability management
Compte tenu de l’évolution rapide des TIC, des vulnérabilités des TIC et des cybermenaces, il est nécessaire d’adopter une approche proactive et globale pour identifier, évaluer et éliminer ces vulnérabilités. En l’absence d’une telle approche, les entités financières, leurs clients, leurs utilisateurs ou leurs contreparties peuvent être exposés à des risques graves mettant en péril leur résilience opérationnelle numérique, la sécurité de leurs réseaux, ainsi que la disponibilité, l’authenticité, l’intégrité et la confidentialité des données que les politiques et procédures de sécurité des TIC sont censées protéger. Les entités financières visées au titre II du présent règlement devraient donc identifier les vulnérabilités qui peuvent exister dans leur environnement de TIC et y remédier, et tant les entités financières que leurs prestataires tiers de services TIC devraient appliquer un cadre de gestion des vulnérabilités cohérent, transparent et responsable. Pour la même raison, les entités financières devraient surveiller les vulnérabilités des TIC en utilisant des ressources fiables et des outils automatisés, et en vérifiant que les prestataires tiers de services TIC garantissent une action rapide contre les vulnérabilités des services TIC fournis.
Considérant 12 Patch management
La gestion des correctifs devrait être un élément essentiel des politiques et procédures de sécurité des TIC qui, grâce aux tests et au déploiement dans un environnement contrôlé, doivent permettre de remédier aux vulnérabilités identifiées et d’éviter des perturbations lors de l’installation de correctifs.
Considérant 13 Responsible vulnerability disclosure
Afin de garantir une communication rapide et transparente concernant les menaces potentielles pour la sécurité susceptibles d’avoir un impact sur l’entité financière et ses parties prenantes, les entités financières devraient établir des procédures pour une divulgation responsable des vulnérabilités des TIC à leurs clients, à leurs contreparties et au public. Lors de l’établissement de ces procédures, les entités financières devraient tenir compte de facteurs tels que la gravité de la vulnérabilité, son impact potentiel de cette vulnérabilité sur les parties prenantes et les solutions ou mesures d’atténuation disponibles.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
cybermenace
(En. cyber threat)
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
services TIC
(En. ICT services)
Definition
résilience opérationnelle numérique
(En. digital operational resilience)
Definition
vulnérabilité
(En. vulnerability)
Definition
prestataire tiers de services TIC
(En. ICT third-party service provider)
Definition
fonction critique ou importante
(En. critical or important function)
Definition
actif de TIC
(En. ICT asset)