Source: OJ L, 2024/1774, 25.6.2024

Current language: FR

Article 11 Sécurité des données et des systèmes

Summary What does Article 11 of the RTS on ICT risk management framework say?

Article 11 requires financial entities to develop, document, and implement a data and system security procedure as part of their broader ICT security framework under Article 9(2) of DORA.

The article is notably detailed, covering a wide range of practical security requirements — from endpoint device management and malicious code protection, to secure data deletion and the governance of ICT third-party service providers.

The procedure must be shaped by the data classification framework established under Article 8(1) of DORA, meaning the security measures applied must reflect the sensitivity and criticality of the assets involved.

Important points:

  • Develop and implement a comprehensive data and system security procedure covering ICT assets, endpoint devices, software controls, data handling, and third-party provider arrangements.
  • Endpoint device security carries specific obligations, including remote management and wiping capabilities, tamper-proof security mechanisms, and restrictions on removable storage based on the financial entity's risk tolerance.
  • Where ICT assets or services are operated by a third-party provider, financial entities retain full responsibility and must clearly allocate security roles, maintain internal competences, and apply technical and organisational measures to manage associated risks.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Dans le cadre des politiques, procédures, protocoles et outils de sécurité des TIC visés à l’article 9, paragraphe 2, du règlement (UE) 2022/2554, les entités financières élaborent, documentent et mettent en œuvre une procédure de sécurité des données et des systèmes.

    1. La procédure de sécurité des données et des systèmes visée au paragraphe 1 contient tous les éléments suivants relatifs à la sécurité des données et des systèmes de TIC, conformément à la classification établie en application de l’article 8, paragraphe 1, du règlement (UE) 2022/2554:

      1. les restrictions d’accès, visées à l’article 21 du présent règlement, appuyant les exigences de protection prévues pour chaque niveau de classification;

      2. l’identification d’une configuration sécurisée de référence pour les actifs de TIC qui réduise à un minimum l’exposition de ces actifs aux cybermenaces, et des mesures visant à vérifier régulièrement que ces références sont effectivement déployées;

      3. la définition de mesures de sécurité visant à garantir que seuls des logiciels autorisés sont installés dans les systèmes de TIC et les périphériques de point de terminaison;

      4. la définition de mesures de sécurité contre les codes malveillants;

      5. la définition de mesures de sécurité visant à garantir que seuls des supports de stockage de données, des systèmes et des périphériques de point de terminaison autorisés sont utilisés pour transférer et stocker les données de l’entité financière;

      6. les exigences suivantes, pour sécuriser l’utilisation de périphériques de point de terminaison portables et de périphériques de point de terminaison non portables privés:

        1. l’obligation d’utiliser une solution de gestion qui permet de gérer à distance les périphériques de point de terminaison et d’effacer à distance les données de l’entité financière;

        2. l’obligation d’utiliser des mécanismes de sécurité qui ne peuvent pas être modifiés, supprimés ou contournés sans autorisation par des membres du personnel ou par des prestataires tiers de services TIC;

        3. l’obligation de n’utiliser des dispositifs de stockage de données amovibles que lorsque le risque résiduel lié aux TIC reste dans les limites du niveau de tolérance au risque de l’entité financière visé à l’article 3, premier alinéa, point a);

      7. le processus d’effacement sécurisé des données, présentes dans les locaux de l’entité financière ou stockées à l’extérieur, que l’entité financière n’a plus besoin de collecter ou de stocker;

      8. le processus d’élimination ou de déclassement en toute sécurité des dispositifs de stockage de données, présents dans les locaux de l’entité financière ou stockés à l’extérieur, qui contiennent des informations confidentielles;

      9. la définition et la mise en œuvre, pour les systèmes et les périphériques de point de terminaison, de mesures de sécurité visant à prévenir la perte et la fuite de données;

      10. la mise en œuvre de mesures de sécurité visant à garantir que le télétravail et l’utilisation de périphériques de point de terminaison privés n’aient pas d’incidence négative sur la sécurité des TIC de l’entité financière;

      11. pour les actifs de TIC ou les services TIC exploités par un prestataire tiers de services TIC, la définition et la mise en œuvre d’exigences visant à maintenir la résilience opérationnelle numérique, conformément aux résultats de la classification des données et de l’évaluation du risque lié aux TIC.

    2. La configuration sécurisée de référence visée au point b) tient compte, aux fins dudit point, des pratiques de pointe et des techniques appropriées définies dans les normes visées à l’article 2, point 1), du règlement (UE) no 1025/2012.

    3. Aux fins du point k), les entités financières prennent en considération les éléments suivants:

      1. l’application de paramètres recommandés par le vendeur aux éléments exploités par l’entité financière;

      2. une attribution claire des rôles et des responsabilités en matière de sécurité de l’information entre l’entité financière et le prestataire tiers de services TIC, conformément au principe, défini à l’article 28, paragraphe 1, point a), du règlement (UE) 2022/2554, selon lequel l’entité financière est pleinement responsable de son prestataire tiers de services TIC, et conformément à la politique de l’entité financière relative à l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes, pour les entités financières visées à l’article 28, paragraphe 2, dudit règlement;

      3. la nécessité de garantir et de maintenir des compétences adéquates au sein de l’entité financière en matière de gestion et de sécurité du service utilisé;

      4. des mesures techniques et organisationnelles visant à réduire à un minimum les risques liés à l’infrastructure utilisée par le prestataire tiers de services TIC pour ses services TIC, compte tenu des pratiques de pointe et des normes telles que définies à l’article 2, point 1), du règlement (UE) no 1025/2012.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod