Source: OJ L, 2024/1774, 25.6.2024Current language: FR
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Article 12 Journalisation
Summary What does Article 12 of the RTS on ICT risk management framework say?
This article establishes the logging requirements that financial entities must put in place as part of their broader safeguards against intrusions and data misuse.
It sets out what a compliant logging framework must look like in practice: what to log, how detailed those logs should be, how to protect them, and how to ensure the logging infrastructure itself remains functional.
The article connects directly to Article 24 on anomalous activity detection, making logging a foundational enabler of that broader detection capability.
It also ties to Article 21, since access control events are explicitly among the categories that must be logged.
Important points:
- Develop, document, and implement logging procedures covering access control, capacity management, change management, ICT operations, and network traffic activities.
- Protect log data against tampering, deletion, and unauthorised access, and put in place measures to detect failures of the logging systems themselves.
- Synchronise the clocks of all ICT systems to a documented reliable reference time source to ensure log integrity across the estate.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Dans le cadre des garanties contre les intrusions et l’utilisation abusive de données, les entités financières élaborent, documentent et mettent en œuvre des procédures, protocoles et outils de journalisation.
Les procédures, protocoles et outils de journalisation visés au paragraphe 1 contiennent l’ensemble des éléments suivants:
l’identification des événements à enregistrer dans le journal, la durée de conservation des journaux et les mesures visant à sécuriser et à gérer les données des journaux, en tenant compte de la finalité pour laquelle les journaux sont créés;
l’alignement du niveau de détail des journaux sur leur finalité et leur utilisation, afin de permettre la détection effective des activités anormales visées à l’article 24;
l’obligation de consigner dans les journaux les événements relatifs à l’ensemble des éléments suivants:
le contrôle de l’accès logique et physique, tel que visé à l’article 21, et la gestion de l’identité;
la gestion des capacités;
la gestion des modifications;
les opérations de TIC, y compris les activités liées aux systèmes de TIC;
le trafic réseau, y compris les performances des réseaux de TIC;
des mesures visant à protéger les systèmes de journalisation et les informations des journaux contre les manipulations, la suppression et l’accès non autorisé, au repos, en transit et, le cas échéant, en cours d’utilisation;
des mesures visant à détecter les défaillances des systèmes de journalisation;
sans préjudice de toute exigence réglementaire applicable en vertu du droit de l’Union ou du droit national, la synchronisation des horloges de chacun des systèmes de TIC de l’entité financière avec une horloge de référence fiable et documentée.
Aux fins du point a), les entités financières définissent la durée de conservation, en prenant en considération les objectifs en matière de sécurité des activités et de l’information, la raison de l’enregistrement de l’événement dans les journaux et les résultats de l’évaluation du risque lié aux TIC.
Relevant recitals
Considérant 9 Encryption and cryptographic controls
Les contrôles cryptographiques peuvent garantir la disponibilité, l’authenticité, l’intégrité et la confidentialité des données. Les entités financières visées au titre II du présent règlement devraient donc définir et mettre en œuvre ces contrôles sur la base d’une approche fondée sur les risques. À cette fin, les entités financières devraient chiffrer les données concernées, au repos, en transit ou, si nécessaire, en cours d’utilisation, sur la base des résultats d’un processus en deux volets, à savoir la classification des données et une évaluation complète du risque lié aux TIC. Compte tenu de la complexité du chiffrement des données en cours d’utilisation, les entités financières visées au titre II du présent règlement ne devraient chiffrer les données en cours d’utilisation que lorsque cela est approprié à la lumière des résultats de l’évaluation du risque lié aux TIC. Les entités financières visées au titre II du présent règlement devraient toutefois être en mesure, lorsque le chiffrement des données en cours d’utilisation n’est pas possible ou est trop complexe, de protéger la confidentialité, l’intégrité et la disponibilité des données concernées au moyen d’autres mesures de sécurité des TIC. Compte tenu de la rapidité de l’évolution technologique dans le domaine des techniques cryptographiques, les entités financières visées au titre II du présent règlement devraient se tenir informées des évolutions qui les concernent en matière de cryptanalyse et tenir compte des pratiques de pointe et des normes existantes. Elles devraient donc suivre une approche souple, fondée sur l’atténuation et la surveillance des risques, pour s’adapter au paysage changeant des menaces cryptographiques, y compris des menaces résultant des progrès de l’informatique quantique.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
risque lié aux TIC
(En. ICT risk)