Source: OJ L, 2024/1774, 25.6.2024

Current language: FR

Article 13 Gestion de la sécurité des réseaux

Summary What does Article 13 of the RTS on ICT risk management framework say?

This article sets out the full range of requirements for network security management, forming part of the broader safeguards against intrusions and data misuse.

It is a detailed operational article that builds on the overarching ICT security policy framework established earlier in the regulation, translating high-level security obligations into concrete network-level controls.

The article covers everything from network segregation and encryption to firewall governance and session management, requiring financial entities to take a comprehensive and structured approach to securing their network infrastructure.

Important points:

  • Develop, document, and implement policies, procedures, protocols, and tools covering all aspects of network security management, including segregation, access controls, encryption, and secure configuration.
  • Conduct annual reviews of network architecture and security design to identify potential vulnerabilities, with microenterprises subject to a periodic (rather than annual) review cycle.
  • For ICT systems supporting critical or important functions, verify the adequacy of firewall rules and connection filters at least every 6 months.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

  1. Dans le cadre des garanties de sécurité des réseaux contre les intrusions et l’utilisation abusive de données, les entités financières élaborent, documentent et mettent en œuvre des politiques, des procédures, des protocoles et des outils de gestion de la sécurité des réseaux comprenant l’ensemble des éléments suivants:

    1. la séparation et la segmentation des systèmes et réseaux de TIC, compte tenu:

      1. de la criticité ou de l’importance de la fonction que soutiennent ces systèmes et réseaux de TIC;

      2. de la classification établie conformément à l’article 8, paragraphe 1, du règlement (UE) 2022/2554;

      3. du profil de risque global des actifs de TIC qui utilisent ces systèmes et réseaux de TIC;

    2. la documentation de l’ensemble des connexions réseau et des flux de données de l’entité financière;

    3. l’utilisation d’un réseau distinct et spécifique pour l’administration des actifs de TIC;

    4. la définition et la mise en œuvre de contrôles d’accès au réseau afin de prévenir et de détecter les connexions au réseau de l’entité financière à partir de tout appareil ou système non autorisé, ou de tout point de terminaison ne répondant pas aux exigences de l’entité financière en matière de sécurité;

    5. le chiffrement des connexions au réseau transitant par des réseaux d’entreprise, des réseaux publics, des réseaux nationaux, des réseaux tiers et des réseaux sans fil, pour les protocoles de communication utilisés, en tenant compte des résultats de la classification de données approuvée, des résultats de l’évaluation du risque lié aux TIC et du chiffrement des connexions au réseau prévu par l’article 6, paragraphe 2;

    6. une conception du réseau conforme aux exigences en matière de sécurité des TIC définies par l’entité financière, tenant compte des pratiques de pointe afin de garantir la confidentialité, l’intégrité et la disponibilité du réseau;

    7. la sécurisation du trafic entre les réseaux internes et l’internet et d’autres connexions externes;

    8. la définition des rôles et responsabilités et des étapes de la spécification, de la mise en œuvre, de l’approbation, de la modification et du réexamen des règles de pare-feu et des filtres de connexion;

    9. la réalisation d’examens de l’architecture du réseau et de la conception de la sécurité du réseau une fois par an, et périodiquement pour les microentreprises, afin de détecter les vulnérabilités potentielles;

    10. des mesures visant à isoler temporairement, si nécessaire, les sous-réseaux et les composants et dispositifs de réseau;

    11. la mise en œuvre d’une configuration sécurisée de référence incluant tous les composants du réseau, et le renforcement du réseau et des dispositifs de réseau conformément aux éventuelles instructions du vendeur, aux normes telles que définies à l’article 2, point 1), du règlement (UE) no 1025/2012, le cas échéant, et aux pratiques de pointe;

    12. les procédures de limitation, de verrouillage et d’arrêt du système et des sessions à distance après une période déterminée d’inactivité;

    13. pour les accords de services de réseau:

      1. l’indication et la spécification des mesures de sécurité des TIC et de l’information, des niveaux de service et des exigences en matière de gestion de tous les services de réseau;

      2. une indication précisant si ces services sont fournis par un prestataire intra-groupe de services TIC ou par des prestataires tiers de services TIC.

  2. Aux fins du point h), les entités financières procèdent à un réexamen régulier des règles de pare-feu et des filtres de connexion, conformément à la classification établie en application de l’article 8, paragraphe 1, du règlement (UE) 2022/2554 et au profil de risque global des systèmes de TIC concernés. Pour les systèmes de TIC qui soutiennent des fonctions critiques ou importantes, les entités financières vérifient l’adéquation des règles de pare-feu et des filtres de connexion existants au moins tous les six mois.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod