Source: OJ L, 2024/1774, 25.6.2024Current language: FR
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Article 15 Gestion des projets de TIC
Summary What does Article 15 of the RTS on ICT risk management framework say?
This article requires financial entities to put in place a formal ICT project management policy, framed as one of the safeguards for preserving data availability, authenticity, integrity, and confidentiality.
It sets out the core components that such a policy must cover — from objectives and governance through to risk assessment, change management, and production deployment testing.
Notably, the article connects project management directly to senior oversight, requiring that ICT projects affecting critical or important functions be reported to the management body, reinforcing the governance thread running throughout the regulation.
Important points:
- Develop, document, and implement an ICT project management policy covering objectives, governance, planning, risk assessment, milestones, change management, and security testing.
- Ensure the policy draws on information and expertise from the business areas or functions affected by each ICT project.
- Report the progress and associated risks of ICT projects impacting critical or important functions to the management body, both periodically and on an event-driven basis.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Dans le cadre des garanties visant à préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, les entités financières élaborent, documentent et mettent en œuvre une politique de gestion des projets de TIC.
La politique de gestion des projets de TIC visée au paragraphe 1 précise les éléments qui garantissent la gestion efficace des projets de TIC liés à l’acquisition, à la maintenance et, le cas échéant, au développement des systèmes de TIC de l’entité financière.
La politique de gestion des projets de TIC visée au paragraphe 1 comporte l’ensemble des éléments suivants:
les objectifs des projets de TIC;
la gouvernance des projets de TIC, notamment les rôles et responsabilités;
la planification, le calendrier et les étapes des projets de TIC;
l’évaluation des risques liés aux projets de TIC;
les jalons pertinents;
les exigences en matière de gestion des changements;
les tests de toutes les exigences, notamment des exigences de sécurité, et le processus d’approbation correspondant lors du déploiement d’un système de TIC dans l’environnement de production.
La politique de gestion des projets de TIC visée au paragraphe 1 garantit la sécurité de la mise en œuvre des projets de TIC grâce à la fourniture des informations et de l’expertise nécessaires par le domaine d’activité ou les fonctions concernées par les projets de TIC.
Conformément à l’évaluation des risques liés aux projets de TIC visée au paragraphe 3, point d), la politique de gestion des projets de TIC visée au paragraphe 1 prévoit que la mise en place de projets de TIC ayant une incidence sur les fonctions critiques ou importantes de l’entité financière, l’avancement de ces projets et les risques qui y sont associés sont notifiés à l’organe de direction comme suit:
individuellement ou de façon groupée, en fonction de l’importance et de la taille des projets de TIC;
périodiquement et, si nécessaire, chaque fois qu’un évènement l’exige.
Relevant recitals
Considérant 15 ICT project management
Afin de gérer les progrès rapides des environnements TIC, les entités financières visées au titre II du présent règlement devraient mettre en œuvre de solides politiques et procédures de gestion des projets TIC afin de préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données. Ces politiques et procédures de gestion de projets TIC devraient identifier les éléments nécessaires pour bien gérer ces projets, notamment les modifications et acquisitions de systèmes de TIC par l’entité financière, ainsi que la maintenance et l’évolution de ces systèmes quelle que soit la méthode de gestion de projets TIC choisie par cette dernière. Dans le cadre de ces politiques et procédures, les entités financières devraient adopter des pratiques et des méthodes de test qui répondent à leurs besoins, tout en respectant une approche fondée sur les risques et en veillant au maintien d’un environnement TIC sûr, fiable et résilient. Afin de garantir la mise en œuvre en toute sécurité d’un projet de TIC, les entités financières devraient veiller à ce que le personnel chargé des différents secteurs d’activité ou rôles influencés ou concernés par ce projet puisse fournir les informations et l’expertise nécessaires. Afin d’assurer une surveillance efficace, les rapports sur les projets TIC, en particulier sur les projets touchant des fonctions critiques ou importantes et sur les risques qui y sont associés, devraient être soumis à l’organe de direction. Les entités financières devraient adapter la fréquence et le détail des examens et rapports systématiques et continus à l’importance et à la taille des projets TIC concernés.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
organe de direction
(En. management body)
Definition
fonction critique ou importante
(En. critical or important function)