Source: OJ L, 2024/1774, 25.6.2024

Current language: FR

Article 16 Acquisition, développement et maintenance des systèmes de TIC

Summary What does Article 16 of the RTS on ICT risk management framework say?

This article sets out the requirements for how financial entities must govern the entire lifecycle of their ICT systems, from acquisition through development to ongoing maintenance.

It builds on the ICT operations security framework by establishing a dedicated policy and accompanying procedure that together cover security practices, technical specifications, testing, source code integrity, and data protection in non-production environments.

The article is notably detailed and extends specific additional obligations to central counterparties and central securities depositories, requiring them to involve external parties such as clearing members, users, and other market infrastructures in their testing activities.

Important points:

  • Develop, document, and implement both a policy and a procedure governing the acquisition, development, and maintenance of ICT systems, including security testing of all systems prior to use and after maintenance.
  • Source code reviews covering static and dynamic testing are mandatory, and any vulnerabilities or anomalies identified must be addressed through a formal action plan that is actively monitored.
  • Production data may only be used in non-production environments under strict conditions: for specific testing occasions, for limited periods of time, and only following approval by the relevant function with reporting to the ICT risk management function.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Dans le cadre des garanties visant à préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, les entités financières élaborent, documentent et mettent en œuvre une politique régissant l’acquisition, le développement et la maintenance des systèmes de TIC. Cette politique:

      1. identifie les pratiques en matière de sécurité et les méthodes relatives à l’acquisition, au développement et à la maintenance des systèmes de TIC;

      2. exige l’identification:

        1. des spécifications techniques et des spécifications techniques des TIC, au sens de l’article 2, points 4) et 5), du règlement (UE) no 1025/2012;

        2. des exigences relatives à l’acquisition, au développement et à la maintenance des systèmes de TIC, en accordant une attention particulière aux exigences en matière de sécurité des TIC et à leur approbation par la fonction «métier» concernée et par le propriétaire des actifs de TIC conformément aux dispositifs de gouvernance interne de l’entité financière;

      3. précise les mesures visant à atténuer le risque d’altération involontaire ou de manipulation intentionnelle des systèmes de TIC lors du développement, de la maintenance et du déploiement de ces systèmes dans l’environnement de production.

    1. Les entités financières élaborent, documentent et mettent en œuvre une procédure d’acquisition, de développement et de maintenance des systèmes de TIC pour les tests et l’approbation de tous les systèmes de TIC avant leur utilisation et après les opérations de maintenance, conformément à l’article 8, paragraphe 2, point b) v), vi) et vii). Le niveau des tests doit être proportionné à la criticité des procédures opérationnelles et des actifs de TIC concernés. Les tests sont conçus pour permettre de vérifier que les nouveaux systèmes de TIC sont aptes à fonctionner comme prévu, ainsi que la qualité du logiciel développé en interne.

    2. En plus de respecter les exigences prévues au premier alinéa, les contreparties centrales associent, s’il y a lieu, à la conception et à la conduite des tests visés au premier alinéa:

      1. les membres compensateurs et leurs clients;

      2. les contreparties centrales interopérables;

      3. les autres parties intéressées.

    3. En plus de respecter les exigences énoncées au premier alinéa, les dépositaires centraux de titres associent, s’il y a lieu, à la conception et à la conduite des tests visés au premier alinéa:

      1. les utilisateurs;

      2. les prestataires de services et fournisseurs de services de réseau essentiels;

      3. d’autres dépositaires centraux de titres;

      4. d’autres infrastructures de marché;

      5. d’autres établissements avec lesquels les dépositaires centraux de titres ont constaté des interdépendances dans le cadre de leur politique de continuité des activités.

    1. La procédure visée au paragraphe 2 comprend la réalisation d’examens du code source comprenant des tests aussi bien statiques que dynamiques. Ces tests comprennent des tests de sécurité pour les systèmes et applications exposés à l’internet conformément à l’article 8, paragraphe 2, point b) v), vi) et vii). Les entités financières:

      1. identifient et analysent les vulnérabilités et les anomalies dans le code source;

      2. adoptent un plan d’action pour remédier à ces vulnérabilités et anomalies;

      3. suivent la mise en œuvre de ce plan d’action.

    1. La procédure visée au paragraphe 2 comprend des tests de sécurité des progiciels au plus tard lors de la phase d’intégration, conformément à l’article 8, paragraphe 2, point b) v), vi) et vii).

    1. La procédure visée au paragraphe 2 prévoit que:

      1. les environnements hors production ne stockent que des données de production anonymisées, pseudonymisées ou randomisées;

      2. les entités financières doivent protéger l’intégrité et la confidentialité des données dans les environnements hors production.

    1. Par dérogation au paragraphe 5, la procédure visée au paragraphe 2 peut prévoir que les données de production ne sont stockées que pour des situations de test spécifiques, pendant des durées limitées, et après approbation par la fonction compétente et la notification de ces situations à la fonction de gestion du risque lié aux TIC.

    1. La procédure visée au paragraphe 2 comprend la mise en œuvre de contrôles visant à protéger l’intégrité du code source des systèmes de TIC qui sont développés en interne ou développés par un prestataire tiers de services TIC et fournis à l’entité financière par ce prestataire.

    1. La procédure visée au paragraphe 2 prévoit que les logiciels propriétaires et, dans la mesure du possible, le code source fourni par des prestataires tiers de services TIC ou provenant de projets à code source ouvert doivent être analysés et testés conformément au paragraphe 3 avant leur déploiement dans l’environnement de production.

    1. Les paragraphes 1 à 8 du présent article s’appliquent également aux systèmes de TIC développés ou gérés par des utilisateurs extérieurs à la fonction TIC, selon une approche fondée sur les risques.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod