Source: OJ L, 2024/1774, 25.6.2024Current language: FR
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Article 17 Gestion des changements dans les TIC
Summary What does Article 17 of the RTS on ICT risk management framework say?
This article elaborates on the ICT change management procedures that financial entities must have in place, building directly on the requirement in Article 9(4)(e) of DORA (Regulation (EU) 2022/2554).
It sets out the minimum content those procedures must cover for any change to software, hardware, firmware, systems, or security parameters — encompassing everything from roles and responsibilities, documentation, and fall-back procedures, to the handling of emergency changes both during and after their implementation.
The article also imposes an additional, more demanding obligation on central counterparties and central securities depositories specifically: following significant ICT system changes, they must conduct stringent stress-condition testing and involve relevant external parties in that process.
Important points:
- Include all mandated elements — such as independence of approval functions, fall-back procedures, and impact assessments on existing security measures — in your ICT change management procedures.
- Emergency changes must be covered by dedicated procedures, protocols, and tools, and must be documented, re-evaluated, assessed, and approved even after their implementation.
- Central counterparties and central securities depositories are required to conduct stringent stress-condition testing after significant ICT changes, involving clearing members, clients, users, and other relevant external parties as appropriate.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Dans le cadre des garanties visant à préserver la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, les entités financières incluent dans les procédures de gestion des changements dans les TIC visées à l’article 9, paragraphe 4, point e), du règlement (UE) 2022/2554, en ce qui concerne tous les changements apportés aux logiciels, au matériel, aux composants de micrologiciels, aux systèmes ou aux paramètres de sécurité, l’ensemble des éléments suivants:
une vérification du respect des exigences en matière de sécurité des TIC;
des mécanismes visant à garantir l’indépendance des fonctions qui approuvent les changements et des fonctions responsables de la demande et de la mise en œuvre de ces changements;
une description claire des rôles et des responsabilités afin de garantir:
que les changements sont définis et planifiés;
qu’une transition adéquate est conçue;
que les changements sont testés et finalisés de manière contrôlée;
qu’il existe une assurance de la qualité efficace;
la documentation et la communication des détails des changements, notamment:
de l’objectif et de la portée du changement;
du calendrier de mise en œuvre du changement;
des résultats attendus;
l’identification des procédures et responsabilités de repli, notamment des procédures et responsabilités pour l’abandon des changements ou le rétablissement à la suite de changements qui n’ont pas été mis en œuvre avec succès;
des procédures, protocoles et outils de gestion des changements d’urgence qui offrent des garanties adéquates;
des procédures de documentation, de réévaluation, d’évaluation et d’approbation des changements d’urgence après leur mise en œuvre, y compris des solutions de contournement et des correctifs;
l’identification de l’incidence potentielle d’un changement sur les mesures existantes en matière de sécurité des TIC et une évaluation visant à déterminer si ce changement nécessite l’adoption de mesures supplémentaires en matière de sécurité des TIC.
Après avoir apporté des changements importants à leurs systèmes de TIC, les contreparties centrales et les dépositaires centraux de titres soumettent leurs systèmes de TIC à des tests rigoureux, en simulant des situations de crise.
Les contreparties centrales associent, s’il y a lieu, à la conception et à la conduite des tests visés au premier alinéa:
les membres compensateurs et leurs clients;
les contreparties centrales interopérables;
les autres parties intéressées.
Les dépositaires centraux de titres associent, s’il y a lieu, à la conception et à la conduite des tests visés au premier alinéa:
les utilisateurs;
les prestataires de services et fournisseurs de services de réseau essentiels;
d’autres dépositaires centraux de titres;
d’autres infrastructures de marché;
d’autres établissements avec lesquels les dépositaires centraux de titres ont constaté des interdépendances dans le cadre de leur politique de continuité des activités de TIC.
Relevant recitals
Considérant 17 ICT change management policies and procedures
Tout changement, quelle que soit son échelle, comporte des risques inhérents et peut comporter des risques importants de perte de confidentialité, d’intégrité et de disponibilité des données, et entraîner par ricochet de graves perturbations des activités. Afin de protéger les entités financières des vulnérabilités et faiblesses potentielles en matière de TIC qui pourraient les exposer à des risques importants, un processus de vérification rigoureux est nécessaire pour confirmer que tous les changements apportés satisfont aux exigences nécessaires en matière de sécurité des TIC. Les entités financières visées au titre II du présent règlement devraient donc disposer, en tant qu’élément essentiel de leurs politiques et procédures en matière de sécurité des TIC, de solides politiques et procédures de gestion des changements dans les TIC. Afin de préserver l’objectivité et l’efficacité du processus de gestion des changements dans les TIC, de prévenir les conflits d’intérêts et de garantir une évaluation objective des changements apportés aux TIC, il est nécessaire de séparer les fonctions chargées d’approuver ces changements des fonctions qui les demandent et les mettent en œuvre. Pour assurer des transitions efficaces, une mise en œuvre contrôlée des changements de TIC et des perturbations minimales du fonctionnement des systèmes de TIC, les entités financières devraient assigner clairement des rôles et responsabilités garantissant que les changements apportés aux TIC seront planifiés, testés de manière adéquate, et de qualité. Pour veiller à ce que les systèmes de TIC continuent de fonctionner efficacement, et pour fournir un filet de sécurité aux entités financières, il convient par ailleurs que celles-ci élaborent et mettent en œuvre des procédures de secours. Les entités financières devraient clairement définir ces procédures de secours et assigner les responsabilités nécessaires à une réaction rapide et efficace en cas de changements infructueux dans les TIC.
Considérant 24 Additional requirements for financial market infrastructure participants
Il est nécessaire de fixer des exigences en matière de risque opérationnel, et plus particulièrement en matière de gestion des projets TIC, de gestion des changements dans les TIC et de gestion de la continuité des activités de TIC, en s’appuyant sur les exigences qui s’appliquent déjà aux contreparties centrales, aux dépositaires centraux de titres et aux plates-formes de négociation en vertu, respectivement, des règlements (UE) no 648/2012(3), (UE) no 600/2014(4) et (UE) no 909/2014(5) du Parlement européen et du Conseil.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
contrepartie centrale
(En. central counterparty)
Footnote 5
Footnote 4
Footnote 3