Source: OJ L, 2024/1774, 25.6.2024Current language: FR
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Article 19 Politique des ressources humaines
Summary What does Article 19 of the RTS on ICT risk management framework say?
This article focuses on the human element of ICT security, requiring financial entities to embed specific ICT security obligations directly into their HR policies or equivalent internal policies.
Rather than treating ICT security as a purely technical matter, it extends accountability to staff and third-party service provider personnel who interact with the financial entity's ICT assets, covering their conduct during and at the end of their engagement.
Important points:
- Embed ICT security requirements into your human resource policy, covering both internal staff and staff of ICT third-party service providers who access your ICT assets.
- Ensure all relevant staff are informed of and adhere to ICT security policies, and are aware of reporting channels for anomalous behaviour, including those aligned with the EU whistleblowing directive.
- Require staff to return all ICT assets and tangible information assets to the financial entity upon termination of employment.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Les entités financières incluent dans leur politique en matière de ressources humaines ou dans d’autres politiques pertinentes tous les éléments suivants liés à la sécurité des TIC:
l’identification et l’attribution de toute responsabilité spécifique en matière de sécurité des TIC;
l’obligation pour les membres du personnel de l’entité financière et des prestataires tiers de services TIC qui utilisent des actifs de TIC de l’entité financière ou qui y ont accès:
d’être informés des politiques, procédures et protocoles de sécurité des TIC de l’entité financière et de les respecter;
de connaître les canaux de notification mis en place par l’entité financière pour la détection des comportements anormaux, y compris, le cas échéant, les canaux de signalement établis conformément à la directive (UE) 2019/1937 du Parlement européen et du Conseil(11);
de restituer à l’entité financière, après la cessation de leur emploi, tous les actifs de TIC et tous les actifs informationnels matériels en leur possession qui appartiennent à l’entité financière.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
actif informationnel
(En. information asset)
Definition
services TIC
(En. ICT services)
Definition
prestataire tiers de services TIC
(En. ICT third-party service provider)
Definition
actif de TIC
(En. ICT asset)
Footnote 11