Source: OJ L, 2024/1774, 25.6.2024Current language: FR
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Article 2 Éléments généraux des politiques, procédures, protocoles et outils de sécurité des TIC
Summary What does Article 2 of the RTS on ICT risk management framework say?
This article establishes the core requirements for how financial entities must structure and maintain their ICT security policies.
It builds directly on Article 9(2) of DORA (Regulation (EU) 2022/2554), specifying that ICT security policies must be embedded within the broader ICT risk management framework.
Beyond setting out the fundamental security objectives these policies must achieve — network security, data protection, and reliable data transmission — the article goes into considerable detail about the formal characteristics those policies must have, covering everything from management body approval and staff responsibilities to alignment with the digital operational resilience strategy and responsiveness to material changes.
Important points:
- Embed ICT security policies within the ICT risk management framework, ensuring they cover network security, safeguards against intrusions, data integrity, and reliable transmission.
- Ensure ICT security policies are formally approved by the management body, aligned to the digital operational resilience strategy, and include indicators to monitor implementation and manage exceptions.
- ICT security policies must specify staff responsibilities and consequences of non-compliance, reflect segregation of duties, consider leading practices and standards, and be updated to account for material changes to the entity's activities, the cyber threat landscape, or applicable legal obligations.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Les entités financières veillent à ce que leurs politiques de sécurité des TIC, la sécurité de l’information et les procédures, protocoles et outils y afférents visés à l’article 9, paragraphe 2, du règlement (UE) 2022/2554 soient intégrés dans leur cadre de gestion du risque lié aux TIC. Les entités financières établissent les politiques, procédures, protocoles et outils de sécurité des TIC prévus au présent chapitre qui:
garantissent la sécurité des réseaux;
comportent des garanties contre les intrusions et les utilisations abusives des données;
préservent la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, y compris en recourant à des techniques cryptographiques;
garantissent une transmission précise et rapide des données sans perturbation majeure et sans retard injustifié.
Les entités financières veillent à ce que les politiques de sécurité des TIC visées au paragraphe 1:
soient alignées sur les objectifs de l’entité financière en matière de sécurité de l’information définis dans la stratégie de résilience opérationnelle numérique visée à l’article 6, paragraphe 8, du règlement (UE) 2022/2554;
indiquent la date de l’approbation formelle des politiques de sécurité des TIC par l’organe de direction;
contiennent des indicateurs et des mesures pour:
suivre la mise en œuvre des politiques, procédures, protocoles et outils de sécurité des TIC;
enregistrer les exceptions à cette mise en œuvre;
veiller à ce que la résilience opérationnelle numérique de l’entité financière soit assurée en cas d’exceptions visées au point ii);
précisent les responsabilités du personnel à tous les niveaux afin d’assurer la sécurité des TIC de l’entité financière;
précisent les conséquences du non-respect, par le personnel de l’entité financière, des politiques de sécurité des TIC, lorsque des dispositions à cet effet ne sont pas prévues dans d’autres politiques de l’entité financière;
répertorient les documents à tenir à jour;
précisent les modalités de séparation des fonctions dans le cadre du modèle reposant sur trois lignes de défense ou d’un autre modèle interne de gestion et de contrôle des risques, selon le cas, afin d’éviter les conflits d’intérêts;
tiennent compte des pratiques de pointe et, le cas échéant, des normes telles que définies à l’article 2, point 1), du règlement (UE) no 1025/2012;
définissent les rôles et les responsabilités en ce qui concerne l’élaboration, la mise en œuvre et la maintenance des politiques, procédures, protocoles et outils de sécurité des TIC;
soient réexaminées conformément à l’article 6, paragraphe 5, du règlement (UE) 2022/2554;
tiennent compte des changements importants concernant l’entité financière, notamment des changements importants intervenant dans ses activités ou processus, dans l’éventail des cybermenaces ou dans les obligations légales applicables.
Relevant recitals
Considérant 2 Flexibility in documentation requirements compliance
Pour la même raison, les entités financières soumises au règlement (UE) 2022/2554 devraient disposer d’une certaine souplesse dans la manière de se conformer aux exigences concernant les politiques, procédures, protocoles et outils de sécurité des TIC et à un éventuel cadre simplifié de gestion du risque lié aux TIC. C’est pourquoi elles devraient être autorisées à utiliser tout document dont elles disposent déjà pour se conformer aux obligations de documentation découlant de ces exigences. Il s’ensuit que l’élaboration, la documentation et la mise en œuvre de politiques spécifiques en matière de sécurité des TIC ne devraient être requises que pour certains éléments essentiels, en tenant compte, entre autres, des pratiques de pointe du secteur et des normes applicables. En outre, il est nécessaire d’élaborer, de documenter et de mettre en œuvre des procédures de sécurité des TIC couvrant des aspects spécifiques de la mise en œuvre technique, notamment la gestion des capacités et des performances, la gestion de la vulnérabilité et des correctifs, la sécurité des données et des systèmes, et la journalisation.
Considérant 3 Importance of roles, responsibilities and non-compliance consequences
Afin de garantir la mise en œuvre correcte, sur la durée, des politiques, procédures, protocoles et outils de sécurité des TIC visés au titre II, chapitre I, du présent règlement, il importe que les entités financières attribuent correctement et maintiennent tous les rôles et responsabilités liés à la sécurité des TIC, et qu’elles définissent les conséquences du non-respect des politiques ou procédures en matière de sécurité des TIC.
Considérant 4 Avoid conflicts of interests
Afin de limiter le risque de conflits d’intérêts, les entités financières devraient veiller à la séparation des tâches lors de l’attribution de rôles et de responsabilités dans le domaine des TIC.
Considérant 5 Flexibility in provisions for non-compliance consequences
Dans un souci de souplesse et pour simplifier le cadre de contrôle des entités financières, ces dernières ne devraient pas être tenues d’élaborer des dispositions spécifiques sur les conséquences du non-respect des politiques, procédures et protocoles de sécurité des TIC visés au titre II, chapitre I, du présent règlement si de telles dispositions sont déjà prévues dans une autre politique ou procédure.
Considérant 6 Standards-based ICT security policies
Dans un environnement dynamique où les risques liés aux TIC évoluent constamment, il importe que les entités financières élaborent l’ensemble de leurs politiques de sécurité des TIC sur la base de pratiques de pointe et, le cas échéant, de normes telles que définies à l’article 2, point 1), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil(2). Cela devrait permettre aux entités financières visées au titre II du présent règlement de rester informées et préparées dans un contexte appelé à évoluer.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
cybermenace
(En. cyber threat)
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
services TIC
(En. ICT services)
Definition
organe de direction
(En. management body)
Definition
résilience opérationnelle numérique
(En. digital operational resilience)
Definition
vulnérabilité
(En. vulnerability)
Definition
risque lié aux TIC
(En. ICT risk)
Definition
prestataire tiers de services TIC
(En. ICT third-party service provider)
Footnote 2