Article 23 Détection des activités anormales et critères pour la détection des incidents liés aux TIC et la réponse à ces incidents

Summary What does Article 23 of the RTS on ICT risk management framework say?

This article provides the operational detail behind the detection and response mechanisms that financial entities must have in place for ICT-related incidents and anomalous activities.

It builds directly on Article 10 of DORA (Regulation (EU) 2022/2554), translating that high-level requirement into concrete obligations around how detection tools must function, what data must be collected and logged, and what criteria should trigger a formal incident response process.

The article covers the full detection lifecycle: collecting and monitoring internal and external signals, generating automated alerts for critical assets, prioritising those alerts around the clock, and securely recording all findings.

It also sets out specific triggers — such as signs of malicious activity, data loss, operational disruption, or system unavailability — that financial entities must use to activate their incident detection and response processes.

Important points:

Implement detection mechanisms that collect, monitor, and analyse internal and external signals — including logs, threat intelligence, and notifications from ICT third-party service providers — and generate automated alerts for assets supporting critical or important functions.
Ensure all recordings of anomalous activities are logged with timestamps and type of activity, and are protected against tampering and unauthorised access at rest, in transit, and where relevant, in use.
Use defined criteria — including indications of malicious activity, data loss, operational impact, and system unavailability — to trigger the ICT-related incident detection and response processes, also taking into account the criticality of the services affected.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Les entités financières définissent clairement les rôles et les responsabilités pour ce qui est de détecter efficacement les incidents liés aux TIC et les activités anormales et d’y répondre.
1. Le mécanisme permettant de détecter rapidement les activités anormales, y compris les problèmes de performance des réseaux de TIC et les incidents liés aux TIC, visé à l’article 10, paragraphe 1, du règlement (UE) 2022/2554, permet aux entités financières:
  1. de collecter, suivre et analyser l’ensemble des éléments suivants:
    les facteurs internes et externes, y compris au moins les journaux collectés conformément à l’article 12 du présent règlement, les informations provenant des fonctions «métiers» et des fonctions TIC, et tout problème signalé par les utilisateurs de l’entité financière;
    les cybermenaces potentielles internes et externes, en tenant compte des scénarios couramment utilisés par les acteurs de la menace et des scénarios fondés sur les activités de renseignement sur les menaces;
    les notifications, par un prestataire tiers de services TIC de l’entité financière, d’incidents liés aux TIC détectés dans les systèmes et réseaux de TIC du prestataire tiers de services TIC et susceptibles d’affecter l’entité financière;
  2. d’identifier les activités et les comportements anormaux et de mettre en œuvre des outils générant des alertes pour les activités et comportements anormaux, au moins pour les actifs de TIC et les actifs informationnels qui soutiennent des fonctions critiques ou importantes;
  3. de hiérarchiser les alertes visées au point b) afin de permettre que les incidents liés aux TIC détectés soient gérés dans le délai de résolution prévu, tel que spécifié par les entités financières, tant pendant les heures de travail qu’en dehors de celles-ci;
  4. d’enregistrer, analyser et évaluer, automatiquement ou manuellement, toutes les informations pertinentes sur l’ensemble des activités et comportements anormaux.
2. Aux fins du point b), les outils visés audit point comprennent des outils qui fournissent des alertes automatisées selon des règles prédéfinies afin de détecter les anomalies affectant l’exhaustivité et l’intégrité des sources de données ou de la collecte de journaux.
1. Les entités financières protègent tout enregistrement d’activités anormales contre toute falsification et tout accès non autorisé au repos, en transit et, le cas échéant, en cours d’utilisation.
1. Les entités financières journalisent, pour chaque activité anormale détectée, toutes les informations pertinentes permettant:
  1. de déterminer la date et l’heure de survenance de l’activité anormale;
  2. de déterminer la date et l’heure de détection de l’activité anormale;
  3. de déterminer le type d’activité anormale.
1. Pour déclencher les processus de détection des incidents liés aux TIC et de réponse à ces incidents visés à l’article 10, paragraphe 2, du règlement (UE) 2022/2554, les entités financières tiennent compte de l’ensemble des critères suivants:
  1. des éléments indiquant qu’une activité malveillante est susceptible d’avoir été menée dans un système ou un réseau de TIC, ou que ce système ou réseau de TIC est susceptible d’avoir été compromis;
  2. des pertes de données détectées en lien avec la disponibilité, l’authenticité, l’intégrité et la confidentialité des données;
  3. une incidence négative détectée sur les transactions et opérations de l’entité financière;
  4. l’indisponibilité des systèmes et réseaux de TIC.
1. Aux fins du paragraphe 5, les entités financières tiennent également compte de la criticité des services affectés.

Relevant recitals

Considérant 9 Encryption and cryptographic controls

Les contrôles cryptographiques peuvent garantir la disponibilité, l’authenticité, l’intégrité et la confidentialité des données. Les entités financières visées au titre II du présent règlement devraient donc définir et mettre en œuvre ces contrôles sur la base d’une approche fondée sur les risques. À cette fin, les entités financières devraient chiffrer les données concernées, au repos, en transit ou, si nécessaire, en cours d’utilisation, sur la base des résultats d’un processus en deux volets, à savoir la classification des données et une évaluation complète du risque lié aux TIC. Compte tenu de la complexité du chiffrement des données en cours d’utilisation, les entités financières visées au titre II du présent règlement ne devraient chiffrer les données en cours d’utilisation que lorsque cela est approprié à la lumière des résultats de l’évaluation du risque lié aux TIC. Les entités financières visées au titre II du présent règlement devraient toutefois être en mesure, lorsque le chiffrement des données en cours d’utilisation n’est pas possible ou est trop complexe, de protéger la confidentialité, l’intégrité et la disponibilité des données concernées au moyen d’autres mesures de sécurité des TIC. Compte tenu de la rapidité de l’évolution technologique dans le domaine des techniques cryptographiques, les entités financières visées au titre II du présent règlement devraient se tenir informées des évolutions qui les concernent en matière de cryptanalyse et tenir compte des pratiques de pointe et des normes existantes. Elles devraient donc suivre une approche souple, fondée sur l’atténuation et la surveillance des risques, pour s’adapter au paysage changeant des menaces cryptographiques, y compris des menaces résultant des progrès de l’informatique quantique.

Considérant 19 Detection of anomalous activities

Afin de garantir une détection précoce et efficace des activités anormales, les entités financières visées au titre II du présent règlement devraient collecter, surveiller et analyser les différentes sources d’information et devraient attribuer les rôles et responsabilités correspondants. En ce qui concerne les sources d’information internes, les journaux sont une source extrêmement pertinente, mais qui ne devrait pas être la seule sur laquelle les entités financières s’appuient. Ainsi, les entités financières devraient prendre en considération l’ensemble des informations dont elles peuvent disposer, y compris celles obtenues grâce à d’autres fonctions internes, lesquelles constituent souvent une source précieuse d’informations pertinentes. Pour la même raison, les entités financières devraient analyser et surveiller les informations recueillies auprès de sources externes, notamment les informations fournies par des prestataires tiers de services TIC sur les incidents touchant leurs systèmes et réseaux, et auprès d’autres sources qu’elles jugent pertinentes. Dans la mesure où ces informations constituent des données à caractère personnel, le droit de l’Union en matière de protection des données s’applique. Les données à caractère personnel devraient être limitées à ce qui est nécessaire à la détection d’incidents.

Considérant 20 Incident evidence retention

Afin de faciliter la détection des incidents liés aux TIC, les entités financières devraient conserver les preuves de ces incidents. Pour que ces preuves soient conservées suffisamment longtemps, et pour s’éviter une charge réglementaire excessive, les entités financières devraient déterminer la durée de conservation en tenant compte, entre autres, de la criticité des données et des exigences en matière de conservation imposées par le droit de l’Union.

Considérant 21 Comprehensive triggers for ICT-related incidents

Pour que les incidents liés aux TIC soient détectés à temps, il convient que les entités financières visées au titre II du présent règlement considèrent comme non exhaustifs les critères définis pour le déclenchement de la détection des incidents liés aux TIC et des réponses à ces incidents. En outre, les entités financières devraient certes tenir compte de chacun de ces critères, mais elles ne devraient pas considérer que les circonstances qu’ils décrivent doivent nécessairement exister simultanément, et l’importance des services TIC concernés devrait être dûment prise en considération pour déclencher les processus de détection des incidents liés aux TIC et de réponse à ces incidents.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.