Source: OJ L, 2024/1774, 25.6.2024Current language: FR
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Article 24 Composantes de la politique de continuité des activités de TIC
Summary What does Article 24 of the RTS on ICT risk management framework say?
This article sets out the required content of the ICT business continuity policy that financial entities must maintain, building directly on Article 11(1) of DORA.
It covers the core elements all financial entities must include — from policy objectives and scope, through governance and recovery objectives, to alignment with crisis communications.
Beyond these baseline requirements, the article then layers on additional, more stringent obligations for specific types of entity: central counterparties, central securities depositories, and trading venues each face their own tailored requirements, particularly around hard recovery time limits and infrastructure redundancy.
Important points:
- Include in your ICT business continuity policy the core foundational elements: policy objectives informed by the business impact analysis, scope, activation criteria, governance arrangements, and alignment with overall business continuity and crisis communication plans.
- Central counterparties, central securities depositories, and trading venues are subject to additional requirements on top of the baseline, most notably a maximum recovery time objective of 2 hours for critical or important functions.
- Central counterparties must also maintain a secondary processing site with a geographically distinct risk profile from the primary site, capable of ensuring identical continuity of critical or important functions.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Les entités financières incluent dans leur politique de continuité des activités de TIC visée à l’article 11, paragraphe 1, du règlement (UE) 2022/2554 l’ensemble des éléments suivants:
une description:
des objectifs de la politique de continuité des activités de TIC, notamment l’interaction entre la continuité des activités de TIC et la continuité globale des activités, en tenant compte des résultats de l’analyse des incidences sur les activités visée à l’article 11, paragraphe 5, du règlement (UE) 2022/2554;
du champ d’application des dispositifs, plans, procédures et mécanismes de continuité des activités de TIC, y compris des limitations et exclusions;
de la période de temps à couvrir par les dispositifs, plans, procédures et mécanismes de continuité des activités de TIC;
des critères d’activation et de désactivation des plans de continuité des activités de TIC, des plans de réponse et de rétablissement des TIC, ainsi que des plans de communication en situation de crise;
des dispositions concernant:
la gouvernance et l’organisation nécessaires à la mise en œuvre de la politique de continuité des activités de TIC, y compris les rôles, les responsabilités et les procédures de remontée des informations, en veillant à ce que des ressources suffisantes soient disponibles;
l’alignement entre les plans de continuité des activités de TIC et les plans globaux de continuité des activités, en ce qui concerne au moins l’ensemble des éléments suivants:
les scénarios de défaillance potentielle, notamment les scénarios visés à l’article 26, paragraphe 2, du présent règlement;
les objectifs de rétablissement, en précisant que l’entité financière doit être en mesure de rétablir les opérations de ses fonctions critiques ou importantes après des perturbations en respectant un objectif en matière de délai de rétablissement et un objectif en matière de point de rétablissement;
l’élaboration de plans de continuité des activités de TIC en cas de graves perturbations des activités dans le cadre de ces plans, et la hiérarchisation des mesures de continuité des activités de TIC selon une approche fondée sur les risques;
l’élaboration, le test et l’examen des plans de réponse et de rétablissement des TIC, conformément aux articles 25 et 26 du présent règlement;
l’examen de l’efficacité des dispositifs, plans, procédures et mécanismes de continuité des activités de TIC mis en œuvre, conformément à l’article 26 du présent règlement;
l’alignement de la politique de continuité des activités de TIC sur:
la politique de communication visée à l’article 14, paragraphe 2, du règlement (UE) 2022/2554;
les mesures de communication et de communication de crise visées à l’article 11, paragraphe 2, point e), du règlement (UE) 2022/2554.
En plus de respecter les exigences prévues au paragraphe 1, les contreparties centrales veillent à ce que leur politique de continuité des activités de TIC:
prévoie, pour leurs fonctions critiques, un délai de rétablissement maximal ne dépassant pas deux heures;
tienne compte des liens extérieurs et des interdépendances au sein des infrastructures financières, y compris les plates-formes de négociation compensées par la contrepartie centrale, les systèmes de règlement et de paiement des opérations sur titres, et les établissements de crédit utilisés par la contrepartie centrale ou par une contrepartie centrale à laquelle elle est liée;
exige la mise en place de dispositifs pour:
assurer la continuité des fonctions critiques ou importantes de la contrepartie centrale sur la base de scénarios de sinistres;
maintenir un site de traitement secondaire capable d’assurer la continuité des fonctions critiques ou importantes de la même manière que le site primaire;
maintenir ou avoir un accès immédiat à un site opérationnel secondaire permettant au personnel d’assurer la continuité du service si le site opérationnel principal n’est pas disponible;
évaluer la nécessité de mettre en place des sites de traitement supplémentaires, en particulier lorsque la diversité des profils de risque des sites primaire et secondaire ne permet pas de garantir avec suffisamment de certitude que les objectifs de continuité des activités de la contrepartie centrale seront atteints dans tous les cas de figure.
Aux fins du point a), les contreparties centrales finalisent les procédures et les paiements de fin de journée à l’heure et à la date requises, et cela en toutes circonstances.
Aux fins du point c) i), les dispositifs visés audit point garantissent la disponibilité de ressources humaines adéquates, une durée maximale d’indisponibilité des fonctions critiques ainsi qu’un transfert automatique et une reprise des activités sur un site secondaire.
Aux fins du point c) ii), le site secondaire de traitement visé audit point présente un profil de risque géographique distinct de celui du site primaire.
En plus de respecter les exigences prévues au paragraphe 1, les dépositaires centraux de titres veillent à ce que leur politique de continuité des activités de TIC:
tienne compte des liens et interdépendances avec les utilisateurs, les prestataires de services et fournisseurs de services de réseau essentiels, les autres dépositaires centraux de titres et les autres infrastructures de marché;
exige que ses dispositifs de continuité des activités de TIC garantissent que l’objectif en matière de délai de rétablissement des fonctions critiques ou importantes ne dépasse pas deux heures.
En plus de respecter les exigences prévues au paragraphe 1, les plates-formes de négociation veillent à ce que leur politique de continuité des activités de TIC garantisse:
qu’après un incident perturbateur, la négociation peut reprendre dans les deux heures, ou dans un délai proche de deux heures;
que la quantité maximale de données susceptibles d’être perdues par un service informatique de la plate-forme de négociation après un incident perturbateur est proche de zéro.
Relevant recitals
Considérant 22 Holistic ICT business contiuity view
Lorsqu’elles élaborent une politique de continuité des activités de TIC, les entités financières visées au titre II du présent règlement devraient tenir compte des éléments essentiels de la gestion du risque lié aux TIC, notamment des stratégies de gestion et de communication en matière d’incidents liés aux TIC, du processus de gestion des changements dans les TIC et des risques associés aux prestataires tiers de services TIC.
Considérant 24 Additional requirements for financial market infrastructure participants
Il est nécessaire de fixer des exigences en matière de risque opérationnel, et plus particulièrement en matière de gestion des projets TIC, de gestion des changements dans les TIC et de gestion de la continuité des activités de TIC, en s’appuyant sur les exigences qui s’appliquent déjà aux contreparties centrales, aux dépositaires centraux de titres et aux plates-formes de négociation en vertu, respectivement, des règlements (UE) no 648/2012(3), (UE) no 600/2014(4) et (UE) no 909/2014(5) du Parlement européen et du Conseil.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
plate-forme de négociation
(En. trading venue)
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
services TIC
(En. ICT services)
Definition
établissement de crédit
(En. credit institution)
Definition
contrepartie centrale
(En. central counterparty)
Definition
risque lié aux TIC
(En. ICT risk)
Definition
prestataire tiers de services TIC
(En. ICT third-party service provider)
Definition
fonction critique ou importante
(En. critical or important function)
Footnote 5
Footnote 4
Footnote 3