Source: OJ L, 2024/1774, 25.6.2024

Current language: FR

Article 26 Plans de réponse et de rétablissement des TIC

Summary What does Article 26 of the RTS on ICT risk management framework say?

This article sets out the detailed requirements for ICT response and recovery plans, building directly on the ICT business continuity policy framework established in Article 24.

It requires financial entities to ground these plans in their business impact analysis and covers everything from the conditions triggering plan activation, to the range of disruption scenarios that must be accounted for.

Notably, the article provides an extensive and explicit list of scenarios that plans must address, ranging from cyber-attacks and insider threats to natural disasters, political instability, and widespread power outages, reflecting the broad threat landscape financial entities must prepare for.

Important points:

  • Develop ICT response and recovery plans that are rooted in the business impact analysis, cover both short- and long-term recovery options, and are documented and accessible to relevant staff with clearly assigned roles and responsibilities.
  • Ensure your plans account for a wide range of defined disruption scenarios, including cyber-attacks, ICT third-party service provider failures, staff unavailability, and physical or environmental disasters.
  • Implement continuity measures within your plans to specifically mitigate failures of ICT third-party service providers supporting critical or important functions.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Lorsqu’elles élaborent les plans de réponse et de rétablissement des TIC visés à l’article 11, paragraphe 3, du règlement (UE) 2022/2554, les entités financières tiennent compte des résultats de l’analyse des incidences sur les activités de l’entité financière. Ces plans de réponse et de rétablissement des TIC:

      1. définissent les conditions qui déclenchent leur activation ou désactivation, ainsi que toute exception à cette activation ou désactivation;

      2. décrivent les mesures à prendre pour garantir la disponibilité, l’intégrité, la continuité et le rétablissement au moins des systèmes et services TIC qui soutiennent des fonctions critiques ou importantes de l’entité financière;

      3. sont conçus pour atteindre les objectifs de rétablissement des opérations des entités financières;

      4. sont documentés et mis à la disposition du personnel participant à l’exécution des plans de réponse et de rétablissement des TIC et sont facilement accessibles en cas d’urgence;

      5. prévoient des options de rétablissement à court et à long terme, y compris de rétablissement partiel des systèmes;

      6. définissent les objectifs des plans de réponse et de rétablissement des TIC et les conditions permettant de déclarer que ces plans ont été exécutés avec succès.

    2. Aux fins du point d), les entités financières précisent clairement les rôles et responsabilités.

    1. Les plans de réponse et de rétablissement des TIC visés au paragraphe 1 recensent les scénarios pertinents, y compris les scénarios de graves perturbations des activités et de probabilité accrue de survenance d’une perturbation. Ces plans établissent des scénarios fondés sur les informations actuelles sur les menaces et sur les enseignements tirés des perturbations des activités survenues antérieurement. Les entités financières tiennent dûment compte de tous les scénarios suivants:

      1. des cyberattaques et des basculements entre l’infrastructure de TIC principale et la capacité redondante, les sauvegardes et les installations redondantes;

      2. les scénarios dans lesquels la qualité de l’exécution d’une fonction critique ou importante se détériore à un niveau inacceptable, en prenant alors dûment en considération les incidences potentielles de l’insolvabilité ou d’autres défaillances de tout prestataire tiers de services TIC concerné;

      3. la défaillance partielle ou totale des locaux, notamment des locaux de bureau et des locaux commerciaux, et des centres de données;

      4. une défaillance substantielle des actifs de TIC ou de l’infrastructure de communication;

      5. l’indisponibilité d’un nombre critique de membres du personnel ou de personnes chargées de garantir la continuité des opérations;

      6. les incidences des événements liés au changement climatique et à la dégradation de l’environnement, des catastrophes naturelles, des pandémies et des attaques physiques, y compris des intrusions et des attentats terroristes;

      7. les attaques internes;

      8. l’instabilité politique et sociale, y compris, le cas échéant, dans la juridiction du prestataire tiers de services TIC et à l’endroit où les données sont stockées et traitées;

      9. les coupures de courant à une grande échelle.

    1. Lorsque les mesures de rétablissement primaires sont susceptibles de ne pas être réalisables à court terme en raison des coûts, des risques, de problèmes logistiques ou de circonstances imprévues, les plans de réponse et de rétablissement des TIC visés au paragraphe 1 envisagent d’autres options.

    1. Dans le cadre des plans de réponse et de rétablissement des TIC visés au paragraphe 1, les entités financières étudient et mettent en œuvre des mesures de continuité pour atténuer les conséquences des défaillances des prestataires tiers de services TIC qui fournissent des services TIC à l’appui de fonctions critiques ou importantes de l’entité financière.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod