Art. 28 Gouvernance et organisation | RTS on ICT risk management framework | DORA

This is a foundational governance article that applies specifically to the financial entities subject to the simplified ICT risk management framework under Article 16(1) of DORA.

It establishes that these entities must have an internal governance and control framework for ICT risk, and places overall responsibility squarely with the management body.

The management body's duties span the full breadth of ICT risk management: setting strategy, approving policies, allocating budget, ensuring staff competence, and establishing reporting arrangements.

The article also addresses outsourcing, internal audit requirements, and the independence of control functions, making it a comprehensive governance anchor for this category of financial entity.

Important points:

Ensure your management body bears direct, overall responsibility for the simplified ICT risk management framework, covering everything from strategy alignment and budget allocation to staff training and reporting arrangements.
Compliance verification tasks may be outsourced to ICT intra-group or third-party service providers, but the financial entity remains fully responsible for compliance with ICT risk management requirements.
The simplified ICT risk management framework must be subject to internal audit by independent auditors with sufficient ICT risk expertise, and any critical findings must be verified and remediated in a timely manner.

1. Les entités financières visées à l’article 16, paragraphe 1, du règlement (UE) 2022/2554 disposent d’un cadre de gouvernance et de contrôle interne qui garantit une gestion efficace et prudente du risque lié aux TIC, en vue d’atteindre un niveau élevé de résilience opérationnelle numérique.
1. Les entités financières visées au paragraphe 1 veillent, au titre de leur cadre simplifié de gestion du risque lié aux TIC, à ce que leur organe de direction:
  1. assume la responsabilité globale de veiller à ce que le cadre simplifié de gestion du risque lié aux TIC permette de réaliser la stratégie d’entreprise de l’entité financière conformément à l’appétit pour le risque de cette entité financière, et veille à ce que le risque lié aux TIC soit pris en considération dans ce contexte;
  2. définisse clairement les rôles et les responsabilités pour toutes les tâches relatives aux TIC;
  3. définisse les objectifs en matière de sécurité de l’information et les exigences en matière de TIC;
  4. approuve, supervise et réexamine périodiquement:
    la classification des actifs informationnels de l’entité financière visée à l’article 30, paragraphe 1, du présent règlement, la liste des principaux risques identifiés et l’analyse des incidences sur les activités ainsi que les politiques connexes;
    les plans de continuité des activités de l’entité financière ainsi que les mesures de réponse et de rétablissement visés à l’article 16, paragraphe 1, point f), du règlement (UE) 2022/2554;
  5. alloue et réexamine au moins une fois par an le budget nécessaire pour satisfaire les besoins de l’entité financière en matière de résilience opérationnelle numérique pour tous les types de ressources, y compris les programmes pertinents de sensibilisation à la sécurité des TIC et les formations pertinentes à la résilience opérationnelle numérique et les compétences en matière de TIC pour l’ensemble du personnel;
  6. précise et met en œuvre les politiques et mesures prévues aux chapitres I, II et III du présent titre permettant d’identifier, d’évaluer et de gérer le risque lié aux TIC auquel l’entité financière est exposée;
  7. définit et met en œuvre les procédures, les protocoles TIC et les outils nécessaires à la protection de tous les actifs informationnels et de TIC;
  8. veille au maintien à jour d’un niveau suffisant de connaissances et de compétences du personnel de l’entité financière permettant à ce dernier de comprendre et d’évaluer le risque lié aux TIC et son incidence sur les opérations de l’entité financière, de façon proportionnée au risque lié aux TIC géré;
  9. établit des modalités d’établissement de rapports, y compris la fréquence, la forme et le contenu des rapports à l’organe de direction sur la sécurité de l’information et la résilience opérationnelle numérique.
1. Les entités financières visées au paragraphe 1 peuvent, conformément au droit de l’Union et au droit sectoriel national, externaliser les tâches de vérification du respect des exigences en matière de gestion du risque lié aux TIC à des prestataires de services TIC intra-groupe ou à des prestataires tiers de services TIC. Dans le cas d’une telle externalisation, les entités financières demeurent pleinement responsables de la vérification du respect des exigences en matière de gestion du risque lié aux TIC.
1. Les entités financières visées au paragraphe 1 garantissent une séparation et une indépendance adéquates des fonctions de contrôle et des fonctions d’audit interne.
1. Les entités financières visées au paragraphe 1 veillent à ce que leur cadre simplifié de gestion du risque lié aux TIC fasse l’objet d’un audit interne réalisé par des auditeurs conformément au plan d’audit de ces entités financières. Ces auditeurs disposent de connaissances, de compétences et d’une expertise suffisantes en matière de risque lié aux TIC, et sont indépendants. La fréquence et l’objectif des audits des TIC sont proportionnés au risque lié aux TIC de l’entité financière.
1. Sur la base des résultats de l’audit visé au paragraphe 5, les entités financières visées au paragraphe 1 veillent à la vérification et à la correction en temps utile des constatations d’importance critique de l’audit des TIC.