Art. 39 Composantes du plan de continuité des activités de TIC | RTS on ICT risk management framework | DORA

This article applies specifically to the financial entities subject to the simplified ICT risk management framework under Article 16(1) of DORA, and sets out detailed requirements for their ICT business continuity plans.

It requires these plans to be grounded in an analysis of exposures and potential impacts of severe disruptions, including cyber-attack scenarios.

The article then lays out a comprehensive set of conditions these plans must meet, covering everything from management body approval and resource allocation, to backup procedures, communication arrangements, and ongoing updates based on lessons learned.

Important points:

Develop ICT business continuity plans that are based on an analysis of exposures to severe disruptions, including cyber-attack scenarios, for ICT assets supporting critical or important functions.
The plans must be approved by the management body, documented, readily accessible in an emergency, and kept updated to reflect incidents, tests, and organisational changes.
Ensure the plans include recovery timeframes, backup procedures, communication and escalation arrangements, and measures to mitigate failures of critical third-party providers.

1. Les entités financières visées à l’article 16, paragraphe 1, du règlement (UE) 2022/2554 élaborent leurs plans de continuité des activités de TIC en prenant en considération les résultats de l’analyse de leurs expositions aux graves perturbations des activités et de leurs incidences potentielles, ainsi que les scénarios auxquels leurs actifs de TIC qui soutiennent des fonctions critiques ou importantes pourraient être exposés, y compris un scénario de cyberattaque.
1. Les plans de continuité des activités de TIC visés au paragraphe 1:
  1. sont approuvés par l’organe de direction de l’entité financière;
  2. sont documentés et facilement accessibles en cas d’urgence ou de crise;
  3. affectent des ressources suffisantes à leur exécution;
  4. établissent les niveaux de rétablissement et les délais prévus pour le rétablissement et la reprise des fonctions et des principales relations de dépendance internes et externes, y compris les prestataires tiers de services TIC;
  5. définissent les conditions susceptibles de déclencher l’activation des plans de continuité des activités de TIC et les mesures à prendre pour garantir la disponibilité, la continuité et le rétablissement des actifs de TIC des entités financières qui soutiennent des fonctions critiques ou importantes;
  6. définissent les mesures de restauration et de rétablissement pour les fonctions «métiers» critiques ou importantes, les processus de soutien, les actifs informationnels et leurs interdépendances afin d’éviter des effets préjudiciables sur le fonctionnement des entités financières;
  7. définissent des procédures et mesures de sauvegarde qui précisent l’étendue des données concernées par la sauvegarde ainsi que la fréquence minimale de celle-ci, selon la criticité de la fonction qui utilise ces données;
  8. prévoient d’autres options pour le cas où le rétablissement ne serait pas réalisable à court terme en raison des coûts, des risques, de problèmes logistiques ou de circonstances imprévues;
  9. précisent les modalités de communication interne et externe, y compris les plans de remontée des informations;
  10. sont actualisés en fonction des enseignements tirés des incidents, des tests, des nouveaux risques et des menaces identifiés, des changements des objectifs de rétablissement, des changements majeurs apportés à l’organisation de l’entité financière et aux actifs de TIC qui soutiennent des fonctions critiques ou des fonctions «métiers».
2. Aux fins du point f), les mesures visées audit point prévoient l’atténuation des défaillances des prestataires tiers critiques.