Source: OJ L, 2024/1774, 25.6.2024

Current language: FR

Article 41 Format et contenu du rapport sur le réexamen du cadre simplifié de gestion du risque lié aux TIC

Summary What does Article 41 of the RTS on ICT risk management framework say?

This article is the simplified ICT risk management framework equivalent of Article 27, which sets out the same reporting requirement for financial entities under the full framework.

Article 41 prescribes both the format and the mandatory content of the report that certain financial entities — those subject to the simplified framework under Article 16(1) of DORA — must submit when reviewing their ICT risk management framework.

The report must be submitted in a searchable electronic format and cover a comprehensive range of information: from contextual background and the reasons the review was triggered, through to findings, identified weaknesses, remedying measures, and overall conclusions.

Important points:

  • Submit the ICT risk management framework review report in a searchable electronic format, covering all mandatory content areas set out in this article.
  • The report must include a self-assessment of weaknesses and gaps identified, along with remedying measures and expected implementation dates — including follow-up on unresolved issues from previous reports.
  • Where the review was triggered by supervisory instructions or ICT-related incidents, the report must include evidence of those instructions or a list of the relevant incidents with root-cause analysis.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Les entités financières visées à l’article 16, paragraphe 1, du règlement (UE) 2022/2554 présentent le rapport sur le réexamen du cadre de gestion du risque lié aux TIC visé au paragraphe 2 dudit article dans un format électronique interrogeable.

    1. Le rapport visé au paragraphe 1 contient l’ensemble des informations suivantes:

      1. une partie introductive contenant:

        1. une description du contexte du rapport en ce qui concerne la nature, l’échelle et la complexité des services, activités et opérations de l’entité financière, son organisation, ses fonctions critiques recensées, sa stratégie, ses grands projets ou activités en cours, ses relations et sa dépendance à l’égard des services et systèmes de TIC internes ou sous-traités, ou les conséquences qu’une perte totale ou une dégradation grave de ces systèmes engendrerait en ce qui concerne les fonctions critiques ou importantes et l’efficience du marché;

        2. une synthèse du risque lié aux TIC actuel et à court terme qui a été identifié, de l’éventail des menaces, de l’évaluation de l’efficacité de ses contrôles et de la posture de sécurité de l’entité financière;

        3. des informations sur le domaine faisant l’objet du rapport;

        4. un résumé des changements majeurs dont le cadre de gestion du risque lié aux TIC a fait l’objet depuis le rapport précédent;

        5. un résumé et une description de l’incidence des changements dont le cadre simplifié de gestion du risque lié aux TIC a fait l’objet depuis le rapport précédent;

      2. le cas échéant, la date d’approbation du rapport par l’organe de direction de l’entité financière;

      3. une description des raisons du réexamen, notamment:

        1. lorsque le réexamen a été engagé à la suite d’instructions des autorités de surveillance, la preuve de ces instructions;

        2. lorsque le réexamen a été engagé à la suite d’incidents liés aux TIC, la liste de ces incidents accompagnée d’une analyse de leur cause originelle;

      4. les dates de début et de fin de la période examinée;

      5. la personne responsable du réexamen;

      6. un résumé des constatations et une autoévaluation, comprenant une analyse détaillée, de la gravité des faiblesses, des défaillances et des lacunes identifiées du cadre de gestion du risque lié aux TIC pour la période examinée;

      7. les mesures définies pour remédier aux faiblesses, aux défaillances et aux lacunes du cadre simplifié de gestion du risque lié aux TIC, ainsi que la date prévue pour la mise en œuvre de ces mesures, y compris les suites données aux faiblesses, défaillances et lacunes identifiées dans les rapports précédents, lorsqu’il n’y a pas encore été remédié;

      8. les conclusions générales du réexamen du cadre simplifié de gestion du risque lié aux TIC, y compris les nouvelles évolutions prévues.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod