Source: OJ L, 2024/1774, 25.6.2024Current language: FR
- Digital operational resilience in the financial sector
ICT risk management
- RTS on ICT risk management framework
Article 6 Chiffrement et contrôles cryptographiques
Summary What does Article 6 of the RTS on ICT risk management framework say?
This article requires financial entities to develop, document, and implement a dedicated policy on encryption and cryptographic controls, forming part of the broader ICT security framework referenced in Article 9(2) of DORA.
It sets out the core content that this policy must cover, including encryption of data at rest, in transit, and in use, as well as the management of cryptographic keys — the latter of which directly feeds into Article 7.
Notably, the article builds in a degree of flexibility: where encryption of data in use is not possible, or where leading practices and standards cannot be met, financial entities must adopt alternative mitigation and monitoring measures and record the reasons for doing so.
Important points:
- Develop, document, and implement an encryption and cryptographic controls policy, grounded in data classification and ICT risk assessment results.
- The policy must address cryptographic key management in line with Article 7, and must include provisions for updating cryptographic technology as cryptanalysis evolves.
- Where full compliance with leading practices or standards is not possible, adopt and record mitigation and monitoring measures, along with a reasoned explanation.
Springlex's summary of the article, a reading aid, not a substitute for the legal text.
Dans le cadre de leurs politiques, procédures, protocoles et outils de sécurité de TIC visés à l’article 9, paragraphe 2, du règlement (UE) 2022/2554, les entités financières élaborent, documentent et mettent en œuvre une politique en matière de chiffrement et de contrôles cryptographiques.
Les entités financières conçoivent la politique en matière de chiffrement et de contrôles cryptographiques visée au paragraphe 1 sur la base des résultats d’une classification des données approuvée et de l’évaluation du risque lié aux TIC. Cette politique contient des règles pour tous les éléments suivants:
le chiffrement des données au repos et en transit;
le chiffrement des données en cours d’utilisation, si nécessaire;
le chiffrement des connexions internes au réseau et du trafic avec des tiers;
la gestion des clés cryptographiques visée à l’article 7, y compris des règles relatives à la bonne utilisation, à la protection et au cycle de vie des clés cryptographiques.
Aux fins du point b), lorsque le chiffrement des données en cours d’utilisation n’est pas possible, les entités financières traitent ces données dans un environnement séparé et protégé, ou prennent des mesures équivalentes pour garantir la confidentialité, l’intégrité, l’authenticité et la disponibilité des données.
Les entités financières incluent dans la politique en matière de chiffrement et de contrôles cryptographiques visée au paragraphe 1 des critères de sélection des techniques cryptographiques et des pratiques d’utilisation, tenant compte des pratiques de pointe, ainsi que des normes définies à l’article 2, point 1), du règlement (UE) no 1025/2012, et de la classification des actifs de TIC concernés effectuée conformément à l’article 8, paragraphe 1, du règlement (UE) 2022/2554. Les entités financières qui ne sont pas en mesure d’appliquer les pratiques de pointe ou les normes, ou d’utiliser les techniques les plus fiables, adoptent des mesures d’atténuation et de suivi qui garantissent la résilience face aux cybermenaces.
Les entités financières incluent dans la politique en matière de chiffrement et de contrôles cryptographiques visée au paragraphe 1 des dispositions relatives à la mise à jour ou à la modification, si nécessaire, de la technologie cryptographique, en fonction de l’évolution de la cryptanalyse. Ces mises à jour ou modifications garantissent que la technologie cryptographique reste résiliente face aux cybermenaces, comme l’exige l’article 10, paragraphe 2, point a). Les entités financières qui ne sont pas en mesure de mettre à jour ou de modifier la technologie cryptographique adoptent des mesures d’atténuation et de suivi qui garantissent la résilience face aux cybermenaces.
Les entités financières incluent dans la politique en matière de chiffrement et de contrôles cryptographiques visée au paragraphe 1 l’obligation d’enregistrer l’adoption des mesures d’atténuation et de suivi adoptées conformément aux paragraphes 3 et 4 et de fournir une explication motivée des raisons pour lesquelles elles procèdent ainsi.
Relevant recitals
Considérant 9 Encryption and cryptographic controls
Les contrôles cryptographiques peuvent garantir la disponibilité, l’authenticité, l’intégrité et la confidentialité des données. Les entités financières visées au titre II du présent règlement devraient donc définir et mettre en œuvre ces contrôles sur la base d’une approche fondée sur les risques. À cette fin, les entités financières devraient chiffrer les données concernées, au repos, en transit ou, si nécessaire, en cours d’utilisation, sur la base des résultats d’un processus en deux volets, à savoir la classification des données et une évaluation complète du risque lié aux TIC. Compte tenu de la complexité du chiffrement des données en cours d’utilisation, les entités financières visées au titre II du présent règlement ne devraient chiffrer les données en cours d’utilisation que lorsque cela est approprié à la lumière des résultats de l’évaluation du risque lié aux TIC. Les entités financières visées au titre II du présent règlement devraient toutefois être en mesure, lorsque le chiffrement des données en cours d’utilisation n’est pas possible ou est trop complexe, de protéger la confidentialité, l’intégrité et la disponibilité des données concernées au moyen d’autres mesures de sécurité des TIC. Compte tenu de la rapidité de l’évolution technologique dans le domaine des techniques cryptographiques, les entités financières visées au titre II du présent règlement devraient se tenir informées des évolutions qui les concernent en matière de cryptanalyse et tenir compte des pratiques de pointe et des normes existantes. Elles devraient donc suivre une approche souple, fondée sur l’atténuation et la surveillance des risques, pour s’adapter au paysage changeant des menaces cryptographiques, y compris des menaces résultant des progrès de l’informatique quantique.
Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.
Definition
cybermenace
(En. cyber threat)
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
risque lié aux TIC
(En. ICT risk)
Definition
actif de TIC
(En. ICT asset)