Source: OJ L, 2024/1774, 25.6.2024

Current language: FR

Article 8 Politiques et procédures pour les opérations de TIC

Summary What does Article 8 of the RTS on ICT risk management framework say?

This article sits within the broader ICT security framework established under Article 9(2) of DORA and focuses specifically on the operational management of ICT systems.

It requires financial entities to develop, document, and implement policies and procedures that govern how they operate, monitor, control, and restore their ICT assets.

The article covers three core operational areas: asset description and lifecycle management, system controls and monitoring, and error handling.

Notably, it addresses the sensitive topic of testing in production environments, imposing strict conditions on when and how this is permitted, linking directly to requirements set out in Article 16(6) of this regulation.

Important points:

  • Develop, document, and implement ICT operations policies covering asset management, system controls and monitoring, and error handling procedures.
  • Separate production environments from development and testing environments across all components, including accounts, data, and connections.
  • Testing in production environments is only permitted in clearly identified and reasoned instances, for limited periods, and must be approved by the relevant function.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

    1. Dans le cadre des politiques, procédures, protocoles et outils de sécurité des TIC visés à l’article 9, paragraphe 2, du règlement (UE) 2022/2554, les entités financières élaborent, documentent et mettent en œuvre des politiques et des procédures pour gérer les opérations de TIC. Ces politiques et procédures précisent la manière dont les entités financières gèrent, suivent, contrôlent et restaurent leurs actifs de TIC, y compris la documentation relative aux opérations de TIC.

    1. Les politiques et procédures relatives aux opérations de TIC visées au paragraphe 1 contiennent l’ensemble des éléments suivants:

      1. une description des actifs de TIC, comprenant l’ensemble des éléments suivants:

        1. des exigences relatives à la sécurité de l’installation, de la maintenance, de la configuration et de la désinstallation d’un système de TIC;

        2. des exigences relatives à la gestion des actifs informationnels utilisés par les actifs de TIC, y compris leur traitement et leur gestion, tant automatisés que manuels;

        3. des exigences relatives à l’identification et au contrôle des systèmes de TIC hérités;

      2. des contrôles et un suivi des systèmes de TIC, comprenant l’ensemble des éléments suivants:

        1. des exigences de sauvegarde et de restauration des systèmes de TIC;

        2. des exigences de programmation dans le temps, tenant compte des interdépendances entre les systèmes de TIC;

        3. des protocoles pour les informations de la piste d’audit et du journal du système;

        4. des exigences visant à garantir que la réalisation d’audits internes et d’autres tests perturbe le moins possible les activités;

        5. des exigences relatives à la séparation entre les environnements de production des TIC, d’une part, et les environnements de développement, de tests et les autres environnements hors production, d’autre part;

        6. des exigences imposant que le développement et les tests aient lieu dans des environnements séparés de l’environnement de production;

        7. les exigences à respecter pour développer et tester en environnement de production;

      3. le traitement des erreurs concernant les systèmes de TIC, comprenant l’ensemble des éléments suivants:

        1. des procédures et protocoles de traitement des erreurs;

        2. les interlocuteurs à contacter pour un appui technique et la remontée d’informations, y compris les interlocuteurs à contacter pour un appui technique externe en cas de problèmes opérationnels ou techniques imprévus;

        3. les procédures de redémarrage, de reprise et de rétablissement des systèmes de TIC à appliquer en cas de dysfonctionnement des systèmes de TIC.

    2. Aux fins du point b) v), la séparation tient compte de toutes les composantes de l’environnement, notamment des comptes, données ou connexions, comme l’exige l’article 13, paragraphe 1, point a).

    3. Aux fins du point b) vii), les politiques et procédures visées au paragraphe 1 prévoient que les cas de réalisation de tests dans un environnement de production soient clairement identifiés et motivés, d’une durée limitée et approuvés par la fonction compétente conformément à l’article 16, paragraphe 6. Les entités financières garantissent la disponibilité, la confidentialité, l’intégrité et l’authenticité des systèmes de TIC et des données de production lors des activités de développement et de test dans l’environnement de production.

Table of contents

We're continuously improving our platform to serve you better.

Your feedback matters! Let us know how we can improve.

Contact us:

springlex@springflod.se

Found a bug?

Springflod is a Swedish boutique consultancy firm specialising in cyber security within the financial services sector.

We offer professional services concerning information security governance, risk and compliance.

Crafted with ❤️ by Springflod