Art. 9 Systèmes de TIC et dispositifs de sécurité correspondants | RTS on CASP authorisation | MiCA

This article sets out the ICT and cybersecurity disclosure requirements that applicants for crypto-asset service provider authorisation must satisfy, feeding directly into Article 62(2)(j) of MiCA (Regulation (EU) 2023/1114).

It requires applicants to submit technical documentation covering their ICT risk management framework, DLT infrastructure, security arrangements, third-party ICT service providers, and incident management procedures, all framed against their obligations under DORA (Regulation (EU) 2022/2554).

Notably, it also calls for a description of any cybersecurity audits carried out by an independent third-party auditor, covering a broad range of testing methodologies, and crucially requires that all of this technical information be presented in non-technical language as well.

Important points:

Provide full technical documentation of your ICT systems, DLT infrastructure, security arrangements, and third-party ICT service provider contractual arrangements, demonstrating compliance with DORA and the GDPR.
Submit a description of any third-party cybersecurity audits conducted, including penetration tests across black box, grey box, and white box approaches, and, where relevant, a source code review of any smart contracts used or developed.
Accompany all technical disclosures with a non-technical language description of the same information.

Aux fins de l’article 62, paragraphe 2, point j), du règlement (UE) 2023/1114, les demandeurs fournissent à l’autorité compétente les informations suivantes:

la documentation technique des systèmes de TIC, l’infrastructure DLT utilisée, le cas échéant, et les dispositifs de sécurité, y compris une description des dispositifs mis en place et des ressources humaines et ressources TIC déployées pour se conformer au règlement (UE) 2022/2554 du Parlement européen et du Conseil(⁹), comme suit:
1. une description de la manière dont le demandeur garantit un cadre de gestion des risques lié aux TIC solide, complet et bien documenté, faisant partie de son système global de gestion des risques, y compris une description détaillée des systèmes, protocoles et outils de TIC et de la manière dont les procédures, politiques et systèmes du demandeur visant à préserver la sécurité, l’intégrité, la disponibilité, l’authenticité et la confidentialité des données se conforment aux règlements (UE) 2022/2554 et (UE) 2016/679;
2. l’identification des services TIC soutenant des fonctions critiques ou importantes développés ou maintenus par le demandeur et des services TIC soutenant des fonctions critiques ou importantes fournis par des prestataires de services tiers, et la description des accords contractuels concernés (identité et localisation géographique des prestataires, description des activités ou services TIC externalisés et de leurs principales caractéristiques, copie des accords contractuels) et de la manière dont ces accords se conforment à l’article 73 du règlement (UE) 2023/1114 et au chapitre V du règlement (UE) 2022/2554;
3. une description des procédures, politiques, dispositifs et systèmes du demandeur en matière de sécurité et de gestion des incidents;
le cas échéant, la description d’un audit de cybersécurité, réalisé par un auditeur en cybersécurité tiers doté d’une expérience suffisante, conformément au règlement délégué de la Commission définissant des normes techniques adopté en application de l’article 26, paragraphe 11, quatrième alinéa, du règlement (UE) 2022/2554, et incluant idéalement les audits ou tests suivants:
1. dispositions relatives à la cybersécurité organisationnelle, à la sécurité physique et au cycle de vie du développement de logiciels sécurisés;
2. évaluations et analyses de la vulnérabilité et évaluations de la sécurité des réseaux;
3. examens de la configuration des actifs de TIC soutenant des fonctions critiques et importantes, telles qu’elles sont définies à l’article 3, point 22), du règlement (UE) 2022/2554;
4. tests d’intrusion, au sens de l’article 3, point 17), du règlement (UE) 2022/2554, effectués sur les actifs de TIC soutenant des fonctions critiques et importantes suivant toutes les méthodes de test d’audit suivantes:
  audit en boîte noire: l’auditeur ne dispose d’aucune information autre que les adresses IP et URL associées à la cible de l’audit. Cette phase est généralement précédée de la découverte d’informations et de l’identification de la cible, effectuées en interrogeant les services du système de noms de domaine (DNS), en scannant les ports ouverts, en détectant la présence d’équipements de filtrage, etc.;
  audit en boîte grise: les auditeurs disposent des connaissances d’un utilisateur standard du système d’information (authentification légitime, poste de travail «standard», etc.). Les identifiants peuvent appartenir à différents profils d’utilisateur, afin de tester différents niveaux de privilège;
  audit en boîte blanche: les auditeurs reçoivent le plus d’informations techniques possible (architecture, code source, contacts téléphoniques, identifiants, etc.) avant de lancer l’analyse et ont également accès aux contacts techniques liés à la cible;
5. lorsque le demandeur utilise et/ou développe des contrats intelligents, un examen du code source de ces contrats du point de vue de la cybersécurité;
une description des audits réalisés sur les systèmes de TIC, le cas échéant, y compris sur l’infrastructure DLT et les dispositifs de sécurité utilisés;
une description, dans un langage non technique, des informations pertinentes visées aux points a) et b).