Art. 4 Systèmes de TIC et dispositifs de sécurité correspondants | RTS on notification of crypto-asset service provision | MiCA

This article specifies the ICT and cybersecurity information that a notifying entity must submit to the competent authority as part of the notification process under Regulation (EU) 2023/1114.

It is directly tied to Article 60(7)(c) of that Regulation and sits alongside other articles in this act that each address a distinct category of information required at notification.

The article is notably technical in its scope, requiring the notifying entity to demonstrate how its ICT infrastructure, risk management framework, and security arrangements comply with DORA (Regulation (EU) 2022/2554).

Beyond the core technical documentation, the article also calls for details of any third-party cybersecurity audits that have been conducted, covering a range of testing methodologies, and crucially requires that all of this information also be presented in non-technical language.

Important points:

Provide full technical documentation of your ICT systems, DLT infrastructure, and security arrangements, demonstrating compliance with DORA and the data protection requirements of Regulation (EU) 2016/679.
Submit details of any third-party cybersecurity audit conducted, including penetration tests carried out using black box, grey box, and white box approaches, as well as a smart contract source code review where applicable — though this is required only if such an audit is available.
Accompany all technical documentation with a non-technical description, ensuring the competent authority can assess the information regardless of technical expertise.

Aux fins de l’article 60, paragraphe 7, point c), du règlement (UE) 2023/1114, l’entité à l’origine de la notification fournit à l’autorité compétente les informations suivantes:

la documentation technique des systèmes de TIC, l’infrastructure DLT utilisée, le cas échéant, et les dispositifs de sécurité, y compris une description des dispositifs mis en place et des ressources humaines et ressources TIC déployées pour se conformer au règlement (UE) 2022/2554 du Parlement européen et du Conseil(⁸), comprenant les éléments suivants:
1. une description de la manière dont l’entité à l’origine de la notification garantit un cadre de gestion des risques liés aux TIC solide, complet et bien documenté, faisant partie de son système global de gestion des risques, y compris une description détaillée des systèmes, protocoles et outils de TIC et de la manière dont les procédures, politiques et systèmes de ladite entité préserveront la sécurité, l’intégrité, la disponibilité, l’authenticité et la confidentialité des données, conformément aux règlements (UE) 2022/2554 et (UE) 2016/679;
2. l’identification des services TIC soutenant des fonctions critiques ou importantes développés ou maintenus par l’entité à l’origine de la notification, ainsi que de ceux fournis par des prestataires de services tiers, la description des accords contractuels concernés et de la manière dont ils se conforment à l’article 73 du règlement (UE) 2023/1114 et au chapitre V du règlement (UE) 2022/2554;
3. une description des procédures, politiques, dispositifs et systèmes de l’entité à l’origine de la notification en matière de sécurité et de gestion des incidents;
le cas échéant, la description d’un audit de cybersécurité, réalisé par un auditeur en cybersécurité tiers doté d’une expérience suffisante, conformément au règlement délégué de la Commission définissant des normes techniques en application de l’article 26, paragraphe 11, quatrième alinéa, du règlement (UE) 2022/2554, et incluant idéalement les audits ou tests suivants par des tiers indépendants:
1. dispositions relatives à la cybersécurité organisationnelle, à la sécurité physique et au cycle de vie du développement de logiciels sécurisés;
2. évaluations de la vulnérabilité et évaluations de la sécurité des réseaux;
3. examens de la configuration des actifs de TIC soutenant des fonctions critiques et importantes, telles qu’elles sont définies à l’article 3, point 22), du règlement (UE) 2022/2554;
4. tests d’intrusion, au sens de l’article 3, point 17), du règlement (UE) 2022/2554, effectués sur les actifs de TIC soutenant des fonctions critiques et importantes suivant toutes les méthodes de test d’audit suivantes:
  audit en boîte noire: l’auditeur ne dispose d’aucune information autre que les adresses IP et URL associées à la cible de l’audit. Cette phase est généralement précédée de la découverte d’informations et de l’identification de la cible, effectuées en interrogeant les services de systèmes de noms de domaine (DNS), en scannant les ports ouverts, en détectant la présence d’équipements de filtrage;
  audit en boîte grise: les auditeurs disposent des connaissances d’un utilisateur standard du système d’information (authentification légitime, poste de travail «standard»). Les identifiants peuvent appartenir à différents profils d’utilisateur, afin de tester différents niveaux de privilège;
  audit en boîte blanche: les auditeurs reçoivent le plus d’informations techniques possible (architecture, code source, contacts téléphoniques, identifiants, etc.) avant de lancer l’analyse et ont également accès aux contacts techniques liés à la cible;
5. lorsque l’entité à l’origine de la notification utilise et/ou développe des contrats intelligents, un examen du code source de ces contrats du point de vue de la cybersécurité;
une description des audits réalisés sur les systèmes de TIC, le cas échéant, y compris sur l’infrastructure DLT et les dispositifs de sécurité utilisés;
une description, dans un langage non technique, des informations pertinentes visées aux points a) et b).