Le règlement européen 2022/2554 sur la résilience opérationnelle numérique du secteur financier vise à harmoniser et renforcer les exigences encadrant les risques opérationnels numériques des entités financières au sein de l’Union européenne. Il s’applique à partir du 17 janvier 2025.
Ce nouveau cadre de gouvernance s’appuie sur six piliers :
Une gouvernance renforcée : L’organe de direction est au cœur de la gestion des risques liés aux TIC. Il définit, approuve, supervise et est responsable de la mise en œuvre de toutes les dispositions relatives à la gestion des systèmes d’information.
Un dispositif de gestion des risques informatiques solide, complet et bien documenté
intégré au système global de gestion des risques. Il détermine notamment le niveau de tolérance au risque informatique de l’entité financière en fonction de son appétit pour le risque et sa tolérance à l’incidence des perturbations informatiques.
Un processus de gestion des incidents permettant de détecter, gérer et notifier les incidents liés aux TIC.
Des tests de résilience opérationnelle numérique faisant partie intégrante du cadre de gestion des risques informatiques. Les entités financières soumettent tous les systèmes et applications informatiques essentiels à des tests au moins une fois par an.
Une gestion des risques liés aux prestataires de services TIC encadrée par une stratégie soulignant les dépendances existantes à l’égard des prestataires. Une distinction est opérée entre ceux qui couvrent des services TIC soutenant des fonctions critiques et ceux qui ne le font pas. Les AES (ESMA, EBA, EIOPA) désignent les prestataires des services TIC critiques pour les entités financières, sur la base de critères définis par le règlement.
Le partage d’information des entités financières entre elles dans l’objectif d’améliorer la résilience opérationnelle numérique.
Le principe de proportionnalité s’applique à la gestion du risque lié aux TIC. Ainsi le cadre de gestion est notamment simplifié pour les petites entreprises non interconnectées.
Pour découvrir l’ensemble de notre offre de veille réglementaire, contactez-nous à : communication@regulationpartners.com