Les ASE publient un avis conjoint sur la gestion des risques liés aux technologies de l’information et de la communication et la cybersécurité

Publié par

Les autorités européennes de surveillance (AES) ont publié deux avis communs répondant aux demandes formulées par la Commission européenne dans son plan d’action FinTech de mars 2018:

En ce qui concerne la nécessité d’améliorer la législation, lors de l’élaboration de l’avis conjoint, l’objectif des AES était de soumettre toutes les entités concernées à des exigences générales claires en matière de gouvernance des TIC, y compris la cybersécurité, afin de garantir la sécurité des services réglementés. Guidés par cet objectif, les propositions présentées dans l’avis visent à renforcer la résilience opérationnelle et l’harmonisation dans le secteur financier de l’UE en appliquant des modifications à leurs législations sectorielles respectives. Le signalement des incidents est très important pour la gestion des risques liés aux TIC et permet aux entités et aux autorités concernées d’enregistrer, de surveiller, d’analyser et de réagir aux incidents liés aux TIC, à la sécurité des TIC et à la fraude. Par conséquent, les AES appellent à la rationalisation des aspects des cadres de compte rendu des incidents dans l’ensemble du secteur financier. En outre, les AES suggèrent d’envisager une solution législative pour un cadre de surveillance approprié permettant de surveiller les activités des fournisseurs de services tiers essentiels.

En ce qui concerne les coûts et les avantages d’un cadre cohérent de tests de cyber-résilience, les AES voient clairement les avantages d’un tel cadre. Cependant, il existe actuellement des différences significatives entre les secteurs financiers et au sein de ceux-ci en ce qui concerne le niveau de maturité de la cybersécurité. À court terme, les AES conseillent de mettre l’accent sur un niveau minimal de cyber-résilience dans tous les secteurs, proportionnel aux besoins et aux caractéristiques des entités concernées. En outre, les AES proposent d’établir, sur une base volontaire, un cadre de test cohérent à l’échelle de l’UE en collaboration avec d’autres autorités compétentes, en tenant compte des initiatives existantes et en mettant l’accent sur les tests de pénétration du plomb par la menace. À long terme, les AES visent à garantir un niveau de maturité informatique suffisant des entités intersectorielles identifiées.

Pour mettre en œuvre les actions proposées, les AES mettent en évidence la base juridique requise et le mandat explicite, nécessaires au développement et à la mise en œuvre d’un cadre cohérent de test de la résilience dans tous les secteurs financiers par les AES, en coopération avec d’autres autorités compétentes.

Contexte

Le plan d’action FinTech de la Commission européenne de mars 2018 demande spécifiquement aux AES:

  • Mapper, d’ici le premier trimestre 2019, les pratiques de surveillance existantes dans tous les secteurs financiers autour des exigences de sécurité et de gouvernance des TIC et, le cas échéant: a) envisager de publier des lignes directrices visant à la convergence de la surveillance et à la mise en œuvre des exigences de gestion et d’atténuation des risques liés aux TIC dans le secteur financier de l’UE et , b) si nécessaire, fournit à la Commission des conseils techniques sur la nécessité d’améliorer la législation.
  • Évaluer, d’ici le quatrième trimestre 2018 (maintenant le premier trimestre 2019), les coûts et les avantages de la mise en place d’un cadre cohérent de tests de cyber-résilience pour les acteurs importants du marché et des infrastructures dans l’ensemble du secteur financier de l’UE.

Lire l’avis sur les TIC >> RegMind

Lire l’avis sur la cybersécurité >> RegMind

Laisser un commentaire

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.