Nouvelles circulaires CSSF sur incidents TIC et lignes ESA

Publication de deux nouvelles circulaires : Classification et déclaration des incidents liés aux TIC pour les entités DORA et autres prestataires de services de paiement et adoption des lignes directrices de l'ESA sur l'estimation des coûts/pertes agrégés

Introduction

La Commission de Surveillance du Secteur Financier (CSSF) a récemment publié deux nouvelles circulaires qui concernent la classification et la déclaration des incidents liés aux technologies de l'information et de la communication (TIC) pour les entités régies par le Digital Operational Resilience Act (DORA) ainsi que pour d'autres prestataires de services de paiement. Ces circulaires incluent également l'adoption des lignes directrices de l'Autorité Européenne des Assurances et des Pensions Professionnelles (ESA) sur l'estimation des coûts et pertes agrégés.

Contexte et objectifs

Les nouvelles circulaires visent à renforcer la résilience opérationnelle des entités financières face aux incidents TIC. Elles s'inscrivent dans le cadre du DORA, qui établit des exigences uniformes pour la gestion des risques liés aux TIC dans le secteur financier. L'objectif principal est de garantir que les entités financières disposent de systèmes robustes pour identifier, classer et déclarer les incidents TIC, minimisant ainsi l'impact potentiel sur leurs opérations et leurs clients.

Classification et déclaration des incidents TIC

La première circulaire détaille les critères de classification des incidents TIC, permettant aux entités de déterminer la gravité et l'impact potentiel de chaque incident. Elle précise également les procédures de déclaration à suivre, assurant une communication efficace avec les autorités de surveillance. Cette approche standardisée vise à améliorer la réponse aux incidents et à faciliter la coordination entre les différentes parties prenantes.

Adoption des lignes directrices de l'ESA

La deuxième circulaire concerne l'adoption des lignes directrices de l'ESA sur l'estimation des coûts et pertes agrégés. Ces lignes directrices fournissent un cadre méthodologique pour évaluer les impacts financiers des incidents TIC, aidant ainsi les entités à mieux comprendre et gérer les risques associés. L'adoption de ces lignes directrices est essentielle pour assurer une évaluation cohérente et précise des coûts liés aux incidents TIC.

Impact sur les prestataires de services de paiement

Les prestataires de services de paiement sont particulièrement concernés par ces nouvelles exigences, étant donné leur dépendance aux systèmes TIC pour la fourniture de services sécurisés et efficaces. Les circulaires exigent de ces prestataires qu'ils mettent en place des mécanismes de surveillance et de déclaration rigoureux, garantissant ainsi la continuité de leurs opérations en cas d'incident.

Conclusion

La publication de ces circulaires par la CSSF marque une étape importante dans le renforcement de la résilience opérationnelle des entités financières face aux risques TIC. En adoptant des normes uniformes pour la classification et la déclaration des incidents, ainsi que pour l'estimation des coûts et pertes, la CSSF vise à améliorer la gestion des risques et à protéger les intérêts des clients et des marchés financiers.

Quelques pistes pour l'intégration opérationnelle dans votre dispositif :

- Mettre à jour les procédures internes pour inclure les nouvelles exigences de classification et de déclaration des incidents TIC.

- Former le personnel à l'identification et à la gestion des incidents TIC selon les nouvelles lignes directrices.

- Évaluer et ajuster les systèmes de surveillance pour garantir une détection rapide et précise des incidents.

- Collaborer avec les autorités de surveillance pour assurer une communication efficace et conforme.

- Intégrer les lignes directrices de l'ESA dans les évaluations de risques financiers pour une gestion proactive des coûts liés aux incidents.