This document is an excerpt from the EUR-Lex website
Document 02025R0301-20250220
Consolidated text: Règlement délégué (UE) 2025/301 de la Commission du 23 octobre 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par des normes techniques de réglementation précisant le contenu et les délais pour la notification initiale des incidents majeurs liés aux TIC, et pour les rapports intermédiaire et final y afférents, et le contenu de la notification volontaire en ce qui concerne les cybermenaces importantes (Texte présentant de l’intérêt pour l’EEE)
Règlement délégué (UE) 2025/301 de la Commission du 23 octobre 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par des normes techniques de réglementation précisant le contenu et les délais pour la notification initiale des incidents majeurs liés aux TIC, et pour les rapports intermédiaire et final y afférents, et le contenu de la notification volontaire en ce qui concerne les cybermenaces importantes (Texte présentant de l’intérêt pour l’EEE)
In force
02025R0301 — FR — 20.02.2025 — 000.001
Ce texte constitue seulement un outil de documentation et n’a aucun effet juridique. Les institutions de l'Union déclinent toute responsabilité quant à son contenu. Les versions faisant foi des actes concernés, y compris leurs préambules, sont celles qui ont été publiées au Journal officiel de l’Union européenne et sont disponibles sur EUR-Lex. Ces textes officiels peuvent être consultés directement en cliquant sur les liens qui figurent dans ce document
|
RÈGLEMENT DÉLÉGUÉ (UE) 2025/301 DE LA COMMISSION du 23 octobre 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par des normes techniques de réglementation précisant le contenu et les délais pour la notification initiale des incidents majeurs liés aux TIC, et pour les rapports intermédiaire et final y afférents, et le contenu de la notification volontaire en ce qui concerne les cybermenaces importantes (Texte présentant de l’intérêt pour l’EEE) (JO L 301 du 20.2.2025, p. 1) |
Rectifié par:
|
Rectificatif, JO L 90712 du 12.9.2025, p. 1 (2025/3012025/301) |
RÈGLEMENT DÉLÉGUÉ (UE) 2025/301 DE LA COMMISSION
du 23 octobre 2024
complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par des normes techniques de réglementation précisant le contenu et les délais pour la notification initiale des incidents majeurs liés aux TIC, et pour les rapports intermédiaire et final y afférents, et le contenu de la notification volontaire en ce qui concerne les cybermenaces importantes
(Texte présentant de l’intérêt pour l’EEE)
Article premier
Informations générales à fournir dans les notifications initiales et les rapports intermédiaire et final sur les incidents majeurs liés aux TIC
Les entités financières incluent dans la notification initiale, le rapport intermédiaire et le rapport final, visés à l’article 19, paragraphe 4, du règlement (UE) 2022/2554, les informations générales suivantes:
le type de soumission (notification initiale, rapport intermédiaire ou rapport final);
le nom de l’entité financière, son code LEI et le type d’entité financière visé à l’article 2, paragraphe 1, du règlement (UE) 2022/2554;
le nom et le code d’identification de l’entité qui soumet la notification initiale, ou le rapport intermédiaire ou final, pour l’entité financière;
le cas échéant, les noms et codes LEI de toutes les entités financières couvertes par la notification initiale agrégée ou le rapport intermédiaire ou final;
les coordonnées des personnes chargées de communiquer avec l’autorité compétente au sujet de l’incident majeur lié aux TIC;
le cas échéant, l’identification de l’entreprise mère du groupe auquel l’entité financière appartient;
en cas d’incidence sur la situation monétaire, la monnaie dans laquelle les montants sont calculés.
Article 2
Informations spécifiques à fournir dans les notifications initiales
Les notifications initiales visées à l’article 19, paragraphe 4, point a), du règlement (UE) 2022/2554 contiennent au moins toutes les informations spécifiques suivantes:
le code de référence de l’incident attribué par l’entité financière;
la date et l’heure de détection de l’incident et sa classification conformément à l’article 8 du règlement délégué (UE) 2024/1772 de la Commission ( 1 );
une description de l’incident lié aux TIC;
les critères énoncés aux articles 1er à 8 du règlement délégué (UE) 2024/1772, sur la base desquels l’entité financière a classé l’incident lié aux TIC comme majeur;
les États membres touchés par l’incident lié aux TIC;
des informations sur la manière dont l’incident lié aux TIC a été détecté;
le cas échéant, des informations sur l’origine de l’incident lié aux TIC;
des informations indiquant si l’entité financière a activé un plan de continuité des activités;
le cas échéant, des informations sur le reclassement de l’incident lié aux TIC de majeur à non majeur;
le cas échéant, toute autre information pertinente.
Article 3
Informations spécifiques à fournir dans les rapports intermédiaires
Les rapports intermédiaires visés à l’article 19, paragraphe 4, point b), du règlement (UE) 2022/2554 contiennent au moins toutes les informations spécifiques suivantes:
le cas échéant, le code de référence de l’incident attribué par l’autorité compétente;
la date et l’heure auxquelles l’incident lié aux TIC est survenu;
le cas échéant, la date et l’heure auxquelles l’entité financière a repris ses activités régulières;
des informations sur la manière dont les critères énoncés aux articles 1er à 8 du règlement délégué (UE) 2024/1772 ont été remplis, sur la base desquels l’entité financière a classé l’incident lié aux TIC comme majeur;
le type d’incident lié aux TIC;
le cas échéant, les menaces et les techniques utilisées par l’acteur de la menace;
les domaines fonctionnels et les processus opérationnels concernés;
les composants d’infrastructure concernés soutenant les processus opérationnels;
l’incidence sur les intérêts financiers des clients;
des informations sur la notification de l’incident lié aux TIC à d’autres autorités;
les actions ou mesures temporaires prises ou prévues par l’entité financière pour se rétablir à la suite de l’incident lié aux TIC;
le cas échéant, des informations sur les ►C1 indicateurs de compromission ◄ .
Article 4
Informations spécifiques à fournir dans les rapports finaux
Les rapports finaux visés à l’article 19, paragraphe 4, point c), du règlement (UE) 2022/2554 contiennent toutes les informations spécifiques suivantes:
des informations sur les causes originelles de l’incident lié aux TIC;
les dates et heures auxquelles l’incident lié aux TIC a été résolu et la ou les causes originelles ont été traitées;
des informations sur la résolution de l’incident lié aux TIC;
le cas échéant, les informations pertinentes pour les autorités de résolution;
des informations sur les coûts et pertes directs et indirects découlant de l’incident lié aux TIC et des informations sur les recouvrements financiers;
le cas échéant, des informations sur les incidents récurrents liés aux TIC.
Article 5
Délais pour la notification initiale et pour les rapports intermédiaire et final
Les entités financières soumettent la notification initiale et les rapports intermédiaire et final visés à l’article 19, paragraphe 4, points a), b) et c), du règlement (UE) 2022/2554 dans les délais suivants:
pour le rapport initial: le plus tôt possible, mais en tout état de cause, dans un délai de quatre heures à compter de la classification de l’incident lié aux TIC comme majeur et au plus tard 24 heures à compter du moment où l’entité financière en a eu connaissance;
pour le rapport intermédiaire: au plus tard dans un délai de 72 heures à compter de la soumission de la notification initiale, même si la situation ou le traitement de l’incident n’ont pas changé conformément à l’article 19, paragraphe 4, point b), du règlement (UE) 2022/2554. Les entités financières soumettent sans retard injustifié un rapport intermédiaire actualisé et, en tout état de cause, lorsque les activités régulières ont repris;
pour le rapport final: au plus tard un mois après la soumission du rapport intermédiaire ou, le cas échéant, après la dernière mise à jour du rapport intermédiaire.
Article 6
Contenu de la notification volontaire des cybermenaces importantes
Le contenu de la notification volontaire en ce qui concerne les cybermenaces importantes visée à l’article 19, paragraphe 2, du règlement (UE) 2022/2554 couvre l’ensemble des éléments suivants:
des informations générales sur l’entité financière notifiante, conformément à l’article 1er;
la date et l’heure de détection de la cybermenace importante et de tout autre horodatage pertinent lié à cette dernière;
une description de la cybermenace importante;
des informations sur l’incidence potentielle de la cybermenace importante sur l’entité financière, ses clients ou ses contreparties financières;
les critères de classification susceptibles d’avoir été à l’origine d’un rapport d’incident majeur prévus aux articles 1er à 8 du règlement délégué (UE) 2024/1772 en cas de matérialisation de la cybermenace;
des informations sur la situation de la cybermenace importante et sur tout changement dans l’activité de la menace;
le cas échéant, une description des mesures prises par l’entité financière pour empêcher la matérialisation des cybermenaces importantes;
des informations sur toute notification de la cybermenace importante à d’autres entités ou autorités financières;
le cas échéant, des informations sur les ►C1 indicateurs de compromission ◄ ;
le cas échéant, toute autre information pertinente.
Article 7
Entrée en vigueur
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne.
Le présent règlement est obligatoire dans tous ses éléments et directement applicable dans tout État membre.
( 1 ) Règlement délégué (UE) 2024/1772 de la Commission du 13 mars 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par des normes techniques de réglementation précisant les critères de classification des incidents liés aux TIC et des cybermenaces, fixant des seuils d’importance significative et précisant les détails des rapports d’incidents majeurs (JO L, 2024/1772, 25.6.2024, ELI: http://data.europa.eu/eli/reg_del/2024/1772/oj).