6.10.2021 |
FR |
Journal officiel de l’Union européenne |
L 354/45 |
ORIENTATION (UE) 2021/1759 DE LA BANQUE CENTRALE EUROPÉENNE
du 20 juillet 2021
modifiant l’orientation BCE/2012/27 relative au système de transferts express automatisés transeuropéens à règlement brut en temps réel (TARGET2) (BCE/2021/30)
LE CONSEIL DES GOUVERNEURS DE LA BANQUE CENTRALE EUROPÉENNE
vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 127, paragraphe 2, premier et quatrième tirets,
vu les statuts du Système européen de banques centrales et de la Banque centrale européenne, et notamment leur article 3.1 et leurs articles 17, 18 et 22,
considérant ce qui suit:
(1) |
Le 26 avril 2007, le conseil des gouverneurs de la Banque centrale européenne a adopté l’orientation BCE/2007/2 (1) régissant TARGET2, qui instaure une plate-forme technique unique (la plate-forme partagée unique — PPU). Cette orientation a été refondue en 2012 en tant qu’orientation BCE/2012/27 de la Banque centrale européenne (2). |
(2) |
Pour que la réglementation soit efficace, il est nécessaire de préciser que les titulaires de DCA TIPS et les titulaires de DCA T2S seront connectés à TARGET2 par l’intermédiaire de la passerelle d’accès unique aux infrastructures de marché de l’Eurosystème (Eurosystem Single Market Infrastructure Gateway — ESMIG) à partir de novembre 2021 et de juin 2022, respectivement. |
(3) |
Afin de garantir que TARGET2 continue d’évoluer pour faire face aux menaces de cybersécurité, il convient de préciser et d’étendre les règles relatives au respect des exigences de sécurité applicables aux points d’accès finals de TARGET2. De même, il convient de modifier les définitions afin d’assurer un cadre juridique complet et harmonisé. |
(4) |
Afin de garantir la disponibilité des paiements instantanés dans l’ensemble de l’Union, les titulaires de comptes MP, leurs participants indirects et les détenteurs de BIC adressables qui ont adhéré au dispositif du virement SEPA instantané (SEPA Instant Credit Transfer — SCT Inst) par la signature du SEPA Instant Credit Transfer Adherence Agreement (accord d’adhésion au dispositif du virement SEPA instantané) devraient être et rester constamment joignables sur la plate-forme TIPS par l’intermédiaire d’un DCA TIPS. Les services de transfert de fonds en monnaie banque centrale pour les systèmes exogènes réglant des opérations de paiement instantané dans leurs propres livres devraient être fournis dans la plate-forme TIPS. |
(5) |
À partir du moment où le projet de consolidation des plates-formes T2 et T2S est opérationnel, il est nécessaire, afin de garantir la sécurité juridique, d’être transparent sur les modalités de transfert des soldes des comptes des participants dans TARGET2 vers les comptes successeurs correspondants dans le futur système TARGET. |
(6) |
Il est également nécessaire de préciser et de mettre à jour d’autres dispositions de l’orientation BCE/2012/27 afin d’en assurer l’application efficace. |
(7) |
La mise en œuvre du projet de rapprochement des plates-formes T2 et T2S nécessitera également de modifier les règles applicables relatives aux contrats conclus avec les prestataires de service réseau T2S, qui devraient s’appliquer à compter du 13 juin 2022. |
(8) |
Il convient donc de modifier l’orientation BCE/2012/27 en conséquence, |
A ADOPTÉ LA PRÉSENTE ORIENTATION:
Article premier
Modifications
L’orientation BCE/2012/27 est modifiée comme suit:
1) |
L’article 1er, paragraphe 1, est remplacé par le texte suivant: «1. TARGET2 permet le règlement brut en temps réel (RBTR) de paiements en euros, le règlement étant effectué en monnaie banque centrale dans les différents comptes MP, DCA T2S et DCA TIPS. TARGET2 est constitué et fonctionne à partir de la PPU, par l’intermédiaire de laquelle s’effectuent, de façon identique sur le plan technique, la présentation et le traitement de tous les ordres de paiement et la réception finale des paiements. En ce qui concerne le fonctionnement technique des DCA T2S, TARGET2 est constitué et fonctionne à partir de la plate-forme T2S. En ce qui concerne le fonctionnement technique des DCA TIPS et des comptes techniques SE TIPS, TARGET2 est constitué et fonctionne à partir de la plate-forme TIPS.». |
2) |
L’article 2 est modifié comme suit:
|
3) |
L’article 13 est remplacé par le texte suivant: «Article 13 Systèmes exogènes 1. Les BC de l’Eurosystème fournissent des services de transfert de fonds en monnaie banque centrale aux systèmes exogènes du MP, accessible par l’intermédiaire du prestataire de service réseau TARGET2. Ces services sont régis par des contrats bilatéraux entre les BC de l’Eurosystème et les systèmes exogènes respectifs. 2. Les contrats bilatéraux conclus avec des systèmes exogènes qui utilisent l’ISE se conforment aux dispositions de l’annexe IV. En outre, les BC de l’Eurosystème veillent à ce que, dans ces contrats bilatéraux, les dispositions suivantes de l’annexe II s’appliquent mutatis mutandis:
3. Les contrats bilatéraux conclus avec des systèmes exogènes qui utilisent l’IP sont conformes aux deux dispositions suivantes:
Aux fins du point a), la redevance utilisée comme base de calcul des pénalités pour non-respect des obligations en matière de sécurité, telles que définies à l’article 28 de l’annexe II, est la redevance visée l’annexe IV, paragraphe 18, point 1, a). 4. Par dérogation au paragraphe 3, les contrats bilatéraux conclus avec des systèmes exogènes qui utilisent l’IP mais qui règlent uniquement des paiements au profit de leurs clients sont conformes aux deux dispositions suivantes:
Aux fins du point a), la redevance utilisée comme base de calcul des pénalités pour non-respect des obligations en matière de sécurité visées à l’article 28 de l’annexe II est la redevance visée à l’annexe IV, paragraphe 18, point 1, a). 5. Les BC de l’Eurosystème fournissent des services de transfert de fonds en monnaie banque centrale pour les systèmes exogènes qui règlent des paiements instantanés dans leurs propres livres conformément au dispositif du SCT Inst uniquement sur la plate-forme TIPS. Les accords bilatéraux relatifs à la fourniture de ces services de transfert de fonds sont conformes à l’annexe IV bis et ne permettent que le règlement des paiements instantanés conformément au dispositif du SCT Inst. Dans ces accords bilatéraux, les dispositions suivantes de l’annexe II ter s’appliquent mutatis mutandis:
|
4) |
L’article 17, paragraphe 4, est remplacé par le texte suivant: «4. Les paragraphes 1 à 3 bis du présent article s’appliquent également en cas de suspension ou de résiliation de l’utilisation de l’ISE ou de la plate-forme TIPS par les systèmes exogènes.». |
5) |
L’article 27 bis suivant est inséré: «Article 27 bis Disposition transitoire Les BC de l’Eurosystème peuvent fournir des services de transfert de fonds en monnaie banque centrale pour les systèmes exogènes réglant des opérations de paiement instantané dans leurs propres livres conformément au dispositif du SCT Inst en utilisant l’interface de système exogène jusqu’au 25 février 2022.». |
6) |
L’annexe II de l’orientation BCE/2012/27 est modifiée conformément à l’annexe I de la présente orientation. |
7) |
L’annexe II bis de l’orientation BCE/2012/27 est modifiée conformément à l’annexe II de la présente orientation. |
8) |
L’annexe II ter de l’orientation BCE/2012/27 est modifiée conformément à l’annexe III de la présente orientation. |
9) |
L’annexe IV de l’orientation BCE/2012/27 est modifiée conformément à l’annexe IV de la présente orientation. |
10) |
Une nouvelle annexe IV bis de l’orientation BCE/2012/27 est insérée conformément à l’annexe V de la présente orientation. |
Article 2
Entrée en vigueur et mise en œuvre
1. La présente orientation prend effet le jour de sa notification aux banques centrales nationales des États membres dont la monnaie est l’euro.
2. Les banques centrales nationales des États membres dont la monnaie est l’euro prennent les mesures nécessaires pour se conformer à la présente orientation à compter du 21 novembre 2021, à l’exception du paragraphe 1, point c), et des paragraphes 7 et 9 de l’annexe II de la présente orientation, pour lesquels elles prennent les mesures nécessaires et les appliquent à compter du 13 juin 2022. Elles notifient à la BCE les textes et moyens relatifs à ces mesures au plus tard le 9 septembre 2021.
Article 3
Destinataires
Toutes les banques centrales de l’Eurosystème sont destinataires de la présente orientation.
Fait à Francfort-sur-le Main, le 20 juillet 2021.
Pour le conseil des gouverneurs de la BCE
La présidente de la BCE
Christine LAGARDE
(1) Orientation BCE/2007/2 de la Banque centrale européenne du 26 avril 2007 relative au système de transferts express automatisés transeuropéens à règlement brut en temps réel (TARGET2) (JO L 237 du 8.9.2007, p. 1).
(2) Orientation BCE/2012/27 de la Banque centrale européenne du 5 décembre 2012 relative au système de transferts express automatisés transeuropéens à règlement brut en temps réel (TARGET2) (JO L 30 du 30.1.2013, p. 1).
ANNEXE I
L’annexe II de l’orientation BCE/2012/27 est modifiée comme suit:
1. |
L’article 1er est modifié comme suit:
|
2. |
L’article 3 est modifié comme suit:
|
3. |
l’article 5 est remplacé par le texte suivant: «Article 5 Participants directs 1. Les titulaires d’un compte MP dans TARGET2-[insérer une référence à la BC ou au pays] sont des participants directs et respectent les conditions énoncées à l’article 8, paragraphes 1 et 2. Ils ont au moins un compte MP auprès de la [insérer le nom de la BC]. Les titulaires d’un compte MP qui ont adhéré au dispositif du SCT Inst par la signature de l’accord d’adhésion au dispositif du virement SEPA instantané sont et restent joignables à tout moment sur la plate-forme TIPS, soit en tant que titulaire d’un DCA TIPS, soit en tant que partie joignable par l’intermédiaire du titulaire d’un DCA TIPS. 2. Les titulaires d’un compte MP peuvent désigner des détenteurs de BIC adressables, quel que soit leur lieu d’établissement. Les titulaires d’un compte MP ne peuvent désigner des détenteurs de BIC adressables ayant adhéré au dispositif du SCT Inst par la signature de l’accord d’adhésion au dispositif du virement SEPA instantané que si ces entités sont joignables sur la plate-forme TIPS, soit en tant que titulaire d’un DCA TIPS, soit en tant que partie joignable par l’intermédiaire du titulaire d’un DCA TIPS. 3. Les titulaires d’un compte MP peuvent désigner des entités comme participants indirects au MP, sous réserve que les conditions prévues à l’article 6 soient remplies. Les titulaires d’un compte MP ne peuvent désigner, comme participants indirects, des entités ayant adhéré au dispositif du SCT Inst par la signature de l’accord d’adhésion au dispositif du virement SEPA instantané que si ces entités sont joignables sur la plate-forme TIPS, soit en tant que titulaire d’un DCA TIPS auprès de la [insérer le nom de la BC], soit en tant que partie joignable par l’intermédiaire du titulaire d’un DCA TIPS. 4. Un accès multidestinataire peut être offert aux succursales dans les conditions suivantes:
|
4. |
À l’article 12, le paragraphe 5 est remplacé par le texte suivant: «5. Les comptes MP et leurs sous-comptes sont rémunérés soit à un taux de zéro pour cent soit au taux de la facilité de dépôt, le taux le plus bas étant retenu, à moins qu’ils ne soient utilisés pour constituer les réserves obligatoires ou pour détenir des excédents de réserves. En cas de réserves obligatoires, le calcul et le paiement de la rémunération des avoirs de ces réserves sont régis par le règlement (CE) no 2531/98 du Conseil (*2) et le règlement (UE) 2021/378 de la Banque centrale européenne (BCE/2021/1) (*3). En cas d’excédents de réserves, le calcul et le paiement de la rémunération des avoirs sont régis par la décision (UE) 2019/1743 (BCE/2019/31) (*4). (*2) Règlement (CE) no 2531/98 du Conseil du 23 novembre 1998 concernant l’application de réserves obligatoires par la Banque centrale européenne (JO L 318 du 27.11.1998, p. 1)." (*3) Règlement (UE) 2021/378 de la Banque centrale européenne du 22 janvier 2021 concernant l’application des exigences en matière de réserves obligatoires (BCE/2021/1) (JO L 73 du 3.3.2021, p. 1)." (*4) Décision (UE) 2019/1743 de la Banque centrale européenne du 15 octobre 2019 concernant la rémunération des avoirs d’excédents de réserves et de certains dépôts (BCE/2019/31) (JO L 267 du 21.10.2019, p. 12).»." |
5. |
L’article 28 est remplacé par le texte suivant: «Article 28 Obligations en matière de sécurité et procédures de contrôle 1. Les participants mettent en œuvre des contrôles appropriés de sécurité afin de protéger leurs systèmes contre un accès et une utilisation non autorisés. Les participants sont seuls responsables d’une protection appropriée de la confidentialité, de l’intégrité et de la disponibilité de leurs systèmes. 2. Les participants informent la [insérer le nom de la BC] de tout incident lié à la sécurité survenant dans leur infrastructure technique et, le cas échéant, de tout incident lié à la sécurité survenant dans l’infrastructure technique des prestataires tiers. La [insérer le nom de la BC] peut demander davantage d’informations sur l’incident et, si nécessaire, demander que le participant prenne des mesures appropriées afin d’empêcher qu’un tel événement ne se reproduise. 3. La [insérer le nom de la BC] peut imposer d’autres obligations en matière de sécurité, en particulier en matière de cybersécurité et de lutte contre la fraude, à tous les participants ou aux participants qui sont considérés comme critiques par la [insérer le nom de la BC]. 4. Les participants fournissent à la [insérer le nom de la BC] i) l’accès permanent à leur attestation de conformité aux exigences de sécurité applicables aux points d’accès finals du prestataire de service réseau qu’ils ont choisi, et ii) chaque année, la déclaration d’autocertification TARGET2 telle que publiée sur le site internet de la [insérer le nom de la BC] et sur le site internet de la BCE en anglais. 4 bis. La [insérer le nom de la BC] évalue la ou les déclaration(s) d’autocertification du participant sur son niveau de conformité avec chacune des exigences énoncées dans les exigences de TARGET2 en matière d’autocertification. Ces exigences sont énumérées à l’appendice VIII, qui, en plus des autres appendices énumérés à l’article 2, paragraphe 1, font partie intégrante de ces conditions. 4 ter. Le niveau de conformité du participant aux exigences de l’autocertification de TARGET2 entre dans une des catégories suivantes, par ordre croissant de gravité: “conformité totale”, “non-conformité mineure” ou “non-conformité majeure”. Les critères suivants s’appliquent: la conformité totale est atteinte lorsque les participants satisfont à 100 % des exigences; on parle de non-conformité mineure lorsqu’un participant satisfait à moins de 100 % mais à au moins 66 % des exigences et de non-conformité majeure lorsqu’un participant satisfait à moins de 66 % des exigences. Si un participant démontre qu’une exigence spécifique ne lui est pas applicable, on estime, aux fins de la catégorisation, qu’il se conforme à l’exigence en question. Un participant qui n’atteint pas la “conformité totale” doit soumettre un plan d’action montrant comment il entend atteindre celle-ci. La [insérer le nom de la BC] informe les autorités de surveillance compétentes de l’état de conformité de ce participant. 4 quater. Si le participant refuse d’accorder un accès permanent à son attestation de conformité aux exigences de sécurité applicables aux points d’accès finals des prestataires de service réseau qu’il a choisis ou ne fournit pas l’autocertification TARGET2, le niveau de conformité du participant est placé dans la catégorie “non-conformité majeure”. 4 quinquies. La [insérer le nom de la BC] réévalue annuellement la conformité des participants. 4 sexies. La [insérer le nom de la BC] peut imposer les mesures correctives suivantes aux participants dont le niveau de conformité a été évalué comme une non-conformité mineure ou majeure, par ordre croissant de gravité:
5. Les participants autorisant l’accès à leur compte MP à des tiers, comme prévu à l’article 5, paragraphes 2, 3 et 4, doivent parer au risque découlant d’une telle autorisation conformément aux obligations en matière de sécurité prévues aux paragraphes 1 à 4 sexies du présent article. L’autocertification visée au paragraphe 4 précise que le participant impose les exigences de sécurité applicables aux points d’accès finals du prestataire de service réseau TARGET2 aux tiers ayant accès au compte MP de ce participant.». |
6. |
L’article 39, paragraphe 1, est remplacé par le texte suivant: «1. Les participants sont réputés connaître, respectent et sont en mesure de prouver aux autorités compétentes concernées qu’ils respectent, toutes les obligations leur incombant conformément à la législation sur la protection des données. Ils sont réputés connaître, et respectent, toutes les obligations leur incombant conformément à la législation sur la prévention du blanchiment d’argent et du financement du terrorisme, les activités nucléaires présentant un risque de prolifération et le développement de vecteurs d’armes nucléaires, notamment en ce qui concerne la mise en œuvre de mesures appropriées relatives aux paiements entraînant un débit ou un crédit sur leurs comptes MP. Les participants s’assurent qu’ils sont informés de la politique d’extraction des données du prestataire de service réseau TARGET2 avant d’entrer en relation contractuelle avec ce prestataire.». |
7. |
L’article 45 bis suivant est inséré: «Article 45 bis Dispositions transitoires 1. Dès que le système TARGET est opérationnel et que TARGET2 a cessé de fonctionner, les soldes des comptes MP sont transférés sur les comptes successeurs correspondants du titulaire du compte dans le système TARGET. 2. L’obligation, pour les titulaires de comptes MP, les participants indirects et les titulaires de BIC adressables adhérant au dispositif du SCT Inst, d’être joignables sur la plate-forme TIPS conformément à l’article 5, s’applique à compter du 25 février 2022.». |
8. |
À l’appendice I, le paragraphe 8, point 4, b), est remplacé par le texte suivant:
|
9. |
À l’appendice IV, le paragraphe 6, point g), est remplacé par le texte suivant:
|
10. |
Le texte figurant à l’annexe VI de la présente orientation est ajouté en tant que nouvel appendice VIII à l’annexe II de l’orientation BCE/2012/27. |
(*1) Règlement (CE) no 1126/2008 de la Commission du 3 novembre 2008 portant adoption de certaines normes comptables internationales conformément au règlement (CE) no 1606/2002 du Parlement européen et du Conseil (JO L 320 du 29.11.2008, p. 1).»;
(*2) Règlement (CE) no 2531/98 du Conseil du 23 novembre 1998 concernant l’application de réserves obligatoires par la Banque centrale européenne (JO L 318 du 27.11.1998, p. 1).
(*3) Règlement (UE) 2021/378 de la Banque centrale européenne du 22 janvier 2021 concernant l’application des exigences en matière de réserves obligatoires (BCE/2021/1) (JO L 73 du 3.3.2021, p. 1).
(*4) Décision (UE) 2019/1743 de la Banque centrale européenne du 15 octobre 2019 concernant la rémunération des avoirs d’excédents de réserves et de certains dépôts (BCE/2019/31) (JO L 267 du 21.10.2019, p. 12).».»
ANNEXE II
L’annexe II bis de l’orientation BCE/2012/27 est modifiée comme suit:
1. |
L’article 1er est modifié comme suit:
|
2. |
À l’article 4, paragraphe 2, le point f quater) est remplacé par le texte suivant:
|
3. |
À l’article 4, paragraphe 2, le point f quinquies) est inséré:
|
4. |
L’article 4, paragraphe 3, est remplacé par le texte suivant: «3. TARGET2 permet le règlement brut en temps réel de paiements en euros, le règlement étant effectué en monnaie banque centrale dans les différents comptes MP, DCA T2S et DCA TIPS. TARGET2 est constitué et fonctionne à partir de la PPU, par l’intermédiaire de laquelle s’effectuent, de façon identique sur le plan technique, la présentation et le traitement de tous les ordres de paiement et la réception finale des paiements. En ce qui concerne le fonctionnement technique des DCA T2S, TARGET2 est constitué et fonctionne à partir de la plate-forme T2S. En ce qui concerne le fonctionnement technique des DCA TIPS et des comptes techniques SE TIPS, TARGET2 est constitué et fonctionne à partir de la plate-forme TIPS. La [insérer le nom de la BC] est le prestataire de services en vertu des présentes conditions. Les actes et omissions des BCN prestataires de la PPU et des quatre banques centrales sont considérés comme des actes et omissions de la [insérer le nom de la BC], dont celle-ci assume la responsabilité conformément à l’article 21 de la présente annexe. La participation en application des présentes conditions ne crée aucune relation contractuelle entre les titulaires de DCA T2S et les BCN prestataires de la PPU ou les quatre banques centrales lorsque l’une de ces dernières agit en cette qualité. Les instructions, les messages ou les informations qu’un titulaire de DCA T2S reçoit de la PPU ou de la plate-forme T2S, ou qu’il lui envoie, en lien avec les services fournis en vertu des présentes conditions, sont considérés comme étant reçus de la [insérer le nom de la BC] ou envoyés à celle-ci.». |
5. |
L’article 8, paragraphe 3, est remplacé par le texte suivant: «3. Lorsque [insérer le nom de la BC] a accédé à une demande d’un titulaire de DCA T2S conformément au paragraphe 1, ce titulaire de DCA T2S est réputé avoir délivré au(x) DCT participant(s) un mandat pour débiter le DCA T2S des montants relatifs aux opérations sur titres exécutées sur ces comptes-titres.». |
6. |
L’article 28, paragraphe 1, est remplacé par le texte suivant: «1. Les titulaires d’un DCA T2S sont réputés connaître, respectent et sont en mesure de prouver aux autorités compétentes concernées qu’ils respectent, toutes les obligations leur incombant conformément à la législation sur la protection des données. Ils sont réputés connaître, et respectent toutes les obligations leur incombant conformément à la législation sur la prévention du blanchiment d’argent et du financement du terrorisme, les activités nucléaires présentant un risque de prolifération et le développement de vecteurs d’armes nucléaires, notamment en ce qui concerne la mise en œuvre de mesures appropriées relatives aux paiements entraînant un débit ou un crédit sur leurs DCA T2S. Avant d’entrer en relation contractuelle avec leur prestataire de service réseau T2S, les titulaires d’un DCA T2S s’assurent qu’ils sont informés de la politique d’extraction de données de ce prestataire.». |
7. |
L’article 30 est remplacé par le texte suivant: «Article 30 Relation contractuelle avec un prestataire de service réseau 1. Les titulaires de DCA T2S soit:
2. La relation juridique entre un titulaire de DCA T2S et le PSR est exclusivement régie par les conditions du contrat séparé conclu avec un PSR, tel que visé au paragraphe 1, point a). 3. Les services que doit fournir le PSR ne font pas partie des services à exécuter par la [insérer le nom de la BC] dans le cadre de TARGET2. 4. La [insérer le nom de la BC] n’est pas responsable des actes, erreurs ou omissions du PSR (notamment de ses administrateurs, de son personnel et de ses sous-traitants), ni des actes, erreurs ou omissions des tiers choisis par les participants afin d’avoir accès au réseau du PSR.». |
8. |
L’article 34 bis suivant est inséré: «Article 34 bis Dispositions transitoires Dès que le système TARGET est opérationnel et que TARGET2 a cessé de fonctionner, les titulaires de DCA T2S deviennent des titulaires de DCA T2S dans le système TARGET.». |
9. |
Les références au «prestataire de service réseau T2S» (au singulier et au pluriel) figurant à l’article 6, paragraphe 1, point a), i), à l’article 9, paragraphe 5, à l’article 10, paragraphe 6, à l’article 14, paragraphe 1, point a), à l’article 22, paragraphes 1, 2 et 3, à l’article 27, paragraphe 5, à l’article 28, paragraphe 1, à l’article 29, paragraphe 1, de l’annexe II bis et au paragraphe 1 de l’appendice I sont remplacées par des références au «PSR». |
10. |
À l’appendice I, le paragraphe 7, point 1, b), est remplacé par le texte suivant:
|
ANNEXE III
L’annexe II ter de l’orientation BCE/2012/27 est modifiée comme suit:
1. |
Les références au «prestataire de service réseau TIPS» (au singulier ou au pluriel) figurant à l’article 17, paragraphe 1, point a), à l’article 24, paragraphes 1 et 2, à l’article 26, paragraphe 2, point d), à l’article 29, paragraphe 6, au paragraphe 1 de l’appendice I, au paragraphe 6, point 1, de l’appendice I et au paragraphe 3, point 3, b), de l’appendice II, sont remplacées par des références au «PSR». |
2. |
L’article 1er est modifié comme suit:
|
3. |
À l’article 3, paragraphe 1, la référence à l’«appendice V: Exigences techniques de connectivité à TIPS» est supprimée. |
4. |
L’article 4 est modifié comme suit:
|
5. |
L’article 6, paragraphe 1, point a), i), est remplacé par le texte suivant:
|
6. |
L’article 9 est remplacé par le texte suivant: «Article 9 Relation contractuelle avec un PSR 1. Les participants soit:
2. La relation juridique entre un participant et le PSR est exclusivement régie par les conditions de de leur contrat séparé tel que visé au paragraphe 1, point a). 3. Les services que doit fournir le PSR ne font pas partie des services à effectuer par la [insérer le nom de la BC] dans le cadre de TARGET2. 4. La [insérer le nom de la BC] n’est pas responsable des actes, erreurs ou omissions du PSR (notamment de ses administrateurs, de son personnel et de ses sous-traitants), ni des actes, erreurs ou omissions des tiers choisis par les participants pour avoir accès au réseau du PSR.». |
7. |
L’article 10 est supprimé. |
8. |
L’article 11 bis suivant est inséré: «Article 11 bis Répertoire MPL 1. Le répertoire central MPL contient la table de correspondance proxy – IBAN pour les besoins du service MPL. 2. Chaque proxy ne peut être lié qu’à un seul IBAN. Un IBAN peut être lié à un ou plusieurs proxys. 3. L’article 29 s’applique aux données contenues dans le répertoire MPL.». |
9. |
L’article 12, paragraphe 9, est supprimé. |
10. |
L’article 15, paragraphe 5, est remplacé par le texte suivant: «5. Les DCA TIPS sont soit rémunérés à 0 %, soit au taux de la facilité de dépôt, le taux le plus bas étant retenu, à moins qu’ils ne soient utilisés pour constituer les réserves obligatoires ou détenir des excédents de réserves. En cas de réserves obligatoires, le calcul et le paiement de la rémunération des avoirs de ces réserves sont régis par le règlement (CE) no 2531/98 du Conseil (*1) et le règlement (UE) 2021/378 de la Banque centrale européenne (BCE/2021/1) (*2). En cas d’excédents de réserves, le calcul et le paiement de la rémunération des avoirs sont régis par la décision (UE) 2019/1743 (BCE/2019/31) (*3). (*1) Règlement (CE) no 2531/98 du Conseil du 23 novembre 1998 concernant l’application de réserves obligatoires par la Banque centrale européenne (JO L 318 du 27.11.1998, p. 1)." (*2) Règlement (UE) 2021/378 de la Banque centrale européenne du 22 janvier 2021 concernant l’application des exigences en matière de réserves obligatoires (BCE/2021/1) (JO L 73 du 3.3.2021, p. 1)." (*3) Décision (UE) 2019/1743 de la Banque centrale européenne du 15 octobre 2019 concernant la rémunération des avoirs d’excédents de réserves et de certains dépôts (BCE/2019/31) (JO L 267 du 21.10.2019, p. 12).»." |
11. |
L’article 16 est remplacé par le texte suivant: «Article 16 Types d’ordres de paiement dans les DCA TIPS Sont considérés comme des ordres de paiement aux fins du service TIPS:
|
12. |
L’article 18, paragraphe 6, est remplacé par le texte suivant: «6. Après l’acceptation d’un ordre de transfert de liquidité DCA TIPS à MP, d’un ordre de transfert de liquidité DCA TIPS à compte technique SE TIPS ou d’un ordre de transfert de liquidité de compte technique SE TIPS à DCA TIPS, telle que décrite à l’article 17, TARGET2-[insérer la référence à la BC ou au pays] vérifie s’il y a les fonds suffisants sur le compte du payeur. S’il n’y a pas les fonds suffisants, l’ordre de transfert de liquidité est rejeté. S’il y a les fonds suffisants, l’ordre de transfert de liquidité est réglé immédiatement.». |
13. |
L’article 20, paragraphe 1, point b), est remplacé par le texte suivant:
|
14. |
L’article 30, paragraphe 1, est remplacé par le texte suivant: «1. Les titulaires d’un DCA TIPS sont réputés connaître, respectent et sont en mesure de prouver aux autorités compétentes concernées qu’ils respectent, toutes les obligations leur incombant conformément à la législation sur la protection des données. Ils sont réputés connaître, et respectent toutes les obligations leur incombant conformément à la législation sur la prévention du blanchiment d’argent et du financement du terrorisme, les activités nucléaires présentant un risque de prolifération et le développement de vecteurs d’armes nucléaires, notamment en ce qui concerne la mise en œuvre de mesures appropriées relatives aux paiements entraînant un débit ou un crédit sur leurs DCA TIPS. Avant d’entrer en relation contractuelle avec le prestataire de service réseau qu’ils ont choisi, les titulaires d’un DCA TIPS s’assurent qu’ils sont informés de la politique d’extraction de données de ce prestataire.». |
15. |
L’article 35 bis suivant est inséré: «Article 35 bis Disposition transitoire Dès que le système TARGET est opérationnel et que TARGET2 a cessé de fonctionner, les titulaires de DCA TIPS deviennent des titulaires de DCA TIPS dans le système TARGET.». |
16. |
À l’appendice I, le tableau du paragraphe 2 est remplacé par le tableau suivant:
|
17. |
À l’appendice I, le paragraphe 6, point 1, b), est remplacé par le texte suivant:
|
18. |
À l’appendice IV, le paragraphe 2 est supprimé. |
19. |
L’appendice V est supprimé. |
(*1) Règlement (CE) no 2531/98 du Conseil du 23 novembre 1998 concernant l’application de réserves obligatoires par la Banque centrale européenne (JO L 318 du 27.11.1998, p. 1).
(*2) Règlement (UE) 2021/378 de la Banque centrale européenne du 22 janvier 2021 concernant l’application des exigences en matière de réserves obligatoires (BCE/2021/1) (JO L 73 du 3.3.2021, p. 1).
(*3) Décision (UE) 2019/1743 de la Banque centrale européenne du 15 octobre 2019 concernant la rémunération des avoirs d’excédents de réserves et de certains dépôts (BCE/2019/31) (JO L 267 du 21.10.2019, p. 12).».»
ANNEXE IV
L’annexe IV de l’orientation BCE/2012/27 est modifiée comme suit:
1. |
Le paragraphe 14, point 14, d), est remplacé par le texte suivant:
|
2. |
Au paragraphe 18, point 1, b), la première ligne du tableau est remplacée par le texte suivant:
|
3. |
Au paragraphe 18, point 1), d), le dernier alinéa est supprimé. |
ANNEXE V
L’annexe IV bis suivante de l’orientation BCE/2012/27 est insérée:
«ANNEXE IV BIS
SERVICE TIPS POUR LES SYSTÈMES EXOGÈNES EFFECTUANT DES PAIEMENTS INSTANTANÉS
1. Définitions
Aux fins de la présente annexe et conformément aux définitions figurant à l’article 1er de l’annexe II ter, on entend par:
1) |
“banque centrale du système exogène (BCSE)”: la BC de l’Eurosystème avec laquelle le système exogène concerné réglant des opérations de paiement instantané dans ses propres livres a conclu un contrat bilatéral pour le règlement des paiements instantanés du système exogène; |
2) |
“volume brut sous-jacent”: le nombre d’opérations de paiement instantané réglées dans les livres du système exogène et rendues possibles par les fonds détenus sur le compte technique SE TIPS. Il ne comprend pas les paiements instantanés vers ou en provenance de DCA TIPS ou d’autres comptes techniques SE TIPS; |
3) |
“partie traitant les ordres (instructing party)”: une entité qui a été désignée en tant que telle par un système exogène et qui est autorisée à envoyer des ordres de paiement à la plate-forme TIPS et/ou à recevoir des ordres de paiement de la plate-forme TIPS au nom de ce système exogène ou d’une partie joignable de celui-ci. |
2. Introduction des ordres de paiement dans le système et irrévocabilité de ceux-ci
L’application de l’article 20 de l’annexe II ter, concernant le moment de l’introduction des ordres de paiement instantané, des réponses positives à une demande de rappel et des ordres de transfert de liquidité DCA TIPS à compte technique SE TIPS et des ordres de transfert de liquidité de compte technique SE TIPS à DCA TIPS dans le système composant de TARGET2 concerné, n’a aucun effet sur les règles des systèmes exogènes qui prévoient un moment d’introduction dans le système exogène et/ou d’irrévocabilité des ordres de transfert présentés à ce système à un moment antérieur au moment de l’introduction de l’ordre de paiement considéré dans le système composant de TARGET2 concerné.
3. Comptes utilisés pour soutenir le règlement des paiements instantanés dans les livres des systèmes exogènes
1) |
Un compte technique SE TIPS est ouvert pour soutenir le règlement des paiements instantanés liés à des systèmes exogènes dans TIPS. |
2) |
Un compte technique SE TIPS est identifié par un numéro de compte unique à 34 caractères maximum, dont la structure est celle indiquée dans le tableau suivant:
|
3) |
Les comptes techniques SE TIPS peuvent seulement présenter un solde nul ou positif au cours de la journée et garder un solde positif au jour le jour. Le solde du compte au jour le jour est soumis aux mêmes règles de rémunération que celles qui s’appliquent aux fonds de garantie conformément à l’article 11 de la présente orientation. |
4. Procédure de règlement
1) |
Le système exogène utilise un compte technique SE TIPS pour collecter les liquidités nécessaires réservées par ses membres compensateurs pour financer leurs positions. |
2) |
Sur demande, le système exogène est informé du crédit et du débit de son compte technique SE TIPS. |
3) |
Un système exogène peut envoyer des ordres de paiement instantané et des réponses positives à une demande de rappel à tout titulaire d’un DCA TIPS ou système exogène TIPS. Un système exogène reçoit et traite les ordres de paiement instantané, les demandes de rappel et les réponses positives à une demande de rappel provenant de tout titulaire d’un DCA TIPS ou de tout système exogène TIPS. |
5. Interface utilisateur
1) |
Le titulaire d’un compte technique SE TIPS accède à la plate-forme TIPS en mode A2A et peut également se connecter en mode U2A soit directement, soit par l’intermédiaire d’une ou plusieurs parties traitant les ordres. |
2) |
L’accès à la plate-forme TIPS permet aux titulaires de comptes techniques SE TIPS:
|
6. Tarifs et facturation
1) |
Un système exogène dans TIPS est soumis aux deux redevances suivantes:
|
2) |
Le volume brut sous-jacent des paiements instantanés du système exogène est calculé chaque mois par la BCSE à partir du volume brut sous-jacent du mois précédent, arrondi à la baisse à la dizaine de milliers la plus proche, et déclaré par le système exogène au plus tard le troisième jour ouvré du mois suivant. Le volume brut calculé est appliqué pour le calcul de la redevance au cours du mois suivant. |
3) |
Chaque système exogène reçoit de sa BCSE une facture concernant le mois précédent, fondée sur les redevances visées au point 1) du présent paragraphe, au plus tard le neuvième jour ouvré du mois suivant. Les paiements sont effectués au plus tard le quatorzième jour ouvré du mois au cours duquel la facture est émise sur le compte indiqué par la BCSE ou sont débités d’un compte indiqué par le système exogène. |
4) |
Aux fins de la tarification et de la facturation conformément à la présente annexe:
|
5) |
Les redevances, aux fins de la facturation en vertu du présent article pour la période du 1er décembre 2021 au 28 février 2022, correspondent à la moyenne du total des redevances facturées pour les mois de septembre, octobre et novembre 2021. |
ANNEXE VI
L’appendice VIII suivant de l’annexe II de l’orientation BCE/2012/27 est ajouté:
«Appendice VIII
Exigences en matière de gestion de la sécurité de l’information et de gestion de la continuité des opérations
Gestion de la sécurité des informations
Ces exigences sont applicables à chaque participant, à moins qu’un participant démontre qu’une exigence particulière ne lui est pas applicable. En définissant le champ d’application de ces exigences au sein de son infrastructure, il convient que le participant identifie les éléments faisant partie de la chaîne d’opérations de paiement (Payment Transaction Chain — PTC). Plus précisément, la chaîne d’opérations de paiement commence à un point d’entrée (Point of Entry — PoE), c’est-à-dire un système participant à la création des opérations (par exemple une station de travail, une application de front-office ou de back-office, un intergiciel) et se termine au système chargé de l’envoi du message à SWIFT (par exemple le boîtier VPN SWIFT) ou à Internet (ce dernier s’appliquant en cas d’accès par l’internet).
Exigence 1.1: Politique de sécurité de l’information
La direction établit une orientation politique claire conforme aux objectifs opérationnels; elle apporte son concours à la sécurité de l’information et manifeste son engagement envers celle-ci à travers l’instauration, l’approbation et le maintien d’une politique de sécurité de l’information, destinée à gérer cette sécurité ainsi que la cyberrésilience au sein de l’organisation sur le plan de l’identification, de l’évaluation et du traitement des risques liés à la sécurité de l’information et à la cyberrésilience. Cette politique devrait comporter au moins les éléments suivants: objectifs, portée (comprenant des domaines tels que l’organisation, les ressources humaines, la gestion des actifs, etc.), principes et répartition des responsabilités.
Exigence 1.2: Organisation interne
Un cadre pour la sécurité de l’information est mis en place afin de mettre en œuvre la politique de sécurité de l’information au sein de l’organisation. La direction coordonne et vérifie la mise en place de ce cadre afin de garantir la mise en œuvre de la politique de sécurité de l’information (conformément à l’exigence 1.1) dans toute l’organisation, y compris l’attribution de ressources suffisantes et la désignation des personnes responsables en matière de sécurité à cette fin.
Exigence 1.3: Parties externes
Le recours à une ou plusieurs parties externes ou aux produits/services qu’elles proposent, ou la dépendance à l’égard de celles-ci ou de leurs produits/services, ne devrait pas compromettre la sécurité de l’information de l’organisation et de ses installations de traitement des informations. Tout accès, par des parties externes, aux installations de traitement des informations de l’organisation doit être contrôlé. Lorsque des parties externes ou des produits/services de parties externes doivent accéder aux installations de traitement des informations de l’organisation, il est procédé à une évaluation des risques afin de déterminer les implications en matière de sécurité et les exigences de contrôle. Les contrôles sont convenus et définis dans un accord passé avec chaque partie externe concernée.
Exigence 1.4: Gestion des actifs
Tous les actifs informationnels, les processus opérationnels et les systèmes d’information sous-jacents de la chaîne d’opérations de paiement, tels que les systèmes d’exploitation, les infrastructures, les applications opérationnelles, les produits standards, les services et les applications développées à l’intention des utilisateurs, sont comptabilisés et ont un propriétaire désigné. Les personnes responsables de la maintenance et de l’exécution des contrôles appropriés dans les processus opérationnels, d’une part, et des composants informatiques associés destinés à protéger les actifs informationnels, d’autre part, sont désignées. Note: Le propriétaire peut, s’il y a lieu, déléguer la mise en œuvre de certains contrôles, mais demeure responsable de la protection adéquate des actifs.
Exigence 1.5: Classement des actifs informationnels
Les actifs informationnels sont classés selon leur niveau de criticité pour la bonne réalisation de la prestation du service par le participant. Le classement indique le besoin, la priorité et le degré de protection requis lors du traitement de l’actif informationnel dans les processus opérationnels concernés, et tient également compte des composants informatiques sous-jacents. Un dispositif de classement des actifs informationnels, approuvé par la direction, est utilisé afin de définir un ensemble approprié de contrôles de la protection tout au long du cycle de vie des actifs informationnels (y compris la suppression et la destruction de ces éléments) et de signaler la nécessité de mesures de traitement particulières.
Exigence 1.6: Sécurité liée aux ressources humaines
Les responsabilités en matière de sécurité sont abordées, préalablement au recrutement, dans une description appropriée du poste ainsi que dans les conditions d’emploi. Tous les candidats à l’emploi, les cocontractants et les utilisateurs tiers font l’objet d’un contrôle adéquat, particulièrement en ce qui concerne les postes sensibles. Les employés, les cocontractants et les utilisateurs tiers d’installations de traitement des informations signent un accord sur leurs rôles et responsabilités en matière de sécurité. Il est veillé à ce que tous les employés, les cocontractants et les utilisateurs tiers acquièrent un niveau de sensibilisation adéquat; des enseignements et formations sur les procédures de sécurité et l’utilisation correcte des installations de traitement des informations leur sont dispensés afin de minimiser les risques potentiels liés à la sécurité. Il est mis en place une procédure disciplinaire formelle pour les employés en cas de manquements à la sécurité. Les responsabilités sont attribuées de manière à assurer la gestion du départ ou du changement d’affectation, au sein de l’organisation, d’un employé, d’un cocontractant ou d’un utilisateur tiers ainsi que la restitution de l’ensemble de l’équipement et la suppression de tous les droits d’accès.
Exigence 1.7: Sécurité physique et environnementale
Les installations de traitement des informations critiques ou sensibles sont hébergées en lieu sûr et protégées par un périmètre de sécurité défini, des barrières de sécurité appropriées et des contrôles d’accès. Ces installations sont physiquement protégées de tout accès non autorisé, de tout dommage et de toute perturbation. Leur accès n’est accordé qu’aux personnes physiques relevant de l’exigence 1.6. Des procédures et des normes sont mises en place afin de protéger, lors d’un transport, les supports physiques contenant des actifs informationnels.
L’équipement est protégé des menaces physiques et environnementales. La protection de l’équipement (y compris de l’équipement utilisé hors site) et la protection contre le vol de biens sont nécessaires afin de réduire le risque d’accès non autorisé aux informations et de préserver les informations ou l’équipement de toute perte ou dommage. Des mesures spéciales peuvent être nécessaires pour préserver les installations auxiliaires, telles que l’alimentation électrique et l’infrastructure de câblage, et les protéger des menaces physiques.
Exigence 1.8: Gestion de l’exploitation
Des responsabilités et des procédures sont définies pour la gestion et le fonctionnement des installations de traitement des informations couvrant de bout en bout tous les systèmes sous-jacents de la chaîne d’opérations de paiement.
En ce qui concerne les modalités de fonctionnement, y compris l’administration technique des systèmes informatiques, une séparation des tâches est mise en œuvre, lorsque cela est nécessaire, afin de réduire le risque d’utilisation abusive des systèmes, que ce soit par négligence ou de façon délibérée. Lorsque la séparation des tâches ne peut être mise en œuvre pour des raisons objectives et dûment étayées, des contrôles compensatoires sont mis en œuvre à la suite d’une analyse formelle des risques. Des contrôles sont mis en place afin de détecter et d’empêcher l’introduction de codes malveillants dans les systèmes de la chaîne d’opérations de paiement. Des contrôles sont également mis en place (y compris relatifs à la sensibilisation des utilisateurs) pour détecter, empêcher et supprimer les codes malveillants. Les codes mobiles ne sont utilisés que depuis des sources sûres (par exemple, des composants COM signés de Microsoft ou des applets Java). La configuration du navigateur (par exemple l’utilisation d’extensions et de modules d’extension) est strictement contrôlée.
La direction met en œuvre des politiques de sauvegarde et de récupération des données; ces politiques de récupération comprennent un plan du processus de récupération, qui fait l’objet de tests à intervalles réguliers, au moins une fois par an.
Les systèmes critiques pour la sécurité des paiements sont surveillés et les évènements concernant la sécurité de l’information sont enregistrés. Des journaux d’opérateur sont utilisés afin de garantir l’identification de problèmes relatifs au système d’information. Ces journaux sont régulièrement examinés sur la base d’échantillons, en se fondant sur la criticité des opérations. Un suivi du système est effectué afin de s’assurer du caractère effectif des contrôles repérés comme étant critiques pour la sécurité des paiements et de vérifier la conformité à un modèle de politique d’accès.
Les échanges d’informations entre les organisations s’appuient sur une politique d’échange formalisée, menée conformément aux accords d’échange existant entre les parties concernées, et respectent la législation en la matière. Les composants de logiciels de tiers utilisés pour échanger des informations avec TARGET2 (tels que des logiciels fournis par un “service bureau” mentionné au scénario 2 de la section relative au champ d’application dans le document portant sur le mécanisme d’autocertification TARGET2) font l’objet d’un accord formel passé avec le tiers.
Exigence 1.9: Contrôle d’accès
L’accès aux actifs informationnels est justifié par les exigences opérationnelles [besoin de connaître (1)] et se fait conformément au dispositif de politiques d’entreprise mis en place (y compris la politique de sécurité de l’information). Des règles claires en matière de contrôle d’accès sont définies sur la base du principe du droit d’accès minimal (2), afin de refléter étroitement les besoins des processus opérationnels et informatiques correspondants. Le cas échéant (par exemple pour la gestion des sauvegardes), il convient que le contrôle d’accès logique soit compatible avec le contrôle d’accès physique, à moins que des contrôles compensatoires adéquats ne soient en place (par exemple chiffrement, anonymisation des données à caractère personnel).
Des procédures formalisées et documentées sont mises en place afin de contrôler l’attribution des droits d’accès aux systèmes et services d’information qui relèvent de la chaîne d’opérations de paiement. Ces procédures concernent toutes les étapes du cycle de vie de l’accès utilisateur, de l’inscription initiale de nouveaux utilisateurs à la désinscription finale des utilisateurs qui n’ont plus besoin d’accès.
Une attention particulière est accordée, le cas échéant, à l’attribution des droits d’accès dont la criticité est telle qu’une utilisation abusive de ces droits d’accès pourrait avoir de graves répercussions sur les opérations du participant (par exemple les droits d’accès permettant l’administration du système, la neutralisation des systèmes de contrôle, l’accès direct aux données des opérations).
Des contrôles appropriés sont mis en place pour identifier, authentifier et autoriser les utilisateurs à des points précis dans le réseau de l’organisation, par exemple pour l’accès sur place et à distance aux systèmes de la chaîne d’opérations de paiement. Afin de garantir la responsabilisation, les comptes personnels ne sont pas partagés.
En ce qui concerne les mots de passe, des règles sont mises en place et exécutées au moyen de contrôles spécifiques visant à s’assurer qu’ils ne peuvent être devinés aisément, par exemple des règles en matière de complexité et une validité limitée dans le temps. Un protocole sécurisé de récupération et/ou de réinitialisation du mot de passe est mis en place.
Une politique est élaborée et mise en œuvre, concernant l’utilisation de contrôles cryptographiques, afin de protéger la confidentialité, l’authenticité et l’intégrité des informations. Une politique de gestion des clés est élaborée pour favoriser l’utilisation de contrôles cryptographiques.
Une politique est mise en place en matière de visualisation des informations confidentielles à l’écran ou sur papier (par exemple la politique de l’écran vide et du bureau propre), afin de réduire les risques d’accès non autorisé.
En cas de travail à distance, les risques liés au travail dans un environnement non protégé sont pris en compte et des contrôles techniques et organisationnels appropriés sont mis en œuvre.
Exigence 1.10: Acquisition, développement et maintenance des systèmes d’information
Les exigences de sécurité sont identifiées et convenues préalablement au développement et/ou à la mise en œuvre des systèmes d’information.
Des contrôles appropriés sont intégrés dans les applications, y compris les applications développées à l’intention des utilisateurs, afin de garantir un traitement adéquat. Ces contrôles comprennent la validation des données d’entrée, du traitement interne et des données de sortie. Des contrôles supplémentaires peuvent être requis pour des systèmes traitant ou ayant une incidence sur des informations sensibles, précieuses ou critiques. De tels contrôles sont définis compte tenu des exigences de sécurité et de l’évaluation des risques conformément aux politiques adoptées (par exemple, la politique de sécurité de l’information, la politique de contrôle cryptographique).
Les exigences opérationnelles des nouveaux systèmes sont déterminées, documentées et testées préalablement à leur acceptation et leur utilisation. En ce qui concerne la sécurité du réseau, il convient de mettre en œuvre des contrôles appropriés, y compris en matière de segmentation et de gestion sécurisée, en fonction de la criticité des flux de données et du niveau de risque des zones réseau dans l’organisation. Des contrôles spécifiques sont mis en place pour protéger les informations sensibles transitant sur des réseaux publics.
L’accès aux fichiers système et au code source du programme fait l’objet de contrôles, et les projets informatiques ainsi que les activités de support sont réalisés de manière sécurisée. Il est pris soin d’éviter la divulgation de données sensibles dans des environnements de test. Les environnements de projet et de support sont contrôlés de manière stricte. La mise en œuvre de modifications en environnement de production fait également l’objet d’un contrôle strict. Une évaluation des risques est effectuée en cas de modifications majeures à mettre en œuvre en environnement de production.
Les systèmes en environnement de production font également l’objet de tests réguliers de sécurité conformément à un plan prédéfini, en se fondant sur le résultat d’une évaluation des risques, et les tests de sécurité comprennent au moins des évaluations de la vulnérabilité. Toutes les insuffisances mises en lumière lors des tests de sécurité sont évaluées, et des plans d’action sont élaborés en vue de combler les lacunes identifiées et font l’objet d’un suivi en temps utile.
Exigence 1.11: Sécurité de l’information dans les relations avec les fournisseurs (3)
Afin de garantir la protection des systèmes d’information internes des participants accessibles aux fournisseurs, il convient de documenter les exigences de sécurité de l’information visant à atténuer les risques liés à l’accès accordé au fournisseur, ces exigences faisant l’objet d’un accord formel avec le fournisseur.
Exigence 1.12: Gestion des incidents liés à la sécurité de l’information et améliorations à cet égard
Afin de garantir une approche cohérente et efficace en matière de gestion des incidents liés à la sécurité de l’information, y compris en matière de communication relative aux évènements et failles de sécurité, sont mises en place et testées, aux niveaux opérationnel et technique, les fonctions, responsabilités et procédures permettant de remédier rapidement, efficacement, méthodiquement et de manière sécurisée aux incidents liés à la sécurité de l’information, y compris aux scénarios relatifs à des incidents de cybersécurité (par exemple, une fraude commise par un agresseur externe ou par un initié). Le personnel impliqué dans ces procédures est formé de manière adéquate.
Exigence 1.13: Évaluation de la conformité technique
Les systèmes d’information internes d’un participant (par exemple les systèmes de back-office, les réseaux internes et la connectivité du réseau externe) font l’objet d’évaluations régulières pour s’assurer de leur conformité avec le cadre des politiques instaurées par l’organisation (par exemple la politique de sécurité de l’information et la politique de contrôle cryptographique).
Exigence 1.14: Virtualisation
Les machines virtuelles invitées respectent l’ensemble des contrôles de sécurité mis en place pour le matériel et les systèmes physiques (par exemple le durcissement et la journalisation). Les contrôles ayant trait aux hyperviseurs doivent comprendre: le durcissement de l’hyperviseur et du système d’exploitation hôte, l’application régulière de correctifs et une stricte séparation des différents environnements (par exemple de la production et du développement). La gestion centralisée, la journalisation et le suivi ainsi que la gestion des droits d’accès, en particulier pour les comptes privilégiés, sont mis en œuvre sur la base d’une évaluation des risques. Les machines virtuelles invitées administrées par le même hyperviseur ont un profil de risque similaire.
Exigence 1.15: Solutions d’informatique en nuage (cloud computing)
L’utilisation de solutions d’informatique en nuage publiques et/ou hybrides dans la chaîne d’opérations de paiement doit être fondée sur une évaluation formelle des risques, en tenant compte des contrôles techniques et des clauses contractuelles relatives à la solution d’informatique en nuage.
En cas d’utilisation de solutions d’informatique en nuage hybrides, il est entendu que le niveau de criticité de l’ensemble du système correspond à celui du système connecté ayant le niveau de criticité le plus élevé. Tous les composants sur site des solutions hybrides doivent être séparés des autres systèmes sur site.
Gestion de la continuité des opérations (seulement applicable aux participants critiques)
Les exigences suivantes (2.1 à 2.6) concernent la gestion de la continuité des opérations. Chaque participant à TARGET2 considéré par l’Eurosystème comme étant critique pour le bon fonctionnement du système de TARGET2 met en place une stratégie de continuité des opérations comprenant les éléments suivants.
Exigence 2.1 |
: |
Des plans de continuité des opérations sont élaborés et des procédures destinées à la mise à jour de ces plans sont mises en place. |
Exigence 2.2 |
: |
Un site opérationnel de substitution est disponible. |
Exigence 2.3 |
: |
Le profil de risque du site de substitution est différent de celui du site principal afin d’éviter que les deux sites ne soient touchés par le même évènement au même moment. Par exemple, le site de substitution est alimenté par un réseau électrique et un circuit central de télécommunication différents de ceux du site principal. |
Exigence 2.4 |
: |
Si une perturbation majeure des opérations rend inaccessible le site principal et/ou rend indisponibles des membres du personnel occupant des fonctions critiques, le participant critique est en mesure de reprendre une activité normale depuis le site de substitution, où il est possible de procéder à la clôture du jour ouvré et à l’ouverture du ou des jours ouvrés suivants. |
Exigence 2.5 |
: |
Des procédures sont mises en place pour garantir que le traitement des opérations reprend depuis le site de substitution dans un délai raisonnable après le dysfonctionnement initial du service, et proportionné à la criticité des opérations qui ont été perturbées. |
Exigence 2.6 |
: |
La capacité de faire face aux perturbations opérationnelles fait l’objet de tests au moins une fois par an et les membres du personnel exerçant des fonctions critiques sont formés de façon appropriée. La période maximale s’écoulant entre les tests n’excède pas un an. |
(1) Le principe du besoin de connaître fait référence à l’identification de l’ensemble des informations auxquelles une personne a besoin d’avoir accès afin d’exercer ses fonctions.
(2) Le principe du droit d’accès minimal (appelé aussi principe du moindre privilège) fait référence au fait d’adapter le profil d’accès d’un sujet à un système informatique afin de le faire correspondre à sa fonction dans l’organisation.
(3) Dans le contexte de cet exercice, un fournisseur s’entend comme tout tiers (et son personnel) qui a conclu un contrat (accord) avec l’institution en vue de fournir un service et qui, en application du contrat de service, se voit accorder l’accès, soit à distance, soit sur place, à des informations et/ou à des systèmes d’information et/ou à des installations de traitement des informations de l’institution se trouvant dans le champ d’application, ou en lien avec le champ d’application, de l’exercice d’auto-certification de TARGET2.