Après avoir recueilli et analysé les informations pertinentes, les entités financières déclarent à la FSMA les incidents majeurs liés aux TIC. Ces informations permettent à la FSMA de déterminer l’importance de l’incident et ses éventuelles incidences transfrontalières et de communiquer ces informations aux autres autorités de contrôle et instances concernées.
Des normes techniques de règlementation
Des normes techniques de règlementation détaillent davantage les exigences en matière de déclaration des incidents majeurs liés aux TIC et des cybermenaces importantes.
La déclaration des incidents majeurs liés aux TIC comprend les parties suivantes :
- notification initiale ;
- rapport intermédiaire ;
- rapport final.
Les entités financières envoient un rapport intermédiaire lorsque que la situation ou le traitement de l’incident a sensiblement changé, ou à la demande de la FSMA.
Le rapport final contient l’analyse des causes de l’incident ainsi que les données chiffrées relatives aux incidences réelles.
Lorsqu’un incident majeur lié aux TIC a une incidence sur les intérêts financiers des clients, les entités financières informent leurs clients de cet incident et des mesures prises pour en atténuer les effets préjudiciables.
Les entités financières peuvent notifier à la FSMA les cybermenaces importantes. La FSMA peut le cas échéant communiquer ces informations aux autres autorités de contrôle et instances concernées.
En cas de cybermenace importante, les entités financières informent leurs clients susceptibles d’être affectés des mesures de protection que ceux-ci pourraient envisager de prendre.
Les entités financières peuvent externaliser les obligations en matière de déclaration mais conservent l’entière responsabilité du respect des exigences de DORA.