IT

Les établissements de crédit doivent disposer de mécanismes de contrôle et de sécurité appropriés dans le domaine informatique, qui soient suffisamment robustes pour garantir la sécurité et l'authentification des moyens de transmission, pour minimiser dans toute la mesure du possible le risque de corruption des données et d'accès non autorisé, et pour prévenir les fuites d'informations en préservant à tout moment.la confidentialité des données.

Cela vaut non seulement pour des domaines tels que l'externalisation et la continuité des activités, qui sont abordés ailleurs dans ce manuel, mais également pour les services financiers via internet. À cet égard, la circulaire NBB_2009_17 donne une série de recommandations et d'explications quant aux principales dispositions du cadre réglementaire et prudentiel existant. Ces recommandations s'inspirent notamment de normes internationales en matière de gestion des risques qui peuvent utilement servir de référentiel pour la pratique belge. Les orientations de l'ABE du 19 décembre 2014 sur la sécurité des paiements sur internet, transposées par la voie de la circulaire NBB_2016_29, peuvent également apporter des éclaircissements utiles en la matière.

L'on se référera en outre au document intitulé Saines pratiques pour la gestion et la surveillance du risque opérationnel, publié par le Comité de Bâle sur le contrôle bancaire à la fin de 2011. La BNB tient compte, dans l'exercice de son contrôle, des lignes directrices énoncées dans ce document de référence ; voir à ce propos la communication NBB_2011_05.

En janvier 2013, le Comité de Bâle a par ailleurs publié le document intitulé Principes aux fins de l’agrégation des données sur les risques et de la notification des risques, La mise en œuvre de ces principes devrait renforcer la gestion des risques et les processus décisionnels au sein des établissements de crédit.

Dans le domaine des services de paiement, les circulaires NBB_2018_13 et NBB_2018_14 clarifient le cadre applicable pour la détermination, la mise en œuvre et le suivi des mesures de sécurité à prendre par les établissements pour maîtriser les risques opérationnels et de sécurité dans le cadre de la fourniture de services de paiement et, le cas échéant, pour notifier les incidents majeurs en matière de sécurité.