Les dispositions du titre Ier de l'arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution sont ainsi modifiées :
1° A l'article 3 :
a) Le a est remplacé par un alinéa ainsi rédigé :
« a) Une organisation claire des rôles et responsabilités conformément au titre II ; » ;
b) Le b est remplacé par un alinéa ainsi rédigé :
« b) Une organisation comptable conformément au titre III » ;
c) A la fin du c sont ajoutés les mots : « conformément au titre IV » ;
d) A la fin du d sont ajoutés les mots : « conformément au titre V » ;
e) A la fin du e sont ajoutés les mots : « à l'attention des dirigeants effectifs, de l'organe de surveillance et de l'Autorité de contrôle prudentiel et de résolution conformément au titre VI ; » ;
f) Le f est remplacé par un alinéa ainsi rédigé :
« f) Une organisation de la gestion du risque informatique conformément au titre VI bis. »
2° A l'article 10 :
a) Le ak est remplacé par un alinéa ainsi rédigé :
« ak) Incident opérationnel ou de sécurité : un évènement ou une série d'événements imprévus qui dégrade ou peut dégrader le bon fonctionnement ou la sécurité du système d'information. » ;
b) Après le ak, les alinéas suivants sont insérés :
« al) Appétit pour le risque : le niveau global et les types de risque qu'un établissement est prêt à accepter pour réaliser ses objectifs stratégiques qui peuvent être détaillés dans un plan d'activité, en adéquation avec son niveau de fonds propres, ses capacités de contrôle et de gestion des risques, et les contraintes prudentielles et réglementaires auxquelles il est soumis ;
« am) Etablissement important : un établissement de crédit reconnu comme important conformément à l'article 6 du Règlement (UE) n° 1024/2013 ;
« an) agrégation des données sur les risques : la définition, la collecte et le traitement des données sur les risques permettant aux établissements de mesurer leurs résultats au regard de leur appétit pour le risque.
« ao) Les normes de gestion sont les normes de gestion telles que mentionnées à l'article L. 611-1 du code monétaire et financier.
« ap) Actif informatique : matériel informatique et de télécommunication ou logiciel utilisé par une entreprise assujettie.
« aq) Système d'information : ensemble des actifs informatiques et des données, ainsi que des moyens humains permettant le traitement de l'information d'une entreprise assujettie.
« ar) Service informatique : service fourni au moyen d'actifs informatiques à des utilisateurs internes ou externes. Un service informatique comprend notamment la saisie, le traitement, l'échange, le stockage ou la destruction de données aux fins de réaliser, soutenir ou suivre des activités.
« as) Risque informatique : risque de perte résultant d'une inadéquation ou d'une défaillance affectant l'organisation, le fonctionnement, le changement ou la sécurité du système d'information. Le risque informatique est un risque opérationnel.
« at) Sécurité du système d'information : protection de la confidentialité, l'intégrité et la disponibilité des données et des actifs informatiques, notamment pour en garantir l'authenticité, l'imputabilité, la responsabilité et la fiabilité. »