Les dispositions du titre VI de l'arrêté du 3 novembre 2014 relatif au contrôle interne des entreprises du secteur de la banque, des services de paiement et des services d'investissement soumises au contrôle de l'Autorité de contrôle prudentiel et de résolution sont ainsi modifiées :
1° Le titre du titre VI est remplacé par un titre ainsi rédigé : « Système de documentation et d'information à l'attention des dirigeants effectifs, de l'organe de surveillance et de l'Autorité de contrôle prudentiel et de résolution. » ;
2° Après l'article 241, deux articles ainsi rédigés sont insérés :
« Art. 241-1.-Pour l'application de l'article L. 511-89 du code monétaire et financier, les entreprises assujetties dont le total de bilan social ou consolidé est supérieur à 5 milliards d'euros constituent un comité des risques, un comité des nominations et un comité des rémunérations.
« Les entreprises assujetties autres que celles mentionnées aux articles L. 511-89 et L. 533-31 du code monétaire et financier, qui se dotent volontairement d'un comité spécialisé mentionné à l'article L. 511-89 du même code, respectent les dispositions relatives au comité spécialisé concerné.
« Art. 241-2.-Pour l'application des articles R. 511-26 et R. 533-22 du code monétaire et financier, les entreprises assujetties transmettent à l'Autorité de contrôle prudentiel et de résolution au moins une fois par an et au plus tard le 30 juin, les informations mentionnées aux articles L. 511-98 et L. 511-99 du code monétaire et financier.
« Tout changement relatif à l'objectif et à la politique des entreprises assujetties mentionnés au même article est communiqué dans les meilleurs délais à l'Autorité de contrôle prudentiel et de résolution. » ;
3° A l'article 243, le dernier alinéa est remplacé par un alinéa ainsi rédigé :
« A cette fin le comité des risques communique, se coordonne et collabore efficacement avec le comité spécialisé mentionné à l'article L. 823-19 du code de commerce, lorsque les établissements disposent de tels comités. » ;
4° L'article 246 est supprimé ;
5° Le d de l'article 255 est remplacé par un alinéa ainsi rédigé :
« d) Les procédures relatives à la sécurité, à la gestion des opérations et des changements des systèmes d'information ainsi qu'à la continuité d'activité ; » ;
6° A l'article 259 :
a) Au a, les mots : « en application de l'article 13 » sont remplacés par les mots : « en application du cinquième alinéa de l'article 12 » ;
b) Au b, les mots : « en application de l'article 17 » sont remplacés par les mots : « en application du dernier alinéa de l'article 12 » ;
7° A l'article 266, un alinéa ainsi rédigé est ajouté :
« 6° les écarts de rémunération entre les femmes et les hommes. » ;
8° Après l'article 270, il est inséré un titre VI bis ainsi rédigé :
« Titre VI bis
« Gestion du risque informatique
« Art. 270-1.-Les entreprises assujetties établissent leur stratégie en matière informatique afin de répondre aux objectifs de leur stratégie d'affaires.
« Les dirigeants effectifs et l'organe de surveillance s'assurent que les ressources allouées à la gestion des opérations informatiques, à la sécurité du système d'information ainsi qu'à la continuité d'activité sont suffisantes pour que l'entreprise assujettie remplisse ses missions.
« Art. 270-2.-Les entreprises assujetties organisent la gestion de leur risque informatique de façon à :
«-identifier le risque informatique auquel elles sont exposées pour l'ensemble de leurs actifs informatiques et de leurs données utilisés pour leurs différentes activités opérationnelles, de support ou de contrôle ;
«-évaluer ce risque, au regard de leur appétit pour le risque, en tenant compte des menaces et des vulnérabilités connues ;
«-adopter des mesures adéquates de réduction du risque informatique, y compris des contrôles ;
«-surveiller l'efficacité de ces mesures et informer les dirigeants effectifs et l'organe de surveillance de leur bonne exécution.
« Les entreprises assujetties s'assurent à cette fin que le contrôle interne de leur risque informatique est organisé conformément aux dispositions des articles 12 et 14 du présent arrêté.
« Art. 270-3.-Les entreprises assujetties établissent par écrit une politique de sécurité du système d'information qui détermine les principes mis en œuvre pour protéger la confidentialité, l'intégrité et la disponibilité de leurs informations et des données de leurs clients, de leurs actifs et services informatiques. Cette politique est fondée sur une analyse des risques et approuvée par les dirigeants effectifs et l'organe de surveillance.
« En application de leur politique de sécurité du système d'information, les entreprises assujetties formalisent et mettent en œuvre des mesures de sécurité physique et logique adaptées à la sensibilité des locaux, des actifs et services informatiques, ainsi que des données.
« Les entreprises assujetties mettent également en œuvre un programme de sensibilisation et de formations régulières, soit au moins une fois par an, à la sécurité du système d'information au bénéfice de tous les personnels et des prestataires externes, et en particulier de leurs dirigeants effectifs.
« Art. 270-4.-Les entreprises assujetties organisent leurs processus de gestion des opérations informatiques conformément à des procédures à jour et validées, dont l'objectif est de veiller à ce que les services informatiques répondent aux besoins de l'entreprise assujettie et de ses clients. Ces procédures couvrent notamment l'exploitation, la surveillance et le contrôle des systèmes et services informatiques. Elles sont complétées par un processus de détection et de gestion des incidents opérationnels ou de sécurité.
« Art. 270-5.-Les entreprises assujetties disposent d'un cadre de conduite clair et efficace de leurs projets et programmes informatiques. Il est accompagné d'un processus de gestion de l'acquisition, du développement et de l'entretien des systèmes d'information, ainsi que par un processus de gestion des changements informatiques garantissant que les modifications apportées aux systèmes informatiques sont enregistrées, testées, évaluées, approuvées et implémentées de façon contrôlée. »