Après l'article 157, est ajoutée une section 3 ainsi rédigée :
« Section 3
« Résilience opérationnelle numérique
« Art. 157-1.-I.-Les dispositions de la présente section sont applicables aux activités bancaires et financières de la Caisse des dépôts et consignations mentionnées à l'article L. 518-15-2 du code monétaire et financier.
« II.-Sont rendues applicables à la Caisse des dépôts et consignations les dispositions applicables aux entités financières prévues aux articles suivants du règlement (UE) n° 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011 sur la résilience opérationnelle numérique du secteur financier :
« 1° Les articles 1,3 et 4 du chapitre I er “ Dispositions générales ” ;
« 2° Les articles 6 à 14 du chapitre II “ Gestion du risque lié aux TIC ” ;
« 3° Les articles 17, les paragraphes 1 et 2 de l'article 18 et 23, ainsi que les paragraphes 1 à 5 de l'article 19, du chapitre III “ Gestion, classification et notification des incidents liés aux TIC ” ;
« 4° Les articles 24 à 27 du chapitre IV “ Tests de résilience opérationnelle numérique ” ;
« 5° Les paragraphes 1 à 8 de l'article 28, les articles 29 et 30 du chapitre V “ Gestion des risques liés aux prestataires tiers de services TIC ” ;
« III.-Pour l'application des dispositions de la présente section, le ministre chargé de l'économie détermine par arrêté la liste des prestataires qui ne sont pas considérés comme des prestataires tiers de services TIC au sens de la présente section.
« IV.-Pour l'application du e du paragraphe 3 de l'article 17 du règlement (UE) n° 2022/2554 mentionné ci-dessus, l'organe de direction est le directeur général et, dans la mesure où celle-ci l'a prévu en application de l'article 161 du présent décret, la commission de surveillance.
« Art. 157-2.-I.-La Caisse des dépôts et consignations dispose d'un cadre de gouvernance et de contrôle interne qui garantit une gestion efficace et prudente du risque lié aux technologies de l'information et de la communication, conformément au paragraphe 4 de l'article 6 du règlement (UE) n° 2022/2554 mentionné ci-dessus, en vue d'atteindre un niveau élevé de résilience opérationnelle numérique.
« II.-Aux fins du I, la commission de surveillance :
« 1° Approuve et surveille le respect du cadre de gestion du risque lié aux technologies de l'information et de la communication visé au paragraphe 1 de l'article 6 du règlement (UE) n° 2022/2554 mentionné ci-dessus ;
« 2° Approuve la stratégie de résilience opérationnelle numérique visée au paragraphe 8 de l'article 6 du règlement (UE) n° 2022/2554 mentionné ci-dessus ;
« 3° Approuve la politique concernant les modalités d'utilisation des services TIC qui soutiennent des fonctions critiques ou importantes fournis par des prestataires tiers de services TIC.
« III.-Aux fins du I, le directeur général :
« 1° Définit et est responsable de la mise en œuvre des dispositions relatives au cadre de gestion du risque lié aux technologies de l'information et de la communication visé au paragraphe 1 de l'article 6 du règlement (UE) n° 2022/2554 mentionné ci-dessus. A ce titre, il :
« a) Assume la pleine responsabilité de la gestion du risque lié aux technologies de l'information et de la communication de la Caisse des dépôts et consignations ;
« b) Met en place des stratégies visant à garantir le maintien de normes élevées en matière de disponibilité, d'authenticité, d'intégrité et de confidentialité des données ;
« c) Définit clairement les rôles et les responsabilités pour toutes les fonctions liées aux technologies de l'information et de la communication et met en place des dispositifs de gouvernance appropriés pour assurer une communication, une coopération et une coordination efficaces et en temps utile entre ces fonctions ;
« 2° Définit la stratégie de résilience opérationnelle numérique mentionnée au paragraphe 8 de l'article 6 du règlement (UE) n° 2022/2554 mentionné ci-dessus ;
« 3° Définit et examine périodiquement la mise en œuvre de la politique de continuité des activités de technologies de l'information et de la communication de la Caisse des dépôts et consignations et des plans de réponse et de rétablissement des technologies de l'information et de la communication mentionnés, respectivement, aux paragraphes 1 et 3 de l'article 11 du règlement (UE) n° 2022/2554 mentionné ci-dessus, qui peuvent être adoptés en tant que politique spécifique faisant partie intégrante de la politique globale de continuité des activités et du plan de réponse et de rétablissement ;
« 4° Approuve et examine périodiquement les plans internes d'audit des technologies de l'information et de la communication et les audits de ces technologies de la Caisse des dépôts et consignations ainsi que les modifications significatives qui y sont apportées ;
« 5° Définit et examine périodiquement la politique concernant les modalités d'utilisation des services TIC fournis par des prestataires tiers de services TIC ;
« 6° Met en place, au niveau de l'établissement public, des canaux de notification lui permettant d'être dûment informé :
« a) Des accords conclus avec des prestataires tiers de services TIC sur l'utilisation des services TIC ;
« b) De tout changement significatif pertinent prévu concernant les prestataires tiers de services TIC ;
« c) Des incidences potentielles de ces changements sur les fonctions critiques ou importantes faisant l'objet des accords mentionnés au a, notamment un résumé de l'analyse des risques visant à évaluer les incidences de ces changements, et au minimum des incidents majeurs liés aux technologies de l'information et de la communication et de leur incidence, ainsi que des mesures de réponse, de rétablissement et de correction.
« IV.-La Caisse des dépôts et consignations institue un suivi des accords conclus avec des prestataires tiers de services TIC sur l'utilisation des services TIC. Son directeur général est chargé de superviser l'exposition aux risques connexe et la documentation pertinente.
« V.-Le directeur général et les membres de la commission de surveillance maintiennent activement à jour des connaissances et des compétences suffisantes pour comprendre et évaluer le risque lié aux technologies de l'information et de la communication et son incidence sur les opérations de la Caisse des dépôts et consignations, notamment en suivant régulièrement une formation spécifique, proportionnée au risque lié aux technologies de l'information et de la communication dont ils assurent la gestion. »