L’article 21, §1, 7° de la loi bancaire prévoit que doivent être mis en place des mécanismes de contrôle et de sécurité dans le domaine informatique appropriés aux activités de l’établissement et suffisamment solides pour garantir la sécurité et l’authentification des moyens de transfert de l’information, réduire au minimum le risque de corruption des données et d’accès non autorisés et empêcher les fuites d’informations afin de maintenir en permanence la confidentialité des données.

Ainsi, l’organe légal d'administration veille à ce que Ie système de gouvernance des établissements, notamment Ie système de gestion des risques et de contrôle interne, gère de manière adéquate les risques liés aux technologies de l’information et de la communication (ICT) et à la sécurité de I'information.

L’organe légal d’administration veille à ce que les établissements disposent d'un nombre d'employés suffisant, aux compétences adéquates, pour répondre à leurs besoins en termes opérationnels, de gestion des risques, et de mise en oeuvre de la strategie en matière ICT. Par ailleurs, Ie personnel reçoit regulièrement une formation adéquate sur la sécurité de I'information et les risques associés.

L’organe légal d’administration assume la responsabilité globale de définir et d'approuver la stratégie écrite en matière ICT en tant qu’élément de la stratégie générale de I'établissement, ainsi que de superviser sa communication interne et sa mise en oeuvre. Cela inclut la détermination de la tolérance aux risques ICT, conformément à la stratégie de I'établissement en matière de risques, ainsi que la rédaction d'un rapport écrit regulier consacré au resultat du processus de gestion des risques ICT.

Il est utile que les établissements élaborent une politique écrite en matière de securité de I'information approuvée par I'organe légal d’administration, qui doit définir les principes et règles de haut niveau visant à protéger la confidentialité, I'integrité et la disponibilité des informations des établissement afin de soutenir la mise en oeuvre de la strategic en matière ICT. La politique inclut notamment une description des principaux rôles et responsabilités en matière de gestion de la securité de I'information.  Sur la base de cette politique, les établissements définissent et mettent en oeuvre des procédures et des mesures de sécurité de I'information plus spécifiques, visant notamment, à maîtriser les risques ICT et de la sécurité auxquels ils sont exposés.

Les établissement instaurent, dans Ie cadre de leur système de gouvernance et conformément au principe de proportionnalité, une fonction de sécurité de I'information dont les objectifs sont notamment : (i) piloter la vision et la stratégie de l’établissement en matière de sécurité de l’information, en tenant compte de toutes les informations pertinentes ; (ii) veiller à ce que les objectifs et les mesures de sécurité de l'information définis dans cette stratégie soient traduits en un cadre politique global de sécurité de l'information ; (iii) communiquer correctement ce cadre de politique de sécurité de l'information à toutes les parties prenantes, tant en interne que, le cas échéant, à en externe ; (iv) examiner, contrôler et assurer le respect du cadre stratégique en matière de sécurité de l'information et l'adapter si nécessaire ; et (v) établir des processus de gestion et de notification des risques liés à la sécurité, intégrés dans le cadre général de gestion des risques de l’établissement.

La responsabilité de la fonction de sécurité de l’information peut être confiée à ce que l’on appelle commmunémen le Chief Information Security Officer (ou CISO). Celui-ci doit posséder une solide connaissance des solutions de sécurité logique et physique, une compréhension approfondie du modèle d'entreprise et de la structure organisationnelle de l’établissement, ainsi que d'excellentes compétences en matière de leadership et de communication.

La fonction de sécurité de l’information doit être une fonction supérieure au sein de l’établissement (niveau « N-1 ») qui est en mesure de rendre compte directement à l’organe légal d’administration et au comité de direction.  Les établissements garantissent I'indépendance et I’objectivité de la fonction de sécurité de I'information en la séparant judicieusement des processus liés au developpement et aux opérations ICT. Pour éviter tout conflit d'intérêt potentiel, il est recommandé que les établissements prennent les mesures suivantes : décrire la fonction et les tâches du CISO et de la fonction de sécurité de l’information dans son ensemble ; déterminer les ressources nécessaires à la fonction de sécurité de l’information ; désigner un budget pour les sessions de formation à la sécurité de l'information au sein de l’établissement et pour la formation du CISO et de son personnel ; veiller à ce que la fonction de CISO soit indépendante des services responsables de l'exploitation et du développement des systèmes ICT et veiller à ce que le CISO ne soit pas impliqué dans des activités d'audit interne.

Pour plus d’informations, il est renvoyé aux circulaires de la BNB thématiques pertinentes et au document intitulé Saines pratiques pour la gestion et la surveillance du risque opérationnel, publié par le Comité de Bâle sur le contrôle bancaire le 30 juin 2011. La BNB tient compte, dans l'exercice de son contrôle, des lignes directrices énoncées dans ce document de référence ; voir à ce propos la communication NBB_2011_05.

S’agissant du recours à l’externalisation, il est renvoyé à la circulaire NBB_2019_19 qui s’applique à tous les cas de sous-traitance, y compris les cas de sous-traitance à des prestataires de services en nuage (cloud outsourcing).  

Concernant les services financiers via internet, la circulaire NBB_2009_17 donne une série de recommandations et d'explications quant aux principales dispositions du cadre réglementaire et prudentiel existant. Ces recommandations s'inspirent notamment de normes internationales en matière de gestion des risques qui peuvent utilement servir de référentiel pour la pratique belge. Les orientations de l'EBA du 19 décembre 2014 sur la sécurité des paiements sur internet, transposées par la voie de la circulaire NBB_2016_29, peuvent également apporter des éclaircissements utiles en la matière.

Dans le domaine des services de paiement, les circulaires NBB_2020_23 et NBB_2021_21 clarifient le cadre applicable pour la détermination, la mise en œuvre et le suivi des mesures de sécurité à prendre par les établissements pour maîtriser les risques opérationnels et de sécurité dans le cadre de la fourniture de services de paiement et, le cas échéant, pour notifier les incidents majeurs en matière de sécurité.