Le Règlement européen sur la résilience opérationnelle numérique du secteur financier, dit « DORA » (Digital operational resilience act) s’inscrit dans la stratégie européenne visant à développer une approche harmonisée de la finance numérique au sein de l’Union européenne (UE). Il fait partie du paquet législatif (Digital Financial Package, DFP) qui comprend aussi le règlement européen sur les marchés de crypto-actifs (MiCA) et le régime pilote pour les infrastructures de marché reposant sur la technologie des registres distribués (DLT).
Les objectifs de DORA et son calendrier
Il vise à « atteindre un niveau commun élevé de résilience opérationnelle numérique ». A cette fin, il fixe des exigences uniformes pour la sécurité des réseaux et des systèmes d’information des entreprises et des organisations opérant dans le secteur financier. L’objectif étant de rendre le secteur financier, au niveau de l’UE, plus résilient, afin de garantir sa sûreté technologique et son bon fonctionnement, ainsi que son rétablissement rapide après des atteintes à la sécurité des technologies de l’information et de la communication (TIC) et des incidents liés aux TIC.
Le règlement DORA a été adopté le même jour, le 14/12/2022, que la directive NIS 2, qui renforce les exigences en matière de cybersécurité au sein de l’UE, pour les entités qualifiées d’essentielles ou importantes, notamment les banques et les infrastructures des marchés financiers.
Il a été adopté également en même temps qu’une directive sur le même thème, qui vise à modifier certaines directives du secteur financier, telles que Solvabilité 2, DSP2 (sur les services de paiement), IORP2 (sur les activités et la surveillance des institutions de retraite professionnelle), MiFID2 (sur les marchés d’instruments financiers) et AIFM (sur les gestionnaires de fonds d’investissement alternatif), afin de les mettre en cohérence avec les nouvelles dispositions du règlement DORA.
L’article 64 du règlement DORA « entre[ra] en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne et s’applique[ra] à partir du 17 janvier 2025. ». Toutefois, de nombreuses dispositions de ce texte devront donner lieu à la prise de textes spécifiques y compris par les autorités bancaires européennes. Ce calendrier de mise en œuvre est très ambitieux. Les acteurs concernés devront donc mettre en place une gouvernance dédiée afin d’adopter leurs process au fur et à mesure de l’adoption des différents textes.
Quel est le champ d’application du Règlement DORA ?
L’une des caractéristiques de ce texte est son périmètre très large.
- Entités financières
Ce texte recouvre 21 catégories d’entités du secteur financier,ce qui représenterait plus de 22 000 entités au sein de l’UE (selon le rapport en 2020 du Comité européen du risque systémique, CERS), parmi lesquelles : établissements de crédit, établissements de paiement et de monnaie électronique, prestataires de services sur crypto-actifs, entreprises d’assurance, etc. (article 2)
- Fournisseurs de services TIC des entités financières
Le règlement DORA s’applique aussi aux prestataires de services de technologies de l’information et de la communication (TIC), tels que des plateformes de cloud ou des services d’analyse de données.
Etant précisé qu’un mécanisme de supervision des prestataires « critiques » de services TIC est mis en place au niveau de l’UE. Les prestataires « critiques » seront désignés par les autorités européennes de surveillance (AES) sur le fondement de plusieurs critères : dépendance des entités financières, degré de substituabilité, etc. (article 31).
Quelles obligations ?
Les nouvelles règles prévues par le Règlement DORA recouvrent 6 catégories :
- Une gouvernance renforcée, qui implique notamment une pleine responsabilité de l’organe de direction dans la gestion des risques liés aux TIC (article 5).
- Une gestion des risques liés aux TIC : mise en place d’un cadre de gestion des risques (cartographie des risques, mécanismes de détection rapide, procédures de réponse et de rétablissement, …), réexamen annuel du cadre de gestion des risques, réalisation d’audits internes réguliers, etc.
- La gestion, la classification (sur la base des critères définis par le règlement) et la notification des incidents : processus de gestion des incidents (indicateurs d’alerte précoce, remontée d’information, communication de crise, etc.), notification des incidents majeurs (notification initiale, rapport intermédiaire, rapport final) dans les délais à fixer par les autorités européennes de surveillance.
- La conduite de tests de la résilience opérationnelle numérique : mise en place d’un programme de tests (analyses de vulnérabilité, analyses de sources ouvertes, tests fondés sur des scénarios, tests de performance, tests de bout en bout, tests de pénétration, etc.), suivi et réexamen du programme.
- L’encadrement des prestataires de services de TIC : évaluation et gestion des risques en amont de la contractualisation selon les critères définis par le règlement (article 28, 1) ; clauses obligatoires (description des niveaux de services, etc.) ; suivi permanent de la performance et de la qualité du service, etc.
- Le partage d’informations en matière de cybersécurité entre les entités concernées, afin d’échanger des renseignements liés aux cybermenaces, tels que les indicateurs, tactiques, techniques et procédures, alertes de cybersécurité et outils de configuration (article 45). A noter que cette possibilité est aussi prévue par la directive NIS 2 (article 29).
Ainsi, indépendamment de la gouvernance des acteurs concernés par ce texte et de leur chaîne de valeur, la contractualisation devra également faire l’objet d’une mise en cohérence avec le Règlement et avec les exigences des autorités européennes sectorielles.
Quelles sanctions en cas de manquements ?
L’appréciation de la sanction est laissée aux Etats membres et à leurs autorités compétentes, qui peuvent « adopter tout type de mesure, y compris de nature pécuniaire, propre à garantir que les entités financières continueront à respecter leurs obligations légales ». (article 50.4 c)
Concernant les prestataires critiques de services TIC, l’autorité compétente pourra procéder à des contrôles sur pièces ou sur place et pourra également prononcer des sanctions en cas de non-conformité, notamment des pénalités financières et des astreintes journalières s’élevant à 1 % au maximum du chiffre d’affaires mondial du prestataire de services TIC concerné, et ce pendant une période totale de 6 mois maximum. (article 35)
Les modalités d’application du règlement DORA devraient être précisées dans les prochains mois.
Mathias Avocats vous accompagne dans le cadre de votre mise en conformité avec ces nouvelles réglementations.
Ensemble, développons vos projets et formons vos équipes ! Partageons nos expertises !