DATE D’ENTREE EN VIGUEUR :
Le Règlement 2022/2554 en date du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (ci-après « le Règlement » ou « DORA ») s’appliquera à partir du 17 janvier 2025.
- I. DESCRIPTION :
Pour faire face aux risques de cyberattaques, le Règlement doit permettre au secteur financier européen de rester résilient en cas de perturbation opérationnelle grave. L’Union Européenne (ci-après « UE ») renforce la sécurité informatique des entités financières en fixant des exigences uniformes pour la sécurité des réseaux et des systèmes d'information des entreprises et des organisations actives dans le secteur financier. Ce renforcement vise également les tiers critiques qui fournissent des services liés aux technologies de l'information et de la communication (ci-après « TIC »), tels que des plateformes d'informatique en nuage ou des services d'analyse de données.
- II. CHAMP D’APPLICATION
Le Règlement a un champ d’application très large et englobe la quasi-totalité du secteur financier. Il s’étend ainsi à 21 catégories d’entités parmi lesquelles notamment :
- les établissements de crédit
- les établissements de paiement
- les établissements de monnaie électronique
- les entreprises d’assurance
- les sociétés de gestion
- les tiers prestataires de services liés au TIC (sauf services de téléphonie analogique)
Le Règlement contient une clause de revue (à 3 ans) pour éventuellement inclure les commissaires aux comptes.
Les risques informatiques ne connaissent pas de frontières et le secteur financier déploie ses services sur une large base transfrontalière au sein et en dehors de l'UE. Par conséquent, DORA ne concerne pas seulement les entités européennes ! Son champ d'application est large et il a des effets extraterritoriaux :
- Les organisations financières basées au Royaume-Uni et à l’international peuvent être soumises aux exigences de DORA si elles exercent dans l'UE des activités financières entrant dans son champ d'application.
- Les prestataires tiers de services liés aux TIC en dehors de l'UE sont soumis aux exigences de DORA dès lors qu'ils concluent des accords contractuels avec des entités financières couvertes par ce Règlement. Ces prestataires, s'ils sont désignés par DORA comme "prestataires critiques", sont tenus de créer une filiale dans l'UE dans les 12 mois suivant leur désignation, si ce n'est pas déjà le cas. Bien qu'il n'y ait aucune obligation pour ces derniers de traiter leurs données uniquement au sein de leur filiale européenne, DORA prévoit que les autorités de surveillance de l'UE peuvent effectuer des inspections en dehors de l'Union si nécessaire.
PRECISIONS :
DORA est la lex specialis dans le secteur financier, il s’applique à la place de la Directive 2022/2555 NIS2 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’UE (ci-après « NIS2 ») :
- si les prestataires tiers critiques concernés par DORA sont des fournisseurs de services informatiques en nuage concernés par NIS2, alors le cadre de supervision sous DORA est complémentaire au cadre de surveillance de NIS2. Dès lors, le superviseur principal nommé en vertu de DORA doit pouvoir consulter les autorités compétentes sous NIS2 avant de prendre une mesure contraignante à l’égard du prestataire pour favoriser une approche concertée dans le secteur financier.
- les notifications des incidents majeurs liés au TIC se feront uniquement aux autorités du secteur financier, charges à ces dernières de transmettre les informations sur ces incidents majeurs aux autorités non financières publiques européenne (ex. EBA, ESMA, BCE) et aux autorités de sécurité des systèmes d’information (ex. ANSSI).
Ne sont pas concernés par le Règlement entre autres :
- les gestionnaires de fonds d’investissement alternatifs visés à l’Article 3.2. de la Directive 2011/61/UE (https://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=OJ:L:2011:174:0001:0073:FR:PDF) ;
- les entreprises d’assurances et de réassurance visées à l’Article 4 de la Directive 2009/138/CE (https://eur-lex.europa.eu/legal-content/FR/TXT/HTML/?uri=CELEX:32022R2554&from=FR) ;
- les entreprises d’assurance, intermédiaires de réassurance qui sont des microentreprises ou des PME ;
- les personnes physiques ou morales exemptées en vertu des Articles 2 et 3 de la Directive 2014/65/UE (https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=celex%3A32014L0065).
- III. LES APPORTS DU REGLEMENT
1. Obligation de renforcer les mécanismes de gouvernance du secteur financier
Le Règlement prévoit l’adoption pour chaque entité d’un cadre de gouvernance et de contrôles internes garantissant une gestion efficace et prudente de tous les types de risques informatiques. À ce titre, il énumère les obligations de l’organe de direction qui définit, approuve, supervise et est responsable de la mise en œuvre de cette gouvernance.
2. Obligation de maintenir des procédures de gestion des risques informatiques
Ces procédures sont destinées à protéger efficacement les actifs informationnels et IT des entités financières. Les organes de direction devront effectuer en premier lieu une analyse de risque pesant sur leur système d’information ainsi que sur ceux de ces prestataires techniques. Une cartographie détaillée du système d’information et des flux de données internes et externes (par exemple, vers les prestataires de services informatiques en nuage) sera alors nécessaire.
Les entités financières devront également mettre en œuvre des mesures techniques obligatoires pour protéger les données. Parmi ces obligations il convient notamment de :
- maintenir des normes élevées en matière de disponibilité, d’authenticité, d’intégrité et de confidentialité des données, que ce soit au repos, en cours d’utilisation ou en transit ;
- limiter les droits d’accès et de prévoir une authentification forte ;
- détecter des activités anormales par le biais de mécanismes permettant de détecter rapidement ces activités ;
- garantir de manière adéquate la redondance de toutes les composantes critiques ;
- recueillir des informations sur les vulnérabilités, les cybermenaces, les incidents liés aux TIC et analyser leurs incidences probables sur leur résilience opérationnelle numérique. Il sera ensuite obligatoire de réaliser des examens post-incident lié aux TIC après qu’un incident majeur ait perturbé leurs activités principales, afin d’analyser les causes de la perturbation et de déterminer les améliorations à apporter.
3. Obligation de notifier les incidents de sécurité
Les incidents majeurs liés à l’informatique devront être notifiés aux autorités compétentes (et dans certaines hypothèses aux clients finaux) selon un modèle commun et une procédure harmonisée. Pour ce faire, les entités devront mettre en œuvre un processus de gestion de ces incidents (ex. mettre en place des indications d’alerte précoce pour veiller à ce que les causes originelles soient identifiées, documentées et qu’il y soit remédié) et de les classer en fonction de critères spécifiques.
Si ce processus existe déjà, une étude devra être menée pour s’assurer que les processus internes déjà mis en œuvre sont bien conformes aux exigences de DORA.
Attention : lorsqu’un incident majeur concerne les intérêts financiers des clients, les entités financières devront informer au plus vite les clients concernés de l’incident et des mesures prises pour en atténuer les effets préjudiciables.
4. Obligation de réaliser des tests de résilience opérationnelle
Les entités financières devront faire réaliser à leur frais, au moins une fois par an, par des parties indépendantes (internes ou externes) des tests de résilience opérationnelle pour vérifier le niveau de préparation aux risques, identifier les éventuelles faiblesses et prendre rapidement des mesures correctives.
5. Obligation d’encadrer contractuellement les risques liés aux tiers prestataires de services liés aux TIC
(i) Les entités devront respecter un certain nombre de principes généraux énoncés à l’article 28 du Règlement dans les contrats avec les tiers prestataires de services informatiques, à savoir :
- s’assurer que leurs prestataires respectent des normes adéquates en matière de sécurité ;
- encadrer les facultés de résiliation ;
- prévoir la possibilité d’exercer leurs droits d’accès, d’inspection et d’audit ;
- aménager la réversibilité des prestations soutenant des fonctions critiques ou importantes.
(ii) points à vérifier AVANT la conclusion du contrat avec des tiers :
- vérifier si l’accord couvre une fonction critique ou importante, et si oui, évaluer les avantages et les coûts de solutions alternatives ;
- identifier et évaluer tous les risques pertinents, y compris le risque de concentration informatique (le cas lors de la conclusion d’un contrat avec un prestataire dont les services ne sont pas facilement substituables) ;
- identifier et évaluer les conflits d’intérêts susceptibles de découler de l’accord ;
- s’il s’agit d’un contrat de sous-traitance avec des tiers : évaluer les avantages et les risques qui peuvent découler, surtout la législation en matière d’insolvabilité en cas de faillite, les contraintes pour la récupération urgente des données, le respect des règles de l’UE en matière de protection des données et l’application effective de la législation dans ce pays tiers.
- si la sous-traitance est prévue dans l’utilisation de services liés aux TIC qui soutiennent des fonctions critiques ou importantes: évaluer comment des chaînes de sous-traitance potentiellement longues et complexes sont susceptibles de compromettre leur capacité à assurer un suivi rigoureux des fonctions visées par le contrat et la capacité de l’autorité compétente à surveiller efficacement l’entité financière à cet égard.
(iii) obligations à respecter PENDANT la conclusion des contrats avec des tiers :
Les sociétés devront tenir un registre d’information relatif à tous les accords contractuels portant sur l’utilisation de services liés aux TIC fournis par les prestataires en opérant une distinction entre ceux qui couvrent les fonctions critiques et les autres services.
Devront aussi figurer a minima dans tous les contrats conclus avec un prestataire de services liés aux TIC :
- l’indication des lieux où les services seront fournis et les données seront traitées ;
- des dispositions sur la disponibilité, l’authenticité, l’intégrité et la confidentialité des données, notamment à caractère personnel ;
- des dispositions sur la garantie de l’accès, de la récupération et de la restitution des données en cas d’insolvabilité, de résolution, de cessation des activités du prestataire tiers de services liés aux TIC ou de résiliation ;
- l’obligation pour le prestataire tiers de fournir à l’entité financière, sans frais supplémentaires ou à un coût déterminé ex ante, une assistance en cas d’incident ;
- l’obligation pour le prestataire tiers de coopérer pleinement avec les autorités compétentes et les autorités de résolution de l’entité financière ;
- les droits de résiliation et les délais de préavis minimaux : les entités financières veillent à ce que les accords contractuels puissent être résiliés si :
- le prestataire a gravement enfreint des dispositions légales ;
- il existe des circonstances susceptibles d’altérer l’exécution des fonctions prévues par l’accord ;
- le prestataire présente des faiblesses avérées liées à sa gestion globale du risque TIC ;
- l’autorité compétente ne peut plus surveiller efficacement l’entité financière en raison de l’accord et/ou des circonstances qui y sont liées ; et
- les conditions de participation des prestataires tiers aux programmes de sensibilisation à la sécurité et aux formations à la résilience opérationnelle numérique élaborés par les entités financières.
Des dispositions supplémentaires s’appliquent également pour les contrats portant sur des fonctions critiques ou importantes :
- les niveaux de service et les mesures correctives applicables ;
- les délais de préavis et les obligations de notification par le prestataire concernant leur capacité à fournir des services soutenant des fonctions critiques dans certaines conditions ;
- l’obligation de mettre en œuvre et de tester des plans d’urgence ;
- l’obligation de mettre en place des mesures, des outils et des politiques de sécurité complémentaires ;
- l’obligation pour le prestataire de participer et de coopérer pleinement aux pen-tests réalisés par l’entité financière ;
- le droit d’assurer un suivi permanent des performances du prestataire ;
- les stratégies de sortie des contrats avec des périodes de transition adéquate obligatoire, les entités financières veillent à ce qu’elles puissent se retirer des accords contractuels
- sans perturber leurs activités ;
- sans restreindre le respect des exigences réglementaires ;
- sans porter atteinte à la continuité et à la qualité des services fournis aux clients.
Enfin, les entités financières devront mettre en place un cadre de supervision spécifique pour les prestataires tiers critiques.
6. Des pouvoirs d’injonction et de sanction des autorités compétentes
Pour s’acquitter des tâches qui leur incombent en vertu du Règlement, les autorités compétentes se voient attribuer des pouvoirs d’injonction pour accéder à tout document et donnée pertinente pour exercer leur mission de surveillance et procéder à des inspections et enquêtes.
Elles peuvent aussi imposer des mesures correctives en cas de manquement au Règlement comme :
- exiger la cessation d’un comportement ;
- imposer mesures pécuniaires ;
- émettre des communications publiques indiquant l’identité de l’entité financière en cause et la nature de la violation.
- A VENIR :
Maintenant que le Règlement a été publié, les aspects qui requièrent des précisions au niveau national seront intégrés à la législation de chaque État membre de l'UE. Dans le même temps, les autorités européennes de surveillance (AES) concernées, telles que l'Autorité bancaire européenne (ABE), l'Autorité européenne des marchés financiers (AEMF) et l'Autorité européenne des assurances et des pensions professionnelles (AEAPP), élaboreront des normes techniques que tous les établissements de services financiers devront respecter, qu'ils soient chargés d'opérations bancaires, de produits d'assurance ou de gestion d'actifs. Les autorités nationales compétentes seront chargées de la surveillance de la conformité au Règlement et feront respecter les dispositions du Règlement en tant que de besoin.