< Retour à l'accueil du blog
Retour thématique

Le projet de règlement DORA (Digital Operational Resilience Act)

finance
numérique
Par le projet de Règlement DORA, l’UE compte rendre les services financiers adaptés aux nouvelles technologies et plus accessibles aux consommateurs. On vous dit tout...
5 min
20 Avr. 2022
Livia Chartrain - juriste
Le projet de règlement DORA (Digital Operational Resilience Act)

Par le projet de Règlement DORADigital Operational resilience of the financial sector ») prévu pour fin 2022, l’Union Européenne compte rendre les services financiers adaptés aux nouvelles technologies et plus accessibles aux consommateurs.

Ce projet règlementaire s’inscrit dans la continuité des orientations de l’Autorité Bancaire Européenne de 2019 sur la gestion des risques liés aux TIC (Technologies de l’Information et de la Communication) et à la sécurité des établissements financiers, reprises par l’arrêté du 25 février 2021.

En effet, avec les nouvelles technologies, la source et la nature des incidents informatiques deviennent de plus en plus complexes et leur impact de plus en plus conséquent. Il est donc nécessaire que les établissements mettent en place un plan de continuité d’activité (PCA) en cas d’incident majeur ou de sinistre. Dans un contexte marqué par la multiplication des cyberattaques, les institutions financières sont exposées à un risque informatique ou numérique toujours plus élevé pouvant affaiblir la résilience de leurs opérations en raison de la place centrale et stratégique des systèmes d’informations dans le fonctionnement du système bancaire.

Les accords de Bâle (Basel Committee on Banking Supervision) de 2005 ont introduit, avec les risques bancaires, la notion de risque opérationnel définit comme le risque « de pertes provenant de processus internes inadéquats ou défaillants, de personnes et systèmes ou d’évènements externes ».  

Depuis le 24 septembre 2020, l’Union Européenne continue sur cette lancée et cherche à mettre en place un cadre détaillé et complet sur la résilience opérationnelle informatique pour ses institutions. On entend par résilience opérationnelle la capacité d’une organisation à s’adapter à un environnement en constante et rapide évolution.  

Cet article est consacré à la compréhension du projet de règlement DORA mais ce n’est pas l’unique acte législatif qui impose, en France, des normes de sécurité pour certains systèmes d’informations. On compte à ce jour plusieurs actes législatifs récents sur la sécurité des systèmes d’information comme les trois lois de programmation militaire (de 2005, de 2013 et de 2018) qui viennent impacter directement certaines entreprises, ou encore la Directive NIS 1 qui a été transposée en droit français par la loi dite « SRSI » (Sécurité des Réseaux et des Systèmes d’Information) n°2018-133 du 26 février 2018.  

Le 26 juin 2021, le Haut Comité juridique de la Place financière de Paris (HCJP) a mis en ligne son rapport sur le « Cloud bancaire » concernant l'usage grandissant de la technologie de l'informatique en nuage (cloud) et sa généralisation au sein des métiers bancaires qui soulève d'indéniables enjeux.

Parmi les mesures sur la finance numérique lancées par la Commission Européenne, ce projet de règlementation a pour objectif le renforcement de la résilience des organisations financières en posant un nouveau cadre de surveillance et de contrôle interne en ce qui concerne par exemple les tests de résilience opérationnelle numérique, la gestion des risques et incidents liés aux TIC , la gestion du risque de tiers (en supervisant directement les prestataires de services dits « critiques »), par la déclaration des incidents majeurs liés aux technologies, soit le partage d’informations concernant les cybermenaces.

1. Les obligations du règlement DORA applicables aux entités financières traitant avec les fournisseurs TIC

Voici 5 obligations primordiales que les entités financières traitant avec les prestataires TIC devront respecter pour assurer la gestion des risques liés à leurs dispositifs :  

a. Une gouvernance renforcée, par la gestion des risques liés aux TIC (articles 4 à 14) grâce à :

  • L’identification et la classification ;
  • La protection et la prévention ;
  • La détection ;
  • La réponse et le rétablissement ;
  • Des politiques de sauvegarde et des méthodes de restauration ;
  • L’apprentissage et l’évolution ;
  • La communication ;
  • L’harmonisation des politiques, des procédures, etc.

b. La gestion des incidents liés aux TIC (articles 15 à 20) grâce à :  

  • La formalisation d'un processus de gestion des incidents ;
  • La classification des incidents ;
  • La notification des incidents majeurs ;
  • L’harmonisation, la centralisation et les retours d'information des notifications d'incidents ;
  • La présentation de rapports d’incidents anonymisés par les AES (Autorités Européennes de Surveillance).

c. Des tests de résilience opérationnelle numérique (articles 21 à 24) grâce à :  

  • La définition d'un programme de tests exécutés par des parties indépendantes, comprenant une série d'évaluations, de tests, de méthodologies, de pratiques et d'outils ;
  • La réalisation de tests sur les applications /systèmes critiques liés au TIC au moins 1 fois par an.

d. La gestion des risques liés aux prestataires de services TIC (articles 25 à 39) grâce à :

  • La définition de stratégie (contractualisation, exécution, etc.) en lien avec les guidelines de l’EBA (European Banking Authority) ;
  • La définition de politiques ;
  • Le maintien du registre d'informations ;
  • La définition d'un cadre de supervision des prestataires critiques au niveau de l'UE par les AES.

e. Le partage d’informations liées aux cybermenaces (article 40) grâce à deux éléments :

  • Le partage d’informations et de renseignements liés aux cybers menaces entre les institutions financières ;
  • La notification aux autorités des accords d’échanges mis en place.

2. Qui est concerné par le projet de règlement DORA ?

Ce règlement, qui, une fois adopté, sera d’application directe dans les 27 pays membres de l’UE, se penche sur la sécurité informatique des professionnels du secteur financier (professionnels du secteur bancaire, financier ou des assurances par exemple). Ainsi, les entreprises directement concernées par les obligations du projet DORA sont les suivantes :  

  • Les établissements de crédit,  
  • Les établissements de paiement,  
  • Les établissements de monnaie électronique,
  • Les entreprises d’investissement,  
  • Les prestataires de services sur crypto-actifs, les émetteurs de crypto-actifs, les émetteurs de jetons se référant à un ou des actifs et les émetteurs de jetons se référant à un ou des actifs et revêtant une importance significative,
  • Les dépositaires centraux de titres,  
  • Les contreparties centrales,
  • Les plateformes de négociation,  
  • Les référentiels centraux,
  • Les gestionnaires de fonds d’investissement alternatifs,
  • Les sociétés de gestion,  
  • Les prestataires de services de communication de données,  
  • Les entreprises d’assurance et de réassurance,
  • Les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire,  
  • Les institutions de retraite professionnelle (IRP),  
  • Les agences de notation de crédit,  
  • Les contrôleurs légaux des comptes et les cabinets d’audit,  
  • Les administrateurs d’indices de référence d’importance critique,  
  • Les prestataires de services de financement participatif,
  • Les référentiels des titrisations.

3. Les tiers fournisseurs TIC critiques sont eux aussi intégrés dans ce périmètre règlementaire

L’UE gère directement la supervision des prestataires dits « critiques » pour le secteur financier. Les tiers fournisseurs critiques sont sous la surveillance renforcée des AES. DORA constitue le premier cadre de surveillance au niveau de l'UE permettant d’identifier et de superviser les prestataires de services TIC jugés « critiques » pour les institutions financières, sur la base de critères prédéfinis.  

Une fois désigné comme « critique », le contrôle du tiers pourra être effectué par l’une des AES, qui pourra mener des audits sur site et hors site, faire certaines recommandations et imposer des amendes pouvant aller jusqu’à 1 % du chiffre d’affaires mondial quotidien en cas de non-conformité règlementaire. L’AES pourra également demander aux entités du secteur des services financiers de mettre fin à leur accord avec le tiers en question.

Ces différentes procédures devraient permettre de renforcer la confiance des entités du secteur des services financiers et les pousser à transférer certaines de leurs activités dans un cloud.

Cependant, les entités assujetties devront potentiellement faire face à certaines normes de localisation complexes et ne seront normalement pas autorisées à utiliser les services d’un prestataire de services TIC qui n’est pas « établi » au sein de l’UE et qui est considéré comme « critique ».

Le futur cadre de surveillance des tiers « fournisseurs TIC critiques » (CTPP) ne supprime cependant pas les responsabilités réglementaires des entités du secteur des services financiers à leur égard. Le projet DORA contient (conformément aux lignes directrices existantes de l’ABE et de l’Autorité européenne des assurances et des pensions professionnelles (AEAPP) les exigences de gestion des risques pour les entités faisant appel à des tiers, surtout en ce qui concerne les clauses d’audit et les clauses contractuelles obligatoires.

CONCLUSION :  

DORA concrétise une avancée tant en matière de notification des incidents, de gestion des menaces de cybersécurité, de conduite des tests de résilience que d’encadrement des prestataires de services TIC critiques au niveau de l’UE.

Pour en savoir plus sur la protection des données personnelles retrouvez notre article sur le RGPD >

Inscription à la newsletter 1 email / mois
→ Recevez nos derniers articles et restez informés des évolutions réglementaires et mises à jour de la solution.
Merci ! Vous êtes bien inscrit à la newsletter MonJuridique.
Oops ! Une erreur s'est produite lors de l'envoi du formulaire.