Introduction

Le 16 janvier 2023 marque une étape significative dans le paysage réglementaire européen avec l’entrée en vigueur du Règlement sur la Résilience Opérationnelle Numérique (DORA) et de la directive associée. Adoptés par le Conseil de l’Union européenne en novembre 2022, ces actes législatifs novateurs répondent aux défis posés par la transformation numérique rapide des services financiers, l’interconnexion croissante des réseaux et des infrastructures critiques, ainsi que la multiplication des cyberattaques sophistiquées ciblant le secteur financier.

Contexte

L’initiative s’inscrit dans la stratégie de la Commission européenne en matière de finance numérique, visant à promouvoir l’innovation et l’adoption de nouvelles technologies tout en garantissant la stabilité financière et la protection des consommateurs.

I. Cadre Réglementaire

1. Règlement (UE) 2022/2554 sur la Résilience Opérationnelle Numérique (DORA)

Le règlement DORA (Digital Operational Resilience Act) , officiellement dénommé Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022, établit des exigences uniformes pour renforcer et harmoniser la gestion des risques liés aux technologies de l’information et de la communication (TIC) ainsi qu’à la sécurité des réseaux et des systèmes d’information à l’échelle de l’Union européenne.

2. Directive (UE) 2022/2556

La directive associée, Directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022, a pour objectif de modifier plusieurs directives existantes telles que CRD IV, DSP2, BRRD, Solvabilité 2, IORP2, MiFID 2, AIFM, afin de les aligner avec les nouvelles dispositions introduites par le règlement DORA. Cette cohérence est essentielle pour garantir l’efficacité et l’uniformité des réglementations dans l’ensemble du secteur financier européen.

II. Implications du Règlement DORA sur la Résilience Opérationnelle Numérique

1. Cadre Réglementaire Innovant

Le règlement DORA représente une avancée significative en matière de réglementation européenne, fournissant, pour la première fois dans un seul acte législatif de l’UE, un cadre détaillé et complet sur la résilience opérationnelle numérique pour les entités financières. Il vise à instaurer une approche proactive envers la gestion des risques liés aux technologies de l’information et de la communication (TIC) dans le secteur financier.

2. Surveillance Directe des Prestataires de Services TIC Critiques

Une caractéristique distinctive du règlement DORA est la mise en place d’un mécanisme de surveillance direct des prestataires de services TIC critiques au niveau de l’UE. Cette mesure vise à renforcer la surveillance et la sécurité des services essentiels fournis par ces prestataires, contribuant ainsi à la résilience opérationnelle globale du secteur financier européen.

3. Transition de la Gestion du Risque Informatique à la Résilience Opérationnelle Numérique

Le règlement DORA transforme la manière dont les entités financières abordent la gestion des risques liés aux technologies de l’information. En passant d’une approche centrée sur la prévention des risques à une approche plus large et proactive de la résilience opérationnelle numérique, le règlement encourage les entités financières à être prêtes à résister, répondre et se rétablir face à toute perturbation opérationnelle grave.

4. Développement d’une Connaissance Fine et Approche Proactive

La résilience opérationnelle numérique exige des entités financières qu’elles développent une connaissance fine de leurs activités, y compris de leur écosystème, afin d’identifier les risques et les menaces potentiels. Cette approche proactive évalue également les niveaux de perturbations acceptables pour l’organisation et ses clients, renforçant ainsi l’agilité et la réactivité de l’organisation.

5. Opportunité de Différenciation sur le Marché

Le règlement DORA ne doit pas être perçu comme une simple contrainte réglementaire, mais plutôt comme une opportunité pour les entités financières de se différencier sur le marché. En renforçant leur résilience opérationnelle face aux risques informatiques, de cybersécurité, de continuité d’activité et aux risques liés aux tiers, les entités financières peuvent accroître la confiance et la fidélité de leurs clients, tout en démontrant leur engagement envers la stabilité et la sécurité opérationnelle.

III. Champ d’Application de la Réglementation DORA

Le règlement DORA a un champ d’application étendu, s’appliquant à un vaste éventail d’entités financières opérant dans le secteur financier de l’Union européenne. Cela englobe notamment les établissements de crédit, les entreprises d’investissements, les établissements de paiement, les établissements de monnaie électronique, les sociétés de gestion, les entreprises d’assurance et de réassurance, ainsi que les intermédiaires d’assurance et de réassurance. De plus, la réglementation concerne également les prestataires de services TIC qui opèrent au sein de l’Union européenne dans le domaine des services financiers.

IV. Calendrier d’Application

Le règlement DORA entrera en vigueur directement dans tous les États membres de l’UE à partir du 17 janvier 2025. Au cours des deux années précédant cette date, la Commission européenne publiera des actes complémentaires. Ces actes , basés sur les projets finaux de normes réglementaires techniques et d’exécution (RTS et ITS) conjointement soumis par les autorités européennes de surveillance (EBA, EIOPA, ESMA), préciseront certaines exigences du règlement DORA, formant ainsi le niveau 2 de ce nouveau cadre réglementaire unifié.

Parallèlement, la directive 2022/2556 devra être transposée par les États membres d’ici le 17 janvier 2025. Les entités financières et les prestataires de services TIC sont vivement encouragés à se préparer dès maintenant en analysant les nouvelles exigences et en évaluant leurs impacts opérationnels et stratégiques.

V. Piliers de la Résilience Opérationnelle Numérique selon le Règlement DORA

Le règlement DORA identifie cinq piliers essentiels de la résilience opérationnelle numérique que les institutions financières sont tenues de mettre en œuvre de manière complète et cohérente.

1. Dispositif de Gestion des Risques liés aux TIC

Le premier pilier impose aux entités financières de développer un dispositif de gestion des risques liés aux technologies de l’information et de la communication (TIC) robuste, complet et bien documenté. Intégré au dispositif global de gestion des risques, ce mécanisme repose sur une stratégie de résilience opérationnelle numérique, continuellement améliorée en fonction des enseignements tirés de la mise en œuvre et du suivi.

2. Gestion et Reporting des Incidents TIC et des Cybermenaces

Au cœur du règlement DORA, ce pilier vise à harmoniser la notification des incidents liés aux TIC. Les entités financières doivent établir et mettre en œuvre un processus de gestion des incidents TIC, enregistrant et classant ces incidents selon des critères détaillés dans le règlement. Les incidents majeurs doivent être rapportés aux membres de la Direction et aux autorités compétentes selon des délais et des modalités spécifiés par les autorités européennes de surveillance (AES).

3. Tests de la Résilience Opérationnelle Numérique

Ce pilier oblige les entités financières à établir, maintenir et régulièrement réexaminer un programme de tests de résilience opérationnelle numérique. Ce programme, intégré au dispositif de gestion des risques liés aux TIC, couvre un large éventail d’évaluations, de tests et de méthodologies. Les entités financières d’importance significative et cyber matures devront effectuer des tests avancés au moins tous les trois ans, y compris des tests de pénétration fondés sur la menace (TLPT).

4. Gestion des Risques liés aux Prestataires de Services TIC

Ce pilier introduit une harmonisation des exigences relatives à la gestion des risques liés aux tiers prestataires de services TIC. Les entités financières doivent définir une stratégie, une politique d’utilisation, tenir à jour un registre d’informations, mener des diligences avant l’entrée en relation, inclure des clauses contractuelles spécifiques, et assurer une surveillance continue de la relation. De plus, les prestataires de services TIC critiques seront directement surveillés par les AES au niveau de l’UE.

5. Partage d’Informations en matière de Cybersécurité

Le dernier pilier encourage vivement les entités financières à partager des renseignements et des informations sur les cybermenaces au sein de communautés d’entités financières de confiance. Cette initiative vise à renforcer la sensibilisation aux cybermenaces, à soutenir les capacités de défense, les techniques de détection des menaces et les stratégies d’atténuation, de réponse et de rétablissement au sein du secteur financier.