Afin de protéger ses établissements financiers, l’Europe a adopté le règlement DORA (Digital Operational Resilience Act) ou règlement sur la résilience opérationnelle numérique du secteur financier. A travers ce règlement, l’Union Européenne (UE) entend, là encore, réguler la sécurité de ce secteur face aux différents risques liés à l’utilisation des technologies de l’information et de la communication (TIC) afin de permettre plus d’innovation tout en assurant la stabilité des entreprises et la protection des consommateurs.
Quel est le contexte de l’adoption de ce règlement ?
Ce texte s’inscrit dans la politique européenne de régulation du secteur de la finance numérique, objectif poursuivi aussi par de nouveaux textes tel le règlement sur les marchés de crypto-actifs (MiCA) ou encore le règlement sur un régime pilote pour les infrastructures de marché reposant sur la technologie des registres distribués (DLT).
Ce règlement DORA a ainsi été adopté le 14 décembre 2022 et est accompagné d’une directive adoptée à la même date. Le règlement sur la résilience opérationnelle numérique est entré en vigueur le 16 janvier dernier et définit des règles uniformes pour la gestion des risques liées aux TIC (cyberattaques ou défaillances) pour tous les pays européens afin d’harmoniser l’ensemble des législations qui avaient été développées par les différents Etats membres. Les établissements concernés par l’application de ce règlement ont jusqu’au 17 janvier 2025, date d’entrée en application du règlement, pour se mettre en conformité avec les nouvelles mesures.
La directive liée au règlement DORA vient quant à elle modifier différentes directives impactées directement par la création de ce nouveau règlement. Cette directive devra être transposée par les différents Etats membres là aussi au 17 janvier 2025.
Quelles entreprises sont concernées ?
Ce règlement s’applique quasiment à tous les établissements financiers. Il vise par exemple les établissements de paiement et de crédit, les services d’assurance et de réassurance, les services de crypto-actifs ainsi que les établissements d’investissement. Certaines dérogations sont mises en place et visées à l’article 2 du règlement, notamment du fait de la taille de certaines entreprises ou du type de service proposé.
Quelles sont les mesures mises en place par ce règlement ?
L’objectif principal est ici d’assurer la résilience des établissements financiers, c’est-à-dire la capacité pour un établissement d’assurer l’exercice de son activité, pour les consommateurs et l’entreprise elle-même, en période de perturbation. Ce nouveau règlement adopte ainsi une approche qui pourrait être qualifiée de « scientifique » dans la manière de gérer les risques et prévenir leur apparition.
Ce règlement demande en effet aux établissements financiers de connaître parfaitement les risques pouvant peser sur leur structure. Cela passe ainsi par une cartographie des risques liés aux TIC et la mise en place de dispositifs de gestion de ces risques. Les établissements ont obligation de prévoir ici tous les risques, et non pas seulement ceux ayant le plus de probabilité de se réaliser, sous peine d’une présomption de faute en cas de non-détection du risque. La prévention des risques passe aussi par l’encouragement à partager, entre les établissements financiers, des informations sur les cybermenaces et les solutions techniques pouvant être adoptées.
De même, le texte vient harmoniser les procédures de notification des incidents liés aux TIC. Les établissements financiers devront aussi prévoir d’effectuer des tests de résilience opérationnelle numérique au moins une fois par an. Ces derniers devront être effectués par des parties indépendantes et pour tous les systèmes utilisant des TIC pour les fonctions critiques ou importantes de l’entreprise.
Nouveauté aussi, l’insertion de règles harmonisées pour la vérification des risques liés à l’utilisation de tiers prestataires de services informatiques. Les établissements financiers devront donc porter une vigilance accrue, passant notamment par la mise en œuvre de stratégies, politiques et registres d’information en cas d’utilisation de prestataires de service informatiques. De plus, les prestataires de service de TIC critiques feront l’objet d’une surveillance directe par les autorités européennes de surveillance (AES).
Comment ce règlement sera-t-il mis en œuvre ?
Le règlement et sa directive associés ne peuvent à eux seuls assurer une application parfaite des mesures énoncées. Ainsi, les autorités européennes de surveillance (liées au domaine financier et pensions de retraite) vont devoir s’atteler à la tâche de définir et soumettre à la Commission européenne des normes réglementaires techniques et d’exécution. Ces dernières devront donc apporter des précisions sur le règlement DORA, par exemple pour le classement des risques liés aux TIC.
BAL Cassiopée
Master 2 Cyberjustice – Promotion 2022-2023
Liens utiles :
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A52020PC0595
Crédits image :