Le projet de règlement DORA (Digital Operational Resilience Act)

Voici 5 obligations primordiales que les entités financières traitant avec les prestataires TIC devront respecter pour assurer la gestion des risques liés à leurs dispositifs :  

a. Une gouvernance renforcée, par la gestion des risques liés aux TIC (articles 4 à 14) grâce à :

• L’identification et la classification ;
• La protection et la prévention ;
• La détection ;
• La réponse et le rétablissement ;
• Des politiques de sauvegarde et des méthodes de restauration ;
• L’apprentissage et l’évolution ;
• La communication ;
• L’harmonisation des politiques, des procédures, etc.

b. La gestion des incidents liés aux TIC (articles 15 à 20) grâce à :  

• La formalisation d'un processus de gestion des incidents ;
• La classification des incidents ;
• La notification des incidents majeurs ;
• L’harmonisation, la centralisation et les retours d'information des notifications d'incidents ;
• La présentation de rapports d’incidents anonymisés par les AES (Autorités Européennes de Surveillance).

c. Des tests de résilience opérationnelle numérique (articles 21 à 24) grâce à :  

• La définition d'un programme de tests exécutés par des parties indépendantes, comprenant une série d'évaluations, de tests, de méthodologies, de pratiques et d'outils ;
• La réalisation de tests sur les applications /systèmes critiques liés au TIC au moins 1 fois par an.

d. La gestion des risques liés aux prestataires de services TIC (articles 25 à 39) grâce à :

• La définition de stratégie (contractualisation, exécution, etc.) en lien avec les guidelines de l’EBA (European Banking Authority) ;
• La définition de politiques ;
• Le maintien du registre d'informations ;
• La définition d'un cadre de supervision des prestataires critiques au niveau de l'UE par les AES.

e. Le partage d’informations liées aux cybermenaces (article 40) grâce à deux éléments :

• Le partage d’informations et de renseignements liés aux cybers menaces entre les institutions financières ;
• La notification aux autorités des accords d’échanges mis en place.

Ce règlement, qui, une fois adopté, sera d’application directe dans les 27 pays membres de l’UE, se penche sur la sécurité informatique des professionnels du secteur financier (professionnels du secteur bancaire, financier ou des assurances par exemple). Ainsi, les entreprises directement concernées par les obligations du projet DORA sont les suivantes :  

• Les établissements de crédit,  
• Les établissements de paiement,  
• Les établissements de monnaie électronique,
• Les entreprises d’investissement,  
• Les prestataires de services sur crypto-actifs, les émetteurs de crypto-actifs, les émetteurs de jetons se référant à un ou des actifs et les émetteurs de jetons se référant à un ou des actifs et revêtant une importance significative,
• Les dépositaires centraux de titres,  
• Les contreparties centrales,
• Les plateformes de négociation,  
• Les référentiels centraux,
• Les gestionnaires de fonds d’investissement alternatifs,
• Les sociétés de gestion,  
• Les prestataires de services de communication de données,  
• Les entreprises d’assurance et de réassurance,
• Les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire,  
• Les institutions de retraite professionnelle (IRP),  
• Les agences de notation de crédit,  
• Les contrôleurs légaux des comptes et les cabinets d’audit,  
• Les administrateurs d’indices de référence d’importance critique,  
• Les prestataires de services de financement participatif,
• Les référentiels des titrisations.

L’UE gère directement la supervision des prestataires dits « critiques » pour le secteur financier. Les tiers fournisseurs critiques sont sous la surveillance renforcée des AES. DORA constitue le premier cadre de surveillance au niveau de l'UE permettant d’identifier et de superviser les prestataires de services TIC jugés « critiques » pour les institutions financières, sur la base de critères prédéfinis.  

Une fois désigné comme « critique », le contrôle du tiers pourra être effectué par l’une des AES, qui pourra mener des audits sur site et hors site, faire certaines recommandations et imposer des amendes pouvant aller jusqu’à 1 % du chiffre d’affaires mondial quotidien en cas de non-conformité règlementaire. L’AES pourra également demander aux entités du secteur des services financiers de mettre fin à leur accord avec le tiers en question.

Ces différentes procédures devraient permettre de renforcer la confiance des entités du secteur des services financiers et les pousser à transférer certaines de leurs activités dans un cloud.

Cependant, les entités assujetties devront potentiellement faire face à certaines normes de localisation complexes et ne seront normalement pas autorisées à utiliser les services d’un prestataire de services TIC qui n’est pas « établi » au sein de l’UE et qui est considéré comme « critique ».

Le futur cadre de surveillance des tiers « fournisseurs TIC critiques » (CTPP) ne supprime cependant pas les responsabilités réglementaires des entités du secteur des services financiers à leur égard. Le projet DORA contient (conformément aux lignes directrices existantes de l’ABE et de l’Autorité européenne des assurances et des pensions professionnelles (AEAPP) les exigences de gestion des risques pour les entités faisant appel à des tiers, surtout en ce qui concerne les clauses d’audit et les clauses contractuelles obligatoires.

CONCLUSION :  

DORA concrétise une avancée tant en matière de notification des incidents, de gestion des menaces de cybersécurité, de conduite des tests de résilience que d’encadrement des prestataires de services TIC critiques au niveau de l’UE.

Pour en savoir plus sur la protection des données personnelles retrouvez notre article sur le RGPD.