Sécurité Cybernétique dans la Finance : L’Acte Européen sur la Résilience Numérique entre en Vigueur !

À partir du 17 janvier 2025, la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act, DORA) s’appliquera à presque toutes les entités financières de l’Union européenne, y compris les banques, les assureurs et réassureurs, les courtiers, les établissements de paiement et de monnaie électronique, les sociétés d’investissement, ainsi que les prestataires de services d’actifs cryptographiques.

DORA impose aux organisations concernées de se conformer à des règles et normes communes pour la gestion des risques liés aux technologies de l’information et de la communication (TIC). Cela concerne notamment les risques liés à l’utilisation de systèmes d’information et de réseaux.

Les principaux axes de DORA concernent :

• Gestion des risques TIC : Les obligations essentielles incluent la gouvernance en matière de cybersécurité et l’inventaire des actifs, ainsi que la révision ou l’implémentation de documents et processus clés tels qu’une politique de sécurité de l’information et un plan de continuité des activités ;
• Gestion des risques TIC liés aux tiers : Les fournisseurs doivent subir une diligence raisonnable et des obligations contractuelles étendues s’appliquent ;
• Rapport des incidents majeurs liés aux TIC : Les incidents à signaler et le contenu des rapports doivent répondre à des critères spécifiques, détaillés dans les orientations associées ;
• Tests de résilience opérationnelle numérique : Cela inclut des tests de pénétration avec exercices de simulation, dans certains cas ;
• Partage d’informations et d’intelligence : échanges volontaires d’informations et d’intelligence sur les menaces cybernétiques.

Pour les entités financières concernées, l’impact de DORA va bien au-delà des équipes en sécurité de l’information, TI ou cybersécurité des institutions financières. Cela impose des exigences non seulement en matière de mesures de sécurité, mais également en ce qui concerne les accords avec les prestataires de services, la gouvernance interne et de nombreux autres processus et politiques. Cela impacte directement la direction, qui doit désormais suivre une formation en cybersécurité et approuver ainsi que superviser le cadre de gestion des risques TIC.

DORA concerne également directement les prestataires de services TIC « critiques » qui seront désignés par les Autorités de régulation européennes. En outre, DORA s’applique indirectement à tous les prestataires de services TIC fournissant des services aux entités financières dans le champ d’application de DORA.

Contrats avec les prestataires de services pour la conformité à DORA

Les organisations relevant de DORA doivent s’assurer que leurs contrats avec les prestataires de services TIC incluent les dispositions contractuelles de l’article 30(2) de DORA. Les entités financières doivent imposer des exigences contractuelles supplémentaires en vertu de l’article 30(3) de DORA aux prestataires de services TIC qui soutiennent une fonction « critique ou importante » de cette entité financière.

Dans les faits, de nombreuses entités financières ont déjà commencé à mettre à jour leurs modèles et leurs contrats existants avec les prestataires de services TIC en négociant des modifications liées à DORA pour s’assurer que ces contrats répondent aux exigences de DORA. Les entités financières qui ont dû se conformer aux directives sur l’externalisation publiées par l’Autorité bancaire européenne (ABE), l’Autorité européenne des assurances et des pensions professionnelles (EIOPA) ou l’Autorité européenne des marchés financiers (ESMA) pourraient faire face à moins de changements dans leurs processus contractuels. Pour d’autres entités financières, garantir la conformité à DORA pourrait représenter un changement significatif de leur gestion des risques TIC, y compris leurs processus de contrat et de conformité.

Bien que de nombreux prestataires de services traitant régulièrement avec des entités financières aient préparé leurs modifications standards à DORA, celles-ci peuvent ne pas toujours satisfaire pleinement aux exigences de DORA ou d’autres exigences réglementaires des entités financières concernées. Inversement, les prestataires souhaitant faciliter l’intégration de nouvelles entités financières en tant que clients pourraient de vouloir préparer un addenda DORA robuste ainsi qu’un document FAQ, pour aider les entités financières à comprendre comment le contrat avec le prestataire (s’il est basé sur les conditions standards du prestataire) est conforme aux exigences contractuelles de DORA.

Les organisations qui doivent mettre à jour un grand nombre de contrats adoptent une approche stratégique en priorisant les contrats qui pourraient présenter des risques clés pour l’entité financière.

À l’avenir, il est probable que nous verrons des clauses contractuelles standard de DORA développées par les régulateurs pour faciliter les contrats entre entités financières et prestataires de services. Cependant, contrairement au contexte de protection des données pour les transferts internationaux de données personnelles, l’utilisation de telles clauses contractuelles standard ne devrait pas être obligatoire.

Normes techniques

DORA est complétée par un certain nombre de Normes techniques réglementaires (RTS) et de Normes techniques d’application (ITS) contraignantes :

Les normes suivantes sont en vigueur :

Les normes suivantes ont été adoptées par la Commission européenne, mais ne sont pas encore en vigueur :

Les normes suivantes attendent d’être adoptées par la Commission européenne :

Bien que toutes les RTS et ITS ne soient pas encore en vigueur, les entités financières et les prestataires de services TIC ont déjà commencé à utiliser les versions publiées par la Commission européenne et les ABE pour aligner leurs contrats et processus, afin de s’assurer qu’ils répondent aux exigences applicables sans avoir à passer par un autre exercice de réécriture lorsque toutes les RTS et ITS entreront officiellement en vigueur.

Application en Allemagne

L’Autorité fédérale de supervision financière allemande (BaFin) fournit des indications sur l’application de DORA sur son site dédié à DORA (disponible uniquement en allemand).

BaFin a émis un avis de supervision non contraignant sur l’application de DORA dans la gestion des risques TIC et la gestion des risques TIC liés aux tiers. Cet avis prend en compte les indications de BaFin qui existaient avant DORA (les circulaires relatives aux exigences de supervision bancaire pour l’informatique (BAIT) et aux exigences de supervision en matière d’informatique pour les assurances (VAIT)), et compare DORA et les orientations ultérieures afin d’aider les entités financières à combler les lacunes. Cette nouvelle directive de BaFin pourrait également être utile pour les sociétés de gestion de capitaux et les établissements de paiement et de monnaie électronique, étant donné que la directive de BaFin applicable à ces institutions (circulaires KAIT et ZAIT, respectivement) avaient des exigences similaires aux circulaires clés sur lesquelles l’Avis de supervision est axé (BAIT et VAIT).

Pour éviter une régulation dupliquée, BaFin a révoqué ses circulaires KAIT, VAIT et ZAIT, effectives le 16 janvier 2025. BAIT, quant à elle, continuera à s’appliquer uniquement aux institutions financières qui ne sont pas soumises à DORA, et sera complètement abrogée le 31 décembre 2026, date à laquelle ces institutions devront se conformer à DORA en vertu du droit allemand.

Certaines facettes de DORA ont été complétées en Allemagne par la loi sur la numérisation des marchés financiers, qui complète également le règlement sur les marchés des cryptomonnaies et la révision du règlement sur le transfert de fonds. (Pour plus d’informations, voir la loi allemande sur la numérisation des marchés financiers.)

Évolutions au Royaume-Uni

Après le Brexit, les principales mesures législatives de l’Union européenne visant à renforcer la cybersécurité et la résilience opérationnelle numérique – DORA, NIS2 et le Cyber Resilience Act (voir notre mise à jour juridique pour plus de détails) – ne sont pas directement applicables au Royaume-Uni.

Cependant, le Royaume-Uni a également travaillé à renforcer la résilience opérationnelle dans le secteur des services financiers :

• En mars 2021, l’Autorité de conduite financière du Royaume-Uni, l’Autorité de régulation prudentielle et la Banque d’Angleterre ont publié leur PS21/3 sur la construction de la résilience opérationnelle avec une date limite de conformité fixée au 31 mars 2025 ;
• En novembre 2024, l’Autorité de conduite financière du Royaume-Uni, l’Autorité de régulation prudentielle et la Banque d’Angleterre ont publié leur PS24/16 sur la résilience opérationnelle : les parties tierces critiques pour le secteur financier du Royaume-Uni, qui est entrée en vigueur le 1er janvier 2025, permettant au Trésor britannique de désigner des tiers critiques qui sont tenus de se conformer à des exigences spécifiques de risque opérationnel et de résilience (similaires aux prestataires de services TIC critiques sous DORA).

Règles de l’UE et leur impact potentiel à l’échelle mondiale

Les filiales européennes d’entités financières mondiales seront directement soumises à DORA. De plus, DORA peut avoir un impact indirect sur les filiales non-européennes d’organisations mondiales, en fonction de la manière dont l’approvisionnement en données clés et services numériques est organisé – par exemple, en raison des exigences contractuelles de DORA s’appliquant à toute la chaîne d’approvisionnement.

Pour plus d’informations, veuillez contacter les auteurs ou d’autres membres de notre équipe interdisciplinaire mondiale, qui conseillent tant les entités financières que les prestataires de services sur l’applicabilité et la conformité à DORA.