Résilience opérationnelle numérique du secteur financier

POINTS CLÉS

Champ d’application

Le règlement couvre:

• les établissements de crédit, de paiement, de monnaie électronique et de retraite professionnelle;
• les prestataires de services d’information sur les comptes, sur cryptoactifs, de communication de données, de financement participatif et les prestataires tiers de services TIC;
• aux entreprises d’investissement, aux fonds d’investissement alternatifs, aux sociétés de gestion, aux agences de notation de crédit et aux administrateurs d’indices de référence d’importance critique;
• les référentiels centraux et des titrisations, les dépositaires centraux de titres, les contreparties centrales et les plateformes de négociation;
• des entreprises d’assurance, d’intermédiaire d’assurance et de réassurance.

Gestion du risque lié aux TIC

Les entités financières, autres que les microentreprises, doivent:

• mettre en place une gouvernance et des mesures de contrôle internes qui assurent une gestion efficace et prudente du risque lié aux TIC;
• s’assurer que leur organe de direction définit, approuve, supervise et assume toutes les dispositions pertinentes;
• mettre en place un cadre solide, complet et bien adapté pour la gestion du risque lié aux TIC avec les stratégies, les politiques, les procédures, les protocoles et les outils nécessaires afin de réagir rapidement et efficacement;
• utiliser et maintenir à jour des systèmes, protocoles et outils TIC appropriés, fiables, résistants sur le plan technologique et dotés d’une capacité suffisante;
• identifier, classer et documenter de manière adéquate toutes les fonctions, rôles et responsabilités professionnels que sous-tendent les TIC et examiner les scénarios de risques;
• surveiller en permanence la sécurité et le fonctionnement des systèmes et des outils TIC afin de minimiser l’impact de tout risque lié aux TIC;
• détecter rapidement les anomalies et identifier les points de défaillance potentielle;
• mettre en place une politique globale de continuité des activités dans le domaine des TIC, assortie de plans, de procédures et de mécanismes appropriés;
• élaborer et documenter des politiques de sauvegarde et des procédures de restauration et de rétablissement;
• déployer des ressources et du personnel pour évaluer les vulnérabilités et les cybermenaces, les incidents liés aux TIC, en particulier les cyberattaques, et analyser leur impact potentiel sur la résilience opérationnelle numérique de l’entité;
• élaborer des plans de communication en cas de crise afin de divulguer aux clients, aux organisations et au public au moins les principaux incidents ou vulnérabilités liés aux TIC.

Gestion, classification et notification des incidents liés aux TIC

Les entités financières doivent:

• définir, établir et mettre en œuvre des mesures pour détecter, gérer, enregistrer et signaler les incidents liés aux TIC;
• classer les incidents et déterminer leur impact en utilisant des critères tels que le nombre de clients et de leurs contreparties touchées, la durée, la répartition géographique et les pertes de données;
• présenter un rapport sur les principaux incidents liés aux TIC à l’autorité compétente désignée, qui le transmet à un organisme supérieur, tel que la Banque centrale européenne ou l’Autorité bancaire européenne.

Tests de résilience opérationnelle numérique

Les entités financières, autres que les microentreprises, doivent:

• établir, maintenir et examiner un programme solide et complet de tests opérationnels numériques solide et complet comprenant les évaluations, les tests, les méthodologies, les pratiques et les outils nécessaires;
• effectuer, tous les trois ans au moins, des tests de pénétration du niveau de menace basés sur leur profil de risque et tenant compte des circonstances opérationnelles, et utiliser uniquement des testeurs certifiés, possédant l’expertise et l’aptitude nécessaires et ayant une assurance de responsabilité civile professionnelle.

Gérer le risque lié aux prestataires tiers de services TIC

Les entités financières doivent:

• gérer le risque lié aux prestataires tiers en tant que composant intégral de leur risque global lié aux TIC;
• mettre en place des accords contractuels pour permettre aux services TIC d’exécuter leurs opérations commerciales dans le plein respect de la législation concernée;
• tenir compte de la nature, de l’ampleur, de la complexité et de l’importance des relations de dépendance en matière de TIC et de tout risque potentiel;
• évaluer les avantages et les coûts des solutions alternatives lors de l’identification et de l’évaluation des risques encourus;
• inclure dans le contrat les droits et obligations de chaque partie et l’accord de service.

Cadre de surveillance des prestataires tiers critiques de services TIC

Le cadre:

• confie aux autorités européennes de surveillance (AES) le soin de:
• • désigner, sur la base de critères clairs, les prestataires tiers de services TIC considérés comme critiques pour les entités financières,
  • nommer, en tant que superviseur principal de chaque prestataire tiers critique de services, l’AES responsable de l’entité financière concernée;
• établit un forum de supervision pour:
• • examiner les évolutions pertinentes dans le domaine des risques et des vulnérabilités liés aux TIC et promouvoir une approche cohérente au niveau de l’UE en matière de surveillance,
  • évaluer les activités de surveillance chaque année, promouvoir des initiatives visant à accroître la résilience opérationnelle numérique et favoriser les meilleures pratiques,
  • soumettre des indices de référence exhaustifs pour les prestataires tiers critiques de services de TIC;
• charge le superviseur principal:
• • d’être le point de contact principal pour les fournisseurs tiers critiques de services de TIC;
  • d’évaluer si chaque fournisseur critique dispose de règles, de procédures, de mécanismes et de dispositions exhaustives, solides et efficaces;
  • de demander toutes les informations et tous les documents utiles, mener des enquêtes et des inspections (y compris dans les pays tiers), prévoir des mesures correctives et formuler des recommandations;
• autorise l’Autorité bancaire européenne, l’Autorité européenne des assurances et des pensions professionnelles et l’Autorité européenne des marchés financiers à collaborer avec les autorités de régulation et de surveillance non européennes sur les risques liés aux prestataires tiers de services TIC;
• exige que les AES soumettent un rapport confidentiel tous les cinq ans au Parlement européen, au Conseil de l’Union européenne et à la Commission européenne sur leurs relations avec les autorités non européennes.

Critères de désignation des prestataires critiques

En vertu du règlement délégué (UE) 2024/1502, les prestataires tiers de services TIC peuvent être désignés comme critiques et placés sous la surveillance directe des AES à l’issue d’une évaluation en deux étapes.

• Étape 1 — critères quantitatifs

Le prestataire doit respecter des seuils mesurables, tels que:

• le nombre d’entités financières, ou la part de leurs actifs totaux, qui dépendent des services du prestataire;
• s’il fournit des services à des établissements systémiques (établissements d’importance systémique mondiale (EISm) ou autres établissements d’importance systémique (autres EIS));
• si ses services peuvent être remplacés ou si passer à un autre prestataire serait difficile ou coûteux.

• Étape 2 — critères qualitatifs

Les prestataires qui satisfont à l’étape 1 sont ensuite évalués au regard de considérations plus larges, notamment:

• l'incidence systémique potentielle en cas de perturbation de leurs services;
• le degré d’interdépendance entre les entités financières qui utilisent le même prestataire;
• la criticité des fonctions prises en charge;
• le recours à des sous-traitants communs.

Un prestataire n’est désigné comme critique que lorsqu’il satisfait aux critères des deux étapes.

Dispositifs de partage d’informations

Les entités financières peuvent échanger entre elles des informations et des renseignements sur les cybermenaces, à condition que ces échanges:

• visent à renforcer leur résilience numérique opérationnelle;
• se produisent au sein de leurs communautés de confiance;
• protègent la confidentialité des entreprises et les données à caractère personnel, et respectent les règles de la politique de concurrence.

Sanctions et mesures correctives

Les autorités compétentes:

• disposent de tous les pouvoirs de surveillance, d’enquête et de sanction nécessaires à l’accomplissement de leurs tâches;
• imposent, et publient sur leurs sites web, les sanctions administratives et les mesures correctives déterminées par le droit national.

Les AES élaborent des normes techniques de réglementation pour les outils de gestion du risque lié aux TIC, la classification et la déclaration des incidents liés aux TIC et la conduite d’activités de surveillance.

La Commission:

• a le pouvoir d’adopter des actes délégués;
• présentera au Parlement et au Conseil, au plus tard le 17 janvier 2028, un réexamen du règlement, après consultation des AES et du Comité européen du risque systémique.

Le règlement modifie le règlement (CE) n° 1060/2009, les règlements (UE) nos 648/2012, 909/2014 et 600/2014, ainsi que le règlement (UE) 2016/1011.