Résilience opérationnelle numérique du secteur financier

 

SYNTHÈSE DU DOCUMENT:

Règlement (UE) 2022/2554 sur la résilience opérationnelle numérique du secteur financier

QUEL EST L’OBJET DE CE RÈGLEMENT?

Il établit des règles uniformes en matière de sécurité des réseaux et des systèmes d’information des entités financières, telles que les banques, les compagnies d’assurance et les entreprises d’investissement.

Elle couvre un large éventail d’entités financières réglementées de l’Union européenne (UE), leur demandant de résister, de répondre et de se remettre de toute perturbation ou menace impliquant les technologies de l’information et de la communication (TIC).

POINTS CLÉS

Champ d’application

Le règlement couvre:

• les établissements de crédit, de paiement, de monnaie électronique et de retraite professionnelle;
• les prestataires de services d’information sur les comptes, sur cryptoactifs, de communication de données, de financement participatif et les prestataires tiers de services TIC;
• aux entreprises d’investissement, aux fonds d’investissement alternatifs, aux sociétés de gestion, aux agences de notation de crédit et aux administrateurs d’indices de référence d’importance critique;
• les référentiels centraux et des titrisations, les dépositaires centraux de titres, les contreparties centrales et les plateformes de négociation;
• des entreprises d’assurance, d’intermédiaire d’assurance et de réassurance.

Gestion du risque lié aux TIC

Les entités financières, autres que les microentreprises, doivent:

• mettre en place une gouvernance et des mesures de contrôle internes qui assurent une gestion efficace et prudente du risque lié aux TIC;
• s’assurer que leur organe de direction définit, approuve, supervise et assume toutes les dispositions pertinentes;
• mettre en place un cadre solide, complet et bien adapté pour la gestion du risque lié aux TIC avec les stratégies, les politiques, les procédures, les protocoles et les outils nécessaires afin de réagir rapidement et efficacement;
• utiliser et maintenir à jour des systèmes, protocoles et outils TIC appropriés, fiables, résistants sur le plan technologique et dotés d’une capacité suffisante;
• identifier, classer et documenter de manière adéquate toutes les fonctions, rôles et responsabilités professionnels que sous-tendent les TIC et examiner les scénarios de risques;
• surveiller en permanence la sécurité et le fonctionnement des systèmes et des outils TIC afin de minimiser l’impact de tout risque lié aux TIC;
• détecter rapidement les anomalies et identifier les points de défaillance potentielle;
• mettre en place une politique globale de continuité des activités dans le domaine des TIC, assortie de plans, de procédures et de mécanismes appropriés;
• élaborer et documenter des politiques de sauvegarde et des procédures de restauration et de rétablissement;
• déployer des ressources et du personnel pour évaluer les vulnérabilités et les cybermenaces, les incidents liés aux TIC, en particulier les cyberattaques, et analyser leur impact potentiel sur la résilience opérationnelle numérique de l’entité;
• élaborer des plans de communication en cas de crise afin de divulguer aux clients, aux organisations et au public au moins les principaux incidents ou vulnérabilités liés aux TIC.

Gestion, classification et notification des incidents liés aux TIC

Les entités financières doivent:

• définir, établir et mettre en œuvre des mesures pour détecter, gérer, enregistrer et signaler les incidents liés aux TIC;
• classer les incidents et déterminer leur impact en utilisant des critères tels que le nombre de clients et de leurs contreparties touchées, la durée, la répartition géographique et les pertes de données;
• présenter un rapport sur les principaux incidents liés aux TIC à l’autorité compétente désignée, qui le transmet à un organisme supérieur, tel que la Banque centrale européenne ou l’Autorité bancaire européenne.

Tests de résilience opérationnelle numérique

Les entités financières, autres que les microentreprises, doivent:

• établir, maintenir et examiner un programme solide et complet de tests opérationnels numériques solide et complet comprenant les évaluations, les tests, les méthodologies, les pratiques et les outils nécessaires;
• effectuer, tous les trois ans au moins, des tests de pénétration du niveau de menace basés sur leur profil de risque et tenant compte des circonstances opérationnelles, et utiliser uniquement des testeurs certifiés, possédant l’expertise et l’aptitude nécessaires et ayant une assurance de responsabilité civile professionnelle.

Gérer le risque lié aux prestataires tiers de services TIC

Les entités financières doivent:

• gérer le risque lié aux prestataires tiers en tant que composant intégral de leur risque global lié aux TIC;
• mettre en place des accords contractuels pour permettre aux services TIC d’exécuter leurs opérations commerciales dans le plein respect de la législation concernée;
• tenir compte de la nature, de l’ampleur, de la complexité et de l’importance des relations de dépendance en matière de TIC et de tout risque potentiel;
• évaluer les avantages et les coûts des solutions alternatives lors de l’identification et de l’évaluation des risques encourus;
• inclure dans le contrat les droits et obligations de chaque partie et l’accord de service.

Cadre de surveillance des prestataires tiers critiques de services TIC

Le cadre:

• confie aux autorités européennes de surveillance (AES) le soin de:
  • désigner, sur la base de critères clairs, les prestataires tiers de services TIC considérés comme critiques pour les entités financières,
  • nommer, en tant que superviseur principal de chaque prestataire tiers critique de services, l’AES responsable de l’entité financière concernée;
• établit un forum de supervision pour:
  • examiner les évolutions pertinentes dans le domaine des risques et des vulnérabilités liés aux TIC et promouvoir une approche cohérente au niveau de l’UE en matière de surveillance,
  • évaluer les activités de surveillance annuelle, promouvoir des initiatives visant à accroître la résilience opérationnelle numérique et favoriser les meilleures pratiques,
  • soumettre des indices de référence exhaustifs pour les prestataires tiers critiques de services de TIC;
• charge le superviseur principal:
  • d’être le point de contact principal pour les fournisseurs tiers critiques de services de TIC;
  • d’évaluer si chaque fournisseur critique dispose de règles, de procédures, de mécanismes et de dispositions exhaustives, solides et efficaces;
  • de demander toutes les informations et tous les documents utiles, mener des enquêtes et des inspections (y compris dans les pays tiers), prévoir des mesures correctives et formuler des recommandations;
• autorise l’Autorité bancaire européenne, l’Autorité européenne des assurances et des pensions professionnelles et l’Autorité européenne des marchés financiers à collaborer avec les autorités de régulation et de surveillance non européennes sur les risques liés aux prestataires tiers de services TIC;
• exige que les AES soumettent un rapport confidentiel tous les cinq ans au Parlement européen, au Conseil de l’Union européenne et à la Commission européenne sur leurs relations avec les autorités non européennes.

Dispositifs de partage d’informations

Les entités financières peuvent échanger entre elles des informations et des renseignements sur les cybermenaces, à condition que ces échanges:

• visent à renforcer leur résilience numérique opérationnelle;
• se produisent au sein de leurs communautés de confiance;
• protègent la confidentialité des entreprises et les données à caractère personnel, et respectent les règles de la politique de concurrence.

Sanctions et mesures correctives

Les autorités compétentes:

• disposent de tous les pouvoirs de surveillance, d’enquête et de sanction nécessaires à l’accomplissement de leurs tâches;
• imposent, et publient sur leurs sites web, les sanctions administratives et les mesures correctives déterminées par le droit national.

Les AES élaborent des normes techniques de réglementation pour les outils de gestion du risque lié aux TIC, la classification et la déclaration des incidents liés aux TIC et la conduite d’activités de surveillance.

La Commission:

• a le pouvoir d’adopter des actes délégués;
• présente au Parlement et au Conseil, au plus tard le 17 janvier 2028, un réexamen du règlement, après consultation des AES et du Comité européen du risque systémique.

Ce règlement modifie les règlements (CE) n^o 1060/2009, (UE) n^o 648/2012, (UE) n^o 909/2014, (UE) n^o 600/2014 et (UE) 2016/1011.

DEPUIS QUAND CE RÈGLEMENT S’APPLIQUE-T-IL?

Il s’applique à partir du 17 janvier 2025.

CONTEXTE

Les réformes qui ont suivi la crise financière de 2008 ont principalement renforcé la stabilité financière du secteur. Les risques liés aux TIC n’ont été abordés qu’indirectement dans certains domaines et ont continué à poser un problème pour la résilience opérationnelle, la performance et la stabilité du système financier de l’UE.

Le règlement, connu sous le nom de DORA, fait partie d’un ensemble plus large de mesures relatives à la finance numérique visant à encourager le développement technologique et à garantir la stabilité financière et la protection des consommateurs. Ses autres éléments couvrent une stratégie de finance numérique, les marchés des cryptoactifs et la technologie des registres distribués.

Pour de plus amples informations, veuillez consulter:

• Ensemble de mesures sur la finance numérique (Commission européenne).

DOCUMENT PRINCIPAL

Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n^o 1060/2009, (UE) n^o 648/2012, (UE) n^o 600/2014, (UE) n^o 909/2014 et (UE) 2016/1011 (JO L 333 du 27.12.2022, p. 1-79).

DOCUMENTS LIÉS

Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions sur une stratégie en matière de finance numérique pour l’UE [COM(2020) 591 final du 24.9.2020].

Règlement (UE) 2016/1011 du Parlement européen et du Conseil du 8 juin 2016 concernant les indices utilisés comme indices de référence dans le cadre d’instruments et de contrats financiers ou pour mesurer la performance de fonds d’investissement et modifiant les directives 2008/48/CE et 2014/17/UE et le règlement (UE) n^o 596/2014 (JO L 171 du 29.6.2016, p. 1-65).

Les modifications successives du règlement (UE) 2016/1011 ont été intégrées au texte de base. Cette version consolidée n’a qu’une valeur documentaire.

Règlement (UE) n^o 909/2014 du Parlement européen et du Conseil du 23 juillet 2014 concernant l’amélioration du règlement de titres dans l’Union européenne et les dépositaires centraux de titres, et modifiant les directives 98/26/CE et 2014/65/UE ainsi que le règlement (UE) n^o 236/2012 (JO L 257 du 28.8.2014, p. 1-72).

Voir la version consolidée.

Règlement (UE) n^o 600/2014 du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant le règlement (UE) n^o 648/2012 (JO L 173 du 12.6.2014, p. 84-148).

Voir la version consolidée.

Règlement (UE) n^o 648/2012 du Parlement européen et du Conseil du 4 juillet 2012 sur les produits dérivés de gré à gré, les contreparties centrales et les référentiels centraux (JO L 201 du 27.7.2012, p. 1-59).

Voir la version consolidée.

Règlement (CE) n^o 1060/2009 du Parlement européen et du Conseil du 16 septembre 2009 sur les agences de notation de crédit (JO L 302 du 17.11.2009, p. 1-31).

Voir la version consolidée.

dernière modification 10.01.2024