Le règlement (UE) 2022/2554 établit des règles uniformes en matière de sécurité des réseaux et des systèmes d’information des entités financières, telles que les banques, les compagnies d’assurance et les entreprises d’investissement.
Elle couvre un large éventail d’entités financières réglementées de l’Union européenne (UE), leur demandant de résister, de répondre et de se remettre de toute perturbation ou menace impliquant les technologies de l’information et de la communication (TIC).
les établissements de crédit, de paiement, de monnaie électronique et de retraite professionnelle;
les prestataires de services d’information sur les comptes, sur cryptoactifs, de communication de données, de financement participatif et les prestataires tiers de services TIC;
aux entreprises d’investissement, aux fonds d’investissement alternatifs, aux sociétés de gestion, aux agences de notation de crédit et aux administrateurs d’indices de référence d’importance critique;
les référentiels centraux et des titrisations, les dépositaires centraux de titres, les contreparties centrales et les plateformes de négociation;
des entreprises d’assurance, d’intermédiaire d’assurance et de réassurance.
Gestion du risque lié aux TIC
Les entités financières, autres que les microentreprises, doivent:
mettre en place une gouvernance et des mesures de contrôle internes qui assurent une gestion efficace et prudente du risque lié aux TIC;
s’assurer que leur organe de direction définit, approuve, supervise et assume toutes les dispositions pertinentes;
mettre en place un cadre solide, complet et bien adapté pour la gestion du risque lié aux TIC avec les stratégies, les politiques, les procédures, les protocoles et les outils nécessaires afin de réagir rapidement et efficacement;
utiliser et maintenir à jour des systèmes, protocoles et outils TIC appropriés, fiables, résistants sur le plan technologique et dotés d’une capacité suffisante;
identifier, classer et documenter de manière adéquate toutes les fonctions, rôles et responsabilités professionnels que sous-tendent les TIC et examiner les scénarios de risques;
surveiller en permanence la sécurité et le fonctionnement des systèmes et des outils TIC afin de minimiser l’impact de tout risque lié aux TIC;
détecter rapidement les anomalies et identifier les points de défaillance potentielle;
mettre en place une politique globale de continuité des activités dans le domaine des TIC, assortie de plans, de procédures et de mécanismes appropriés;
élaborer et documenter des politiques de sauvegarde et des procédures de restauration et de rétablissement;
déployer des ressources et du personnel pour évaluer les vulnérabilités et les cybermenaces, les incidents liés aux TIC, en particulier les cyberattaques, et analyser leur impact potentiel sur la résilience opérationnelle numérique de l’entité;
élaborer des plans de communication en cas de crise afin de divulguer aux clients, aux organisations et au public au moins les principaux incidents ou vulnérabilités liés aux TIC.
Gestion, classification et notification des incidents liés aux TIC
Les entités financières doivent:
définir, établir et mettre en œuvre des mesures pour détecter, gérer, enregistrer et signaler les incidents liés aux TIC;
classer les incidents et déterminer leur impact en utilisant des critères tels que le nombre de clients et de leurs contreparties touchées, la durée, la répartition géographique et les pertes de données;
Les entités financières, autres que les microentreprises, doivent:
établir, maintenir et examiner un programme solide et complet de tests opérationnels numériques solide et complet comprenant les évaluations, les tests, les méthodologies, les pratiques et les outils nécessaires;
effectuer, tous les trois ans au moins, des tests de pénétration du niveau de menace basés sur leur profil de risque et tenant compte des circonstances opérationnelles, et utiliser uniquement des testeurs certifiés, possédant l’expertise et l’aptitude nécessaires et ayant une assurance de responsabilité civile professionnelle.
Gérer le risque lié aux prestataires tiers de services TIC
Les entités financières doivent:
gérer le risque lié aux prestataires tiers en tant que composant intégral de leur risque global lié aux TIC;
mettre en place des accords contractuels pour permettre aux services TIC d’exécuter leurs opérations commerciales dans le plein respect de la législation concernée;
tenir compte de la nature, de l’ampleur, de la complexité et de l’importance des relations de dépendance en matière de TIC et de tout risque potentiel;
évaluer les avantages et les coûts des solutions alternatives lors de l’identification et de l’évaluation des risques encourus;
inclure dans le contrat les droits et obligations de chaque partie et l’accord de service.
Cadre de surveillance des prestataires tiers critiques de services TIC
désigner, sur la base de critères clairs, les prestataires tiers de services TIC considérés comme critiques pour les entités financières,
nommer, en tant que superviseur principal de chaque prestataire tiers critique de services, l’AES responsable de l’entité financière concernée;
établit un forum de supervision pour:
examiner les évolutions pertinentes dans le domaine des risques et des vulnérabilités liés aux TIC et promouvoir une approche cohérente au niveau de l’UE en matière de surveillance,
évaluer les activités de surveillance chaque année, promouvoir des initiatives visant à accroître la résilience opérationnelle numérique et favoriser les meilleures pratiques,
soumettre des indices de référence exhaustifs pour les prestataires tiers critiques de services de TIC;
charge le superviseur principal:
d’être le point de contact principal pour les fournisseurs tiers critiques de services de TIC;
d’évaluer si chaque fournisseur critique dispose de règles, de procédures, de mécanismes et de dispositions exhaustives, solides et efficaces;
de demander toutes les informations et tous les documents utiles, mener des enquêtes et des inspections (y compris dans les pays tiers), prévoir des mesures correctives et formuler des recommandations;
Critères de désignation des prestataires critiques
En vertu du règlement délégué (UE) 2024/1502, les prestataires tiers de services TIC peuvent être désignés comme critiques et placés sous la surveillance directe des AES à l’issue d’une évaluation en deux étapes.
Étape1— critères quantitatifs
Le prestataire doit respecter des seuils mesurables, tels que:
le nombre d’entités financières, ou la part de leurs actifs totaux, qui dépendent des services du prestataire;
si ses services peuvent être remplacés ou si passer à un autre prestataire serait difficile ou coûteux.
Étape2— critères qualitatifs
Les prestataires qui satisfont à l’étape 1 sont ensuite évalués au regard de considérations plus larges, notamment:
l'incidence systémique potentielle en cas de perturbation de leurs services;
le degré d’interdépendance entre les entités financières qui utilisent le même prestataire;
la criticité des fonctions prises en charge;
le recours à des sous-traitants communs.
Un prestataire n’est désigné comme critique que lorsqu’il satisfait aux critères des deux étapes.
Dispositifs de partage d’informations
Les entités financières peuvent échanger entre elles des informations et des renseignements sur les cybermenaces, à condition que ces échanges:
visent à renforcer leur résilience numérique opérationnelle;
se produisent au sein de leurs communautés de confiance;
protègent la confidentialité des entreprises et les données à caractère personnel, et respectent les règles de la politique de concurrence.
Sanctions et mesures correctives
Les autorités compétentes:
disposent de tous les pouvoirs de surveillance, d’enquête et de sanction nécessaires à l’accomplissement de leurs tâches;
imposent, et publient sur leurs sites web, les sanctions administratives et les mesures correctives déterminées par le droit national.
Les AES élaborent des normes techniques de réglementation pour les outils de gestion du risque lié aux TIC, la classification et la déclaration des incidents liés aux TIC et la conduite d’activités de surveillance.
La Commission:
a le pouvoir d’adopter des actes délégués;
présentera au Parlement et au Conseil, au plus tard le , un réexamen du règlement, après consultation des AES et du Comité européen du risque systémique.
Les réformes qui ont suivi la crise financière de 2008 ont principalement renforcé la stabilité financière du secteur. Les risques liés aux TIC n’ont été abordés qu’indirectement dans certains domaines et ont continué à poser un problème pour la résilience opérationnelle, la performance et la stabilité du système financier de l’UE.
Le règlement, connu sous le nom de DORA, fait partie d’un ensemble plus large de mesures relatives à la finance numérique visant à encourager le développement technologique et à garantir la stabilité financière et la protection des consommateurs. Ses autres éléments couvrent une stratégie de finance numérique, les marchés des cryptoactifs et la technologie des registres distribués.
Pour de plus amples informations, veuillez consulter:
Règlement (UE) 2022/2554 du Parlement européen et du Conseil du sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) No 1060/2009, (UE) No 648/2012, (UE) No 600/2014, (UE) No 909/2014 et (UE) 2016/1011 (JO L 333 du , pp. 1–79).
Les modifications successives du règlement (UE) 2022/2554 ont été intégrées au texte de base. Cette version consolidée n’a qu’une valeur documentaire.
DOCUMENTS LIÉS
Règlement délégué (UE) 2024/1502 de la Commission du complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par la définition des critères de désignation de prestataires tiers de services TIC comme critiques pour les entités financières (JO L, 2024/1502, ).
Communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions sur une stratégie en matière de finance numérique pour l’UE [COM(2020) 591 final du ].
Règlement (UE) 2016/1011 du Parlement européen et du Conseil du concernant les indices utilisés comme indices de référence dans le cadre d'instruments et de contrats financiers ou pour mesurer la performance de fonds d'investissement et modifiant les directives 2008/48/CE et 2014/17/UE et le règlement (UE) n° 596/2014 (JO L 171 du , p. 1-65).
Règlement (UE) n ° 909/2014 du Parlement européen et du Conseil du concernant l’amélioration du règlement de titres dans l’Union européenne et les dépositaires centraux de titres, et modifiant les directives 98/26/CE et 2014/65/UE ainsi que le règlement (UE) n ° 236/2012 (JO L 257 du , p. 1-72).
Règlement (UE) n ° 600/2014 du Parlement européen et du Conseil du concernant les marchés d’instruments financiers et modifiant le règlement (UE) n ° 648/2012 (JO L 173 du , p. 84-148).
Règlement (UE) n ° 648/2012 du Parlement européen et du Conseil du sur les produits dérivés de gré à gré, les contreparties centrales et les référentiels centraux (JO L 201 du , p. 1-59)