En parallèle de la révision de la directive sur la sécurité des réseaux et des systèmes d’information (directive 2022/2555 du 14 décembre 2022, dite « NIS 2 »), un nouveau texte a été adopté pour compléter la règlementation en matière de systèmes informatiques dans sa dimension de sécurité, le règlement 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier. Ce texte a des effets importants pour les entreprises des secteurs de la banque, de la finance et des assurances, mais aussi pour leurs cocontractants.
Au-delà des lignes directrices en matière d’externalisation, une révision d’ensemble des règles européennes en matière de sécurité informatique s’imposait, de fait, avec l’augmentation exponentielle des cybermenaces. Ainsi, dans le cadre des réflexions menées pour préparer cette révision, il est apparu que l’importance de cette menace pour les institutions financières requérait d’aménager des règles spécifiques les concernant.
C’est ainsi que le règlement sur la résilience opérationnelle numérique du secteur financier (Digital operational resilience Act – « DORA ») a été présenté par la Commission le 24 septembre 2020, en même temps que la proposition de révision de la directive NIS 2.
Ce règlement, plus contraignant qu’une directive, reprend et renforce les règles qui pouvaient exister dans certains textes sectoriels1 et prévoit un cadre harmonisé pour l’externalisation. Des sanctions en cas de carence pourront également être prévues par chaque Etat membre.
DORA : qui est concerné ?
Sont concernées les entités du secteur financier au sens large. Cela inclut, de manière non exhaustive :
- dans le secteur bancaire : les établissements de crédit, de paiement et de monnaie électronique, les prestataires de services d’information sur les comptes ;
- dans la finance, les entreprises d’investissement, les prestataires de services crypto, les sociétés de gestion, les plateformes de négociation, notamment ;
- dans l’assurance les assureurs et leurs intermédiaires ainsi que les institutions de retraite professionnelle, sous certaines conditions de seuil.
- d’autres acteurs, tels que les agences de notation de crédit, les prestataires de crowdfunding, ou encore les référentiels de titrisation.
On notera que la directive NIS n’a plus vocation à s’appliquer aux entités du secteur financier. DORA n’est donc pas un texte complémentaire de la directive NIS, mais un ensemble autonome, la directive NIS prévoyant néanmoins un « filet de sécurité », en son article 4, en cas de carence. Des lignes directrices de l’ENISA, encore non parues, doivent préciser plus nettement l’articulation des deux textes. En outre, si certaines institutions spécifiques sont hors du champ strict de DORA, il apparaît plus que probable que les régulateurs entendront les soumettre à des règles minimales dans un souci d’homogénéisation entre les acteurs.
Quelles obligations pour les entités du secteur financier ?
Quatre types d’obligations sont imposées aux entreprises assujetties en application du règlement DORA :
1 – La nécessité de disposer de capacités globales permettant une gestion solide et efficace des risques liés aux technologies de l’information et de la communication (TIC). Cela implique de disposer de moyens techniques et humains suffisants.
2 – La mise en place de mécanismes et politiques visant à anticiper, gérer et notifier les incidents. Chaque entité doit ainsi élaborer une stratégie globale de résilience opérationnelle numérique, une politique de continuité des activités, des plans de réponse et de rétablissement après sinistre, et des politiques et procédures de sauvegarde et de restauration.
Chaque entité devra déclarer les incidents majeurs. Un règlement délégué, en cours d’adoption, définit de manière plus précise les critères permettant de qualifier un incident de « majeur »2. Cette déclaration s’effectuera auprès du régulateur national (en France l’ANSSI). Des réflexions doivent être menées ultérieurement pour mettre en place une plateforme unique permettant aux régulateurs de centraliser les notifications d’incidents.
3 – Des tests de robustesse des systèmes TIC devront être organisés, en interne, ainsi que des exercices visant à vérifier l’adaptation des stratégies de l’entreprise et la sécurité des prestataires tiers. Par exemple, le plan de continuité de l’activité devra être testé sur une base annuelle. Les règles applicables dépendront de la taille et de la maturité des entités soumises (principe de proportionnalité). Des règlements délégués préciseront le déroulement des différents tests à mener.
4 – Enfin, des formations régulières devront être organisées sur le sujet de la cybersécurité, pour les membres de la direction et pour l’ensemble des employés.
C’est l’organe de direction de chaque entité qui est responsable de la bonne application du règlement DORA : il définit et pilote la stratégie de gestion des risques informatiques de l’entreprise, et un reporting périodique direct doit lui être fait.
En outre, une fonction de contrôle de la résilience opérationnelle de l’entreprise devra être créée. Comme en matière de données personnelles, il est recommandé de minimiser les risques de conflits d’intérêts. Il est ainsi préférable de désigner une personne indépendante de la DSI, mais également des fonctions de contrôle et d’audit interne. Cette fonction pourra être confiée à un prestataire de services externe, sans qu’un transfert de responsabilité puisse l’accompagner, comme cela se pratique déjà pour la désignation d’un délégué à la protection des données.
Les services informatiques sont quant à eux chargés de la mise en œuvre opérationnelle de ces orientations. Des règlements délégués définiront les caractéristiques des protocoles et outils de sécurité, des droits de gestion des accès et de détection des activités anormales.
Quel cadre pour les cocontractants d’une entité financière ?
Les prestataires tiers de services TIC sont directement soumis au règlement DORA. Ils se voient donc imposer des obligations propres qui vont au-delà de simples engagements contractuels induits. C’est la structuration du marché des services TIC qui a motivé cette option, qui peut paraître étrange à première vue : celui-ci est fortement concentré, et les prestataires, notamment de services bureautiques et de services de cloud, n’auraient pas nécessairement accepté d’adapter leurs contrats types pour satisfaire aux contraintes particulières applicables dans le secteur financier3.
Sont concernés les services numériques et de données fournis en continu par l’intermédiaire des systèmes de TIC, tels que : fournisseurs de services d’informatique en nuage, logiciels, services d’analyse de données, fournisseurs de services de centre de données, ainsi que les services par contournement (over the top services – OTT), notamment les services de messagerie et de visiophonie.
Les entités du secteur financier soumises à des risques TIC devront assurer un suivi complet de leurs prestataires de services informatiques, à toutes les étapes de la relation, y compris en phase post-contractuelle. Des obligations de reporting leur sont donc imposées.
Les prestataires de pays tiers désignés comme « prestataires de services critiques » devront disposer, à l’avenir, d’une filiale dans l’Union. Des travaux des régulateurs européens sont actuellement en cours pour fixer des critères de désignation4 puis pour lister ces entités critiques.
Les cocontractants hors du secteur des TIC ne seront impactés que par les politiques contractuelles mises en place par les entités soumises au règlement DORA. Il conviendra d’y apporter une attention particulière, car cela pourra inclure les campagnes de test à organiser, ou la production de politiques et documents visant à s’assurer de la bonne gestion informatique de chaque prestataire.
Le calendrier
Le règlement DORA entrera en application le 17 janvier 2025.
Les différents actes d’exécution nécessaires à sa mise en œuvre (treize sont attendus au total) sont actuellement en cours d’élaboration. Plusieurs consultations publiques ont été lancées5, et une publication échelonnée des différents textes est prévue dans le courant de l’année 2024.
Parallèlement, en France, l’ANSSI prépare activement un projet de loi transposant la directive NIS, qui devrait également adapter le droit français aux exigences du règlement DORA. A suivre…
Points-clés
- Le règlement DORA révolutionne l’approche de la cybersécurité dans le monde financier.
- Il devient le principal texte de référence en la matière.
- Pour les entités du secteur financier, une réflexion globale sur la structuration et le fonctionnement informatique de l’entreprise devra être engagée, et de nouvelles procédures mises en place.
- Les effets de ce nouveau texte sur les prestataires tiers, notamment de services TIC, sont également importants.
Article paru dans Option Finance le 10/01/2024
1) Par exemple, dans la directive sur les services de paiement ou encore dans la directive MIF, ou la cybersécurité était pensée comme un élément pouvant nuire à la robustesse d’ensemble des entités soumises.
2) Le caractère majeur de l’incident dépendra d’un certain nombre de critères, parmi lesquels : le nombre de clients et de transactions touchées, la durée de l’incident, le caractère transfrontalier de l’incident ou encore la criticité des services touchés font partie des éléments qu’il conviendra de prendre en compte.
3) Voir sur ce point le panorama, établi par les régulateurs européens, des fournisseurs de services de technologies de l’information et de la communication dans l’Union rendu public le 19 septembre 2023 (ESA 2023 22).
4) Voir l’avis conjoint des régulateurs européens sur deux projets d’actes délégués spécifiant des critères supplémentaires pour les fournisseurs de services tiers dans le domaine des TIC et déterminant les frais de surveillance prélevés sur ces fournisseurs du 29 septembre 2023 (ESA 2023 23).
5) Une première consultation concerne la désignation des prestataires de services tiers critiques (consultation de la Commission du 16 novembre 2023). La seconde, lancée le 8 décembre 2023, encadre le modèle de déclaration d’incident, les modalités de calcul des coûts et pertes résultant d’incidents majeurs, la sous-traitance des fonctions critiques ou importantes et les tests de pénétration basés sur la menace.
En savoir plus sur notre cabinet d’avocats :
Notre cabinet d'avocats est l’un des principaux cabinets d’avocats d’affaires internationaux. Son enracinement local, son positionnement unique et son expertise reconnue lui permettent de fournir des solutions innovantes et à haute valeur ajoutée dans tous les domaines du droit.
%20(2).jpg?v=2)
Les cookies de réseaux sociaux collectent des données sur les informations que vous partagez à partir de notre site Internet par l’intermédiaire des outils des réseaux sociaux ou des données analytiques afin de comprendre votre parcours de navigation entre les outils des réseaux sociaux ou nos campagnes sur ceux-ci ou nos propres sites Internet. Nous les utilisons pour optimiser les différents canaux de communication afin de vous proposer notre contenu. Des informations détaillées concernant les outils que nous utilisons sont disponibles dans notre Politique de confidentialité.