Flash BankNews n°91 | DORA : lancement de la seconde consultation sur les normes (RTS, ITS et GL)

Après la publication au Journal Officiel de l’Union Européenne le 16 janvier 2023, le règlement DORA (Digital Operational Resilience Act), qui vise à renforcer la résilience opérationnelle numérique des acteurs des secteurs bancaires et financiers a fait l’objet de nouvelles avancées.

Le 8 décembre 2023, les Autorités Européennes de Surveillance (AES) ont lancé la seconde consultation publique sur un lot de normes techniques, d’implémentation et de lignes directrices (RTS, ITS et GL)[1] pour faciliter sa mise en œuvre opérationnelle.

Les exigences de DORA seront applicables au 17 Janvier 2025. D’ici là, les entités assujetties devront se préparer et analyser les impacts stratégiques, opérationnels et organisationnels d’une telle réglementation.

Rappel du calendrier de mise en œuvre de DORA

DORA est une proposition législative qui vise à améliorer la résilience opérationnelle numérique et à assurer la performance et la stabilité du système financier des pays membres de l’Union Européenne face aux risques liés aux TIC (Technologie de l’Information et de la Communication) du secteur financier (cyber -menaces, cyber – attaques).

Après son entrée en vigueur et en vue de son application en janvier 2025, les régulateurs européens procèdent à des consultations sur les normes édifiant les exigences pour les entités assujetties. Une première vague de normes RTS/ITS[2] a été publiée par les AES le 16 juin 2023 avec un appel à consultation jusqu’au 11 septembre 2023 (les textes définitifs seront publiés en janvier 2024). Pour le second lot de textes d’application, publié le 8 décembre 2023, l’échéance de la consultation est fixée au 4 mars 2024.

DORA et les seconds projets de RTS/ITS/GL

Dans le but de rendre son application opérationnelle, les Autorités Européennes de Surveillance (AES) ont élaboré conjointement un ensemble de 14 textes divisés en deux lots, le second batch concerne les thématiques suivantes :

RTS portant sur le contenu, les délais et le modèle des rapports d’incidents liés aux TIC (art. 20)

Le projet de RTS couvre trois aspects distincts au titre de DORA :

a)    Le contenu des rapports d’incidents majeurs liés aux TIC ;

b)    Les délais de déclaration d’une notification initiale, intermédiaire et finale pour chaque incident ;

c)    Le contenu de la notification pour les cybermenaces majeures.

Il est associé à un projet de normes d’implémentation qui introduit les exigences générales dans la constitution d’un rapport, notamment le modèle et le format. Il fournit également un glossaire des données, des caractéristiques concernant les champs de données et des instructions sur la manière de les remplir.

RTS portant sur les pertes et coûts agrégées résultant d’incidents majeurs (art. 11)

Cette proposition de lignes directrices (GL) précise le calcul et l’estimation des coûts et des pertes annuelles agrégés causés par chaque incident majeur. Elles introduisent également un rapport couvrant l’ensemble de ces coûts et pertes bruts et nets ainsi que les recouvrements financiers pour chaque incident majeur lié aux TIC.

Il propose :

-  d’appliquer la même approche que la norme technique réglementaire à venir sur les incidents majeurs,

-  de fixer la période de référence pour l’agrégation de tous les coûts et pertes afin de faciliter l’estimation sur les bases des chiffres disponibles dans les états financiers validés,

-  de n'inclure que les incidents liés aux TIC qui ont été classés comme majeurs et pour lesquels l’entité a fourni un rapport d’incident final,

-  de présenter la ventilation de l’ensemble des coûts et des pertes bruts et nets ainsi que des recouvrements financiers pour chaque incident majeur lié aux TIC afin d’étayer les chiffres globaux.

RTS sur la sous-traitance de fonctions critiques ou importantes (art. 30)

Ce projet de RTS intègre :

-  les spécifications supplémentaires pour la détermination et l’évaluation des sous-traitants soutenant des fonctions critiques ou importantes,

-  le suivi des accords entre les entités financières et les fournisseurs de services TIC,

-  la définition des exigences clés sur l’utilisation de services sous-traités par les entités financières.

Les entités assujetties devront formaliser les éléments suivants dans le cadre de la sous-traitance de fonctions critiques ou importantes liées aux TIC :

-  l’évaluation des risques avant d’autoriser la sous-traitance,

-  les exigences sur les accords contractuels,

-  le suivi des accords de sous-traitance,

-  l’information des changements importants,

-  les droits de sortie et de résiliation.

RTS sur l’harmonisation des conditions de supervision (art. 41)

L’objectif principal de ce projet de RTS est d’harmoniser les exigences entre les réglementations et d’instaurer des conditions de surveillance efficaces vis-à-vis des prestataires de services tiers critiques (CTPP)[1], des entités financières et des autorités de surveillance. Il précise :

a) Les informations à fournir par un prestataire de services TIC tiers dans le cadre d’une désignation volontaire comme critique.

b) Le contenu, la structure et le format des informations que les prestataires de services TIC tiers doivent soumettre, divulguer ou communiquer au superviseur principal (LO)[2].

c) Des spécifications sur l’évaluation par les autorités compétentes, des mesures prises par les CTTP sur la base des recommandations des LO.

Lignes directrices sur la coopération entre les autorités de surveillance et les AES (art. 32)

Ce projet de lignes directrices couvre les domaines suivants :

- Considérations générales : la langue, les moyens de communication, les points de contact et les divergences d’opinion entre les différentes autorités.

- Désignation des prestataires de services TIC tiers critiques : les échanges d’informations entre le LO, les autorités compétentes et le forum de supervision concernant la désignation de ces prestataires de services.

- Activités de supervision : les procédures et échanges d’informations relatifs au plan de supervision annuel, aux enquêtes générales, aux inspections et aux mesures prises par les autorités compétentes concernant les CTTP de TIC.

- Suivi des recommandations : les échanges d’informations entre le LO et les autorités compétentes afin d’assurer le suivi des recommandations et la décision de suspension ou de résiliation, par les entités financières, de leur contrat avec un CTTP de TIC.

RTS portant sur les tests d’intrusion fondés sur la menace (TLPT)[1]

L’article 26 de la réglementation DORA impose à certaines entités financières d’effectuer au moins tous les trois ans des tests avancés au moyen de TLPT. Il définit également :

-  Les critères identifiant les entités chargées d’effectuer des TLPT

-  Les normes et exigences concernant les testeurs internes

-  Les exigences relatives à la méthodologie, au champ d’application, aux résultats, à la clôture et aux mesures correctives

-  Le type de coopération pertinente à la mise en œuvre des TLPT

-  La facilitation de la reconnaissance mutuelle

Les prochaines étapes

La consultation publique est disponible jusqu’au 4 mars 2024.

Pour conclure, le règlement DORA suppose des changements organisationnels et structurels. Les établissements doivent d’ores et déjà prendre leurs dispositions afin de se mettre en ordre de marche pour le rendez-vous du 17 janvier 2025. Nos équipes spécialisées sont à vos côtés pour vous aider à les mettre en œuvre.

[1] TLPT: Thread-Led Penetration Test

[1] CTTP: Critical Third-Party Service Providers

[2] LO : Lead Supervisor

[1] RTS: Regulatory Technical Standard; ITS: Implementing Technical Standards; GL: Guidelines

[2] Lien vers cette publication : Flash BankNews n°88 | DORA et les premières RTS/ITS