Flash BankNews n°88 | DORA et les premières RTS/ITS

Le 19 juin 2023, les Autorités Européennes de Surveillance (AES) ont lancé la première consultation publique sur un premier lot de normes techniques et d’implémentation (RTS et ITS) [1] pour faciliter sa mise en œuvre opérationnelle.

Les exigences de DORA seront applicables au 17 Janvier 2025. D’ici là, les entités financières et les prestataires de services devront se préparer et analyser les impacts stratégiques, opérationnels et organisationnels d’une telle réglementation.

Rappel de la règlementation DORA, son champ d’application et les 5 piliers

DORA est une proposition législative qui vise à améliorer la résilience opérationnelle numérique et à assurer la performance et la stabilité du système financier des pays membres de l’Union Européenne face aux risques liés aux TIC (Technologie de l’Information et de la Communication) du secteur financier (cyber -menaces, cyber – attaques).

La règlementation DORA énonce et définit un cadre de surveillance et de maintien de la continuité des activités face à un risque systémique potentiel. Elle pose également un cadre de surveillance pour les fournisseurs de services TIC afin de garantir une gestion de risques mesurée.

Le champ d’application de DORA est assez vaste, puisqu’il s’adresse à 21 types différents d’entités du secteur financier (établissement de crédit, établissement de paiement, les établissements de monnaie électrique, les entreprises d’investissement, les dépositaires de titres, les plates formes de négociation, …).  

La règlementation DORA introduit des exigences qui s’articulent autour de cinq grands piliers essentiels :

-       Le dispositif de gestion des risques liés aux TIC

-       La gestion et le reporting des incidents TIC et des cybermenaces

-       Les tests de résilience opérationnelle numérique

-       La gestion des risques liés aux prestataires de services TIC

-       Le partage d’informations en matière de cybersécurité.

DORA et les premiers projets de RTS/ITS

Afin de respecter l’échéance du 17 janvier 2025 et dans le but de rendre son application opérationnelle, les Autorités Européennes de Surveillance (AES) ont élaboré conjointement un ensemble de 14 textes avec deux échéances principales de soumission : le 17 janvier 2024 pour le premier lot et le 17 juin 2024 pour le deuxième lot.

Une première consultation publique a été lancée sur un premier lot de RTS/ITS et elle porte sur les thématiques suivantes :

Projet sur le cadre d’évaluation des risques liés aux TIC

Il comporte :

-       RTS sur le cadre de gestion des risques liés aux TIC (Art.15)[2]

-       RTS sur le cadre de gestion simplifié de gestion des risques liés aux TIC (Art.16.3).

Combinés en un seul projet et traités de manière conjointe en raison de l’interdépendance des sujets, ils énoncent les exigences concernant :

a) les politiques, procédures, protocoles et outils de sécurité liés aux TIC,

b) les politiques en matière de ressources humaines,

c) la détection et la résolution des incidents liés aux TIC,

d) la gestion de la continuité des opérations, la revue du rapport du dispositif de gestion des risques et

e) la proportionnalité. Ils définissent également un cadre simplifié de gestion des risques adaptés aux cinq [3] catégories d’entités financières de petite taille.

Projet portant sur les critères de classification et le reporting des incidents TIC (Art.18.3)

Le projet de RTS définit les exigences harmonisées pour les entités financières sur :

a) la classification des incidents liés aux TIC,

b) la classification et la définition des seuils de matérialité permettant d’identifier les incidents majeurs devant être notifiés aux autorités compétentes,

c) les critères et seuils à appliquer lors de la classification des incidents significatifs liés aux cyber attaques,

d) les critères à appliquer par les autorités compétentes des Etats membres de l’Union Européenne lors de l’évaluation des incidents majeurs liés aux TIC et de l’échange d’informations prévu entre institutions financières (partage volontaire d’informations et notification aux autorités des accords d’échanges mis en place).

Projet portant sur la gestion du risque de tiers

-       ITS sur l’établissement d’un registre d’informations (Art.28.9)

Ils définissent le modèle de registre d’informations à maintenir à jour par les entités financières et recense les accords contractuels devant être définis avec les prestataires de services TIC notamment la description complète de tous les prestataires de services, les services qu’ils fournissent et les fonctions qu’ils assurent.

-       RTS sur la politique des services TIC fournis par les prestataires (Art.28.10)

Ils définissent les exigences devant être prises en compte tout au long de la durée de vie d’un contrat de distribution de services TIC par les entités financières. En particulier, ils précisent le cadre d’utilisation des services TIC par des prestataires notamment sur les aspects suivants :

a) la phase précontractuelle,

b) le suivi des accords et

c) les clauses de sortie et les processus de résiliation du contrat.

Les prochaines étapes

La consultation publique est disponible jusqu’au 11 septembre 2023.

Pour conclure, le règlement DORA suppose des changements organisationnels et structurels. Les établissements doivent d’ores et déjà prendre leurs dispositions afin de se mettre en ordre de marche pour le rendez-vous du 17 janvier 2025.  Nos équipes spécialisées sont à vos côtés pour vous aider à les mettre en œuvre.

[1]  RTS: Regulatory Technical Standard; ITS: Implementing Technical Standards

[2] Les articles mentionnés tout au long du document font référence à la règlementation DORA publiée dans le Journal Officiel de l’Union Européenne

[3] Il s’agit ici de Petites entreprises d’investissement non connectées ; Etablissement de paiement exempté en vertu de la directive (UE) 2015/2366 ; Etablissements exemptés en vertu de la directive 2023/36/UE pour lesquels les Etats membres ont décidé de ne pas appliquer l’option visée de l’article 2 paragraphe 4 de DORA ; aux Etablissements de monnaie électronique exemptés en vertu de la directive 2009/110/CE et petites institutions de retraite professionnelle.