Compte tenu des risques toujours plus importants de cyberattaques, l’UE renforce la sécurité informatique des entités financières telles que les banques, les compagnies d’assurance et les entreprises d’investissement. Le Conseil a adopté le règlement sur la résilience opérationnelle numérique du secteur financier (règlement DORA), qui doit permettre au secteur financier européen de rester résilient en cas de perturbation opérationnelle grave (Publication au JOUE du 27/12/2022)
Ce règlement d’application directe dans les Etats membres vise à imposer des exigences uniformes relatives à la sécurité d es réseaux et des systèmes d’information sous-tendant les processus opérationnels des entités financières. Ce texte sectoriel s’appliquera, entre autres, aux intermédiaires d’assurance et de réassurance qui sont des personnes morales qui emploient plus de 250 personnes et dont le CA annuel excède 50 millions€ ; ce champ d’application réduit aux plus gros cabinets de courtage a été obtenu grâce à l’action conjointe de PCSCA et le BIPAR.
Le règlement repose sur 5 piliers :
-
- La mise en place d’un Cadre de gestion des risques informatiques qui soit solide, complet et documenté
- Un reporting obligatoire à l’ACPR des incidents informatiques majeurs
- La mise en œuvre d’un programme de tests de résilience opérationnelle (tests annuels et pour certains des tests d’intrusion fondés sur la menace)
- La mise en place d’un cadre de gestion du risque présenté par les fournisseurs tiers de services informatiques
- La possibilité d’organiser entre entités financières des dispositifs de partage d’informations et de renseignements sur les cybermenaces.
Le Règlement prévoit également un nouveau cadre de surveillance pour les fournisseurs tiers critiques de services informatiques, comme les fournisseurs de cloud, qui seront « supervisés » par l’autorité européenne des assurances et des pensions professionnelles (EIOPA) qui veillera à ce que le niveau de sécurité et de disponibilité des services soit suffisamment élevé.
Ce règlement entrera en application le 17/01/25 permettant ainsi à la Commission européenne, aidée par les autorités de contrôle européennes EIOPA, EBA et ESMA, de publier les actes délégués qui viendront préciser certaines exigences de DORA (niveau I) et constitueront le niveau II de cette nouvelle réglementation visant à renforcer la cybersécurité des entités financières européennes.