Il y a environ un an était publié le texte officiel du règlement européen du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier[1] (règlement DORA).
Ce règlement énonce un certain nombre d’exigences visant à prévenir et atténuer les cybermenaces du secteur financier. L’objectif est d’atteindre un niveau élevé de résilience opérationnelle numérique au sein des Etats membres. L’entrée en application de ces exigences est prévue au 25 janvier 2025. Il reste donc un peu plus d’une année aux entreprises concernées pour se mettre en conformité et établir leur plan d’actions de conformité à la règlementation DORA.
Champ d’application
Le règlement DORA sera directement applicable dans tous les Etats membres. Il définit des normes et obligations s’imposant aux entités financières tels que[2] :
- Les établissements de crédit ;
- Les établissements de paiement ;
- Les entreprises d’assurance et de réassurance ;
- Les intermédiaires d’assurance et intermédiaires de réassurance.
Un certain nombre d’exigences sont également applicables aux prestataires de services tiers fournissant aux entités financières des TIC.
Les nouvelles exigences imposées par le règlement DORA impliqueront pour les entités financières concernées la réalisation de plusieurs actions au sein de leur organisation, dont notamment :
- la détermination d’un cadre organisationnel de gouvernance et de contrôle permettant la gestion des risques liés aux TIC (e.g., stratégies, protocoles)[3];
- la mise en place d’un cadre de gestion des risques liés aux TIC comprenant l’adoption de politiques appropriées (e.g., politique de continuité des activités complète et spécifique, politiques et procédures de sauvegarde)[4];
- la mise en place de processus de gestion des incidents liés aux TIC répondant à certains critères [5];
- la réalisation de tests de résilience opérationnelle[6];
- la mise en place de dispositifs de partage d’informations. [7]
Le Règlement DORA impose également un cadre de gestion des risques liés aux prestataires tiers de TIC impliquant notamment :
- la tenue d’un registre des prestataires tiers de TIC par les entités financières ;
- la gestion et le respect d’obligations dans les contrats avec les prestataires tiers de TIC ;
- la supervision par les autorités compétentes de prestataires tiers de TIC désignés comme critiques.
Ces obligations seront évaluées par les autorités compétentes selon le principe de proportionnalité[8].
Orientations pratiques
Ce règlement peut d’ores et déjà amener les entités concernées à des premières actions concrètes sur les trois volets suivants.
- Audit de la situation existante ;
- Mise en place de comités exécutif ou de pilotage ;
- Mise en conformité sur le plan contractuel
L’audit de la situation existante vous permet de faire un premier bilan des contrats concernés et des prestataires de services de TIC concernés pour la mise en conformité à DORA.
Puis, la mise en place de comités exécutifs ou de pilotage vous permettront de cerner les personnes qui pourront se charger des actions de mise en conformité à DORA et mettrons à jour un tableau de bord de suivi de la conformité.
Enfin, la phase de mise en conformité sur le plan contractuel sera probablement la phase la plus longue et la plus complexe. Cette phase peut à notre sens se décomposer de la manière suivante pour vous aider à appréhender la direction :
- Qualification des contrats : mise en place de critères de qualification en fonction de l’objet du contrat (externalisation et autres) et du caractère important ou critique du co-contractant (co-contractant situé hors UE)
- Mise à jour contractuelle
Cette mise à jour contractuelle ciblera à notre sens certaines clauses.
Nous mettons en exergue l’écueil souvent rencontré dans notre pratique de négociation contractuelle : lors d’une mise à jour de clauses, il est toujours conseillé de se concentrer sur la position de première intention ou position de principe que vous voulez adopter, et cela même si cette position de principe est susceptible d’évoluer en fonction de contraintes extérieures au domaine juridique (contraintes financière, calendaires en particulier).
Nous évoquerons à titre illustratif le cas de la clause d’audit.
D’un point de vue opérationnel, la clause veillera aux conditions de réalisation des opérations d’audit à adapter en fonction du secteur d’activité de l’entité financière, du principe de proportionnalité au risque lié aux TIC de l’entité financière et aux autres réglementations parfois applicables en matière d’audit.
Ainsi, les thématiques pourront être les suivantes :
- Le périmètre auditable c’est-à-dire les cas ou opérations : en particulier, crise, urgence, audit sur pièce ou sur place, audit des sous-traitants ultérieures. La réglementation fait aussi référence aux « droits d’accès », d’inspection et d’audit illimités pour le client dès lors que les prestataires TIC exécutent des services soutenant des fonctions critiques ou importantes ;
- Les auditeurs : les audits peuvent être effectués par des personnes chez le client (département interne Audit ou équivalent en fonction de l’organisation de l’entité financière concernée), par une entreprise mandatée par lui ou par une société mandatée par le fournisseur ou prestataire de TIC ;
- La fréquence des audits et la temporalité de l’audit (période d’audit et préavis) ;
- Le cout des audits ainsi que sa charge.
L’APRN peut vous fournir des informations complémentaires sur l’audit et la mise en conformité des contrats informatiques concernés ou encore favoriser un partage d’expérience.
[1] Règlement (UE) 2022/2554 du Parlement européen et du Conseil et modifiant les règlements (CE) n°1060/2009, (UE) n°648/2012, (UE) n°600/2014, (UE) n°909/2014 et (UE) 2016/1011
[2] Article 2 du Règlement DORA
[3] Article 5 du Règlement DORA
[4] Article 6 et suivants du Règlement DORA
[5] Article 17 du Règlement DORA
[6] Article 24 du Règlement DORA
[7] Article 45 du Règlement DORA
[8] Article 4 du Règlement DORA