Le 22 décembre 2022, le Règlement (UE) 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (Digital Operational Resilience Act – « DORA ») a été publié en vue d’assurer une résilience opérationnelle numérique au sein de l’Union européenne.

Contexte

Les technologies de l’information et de la communication (« TIC ») contribuent à la bonne marche de l’économie dans des secteurs clés tels que le secteur financier au sein duquel elles revêtent une importance cruciale pour l’exécution des fonctions quotidiennes typiques de tous les établissements financiers.

Au sein de l’Union européenne, le secteur financier est soumis à un corpus réglementaire harmonisé. Toutefois, concernant la résilience opérationnelle numérique et la sécurité des TIC, le cadre juridique présentait jusqu’alors des disparités et des limites qui nuisaient au bon fonctionnement du marché unique des services financiers.

DORA a pour but d’introduire et d’harmoniser les principales exigences opérationnelles numériques dans l’ensemble de l’Union européenne, de manière à rendre les opérations informatiques résilientes face à des perturbations opérationnelles et à des cyberattaques de grande ampleur en imposant de :

• mettre en place des procédures de gestion des risques liés aux TIC ;
• notifier les incidents majeurs liés aux TIC ;
• réaliser des tests de résilience opérationnelle ; et
• encadrer contractuellement les risques liés aux tiers prestataires de TIC.

DORA s’inscrit dans le cadre plus large du paquet législatif sur la finance digitale de la Commission européenne, une initiative visant à mettre au point une approche européenne favorisant le développement technologique tout en garantissant la stabilité financière et la protection des consommateurs. En plus de DORA, cet ensemble contient une stratégie en matière de financement numérique, des propositions sur les marchés de crypto-actifs (MiCA) et une proposition sur la technologie des registres distribués (DLT).

DORA est issue d’une proposition législative de la Commission européenne datant du 24 septembre 2020.

Architecture réglementaire

La publication du règlement DORA s’accompagne d’une Directive (UE) 2022/2556 du 14 décembre 2022, qui modifie les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 déjà existantes afin d’assurer le renvoi de ces dernières à DORA.

En outre, les Autorités européennes de surveillance (European Supervisory Authorities – « ESA ») sont en charge de soumettre des projets de normes réglementaires techniques (« RTS ») et d’exécution (« ITS ») qui seront publiés par la Commission européenne au sein d’actes délégués. Ces textes de niveau 2 permettront de préciser les exigences du règlement DORA.

Le 19 juin 2023, les ESA ont lancé une première consultation publique sur un lot de dispositions dans le cadre du règlement DORA. Il s’agit de quatre projets de normes techniques réglementaires et d’un ensemble de projets de normes techniques d’exécution :

• RTS sur le cadre de gestion des risques liés aux TIC ;
• RTS sur les critères de classification des incidents liés aux TIC ;
• ITS pour établir les modèles pour le registre d’information sur les accords contractuels conclus avec des fournisseurs tiers de TIC ;
• RTS pour spécifier la politique sur les services TIC fournis par des fournisseurs tiers de TIC.

La consultation est ouverte jusqu’au 11 septembre 2023.

Entrée en application

DORA sera directement applicable à l’ensemble des États membres de l’UE à partir du 17 janvier 2025.