DORA doit permettre de faire face aux cyberrisques croissants. Quelles réglementations sont prévues ? Qui sera concerné par ces réglementations ?
Nous souhaitons aborder ces questions dans deux articles de blog consécutifs. Dans la première partie, nous rassemblons des informations sur le contrôle et l’organisation et examinons les exigences étendues en matière de gestion des risques liés aux TIC, la notification des incidents liés aux TIC et les risques liés aux fournisseurs tiers de TIC.
Dans la deuxième partie, nous donnons un aperçu des futurs développements et nous discutons de la manière dont les fournisseurs de cloud américains peuvent être intéressés à s’installer dans l’UE.
Partie 2
Le Parlement européen et le Conseil adopteront le texte officiel du règlement probablement à l’automne 2022 et celui-ci sera ensuite publié au Journal officiel de l’Union européenne. On s’attend à ce que le règlement DORA soit applicable dans toute l’UE fin 2024. Dès à présent, les institutions financières et les prestataires de services financiers devraient réfléchir à la mise en œuvre d’une gestion adéquate des risques liés aux TIC et envisager des mesures appropriées.
Les entreprises financières actives dans les transactions financières ont un intérêt intrinsèque à protéger la résilience opérationnelle numérique et à la rendre plus résiliente aux cyberattaques, car les perturbations opérationnelles peuvent entraîner des pertes de chiffre d’affaires considérables et, par conséquent, d’immenses dommages à la réputation. Le fait que les grandes institutions financières, les Fin- et BigTechs, représentent une grande surface de projection pour les attaques de pirates et que la numérisation exponentielle devient de plus en plus pertinente, renforce la nécessité de mettre en œuvre des mesures européennes pour renforcer la résilience opérationnelle numérique des entreprises financières.
Étant donné que les entreprises financières sont généralement très interconnectées, même un cyberincident localisé peut entraîner d’énormes risques systémiques pour le secteur financier et menacer la stabilité financière. Les produits et services fournis par les entreprises financières sont souvent élémentaires pour le fonctionnement d’une société. Les coûts engendrés par une cyberattaque sont souvent très élevés pour la société et les entreprises financières.
D’une part, les entreprises financières pourraient être découragées de signaler les cyberincidents aux autorités compétentes en raison des coûts de notification et des dommages potentiels à leur réputation. D’autre part les rapports sur les cyberincidents pourraient générer des bénéfices externes importants en permettant à d’autres entreprises financières d’identifier et de combler les failles de sécurité. La proposition de règlement n’est toutefois pas proportionnée. La gestion des risques liés aux TIC des entreprises financières devrait se concentrer uniquement sur les éléments critiques de la résilience opérationnelle numérique. DORA, en revanche, couvre tous les composants physiques, les infrastructures, les locaux et les centres de traitement de données, indépendamment de leur risque opérationnel.
DORA oblige les entreprises financières à résilier les contrats avec des fournisseurs tiers critiques de TIC si ceux-ci enfreignent les lois, les règlements, les directives ou les conditions contractuelles, ou si elles y sont contraintes par une autorité de surveillance financière.
Cela devrait augmenter le risque opérationnel pour les entreprises financières, car il pourrait être difficile de trouver des fournisseurs alternatifs appropriés rapidement. Au lieu de cela, DORA devrait encourager une coordination étroite entre les acteurs concernés, articuler une liste de niveaux de sanctions et prévoir au moins des périodes de transition. Un mandat strict de résiliation de contrat devrait être le dernier recours.
La restriction de conclure des contrats de fourniture informatique avec des fournisseurs tiers critiques de TIC issus de pays tiers est une forte atteinte à la liberté contractuelle des entreprises financières européennes. Cette mesure pourrait paradoxalement freiner le renforcement de la résilience opérationnelle numérique, car les sociétés financières pourraient se voir contraintes de conclure des contrats avec des fournisseurs présentant un niveau de cybermaturité inférieur. Cette contrainte a le potentiel de limiter le choix et l’accès à des solutions, produits et services TIC plus cybersécurisés et innovants.
L’objectif de la Commission européenne de réduire la dépendance du secteur financier européen vis-à-vis des fournisseurs de cloud américains ne doit pas se transformer en actionnisme. Une action plus ciblée consisterait à prendre des mesures réglementaires pour inciter ces fournisseurs à établir des filiales dans l’UE, afin qu’ils puissent être surveillés plus efficacement par les autorités de surveillance locales en ce qui concerne les risques opérationnels.
En 2023, l’Autorité bancaire européenne (EBA) aura pour mandat de créer le cadre réglementaire pour MiCAR et DORA. En plus de son rôle de supervision, l’EBA est chargée d’élaborer des directives et des procédures de supervision, ainsi que des lignes de conduite visant à assurer l’échange d’informations entre toutes les parties concernées. Il s’agit notamment des émetteurs de cryptoactifs réglementés, des autorités nationales compétentes, de la BCE et des autres banques centrales concernées. Le temps d’agir est limité, car tout doit être réalisé avant la date d’application de MiCAR et DORA. Le cadre à développer pour DORA fournira un cadre réglementaire pour assurer la surveillance et la limitation des cyberrisques et des incidents liés aux TIC. En revanche, pour le règlement MiCAR, l’EBA devra rédiger des exigences spécifiques concernant l’émission de cryptoactifs et l’offre de services de cryptographie.
 |
|
Source de la figure : EU Digital Operational Resilience Act (DORA) | Compliance | Haufe |
Auteurs : Salar Hydary, Judith Petersen
0 commentaires:
Enregistrer un commentaire