Compte tenu des risques croissants de cyberattaques, l’Union européenne renforce la sécurité informatique dans différents secteurs, en particulier celle des institutions financières telles que les banques, les compagnies d’assurance et les entreprises d’investissement.

Les présidences du Conseil et du Parlement européens sont parvenues à un accord provisoire sur le règlement sur la résilience opérationnelle numérique (DORA), qui garantit que le secteur financier européen est en mesure de maintenir des activités résilientes en cas de perturbation opérationnelle grave.
DORA établit des exigences uniformes pour la sécurité des réseaux et des systèmes d’information des entreprises et organisations qui opèrent dans le secteur financier, ainsi que des tiers fournissant des services liés aux TIC (technologies de l’information et de la communication), tels que des plateformes cloud ou des services d’analyse de données.
DORA crée un cadre réglementaire sur la résilience opérationnelle numérique dans lequel toutes les entreprises doivent s’assurer de pouvoir résister, réagir et se remettre de tous les types de perturbations et de menaces liées aux TIC. Ces exigences sont homogènes pour tous les États membres de l’UE. Le principal objectif est de prévenir et de réduire les cybermenaces.
En vertu de l’accord provisoire, les nouvelles règles constitueront un cadre très solide qui renforcera la sécurité informatique dans le secteur financier. Les efforts demandés aux institutions financières seront proportionnels aux menaces potentielles.
Les fournisseurs importants de services TIC des institutions financières de l’UE basés dans des pays tiers seront tenus d’établir une filiale au sein l’UE pour que la surveillance puisse être correctement mise en œuvre.
En ce qui concerne le cadre de surveillance, les colégislateurs se sont mis d’accord sur l’adoption d’un réseau de surveillance conjoint supplémentaire, qui renforcera la coordination entre les autorités européennes de surveillance sur ce point intersectoriel.
En ce qui concerne les chevauchements entre DORA et la directive sur la sécurité des réseaux et des systèmes d’information (directive SRI), en vertu de l’accord provisoire, les institutions financières sauront très clairement les différentes règles qu’elles doivent respecter en matière de résilience opérationnelle numérique, surtout les institutions financières détenant plusieurs agréments et opérant sur différents marchés en sein de l’UE. La directive SRI s’applique toujours. DORA se base sur la directive SRI et traite les éventuels chevauchements par une exemption de lex specialis.
L’accord provisoire conclu est en attente d’approbation par le Conseil et le Parlement européens avant de faire l’objet d’une procédure d’adoption formelle.
Une fois que la proposition DORA aura été officiellement adoptée, chaque État membre de l’UE devra l’adopter. Les Autorités européennes de surveillance (AES), comme l’Autorité bancaire européenne (ABE), l’Autorité européenne des marchés financiers (AEMF) et l’Autorité européenne des assurances et des pensions professionnelles (AEAPP) élaboreront des normes techniques pour toutes les institutions de services financiers, de la banque à l’assurance, en passant par la gestion d’actifs. Les autorités nationales compétentes respectives assumeront des tâches de surveillance de la conformité et feront respecter le règlement si nécessaire.
Cet ensemble de règles comble une lacune dans la législation européenne existante et garantit que le cadre juridique actuel ne crée pas d’obstacles à l’utilisation de nouveaux instruments financiers numériques, tout en veillant à ce que ces nouvelles technologies et ces nouveaux produits entrent dans le champ d’application de la réglementation financière et des dispositifs de gestion des risques opérationnels des entreprises actives dans l’UE. Ces règles visent ainsi à soutenir l’innovation et l’adoption de nouvelles technologies financières, tout en assurant un niveau approprié de protection des consommateurs et des investisseurs.
_____
Aquest apunt en català / Esta entrada en español / This post in English