À partir de 2025, les autorités de régulation financière européennes porteront une attention particulière aux cyberrisques et à la résilience numérique, a annoncé l’Autorité européenne des marchés financiers (AEMF). Le sujet a été ajouté en tant que priorité globale pour les régulateurs des États membres de l’UE.
Cette décision vise à renforcer la surveillance de la gestion des risques liés aux technologies de l’information et de la communication (TIC) au sein des entreprises financières. L’objectif est de maintenir la résilience des marchés financiers européens face aux menaces cybernétiques émergentes. Le couplage de cette initiative avec le règlement sur la résilience opérationnelle numérique (Dora Digital Operational Resilience Act) souligne l’approche intégrée de la sécurité numérique que poursuit l’AEMF.
Avec le placement de la résilience numérique au rang de priorité absolue au sein de l’AEMF, les gestionnaires de fonds et d’actifs doivent se préparer à une surveillance plus intense de leurs systèmes internes, de leurs processus et de leur gouvernance en ce qui concerne la sécurité de leurs systèmes TIC. Cette perspective d’une surveillance plus stricte signifie que les entreprises qui doivent encore adapter leurs systèmes ont en réalité encore une année pour éviter le risque de réprimande de la part des régulateurs.
Entrée en vigueur
Les nouvelles priorités de l’UE entreront en vigueur en 2025, en même temps que le cadre du Dora. « Ce calendrier est conçu pour donner aux autorités de surveillance et aux entreprises des États membres suffisamment de temps pour se préparer à se conformer aux nouvelles exigences réglementaires », a déclaré l’AEMF. Entre-temps, l’AEMF et les autorités nationales compétentes entreprendront des travaux préparatoires visant à planifier et façonner les activités de surveillance dans le cadre de cette priorité. »
La Commission de Surveillance du Secteur Financier luxembourgeoise (CSSF) considère également le Dora comme un défi pour les régulateurs eux-mêmes. Le directeur général, Claude Marx, a indiqué dans le rapport annuel 2022 que la CSSF doit s’adapter à ‘cet environnement complexe et évolutif avec des produits, des services et des réseaux numériques « sans compromettre sa mission centrale, la protection des consommateurs et investisseurs et la contribution à la stabilité financière. »
« Pirates de l’équipe rouge »
La CSSF est membre permanent du sous-comité sur la résilience opérationnelle numérique des autorités européennes de surveillance. Elle suit également la mise en œuvre de la directive NIS2 ainsi que du règlement eIDAS et a également commencé à superviser les premiers tests au sein du cadre TIBER-EU, dans lequel les services de renseignement sur la menace et les pirates de l’équipe rouge travaillent ensemble pour tester et améliorer la résilience cybernétique des entités en menant des cyberattaques contrôlées. Aux Pays-Bas, l’AFM collabore avec la DNB dans le cadre du projet TIBER.
L’objectif du Dora est de développer un cadre réglementaire et de surveillance uniforme pour la résilience numérique dans le secteur financier. Cela englobe la gouvernance des TIC, la gestion des risques liés aux TIC, des tests d’intrusion avancés simulant des cyberattaques, l’harmonisation des notifications d’incidents, la gestion des risques liés aux fournisseurs de services TIC externes et le partage d’informations.
Les régulateurs de l’UE devront améliorer leur surveillance et leur contrôle, et élargir leur capacité et leur expertise afin de relever les défis d’un paysage technologique en constante évolution. « Cette évolution indique la mise en place d’un cadre plus robuste pour prévenir et atténuer les effets en cascade potentiels des cyberincidents dans l’ensemble du secteur financier », déclare l’AEMF.
Dans la perspective de 2025, l’AEMF collaborera avec les autorités nationales compétentes telles que l’AFM et la CSSF. Elle est train d’effectuer des travaux préparatoires pour définir les contours des activités de surveillance qui devront être menées dans le cadre de cette priorité révisée.
Qualité des données de marché
Avec la révision des priorités, les cyberrisques et la résilience numérique prendront la place de la qualité des données de marché, un domaine sur lequel l’AEMF et les autorités de surveillance nationales ont exercé une surveillance intensive. Les résultats de ces efforts se manifestent à travers des méthodes uniformes pour la qualité des données, la création de cadres de partage de données, ainsi que le développement d’instruments de surveillance et l’extraction d’informations à partir des données rapportées.
« Garantir la qualité des données reste une responsabilité essentielle des entités sous surveillance », note l’AEMF. « Les entreprises, et en particulier la direction, doivent s’approprier les données qu’elles communiquent et étendre leur utilisation à des fins internes également. Les autorités de surveillance de l’UE poursuivront leur travail de surveillance essentiel dans le domaine de la qualité des données, en utilisant les nouvelles méthodes et les nouveaux instruments développés. »
Ainsi, même si ce sujet ne constitue plus une priorité absolue, « il reste essentiel d’y accorder une attention méticuleuse pour mettre en place une approche de la surveillance basée sur les données, un objectif stratégique clé dans le cadre de la stratégie de l’AEMF », ajoute l’autorité.
Écoblanchiment
Les priorités stratégiques de supervision de l’Union (USSPS) sont considérées comme un instrument permettant à l’AEMF de coordonner les actions de surveillance à l’échelle européenne. Par ailleurs, la prévention de l’écoblanchiment fait partie intégrante de ces priorités. Selon l’AEMF, les autorités de surveillance vont « continuer à affiner les pratiques de divulgation ESG afin de lutter contre l’écoblanchiment, d’améliorer la compréhension des investisseurs et d’intégrer la durabilité dans les conseils. » Cette initiative sera au centre des préoccupations en 2024, et englobera des segments cruciaux tels que les émetteurs, les gestionnaires d’investissement et les entreprises d’investissement au sein de l’écosystème de la finance durable. »