L’association européenne de gestion de fonds et d’actifs, l’Efama, a exprimé sa profonde inquiétude quant aux normes de mise en œuvre réglementaire et technique proposées pour le Digital Operational Resilience Act, le plan de cybersécurité connu sous le nom de Dora, critiquant les mesures comme étant excessivement larges et disproportionnées.
Dans une réponse à la consultation publique lancée par les autorités européennes de surveillance, l’Efama affirme que le principe de proportionnalité n’est pas suffisamment pris en compte dans Dora. Le champ des entités couvertes par Dora est vaste, allant des établissements de crédit et de paiement aux compagnies d’assurance et aux gestionnaires d’actifs, chacun ayant des structures, des tailles et des modèles d’entreprise différents.
L’Efama estime qu’une approche unique serait trop contraignante, en particulier pour les gestionnaires d’actifs.
Une approche nuancée est nécessaire
Nous préconisons une approche nuancée qui prend en compte la taille, la complexité et les caractéristiques critiques des systèmes et des fonctions d’une entité», a déclaré Zuzanna Bogusz, conseillère en politique réglementaire à l’Efama, dans un communiqué. En particulier dans le domaine de la gestion des risques liés aux TIC, les entités ont des appétences et des capacités différentes en matière de risques.
L’Efama a également critiqué la complexité des modèles proposés pour les accords contractuels relatifs aux services TIC. L’Efama estime que l’obligation de tenir ces registres à la fois au niveau de l’entité et au niveau consolidé est inutile et redondante. Cela va à l’encontre des normes de base en matière de responsabilité. L’Efama s’interroge également sur la raison pour laquelle les informations sur les contrats résiliés doivent être conservées pendant cinq ans et sur l’inclusion de données contractuelles sensibles.
Les informations sur les fournisseurs externes de services TIC pourraient être fournies plus efficacement par les fournisseurs de services eux-mêmes, plutôt que de charger les entités financières», a déclaré M. Bogusz.
Incidents liés aux TIC
Bien que l’Efama apprécie la tentative de clarifier la classification des incidents liés aux TIC, elle souligne les lacunes de la méthodologie proposée. Le projet prévoit une surveillance continue basée sur différents critères, une pratique qui pourrait ne pas être efficace pour détecter les incidents majeurs et qui pourrait au contraire diluer l’attention en augmentant le nombre d’incidents identifiés.
Un pourcentage élevé d’incidents classés comme «majeurs» compromettrait l’attention portée aux menaces réellement dangereuses», ajoute M. Bogusz. La forte bureaucratie des normes proposées nuit à l’objectif de résilience opérationnelle.
D’autres consultations dans les mois à venir
D’autres consultations techniques sur Dora devraient être lancées par les régulateurs dans les mois à venir. Selon M. Efama, ces consultations sont l’occasion de mettre l’accent sur des mécanismes efficaces de prévention des risques et de réaction rapide plutôt que sur des procédures bureaucratiques.
Dans le secteur de la gestion d’actifs, nous devrions nous concentrer sur la prévention, la détection et la réponse rapide aux menaces, plutôt que d’être submergés par les tâches administratives», a déclaré M. Bogusz.
Pour les professionnels de la finance, la critique de l’Efama indique des préoccupations importantes qui pourraient affecter non seulement les gestionnaires d’actifs, mais aussi un plus grand nombre d’entités du secteur financier si la proposition Dora actuelle est adoptée sans modifications significatives.