Le premier trimestre 2024 est terminé : il ne reste donc que neuf mois avant l’entrée en vigueur du règlement sur la résilience opérationnelle numérique du secteur financier (DORA).
DORA s’applique à la plupart des institutions financières de l’UE, et notamment les sociétés de gestion (OPCVM), les gestionnaires de fonds d’investissement alternatifs (gestionnaires FIA) et les tiers prestataires de services TIC (dont les prestataires de services de cloud computing, de logiciels, de services d’analyse des données et les centres de données). Le 17 janvier 2025, la résilience opérationnelle numérique devra être un fait dans toutes les entités concernées par DORA.
L’autorité néerlandaise des marchés financiers (AFM) publie régulièrement des actualisations ; la dernière, en date du 7 mars 2024, porte sur la gestion des risques TIC. Les deux précédentes étaient intitulées « Bien se préparer pour DORA » et « La gestion des risques TIC des prestataires tiers ». La prochaine, qui paraîtra au cours du deuxième trimestre 2024, portera sur les incidents TIC.
Pour autant que cela ne soit pas encore fait, l’AFM propose aux institutions financières deux axes pour se mettre en conformité avec DORA :
- Les articles DORA 6 à 14 : (i) établir un cadre pour la gestion des risques TIC (y compris pour l’externalisation) et (ii) contrôler le respect des exigences en matière de continuité des opérations.
- Et l’article DORA 15 : élaborer une politique et des procédures pour les actifs TIC, la sécurité des réseaux, le cryptage et la cryptographie.
Au Luxembourg, la Commission de Surveillance du Secteur Financier (CSSF) a d’ores et déjà introduit de nombreuses règles relatives aux TIC et la gestion des risques de sécurité. Elles sont spécifiées dans la circulaire CSSF 22/806 relative à l’externalisation, ou dans la circulaire CSSF 20/750 relative aux exigences en matière de gestion des risques liés aux technologies de l’information et de la communication et à la sécurité. Le 3 avril 2023, la CSSF a lancé une enquête portant sur la préparation à ces exigences auprès de certains gestionnaires de fonds d’investissement au Luxembourg. Il leur était demandé quelles étaient les lacunes constatées et les plans d’atténuation prévus pour chaque pilier de DORA. Cette enquête s’est terminée le 15 juin 2023.
Le 5 janvier 2024, la CSSF a finalement publié sa circulaire 24/847, portant sur le cadre de la notification des incidents TIC et sa FAQ, étendant la portée des incidents TIC à signaler à la CSSF. Cette circulaire doit abroger et remplacer la circulaire CSSF 11/504 relative aux fraudes et incidents dus à des attaques informatiques externes. Les entités qui relèvent du champ d’application doivent classifier les incidents TIC à l’aide de critères indiqués dans la circulaire 24/847 et signaler les incidents majeurs ou de grande ampleur à la CSSF.
La circulaire 24/847 est entrée en vigueur le 1e avril 2024 pour toutes les entités sous contrôle, et entrera en vigueur le 1e juin 2024 pour les gestionnaires FIA. Nous pouvons conclure que dans une certaine mesure, la CSSF se prépare de manière proactive à l’entrée en vigueur prochaine de DORA en contrôlant la volonté des institutions financières luxembourgeoises de respecter les exigences de DORA. Cela ne manquera pas d’accroître davantage la compétitivité et l’attrait du marché luxembourgeois.
Indépendamment de cela et du texte même de DORA, certains thèmes sont abordés dans les « regulatory technical standards » (RTS) en cours d’élaboration. Les RTS pour l’article DORA 15 (Harmonisation accrue des outils, méthodes, processus et politiques de gestion du risque lié aux TIC) et l’article DORA 16 (Cadre simplifié de gestion du risque lié aux TIC) viennent d’être présentés à la Commission européenne et peuvent donc encore être modifiés (bien qu’aucun changement d’envergure ne soit attendu).
Interaction entre DORA, NIS2 et RGPD
DORA n’est pas en soi un règlement autonome pour les institutions financières de la législation européenne. Une certaine prudence s’impose lorsqu’il s’agit de naviguer dans un réseau de divers règlements et directives applicables. Pour les institutions financières, DORA, NIS2 (Network and Information Systems Directive) et le RGPD (Règlement général sur la protection des données) ont une importance particulière et doivent être respectés.
Ces trois textes sont différents : NIS2 cible spécifiquement la cybersécurité dans divers secteurs, parmi lesquels le secteur financier. DORA cible le secteur financier sous l’angle de la résilience opérationnelle numérique, tandis que le RGPD concerne la protection des données dans tous les secteurs.
Tous trois se chevauchent, notamment au niveau de la gestion des risques, pour laquelle les exigences NIS2 et DORA prévoient une gestion robuste des risques ; NIS2 met spécifiquement l’accent sur la cybersécurité, tandis que DORA cible les TIC et la résilience. Un autre chevauchement concerne le signalement des incidents, qui peut être harmonisé pour fonctionner à la fois pour NIS2 et DORA. Les dispositions du RGPD offrent un cadre général devant être utilisé pour le respect de NIS2 et de DORA.
Une compréhension globale des différentes exigences du NIS2, de DORA et du RGPD ainsi qu’une vigilance quant aux chevauchements et aux synergies aideront les institutions financières à établir leur organisation de conformité interne, leur résilience opérationnelle et le respect de la protection des données personnelles.
Conclusion
À l’approche de l’échéance, la mise en œuvre de DORA est en cours. Pour être aussi bien préparés que possible d’ici janvier 2025, les entités et les prestataires de services externes du secteur financier doivent avant toute chose examiner s’ils relèvent ou non du champ d’application.
Si tel est le cas, ces entités doivent évaluer dès que possible la gestion de leurs risques TIC et les éventuels règlements TIC contractuels existants. À cet égard, il convient d’accorder une attention particulière aux chevauchements entre DORA, NIS2 et RGPD afin d’harmoniser les différents flux de travail et de respecter au maximum la réglementation.
Jan Saalfrank est Partner Investment Funds chez Pinsent Masons Luxemburg. Lous Vervuurt est avocat chez Pinsent Masons Nederland et conseille les clients sur la réglementation et l’application de la légismation anti-blanchiment. Le cabinet est partenaire d’Investment Officer.