Mise à jour DORA : un certain nombre de gérants d’actifs ont encore beaucoup de pain sur la planche pour respecter les exigences DORA avant le 17 janvier 2025, date à laquelle l’AFM et la Nederlandsche Bank commenceront leur surveillance.
Dans notre précédent article pour Investment Officer, nous avions annoncé que l’AFM, le régulateur néerlandais des marchés financiers, allait publier une mise à jour concernant les incidents liés aux TIC pour la mise en œuvre du Digital Operational Resilience Act (DORA). Cette mise à jour a été publiée le 27 juin 2024 et fournit davantage d’informations concernant la gestion des incidents liés aux TIC, la classification et l’enregistrement des incidents liés aux TIC ainsi que la notification des cybermenaces importantes et des incidents graves liés aux TIC. La mise à jour est disponible sur le site web de l’AFM. La prochaine publication est prévue pour le troisième trimestre 2024 et portera sur les tests de résilience opérationnelle numérique.
Le 17 janvier 2025 peut sembler encore loin, mais il se peut que certains gestionnaires d’actifs aient encore beaucoup de travail organisationnel à accomplir pour se conformer au DORA. L’AFM et la Nederlandsche Bank commenceront leur surveillance à partir de cette date. Bien que certaines exigences liées au DORA s’appliquent déjà aux entreprises financières en vertu de la législation existante contenant les mêmes exigences, certains sujets du DORA n’en nécessiteront pas moins beaucoup d’attention, de révision et de structuration.
En résumé, l’AFM souligne trois sujets sur lesquels les entreprises financières peuvent d’ores et déjà commencer à travailler, à savoir :
- Établissement et mise en œuvre d’un processus de gestion des incidents liés aux TIC : il s’agit de l’article 17 du DORA. Il est à noter que, conformément à l’article 14 du DORA, la politique nécessaire à la mise en œuvre de ces procédures doit inclure une politique de communication à l’intention des membres du personnel (interne), des parties prenantes et des médias.
- Établissement et mise en œuvre de procédures décrivant la classification des incidents : il s’agit de l’article 18 du DORA, pour lequel des normes techniques de réglementation ont été soumises à la Commission européenne. Les entreprises financières sont en principe libres de définir leurs propres critères de classification des incidents, à condition que leurs politiques établissent la distinction entre les incidents majeurs liés aux TIC, les cybermenaces et d’autres incidents tels que ceux présentant un risque faible ou moyen.
- Déclaration des incidents majeurs liés aux TIC et notification des cybermenaces importantes : il s’agit de l’article 19/20 du DORA, pour lequel les normes techniques de réglementation et les normes techniques d’exécution seront achevées d’ici le 17 juillet 2024. Certains incidents font l’objet d’une déclaration obligatoire, mais une notification volontaire des incidents est également possible. À partir du 17 janvier 2025, le portail de l’AFM sera prêt à recevoir les notifications d’incidents des entités supervisées par l’AFM.
Publication des textes législatifs constituant le nouveau cadre LBC/FT de l’UE : clarifie le calendrier de mise en œuvre des entités supervisées pour le marché
Le 19 juin 2024, ont été publiés au Journal officiel de l’Union européenne le règlement (UE) 2024/1620 instituant l’Autorité de lutte contre le blanchiment de capitaux et le financement du terrorisme (règlement AMLA), le règlement (UE) 2024/1624 relatif à la prévention de l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme (AMLR) ainsi que la directive (UE) 2024/1640 relative aux mécanismes à mettre en place par les États membres pour prévenir l’utilisation du système financier aux fins du blanchiment de capitaux ou du financement du terrorisme (AMLD6).
Cette publication fait suite à l’approbation majeure par le Parlement européen, le 24 avril 2024, des trois piliers restants du paquet LBC/FT tant attendu (le règlement AMLA, l’AMLD6 et le très attendu AMLR), après avoir constaté que la nature fragmentée du cadre de surveillance LBC/FT au sein de l’UE constitue un obstacle majeur à une approche efficace des risques LBC/FT.
C’est pourquoi l’UE se concentre sur de nouvelles règles plus strictes pour lutter contre le blanchiment de capitaux et le financement du terrorisme sur son territoire.
- Le règlement AMLA entre en vigueur le 26 juin 2024 et devient applicable le 1er juillet 2025 ;
- le règlement AMLR entre en vigueur le 9 juillet 2024 et devient applicable le 1er juillet 2027 (à l’exception des règles relatives à certains clubs de football professionnels et agents de joueurs de football, qui ne s’appliqueront qu’à partir du 10 juillet 2029) ; et
-
l’AMLD6 est une directive qui doit être mise en œuvre par tous les États membres de l’UE d’ici le 10 juillet 2027. Cependant, les règles relatives aux modifications de la directive (UE) 2015/849, également connue sous le nom d’AMLD4, doivent être mises en œuvre d’ici le 10 juillet 2025, et les règles relatives aux bénéficiaires effectifs d’ici le 10 juillet 2026 au plus tard. Les règles relatives au point d’accès centralisé concernant les biens immobiliers doivent être mises en œuvre d’ici le 10 juillet 2029 au plus tard.
Lorsqu’ils seront tous mis en œuvre, la Commission européenne devra soumettre un premier rapport au Parlement européen et au Conseil européen sur la mise en œuvre de l’AMLD6 et l’application de l’AMLR d’ici le 10 juillet 2032 au plus tard. Une fois ce premier rapport soumis, la Commission européenne devra publier des rapports de suivi tous les trois ans.
Conclusion
Tant le DORA que le nouveau cadre LBC/FT occuperont les gestionnaires d’actifs, qui devront mettre à jour leurs procédures internes et élaborer des politiques appropriées pour se conformer à la nouvelle législation. Le DORA, en particulier, n’affecte pas seulement les procédures internes, mais peut également exiger une due diligence substantielle sur les accords existants avec les prestataires de services informatiques.
Si ces accords doivent être modifiés ou renouvelés, il sera encore plus difficile de tout accomplir dans le délai de six mois laissé aux acteurs du marché. Il est donc recommandé de commencer dès que possible : le plus tôt sera le mieux.
Jan Saalfrank est partenaire responsable des fonds d’investissement chez Pinsent Masons Luxembourg. Lous Vervuurt est avocate chez Pinsent Masons et conseille les clients sur la réglementation financière et l’application des lois anti-blanchiment. Le cabinet est partenaire d’Investment Officer.