BIENTOT DES NORMES TECHNIQUES POUR L’APPLICATION DU REGLEMENT DORA

Bien qu’entré en vigueur le 16 janvier 2023, le règlement européen 2022/2554 sur la résilience opérationnelle numérique du secteur financier (DORA) énonce un vaste ensemble de principes et de mesures générales qui doivent encore être précisés par des normes plus opérationnelles (« Regulatory Technical Standards »). Ce 17 janvier, les trois organismes qui assurent la supervision du secteur financier au niveau européen ont publié plusieurs textes communs reprenant la dernière version de leurs travaux sur ces normes opérationnelles, qui sera soumise à la Commission.

Un document traite de la politique de gestion des technologies de l’information et de la communication supportant des fonctions importantes ou critiques. Un autre décrit le registre des contrats de sous-traitance incluant de tels services. Ce document est complété par une illustration datée du 30 janvier. Un troisième pose les critères de classification des incidents informatiques.

Pour établir les normes auxquelles soit satisfaire la politique en matière de technologies de l’information et de la communication, les autorités de contrôle se sont basées en partie sur les recommandations existantes. Elles ont introduit une notion de proportionnalité en fonction de la taille des entités financières visées et de la complexité de leurs opérations. On notera avec intérêt que le schéma adopté suit la ligne de vie d’une sous-traitance, depuis la phase précontractuelle jusqu’à son éventuel dénouement.

Toutes les entités financières qui sous-traitent des services TIC doivent tenir à jour un registre détaillé. A l’échelle des groupes, un registre consolidé est également de rigueur, de même que des registres semi-consolidés, s’ils sont pertinents. Les autorités ont produit un ensemble de templates standardisés à des fins de comparabilité et ont défini des normes pour les données qui devront y figurer. Il s’agit d’une vaste matière, le document descriptif comportant pas moins de 113 pages, exemples illustratifs non compris. Aux tableaux obligatoires, les entreprises peuvent ajouter des tableaux personnalisés.

Les trois organismes se sont aussi attelés à la classification des incidents, en particulier à la définition d’un incident grave. La reconnaissance d’un incident comme étant grave se base sur un processus détaillé dans le document.

Lorsqu’un incident est détecté, la première étape consiste à établir s’il affecte au moins un service important ou critique ; c’est le critère « primaire ». Tout incident de ce type qui résulte d’une intrusion malveillante est considéré comme grave. Hormis ce cas, sont également graves les incidents qui impactent au moins deux domaines parmi les suivants : clients, contreparties financières et transactions – pertes de données – réputation – indisponibilité du service (durée) – coût économique – étendue géographique.  Pour chacun de ces critères « secondaires », le document définit des seuils de matérialité, en termes absolus et/ou relatifs. Les incidents graves, ainsi répertoriés selon une procédure complexe, malgré les simplifications intervenues à la demande des entités contrôlées, doivent faire l’objet d’une notification spécifique, sans préjudice des mesures de limitation et de réparation du sinistre.

A ce stade de la procédure, on ne s’attend pas à des changements significatifs avant l’adoption par la Commission, qui devrait intervenir au printemps.

NOUVEAU BAROMETRE DES RISQUES

L’EIOPA a publié son dernier baromètre des risques pour les assureurs (5 février) et pour les organismes de pension (1^er février), basés sur les données Solvabilité II du troisième trimestre 2023. On note une stabilité de la situation des risques, tous colorés de jaune (« moyen »), sauf le risque de marché, stable en orange en raison de la volatilité des obligations et de l’immobilier commercial. L’EIOPA s’attend toutefois à une certaine détérioration des risques cyber et de crédit au cours des douze mois à venir.

EVENEMENTS A VENIR

• 20 Février 2024: Kézako FORSIDES : Comprendre l’arrêt de travail dans la fonction publique

• 29 Février 2024: Morning FORSIDES : Analyse des rendements et collecte du fonds euro 2023

• 29 Février 2024: Manifestation ILAC : Identifying causes of european hazard loss increase year-on-year : climate change or something else ?