DORA : dernière ligne droite 

La Commission de Surveillance du Secteur Financier (CSSF) a rappelé, dans un communiqué daté du 19 août 2024, l’imminence de l’entrée en vigueur de la réglementation DORA (« Digital Operational Resilience Act ») et a indiqué lancer, à ce titre, un sondage auprès des acteurs du marché luxembourgeois afin d’évaluer leur degré de préparation.

De même, le Commissariat Aux Assurances (CAA) note, de son côté, dans son communiqué du 26 juillet, « poursuivre le renforcement de ses équipes afin de faire face aux nouvelles missions qui lui sont confiées et à la complexité de ces dernières telles que le règlement sur la résilience opérationnelle numérique (DORA) ».

Dans un environnement de plus en plus dépendant du digital, cette règlementation DORA sur la résilience numérique du secteur financier vise en effet à instaurer dans l’Union Européenne un cadre juridique commun et harmonisé concernant les risques liés aux technologies de l’information et de la communication (TIC), et à assurer la stabilité financière et la protection des consommateurs. Elle entrera en application le 17 janvier 2025, et s’organise autour des axes suivants :

– Stratégie de gestion des risques liés aux TIC: il s’agit de disposer d’un dispositif écrit et documenté décrivant les principes de gestion des risques liés aux TIC et aux cybermenaces.

– Protocole de gestion des incidents liés aux TIC: les entités concernées vont être tenues de :

• mettre en place une procédure de notification des incidents TIC;
• définir des critères de classification de ces incidents;
• signaler et remonter ces derniers à leur direction, et aux autorités compétentes selon leur dangerosité.

– Tests de résilience opérationnelle numérique: maintien d’un programme de tests par les entités financières visant à éprouver et améliorer de façon continue leur résilience numérique.

– Politique de gestion des risques liés aux prestataires de service TIC:

• Disposer d’une stratégie de risques liés aux prestataires de services informatiques;
• Dispositions contractuelles à mettre en place dans la relation commerciale avec ces derniers;
• La surveillance continue de cette relation.

– Le partage de l’information: échanges volontaires à mettre en place entre les entités financières afin de partager les informations liées aux cybermenaces et faire ainsi en sorte que chaque membre contribue à protéger l’ensemble du secteur.

Les entités du secteur financier et de l’assurance ont ainsi encore quelques mois pour déployer les actions nécessaires afin d’être conformes à cette réglementation. Mais on est clairement rentré dans la dernière ligne droite !

Morning Forsides du 27 Septembre 2024

Ce Morning (Inscription ICI), coanimé par les équipes de Forsides France et Luxembourg, sera l’opportunité de présenter ou représenter le dispositif Long Term Equity Investment (LTEI) qui permet de bénéficier d’un calcul du besoin en fonds propres réduit à 22% pour la poche action Espace Economique Européen.

Peu utilisé par les compagnies d’assurances, du fait de conditions d’applications pouvant paraître difficiles, ce dispositif devrait faire l’objet d’aménagement dans le cadre de la révision prévue de la directive lui assurant de trouver sa place dans un grand nombre de situations.

Ce Morning sera l’occasion d’évoquer des mises en place concrètes, de comprendre comment la révision permettra à un plus grand nombre d’acteurs de l’utiliser, mais aussi d’évoquer les impacts potentiels sur le pilotage des risques notamment au travers de l’appétence aux risques et du besoin global de solvabilité.

EVENEMENT A VENIR

19 septembre 2024 : Conférence ILAC : IFRS-17