Skip to content
  • Conseil de l'Union européenne
  • Communiqué de presse
  • 11 mai 2022 12:10

Finance numérique: accord provisoire concernant le règlement sur la résilience opérationnelle numérique

Compte tenu des risques toujours plus importants de cyberattaques, l'UE renforce la sécurité informatique des entités financières telles que les banques, les compagnies d'assurance et les entreprises d'investissement. Hier soir, la présidence du Conseil et le Parlement européen sont parvenus à un accord provisoire en ce qui concerne le règlement sur la résilience opérationnelle numérique (règlement DORA), qui doit permettre au secteur financier européen de maintenir des opérations résilientes en cas de perturbation opérationnelle grave.

Le règlement DORA fixe des exigences uniformes pour la sécurité des réseaux et des systèmes d'information des entreprises et des organisations actives dans le secteur financier ainsi que des tiers critiques qui leur fournissent des services liés aux technologies de l'information et de la communication (TIC), tels que des plateformes d'informatique en nuage ou des services d'analyse de données. Le règlement DORA crée un cadre réglementaire sur la résilience opérationnelle numérique en vertu duquel toutes les entreprises doivent veiller à pouvoir résister à tous les types de perturbations et de menaces liées aux TIC, y répondre et s'en remettre. Ces exigences sont homogènes dans tous les États membres de l'UE. L'objectif principal est de prévenir et d'atténuer les cybermenaces.

En vertu de l'accord provisoire, la nouvelle réglementation constituera un cadre très solide qui favorisera la sécurité informatique du secteur financier. Les efforts demandés aux entités financières seront proportionnels aux risques potentiels.

Presque toutes les entités financières seront soumises à la nouvelle réglementation. Au titre de l'accord provisoire, les auditeurs ne seront pas soumis au règlement DORA, mais feront partie d'un futur réexamen du règlement, dans le cadre duquel une éventuelle révision des règles pourrait être envisagée.

Les prestataires critiques établis dans un pays tiers qui fournissent des services informatiques aux entités financières dans l'UE seront tenus d'établir une filiale dans l'UE, afin que la supervision puisse être correctement mise en œuvre.

En ce qui concerne le cadre de supervision, les colégislateurs sont convenus d'opter pour un réseau de supervision commun supplémentaire, qui renforcera la coordination entre les autorités européennes de surveillance sur ce sujet transsectoriel.

En vertu de l'accord provisoire, des tests de pénétration seront effectués en mode fonctionnel et il sera possible d'inclure les autorités de plusieurs États membres dans les procédures de test. Le recours à des auditeurs internes ne sera possible que dans un certain nombre de circonstances strictement limitées, sous réserve de conditions de sauvegarde.

En ce qui concerne l'interaction du règlement DORA avec la directive sur la sécurité des réseaux et des systèmes d'information (directive SRI), en vertu de l'accord provisoire, les entités financières sauront très clairement les différentes règles qu'elles doivent respecter en matière de résilience opérationnelle numérique, en particulier pour les entités financières détenant plusieurs agréments et opérant sur différents marchés au sein de l'UE. La directive SRI continue de s'appliquer. Le règlement DORA s'appuie sur la directive SRI et supprime d'éventuels chevauchements au travers d'une exemption dite de lex specialis.

L'accord provisoire conclu hier soir doit être approuvé par le Conseil et le Parlement européen avant de faire l'objet de la procédure d'adoption formelle.

Une fois que la proposition de règlement aura été formellement adoptée, elle sera intégrée à la législation de chaque État membre de l'UE. Les autorités européennes de surveillance (AES) concernées, telles que l'Autorité bancaire européenne (ABE), l'Autorité européenne des marchés financiers (AEMF) et l'Autorité européenne des assurances et des pensions professionnelles (AEAPP), élaboreront ensuite des normes techniques que tous les établissements de services financiers devront respecter, qu'ils soient chargés d'opérations bancaires, de produits d'assurance ou de la gestion d'actifs. Les autorités nationales compétentes seront chargées de la surveillance de la conformité et feront respecter le règlement en tant que de besoin.

Contexte

La Commission a présenté la proposition de règlement DORA le 24 septembre 2020. Celle-ci s'inscrit dans le cadre plus large du train de mesures sur la finance numérique, qui vise à mettre au point une approche européenne favorisant le développement technologique et assurant la stabilité financière et la protection des consommateurs. Outre la proposition de règlement DORA, ce train de mesures contient une stratégie en matière de finance numérique, une proposition sur les marchés de crypto-actifs (MiCA) et une proposition sur la technologie des registres distribués (DLT).

Il comble une lacune dans la législation existante de l'UE en permettant de s'assurer que le cadre juridique actuel ne fasse pas obstacle à l'utilisation de nouveaux instruments financiers numériques. Dans le même temps, il s'agit de veiller à ce que ces nouvelles technologies et nouveaux produits entrent dans le champ d'application de la réglementation financière et des dispositifs de gestion des risques opérationnels des entreprises actives au sein de l'UE. Le paquet vise donc à soutenir l'innovation et l'adoption de nouvelles technologies financières tout en assurant un niveau approprié de protection des consommateurs et des investisseurs.

Le Conseil a adopté son mandat de négociation sur le règlement DORA le 24 novembre 2021. Les trilogues entre les colégislateurs ont débuté le 25 janvier 2022 et se sont terminés par l'accord provisoire intervenu hier.

Contacts pour les médias

Si vous n'êtes pas journaliste, veuillez adresser votre demande au service Information au public.

Dernier réexamen : 15 janvier 2024