Depuis son entrée en application le 17 janvier 2025, le Digital Operational Resilience Act (« DORA ») impose de nouvelles exigences aux entités financières et à leurs prestataires de services TIC. Cependant, face à la complexité de ces obligations, de nombreuses questions demeurent. La FAQ de l’ACPR (Autorité de contrôle prudentiel et de résolution), mise à jour le 7 avril 2025 apporte des éclaircissements essentiels sur les attentes du régulateur et la responsabilité des acteurs concernés.
Cette actualisation intervient quelques jours après l’adoption par le Sénat du projet de loi n°1112 relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité (« Projet de loi résilience »), lequel vient notamment adapter diverses dispositions du Code monétaire et financier afin de mettre en cohérence le droit interne avec le règlement DORA.
Précisions sur le champ d’application des entités soumises à DORA
A cet égard, l’ACPR rappelle aux assujettis que DORA est d’ores et déjà applicable aux entités financières et aux prestataires TIC. Toutefois, elle précise qu’en attendant l’adoption du Projet de loi par l’Assemblée nationale, les succursales de pays tiers d’entreprises d’investissement au sens de l’article L. 532-48 du Code monétaire et financier, les sociétés de financement au sens du II de l’article L.511-1 du même code, ainsi que les entités financières établies en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis et Futuna et à Saint-Pierre-et-Miquelon ne sont pas tenues d’appliquer les exigences du règlement DORA au 17 janvier 2025. Elle précise également que les établissements financiers monégasques ne sont pas tenus d’appliquer les exigences de DORA jusqu’à l’adoption d’une révision de l’accord monétaire entre l’Union européenne et la principauté de Monaco.
Précisions sur les obligations de reporting
L’ACPR explicite les modalités des reporting imposés par DORA aux entités financières soumises à celui-ci ainsi qu’aux établissements de crédit classés comme importants.
Depuis le 17 janvier 2025, les entités financières soumises à DORA sont tenues de notifier tous les incidents majeurs liés aux TIC et aux cybermenaces. Les établissements de crédit, les établissements de paiement, les prestataires de services d’information sur les comptes et les établissements de monnaie électronique sont quant à eux tenus de déclarer également les incidents opérationnels ou de sécurité liés au paiement.
En pratique, ces déclarations devront être effectuées conformément aux formats de déclaration des incidents visés par le règlement d’exécution de la Commission européenne définissant des normes techniques d’exécution (« ITS ») qui sont encore au stade de projet, en attente d’une publication imminente.
En attendant cette publication, les entités financières doivent remettre leurs déclarations d’incidents conformément aux modalités prévues par le projet d’ITS. Les assujettis peuvent également s’appuyer sur les modèles de déclarations pour les domaines bancaire et assurantiel mis à disposition par l’ACPR pour procéder à leurs déclarations via le portail OneGate.
Les obligations de déclaration peuvent être externalisées auprès d’un prestataire de services tiers. Cette externalisation doit impérativement être notifiée à l’ACPR dès la conclusion de l’accord d’externalisation. Pour rappel, dans le cas d’une telle externalisation, l’entité financière reste pleinement responsable du respect des exigences en matière de déclaration des incidents.
Par ailleurs, le registre d’informations concernant les accords contractuels liés à l’utilisation des services TIC (« ROL ») est un outil essentiel permettant aux autorités européennes de surveillance (« AES ») d’établir la liste des prestataires tiers critiques de services TIC soumis à une surveillance directe d’une des AES. Le ROL devra être remis par les entités financières sur une base individuelle ou consolidée avant le 15 avril 2025. L’ACPR précise que cette remise devra s’effectuer au niveau individuel lorsque l’entité concernée répond à l’une des conditions suivantes :
- elle ne fait pas partie d’un groupe d’entités financières ;
- elle fait partie d’un groupe d’entités financières dont la maison mère dans l’Union européenne (UE) ou l’Espace économique européen (EEE) est établie en France mais n’exerce pas d’activité dans les secteurs financiers tel que visés par DORA ;
- elle fait partie d’un groupe d’entités financières dont la maison-mère n’est pas établie dans l’UE ou l’EEE.
La remise du ROL devra se faire au niveau consolidé en prenant en compte deux critères, à savoir, le périmètre de consolidation et le champ de compétence de l’ACPR.
A cet égard, dans le cas d’un groupe d’entités financières dont la maison-mère établie en France est également la maison-mère dans l’Union, la remise sera effectuée par cette dernière sur une base consolidée auprès de l’ACPR. En cas de remise au niveau consolidé, le ROL devra tout de même intégrer l’ensemble des informations relatives à toutes les entités financières soumises à DORA. Ainsi, si la maison mère relève du secteur bancaire elle devra couvrir l’ensemble des entités bancaires établies au sein de l’UE ou de l’EEE mais aussi les entités établies en France relevant du secteur bancaire. La même obligation pèse sur les entités mères du secteur de l’assurance qui sont tenues de couvrir l’ensemble des informations relatives aux entités du domaine de l’assurance mais également les informations relatives aux entités établies en France relevant du secteur de la banque.
Dans l’hypothèse où la tête de groupe est une holding, celle-ci doit remettre le ROL pour le compte de l’ensemble des entités.
Enfin, l’ACPR rappelle, que la remise du ROL à un niveau consolidé n’exonère pas les entités financières d’établir chacune à leur niveau le ROL et de le mettre à jour.
Précisions sur les tests d’intrusion avancés (TLPT)
Les articles 26 et 27 du règlement DORA imposent à certaines entités de mener des tests de sécurité renforcés, notamment des tests de pénétration fondés sur la menace (Threat-Led Penetration Testing ou « TLPT »). Seules les entités financières ayant un caractère systémique au sens de DORA sont en principe concernées par cette obligation.
La liste des entités soumises aux TLPT n’étant pas publique, les entités financières concernées recevront directement un courrier d’identification de la part de leur autorité de supervision. Les entités en principe éligibles au regard des critères quantitatifs qui ne se verraient pas désignées par leur autorité seront averties par courrier de cette non-désignation, précise l’ACPR.
Les TLPT sont définis à l’article 3(17) du Règlement DORA comme les « un cadre simulant les tactiques, les techniques et les procédures d’acteurs de la menace réels perçus comme représentant une véritable cybermenace, qui permet de tester de manière contrôlée, sur mesure et en fonction des renseignements (red team) les systèmes critiques en environnement de production de l’entité financière ».
Ces tests, qui sont différents des tests d’intrusion internes et externes, devront être réalisés une fois tous les trois ans ou de manière plus fréquente sur demande de l’autorité de supervision compétente.
Le référentiel technique (RTS) applicable aux tests de type TLPT a été adopté 13 février 2025 par un règlement délégué du Règlement DORA qui sera publié au Journal officiel de l’UE une fois que la période d’opposition du Parlement européen de trois mois sera écoulée.
Si plusieurs entités d’un même groupe sont désignées et qu’elles partagent un même prestataire ou une même infrastructure technique, voire des applicatifs communs, un test TLPT groupé avec toutes ces entités pourra être requis par l’autorité de supervision.
Article publié dans Option finance le 7 avril 2025
