#Europe : Le Conseil européen et les risques #financiers liés aux cyberattaques du secteur financier
Compte tenu des risques toujours plus importants de cyberattaques, l’UE renforce la sécurité informatique des entités financières telles que les banques, les compagnies d’assurance et les entreprises d’investissement. Le Conseil a adopté récemment le règlement sur la résilience opérationnelle numérique du secteur financier (règlement DORA), qui doit permettre au secteur financier européen de rester résilient en cas de perturbation opérationnelle grave.
« Nous vivons des temps incertains. Les banques et autres entreprises fournissant des services financiers en Europe ont déjà mis en place des plans pour leur sécurité informatique, mais nous devons aller plus loin. Grâce aux exigences juridiques harmonisées que nous avons adoptées aujourd’hui, notre secteur financier sera plus à même de continuer à fonctionner à tout moment. Si une attaque à grande échelle est lancée contre le secteur financier européen, nous y serons préparés. »
Zbyněk Stanjura, ministre des finances de la République tchèque
Le règlement DORA fixe des exigences uniformes pour la sécurité des réseaux et des systèmes d’information des entreprises et des organisations actives dans le secteur financier ainsi que des tiers critiques qui leur fournissent des services liés aux technologies de l’information et de la communication (TIC), tels que des plateformes d’informatique en nuage ou des services d’analyse de données. Le règlement DORA crée un cadre réglementaire sur la résilience opérationnelle numérique en vertu duquel toutes les entreprises doivent veiller à pouvoir résister à tous les types de perturbations et de menaces liées aux TIC, y répondre et s’en remettre. Ces exigences sont homogènes dans tous les États membres de l’UE. L’objectif principal est de prévenir et d’atténuer les cybermenaces.
Maintenant que la proposition de règlement a été formellement adoptée, les aspects qui requièrent une transposition nationale seront intégrés à la législation de chaque État membre de l’UE. Dans le même temps, les autorités européennes de surveillance (AES) concernées, telles que l’Autorité bancaire européenne (ABE), l’Autorité européenne des marchés financiers (AEMF) et l’Autorité européenne des assurances et des pensions professionnelles (AEAPP), élaboreront ensuite des normes techniques que tous les établissements de services financiers devront respecter, qu’ils soient chargés d’opérations bancaires, de produits d’assurance ou de la gestion d’actifs. Les autorités nationales compétentes seront chargées de la surveillance de la conformité et feront respecter le règlement en tant que de besoin.
Contexte
La Commission a présenté la proposition de règlement DORA le 24 septembre 2020. Celle-ci s’inscrivait dans le cadre plus large du train de mesures sur la finance numérique, qui vise à mettre au point une approche européenne favorisant le développement technologique et assurant la stabilité financière et la protection des consommateurs. Outre la proposition de règlement DORA, ce train de mesures contient une stratégie en matière de finance numérique, une proposition sur les marchés de crypto-actifs (MiCA) et une proposition sur la technologie des registres distribués (DLT).
Il comble une lacune dans la législation existante de l’UE en permettant de s’assurer que le cadre juridique actuel ne fasse pas obstacle à l’utilisation de nouveaux instruments financiers numériques. Dans le même temps, il veille à ce que ces nouvelles technologies et les nouveaux produits entrent dans le champ d’application de la réglementation financière et des dispositifs de gestion des risques opérationnels des entreprises actives au sein de l’UE. Le paquet vise donc à soutenir l’innovation et l’adoption de nouvelles technologies financières tout en assurant un niveau approprié de protection des consommateurs et des investisseurs.
Le Conseil a adopté son mandat de négociation sur le règlement DORA le 24 novembre 2021. Les trilogues entre les colégislateurs ont débuté le 25 janvier 2022 et se sont terminés par un accord provisoire intervenu le 10 mai 2022. L’adoption du règlement en ce jour constitue la dernière étape du processus législatif.
