Le projet européen Dora explore le risque cyber des banques

Fumée blanche pour le projet Dora. La présidence française du Conseil de l’Union européenne (UE) et les négociateurs du Parlement européen ont signé mardi un accord politique validant le projet de règlement sur «la résilience informatique opérationnelle» (Digital Operational Resilience Act ou Dora) dans le secteur des services financiers. Présenté en septembre 2020 par la Commission européenne, le texte vise à harmoniser la gestion et la prévention des risques cyber à travers l’UE, en imposant un ensemble de normes aux banques, sociétés d’investissement et aux fournisseurs de cryptoactifs.

«Avec le risque accru d’attaques par des hackers russes, la cybersécurité devient un sujet d’autant plus important. Il s’agit à la fois d’une question de stabilité financière et de protection des investisseurs, résume l’eurodéputé allemand Markus Ferber, responsable des questions économiques pour le PPE (conservateur). Les cyberattaques ne s’arrêtent pas aux frontières nationales. Il était donc nécessaire d’établir un niveau minimal d’harmonisation dans l’ensemble de l’Union».

Parmi les grandes nouveautés introduites par le texte : la création d’une norme européenne pour les tests des systèmes informatiques, que certaines entités sont déjà tenues de réaliser régulièrement. Seconde mesure majeure : la création d’un cadre de surveillance pour les «prestataires de services TIC critiques» (CTPP ou Critical Third Party Provider), auxquels les entités financières délèguent certaines activités informatiques, tels les fournisseurs de Cloud. Ces CTPP sont identifiés sur la base d’un ensemble de critères, dont leur taille et le caractère systémique des entités financières qui en dépendent. Une approche «fondée sur le risque», que salue l’AFME (Association pour les marchés financiers en Europe), dans un communiqué. Le texte «va permettre aux entités financières de mettre en œuvre les contrôles informatiques de manière efficace, et proportionnée aux risques, tout en restant alignées aux standards européens», estime le lobby.

Les négociateurs ont par ailleurs convenu d’étendre de 12 à 24 mois la période de mise en conformité avec le règlement, dont bénéficieront les entités financières et les CTPP. Autre arbitrage : les fournisseurs établis dans un pays tiers, et fournissant des services informatiques à des entités financières au sein de l’UE, seront contraints d’établir une filiale dans l’Union, afin d’être supervisés.

Les auditeurs exemptés

Davantage sensibilisées aux cyberrisques, les autorités européennes (Esma, EBA, Eiopa et la BCE) seront impliquées dans la surveillance de ces risques aux côtés des autorités nationales, par le biais d’un «réseau de supervision commun supplémentaire», comme le souhaitaient les eurodéputés. Suivant, cette fois, une demande de la Présidence française du Conseil, les auditeurs, initialement inclus dans le champ du texte, ne seront finalement pas soumis au règlement. En tout cas pas à ce stade : «ils feront partie d’un futur réexamen du règlement, dans le cadre duquel une éventuelle révision des règles pourrait être envisagée», indique le Conseil.

L’accord politique doit être approuvé par le Conseil et le Parlement européen avant d’être formellement adopté. Par la suite, la pleine mise en œuvre du règlement pourrait toutefois prendre plusieurs années, les autorités européennes de surveillance étant chargées d’élaborer les normes techniques que les entités financières seront tenues de respecter.