Règlement DORA – rappels et conseils sur la préparation

Alors que la directive DORA entre prochainement en application le 17 janvier 2025, les autorités européennes de surveillance ont publié le 4 décembre 2024 une courte déclaration commune visant à répondre aux demandes des entités financières qui souhaitent obtenir plus de clarté sur les attentes de la communauté des autorités de surveillance à leur égard à l’approche de l’application de la directive DORA. La publication, qui peut être consultée via les liens suivants, vise à mettre en évidence l’approche pragmatique et proportionnée à adopter:

Digital Operational Resilience Act | European Banking Authority (uniquement en anglais)
ESAs Statement on DORA application (uniquement en anglais)

La CSSF rappelle également aux entités financières qui relèveront du règlement DORA les points suivants :

Le règlement DORA exige que les entités financières disposent d’un code identifiant LEI afin d’être en mesure de fournir certains rapports. Cette exigence se base entre autres sur des textes de niveau 2 du règlement DORA (p. ex. dans les normes techniques d’exécution (ITS) définissant le modèle pour le registre d’informations, les normes techniques de réglementation (RTS) et d’exécution (ITS) portant sur la déclaration des incidents majeurs liés aux TIC). La CSSF conseille donc aux entités financières qui n’ont pas encore de code identifiant LEI de procéder à l’obtention et à l’activation d’un tel code afin de pouvoir répondre aux exigences de DORA à partir du 17 janvier 2025.
À partir du 17 janvier 2025, les entités financières sont tenues de notifier à la CSSF tout incident majeur lié aux technologies TIC, conformément aux exigences définies dans les textes respectifs de niveau 2 du règlement DORA. Ces notifications doivent être réalisées via la plate-forme eDesk de la CSSF, en suivant la procédure déjà en place dans le cadre de la circulaire CSSF 24/847. La CSSF demande donc aux entités financières de procéder à la création du rôle spécifique « ICT Incident Notifier » au niveau du portail eDesk si elles ne l’ont pas déjà fait. Ce dernier devra être utilisé pour notifier les incidents à la CSSF (pour de plus amples informations, veuillez-vous référer à la procédure dédiée “Major ICT-related incident notification” disponible au niveau du portail eDesk de la CSSF (edesk.apps.ccsf.lu)). La création de ce rôle « ICT Incident Notifier » sous eDesk avant le 17 janvier 2025 est essentielle afin de permettre aux entités financières de notifier les incidents conformément aux exigences de DORA.
Concernant l’article 28.3 du règlement DORA qui exige que les entités financières informent l’autorité compétente de « tout accord contractuel prévu sur l’utilisation de services TIC soutenant des fonctions critiques ou importantes ainsi que lorsqu’une fonction est devenue critique ou importante», la CSSF souhaite rappeler ce qui suit :
- Les accords de sous-traitance liés aux TIC notifiés précédemment dans le cadre de la circulaire CSSF 22/806 ne doivent pas être notifiés à nouveau dans le contexte de DORA.
- Les accords contractuels sur l’utilisation de services TIC déjà en place avant le 17 janvier 2025 et qui n’ont pas été notifiés en vertu de la circulaire CSSF 22/806 parce qu’ils ne sont pas qualifiés comme sous-traitance critique ou importante de TIC en vertu de la circulaire en question, ne sont pas non plus tenus d’être notifiés à la CSSF, mais doivent être répertoriés dans le Registre d’information.

De plus amples détails sur la manière de soumettre les nouvelles notifications dans le cadre de DORA après son entrée en vigueur, seront fournis dans les semaines à venir.

La CSSF attire également l’attention des entités financières sur l’annonce par les AES du calendrier de collecte d’informations pour la désignation des fournisseurs de services TIC critiques dans le cadre de DORA, qui peut être consultée ici (EBA/ESMA). Cette annonce précise notamment la date de soumission du premier registre d’informations par les autorités compétentes aux AES, à savoir le 30 avril 2025, et la liste des règles de validation qui seront utilisées par les AES lors de l’analyse des registres d’informations reçus. La CSSF communiquera dans les prochaines semaines la date à laquelle les entités financières devront soumettre leurs registres d’informations à la CSSF pour permettre à cette dernière de les transmettre aux AES au plus tard le 30 avril 2025. En fournissant leur registre complet sur une base annuelle, les entités financières se conformeront en même temps à l’article 28.3 du règlement DORA qui leur impose de « faire rapport au moins une fois par an aux autorités compétentes sur le nombre de nouveaux accords sur l’utilisation des services TIC, les catégories de fournisseurs de services TIC tiers, le type d’accords contractuels et les services et fonctions TIC qui sont fournis ».

Les entités financières qui souhaitent en savoir plus sur la manière de préparer leurs registres d’informations et connaître les résultats de l’exercice 2024 Dry Run sont invitées par les AES à participer à un atelier d’information virtuel le 18 décembre 2024. Les entités intéressées peuvent s’inscrire avant le 16 décembre 2024 en utilisant ce lien.

Enfin, la CSSF souhaite informer les entités financières que les normes techniques d’exécution (ITS) définissant le modèle pour le registre d’information ont été publiées au Journal Officiel de l’UE cette semaine.

Nom	Description	Durée
cssf_cookies	Sauvegarde des information concernant le consentement de l'utilisateur à l'utilisation de cookies pour chaque catégorie optionnelle.	1 an
ROUTEID	Cookie technique de répartition de charge.	Supprimé à la fin de la session
TBMCookie*	Sécurité : Ce cookie protège le site Internet contre des attaques automatisées.	Supprimé à la fin de la session
__utmvc	Ces cookies de premier niveau sont implémentés par un service tiers et permettent de filtrer les requêtes malveillantes.	Supprimé à la fin de la session
__utmvm*	Ces cookies de premier niveau sont implémentés par un service tiers et permettent de filtrer les requêtes malveillantes.	15 minutes

Nom	Description	Durée
cssf_profile	Ce cookie adapte les pages web au profil choisi par le visiteur (Professionnels, Marchés, Consommateurs).	1 an
pll_language	Ce cookie sauvegarde le choix de la langue de l’utilisateur.	1 an

Nom	Description	Durée
_pk_id.#	Recueille des statistiques anonymes sur les consultations du site Internet, telles que le nombre de visites, le temps moyen passé sur le site Internet. Les données sont traitées en interne et ne sont pas partagées avec des tiers.	1 an
_pk_ses.#	Recueille des statistiques anonymes pour le suivi des pages consultées durant la session. Les données sont traitées en interne et ne sont pas partagées avec des tiers.	30 minutes