Règlement sur la résilience opérationnelle numérique (DORA)

Face à l’augmentation des risques liés aux technologies de l’information et de la communication (TIC) ainsi qu’à l’augmentation et l’interconnexion du nombre de projets liés à la numérisation, le règlement sur la résilience opérationnelle numérique (Digital Operational Resilience Act ou DORA) a été établi pour renforcer la résilience opérationnelle numérique dans le secteur financier de l’UE en introduisant un cadre juridique commun.

Au-delà du fait que le règlement DORA contient un ensemble de règles concernant la gestion des risques et incidents liés aux TIC, les tests de résilience opérationnelle numérique et les risques liés aux prestataires tiers de services TIC, il couvre largement le secteur financier de l’UE en s’appliquant à pas moins de 20 types d’entités financières (voir liste).

DORA sera applicable aux entités financières de l’UE à partir du 17 janvier 2025.

Les chapitres suivants ont pour objectif de fournir aux entités financières une introduction au règlement DORA, des informations relatives aux derniers développements ainsi que de regrouper les questions fréquemment posées (Questions/Réponses).

Avec un degré élevé de numérisation et d’interconnexion au sein du secteur financier posant des risques à la fois aux entités financières individuellement ainsi qu’à la stabilité financière, le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022, aussi appelé règlement sur la résilience opérationnelle numérique (DORA), a été introduit en vue de renforcer la résilience opérationnelle numérique du secteur financier. Faisant partie du Paquet « finance numérique » de l’UE, DORA vise à établir un cadre juridique commun en harmonisant le paysage juridique fragmenté de l’UE en ce qui concerne les risques liés aux TIC.

L’objectif de renforcement de la résilience opérationnelle numérique est réalisé grâce aux cinq principaux piliers de DORA.

La section « Gestion des risques » sous DORA énumère les principes et exigences clés en matière de gestion des risques des entités financières en couvrant les exigences en matière de gouvernance et d’organisation (section I du chapitre II de DORA) ainsi que les obligations relatives au cadre de gestion des risques liés aux TIC (section II).

En spécifiant au chapitre III les exigences relatives à la gestion, à la classification et à la notification des incidents liés aux TIC, DORA vise à harmoniser et à rationaliser la notification des incidents liés aux TIC dans l’ensemble du secteur financier, ainsi qu’à étendre le champ des entités financières concernées.

Outre la notification des incidents majeurs liés aux TIC, DORA prévoit également la possibilité de notifier, sur une base volontaire, les cybermenaces importantes.

De plus, le chapitre III de DORA reprend les exigences concernant les processus de gestion des incidents par les entités financières.

Le chapitre IV de DORA introduit l’obligation d’établir un programme de test de la résilience opérationnelle numérique permettant d’évaluer l’état de préparation à la gestion d’incidents liés aux TIC et d’identifier les faiblesses, les déficiences et les lacunes de la résilience opérationnelle numérique.

Outre les exigences de base en matière de tests, DORA exige également des tests avancés basés sur des tests de pénétration fondés sur la menace (threat-led penetration testing – TLPT) pour certaines des entités financières relevant du régime TLPT.

Le règlement DORA énumère dans la première section du chapitre V des règles fondées sur des principes relatifs à la gestion des risques liés aux tiers dans le cadre de la gestion des risques liés aux TIC, ainsi que des dispositions contractuelles clés à prendre en compte dans les relations avec les prestataires de services tiers fournissant des services TIC.

La section II du chapitre V introduit un cadre de surveillance à l’échelle européenne pour les prestataires tiers critiques de services TIC.

Au chapitre VI, le règlement DORA vise à renforcer la résilience opérationnelle numérique des entités financières en spécifiant des dispositions sur l’échange volontaire d’informations et de renseignements sur les cybermenaces entre les différentes entités financières.

En tant que règlement de l’UE, DORA est directement applicable aux entités financières relevant du champ d’application de DORA à compter du 17 janvier 2025.

La directive correspondante (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 visant à inclure dans toutes les directives du secteur financier un renvoi au règlement DORA, a été transpose en loi luxembourgeoise en date du 1^er juillet 2024.

Dans ce contexte, la CSSF ainsi que le Commissariat aux Assurances (CAA) ont été désignés comme autorités compétentes au Luxembourg responsables du respect des dispositions du règlement DORA par les entités financières sous leur contrôle et leurs pouvoirs de contrôle et d’exécution définis.

L’article 2 du règlement DORA énumère les 20 types d’entités financières qui entrent dans le champ d’application :

a) les établissements de crédit ;
b) les établissements de paiement, y compris les établissements de paiement exemptés en vertu de la directive (UE) 2015/2366 ;
c) les prestataires de services d’information sur les comptes ;
d) les établissements de monnaie électronique, y compris les établissements de monnaie électronique exemptés en vertu de la directive 2009/110/CE ;
e) les entreprises d’investissement ;
f) les prestataires de services sur crypto-actifs agréés et les émetteurs de jetons se référant à un ou des actifs ;
g) les dépositaires centraux de titres ;
h) les contreparties centrales ;
i) les plates-formes de négociation ;
j) les référentiels centraux ;
k) les gestionnaires de fonds d’investissement alternatifs ;
l) les sociétés de gestion ;
m) les prestataires de services de communication de données ;
n) les entreprises d’assurance et de réassurance ;
o) les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire ;
p) les institutions de retraite professionnelle ;
q) les agences de notation de crédit ;
r) les administrateurs d’indices de référence d’importance critique ;
s) les prestataires de services de financement participatif ;
t) les référentiels des titrisations ;

Les PSF spécialisés et les PSF de support sont définis comme étant des professionnels du secteur financier (PSF) en vertu de la loi nationale du 5 avril 1993 sur le secteur financier (LSF). Toutefois, ils ne sont pas considérés comme des « entités financières » au sens de DORA et ne relèvent donc pas de son champ d’application.

Cela dit, en raison de la nature des services offerts, certains PSF seront considérés comme des prestataires tiers de services TIC au sens de DORA. Dans ce cas, si un PSF est désigné par les trois autorités européennes de surveillance (AES) comme étant un prestataire tiers critique de services TIC (CTPP, critical third-party provider), ce PSF sera soumis au cadre de surveillance des CTPP de l’UE introduit par la section II, chapitre V du règlement DORA. Plus généralement, il convient d’ajouter que le règlement DORA devrait continuer à intéresser tous les PSF considérés comme des prestataires tiers de services TIC car leurs clients du secteur financier devront s’assurer que les dispositions contractuelles relatives à l’utilisation de leurs services TIC sont conformes aux exigences de DORA.

L’impact de l’harmonisation du paysage législatif fragmenté sur les entités financières diffère en fonction des exigences préexistantes en matière de gestion des risques liés aux TIC ainsi que du principe de proportionnalité défini à l’article 4 du règlement DORA.

Pour la plupart des entités financières au Luxembourg, le règlement DORA apporte un ensemble de règles plus détaillées concernant la mise en œuvre d’un cadre de gestion des risques, la notification des incidents liés aux TIC, les tests de résilience et la gestion des risques liés aux prestataires tiers de services TIC. En raison de la fragmentation actuelle du paysage juridique relatif aux TIC, les différences entre les exigences actuelles et celles nouvellement introduites par le règlement DORA varient d’une entité à l’autre entraînant des écarts de mise en œuvre. Il est donc important pour chaque entité financière d’analyser les écarts qui lui sont propres et de commencer la mise en œuvre du règlement DORA le plus tôt possible.

Le règlement DORA vise à harmoniser et à rationaliser les cadres actuellement fragmentés ainsi que les exigences concernant la notification des incidents liés aux TIC dans le secteur financier de l’UE. Les nouvelles exigences en matière de notification d’incidents couvrent tous les incidents majeurs liés aux TIC et permettront en outre la notification sur base volontaire, des cybermenaces significatives.

Afin d’obtenir un meilleur aperçu de la nature, de la fréquence, de l’importance et de l’impact des incidents liés aux TIC, la CSSF a décidé de modifier son régime actuel de déclaration des incidents en remplaçant la circulaire CSSF 11/504 par la circulaire CSSF 24/847 introduisant ainsi un cadre amélioré de déclaration des incidents liés aux TIC. La circulaire CSSF 24/847 entre en vigueur le 1^er avril 2024 pour les entités surveillées telles que définies aux points 2.a) à d) et k) à p) de la section 1.1 et le 1^er juin 2024 pour les entités surveillées telles que définies aux points 2.e) à j) de la section 1.1 de la circulaire susmentionnée. Pour plus d’informations sur le régime actuel de notification des incidents, veuillez consulter la section Notification des incidents liés aux Risques TIC de la page Risque TIC.

Lorsque que tous les textes de niveau 2 de DORA relatifs à la déclaration d’incidents seront applicables, la CSSF modifiera la circulaire CSSF 24/847 afin de s’aligner sur les dispositions de DORA.

En ce qui concerne les exigences en matière de tests avancés prévus par l’article 26, le règlement DORA introduit un cadre de test complet et obligatoire fondé sur le cadre TIBER-UE actuel pour les entités financières concernées. Les détails du cadre relatif aux tests de pénétration fondés sur la menace (TLPT) sont encore en cours d’élaboration sur la base du mandat des AES défini par l’Article 26(11) du règlement DORA et des normes techniques de réglementation (RTS) correspondantes. Les normes techniques de réglementation (RTS) relatives aux TLPT ont fait l’objet d’une consultation publique jusqu’au 4 mars 2024 (voir Les règlements délégués et les lignes directrices de DORA).

Le cadre TIBER-LU devra sans doute être légèrement adapté en fonction de la version finale des RTS sur le TLPT.

Pour de plus amples informations sur TIBER-LU, veuillez consulter la section TIBER-LU de la page Risque TIC.

Outre les exigences du texte DORA de niveau 1, le règlement DORA contient un large éventail de mandats politiques pour les trois Autorités européennes de surveillance (AES), à savoir l’Autorité européenne des marchés financiers (ESMA), l’Autorité bancaire européenne (EBA) et l’Autorité européenne des assurances et des pensions professionnelles (EIOPA). La liste des rapports finaux et des consultations en cours figure ci-dessous (uniquement en anglais).

• Règlement délégué de la Commission complétant le règlement (UE) 2022/2554 en déterminant le montant de la redevance de supervision à facturer par le superviseur principal aux prestataires tiers critique de services TIC et les modalités de paiement de cette redevance (Commission Delegated Regulation supplementing Regulation (EU) 2022/2554 by determining the amount of the oversight fees to be charged by the Lead Overseer to critical ICT third-party service providers and the way in which those fees are to be paid)
• Règlement délégué de la Commission complétant le règlement (UE) 2022/2554 en précisant les critères de désignation des prestataires tiers de services TIC comme critiques pour les entités financières (Commission Delegated Regulation supplementing Regulation (EU) 2022/2554 by specifying the criteria for the designation of ICT third-party service providers as critical for financial entities)
• Règlement délégué de la Commission complétant le règlement (UE) 2022/2554 en ce qui concerne les normes techniques de réglementation précisant les critères de classification des incidents liés aux TIC et des cybermenaces, établissant des seuils d’importance relative et précisant les détails des rapports sur les incidents majeurs (Commission Delegated Regulation supplementing Regulation (EU) 2022/2554 with regard to regulatory technical standards specifying the criteria for the classification of ICT-related incidents and cyber threats, setting out materiality thresholds and specifying the details of reports of major incidents)
• Règlement délégué de la Commission complétant le règlement (UE) 2022/2554 en ce qui concerne les normes techniques de réglementation précisant le contenu détaillé de la politique relative aux arrangements contractuels concernant l’utilisation de services TIC à l’appui de fonctions critiques ou importantes fournis par des prestataires de services TIC tiers (Commission Delegated Regulation supplementing Regulation (EU) 2022/2554 with regard to regulatory technical standards specifying the detailed content of the policy regarding contractual arrangements on the use of ICT services supporting critical or important functions provided by ICT third-party service providers)
• Règlement délégué de la Commission complétant le règlement (UE) 2022/2554 en ce qui concerne les normes techniques de réglementation spécifiant les outils, méthodes, processus et politiques de gestion des risques liés aux TIC et le cadre simplifié de gestion des risques liés aux TIC (Commission Delegated Regulation supplementing Regulation (EU) 2022/2554 with regard to regulatory technical standards specifying ICT risk management tools, methods, processes, and policies and the simplified ICT risk management framework)
• Règlement d’exécution (UE) 2024/2956 de la Commission du 29 novembre 2024 définissant des normes techniques d’exécution pour l’application du règlement (UE) 2022/2554 du Parlement européen et du Conseil en ce qui concerne les modèles types pour le registre d’informations (Commission Implementing Regulation (EU) 2024/2956 of 29 November 2024 laying down implementing technical standards for the application of Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to standard templates for the register of information)
• Règlement délégué (UE) 2025/301 de la Commission du 23 octobre 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par des normes techniques de réglementation précisant le contenu et les délais pour la notification initiale des incidents majeurs liés aux TIC, et pour les rapports intermédiaire et final y afférents, et le contenu de la notification volontaire en ce qui concerne les cybermenaces importantes (Commission Delegated Regulation (EU) 2025/301 of 23 October 2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards specifying the content and time limits for the initial notification of, and intermediate and final report on, major ICT-related incidents, and the content of the voluntary notification for significant cyber threats) (Date d’entrée en vigueur : 12 mars 2025)
• Règlement d’exécution (UE) 2025/302 de la Commission du 23 octobre 2024 définissant des normes techniques d’exécution pour l’application du règlement (UE) 2022/2554 du Parlement européen et du Conseil en ce qui concerne les formulaires, modèles et procédures types permettant aux entités financières de notifier un incident majeur lié aux TIC et de notifier une cybermenace importante (Commission Implementing Regulation (EU) 2025/302 of 23 October 2024 laying down implementing technical standards for the application of Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to the standard forms, templates, and procedures for financial entities to report a major ICT-related incident and to notify a significant cyber threat) (Date d’entrée en vigueur: 12 mars 2025)
• Règlement délégué (UE) 2025/295 de la Commission du 24 octobre 2024 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par des normes techniques de réglementation relatives à l’harmonisation des conditions permettant l’exercice des activités de supervision (Commission Delegated Regulation (EU) 2025/295 of 24 October 2024 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards on harmonisation of conditions enabling the conduct of the oversight activities) (Date d’entrée en vigueur : 5 mars 2025)
• Règlement délégué (UE) de la Commission du 13 février 2025 complétant le règlement (UE) 2022/2554 du Parlement européen et du Conseil par des normes techniques de réglementation précisant les critères utilisés pour identifier les entités financières tenues d’effectuer des tests d’intrusion fondés sur la menace, les exigences et les normes régissant le recours à des testeurs internes, les exigences relatives au périmètre et à la méthodologie des tests ainsi qu’à l’approche à suivre pour chaque phase des stades de test, de résultats, de clôture et de correction et le type de coopération en matière de surveillance et les autres types de coopération pertinents qui sont nécessaires pour l’exécution des tests d’intrusion fondés sur la menace et pour la facilitation de la reconnaissance mutuelle (Commission Delegated Regulation (EU) of 13 February 2025 supplementing Regulation (EU) 2022/2554 of the European Parliament and of the Council with regard to regulatory technical standards specifying the criteria used for identifying financial entities required to perform threat-led penetration testing, the requirements and standards governing the use of internal testers, the requirements in relation to the scope, testing methodology and approach for each phase of the testing, results, closure and remediation stages and the type of supervisory and other relevant cooperation needed for the implementation of TLPT and for the facilitation of mutual recognition) (période de revue de 3 mois avant publication au JO)

• RTS précisant les critères pour déterminer la composition de l’équipe d’examen conjoint (JET) (RTS specifying the criteria for determining the composition of the joint examination team (JET)) ;
• Orientations portant sur l’estimation des pertes et coûts agrégés résultant d’incidents majeurs liés aux TIC (Guidelines on the estimation of aggregated costs/losses caused by major ICT-related incidents) ;
• Orientations sur la coopération en matière de supervision (GL on oversight cooperation) ; 
• RTS sur la sous-traitance de fonctions critiques ou importantes (RTS on subcontracting ICT services supporting critical or important functions). 

Étapes suivantes :

• Revue et adoption des règlements délégués par la Commission européenne ;
• Adoption par le Parlement européen et le Conseil et publication au Journal officiel (pour les documents pertinents).

Les trois AES ont élaboré des questions-réponses communes afin de favoriser l’application cohérente et efficace du cadre réglementaire de l’UE au secteur financier. L’outil du registre commun des questions et réponses comprend les réponses aux questions du DORA qui peuvent être filtrées en conséquence. Cet outil permet de consulter les réponses des AES ainsi que les réponses fournies par la Commission européenne.

• La CSSF est régulièrement en contact avec des associations professionnelles et échange régulièrement avec des entités financières au Luxembourg à l’occasion de divers événements.
• La CSSF a lancé en août 2024 une enquête sur l’état de préparation à DORA auprès de près de 500 entités relevant de cette réglementation. Les résultats de cette enquête sont disponibles ici.
• Les autorités européennes de surveillance (EBA, EIOPA et ESMA) ont lancé un exercice volontaire (Dry Run) en mai 2024 pour la collecte des registres d’informations introduits par le règlement DORA. Les autorités compétentes des différents pays européens vont collecter les registres d’information des participants et transférer ces registres aux autorités européennes. Une page dédiée au ESA Dry Run peut être accédée via le lien.