Le règlement DORA : un outil de résilience et de compétitivité – note DDSP

Jeudi dernier, le 27 janvier, nous avons eu une séance du groupe Monnaie Numérique et Systèmes de Paiement,  (DDSP) et le Forum des marchés financiers (FMF) de Fide Fondation sur le règlement européen de la résilience opérationnelle numérique - DORA, partie du paquet finance numérique de la Commission européenne dans le but de positionner l'UE face à la transformation numérique de la finance.

Dans la séance, nous avons Henri Titos, directeur du groupe de travail DDSP de Fide, Silvia Senabré de la Banque d'Espagne, Israël Hernandez Ortiz, de PwC, Maria E Tsani d'AWS et Gabriel López Serrano Microsoft, animé par Antonio del Campo, de l'Institute of Compliance Officers et codirecteur du Financial Markets Forum of Fide.

Tous ont souligné la relative méconnaissance de la réglementation par les personnes concernées, son caractère stratégique malgré sa forte composante technique et la responsabilité des directions générales des entités financières (pas seulement des banques) dans son respect. Le règlement est actuellement en négociation dans le cadre de trilogues en Europe et devrait entrer en vigueur en 2024.

• DORA coexistera avec la directive NIS, sur la cybersécurité, transposée dans les lois nationales (en Espagne en 2021) et qui touche tous les secteurs, par rapport à DORA, qui ne s'applique qu'au secteur financier (+20 types d'entités), aux cabinets d'audit et à la technologie fournisseurs.

• La définition des fournisseurs de technologie est très large et ne se limite pas aux services cloud. Il est très difficile de tracer les dépendances des tiers technologiques au sein de la chaîne de services (environnement multitenant). Il est très important d'avoir la carte étendue de l'institution financière.

• La surveillance de DORA est proposée par le biais d'un forum de surveillance composé des AES et des autorités nationales, avec la BCE et d'autres entités européennes en tant qu'observateurs, établissant une surveillance des institutions financières et des fournisseurs de technologie.

• La proportionnalité d'application sera déterminante, liée non seulement à la taille mais aussi à la complexité du risque technologique de l'entité. Il sera essentiel d'apprendre au cours du processus, car le changement technologique peut modifier le profil de risque. Le cadre est très inspiré des orientations de l'ABE, ce qui rend les banques, en général, mieux préparées.

• Étant donné que DORA ne s'applique qu'aux services fournis dans l'UE et que la technologie est mondiale, il ne sera pas facile de retracer et de contrôler la fourniture de services basés dans des juridictions non membres de l'UE.

• "L'éléphant dans la pièce" est le chapitre V sur la surveillance et la supervision des fournisseurs de technologies critiques.

Rendre l'innovation compatible avec la réglementation est l'un des plus grands défis concurrentiels dans l'Union européenne et plus particulièrement dans le secteur financier, en pleine dynamique de transformation avec l'arrivée de la blockchain et de l'IA, où le risque de fragmentation peut affecter la stabilité financière, car la finance est la confiance. en majuscule. Compte tenu de l'absence de fournisseurs mondiaux européens de technologies, DORA a non seulement des implications stratégiques pour les institutions financières, mais également géopolitiques.

Henri Titos

Administrateur Indépendant. Conseiller-conseil. Directeur du GT DDSP de Fide, conseiller académique de Fide.

Informations sur la session

SESSION : LE REGLEMENT DORA (DIGITAL OPERATIONAL RESILIENCE ACT) : UN OUTIL POUR LA RESILIENCE ET LA COMPETITIVITE (EN LIGNE)

JEUDI 27 JANVIER 2022
 16h00 - 18h00

Présenter la séance :

• Image de balise Enrique Titos Martinez, administrateur indépendant. Conseiller-conseil. Directeur du GT "Monnaie Numérique et Systèmes de Paiement" de Fide, conseiller académique de Fide

Intervenants:

• Israël Hernandez Ortiz, Solutions d'affaires partenaires, PwC. Risque informatique et cybersécurité
• Gabriel Lopez Serrano, Directeur des Affaires Réglementaires de Microsoft Ibérica, Membre du Conseil Académique de Fide
• Silvia Senabré, Expert en informatique, Banque d'Espagne
• Maria Tsani, Head of Financial Services Public Policy & Regulatory Affairs EMEA chez Amazon Web Services (AWS)

Modérateur:

• Antonio del Campo de los Santos, Président de l'Institut des Officiers de Conformité, Conseiller Académique de Fide

Objectifs:
En septembre 2020, la Commission européenne a publié, au sein du paquet Digital Finance, un projet de règlement sur la résilience opérationnelle (DORA), visant à renforcer la résilience opérationnelle numérique des institutions financières afin d'assurer la stabilité et l'intégrité du système financier européen. .

A cette fin, la proposition DORA, qui sera articulée sous la forme d'un règlement d'application directe et de conformité obligatoire à toutes les entités qui fournissent des services financiers au sein de l'Union européenne, vise à établir des normes communes pour gérer les risques liés aux technologies de l'information (les TIC pour leur acronyme en anglais), ainsi que ceux issus de l'externalisation des services aux fournisseurs de technologies. Le règlement établit également des mécanismes de classification et de déclaration des incidents et des exigences en matière de tests de cyber-résilience, et accorde des pouvoirs supplémentaires aux autorités de contrôle pour surveiller les risques susmentionnés.

Depuis, les cyberattaques ne cessent de se multiplier, touchant tous les types d'entreprises participant aux différents services financiers. Le règlement DORA doit être compatible avec la proposition de directive NIS II (Network & Information Security II) et garantir la coordination entre les deux réglementations et entre les différentes autorités concernées, même s'il faudra attendre la version finale des deux textes pour savoir l'articulation définitive.

Les entités du système financier présentent une dépendance croissante vis-à-vis de la fourniture de services technologiques par des tiers. A l'externalisation « traditionnelle » des fonctions et des processus, il faut ajouter d'autres acteurs tels que les startups ou les scale-up du monde de la fintech, de l'insurtech ou de la regtech ou encore les prestataires de services basés sur le cloud.
Il doit être clair que DORA, traitant d'un problème transversal pour l'ensemble du système financier, s'appliquera à un nombre important et varié d'acteurs financiers sous le contrôle des autorités de surveillance, y compris la Banque d'Espagne, la Commission nationale des stocks Marché et la Direction Générale des Assurances et des Caisses de Retraite du caso d'Espagne. De la même manière, et compte tenu de la concentration des services dans les grandes entreprises technologiques, DORA établit un cadre de surveillance pour les autorités européennes sur les fournisseurs de technologies considérés comme critiques pour l'ensemble du secteur financier européen. Ce dernier représente une grande nouveauté par rapport au cadre réglementaire actuel.

Pour les institutions financières, l'amélioration de leur résilience opérationnelle est un facteur d'opportunité afin qu'elles puissent être compétitives et se différencier en s'appuyant sur une gestion solide des risques ICT et des risques cyber.
L'initiative DORA est dans une phase avancée de négociation en attendant les négociations finales du trilogue. Sa date d'entrée en vigueur est estimée à 2024 avec une période d'adaptation comprise entre 18 et 24 mois.

Dans cette session, nous voulons aborder la dernière mise à jour sur l'état du règlement, évaluer le niveau d'implication et de connaissance de la part des différents agents financiers couverts par son champ d'application, et enfin obtenir la vision de deux leaders technologiques concernés par l'avenir réglementation en leur qualité de fournisseurs de solutions et de sujets concernés.