Dès 2025, le Digital Operational Resilience Act (DORA) imposera à tous les acteurs du secteur financier de l’UE des règles de gestion des risques et d’incidents liés aux TIC. Tous devront faire leurs devoirs cyber à domicile, explique Jean-François Trapp, Partner chez Baker McKenzie Luxembourg. L’écosystème financier luxembourgeois sera-t-il prêt ?
Le 17 janvier 2025, le règlement sur la résilience opérationnelle numérique DORA (Digital Operational Resilience Act) sera applicable aux entités financières de l’UE. Son objectif : renforcer la résilience opérationnelle numérique dans le secteur financier de l’UE en introduisant un cadre juridique commun.
Le texte s’inscrit dans la démarche de digitalisation de l’économie en général, et surtout financière, en Europe.
Jean-François Trapp, Partner au sein du cabinet juridique Baker McKenzie Luxembourg revient sur les modalités de la réglementation et sur ses impacts pour l’écosystème financier luxembourgeois.
Jean-François Trapp, quelles sont les principales spécificités de DORA par rapport à d’autres réglementations financières ?
Bien que couvrant le secteur financier, l’une des particularités est qu’elle s’applique aussi à des opérateurs qui ne sont pas des acteurs financiers de premier cercle : comme les agences de notation, les datacenters, les services de cloud, les plateformes de crowdfunding, les fournisseurs de services d’IT, etc. qui habituellement ne sont pas considérés comme des institutions financières en tant que telles. Une vingtaine de types d’entités non-financières sont ainsi concernés.
En d’autres termes, DORA s’appliquera à tout un écosystème qui travaille avec la sphère financière. Cette réglementation va cette fois au-delà des banques, pour adresser la résilience cyber de tout l’espace financier européen.
Tous ces acteurs devront donc faire leurs devoirs à domicile en matière cyber, ainsi qu’une due diligence sur toute leur chaîne d’activités, depuis leurs fournisseurs jusqu’à leurs clients.
C’est vraiment le cœur de cette réglementation, qui considère que la vulnérabilité du système repose sur celle du maillon le plus faible de la chaîne.
Où en sont les acteurs luxembourgeois concernés dans la mise en place de DORA ?
Je pense qu’il y a eu au début un peu de retard. Mais maintenant tout le monde se rend compte que janvier 2025 arrive bientôt, et que sa date d’application ne sera pas repoussée ; contrairement à d’autres directives, les organismes de contrôle ont pour l’instant refusé tout report.
Ce refus est motivé par l’explosion exponentielle actuelle du risque cyber.
Quelles sont les principales phases de la mise en place en interne ?
Les entités financières au sens large devront faire en interne un premier travail d’adaptation de leurs processus et systèmes, mais aussi de leur gouvernance, DORA imposant à cette dernière de s’impliquer concrètement et proactivement dans la cybersécurité.
Par le passé, on mettait en place un responsable de sécurité, avec une politique de sécurité, et on déléguait. Désormais, on change un peu de paradigme.
DORA ne sera donc pas un simple item à l’agenda, mais bien un processus permanent, car l’adaptation aux cyber-vulnérabilités est permanente. Tous les maillons de la chaîne sans exception devront donc mettre en place des mesures de résilience.
Puis dans une seconde phase, les institutions financières devront vérifier que tous les acteurs de leur chaîne de valeur, tels leurs fournisseurs de solutions TIC ainsi que leurs sous-traitants, les ont bien mises en place et respectent toutes les règles de bonnes pratiques.
Dans le passé, de nombreuses réglementations sur l’outsourcing avaient été imposées par les régulateurs, pour à la fois cartographier et réglementer ce qui pouvait être externalisé.
Ces opérateurs externes étant désormais identifiés, les contrats d’externalisation devront eux aussi être conformes à DORA.
Toutefois, les entreprises qui contractent avec des institutions financières, devraient déjà avoir pour elles-mêmes une politique de gestion du risque cyber.
« DORA ne sera pas un simple item à l’agenda, mais bien un processus permanent »
Les autres prestataires non-TIC (de catering, agences de voyages…), avec lesquels les banques travaillent, sont-ils eux aussi concernés par DORA ?
Pour l’instant non. Le législateur européen a probablement considéré que leur vulnérabilité dans le système n’était pas suffisante pour leur imposer des obligations.
Leur interconnexion avec les institutions financières n’étant selon lui pas suffisamment forte, sachant que DORA s’appliquera de manière proportionnelle à chaque domaine d’activités concerné, ainsi les data center auront d’autres niveaux d’obligations que par exemple les entreprises d’investissement.
Sur quelle base s’effectue la distinction ?
Selon la réglementation, elle s’effectue au niveau des catégories de prestataires.
Elle prend aussi en compte le volume des données traitées par les opérateurs, comme les agences de notation, qui collectent et analysent de nombreuses informations parfois très sensibles notamment pour les marchés de capitaux.
Quel sera le rôle d’un cabinet juridique dans l’implémentation de DORA ?
Une de nos missions en tant que cabinet d’avocats est de revoir les contrats conclus entre nos clients et leurs prestataires. Souvent le travail de revue est effectué en interne par les grandes institutions. Mais nous intervenons aussi lors de divergences d’interprétations entre elles et leurs fournisseurs, par exemple sur l’adaptation du contrat, et ce pour les aider à trouver un terrain d’entente.
Nous revoyons aussi certaines documentations de nos clients, comme les contrats des prestataires de services des AIFM par exemple, pour s’assurer de leur conformité ou les mettre en conformité avec DORA.
Quels peuvent être les types de divergences ?
Un exemple de divergence pourrait porter sur la clause de responsabilité : qui de l’institution ou de son prestataire IT sera responsable en cas d’incident ? Et quels seront les niveaux de responsabilités de chacun ?
Idem pour la clause de reporting. Par exemple : à partir de quel moment d’une intrusion cyber un prestataire IT devra-t-il informer son client bancaire, et de quelle façon ? Avec le dilemme pour le prestataire de devoir simultanément bloquer l’attaque en temps réels et d’informer en temps réel son client.
DORA imposant une obligation plus forte à tous les acteurs, la criticité du reporting est un pilier important, voire l’un des cœurs de la réglementation.
Et si auparavant les rôles étaient déjà définis, DORA impose cette fois des règles du jeu plus précises et strictes.
Y-aura-t-il une suite à DORA ?
Certainement. Avec d’abord des adaptations peut-être d’ordre opérationnel. Il y aura sûrement un retour d’expérience sur la façon dont DORA sera appliquée. Suite à ce bilan, je peux m’imaginer des adaptations sous forme d’un DORA 2.
Qui seront les gagnants et perdants de DORA. Et quels seront les nouveaux acteurs dans ce domaine ?
De nombreux acteurs de la cyber-vigilance pensent que DORA impliquera de nouveaux services aux institutions financières au sens large.
Etant donné que le règlement instaure une couche de normes supplémentaire, des entreprises feront désormais appel à des experts cyber pour tester la vulnérabilité de leurs systèmes et se mettre en conformité. Ceux-ci seront les grands gagnants de DORA.
Peut-on prévoir une externalisation de toute la mise en conformité à DORA, puis son suivi par des prestataires externes ?
Je ne crois pas. Tel que je comprends la philosophie de DORA, les institutions financières au sens large doivent s’impliquer elles-mêmes dans la démarche de leur cybersécurité. C’est quelque chose qui doit rester à l’intérieur de l’organisation. Il y aura des partenariats forts avec des entreprises de cybersécurité, mais pas d’externalisation.
Ce qui fait la cybersécurité, c’est la robustesse de vos infrastructures, procédures et systèmes informatiques. En général, les entreprises de cybersécurité n’assurent pas votre cybersécurité au quotidien. Ils interviennent pour vérifier, tester vos défaillances IT et vous aider à y remédier. Mais ils ne sont pas chargés de garder votre environnement, comme le ferait une compagnie de sécurité.
Que se passera-t-il si les institutions ne sont pas conformes ?
Ce seront des amendes et des sanctions administratives, comme pour les autres directives.
Je ne peux pas imaginer une banque avoir un tel défaut de conformité avec DORA, au point de devoir cesser ses activités. Car aujourd’hui tout le monde fait de la protection cyber.
Je peux toutefois imaginer, que comme pour toutes les autres réglementations, il y aura une certaine période d’adaptation de tous les acteurs. Et une fois que tout est bien rentré dans les mœurs, ceux qui éventuellement ne s’y seraient pas conformés commenceront à être sanctionnés.
DORA pourrait-elle être un facteur compétitif pour la Place financière luxembourgeoise ?
La Place a atteint un tel degré de professionnalisme et de concentration, que DORA sera probablement mieux et plus rapidement appliquée que dans beaucoup d’autres pays.
Comme souvent, il y aura une réponse globale du secteur financier à cette directive. Je pense donc que la Place sera plus rapidement résiliente que ses concurrentes.
