Tout s’accélère. Le 17 juillet 2024, les trois autorités européennes de surveillance ont publié la deuxième série de projets définitifs de normes techniques dans le cadre du DORA (Digital Operational Resilience Act).
DORA, dernière ligne droite. Le deuxième lot de textes de niveau 2 complétant les obligations réglementaires du règlement (2022/2554 sur la résilience opérationnelle numérique du secteur financier est connu depuis le 17 juillet.
Le calendrier a été respecté : 17 janvier 2024 (premier lot) et 17 juillet 2024 (deuxième lot). Cependant, les règles de niveau 2 sur la sous-traitance de fonctions critiques ou importantes (article 30(5)), qui devaient également être incluses dans le deuxième lot (et qui étaient attendues avec impatience par les entités financières et les prestataires ICT doivent encore être finalisées. Les ESA (European Supervisory Authorities) se sont contentées d’indiquer dans un communiqué que ces règles de niveau 2 restantes seront publiées « en temps voulu »…
CSSF et CAA
Quelques jours auparavant, la loi luxembourgeoise du 1er juillet 2024 mettant en œuvre certains aspects du DORA et transposant la directive (UE) 2022/2556, qui vise à inclure une référence croisée au DORA dans les directives du secteur financier en vue d’assurer le respect de DORA en ce qui concerne les exigences organisationnelles à mettre en place par les entités financières, a également été publiée au Moniteur Luxembourg (« Loi DORA »).
Dans ce contexte, la CSSF (Commission de Surveillance du Secteur Financier) et le CAA (Commissariat aux Assurances) ont été désignés comme autorités compétentes au Luxembourg chargées de veiller à la conformité de leurs entités financières surveillées. Elles ont été investies des pouvoirs de surveillance, d’enquête et de sanction nécessaires à l’exercice de leurs fonctions dans les limites définies par le DORA.
Un calendrier difficile à respecter
Cela signifie que les projets de mise en œuvre de DORA devront progresser rapidement au deuxième semestre pour garantir que ces exigences détaillées soient respectées. Pour beaucoup, ce sera une course contre la montre.
Le calendrier apparaît difficile à respecter. Il reste encore beaucoup de travail à accomplir. Dans une enquête réalisée en mars dernier, McKinsey laissait déjà entendre son scepticisme. En avril, la plupart des organisations déclarent avoir réalisé une analyse des lacunes et sont en train de concevoir ou de déployer des programmes de mise en œuvre. Néanmoins, toutes les organisations font état d’une certaine incertitude, par exemple concernant les exigences précises de la législation. Maintenant que le deuxième des deux lots de RTS (Regulatory Technical Standards) est connu, le doute est réel.
DORA, loin du compte
Rien d’étonnant. D’une manière générale, les organisations sous-estiment souvent les ressources et le temps nécessaires, notamment pour la gestion des risques liés aux tiers et la mise en place de systèmes efficaces de signalement des incidents. Selon l’enquête de McKinsey, la gestion des risques liés aux tiers est précisément l’un des domaines dans lesquels les organisations financières éprouvent le plus de difficultés. Plus de la moitié des cadres et des responsables de programmes interrogés dans le cadre de cette étude ont déclaré qu’il s’agissait de l’un des éléments de DORA les plus complexes à mettre en oeuvre.
Idéalement, les entités réglementées devraient avoir déjà effectué un grand nombre de tests de scénario d’incidents, avec un pourcentage élevé de tests réussis. Mais, selon les prestataires de services spécialisés, on est loin du compte.
