Ce communiqué a été publié par l’ACPR.
Le règlement européen 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier DORA vient d’entrer en application ce 17 janvier 2025. L’occasion pour l’ACPR après deux réunions de place organisées le 09 octobre 2024 – de rappeler les attendus pour les secteurs de la banque et de l’assurance à court et moyen terme.
Des obligations qui s’appliquent dès maintenant
Dès aujourd’hui, l’entrée en vigueur de cette nouvelle règlementation se traduit par l’obligation pour les entités supervisées de déclarer aux autorités compétentes leurs incidents majeurs liés aux technologies de l’information et de la communication (TIC). Dans le même temps, elles doivent rapidement être en mesure de remettre à l’ACPR leur registre d’information au plus tard le 15 avril 2025. L’ACPR se chargera ensuite de les faire parvenir aux Autorités européennes de surveillance (European Banking Authority (EBA), European Insurance and Occupational Pensions Authority (EIOPA), European Securities and Markets Authority (ESMA)) afin d’identifier des prestataires tiers critiques de services TIC (CTPP).
Des cadres de gouvernance et de contrôle interne à l’état de l’art
À moyen terme, l’ACPR veillera à ce que les entités maintiennent le cadre de gouvernance et de contrôle interne en ligne avec les exigences de DORA pour garantir une gestion efficace et prudente du risque lié aux TIC. Il s’agit de l’élément fondamental de leur résilience opérationnelle numérique. Ce cadre comprend la mise en place d’une structure de gouvernance globale avec des rôles et des responsabilités clairs, ainsi que la mise en place de systèmes de contrôle nécessaires pour identifier et atténuer tout risque lié aux TIC, et d’un programme de test de la résilience opérationnelle numérique.
L’ACPR vient de publier deux documents relatifs à l’entrée en vigueur de DORA :
- FAQ sur le règlement et la directive DORA
- Formulaire de déclaration d’externalisation de notification des incidents majeurs
