Source: OJ L 333, 27.12.2022, pp. 153–163Current language: FR
DORA directive
DIRECTIVE (UE) 2022/2556 DU PARLEMENT EUROPÉEN ET DU CONSEIL
du 14 décembre 2022
modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 53, paragraphe 1, et son article 114,
vu la proposition de la Commission européenne,
après transmission du projet d’acte législatif aux parlements nationaux,
vu l’avis de la Banque centrale européenne(1),
vu l’avis du Comité économique et social européen(2),
statuant conformément à la procédure législative ordinaire(3),
considérant ce qui suit:
Considérant 1Digital risks in financial services
L’Union doit traiter de manière adéquate et globale les risques numériques auxquels sont exposées toutes les entités financières et qui découlent d’un recours accru aux technologies de l’information et de la communication (TIC) dans le cadre de la fourniture et de la consommation de services financiers, ce qui contribuera à exploiter le potentiel que recèle la finance numérique en matière de stimulation de l’innovation et de promotion de la concurrence dans un environnement numérique sûr.
Considérant 2 ICT risks of breakthrough technologies
Les entités financières sont fortement tributaires de l’utilisation des technologies numériques dans leurs activités quotidiennes. Il est dès lors primordial d’assurer la résilience opérationnelle de leurs opérations numériques face au risque lié aux TIC. Ce besoin est devenu encore plus pressant en raison de la croissance des technologies de pointe sur le marché, notamment les technologies qui permettent de transférer et de stocker de manière électronique des représentations numériques de valeurs ou de droits, en utilisant la technologie des registres distribués ou une technologie similaire (crypto-actifs), et des services liés à ces actifs.
Considérant 3Amended directives
Au niveau de l’Union, les exigences liées à la gestion du risque lié aux TIC auquel est exposé le secteur financier sont actuellement prévues par les directives 2009/65/CE(4), 2009/138/CE(5), 2011/61/UE(6), 2013/36/UE(7), 2014/59/UE(8), 2014/65/UE(9), (UE) 2015/2366(10) et (UE) 2016/2341(11) du Parlement européen et du Conseil.
Ces exigences sont diverses et parfois incomplètes. Dans certains cas, le risque lié aux TIC n’est abordé qu’implicitement dans le cadre du risque opérationnel et, dans d’autres cas, il n’est tout simplement pas abordé. Il est remédié à ces problèmes par l’adoption du règlement (UE) 2022/2554 du Parlement européen et du Conseil(12). Il y a donc lieu de modifier ces directives afin d’assurer la cohérence avec ledit règlement. La présente directive prévoit une série de modifications qui sont nécessaires pour apporter la clarté et la cohérence juridiques en ce qui concerne l’application, par les entités financières agréées et soumises à une surveillance conformément auxdites directives, de diverses exigences en matière de résilience opérationnelle numérique qui sont nécessaires à l’exercice de leurs activités et à la prestation de services, assurant ainsi le bon fonctionnement du marché intérieur. Il est nécessaire de veiller à ce que ces exigences soient en adéquation avec les évolutions du marché, tout en encourageant la proportionnalité au regard notamment de la taille des entités financières et des régimes spécifiques auxquels elles sont soumises, en vue de réduire les coûts de mise en conformité.
Considérant 4Amendments to the capital requirements directive
Dans le domaine des services bancaires, la directive 2013/36/UE n’énonce actuellement que des règles générales de gouvernance interne et des dispositions relatives au risque opérationnel définissant des exigences en matière de plans d’urgence et de poursuite de l’activité qui servent implicitement de base pour traiter le risque lié aux TIC. Toutefois, afin de traiter le risque lié aux TIC explicitement et clairement, les exigences en matière de plans d’urgence et de poursuite de l’activité devraient être modifiées de manière à inclure également les plans de continuité des activités et les plans de réponse et de rétablissement en ce qui concerne le risque lié aux TIC, conformément aux exigences fixées dans le règlement (UE) 22022/2554 En outre, le risque lié aux TIC n’est inclus que de façon implicite, dans le cadre du risque opérationnel, dans le processus de contrôle et d’évaluation prudentiels (SREP) mené par les autorités compétentes et ses critères d’évaluation sont actuellement définis dans les orientations sur l’évaluation du risque lié aux TIC dans le cadre du processus de contrôle et d’évaluation prudentiels (SREP), émises par l’Autorité européenne de surveillance (Autorité bancaire européenne) (ABE), instituée par le règlement (UE) no 1093/2010 du Parlement européen et du Conseil(13). Dans un souci de clarté juridique et pour veiller à ce que les autorités de surveillance du secteur bancaire cernent efficacement le risque lié aux TIC et contrôlent sa gestion par les entités financières conformément au nouveau cadre sur la résilience opérationnelle numérique, le champ d’application du SREP devrait également être modifié pour se référer explicitement aux exigences fixées dans le règlement (UE) 2022/2554 et couvrir en particulier les risques mis en évidence par les rapports sur les incidents majeurs liés aux TIC et par les résultats des tests de résilience opérationnelle numérique effectués par les entités financières conformément audit règlement.
Considérant 5Amendments to the bank recovery and resolution directive (BRRD)
La résilience opérationnelle numérique est essentielle pour préserver les fonctions critiques et les activités fondamentales d’une entité financière en cas de résolution et éviter ainsi de perturber l’économie réelle et le système financier. Les incidents opérationnels majeurs peuvent entraver la capacité d’une entité financière à poursuivre ses activités et peuvent compromettre les objectifs de la résolution. Certains accords contractuels relatifs à l’utilisation de services TIC sont essentiels pour assurer la continuité opérationnelle et fournir les données nécessaires en cas de résolution. Afin qu’elle corresponde aux objectifs du cadre de l’Union en matière de résilience opérationnelle, la directive 2014/59/UE devrait être modifiée en conséquence, en vue de garantir que les informations relatives à la résilience opérationnelle sont prises en compte dans le contexte de la planification de la résolution et de l’évaluation de la résolvabilité des entités financières.
Considérant 6Amendments to the markets in financial instruments directive (MiFID II)
La directive 2014/65/UE fixe des règles plus strictes en matière de risque lié aux TIC pour les entreprises d’investissement et les plateformes de négociation qui recourent au trading algorithmique. Des exigences moins détaillées s’appliquent aux services de communication de données et aux référentiels centraux. En outre, la directive 2014/65/UE ne fait référence que de manière limitée aux dispositifs de contrôle et de sauvegarde des systèmes informatiques et à l’utilisation de systèmes, de ressources et de procédures appropriés pour garantir la continuité et la régularité des services. De plus, cette directive devrait être alignée sur le règlement (UE) 2022/2554 en ce qui concerne la continuité et la régularité de la fourniture de services d’investissement et de l’exercice d’activités d’investissement, la résilience opérationnelle, la capacité des systèmes de négociation, et l’efficacité des mécanismes de continuité des activités et de la gestion des risques.
Considérant 7Amendments to the payment service directive (PSD 2)
La directive (UE) 2015/2366 énonce des règles spécifiques relatives à des éléments de maîtrise et d’atténuation des risques en matière de sécurité des TIC aux fins d’obtenir un agrément pour la prestation de services de paiement. Ces règles d’agrément devraient être modifiées afin d’être alignées sur le règlement (UE) 2022/2554. En outre, afin de réduire la charge administrative et d’éviter la complexité et la répétition des obligations de notification, les règles relatives à la notification des incidents contenues dans ladite directive devraient cesser de s’appliquer aux prestataires de services de paiement qui sont régis par ladite directive et qui relèvent également du règlement (UE) 2022/2554, leur permettant ainsi de bénéficier d’un mécanisme de notification des incidents unique et entièrement harmonisé, applicable à tous les incidents opérationnels ou de sécurité liés au paiement, que ces incidents soient liés ou non aux TIC.
Considérant 8Amendments to the UCITS and AIFM directives
Les directives 2009/138/CE et (UE) 2016/2341 couvrent en partie le risque lié aux TIC dans leurs dispositions générales sur la gouvernance et la gestion des risques, certaines exigences devant être précisées par des actes délégués avec ou sans référence spécifique au risque lié aux TIC. De même, seules des règles très générales s’appliquent aux gestionnaires de fonds d’investissement alternatifs relevant de la directive 2011/61/UE et aux sociétés de gestion relevant de la directive 2009/65/CE. Ces directives devraient dès lors être alignées sur les exigences fixées dans le règlement (UE) 2022/2554 en ce qui concerne la gestion des systèmes et outils de TIC.
Considérant 9Removal of ESAs empowerments on ICT risk from certain legislative acts
Dans de nombreux cas, des exigences supplémentaires en matière de risque lié aux TIC ont déjà été établies dans des actes délégués et d’exécution, adoptés sur la base de projets de normes techniques de réglementation et de projets de normes techniques d’exécution élaborés par l’autorité européenne de surveillance compétente. Étant donné que les dispositions du règlement (UE) 2022/2554 constituent désormais le cadre juridique du risque lié aux TIC dans le secteur financier, certaines habilitations en vue de l’adoption d’actes délégués et d’exécution contenues dans les directives 2009/65/CE, 2009/138/CE, 2011/61/UE et 2014/65/UE devraient être modifiées afin de retirer les dispositions relatives au risque lié aux TIC du champ d’application de ces habilitations.
Considérant 10Transposal into national law by applicability of DORA
Pour assurer une mise en œuvre cohérente du nouveau cadre en matière de résilience opérationnelle numérique du secteur financier, les États membres devraient appliquer les dispositions de droit national transposant la présente directive à partir de la date d’application du règlement (UE) 2022/2554
Considérant 11The Treaty on the Functioning of the European Union
Les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 ont été adoptées sur la base de l’article 53, paragraphe 1, ou de l’article 114 du traité sur le fonctionnement de l’Union européenne, ou de ces deux dispositions. Les modifications contenues dans la présente directive ont été incluses dans un acte législatif unique en raison de l’interdépendance de l’objet et des objectifs de ces modifications. En conséquence, la présente directive devrait être adoptée sur la base à la fois de l’article 53, paragraphe 1, et de l’article 114 du traité sur le fonctionnement de l’Union européenne.
Considérant 12Subsidiarity and proportionality
Étant donné que les objectifs de la présente directive ne peuvent pas être atteints de manière suffisante par les États membres, parce qu’ils supposent l’harmonisation d’exigences déjà contenues dans des directives, mais peuvent, en raison des dimensions et des effets de l’action, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, la présente directive n’excède pas ce qui est nécessaire pour atteindre ces objectifs.
Considérant 13Notification of transposition measures
Conformément à la déclaration politique commune des États membres et de la Commission du 28 septembre 2011 sur les documents explicatifs(14), les États membres se sont engagés à joindre à la notification de leurs mesures de transposition, dans les cas où cela se justifie, un ou plusieurs documents expliquant le lien entre les éléments d’une directive et les parties correspondantes des instruments nationaux de transposition. En ce qui concerne la présente directive, le législateur estime que la transmission de ces documents est justifiée,
ONT ADOPTÉ LA PRÉSENTE DIRECTIVE:
- Article premierModifications de la directive 2009/65/CE
- Article 2Modifications de la directive 2009/138/CE
- Article 3Modification de la directive 2011/61/UE
- Article 4Modifications de la directive 2013/36/UE
- Article 5Modifications de la directive 2014/59/UE
- Article 6Modifications de la directive 2014/65/UE
- Article 7Modifications de la directive (UE) 2015/2366
- Article 8Modification de la directive (UE) 2016/2341
- Article 9Transposition
- Article 10Entrée en vigueur
- Article 11Destinataires
Fait à Strasbourg, le 14 décembre 2022.
Par le Parlement européen
La présidente
R. METSOLA
Par le Conseil
Le président
M. BEK
Definition
sécurité des réseaux et des systèmes d’information
(En. security of network and information systems)
Definition
services TIC
(En. ICT services)
Definition
gestionnaire de fonds d’investissement alternatifs
(En. manager of alternative investment funds)
Definition
entreprise d’investissement
(En. investment firm)
Definition
résilience opérationnelle numérique
(En. digital operational resilience)
Definition
risque lié aux TIC
(En. ICT risk)
Definition
prestataire tiers de services TIC
(En. ICT third-party service provider)
Footnote 1
Footnote 3
Footnote 2
Footnote 14
Footnote 11
Footnote 4
Footnote 12
Footnote 10
Footnote 6
Footnote 5
Footnote 9
Footnote 13
Footnote 7
Footnote 8