Art. 4 Modifications de la directive 2013/36/UE | DORA directive | DORA

Article 4 amends Directive 2013/36/EU (the Capital Requirements Directive) to align it with DORA.

It makes several targeted changes across different provisions of that Directive, collectively ensuring that institutions' governance, business continuity, supervisory review, and third-party oversight obligations now explicitly incorporate and cross-reference DORA's requirements.

Rather than creating new standalone rules, this article effectively plugs DORA into the existing CRD framework.

Important points:

Institutions must set up and manage network and information systems in accordance with DORA as part of their broader governance arrangements.
Competent authorities are required to ensure that institutions' contingency and business continuity plans, including ICT-specific plans, are established, managed, and tested in accordance with Article 11 of DORA.
Risks revealed by digital operational resilience testing under DORA must now be included within the supervisory review and evaluation process for institutions.

La directive 2013/36/UE est modifiée comme suit:

À l’article 65, paragraphe 3, point a), le point vi) est remplacé par le texte suivant:
«les tiers auprès desquels les entités visées aux points i) à iv) ont externalisé des fonctions ou des activités, y compris les prestataires tiers de services TIC visés au chapitre V du règlement (UE) 2022/2554 du Parlement européen et du Conseil(¹⁸);
À l’article 74, paragraphe 1, le premier alinéa est remplacé par le texte suivant:
«Les établissements disposent d’un dispositif solide de gouvernance d’entreprise, comprenant notamment une structure organisationnelle claire avec un partage des responsabilités bien défini, transparent et cohérent, des processus efficaces de détection, de gestion, de suivi et de déclaration des risques auxquels ils sont ou pourraient être exposés, des mécanismes adéquats de contrôle interne, y compris des procédures administratives et comptables saines, des réseaux et des systèmes d’information qui sont mis en place et gérés conformément au règlement (UE) 2022/2554 et des politiques et pratiques de rémunération permettant et favorisant une gestion saine et efficace des risques.».
À l’article 85, le paragraphe 2 est remplacé par le texte suivant:
Les autorités compétentes veillent à ce que les établissements disposent de politiques et de plans d’urgence et de poursuite de l’activité adéquats, y compris des politiques et des plans en matière de continuité des activités de TIC et des plans de réponse et de rétablissement des TIC concernant les technologies qu’ils utilisent pour la communication d’informations, et que ces plans soient établis, gérés et testés conformément à l’article 11 du règlement (UE) 2022/2554, afin que les établissements puissent poursuivre leurs activités en cas de grave perturbation de celles-ci et limiter les pertes subies à la suite d’une telle perturbation.».
À l’article 97, paragraphe 1, le point suivant est ajouté:
«les risques mis en évidence par des tests de résilience opérationnelle numérique conformément au chapitre IV du règlement (UE) 2022/2554.».