Article 45 Dispositifs de partage d’informations et de renseignements sur les cybermenaces

Summary What does Article 45 of the DORA regulation say?

This article addresses the voluntary sharing of cyber threat information between financial entities.

It permits financial entities to exchange threat intelligence — such as indicators of compromise, tactics, and procedures — provided that this sharing is aimed at strengthening digital operational resilience, takes place within trusted communities, and is conducted under formal arrangements that safeguard business confidentiality, personal data, and competition rules.

The article also sets out what those information-sharing arrangements must cover in terms of governance and participation, and imposes a notification obligation on financial entities toward their competent authorities.

Important points:

You may share cyber threat information and intelligence with other financial entities, but only within trusted communities and under formal arrangements that comply with data protection and competition rules.
Information-sharing arrangements must define conditions for participation, including the potential roles of public authorities and ICT third-party service providers.
Notify your competent authority upon joining or leaving any such information-sharing arrangement.

Springlex's summary of the article, a reading aid, not a substitute for the legal text.

1. Les entités financières peuvent échanger entre elles des informations et des renseignements sur les cybermenaces, notamment des indicateurs de compromis, des tactiques, des techniques et des procédures, des alertes de cybersécurité et des outils de configuration, dans la mesure où ce partage d’informations et de renseignements:
  1. vise à améliorer la résilience opérationnelle numérique des entités financières, notamment en les sensibilisant aux cybermenaces, en limitant ou en bloquant la capacité de propagation des cybermenaces, et en soutenant les capacités de défense, les techniques de détection des menaces et les stratégies d’atténuation ou les phases de réponse et de rétablissement;
  2. se déroule au sein de communautés d’entités financières de confiance;
  3. repose sur des dispositifs de partage des informations qui protègent la nature potentiellement sensible des informations partagées et qui sont régis par des règles de conduite dans le plein respect de la confidentialité des affaires, de la protection des données à caractère personnel conformément au règlement (UE) 2016/679 et des lignes directrices sur la politique de concurrence.
1. Aux fins du paragraphe 1, point c), les dispositifs de partage d’informations définissent les conditions à respecter pour y participer et, le cas échéant, précisent les modalités de participation des autorités publiques, et en quelle qualité elles peuvent être associées à ces dispositifs, les modalités de la participation des prestataires tiers de services TIC, ainsi que les aspects opérationnels de ce partage, y compris de l’utilisation de plateformes de TIC spécialisées.
1. Les entités financières notifient aux autorités compétentes leur participation aux dispositifs de partage d’informations visés au paragraphe 1 lors de la validation de leur adhésion ou, le cas échéant, la cessation de leur adhésion, lorsque celle-ci prend effet.

Relevant recitals

Considérant 32 Importance of information sharing to prevent cyber threats

Face à la complexité et à la sophistication croissantes du risque lié aux TIC, l’efficacité des mesures de détection et de prévention du risque lié aux TIC dépend dans une large mesure de l’échange régulier de renseignements sur les menaces et les vulnérabilités entre les entités financières. Le partage d’informations contribue à accroître la sensibilisation aux cybermenaces. Cela renforce à son tour la capacité des entités financières à empêcher les cybermenaces de devenir des incidents réels liés aux TIC et leur permet de contenir plus efficacement l’impact des incidents liés aux TIC et de se rétablir plus rapidement. En l’absence d’orientations au niveau de l’Union, plusieurs facteurs semblent avoir entravé ce partage de renseignements, notamment l’incertitude quant à sa compatibilité avec les règles en matière de protection des données, de pratiques anticoncurrentielles et de responsabilité.

Considérant 33 Fragmented information sharing and the need for strengthening communication channels

En outre, les doutes quant au type d’informations qui peuvent être partagées avec d’autres acteurs du marché ou avec des autorités non chargées de la surveillance (telles que l’ENISA, à des fins d’analyse, ou Europol, à des fins répressives) aboutissent à la rétention d’informations utiles. Par conséquent, l’étendue et la qualité du partage d’informations demeurent actuellement limitées et fragmentées, puisque les échanges pertinents se font principalement au niveau local (dans le cadre d’initiatives nationales) et qu’il n’existe aucun dispositif cohérent de partage d’informations à l’échelle de l’Union adapté aux besoins d’un système financier intégré. Il importe donc de renforcer ces canaux de communication.

Considérant 34 Voluntary information-sharing arrangements for financial entities

Les entités financières devraient être encouragées à échanger entre elles des informations et des renseignements sur les cybermenaces et à exploiter ensemble les connaissances et l’expérience pratique de chacune d’entre elles aux niveaux stratégique, tactique et opérationnel en vue de renforcer leur capacité à évaluer et surveiller de manière adéquate les cybermenaces, ainsi qu’à s’en prémunir et à y répondre, en participant à des dispositifs de partage d’information. Il est donc nécessaire de favoriser l’émergence, au niveau de l’Union, de mécanismes volontaires de partage d’informations qui, employés dans des environnements de confiance, permettraient à la communauté du secteur financier de prévenir les cybermenaces et d’y répondre collectivement en limitant rapidement la propagation du risque lié aux TIC et en empêchant une éventuelle contagion à travers les canaux financiers. Ces mécanismes devraient être conformes aux règles applicables du droit de la concurrence de l’Union énoncées dans la communication de la Commission du 14 janvier 2011 intitulée «Lignes directrices sur l’applicabilité de l’article 101 du traité sur le fonctionnement de l’Union européenne aux accords de coopération horizontale», ainsi qu’avec les règles de l’Union en matière de protection des données, en particulier le règlement (UE) 2016/679 du Parlement européen et du Conseil(¹³). Ils devraient fonctionner sur la base du recours à une ou plusieurs des bases juridiques énoncées à l’article 6 dudit règlement, par exemple dans le cadre du traitement de données à caractère personnel qui est nécessaire aux fins des intérêts légitimes poursuivis par le responsable du traitement ou par un tiers, tel que visé à l’article 6, paragraphe 1, point f), dudit règlement, ainsi que dans le cadre du traitement de données à caractère personnel qui est nécessaire au respect d’une obligation légale à laquelle le responsable du traitement est soumis ou nécessaire à l’exécution d’une mission d’intérêt public ou relevant de l’exercice de l’autorité publique dont est investi le responsable du traitement, visé à l’article 6, paragraphe 1, points c) et e), respectivement, dudit règlement.

Considérant 52 Information sharing between authorities and financial entities

La notification directe devrait permettre aux autorités de surveillance financière d’avoir un accès immédiat aux informations sur les incidents majeurs liés aux TIC. Les autorités de surveillance financière devraient à leur tour transmettre des informations détaillées sur les incidents majeurs liés aux TIC aux autorités non financières publiques (telles que les autorités compétentes et les points de contact uniques relevant de la directive (UE) 2022/2555, les autorités nationales de protection des données et les services répressifs pour les incidents majeurs de nature criminelle liés aux TIC), afin de sensibiliser ces autorités à ces incidents et, dans le cas des CSIRT, de faciliter la fourniture d’une assistance rapide aux entités financières, le cas échéant. Les États membres devraient en outre être en mesure de déterminer que les entités financières elles-mêmes devraient fournir ces informations aux autorités publiques en dehors du domaine des services financiers. Ces flux d’information devraient permettre aux entités financières de bénéficier rapidement de toute contribution technique pertinente, de conseils sur les mesures correctives et d’un suivi ultérieur de la part de ces autorités. Les informations sur les incidents majeurs liés aux TIC devraient être communiquées sur une base mutuelle: les autorités de surveillance financière devraient fournir tous les retours d’information ou orientations nécessaires à l’entité financière, tandis que les AES devraient partager des données anonymisées sur les cybermenaces et les vulnérabilités liées à un incident, afin de contribuer à la défense collective au sens large.

Table of contents

Springlex and this text is meant purely as a documentation tool and has no legal effect. No liability is assumed for its content. The authentic version of this act is the one published in the Official Journal of the European Union.