Alors que l’encre du règlement MiCA sur les crypto-actifs est à peine sèche, l’Union Européenne s’apprête déjà à franchir un nouveau pas dans la réglementation financière avec l’entrée en vigueur de DORA, le Digital Operational Resilience Act. Cet acte législatif, qui deviendra applicable dès le 17 janvier 2025, vise à renforcer la résilience opérationnelle numérique des acteurs du secteur financier face aux risques liés aux technologies de l’information et de la communication (TIC).
Combler une lacune critique dans la réglementation financière européenne
Jusqu’à présent, les institutions financières géraient essentiellement les risques opérationnels en allouant des capitaux pour couvrir les pertes potentielles. Cependant, cette approche ne prenait pas suffisamment en compte les menaces spécifiques liées aux TIC, pourtant cruciales dans un contexte de digitalisation croissante des services financiers. C’est précisément cette lacune que DORA entend combler, en imposant aux acteurs du marché de suivre des directives strictes pour se prémunir contre ces risques.
Car comme le souligne le document publié par les instances européennes, ce manque de résilience opérationnelle menace directement la stabilité de l’ensemble du système financier. Il était donc urgent d’agir pour mettre en place un cadre réglementaire adapté aux enjeux actuels.
Les principales exigences de DORA pour les institutions financières
Concrètement, DORA impose aux entités financières de respecter plusieurs obligations clés :
- Gérer rigoureusement les risques liés aux TIC, en mettant en place des procédures et des contrôles adéquats.
- Signaler les incidents majeurs liés aux TIC et notifier, sur une base volontaire, les cybermenaces importantes aux autorités compétentes.
- Tester régulièrement leur résilience opérationnelle numérique via des exercices de simulation et des audits.
- Partager les informations et les renseignements concernant les cybermenaces et les vulnérabilités avec les autres acteurs du secteur.
- S’assurer de la bonne gestion du risque lié aux TIC par leurs prestataires tiers.
Un focus sur les relations avec les prestataires tiers de TIC
DORA accorde une attention particulière aux arrangements contractuels entre les institutions financières et leurs fournisseurs de services TIC. Ces derniers devront désormais tenir un registre complet de ces contrats, qui servira à la fois d’outil interne de surveillance et de source d’information pour les superviseurs.
L’objectif est clair : garantir la sécurité de l’infrastructure financière face aux cyberattaques et aux défaillances informatiques, y compris lorsque certains services sont externalisés. Une nécessité absolue à l’heure où la dépendance aux technologies numériques ne cesse de s’accroître.
Un accueil favorable du secteur, malgré quelques inquiétudes
Du côté des institutions financières, on salue globalement cette initiative qui va dans le sens d’un renforcement de la cybersécurité. Certains acteurs soulignent toutefois qu’ils n’avaient pas attendu DORA pour sécuriser leurs réseaux et systèmes informatiques. D’autres s’inquiètent de la charge de travail supplémentaire induite par ces nouvelles obligations réglementaires.
Mais dans l’ensemble, le secteur semble prêt à relever le défi. D’autant que certains y voient aussi des opportunités commerciales, à l’image de ces cabinets de conseil qui proposent déjà leurs services pour aider les entreprises à se mettre en conformité avec DORA.
L’Europe, terre d’innovation financière ou épouvantail réglementaire ?
Avec DORA, qui vient s’ajouter à la longue liste des règlements européens sur les services financiers (MiFID, PSD2, RGPD, MiCA…), certains craignent que l’Europe ne devienne un repoussoir pour les acteurs innovants, en particulier dans le domaine des crypto-actifs. Face à une Amérique qui leur tend les bras avec des promesses de souplesse réglementaire, le Vieux Continent risque-t-il de passer à côté de la prochaine révolution financière ?
L’avenir nous dira si l’approche européenne, privilégiant la stabilité et la protection des consommateurs, était la bonne. Ou si au contraire, trop de réglementation finit par tuer l’innovation.
Une chose est sûre : avec DORA, l’Europe envoie un signal fort sur sa volonté d’encadrer strictement le développement des nouvelles technologies financières sur son sol. Aux acteurs du secteur de s’adapter à ce nouveau paradigme réglementaire, tout en continuant à innover pour rester dans la course.
Car malgré les contraintes, l’enjeu est de taille : bâtir un écosystème financier numérique européen à la fois solide, sûr et compétitif à l’échelle mondiale. Un sacré défi, qui nécessitera autant de créativité que de rigueur. DORA n’est finalement qu’une pièce de plus dans ce vaste puzzle réglementaire que l’Europe s’efforce de construire, avec en ligne de mire la finance décentralisée de demain.
Alors, pari réussi ou spaghetti réglementaire indigeste ? Réponse dans quelques années, quand il sera temps de dresser le bilan de cette ambitieuse stratégie européenne pour réguler la révolution des actifs numériques. D’ici là, gageons que DORA aura au moins le mérite de stimuler le débat et la réflexion sur la meilleure façon de construire la finance du futur.
Les points clés à retenir sur DORA :
- Un nouveau règlement européen pour renforcer la résilience numérique du secteur financier
- Une obligation pour les institutions financières de mieux gérer les risques liés aux technologies de l’information et de la communication
- Un focus sur la sécurité des relations avec les prestataires tiers de services informatiques
- Un accueil globalement favorable du secteur, malgré quelques inquiétudes sur la charge de travail induite
- Des interrogations sur l’impact de ce nouveau cadre réglementaire sur l’innovation financière en Europe
