Le règlement européen « Digital Operational Resilience Act » (mieux connu sous l’acronyme DORA) est entré en vigueur le 16 janvier 2023.
Les obligations instaurées par le règlement DORA s’appliqueront à partir du 17 janvier 2025.
Le règlement DORA vise à « définir les exigences uniformes relatives à la sécurité des réseaux et des systèmes d’information sous-tendant les processus opérationnels des entités financières ». Son objectif est, en d’autres termes, d’amener les entités financières à mieux gérer leurs risques liés aux technologies de l’information et de la communication (ci-après TIC) afin d’accroître leur résilience face aux cybermenaces. Il harmonise à cet effet diverses exigences en matière de TIC.
La FSMA lance une Awareness Survey concernant le règlement DORA afin de permettre, tant à ses services qu’aux entités concernées soumises à son contrôle, de mieux cerner le « niveau de maturité » actuel desdites entités dans ce domaine.
Le règlement DORA s’applique notamment aux entreprises d’investissement, aux gestionnaires de FIA, aux sociétés de gestion d’OPCVM, aux OPCVM autogérés, aux institutions de retraite professionnelle, aux intermédiaires d’assurance (à titre accessoire ou non), aux plateformes de crowdfunding et aux plateformes de négociation.
Les exigences qu’il prévoit concernent entre autres :
- la gestion des risques liés aux TIC ;
- la notification des incidents majeurs liés aux TIC et des cybermenaces ;
- les tests périodiques de résilience opérationnelle numérique ; et
- les mesures destinées à garantir la gestion saine du risque lié aux TIC en cas de sous-traitance à des tiers.
Le règlement DORA s’efforce, à cet égard, de tenir compte de la taille de l’entité ainsi que de la nature et de la complexité de ses activités (proportionnalité). C’est ainsi, par exemple, que les « microentreprises » (telles que définies à l’article 3, 60°) sont exclues du champ d’application de plusieurs dispositions du règlement DORA et que, dans le volet relatif à la gestion du risque lié aux TIC, un cadre simplifié a été développé pour certains types d’entités. En ce qui concerne les entités soumises au contrôle de la FSMA, ledit cadre simplifié est applicable aux sociétés de gestion de portefeuille et de conseil en investissement (SGPCI) et aux institutions de retraite professionnelle (IRP) qui remplissent certains critères :
- Pour les SGPCI : il s’agit des « petites entreprises d’investissement non interconnectées », qui répondent aux conditions énoncées à l’article 12, paragraphe 1, du règlement (UE) 2019/2033 du Parlement européen et du Conseil du 27 novembre 2019 ;
- Pour les IRP : il s’agit des « petites IRP », qui gèrent des régimes de retraite comptant, ensemble, moins de cent affiliés au total.
Il est à noter, en ce qui concerne ce dernier point, que chaque entité répondant à la survey ne verra que les questions qui sont pertinentes pour elle.
***
En lançant cette première survey de haut niveau, la FSMA entend sensibiliser les entités concernées relevant de son contrôle à l’impact que l’entrée en vigueur du règlement DORA aura sur plusieurs thèmes importants. La FSMA souhaite en outre dresser un premier état de la situation des secteurs soumis à son contrôle, afin de vérifier où ils en sont sur ce plan.
Les réponses fournies à cette première survey procèdent d’une autoévaluation, sans que vous deviez fournir à ce stade d’autres explications ou documents.
Cette survey doit être remplie sur la plateforme FiMiS (« Financial Institutions and Markets Information System »).
FiMiS est accessible via https://fimis.fsma.be. Vous pourrez vous y connecter après vous être identifié valablement, soit à l’aide d’un certificat, soit au moyen de votre carte d’identité électronique.
Pour de plus amples explications pratiques, veuillez consulter le FiMiS User Guide afférent à cette survey.