Les obligations instaurées par le règlement européen « Digital Operational Resilience Act » (‘DORA’) s’appliqueront à partir du 17 janvier 2025.
En novembre dernier, la FSMA a lancé une première enquête (survey) en vue de permettre aux entités financières de procéder à une autoévaluation de leur degré de préparation aux exigences prévues par le règlement DORA. Ce règlement vise à « définir les exigences uniformes relatives à la sécurité des réseaux et des systèmes d’information sous-tendant les processus opérationnels des entités financières ». Son objectif est, en d’autres termes, d’amener les entités financières à mieux gérer leurs risques liés aux technologies de l’information et de la communication (ci-après « TIC ») afin d’accroître leur résilience en cas d’incidents liés aux TIC et de cybermenaces.
Comme indiqué par la FSMA dans son communiqué de presse du 2 février 2024, le taux de participation de certains secteurs à cette première enquête était faible, ce qui semblait traduire une méconnaissance ou un manque d’intérêt pour la mise en œuvre du règlement DORA parmi les entités concernées. Ce constat était préoccupant dans la mesure où l’entrée en application de ce règlement approche à grands pas.
Abstraction faite de ce constat préoccupant, les résultats de cette enquête montraient également que les entités financières qui y avaient participé n’avaient en général pas encore entrepris toutes les démarches nécessaires pour se préparer à l’entrée en application du règlement DORA. Il est ainsi apparu que :
- les entités participantes disposaient généralement d’un cadre de gestion du risque lié aux TIC bien documenté,
- la majorité des entités participantes avaient mis en place un processus documenté de gestion des incidents liés aux TIC,
- les tests de résilience opérationnelle numérique étaient susceptibles d’amélioration,
- les risques liés au recours fait à des prestataires externes de services TIC pourraient également être mieux contrôlés.
La FSMA lance à présent une deuxième Awareness Survey concernant le règlement DORA. Son but est de permettre tant à la FSMA qu’aux entités concernées soumises à son contrôle d’avoir une vision plus précise du degré de mise en œuvre des différentes obligations DORA et de la manière dont cette mise en œuvre a évolué depuis l’enquête précédente.
Si tel n’était pas encore le cas, la FSMA espère que cette nouvelle enquête convaincra les entités concernées de l’importance de respecter les exigences DORA. Se conformer à ces exigences aide chaque entité à accroître sa résilience numérique afin d’être ainsi mieux préparée à faire face aux risques liés aux TIC qui ne cesseront de croître à l’avenir. En l’absence d’une gestion des risques adéquate et efficace, ces risques liés aux TIC peuvent constituer une réelle menace pour la pérennité de l’entité.
Par rapport à la première enquête, la seconde est beaucoup plus étoffée et passe en revue de manière presque exhaustive tous les articles du règlement qui s’appliquent aux entités concernées. Cela permet à la FSMA d’évaluer le niveau de mise en œuvre de ces dispositions, mais - plus important encore - procure aussi aux entités en question un outil pratique pour effectuer une gap analysis (analyse des écarts) entre les exigences DORA et leur implémentation actuelle au sein de l’entité. Cette enquête peut ainsi servir de fil conducteur pour identifier les exigences, sur le plan de la gestion du risque lié aux TIC, de la gestion des incidents, des tests de résilience numérique et de la gestion de prestataires tiers de services TIC, qui doivent encore être organisées, développées et mises en œuvre au cours des derniers mois avant l’entrée en application définitive du règlement DORA.
Les questions posées dans cette enquête tiennent compte, dans la mesure du possible, du principe de proportionnalité prévu par le règlement DORA. Ainsi, d’une part, les entités soumises au cadre simplifié de gestion du risque lié aux TIC ne verront apparaître que les questions qui sont pertinentes dans leur cas. D’autre part, les entités remplissant les conditions requises pour pouvoir être qualifiées de microentreprises[1] ne visualiseront que les questions qui leur sont applicables à ce titre.
La FSMA encourage vivement les entités financières à répondre à cette nouvelle enquête, au mieux de leurs capacités et en fonction de la réalité actuelle qui est la leur. Elles obtiendront ainsi une image correcte de la situation, montrant les exigences déjà remplies pour se conformer aux dispositions du règlement DORA et celles pour lesquelles il existe encore des points à améliorer.
Même si la participation à cette enquête se fait sur base volontaire, la FSMA compte sur les entités financières pour y répondre massivement. Elle disposera ainsi d’une vue plus complète de l’état général de mise en œuvre du règlement DORA. L’analyse (sur une base anonyme) des réponses permettra à la FSMA d’identifier les points à améliorer et d’offrir, en plus de la documentation pédagogique déjà disponible, un soutien supplémentaire et plus ponctuel au cours des derniers mois avant l’entrée en application du règlement DORA.
***
Les réponses fournies à cette deuxième enquête constituent une autoévaluation qui ne requiert pas, à ce stade, la fourniture d’explications ou de documents supplémentaires de la part des entités financières. Les résultats seront traités sur une base anonyme et ne seront en aucun cas utilisés par la FSMA dans le cadre de ses activités de contrôle. Tout comme la documentation pédagogique disponible sur le site web de la FSMA, cette enquête doit être considérée comme une initiative visant essentiellement à accompagner les entités concernées dans leurs préparatifs. D’autres enquêtes, menées après l’entrée en application des exigences DORA, revêtiront en revanche un caractère obligatoire et poursuivront des finalités liées au contrôle.
La présente enquête est à remplir sur la plateforme FiMiS (« Financial Institutions and Markets Information System »).
L’accès à FiMiS (https://fimis.fsma.be) requiert une identification valable, effectuée soit à l’aide d’un certificat, soit au moyen de la carte d’identité électronique.
De plus amples explications pratiques figurent dans le FiMiS User Guide afférent à cette enquête.
[1] Moins de 10 ETP et un chiffre d’affaires annuel ou un total du bilan annuel n’excédant pas 2 millions d’euros.