Le règlement sur la résilience opérationnelle numérique du secteur financier (DORA) est entré en application le 17 janvier 2025.
L’Autorité des services et marchés financiers (FSMA) publie à cette occasion des précisions sur les obligations des entités financières en matière de collecte du registre d’informations sur les prestataires tiers de services TIC et de déclaration des incidents majeurs liés aux TIC.
La présente publication aborde le champ d’application et les modalités de mise en œuvre de ces obligations.
Ces éléments d’information pourront à l’avenir être complétés ou précisés, suite à la modification du cadre légal en vigueur ou sur la base de l’expérience acquise à l’occasion de l’application du règlement.
Collecte du registre d’informations
Le règlement DORA impose aux entités financières de tenir et mettre à jour un registre d’informations reprenant tous les accords contractuels portant sur l’utilisation de services TIC fournis par des prestataires tiers de services TIC.
Principe
Conformément à l’article 28, paragraphe 3, alinéa 4 du règlement DORA, la FSMA peut demander aux entités financières de mettre à sa disposition le registre d’informations complet ou, le cas échéant, des sections spécifiques de celui-ci, ainsi que toute information jugée nécessaire pour garantir une surveillance efficace de l’entité financière.
Suite à une récente décision des autorités européennes de surveillance, la FSMA a l’obligation de collecter auprès des entités financières soumises à son contrôle le registre d’informations complet et de le transmettre pour le 30 avril 2025 auxdites autorités. Cette collecte vise à permettre aux autorités européennes de surveillance de désigner les prestataires tiers critiques de services TIC, sur lesquels elles sont chargées d’exercer leur supervision.
En fournissant ainsi leur registre complet à la FSMA, les entités financières se conformeront en même temps à l’article 28, paragraphe 3 du règlement DORA qui leur impose de « faire rapport au moins une fois par an aux autorités compétentes sur le nombre de nouveaux accords sur l’utilisation des services TIC, les catégories de fournisseurs de services TIC tiers, le type d’accords contractuels et les services et fonctions TIC qui sont fournis ».
Quelles entités sont concernées par l’obligation de communiquer leur registre d’informations à la FSMA ?
Les entités financières soumises à DORA sont tenues de communiquer leur registre d’informations complet à la FSMA, moyennant les précisions suivantes :
- les entités financières qui ne font pas partie d’un groupe d’entités financières doivent communiquer leur registre d’informations au niveau individuel ;
Par exemple, un intermédiaire d’assurance qui n’est pas contrôlé par une autre entité financière communique son registre d’informations à la FSMA au niveau individuel. - les entités financières qui font partie d’un groupe d’entités financières dont les autres membres ont leur siège en dehors de l’Union européenne, doivent communiquer leur registre d’informations à la FSMA au niveau individuel ;
Par exemple, un gestionnaire d’OPCA qui est contrôlé par une entité financière dont le siège est situé en dehors de l’Union européenne communique son registre d’informations à la FSMA au niveau individuel.
- dans le cas d’un groupe de sociétés, seul le registre d’informations de la société située au plus haut niveau de (sous-) consolidation sur lequel la FSMA exerce sa surveillance devra lui être communiqué. Par ailleurs, les registres d’informations transmis à la FSMA doivent contenir uniquement des informations sur les entités financières qui sont placées sous le contrôle de la FSMA ;
Par exemple, dans le cas d’un groupe de services financiers auquel appartiennent un établissement de crédit et une société de gestion d’organismes de placement collectif, ce groupe fera rapport à la Banque nationale de Belgique (ou à la Banque centrale européenne) en ce qui concerne l’établissement de crédit, mais communiquera à la FSMA un registre d’informations concernant la société de gestion d’organismes de placement collectif.
- dans un objectif de simplification administrative, les entités financières qui relèvent individuellement de deux statuts distincts, dont l’un est soumis à la supervision de la FSMA et l’autre de la Banque nationale de Belgique, ne sont pas tenues de communiquer leur registre d’informations à la FSMA. Ceci concerne les intermédiaires d’assurance ou les prestataires de services de financement alternatifs (plateformes de crowdfunding) qui disposent, au niveau individuel, également du statut d’établissement de crédit ou d’établissement de paiement. Ces entités financières devront communiquer leur registre d’informations à l’autorité de contrôle de leur statut principal, en l’occurrence la Banque nationale de Belgique.
Quelles sont les modalités pratiques de la collecte ?
Le champ d’application, le contenu et le format du registre d’informations sont détaillés dans le Règlement d'exécution (UE) 2024/2956 de la Commission.
Le registre d’informations doit être communiqué à la FSMA pour le 10 avril 2025 au plus tard.
La FSMA collectera les registres sur sa plateforme FiMiS. Une communication ultérieure sera effectuée dès l’ouverture de la plateforme concernée, conformément aux instructions qui doivent encore être publiées par les Autorités européennes de supervision.
Le module de reporting permet aussi bien (i) l’introduction directe des données concernées (data entry) que (ii) le chargement du fichier dans le format de reporting prévu par les ESA (CSV file with filling indicators and technical Json files in one zipfile). Ce format de reporting est celui qui avait déjà été utilisé par les entités financières ayant participé à l’exercice de dry run organisé en 2024. À noter toutefois que les ESA avaient à cette occasion mis à disposition un Excel-to-csv conversion tool et un Template Excel, ce qui n’est plus le cas maintenant.
Déclarations des incidents majeurs liés aux TIC
À qui s’applique la déclaration des incidents et des cybermenaces ?
Le Règlement DORA impose aux entités financières de signaler les incidents majeurs liés aux TIC à la FSMA.
Par ailleurs, il permet également aux entités financières de notifier, à titre volontaire, les cybermenaces importantes à la FSMA lorsqu’elles estiment que la menace est pertinente pour le système financier, les utilisateurs de services ou les clients.
On précise cependant que les entités financières soumises au contrôle de la Banque nationale (établissements de crédit par exemple) signalent les incidents majeurs et cybermenaces importantes à celle-ci uniquement. La FSMA ne doit donc pas recevoir de notification de ces entités, même si l’établissement concerné tombe également sous son contrôle au niveau individuel (par exemple en raison de sa qualité d’intermédiaire d’assurance ou de prestataire de services de financement alternatif).
Quelles sont les modalités pratiques de déclaration des incidents et des cybermenaces ?
Les critères de classification et les seuils de matérialité à utiliser pour ces rapports sont définis dans le Règlement délégué (UE) 2024/1772.
Le contenu de ces déclarations, les délais y applicables, ainsi que les procédures et modèles en vigueur seront détaillés dans des règlements délégués. La FSMA s’attend à ce que ces derniers soient publiés prochainement au Journal Officiel. Dans l’intervalle, les entités financières sont invitées à se référer aux projets déjà publiés par les Autorités européennes de supervision.
Pour plus d’informations sur le cadre légal applicable, on se réfèrera à la documentation publiée par la FSMA relative aux exigences en matière de déclaration des incidents et des cybermenaces.
La FSMA réceptionnera ces rapports sur sa plateforme FiMiS. Les incidents et cybermenaces peuvent y être renseignés dans un formulaire reprenant les rubriques exigées par la règlementation. Il est de la responsabilité des entités financières de s’assurer qu’elles disposent d’un accès à la plateforme FiMiS pour la notification des incidents majeurs.
Dans des cas exceptionnels, en cas d’indisponibilité technique de la plateforme FiMiS, ou si l’établissement se trouve dans l’impossibilité de procéder à une déclaration par l’intermédiaire de cette plateforme, la FSMA s’attend à recevoir la notification à l’adresse électronique suivante: dora@fsma.be.Dans l’éventualité où l’utilisation du courrier électronique est également impossible, les établissements doivent contacter le numéro de téléphone +32(0)2 220 52 11 pendant les heures de bureau.
Il importe cependant de souligner qu’en pareil cas, la FSMA demandera toujours à l’entité financière concernée de compléter le rapport sur la plateforme FiMiS dès qu’elle sera à nouveau en mesure de le faire. Une notification par un autre canal (téléphone, courriel, etc.) ne porte en effet pas préjudice à l’obligation de l’entité financière de rapporter les incidents sur la plateforme FiMiS selon les délais et les procédures applicables.
Pour les établissements pour lesquels cela est pertinent, la FSMA veillera à la transmission ultérieure de ces signalements au Centre pour la Cybersécurité Belgique. Une notification directe distincte à cette autorité n’est donc pas nécessaire.
La FSMA demande de recevoir une déclaration d’incident pour lequel les critères de classification ont été remplis par entité financière. Par conséquent, la FSMA n’acceptera pas les notifications d’incidents qui portent sur plusieurs entités financières.