Quel est l'objectif du règlement DORA ?
Le règlement sur la Capacité d’une entreprise à maintenir ses opérations, même face à des perturbations numériques telles que les pannes, les cyberattaques, ou les défaillances techniques. du secteur financier (DORA) a pour objectif de renforcer la Capacité d’une entreprise à maintenir ses opérations, même face à des perturbations numériques telles que les pannes, les cyberattaques, ou les défaillances techniques. du secteur financier en mettant en place un régime harmonisé de règles au niveau européen en matière de sécurité des réseaux et systèmes d’information et de communication des entités financières.
Concrètement, les règles mises en place visent à garantir le maintien de normes élevées en matière de La confidentialité des données est le principe qui vise à protéger les données contre tout accès, divulgation ou utilisation non autorisés, assurant ainsi que seules les personnes et systèmes autorisés peuvent y accéder. , d’ Les données stockées, traitées et transmises au sein d'un système informatique restent exactes, cohérentes et non altérées. et de Les données doivent être disponibles, accessibles et restaurables. des données et des actifs de TIC (technologies de l’information et de la communication). Les exigences de DORA sont neutres sur le plan technologique : elles fixent des objectifs mais ne prescrivent ni ne privilégient les dispositifs à mettre en œuvre pour les atteindre. En d’autres termes, le choix entre les options technologiques éventuellement disponibles relève de la liberté des entités financières.
Il incombe aux entités financières de mettre en place un cadre de gestion du risque lié aux TIC conformément au principe de Le principe de proportionnalité contenu dans le règlement DORA permet à une entité financière d’adopter une approche pragmatique adaptée à la taille et à l’ampleur de ses opérations, étant entendu que l’application de ce principe ne saurait avoir pour effet d'exempter l’entité concernée d’appliquer l’ensemble du règlement. , en tenant compte de leur taille et de leur profil de risque global ainsi que de la nature, de l’ampleur et de la complexité de leurs services, activités et opérations. Chaque entité devra donc évaluer comment appliquer les dispositions du cadre de gestion en fonction des circonstances qui lui sont propres.
Par contre, les dispositions relatives aux incidents et aux tests de résilience ainsi que la gestion des risques liés aux prestataires tiers ne permettent l’application du principe de Le principe de proportionnalité contenu dans le règlement DORA permet à une entité financière d’adopter une approche pragmatique adaptée à la taille et à l’ampleur de ses opérations, étant entendu que l’application de ce principe ne saurait avoir pour effet d'exempter l’entité concernée d’appliquer l’ensemble du règlement. que lorsque cela est explicitement indiqué dans le règlement. Sauf dans les cas prévus expressément par DORA, la mise en œuvre du principe de Le principe de proportionnalité contenu dans le règlement DORA permet à une entité financière d’adopter une approche pragmatique adaptée à la taille et à l’ampleur de ses opérations, étant entendu que l’application de ce principe ne saurait avoir pour effet d'exempter l’entité concernée d’appliquer l’ensemble du règlement. porte uniquement sur les modalités d’application et ne peut conduire les entités financières à s’exonérer du respect d’une ou plusieurs des obligations prévues par le règlement.
DORA sera d’application à partir du 17 janvier 2025.
A qui s’applique DORA ?
Principe: les entités financières
DORA s’applique aux entités financières suivantes contrôlées par la FSMA :
- les sociétés de gestion de portefeuille et de
Il s'agit de la fourniture de (a) recommandations (b) personnalisées à un client, soit à sa demande soit à l'initiative du prestataire de services crowdfunding, en ce qui concerne une ou plusieurs (c) transactions portant sur des (d) instruments financiers.
On parle donc de conseil en investissement lorsque plusieurs éléments sont réunis :
(a) le prestataire de services donne une recommandation
Une recommandation contient un élément d'opinion de la part du conseiller sur une ligne d'action à suivre présentée comme étant dans l'intérêt de l'investisseur. La simple fourniture d'informations générales, sans commentaire ou jugement de valeur quant à son utilité pour les décisions que l'investisseur peut prendre, n'est pas une recommandation.
(b) la recommandation est personnalisée
Une recommandation est personnalisée si elle est présentée comme adaptée pour le client concerné ou qu'elle est fondée sur l'examen de sa propre situation. Si le prestataire de services récolte des informations sur son client avant de lui recommander un investissement, ce dernier peut raisonnablement s'attendre à ce que les informations qu'il a communiquées soient utilisées afin que la recommandation corresponde à sa situation. Dans un tel cas, la recommandation sera donc toujours personnalisée, puisqu'elle est ou devrait être fondée sur la situation propre du client.
(c) la recommandation concerne une ou plusieurs transactions
Par transaction, il faut comprendre l'achat, la vente, la souscription, l'échange, le remboursement, la détention ou la prise ferme d'un instrument financier particulier. Cela couvre également l'exercice ou le non-exercice du droit conféré par un instrument financier particulier d'acheter, de vendre, de souscrire, d'échanger ou de rembourser un instrument financier.
(d) la transaction conseillée porte sur des instruments financiers
On ne parle de conseil en investissement que si celui-ci concerne des instruments financiers. Si une recommandation porte sur un instrument de placement qui n'est pas légalement un instrument financier, comme un contrat de prêt standardisé non-négociable, cette recommandation n'est pas un conseil en investissement.
(entreprises d’investissement) ; - les gestionnaires de fonds d’investissement alternatifs agréés ;
- les sociétés de gestion d’organismes de placement collectif et les organismes de placement collectif autogérés ;
- les plateformes de négociation ;
- les prestataires de services de financement participatifs (plateformes de
Le crowdfunding est une activité dans le cadre de laquelle il est fait appel au public pour récolter des fonds en vue du financement de projets spécifiques, généralement via un site web interactif (une 'plateforme'). Il existe différents types de plateformes de crowdfunding. La législation belge relative au crowdfunding s'applique uniquement aux plateformes de crowdfunding financier.
) ; - les intermédiaires d’assurance et de réassurance et les intermédiaires d’assurance à titre accessoire ;
- les institutions de retraite professionnelles (IRP).
Le règlement DORA est également applicable aux établissements contrôlés par la Banque nationale de Belgique, tels que les établissements de crédit, entreprises d’assurance et de réassurance, établissements de paiement, etc.
Régimes particuliers
Par ailleurs, DORA prévoit des régimes particuliers pour certaines catégories d’entités :
- Les Entités financières qui emploient moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros. sont ainsi exemptées de certaines des exigences du règlement.
- Les Une institution de retraite professionnelle qui gère des régimes de retraite qui, ensemble, comptent moins de cent affiliés au total. et les petites entreprises d’investissement non interconnectées sont, quant à elles, soumises à un cadre simplifié de gestion du risque lié aux TIC.
Exemptions
Certaines catégories d’entreprises sont en revanche exclues du champ d’application de DORA :
- les gestionnaires de fonds d’investissement alternatifs dont le portefeuille est inférieur aux Gestionnaires de fonds d’investissement alternatifs dont le portefeuille ne dépasse pas, selon le cas, 100 ou 500 millions d’euros au total. ;
- les institutions de retraite professionnelle qui gèrent des régimes de retraite qui, ensemble, ne comptent pas plus de quinze
Les personnes qui sont affiliées à un plan de pension complémentaire sont appelées des affiliés. Une distinction est opérée entre :
affiliés actifs : il s'agit des personnes qui sont encore en service :
pour l'employeur qui constitue pour elles une pension complémentaire ;
ou au sein du secteur professionnel auquel s'applique le plan de pension ;
dormants : il s'agit des personnes qui ne sont plus en service au sein de l'entreprise ou du secteur professionnel, mais qui ont laissé leurs réserves dans le plan de pension ;
rentiers : il s'agit des personnes qui ont pris leur retraite et dont la pension complémentaire est payée sous la forme d'une rente.
Travailleurs salariés : Plus d'informations.
au total ; - les intermédiaires d’assurance, intermédiaires de réassurance et intermédiaires d’assurance à titre accessoire qui sont des
Entités financières qui emploient moins de dix personnes et dont le chiffre d’affaires annuel et/ou le total du bilan annuel n’excède pas 2 millions d’euros.
ou des petites ou moyennes entreprises. Sont par contre intégralement soumis à DORA :
- les intermédiaires qui emploient au moins 250 travailleurs (total en équivalents temps plein) ;
- les intermédiaires dont le chiffre d’affaires annuel est supérieur à 50 millions d'euros et dont le total du bilan annuel est supérieur à 43 millions d'euros ;
- ceux qui dépassent tous les plafonds susmentionnés.
Où trouver plus d’information ?
DORA met à charge des entités financières une série d’obligations, reposant notamment sur les quatre grands piliers suivants :
- gestion du risque lié aux TIC (art. 5 à 16 DORA) ;
- gestion des incidents liés aux TIC (art. 17 à 20 DORA) ;
- tests de résilience opérationnelle numérique (art. 24 et 25 DORA) ;
- gestion des risques liés aux prestataires tiers de services TIC (art. 28 à 30).