Source: OJ L 333, 27.12.2022, pp. 153–163
Current language: FR
DORA directive
DIRECTIVE (UE) 2022/2556 DU PARLEMENT EUROPÉEN ET DU CONSEIL
du 14 décembre 2022
modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier
(Texte présentant de l’intérêt pour l’EEE)
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,
vu le traité sur le fonctionnement de l’Union européenne, et notamment son article 53, paragraphe 1, et son article 114,
vu la proposition de la Commission européenne,
après transmission du projet d’acte législatif aux parlements nationaux,
vu l’avis de la Banque centrale européenne(1)JO C 343 du 26.8.2021, p. 1.,
vu l’avis du Comité économique et social européen(2)JO C 155 du 30.4.2021, p. 38.,
statuant conformément à la procédure législative ordinaire(3)Position du Parlement européen du 10 novembre 2022 (non encore parue au Journal officiel) et décision du Conseil du 28 novembre 2022.,
considérant ce qui suit:
Considérant 1 Digital risks in financial services
L’Union doit traiter de manière adéquate et globale les risques numériques auxquels sont exposées toutes les entités financières et qui découlent d’un recours accru aux technologies de l’information et de la communication (TIC) dans le cadre de la fourniture et de la consommation de services financiers, ce qui contribuera à exploiter le potentiel que recèle la finance numérique en matière de stimulation de l’innovation et de promotion de la concurrence dans un environnement numérique sûr.
Considérant 2 ICT risks of breakthrough technologies
Les entités financières sont fortement tributaires de l’utilisation des technologies numériques dans leurs activités quotidiennes. Il est dès lors primordial d’assurer la résilience opérationnelle de leurs opérations numériques face au risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;. Ce besoin est devenu encore plus pressant en raison de la croissance des technologies de pointe sur le marché, notamment les technologies qui permettent de transférer et de stocker de manière électronique des représentations numériques de valeurs ou de droits, en utilisant la technologie des registres distribués ou une technologie similaire (crypto-actifs), et des services liés à ces actifs.
Considérant 3 Amended directives
Au niveau de l’Union, les exigences liées à la gestion du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; auquel est exposé le secteur financier sont actuellement prévues par les directives 2009/65/CE(4)Directive 2009/65/CE du Parlement européen et du Conseil du 13 juillet 2009 portant coordination des dispositions législatives, réglementaires et administratives concernant certains organismes de placement collectif en valeurs mobilières (OPCVM) (JO L 302 du 17.11.2009, p. 32)., 2009/138/CE(5)Directive 2009/138/CE du Parlement européen et du Conseil du 25 novembre 2009 sur l’accès aux activités de l’assurance et de la réassurance et leur exercice (solvabilité II) (JO L 335 du 17.12.2009, p. 1)., 2011/61/UE(6)Directive 2011/61/UE du Parlement européen et du Conseil du 8 juin 2011 sur les gestionnaires de fonds d’investissement alternatifs et modifiant les directives 2003/41/CE et 2009/65/CE ainsi que les règlements (CE) no 1060/2009 et (UE) no 1095/2010 (JO L 174 du 1.7.2011, p. 1)., 2013/36/UE(7)Directive 2013/36/UE du Parlement européen et du Conseil du 26 juin 2013 concernant l’accès à l’activité des établissements de crédit et la surveillance prudentielle des établissements de crédit, modifiant la directive 2002/87/CE et abrogeant les directives 2006/48/CE et 2006/49/CE (JO L 176 du 27.6.2013, p. 338)., 2014/59/UE(8)Directive 2014/59/UE du Parlement européen et du Conseil du 15 mai 2014 établissant un cadre pour le redressement et la résolution des établissements de crédit et des entreprises d’investissement et modifiant la directive 82/891/CEE du Conseil ainsi que les directives du Parlement européen et du Conseil 2001/24/CE, 2002/47/CE, 2004/25/CE, 2005/56/CE, 2007/36/CE, 2011/35/UE, 2012/30/UE et 2013/36/UE et les règlements du Parlement européen et du Conseil (UE) no 1093/2010 et (UE) no 648/2012 (JO L 173 du 12.6.2014, p. 190)., 2014/65/UE(9)Directive 2014/65/UE du Parlement européen et du Conseil du 15 mai 2014 concernant les marchés d’instruments financiers et modifiant la directive 2002/92/CE et la directive 2011/61/UE (JO L 173 du 12.6.2014, p. 349)., (UE) 2015/2366(10)Directive (UE) 2015/2366 du Parlement européen et du Conseil du 25 novembre 2015 concernant les services de paiement dans le marché intérieur, modifiant les directives 2002/65/CE, 2009/110/CE et 2013/36/UE et le règlement (UE) no 1093/2010, et abrogeant la directive 2007/64/CE (JO L 337 du 23.12.2015, p. 35). et (UE) 2016/2341(11)Directive (UE) 2016/2341 du Parlement européen et du Conseil du 14 décembre 2016 concernant les activités et la surveillance des institutions de retraite professionnelle (IRP) (JO L 354 du 23.12.2016, p. 37). du Parlement européen et du Conseil.
Considérant 4 Amendments to the capital requirements directive
Dans le domaine des services bancaires, la directive 2013/36/UE n’énonce actuellement que des règles générales de gouvernance interne et des dispositions relatives au risque opérationnel définissant des exigences en matière de plans d’urgence et de poursuite de l’activité qui servent implicitement de base pour traiter le risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;. Toutefois, afin de traiter le risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; explicitement et clairement, les exigences en matière de plans d’urgence et de poursuite de l’activité devraient être modifiées de manière à inclure également les plans de continuité des activités et les plans de réponse et de rétablissement en ce qui concerne le risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;, conformément aux exigences fixées dans le règlement (UE) 22022/2554 En outre, le risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; n’est inclus que de façon implicite, dans le cadre du risque opérationnel, dans le processus de contrôle et d’évaluation prudentiels (SREP) mené par les autorités compétentes et ses critères d’évaluation sont actuellement définis dans les orientations sur l’évaluation du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; dans le cadre du processus de contrôle et d’évaluation prudentiels (SREP), émises par l’Autorité européenne de surveillance (Autorité bancaire européenne) (ABE), instituée par le règlement (UE) no 1093/2010 du Parlement européen et du Conseil(13)Règlement (UE) no 1093/2010 du Parlement européen et du Conseil du 24 novembre 2010 instituant une Autorité européenne de surveillance (Autorité bancaire européenne), modifiant la décision no 716/2009/CE et abrogeant la décision 2009/78/CE de la Commission (JO L 331 du 15.12.2010, p. 12).. Dans un souci de clarté juridique et pour veiller à ce que les autorités de surveillance du secteur bancaire cernent efficacement le risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; et contrôlent sa gestion par les entités financières conformément au nouveau cadre sur la résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations;, le champ d’application du SREP devrait également être modifié pour se référer explicitement aux exigences fixées dans le règlement (UE) 2022/2554 et couvrir en particulier les risques mis en évidence par les rapports sur les incidents majeurs liés aux TIC et par les résultats des tests de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; effectués par les entités financières conformément audit règlement.
Considérant 5 Amendments to the bank recovery and resolution directive (BRRD)
La résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; est essentielle pour préserver les fonctions critiques et les activités fondamentales d’une entité financière en cas de résolution et éviter ainsi de perturber l’économie réelle et le système financier. Les incidents opérationnels majeurs peuvent entraver la capacité d’une entité financière à poursuivre ses activités et peuvent compromettre les objectifs de la résolution. Certains accords contractuels relatifs à l’utilisation de services TIC: les services numériques et de données fournis de manière permanente par l’intermédiaire des systèmes de TIC à un ou plusieurs utilisateurs internes ou externes, dont le matériel en tant que service et les services matériels qui englobent la fourniture d’assistance technique au moyen de mises à jour de logiciels ou de micrologiciels réalisées par le fournisseur de matériel, à l’exclusion des services de téléphonie analogique traditionnels; sont essentiels pour assurer la continuité opérationnelle et fournir les données nécessaires en cas de résolution. Afin qu’elle corresponde aux objectifs du cadre de l’Union en matière de résilience opérationnelle, la directive 2014/59/UE devrait être modifiée en conséquence, en vue de garantir que les informations relatives à la résilience opérationnelle sont prises en compte dans le contexte de la planification de la résolution et de l’évaluation de la résolvabilité des entités financières.
Considérant 6 Amendments to the markets in financial instruments directive (MiFID II)
La directive 2014/65/UE fixe des règles plus strictes en matière de risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; pour les entreprises d’investissement: une entreprise d’investissement au sens de l’article 4, paragraphe 1, point 1), de la directive 2014/65/UE; et les plateformes de négociation qui recourent au trading algorithmique. Des exigences moins détaillées s’appliquent aux services de communication de données et aux référentiels centraux. En outre, la directive 2014/65/UE ne fait référence que de manière limitée aux dispositifs de contrôle et de sauvegarde des systèmes informatiques et à l’utilisation de systèmes, de ressources et de procédures appropriés pour garantir la continuité et la régularité des services. De plus, cette directive devrait être alignée sur le règlement (UE) 2022/2554 en ce qui concerne la continuité et la régularité de la fourniture de services d’investissement et de l’exercice d’activités d’investissement, la résilience opérationnelle, la capacité des systèmes de négociation, et l’efficacité des mécanismes de continuité des activités et de la gestion des risques.
Considérant 7 Amendments to the payment service directive (PSD 2)
La directive (UE) 2015/2366 énonce des règles spécifiques relatives à des éléments de maîtrise et d’atténuation des risques en matière de sécurité des TIC aux fins d’obtenir un agrément pour la prestation de services de paiement. Ces règles d’agrément devraient être modifiées afin d’être alignées sur le règlement (UE) 2022/2554. En outre, afin de réduire la charge administrative et d’éviter la complexité et la répétition des obligations de notification, les règles relatives à la notification des incidents contenues dans ladite directive devraient cesser de s’appliquer aux prestataires de services de paiement qui sont régis par ladite directive et qui relèvent également du règlement (UE) 2022/2554, leur permettant ainsi de bénéficier d’un mécanisme de notification des incidents unique et entièrement harmonisé, applicable à tous les incidents opérationnels ou de sécurité liés au paiement, que ces incidents soient liés ou non aux TIC.
Considérant 8 Amendments to the UCITS and AIFM directives
Les directives 2009/138/CE et (UE) 2016/2341 couvrent en partie le risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; dans leurs dispositions générales sur la gouvernance et la gestion des risques, certaines exigences devant être précisées par des actes délégués avec ou sans référence spécifique au risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique;. De même, seules des règles très générales s’appliquent aux gestionnaires de fonds d’investissement alternatifs: un gestionnaire de fonds d’investissement alternatifs au sens de l’article 4, paragraphe 1, point b), de la directive 2011/61/UE; relevant de la directive 2011/61/UE et aux sociétés de gestion relevant de la directive 2009/65/CE. Ces directives devraient dès lors être alignées sur les exigences fixées dans le règlement (UE) 2022/2554 en ce qui concerne la gestion des systèmes et outils de TIC.
Considérant 9 Removal of ESAs empowerments on ICT risk from certain legislative acts
Dans de nombreux cas, des exigences supplémentaires en matière de risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; ont déjà été établies dans des actes délégués et d’exécution, adoptés sur la base de projets de normes techniques de réglementation et de projets de normes techniques d’exécution élaborés par l’autorité européenne de surveillance compétente. Étant donné que les dispositions du règlement (UE) 2022/2554 constituent désormais le cadre juridique du risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; dans le secteur financier, certaines habilitations en vue de l’adoption d’actes délégués et d’exécution contenues dans les directives 2009/65/CE, 2009/138/CE, 2011/61/UE et 2014/65/UE devraient être modifiées afin de retirer les dispositions relatives au risque lié aux TIC: toute circonstance raisonnablement identifiable liée à l’utilisation des réseaux et des systèmes d’information qui, si elle se concrétise, peut compromettre la sécurité des réseaux et des systèmes d’information, de tout outil ou processus dépendant de la technologie, du fonctionnement et des processus ou de la fourniture de services en produisant des effets préjudiciables dans l’environnement numérique ou physique; du champ d’application de ces habilitations.
Considérant 10 Transposal into national law by applicability of DORA
Pour assurer une mise en œuvre cohérente du nouveau cadre en matière de résilience opérationnelle numérique: la capacité d’une entité financière à développer, garantir et réévaluer son intégrité et sa fiabilité opérationnelles en assurant directement ou indirectement par le recours aux services fournis par des prestataires tiers de services TIC, l’intégralité des capacités liées aux TIC nécessaires pour garantir la sécurité des réseaux et des systèmes d’information qu’elle utilise, et qui sous-tendent la fourniture continue de services financiers et leur qualité, y compris en cas de perturbations; du secteur financier, les États membres devraient appliquer les dispositions de droit national transposant la présente directive à partir de la date d’application du règlement (UE) 2022/2554
Considérant 11 The Treaty on the Functioning of the European Union
Les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 ont été adoptées sur la base de l’article 53, paragraphe 1, ou de l’article 114 du traité sur le fonctionnement de l’Union européenne, ou de ces deux dispositions. Les modifications contenues dans la présente directive ont été incluses dans un acte législatif unique en raison de l’interdépendance de l’objet et des objectifs de ces modifications. En conséquence, la présente directive devrait être adoptée sur la base à la fois de l’article 53, paragraphe 1, et de l’article 114 du traité sur le fonctionnement de l’Union européenne.
Considérant 12 Subsidiarity and proportionality
Étant donné que les objectifs de la présente directive ne peuvent pas être atteints de manière suffisante par les États membres, parce qu’ils supposent l’harmonisation d’exigences déjà contenues dans des directives, mais peuvent, en raison des dimensions et des effets de l’action, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures, conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, la présente directive n’excède pas ce qui est nécessaire pour atteindre ces objectifs.
Considérant 13 Notification of transposition measures
Conformément à la déclaration politique commune des États membres et de la Commission du 28 septembre 2011 sur les documents explicatifs(14)JO C 369 du 17.12.2011, p. 14., les États membres se sont engagés à joindre à la notification de leurs mesures de transposition, dans les cas où cela se justifie, un ou plusieurs documents expliquant le lien entre les éléments d’une directive et les parties correspondantes des instruments nationaux de transposition. En ce qui concerne la présente directive, le législateur estime que la transmission de ces documents est justifiée,
ONT ADOPTÉ LA PRÉSENTE DIRECTIVE:
- Article premierModifications de la directive 2009/65/CE
- Article 2Modifications de la directive 2009/138/CE
- Article 3Modification de la directive 2011/61/UE
- Article 4Modifications de la directive 2013/36/UE
- Article 5Modifications de la directive 2014/59/UE
- Article 6Modifications de la directive 2014/65/UE
- Article 7Modifications de la directive (UE) 2015/2366
- Article 8Modification de la directive (UE) 2016/2341
- Article 9Transposition
- Article 10Entrée en vigueur
- Article 11Destinataires
Fait à Strasbourg, le 14 décembre 2022.
Par le Parlement européen
La présidente
R. METSOLA
Par le Conseil
Le président
M. BEK