Le Digital Operational Resilience Act (DORA) et le rôle potentiel du LEI : que savons-nous à ce stade
Table des matières
- L’amélioration de la résilience opérationnelle numérique du secteur financier
- Le cadre actuel du Règlement DORA
- Le rôle potentiel du LEI dans le règlement DORA
- Supervision des risques TIC
Découvrez le rôle potentiel du LEI dans le Règlement DORA et comment il pourrait contribuer à l’amélioration de la résilience opérationnelle numérique du secteur financier.
Le Digital Operational Resilience Act (DORA), introduit par le Règlement (UE) 2022/2554, est l’une des initiatives principales de l’Union européenne pour renforcer la résilience opérationnelle numérique du secteur financier. L’objectif du DORA est l’atténuation des risques liés aux technologies de l’information et de la communication (TIC) et aux tiers qui offrent leurs services aux entités financières (EF).
Le Legal Entity Identifier (LEI) est un outil qui pourrait jouer un rôle important dans le domaine du DORA, il s’agit d’un code qui identifie de manière unique les entités juridiques et qui pourrait faciliter la surveillance et la supervision des relations contractuelles entre les EF et les prestataires de services TIC. Il faut toutefois préciser que l'utilisation du LEI n’a pas encore été confirmé et n’est pour le moment qu’une option dans les documents rédigés par l'ESMA, notamment dans le contexte des projets de normes techniques pour l’enregistrement des informations relatives aux contrats avec les prestataires de services TIC tiers, conformément à l’article 28(9) du Règlement (UE) 2022/2554.
Le cadre actuel du Règlement DORA
Le DORA vise à garantir que les entités financières adoptent une approche stratégique et proactive de la gestion des risques dérivant des services TIC externes, renforçant ainsi la sécurité du secteur financier européen. Au centre de la norme, les EF devront tenir et mettre à jour un registre d’informations détaillé documentant toutes les relations contractuelles avec les prestataires de services TIC (Third-Party Providers ou ICT TPPs). Ce registre fournira aux autorités compétentes (AC) une vision claire et constante des dépendances TIC des EF, permettant une supervision plus précise et ciblée.
L’une des hypothèses en cours de discussion est celle d’adopter le LEI comme identifiant unique des entités impliquées dans les contrats avec les prestataires TIC, ce qui améliorerait la transparence et faciliterait une gestion plus efficace des risques opérationnels associés à l’utilisation de ces services. Toutefois, sa mise en œuvre n’a pas encore été confirmée.
Le rôle potentiel du LEI dans le règlement DORA
L’identifiant d’entité juridique (LEI) est déjà employé dans le secteur financier pour identifier les entités juridiques de manière unique, améliorant la transparence des transactions financières. Dans le contexte du Règlement DORA, le LEI pourrait être un outil utile à l’identification et à la surveillance des prestataires de services TIC et des entités financières, permettant l’agrégation et la gestion des informations sur les contrats et les risques associés de manière normalisée.
Cette normalisation serait cruciale pour éviter les duplications et réduire le fardeau des signalisations pour les EF. Le LEI pourrait notamment être employé dans le registre d’informations exigé par le Règlement DORA, non seulement pour identifier les entités juridiques mais également pour recueillir des informations sur les relations contractuelles, tant internes au groupe financier (par exemple entre filiales) qu’externes avec des fournisseurs tiers. Cette approche faciliterait pour les autorités l’analyse précise des données relatives aux risques liés à l’utilisation de services TIC. Toutefois, comme l’a indiqué l'ESMA dans ses projets de normes techniques, l’adoption du LEI n’est pas encore définitive.
Supervision des risques TIC
Un élément central du Règlement DORA est la nécessité de classifier les fonctions critiques ou importantes qui dépendent des prestataires externes de services TIC. Les EF sont appelées à identifier non seulement leurs propres fonctions opérationnelles et d’entreprise, mais également à évaluer lesquelles d’entre elles sont prises en charge par des prestataires tiers. Ce processus est essentiel à la compréhension et à l’atténuation des risques opérationnels liés à l’externalisation des services TIC.
La norme prévoit également un principe de proportionnalité : le niveau d’informations que les EF doivent reporter varie en fonction de la complexité et du nombre de prestataires impliqués. Par exemple, une entité qui fait appel à de nombreux prestataires TIC devra fournir plus de détails qu’une autre qui recourt peu aux services externes. En outre, des informations sur les sous-traitants sont également demandées, afin de permettre aux autorités de surveiller de manière complète l’intégralité de la chaîne de fourniture TIC.
En définitive, le Règlement DORA représente une étape importante en direction du renforcement de la résilience opérationnelle numérique dans le secteur financier européen, avec un zoom particulier sur la gestion des risques liés aux prestataires de services TIC. Même si l’identifiant d’entité juridique (LEI) peut représenter un outil précieux pour garantir une plus grande transparence et uniformité dans la gestion des relations contractuelles avec les prestataires TIC, son adoption formelle est encore en phase d’évaluation.
Depuis peu, les Autorités européennes de surveillance (ESA) ont donné leur avis en ce qui concerne les normes techniques de mise en œuvre (ITS) pour les modèles standard relatifs au registre des informations conformément à l’article 28(9) du Règlement (UE) 2022/2554 (DORA). Ce registre a pour objectif d’améliorer la gestion des risques TIC par les entités financières et d’aider les autorités de surveillance à contrôler ces risques. Malgré le fait que les ESA ont proposé l’utilisation obligatoire du LEI (Legal Entity Identifier) pour identifier les prestataires de services TIC tiers, la Commission européenne a suggéré d’autoriser l’utilisation du LEI ainsi que de l’identité numérique européenne (INUE). Les ESA ont exprimé leur préoccupation au sujet de cette double approche, soulignant qu’elle pourrait augmenter les efforts de mise en œuvre et la complexité pour les entités financières.
De futures décisions réglementaires, telles que celles proposées par l’ESMA, préciseront si et comment le LEI sera intégré au cadre opérationnel du Règlement DORA. Il est certain que l’attention portée à la sécurité numérique et à la gestion des risques TIC continuera d’être une priorité centrale pour garantir la stabilité et la résilience du secteur financier dans un contexte technologique de plus en plus complexe.
