Accueil
Envoyer à un ami
Version imprimable
Le règlement (UE) DORA qui vise la résilience des "entités financières" entre bientôt en vigueur démontrant ce que sont les banques : des infrastructures informatiques.
Le règlement européen sur la résilience opérationnelle numérique du secteur financier (Digital Operational Resilience Act ou DORA) établit des règles en matière de cybersécurité et de gestion des risques informatiques pour de nombreuses entités financières. Il entrera en application le 17 janvier 2025.
Le règlement (UE) DORA qui vise la résilience des "entités financières" démontre ce que sont les banques : des infrastructures informatiques.
Comme pour de nombreuses autres entreprises, la dimension numérique devient, en droit, la première réalité structurelle des entreprises. Sans un ensemble informatique large, profond et opérationnel il ne peut pas exister, la plupart du temps, d'entreprises d'envergure.
Il faut être connecté : en interne, entre tous les acteurs, en externe pour les relations commerciales et financières avec les autres entreprises, avec les clients, sous-traitants, fournisseurs... en externe encore par les 50 administrations.
La prégnance des systèmes numériques et maximale dans la banque où le commerce est celui des actifs financiers, lato sensu (il n'y a pas de définition stricto sensu), soit les titres et les monnaies... et les contrats dits financiers, mais les titres sont depuis toujours des contrats à leur racine...
La sécurité des entreprises, donc la sécurité des entités financières passe impérativement par la sécurité informatique et numérique.
I. Le règlement vise les entités, ce qui est l'occasion d'une remarque générale sur ce concept qui finira par poser des problèmes.
(sur la montée de cette notion : Des entités... et autres, cliquez ici et aussi : Entité ! Cliquez ici
Le débat dépasse le CMF visé dans cette note.
On s'étonne ainsi que les recherches sur la personnalité des IA (des SIA), si l'on si risque..., n'évoque pas des notions majeures, qualifications "alternatives" et sans lesquelles le débat est tronqué, bien peu réaliste. Voyez les mots susceptibles de signer une réalité juridique titulaire de droits et d'obligations : entité, organisme, ensemble, être (insensible), individu, organisation, collectivité, indivision ou copropriété, fonds, établissement, formation, confrérie...
Voilà le CMF traversé par la force invisible de l'entité, notion à surveiller.
II. Sur le règlement résilience numérique, le règlement DORA 2022/2554 du 14 décembre 2022 vise le « secteur financier ».
Il liste les entités financières et du reste, de ce fait, définit bien la sphère financière, la finance.
Son article 2, point 1, a) à t), énumère 15 « entités financières » dont la majorité sont des prestataires de services. Il exige une gouvernance numérique et une organisation informatique solide et résiliente. La nature profonde du dispositif est numérique mais il concerne bien le secteur financier.
Le règlement (UE) DORA qui vise la résilience des "entités financières" démontre ce que sont les banques : des infrastructures informatiques.
Comme pour de nombreuses autres entreprises, la dimension numérique devient, en droit, la première réalité structurelle des entreprises. Sans un ensemble informatique large, profond et opérationnel il ne peut pas exister, la plupart du temps, d'entreprises d'envergure.
Il faut être connecté : en interne, entre tous les acteurs, en externe pour les relations commerciales et financières avec les autres entreprises, avec les clients, sous-traitants, fournisseurs... en externe encore par les 50 administrations.
La prégnance des systèmes numériques et maximale dans la banque où le commerce est celui des actifs financiers, lato sensu (il n'y a pas de définition stricto sensu), soit les titres et les monnaies... et les contrats dits financiers, mais les titres sont depuis toujours des contrats à leur racine...
La sécurité des entreprises, donc la sécurité des entités financières passe impérativement par la sécurité informatique et numérique.
I. Le règlement vise les entités, ce qui est l'occasion d'une remarque générale sur ce concept qui finira par poser des problèmes.
(sur la montée de cette notion : Des entités... et autres, cliquez ici et aussi : Entité ! Cliquez ici
Le débat dépasse le CMF visé dans cette note.
On s'étonne ainsi que les recherches sur la personnalité des IA (des SIA), si l'on si risque..., n'évoque pas des notions majeures, qualifications "alternatives" et sans lesquelles le débat est tronqué, bien peu réaliste. Voyez les mots susceptibles de signer une réalité juridique titulaire de droits et d'obligations : entité, organisme, ensemble, être (insensible), individu, organisation, collectivité, indivision ou copropriété, fonds, établissement, formation, confrérie...
Voilà le CMF traversé par la force invisible de l'entité, notion à surveiller.
II. Sur le règlement résilience numérique, le règlement DORA 2022/2554 du 14 décembre 2022 vise le « secteur financier ».
Il liste les entités financières et du reste, de ce fait, définit bien la sphère financière, la finance.
Son article 2, point 1, a) à t), énumère 15 « entités financières » dont la majorité sont des prestataires de services. Il exige une gouvernance numérique et une organisation informatique solide et résiliente. La nature profonde du dispositif est numérique mais il concerne bien le secteur financier.
Sur son site, l'AMF synthétise les obligations du règlement DORA en 5 points, la synthèse dépasse le domaine de régulation de l'Autorité :
- "mettre en œuvre un cadre de gestion du risque lié aux technologies de l’information et de la communication (TIC). Ce cadre doit notamment comprendre la mise en place de règles de gouvernance et de contrôle interne, l’élaboration d’une stratégie de résilience opérationnelle numérique et l’instauration d’une politique complète de continuité des activités de TIC ;"
- "notifier aux autorités nationales compétentes (en France : AMF ou ACPR) les incidents identifiés comme majeurs et liés aux TIC ;"
- "effectuer des tests de résilience opérationnelle numérique. Certaines entités financières identifiées par les autorités compétentes, notamment sur la base du caractère systémique de l’entité ou du profil du risque lié aux TIC, devront également mettre en place des tests avancés au moyen de tests de pénétration fondés sur la menace, c’est-à-dire simulant le mode opératoire de véritables attaques cyber ;"
- "gérer le risque lié au recours à des prestataires tiers de services TIC, avec notamment de nouvelles exigences au niveau contractuel. Les entités financières doivent identifier et intégrer les risques liés aux prestataires tiers de services TIC dans leur cadre de gestion des risques, et demeurent pleinement responsables du respect des obligations du règlement DORA lorsqu’elles ont recours à ces tiers ;"
- "partager de façon volontaire des informations opérationnelles relatives aux menaces d’origine cyber et les vulnérabilités entre acteurs du secteur financier."
Ce dernier point fait sourire car il faut / volontairement... partager.
Voilà le genre de point qui est incompréhensible (et en vérité absurde) en droit traditionnel et qui impose de comprendre le droit de la régulation... dont la logique devra être éprouvée sur quelques décennies.
Les entités financières peuvent avoir des prestataires dont elles sont, pour cette gouvernance et résilience numériques, dépendantes.
Le règlement impose donc également une supervision au niveau européen des prestataires tiers de services TIC considérés comme « critiques », c’est-à-dire susceptibles d’avoir un impact systémique sur la stabilité, la continuité ou la qualité de la fourniture de services financiers.
III. On peut encore discuter de "Droit bancaire" sans s'imposer de traiter le Droit bancaire et financier qui, lui, atteste de façon plus manifeste qu'il est un droit de la régulation. Ce type de droit signifie que les obligations sont souvent originales, professionnelles, mal déterminées ou flexibles, commentées et explicitées, leur détermination reposant parfois même sur le sujet de droit, ceci avec un contrôle du régulateur qui, tel l'instituteur qui surveille l'écolier qui s'applique à écrire des lignes de a, de b, de c..., en minuscules et majuscules, est susceptible à tout instant d'intervenir : pour gronder, reprocher, conseiller, corriger...
La surveillance permanente (qu'instaure le droit de la régulation) déclasse le régime de l'autorisation préalable puisque, après autorisation (agrément), vous n'êtes pas, ici en tant que "entités financières", autorisé à agir librement après avoir rempli les conditions de l'agrément.
Le droit de la régulation affecte les mécanismes fondamentaux des libertés publiques ou est de nature à l'affecter.
Le règlement DORA oblige ainsi les entités financières à déterminer leurs obligations pour assurer la résilience : l'article 4 en fait un principe de proportionnalité.
Le règlement invite à découvrir, par ce cadre de prévention, gestion et rétablissement, les "activités anormales" (art. 10)... A nouveau, les pouvoirs publics ne sachant pas de quoi il parlent, c'est l'entité qui doit le savoir.
Le règlement DORA témoigne de la force et de la prégnance du droit de la régulation, mais aussi de ses limites.
Mais comment percevoir ces limites quand le fait même du droit de la régulation n'a pas été pleinement investi ?
- "mettre en œuvre un cadre de gestion du risque lié aux technologies de l’information et de la communication (TIC). Ce cadre doit notamment comprendre la mise en place de règles de gouvernance et de contrôle interne, l’élaboration d’une stratégie de résilience opérationnelle numérique et l’instauration d’une politique complète de continuité des activités de TIC ;"
- "notifier aux autorités nationales compétentes (en France : AMF ou ACPR) les incidents identifiés comme majeurs et liés aux TIC ;"
- "effectuer des tests de résilience opérationnelle numérique. Certaines entités financières identifiées par les autorités compétentes, notamment sur la base du caractère systémique de l’entité ou du profil du risque lié aux TIC, devront également mettre en place des tests avancés au moyen de tests de pénétration fondés sur la menace, c’est-à-dire simulant le mode opératoire de véritables attaques cyber ;"
- "gérer le risque lié au recours à des prestataires tiers de services TIC, avec notamment de nouvelles exigences au niveau contractuel. Les entités financières doivent identifier et intégrer les risques liés aux prestataires tiers de services TIC dans leur cadre de gestion des risques, et demeurent pleinement responsables du respect des obligations du règlement DORA lorsqu’elles ont recours à ces tiers ;"
- "partager de façon volontaire des informations opérationnelles relatives aux menaces d’origine cyber et les vulnérabilités entre acteurs du secteur financier."
Ce dernier point fait sourire car il faut / volontairement... partager.
Voilà le genre de point qui est incompréhensible (et en vérité absurde) en droit traditionnel et qui impose de comprendre le droit de la régulation... dont la logique devra être éprouvée sur quelques décennies.
Les entités financières peuvent avoir des prestataires dont elles sont, pour cette gouvernance et résilience numériques, dépendantes.
Le règlement impose donc également une supervision au niveau européen des prestataires tiers de services TIC considérés comme « critiques », c’est-à-dire susceptibles d’avoir un impact systémique sur la stabilité, la continuité ou la qualité de la fourniture de services financiers.
III. On peut encore discuter de "Droit bancaire" sans s'imposer de traiter le Droit bancaire et financier qui, lui, atteste de façon plus manifeste qu'il est un droit de la régulation. Ce type de droit signifie que les obligations sont souvent originales, professionnelles, mal déterminées ou flexibles, commentées et explicitées, leur détermination reposant parfois même sur le sujet de droit, ceci avec un contrôle du régulateur qui, tel l'instituteur qui surveille l'écolier qui s'applique à écrire des lignes de a, de b, de c..., en minuscules et majuscules, est susceptible à tout instant d'intervenir : pour gronder, reprocher, conseiller, corriger...
La surveillance permanente (qu'instaure le droit de la régulation) déclasse le régime de l'autorisation préalable puisque, après autorisation (agrément), vous n'êtes pas, ici en tant que "entités financières", autorisé à agir librement après avoir rempli les conditions de l'agrément.
Le droit de la régulation affecte les mécanismes fondamentaux des libertés publiques ou est de nature à l'affecter.
Le règlement DORA oblige ainsi les entités financières à déterminer leurs obligations pour assurer la résilience : l'article 4 en fait un principe de proportionnalité.
Le règlement invite à découvrir, par ce cadre de prévention, gestion et rétablissement, les "activités anormales" (art. 10)... A nouveau, les pouvoirs publics ne sachant pas de quoi il parlent, c'est l'entité qui doit le savoir.
Le règlement DORA témoigne de la force et de la prégnance du droit de la régulation, mais aussi de ses limites.
Mais comment percevoir ces limites quand le fait même du droit de la régulation n'a pas été pleinement investi ?
Augmenter la taille du texte
Diminuer la taille du texte
Partager
Après les PSP dont les banques, la CNIL vous informe à son tour pour éviter les "fraudes bancaires en ligne" (avis spécial après des "fuites de données").
Accueil