ACPR (EBA & EIOPA), DORA, NIS2: Comment s’y retrouver?
Pour faire évoluer ses pratiques en matière de gestion des risques liés aux tiers il faudra naviguer dans un environnement réglementaire qui évolue rapidement et varie d'un secteur à l'autre.
Pour le secteur financier, les exigences réglementaires applicables (EBA, DORA, NISv2), et en particulier les points d’attention de l’ACPR en matière de gestion des risques liés aux systèmes d’information et leur sécurité, rappellent la nécessité de mettre en place un dispositif efficace de pilotage des prestataires.
Entrées en vigueur en septembre 2019, les guidelines de l’EBA sont applicables à compter du 31 décembre 2021. En effet, ces orientations fournissent une définition claire de l'externalisation et précisent les critères permettant d'évaluer si une activité, un service, un processus ou une fonction externalisée est critique. Elles visent à établir un cadre plus harmonisé pour les accords d'externalisation de toutes les institutions financières dans le champ d'action de l’EBA.
La directive NIS 2, publiée le 10 novembre 2022 et applicable à partir de janvier 2023, vise à harmoniser et à renforcer la cybersécurité du marché européen. En effet, les grands acteurs du marché financier ont été soumis, en conséquence, à l’obligation de déclarer leurs incidents de sécurité à l’ANSSI, et à mettre en œuvre les mesures de sécurité nécessaires afin de réduire fortement l’exposition de leurs systèmes les plus critiques aux risques cybers.
Le projet de réglementation DORA, adopté en novembre 2022, impose des règles plus strictes. DORA permet, en effet, de s'assurer que les organisations ont mis en place les processus, outils et personnel nécessaires pour identifier et réduire les risques liés aux tiers - de manière continue. L'objectif n'est donc pas seulement de prévenir les incidents majeurs, mais de gérer et de réduire les risques liés aux TIC à un niveau acceptable pour les organisations financières.