LETTRE D'ACTUALITÉ - PWC FRANCE
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Avril 2022
Lettre d’actualité #24
Réglementaire
banque
La gestion des incidents majeurs : le talon La pandémie de COVID-19 et les tensions internationales mettent
d’Achille de la résilience opérationnelle l'enjeu de la cybersécurité au premier plan pour les institutions
numérique financières à renforcer leur cybersécurité. C’est dans ce contexte que
nos experts reviennent sur la gestion des incidents majeurs, un
Résolution : priorités 2022 et enjeux de dispositif clé du cadre de la résilience opérationnelle numérique. Ils
mise en œuvre de la continuité analysent notamment les récentes évolutions réglementaires visant à
opérationnelle en résolution simplifier et harmoniser les procédures de gestion et de notification
des incidents aux autorités compétentes.
L'UE propose d'accroître les exigences
applicables aux banques de pays tiers Le contexte international rend concret les enjeux de résolution des
institutions bancaires alors que le dispositif réglementaire sur la
Réforme de la loi Sapin 2 : un renforcement résolution se déploie progressivement, nos experts en rappellent les
de la protection des lanceurs d’alerte priorités 2022 et évoquent la continuité opérationnelle en résolution.
Cette nouvelle édition présente également les dernières évolutions en
La coopération : nouveau mot d’ordre de la matière de sécurité financière ainsi qu’une initiative européenne visant
surveillance bancaire et financière
à renforcer la supervision prudentielle applicable aux succursales
européenne en matière de LCB-FT
d’établissement de crédit de pays tiers.
Quels sont les enjeux de l’intégration de la Enfin, nos experts analysent les évolutions des règles de
durabilité dans les exigences MiFID 2 ? commercialisation des produits financiers, d’une part, en raison des
nouvelles obligations relatives à l’intégration de la durabilité
Epargne réglementée : des exigences dans MiFID 2 et d’autre part, du renforcement des contrôles portant
renforcées en matière de contrôle sur l’épargne réglementée.
Bonne lecture
Rami Feghali Monique Tavares
Associé FS Risk Directrice Regulatory
and Regulation Centre of Excellence
Lettre d’actualité réglementaire PwC | Banque # 24 – Avril 2022
Prudentiel et gestion des risques 03
Conformité 27
Marchés financiers 39
Finance durable 40
Autres réglementations 56
Publications 63
Glossaire 64
Nos experts à votre service 65
-2-
Lettre d’actualité réglementaire PwC | Banque # 24 - Avril 2022
Prudentiel et gestion des risques Conformité Marchés financiers Finance durable
Autres réglementations Publications Glossaire Nos experts
Prudentiel et gestion des risques
Analyses et perspectives
La gestion des incidents majeurs : le talon
d’Achille de la résilience opérationnelle
numérique
Romain Camus, Associé Technology risk
Lazare N'guessan, Senior Manger Technology risk
Monique Tavares, Directrice Regulatory Centre of Excellence
Résolution : priorités 2022 et mise en œuvre de
la continuité opérationnelle en résolution
Carole de Vergnies, Directrice en charge de la coordination
du réseau PwC EMEA RRP, PwC Belgium
Andreas Vermeiren, Senior Manager, expert OCIR, membre
du réseau PwC EMEA RRP, PwC Belgium
L’UE propose d’accroître les exigences
applicables aux banques de pays tiers
Manon Carissimo, Directrice PwC Société d’avocats
Farelle Tjap Oum, Associate PwC Société d’avocats
Focus réglementaire
Directive (UE) 2021/2167 relative aux gestionnaires de crédits et aux acheteurs de crédits
Assurance-emprunteur : La loi n°2022-270 pour un accès plus juste, plus simple et plus
transparent au marché de l’assurance emprunteur
Lettre d’actualité réglementaire PwC | Banque # 24 – Avril 2022
Prudentiel et gestion des risques Conformité Marchés financiers Finance durable
Autres réglementations Publications Glossaire Nos experts
Analyses et perspectives
Romain Camus, Lazare N'guessan, Monique Tavares,
Associé Senior Manager Directrice Regulatory
Technology risk Technology risk Centre of Excellence
La gestion des incidents majeurs :
Le talon d’Achille de la résilience opérationnelle numérique
La cybersécurité reste une des réglementation et de supervision. Ces La gestion des incidents majeurs
préoccupations majeures des acteurs du dernières portent une attention accrue à apparaît comme un dispositif clé du
secteur financier qui redoutent qu’une la gestion des incidents par les cadre global de la résilience
cyberattaque ou un incident ne perturbe institutions financières ; révisent leurs opérationnelle. La Commission
gravement le fonctionnement de leurs attentes quant aux mesures à prendre européenne en fait l’un des 5 piliers de la
activités et par ricochet la stabilité du pour répondre efficacement aux proposition de règlement sur la résilience
secteur financier. Depuis le début de la incidents cyber et opérationnels et opérationnelle numérique dans le
pandémie de COVID-19 avec le mettent en place des initiatives pour secteur financier (ou DORA pour «
renforcement de la numérisation des renforcer la gestion et la notification des Digital Operational Resilience Act »)
activités et la multiplication d’incidents incidents par les institutions et améliorer présentée le 24 septembre 2020 qui vise
cyber, cette préoccupation s’est accrue. le partage des informations sur les à fixer et à harmoniser les règles
Même si dans l’ensemble, la BCE n’a menaces au niveau européen. Ces sectorielles existantes concernant :
pas observé de perturbations majeures actions s’inscrivent dans le cadre de la
des services financiers en 2020, le stratégie en matière de finance • la gestion des risques informatiques ;
nombre des incidents cyber notifiés à la numérique pour l’UE de la Commission • la gestion, la classification et la
BCE a augmenté de 54% par rapport à européenne et de ses initiatives pour notification des incidents liés à
20191. Ces derniers devraient encore renforcer la résilience opérationnelle l’informatique ;
augmenter dans le contexte actuel de numérique du secteur financier.
tensions internationales entre la Russie • la mise en place de programme de
et l’Ukraine, où les institutions sont La gestion des incidents tests de résilience opérationnelle
appelées à renforcer leur vigilance
cyber.
au cœur de la résilience numérique ;
opérationnelle • la gestion des risques liés aux tiers
Dans son suivi des risques, l’EBA prestataires de services informatiques
observe que le risque cyber et plus Le concept de résilience opérationnelle et ;
globalement les risques liés aux met l’accent sur la nécessité de faire
technologies de l’information et de la évoluer l’approche de gestion des • le partage d’informations et de
Communication (TIC) et à la sécurité (ou risques opérationnels vers une approche renseignement sur les cybermenaces
ci-après « risques informatiques ») plus large et plus proactive qui intègre la (cf.Lettre#22 Lien).
restent élevés à fin 2021 et que les nécessité lors d’une crise de s’adapter et
1. ECB : IT and cyber risk: a constant challenge
pertes liées au risque opérationnel ont de se rétablir. Ainsi, il s’agit pour les 18 August 2021 Lien
augmenté pendant la pandémie. institutions financières de développer
leurs capacités à détecter, répondre, se
Ainsi, la gestion des risques liés aux TIC rétablir et à tirer les enseignements de la
et à la sécurité reste une des priorités survenance d’incidents opérationnels.
pour 2022 des autorités de
-4-
Lettre d’actualité réglementaire PwC | Banque # 24 – Avril 2022
Prudentiel et gestion des risques Conformité Marchés financiers Finance durable
Autres réglementations Publications Glossaire Nos experts
Ainsi, la gestion des incidents ne se limite leur appétit pour le risque et leur niveau perturbation (forensic analysis) et des
plus à l’identification et au traitement des de tolérance aux perturbations. Il s’agit de solutions pour assurer la continuité de
incidents mais englobe l’identification, définir l’organisation, les ressources clés l’activité (doublonnage des bases de
l’analyse, la réponse ainsi que et les compétences requises pour données, outils intégrant des possibilités
l’apprentissage afin de prévenir leur contenir, répondre à une menace ou à un de fonctionnement en « mode dégradé »).
répétition et d’atténuer leur gravité. incident avéré. Les plans de réponse aux Enfin, le Comité de Bâle recommande la
L’objectif de la gestion des incidents est incidents doivent être construits sur la mise en place d’indicateurs de
de limiter les perturbations et de rétablir base de scénarios sévères mais performance afin de mesurer les progrès
les fonctions et services critiques dans le plausibles et doivent être améliorés en effectués. Etant donné la nature multiple
cadre des seuils maximum de permanence en intégrant les des incidents, cela doit s’inscrire dans un
perturbation fixés par l’institution. Dans enseignements tirés des incidents programme global de gestion des
ses principes sur la résilience survenus. L’ACPR précise ainsi dans son incidents y compris ceux attribuables à
opérationnelle publiés en mars 2021, rapport sur la transformation numérique des dépendances vis-à-vis de
dans un contexte de pandémie, le Comité du secteur bancaire français de janvier prestataires externes ou à d’autres entités
de Bâle appelle les institutions financières 20222, que les banques travaillent à d’un même groupe.
à établir ou renforcer ex ante les plans de définir des plans de réponse aux
réponse et de reprise pour gérer les incidents de cybersécurité avec des
incidents susceptibles de perturber les critères de classification du risque, des 2. ACPR - La transformation numérique dans le
secteur bancaire français, janvier 2022
opérations critiques en cohérence avec outils d’analyse des causes de la
.
Ainsi, la qualité de la gestion et le suivi
des incidents informatiques est une
Au Royaume-Uni, la Financial Aux USA, les autorités FDIC, OCC et
préoccupation majeure des autorités
Conduct Authority (FCA) et la la Réserve Fédérale viennent de
réglementaires et de supervision
Prudential Conduct Authority (PRA) publier une norme conjointe3
œuvrant à renforcer la cyber-résilience
ont fait de la réponse aux incidents établissant des exigences renforcées
et plus globalement la résilience
une composante essentielle de leur en matière de notification des
opérationnelle numérique du secteur
cadre de résilience opérationnelle3 incidents de sécurité informatique4
financier. La notification des incidents
avec des exigences renforcées qui pour les institutions bancaires et leurs
par les institutions financières donne aux
sont entrées en vigueur fin mars 2022. prestataires de services. Elle vise à
superviseurs une meilleure
Ainsi, la PRA définit les mesures que améliorer le partage des informations
compréhension de l’efficacité réelle des
les institutions assujetties doivent sur les incidents majeurs et exige que
mesures de prévention et de
prendre pour se préparer et faire face les banques notifient les autorités
remédiation mises en œuvre par les
à un incident. Parmi ces mesures, la compétentes dans les 36 heures de
institutions financières. Cela les aide
PRA met l’accent sur la capacité des l’identification de l’incident. De même,
également à comprendre des
institutions à élaborer des scénarios les prestataires de services sont
phénomènes de nature plus large que
sévères mais plausibles pouvant désormais tenus d’informer dès que
ceux qui affectent une institution
amener à des perturbations possible les clients des banques de
individuelle et leur permet de développer
opérationnelles et de démontrer leur tout incident susceptible de provoquer
la coopération avec les autres autorités
capacité à rester dans les seuils une perturbation des services pendant
du secteur financier et au-delà.
maximum de perturbation définis. Cela 4 heures ou plus. Ces nouvelles
requiert un examen préalable des exigences entreront en vigueur à partir Dans ce contexte, la Banque Centrale
incidents passés ou des « quasi- de mai 2022. européenne a annoncé qu’elle conduira
incidents » survenus au niveau de en 2022 une évaluation de
l’institution ou du groupe voire au l'adéquation de la cyber-résilience
niveau du secteur. Les institutions des banques ainsi qu’une revue de
doivent intégrer dans le scénario l’externalisation des services
élaboré le rôle des prestataires de informatiques. Elle assurera un suivi
services dans l’incident. actif des banques présentant des
lacunes importantes dans ce domaine.
3. Computer-Security Incident Notification
Requirements for Banking Organizations and Their
Bank Service Providers Lien
4. Cyberattaques, défaillances non malveillantes du
matériel et des logiciels, d'erreurs personnelles et
qui entraîne un préjudice réel pour la confidentialité,
l'intégrité ou la disponibilité d'un système
d'information ou des informations que le système
traite, stocke ou transmet
-5-
Lettre d’actualité réglementaire PwC | Banque # 24 – Avril 2022
Prudentiel et gestion des risques Conformité Marchés financiers Finance durable
Autres réglementations Publications Glossaire Nos experts
Une notification des Au cours de ces dernières années, les
obligations de notification des incidents se
Ainsi comme le montre le tableau ci-après,
les institutions financières sont soumises à
incidents fragmentée et sont multipliées dans toutes les juridictions des obligations d’identification et de
au sein de l’UE sans coordination suffisante notification des incidents survenus aux
hétérogène au niveau de et avec une certaine hétérogénéité par autorités compétentes en vertu de
l’UE exemple au niveau des typologies différentes réglementations. Les cadres
d’incidents, des critères d’évaluation nationaux complètent généralement ces
d’impact, des délais de notification. obligations en appliquant des règles
spécifiques.
Principales exigences en matière de notification des incidents au niveau de l’UE
Règlementation Statut Typologie d’incidents Destinataires Délai
DIRECTIVE SRI Opérateurs de Les incidents affectant les réseaux et ANSSI Sans délai après
services essentiels systèmes d'information nécessaires à la en avoir pris
Transposée en France par la loi n° fourniture de services essentiels, lorsque connaissance
2018-133 du 26 février 2018 portant ces incidents ont ou sont susceptibles
diverses dispositions d'adaptation au d'avoir, compte tenu notamment du nombre
droit de l'Union européenne dans le d'utilisateurs et de la zone géographique
domaine de la sécurité (lien) touchés ainsi que de la durée de l'incident,
un impact significatif sur la continuité de ces
services.
LE RÈGLEMENT GÉNÉRAL SUR LA Responsable de Les violations de données personnelles : CNIL Dans les
PROTECTION DES DONNÉES – traitement un incident de sécurité entraînant, de meilleurs délais
RGPD manière accidentelle ou illicite, la et au plus tard
cf. Lignes directrices en matière de destruction, la perte, l’altération, la 72h après en
violation de données du Comité divulgation non autorisée de données à avoir pris
européen de protection des caractère personnel transmises, conservées connaissance
données(CEPD) en vertu du ou traitées d’une autre manière, ou l’accès
règlement GDPR de 2018 (lien) non autorisé à de telles données (article
complétée par celles de janvier 2022 4.12 du RGPD)
(lien)5
DIRECTIVE RELATIVE AUX Prestataires de Les incidents opérationnels ou de Banque de Sans délai et
SERVICES DE PAIEMENTS (DSP2) services de sécurité majeurs : Un événement unique France / ACPR dans les 4h
Transposée dans la loi française à paiement ou une série d’événements liés non planifiés puis BCE/EBA (rapport initial)
l’article L.521-10 du CMF par le prestataire de services de paiement,
Orientations révisées sur la notification qui a ou aura probablement une incidence
des incidents majeurs en vertu de la négative sur l’intégrité, la disponibilité, la
DSP2 (EBA/GL/2021/03) confidentialité, l’authenticité et/ou la
continuité des services liés au paiement.
DÉCLARATION DES DONNÉES Prestataires de Collecte « Recensement de la fraude aux Banque de Reporting
RELATIVES À LA FRAUDE de l’EBA services de moyens de paiement » France / BCE / semestriel
au titre de l’article 96.6 de la DSP2 paiement EBA
(EBA/GL/2018/05)
Règlement BCE /2020/59 relatif aux
statistiques des paiements entré en
vigueur le 1er janvier 2022
BCE - CYBER-INCIDENT Etablissements Les incidents cyber majeurs BCE / JST Dans les 2 h de
REPORTING FRAMEWORK d'importance la détection
significative
TARGET2 Participants Tout incident lié à la sécurité survenant Banque de Dans les 4h de la
dans leur infrastructure technique ou France / BCE détection
celle de tiers prestataires
RÈGLEMENT EIDAS sur Prestataire de Toute atteinte à la sécurité ou de perte ANSSI, Dans un délai de
l’identification électronique et les service de d’intégrité ayant une incidence importante CNIL 24 heures
services de confiance confiance sur le service de confiance fourni ou sur
(Règlement (UE) nº 910/2014) les données personnelles qui y sont
conservées
Établissements de Incident de sécurité du système ACPR/ BCE Dans les
ARRÊTÉ DU 3 NOVEMBRE 2014 crédit, sociétés de d’information : un incident dont l’impact meilleurs délais
RELATIF AU CONTRÔLE INTERNE financement et financier dépasse soit 25 millions d’euros
– Risque informatique entreprises soit 0,5% du CET1 de l’établissement. (ex :
d’investissement une cyberattaque) 6
4. Le CEPD a publié le 3 janvier 2022 des lignes directrices en matière de violation de données publiées complétant les lignes directrice de 2018. Dans ces dernières, le
CEPD présente 18 cas fictifs mais basés sur des cas typiques issus de l'expérience collective des autorités nationales compétentes afin d'aider les responsables de
traitement à évaluer les différentes catégories de violations de données auxquels ils pourraient être confrontés et les éventuelles mesures à mettre en œuvre par la suite.
Elles précisent les obligations à suivre en fonction des situations, notamment si l’autorité doit être notifiée et si la violation doit être communiquée aux personnes concernées.
6. Canevas - Rapport sur le contrôle interne Établissements de crédit, sociétés de financement et entreprises d’investissement
-6-
Lettre d’actualité réglementaire PwC | Banque # 24 – Avril 2022
Prudentiel et gestion des risques Conformité Marchés financiers Finance durable
Autres réglementations Publications Glossaire Nos experts
La notification des Ces orientations ont été revues par l’EBA Orientations de l’EBA en vertu de
qui a publié le 28 novembre 2019, les l’article 96 de DSP2
incidents de paiements nouvelles orientations sur la gestion des
au titre de DSP2 risques liés aux Technologies de En vertu de l’article 96 de la DSP2, l’EBA
l’Information et de la Communication a publié en juillet 2017 les premières
Au titre de l’article 95 de la directive (TIC), (EBA/GL/2019/04). Ce nouveau orientations sur la notification des
DSP2, les prestataires de services de texte a abrogé les orientations formulées incidents majeurs (EBA/GL/2017/10).
paiement (PSP) doivent établir et en 2017 (EBA/GL/2017/17) depuis son
maintenir des procédures efficaces de entrée en vigueur le 30 juin 2020. Quatre orientations ont donc été émises à
gestion des incidents, y compris pour la l’intention des PSP sur les critères pour
détection et la classification des incidents Les principales exigences en matière de la classification des incidents
opérationnels et de sécurité majeurs. gestion des incidents opérationnels et de opérationnels ou de sécurité majeurs
sécurité liés aux TIC sont : par les PSP ainsi que le format et les
En cas d’incident opérationnel ou de procédures que ces derniers devraient
sécurité majeur, les prestataires de • Recours à des fournisseurs tiers :
appliquer pour notifier ces incidents :
services de paiement doivent informer les établissements financiers doivent
sans retard injustifié l’autorité veiller à ce que les contrats et les • Orientation 1 : Classification en tant
compétente dans l’État membre d’origine accords de niveau de service conclus qu’incident majeur qui présente les
du prestataire de services de paiement avec des fournisseurs (prestataires de critères et les seuils pour classer les
(article 96). Lorsque l’incident a ou est services d’externalisation, entités du incidents
susceptible d’avoir des répercussions groupe ou fournisseurs tiers) incluent
sur les intérêts financiers de ses des procédures de traitement des • Orientation 2 : Processus de
utilisateurs de services de paiement, le incidents opérationnels et liés à la notification qui présente les modalités
prestataire de services de paiement doit sécurité, notamment pour la de notification des incidents à l’autorité
informer sans retard injustifié ses communication et la remontée des compétente notamment le modèle à
utilisateurs de services de paiement de informations. utiliser
l’incident et de toutes les mesures • Orientation 3 : Notification déléguée et
• Surveillance de la sécurité : les
disponibles qu’ils peuvent prendre pour consolidée qui décrit les exigences de
établissements financiers doivent
atténuer les effets dommageables de notification lorsque les PSP ont
mettre en place des processus
l’incident. délégué cette obligation de notification
permettant de comprendre la nature
des incidents opérationnels ou de à un tiers.
Orientations de l’EBA en vertu
sécurité, d’identifier les tendances et
des articles 95 et 96 de la d’appuyer les enquêtes diligentées.
• Orientation 4 : Politique opérationnelle
et de sécurité qui exige des PSP de
DSP2 s’assurer que leur politique
• Processus de gestion des
problèmes et incidents liés aux TIC opérationnelle et de sécurité générale
Orientations de l’EBA en vertu de
: les établissements financiers doivent définit clairement l’ensemble des
l’article 95 de DSP2 établir et mettre en œuvre un responsabilités en matière de
processus de gestion des problèmes notification d’incidents, ainsi que les
En vertu de l’article 95 de la directive
et incidents afin, d’une part, de processus mis en œuvre pour
DSP2, l’EBA a publié en janvier 2018, les
surveiller et consigner les incidents satisfaire les exigences définies dans
premières orientations relatives aux
opérationnels et de sécurité liés aux les trois (3) orientations présentées ci-
mesures de sécurité pour les risques
TIC (y compris les incidents majeurs dessus.
opérationnels et de sécurité liés aux
services de paiement incluant la visés à l’article 96 de la DSP2) et,
Les orientations émises en 2017 ont été
gestion des incidents d’autre part, de poursuivre ou de
revues avec pour objectif d’optimiser et
(EBA/GL/2017/17). rétablir les fonctions et processus
de simplifier le processus. Ainsi, l’EBA
« métiers » de ces institutions ayant
a publié le 10 juin 2021 les orientations
Il est demandé aux PSP de mettre en une importance critique, en temps
révisées sur la notification des
place des procédures efficaces de gestion utile, après une perturbation.
incidents majeurs7 (EBA/GL/2021/03).
des incidents ainsi que des mesures
d’atténuation et des mécanismes de Les établissements doivent établir des
contrôle appropriés en vue de gérer les processus et des structures
7. Un incident opérationnel ou de sécurité :
risques opérationnels et de sécurité, liés organisationnelles appropriés pour
un événement unique ou une série
aux services de paiement qu’ils assurer une surveillance, un d’événements liés non planifiés par le
fournissent. traitement et un suivi cohérents et prestataire de services de paiement, qui a ou
intégrés des incidents opérationnels et aura probablement une incidence négative sur
l’intégrité, la disponibilité, la confidentialité et/ou
Ces mesures doivent faire l’objet d’une de sécurité et pour veiller à ce que les l’authenticité des services liés au paiement
évaluation périodique afin de s’assurer causes originelles soient identifiées et (EBA/GL/2021/03).
qu’elles restent adéquates au regard des éliminées afin d’empêcher que ces
.
risques opérationnels et de sécurité incidents ne se répètent.
encourus. .
-7-
Lettre d’actualité réglementaire PwC | Banque # 24 – Avril 2022
Prudentiel et gestion des risques Conformité Marchés financiers Finance durable
Autres réglementations Publications Glossaire Nos experts
Les changements majeurs portent La notification des
notamment sur :
incidents cyber au titre Sont notamment considérés en
France, comme des opérateurs de
- La modification et l’ajout de critères
et de seuils de façon pour les autorités
de la directive SRI et de services essentiels au sein du
à être destinataires de plus d’incidents sa révision SRI 2 secteur financier :
de sécurité et de moins d’incidents les établissements de crédit, les
La directive sur la sécurité des réseaux et prestataires de services financiers,
opérationnels peu significatifs. Ainsi, il a
des systèmes d’information (dite directive les établissements de paiement,
été ajouté un nouveau critère de
SRI)8, adoptée le 6 juillet 2016 au niveau établissements de monnaie
classification « Atteinte à la sécurité des
de l’UE a établi les exigences minimales en électronique les assurances, les
réseaux ou des systèmes mutuelles, les institutions de
matière de cybersécurité pour les
d’information » visant à identifier les prévoyance, les réassureurs et les
opérateurs de services essentiels9 et
incidents majeurs liés aux actions infrastructures de marché 10.
pour les fournisseurs de service numérique.
malveillantes subies par les PSP et les
Celles-ci visent à identifier les risques qui
PSP ne doivent notifier que les incidents La loi a introduit également un cadre
menacent la sécurité des réseaux et des
opérationnels d’une durée supérieure à destiné à renforcer la cybersécurité
systèmes d’information ; à mettre en œuvre
une heure et pour des montants des des fournisseurs de services
des mesures techniques et opérationnelles numériques qui sont tenus d’assurer
opérations affectées revus à la hausse.
pour les prévenir et y faire face et à la sécurité de leurs services et de
- La standardisation du fichier de informer les autorités compétentes sur les notifier leurs incidents à l’ANSSI.
notification des incidents avec la mise incidents survenus et leurs conséquences.
en place d’une référence unique à
En France, cette directive a été transposée
utiliser pour les notifications initiale, Dans ce contexte, et aussi pour répondre
par la loi n°2018-133 du 26 février 2018
intermédiaire et finale ; au nombre croissant de cyberattaques et
portant diverses dispositions d'adaptation
au droit de l'Union européenne dans le aux menaces inhérentes à la numérisation
Ces nouvelles orientations sont entrées en
domaine de la sécurité.Celle-ci prévoit que et à l’interconnexion des secteurs d’activité
vigueur depuis le 1er janvier 2022.
les opérateurs de services essentiels, critiques, la Commission a présenté, le 16
Le cadre national de notification désignés par le Premier ministre, décembre 2020, dans le cadre de la
appliquent des règles de cybersécurité nouvelle stratégie de cybersécurité de
des incidents au titre de DSP2 l’UE, une proposition de révision de la
élaborées par l’Agence nationale de la
sécurité des systèmes d’information directive SRI (ci-après « la directive SRI
L’obligation de notification des incidents (ANSSI). Ces opérateurs doivent informer, 2 ») 11 et une proposition de directive sur
opérationnels ou de sécurité majeurs a été dès qu'ils en ont connaissance, l’ANSSI la résilience des entités critiques12.
transposée dans la loi française à l’article des incidents de sécurité susceptibles .
L.521-10 du CMF et à l’article 249-1 de d’avoir un impact significatif sur la
l’arrêté du 3 novembre 2014 relatif au continuité des services qu’ils assurent.
8. Directive (UE) 2016/1148 du Parlement européen
contrôle interne. Ces derniers prévoient et du Conseil du 6 juillet 2016 concernant des
que les dirigeants effectifs informent sans Si la directive SRI a contribué à accroître mesures destinées à assurer un niveau élevé
retard injustifié l’ACPR de tout incident les capacités de cyber-résilience des commun de sécurité des réseaux et des systèmes
d'information dans l'Union.
opérationnel majeur et la Banque de entités privées et publiques entrant dans
France de tout incident de sécurité son champ d'application, elle a également 9. Un opérateur de services essentiels fournit un
majeur conformément aux orientations souligné des axes d’amélioration service essentiel au fonctionnement de la société ou
de l'économie et dont la continuité pourrait être
révisées de l’EBA en matière de importants. En particulier, la mise en œuvre gravement affectée par des incidents touchant les
notification des incidents majeurs et publié de la directive SRI s'est avérée réseaux et systèmes d'information nécessaires à la
problématique, entraînant une fourniture dudit service (art. 5 de la loi 2018-133 du
le 10 juin 2021 (EBA/GL/2021/03) ainsi que 26 février 2018)
de la notice présentant les modalités hétérogénéité des niveaux de protections
techniques pour effectuer la notification entre les États membres. Cela en raison 10. Décret n° 2018-384 du 23 mai 2018 relatif à la
sécurité des réseaux et systèmes d'information des
(Lien). notamment d’une délimitation peu claire du
opérateurs de services essentiels et des
champ d'application de la directive SRI, qui fournisseurs de service numérique
Dès réception de la notification, l’ACPR ou a été largement laissée à la discrétion des 11. COM(2020) 823 final Lien et Annexes Lien
la Banque de France communique sans États membres. De même, la directive SRI
12. COM (2020) 829 final Lien et Annexe Lien
retard injustifié les détails importants de a accordé aux États membres une marge
l'incident à l'EBA et à la BCE. de manœuvre importante dans la mise en
œuvre des obligations en matière de
Les PSP doivent dans les 4 heures suivant sécurité et de notification des incidents,
la classification de l’incident opérationnel ainsi qu'en ce qui concerne les exigences
ou de sécurité comme majeur soumettre un en matière de surveillance et d'exécution.
rapport initial via la plateforme commune
BDF/ACPR Sharebox.
-8-
Lettre d’actualité réglementaire PwC | Banque # 24 – Avril 2022
Prudentiel et gestion des risques Conformité Marchés financiers Finance durable
Autres réglementations Publications Glossaire Nos experts
La proposition de directive SRI 2 vise approuvé une orientation générale sur la signalement des incidents. Les régimes
à préciser les exigences en ce qui proposition de directive relative à la de surveillance et de sanction applicables
concerne l’adoption par les Etats résilience des entités critiques (lien). à ces deux catégories d’entités seraient
membres de stratégies nationales de toutefois différenciés.
cybersécurité ; à renforcer les exigences Nous présentons ci-après les principales
de gestion et de signalement des risques modifications de la proposition de révision
Un point d’entrée unique au
en matière de cybersécurité ; traite de la de la directive SRI de la Commission
sécurité des chaînes d'approvisionnement européenne ainsi que les amendements à périmètre élargi
et des relations avec les fournisseurs et la proposition apportés par le Parlement
La directive SRI a permis la mise en
introduit des mesures de surveillance plus (lien) et celles du Conseil de l’UE qui a
strictes pour les autorités nationales et place au niveau national d’un point de
adopté le 3 décembre 2021 son
harmonise les régimes de sanctions dans contact national unique en matière de
orientation générale sur la directive SRI2
tous les États membres. Enfin, elle sécurité des réseaux et des systèmes
(lien). L'orientation générale permettra à
renforce les règles et les obligations pour d'information. En France, il s’agit de
la présidence du Conseil d'entamer des
le partage d'informations en matière de l’Agence Nationale de la sécurité des
négociations avec le Parlement
cybersécurité. systèmes d’information (ANSSI).
européen. Le Conseil et le Parlement
Constatant que les entités se retrouvent
Dans le domaine de la sécurité physique européen devront tous deux se mettre
souvent dans une situation dans laquelle
des réseaux et des systèmes d'accord sur le texte final.
un incident en particulier, en raison de
d’information, la proposition de directive
ses caractéristiques, doit être signalé à
SRI 2 complète la proposition de Un champ d’application plus
directive sur la résilience des entités différentes autorités en raison
critiques11, qui révise la directive
étendu d’obligations de notification incluses dans
2008/114/CE du Conseil concernant le différents instruments juridiques, la
Concernant son champ d’application, la
recensement et la désignation des Commission européenne propose de
Commission européenne l’a revu et a
infrastructures critiques européennes simplifier le signalement des incidents de
remplacé les catégories d’opérateurs de
ainsi que l’évaluation de la nécessité sécurité. La Commission recommande
services essentiels et les fournisseurs de
d’améliorer leur protection. Cette dernière que les États membres mettent en place
vise à faire en sorte que les autorités services numériques par deux nouvelles
un point d’entrée unique pour
compétentes prennent des mesures catégories d’entités : les « entités
centraliser les signalements des
complémentaires et échangent si essentielles » et les « entités
incidents au titre de la directive SRI 2
nécessaire des informations concernant importantes » selon que les entités
mais aussi d’autres actes législatifs de
la cyber-résilience et la résilience en appartiennent à des secteurs d’activité
l’Union tels que le règlement RGPD et la
dehors du cyberespace, et que les énumérés à l’annexe 1 ou 2 de la
entités particulièrement critiques des directive 2002/58/CE du 12 juillet 2002
proposition (notamment le secteur
secteurs considérés comme « sur la protection de la vie privée dans le
bancaire, les infrastructures de marché,
essentiels » par la directive SRI 2 secteur des communications
les infrastructures numériques…). Par
soient également soumises à des électroniques. Le Parlement propose
ailleurs, toutes les entreprises de taille
obligations plus générales afin qu’elles quant à lui de le rendre obligatoire afin
moyenne et de grande taille13 actives
soient en mesure de prévenir, de se d'éviter la fragmentation nationale des
dans les secteurs listés ou fournissant
protéger, de répondre, de résister et de flux d'informations essentiels en matière
des services qui en relèvent
se remettre des catastrophes naturelles, de cybersécurité. L’Agence européenne
du terrorisme ou des urgences sanitaires entreraient automatiquement dans le
chargée de la sécurité des réseaux et de
telles que COVID-19. Une entité critique champ d’application. Bien que la
l'information (ENISA), en collaboration
sera considérée comme revêtant une position du Conseil conserve cette règle
avec le groupe de coopération et le
importance européenne particulière générale de plafond, elle comporte des
Comité européen de la protection des
lorsqu'elle fournit un service essentiel dispositions supplémentaires visant à
données seraient chargées de proposer
à ou dans plus d'un tiers des États garantir la proportionnalité, un niveau plus
des formulaires de notification
membres. La proposition élargit le élevé de gestion des risques ainsi que
champ d'application de la directive de communs au moyen de lignes
des critères relatifs au caractère critique
2008 à des entités critiques de neufs directrices.
des entités afin de déterminer celles qui
nouveaux secteurs : le secteur bancaire, sont couvertes.
les infrastructures des marchés
13. Recommandation 2003/361/EC de la
financiers, les infrastructures numériques, Les entités tant essentielles Commission du 6 mai 2003 concernant la définition
l'énergie, les transports, la santé, l'eau qu’importantes seraient soumises aux des micro, petites et moyennes entreprises
potable, les eaux usées et l'espace. mêmes exigences en matière de gestion
des risques et d’obligations en matière de
Le 20 décembre 2021, le Conseil a
-9-
Lettre d’actualité réglementaire PwC | Banque # 24 – Avril 2022
Prudentiel et gestion des risques Conformité Marchés financiers Finance durable
Autres réglementations Publications Glossaire Nos experts
Obligations de notification des différents selon la nature de l'incident en La proposition de la Commission précisée
question. par l’orientation générale du Conseil de l’UE
incidents
Plus précisément, le Parlement étend le définit :
La proposition de directive SRI 2 introduit délai de notification en ce qui concerne
des dispositions plus précises sur le • Un incident : tout événement
les incidents qui portent atteinte à la compromettant la disponibilité,
processus de notification des incidents confidentialité et à l'intégrité des
majeurs, le contenu des rapports et les l'authenticité, l'intégrité ou la
services à 72 heures à compter de la confidentialité des données stockées,
délais. prise de connaissance de l’incident, en transmises ou faisant l'objet d'un
l'alignant sur le délai de notification des
Les incidents à notifier traitement ou des services connexes que
violations de données prévu par le ces réseaux et systèmes d'information
Alors que la Commission prévoyait à règlement RGPD. En effet, un tel incident offrent ou rendent accessibles.
l’article 20, paragraphe 2 de sa et ses implications sont rarement bien
proposition le signalement par les entités compris dans les 24 heures, et une • Un incident majeur de cybersécurité :
essentielles et importantes de tout notification dans les 24 heures pourrait un incident ayant une incidence
incident ayant une incidence significative s’avérer incomplète, voire inexacte. À significative sur au moins deux États
sur la fourniture de leurs services ainsi l'inverse, pour les incidents qui membres ou qui provoque des
que des cybermenaces importantes, le affectent la disponibilité des services, perturbations dépassant les capacités
Parlement et le Conseil de l’UE ont la proposition du Parlement maintient d'un État membre à y réagir.
supprimé ces dernières des obligations le délai de 24 heures pour la notification • Un incident évité : un événement qui
de signalement de l’article 20 en faveur initiale (cf. amendement 58 de la aurait potentiellement pu causer des
d’une notification sur une base volontaire proposition du Parlement - Considérant dommages aux réseaux et aux systèmes
y compris des « incidents évités ». En 55 bis). De même, le Parlement prévoit d'information d'une entité ou de ses
effet, confronté à de multiples tentatives que le signalement des incidents qui ont utilisateurs, mais dont la réalisation totale
de cyber attaques par jour, le signalement une incidence significative sur les a pu être empêchée.
systématique de tels incidents potentiels services d’un prestataire de services de
confiance ou sur les données à caractère • Une cybermenace : toute circonstance,
serait fastidieux et nuirait à l’efficacité de
personnel conservées par ce prestataire tout événement ou toute action potentiels
la réponse. Il pourrait également nuire à
de services de confiance, les entités susceptibles de nuire ou de porter
l’efficacité des autorités qui doivent traiter
informant le CSIRT dans les 24 heures autrement atteinte aux réseaux et
ces notifications, leur prise en compte et
suivant la prise de connaissance de systèmes d’information, aux utilisateurs
leur capacité à agir en cas d’incidents
l’incident. Un rapport final devra être de tels systèmes et à d’autres
réels.
élaboré un mois après au plus tard. Cette personnes, ou encore de provoquer des
Le Parlement précise également à l’article notification, le cas échéant, devrait interruptions de ces réseaux et systèmes
20, paragraphe 3, les critères à indiquer si l’incident semble être causé (Règlement (UE) 2019/881, article 2,
considérer pour déterminer qu’un incident par des actions illégales ou malveillantes. point 8).
est significatif, notamment le nombre de
destinataires affectés ; la durée et la Le Conseil a maintenu à ce stade dans
répartition géographique ; l'impact sur le ses orientations générales l’approche
fonctionnement et la continuité du en deux temps proposée par la
service ; et l'impact sur les activités Commission sans différenciation des
économiques et sociétales, reflétant ainsi délais selon la nature des incidents.
l'approche adoptée en vertu de la
directive SRI actuelle.
Délai de notification
Alors que la proposition de la
Commission (article 20, paragraphe 4)
prévoit que les entités essentielles ou
importantes, lorsqu'elles ont
connaissance d'un incident, notifient
dans les 24 heures les autorités
compétentes (CISRT) et leur adressent
un rapport final un mois après au plus
tard, le Parlement prévoit des délais
- 10 -Lettre d’actualité réglementaire PwC | Banque # 24 – Avril 2022
Prudentiel et gestion des risques Conformité Marchés financiers Finance durable
Autres réglementations Publications Glossaire Nos experts
Gestion des risques de d’authentification continue, de La proposition de règlement
communications vocales, vidéo et
cybersécurité DORA
textuelles sécurisées et de systèmes
La proposition de la Commission (article sécurisés de communication d’urgence La proposition de règlement sur la
18) renforce et précise les mesures au sein de l’entité, le cas échéant résilience opérationnelle numérique du
techniques, opérationnelles et (amendement 186 et 188). secteur financier (DORA), présentée le 24
organisationnelles que les entités Septembre 2020 par la Commission
Par ailleurs, le Parlement précise que :
essentielles et importantes sont tenues européenne vise à renforcer la résilience
« les entités devraient évaluer leurs
de mettre en œuvre pour gérer les du secteur financier face aux risques liés
propres capacités en matière de
risques qui menacent la sécurité des aux TIC et à la sécurité. La proposition
cybersécurité et, le cas échéant,
réseaux et des systèmes d’information. DORA couvre également l’intégrité, la
poursuivre l’intégration des technologies
Ces mesures devront comprendre au sûreté et la résilience des infrastructures
de cybersécurité basées sur l’intelligence et installations physiques sur lesquelles
minimum selon l’orientation générale artificielle ou les systèmes
du Conseil (article 18 – paragraphe 2) : s’appuient l’utilisation des technologies
d’apprentissage automatique afin ainsi que les processus et les personnes
a) L'analyse des risques et les d’automatiser leurs capacités et la concernés.
politiques de sécurité des systèmes protection des architectures en réseau »
d'information ; (Amendement 46 - Considérant 45 bis). Ainsi, la proposition consacre tout un
b) La gestion des incidents (prévention chapitre à la gestion, la classification et la
La proposition du Conseil précise que les notification des incidents liés à
et détection des incidents, réaction mesures de gestion des risques doivent l’informatique (article 15 à 20). Ces
aux incidents et rétablissement après porter non seulement sur la protection dispositions sont intégrées dans un
un incident) ; des systèmes de réseaux et règlement afin de garantir que les
c) La continuité des activités et la d'information, mais aussi sur la sécurité exigences détaillées seront effectivement
gestion des crises ; physique et de l'environnement, en et directement applicables de manière
d) La sécurité de la chaîne incluant des mesures visant à protéger uniforme, sans préjudice de la
d'approvisionnement, y compris les les réseaux et systèmes d'information de proportionnalité et des dispositions
aspects liés à la sécurité concernant l'entité contre les défaillances du spécifiques prévues par le règlement.
les relations entre chaque entité et système, les erreurs humaines, les actes
ses fournisseurs ou prestataires de malveillants ou les phénomènes naturels,
services directs ; Incident lié à l’informatique (TIC) : un
conformément aux normes européennes
e) La sécurité de l'acquisition, du événement imprévu détecté dans les
ou internationales reconnues, par réseaux et les systèmes d’information,
développement et de la exemple celles figurant dans la série ISO qu’il résulte ou non d’une activité
maintenance des réseaux et des 27000 (considérant 40 bis). malveillante, qui compromet la sécurité
systèmes d'information, y compris le
des réseaux et des systèmes
traitement et la divulgation des Ainsi, c’est une approche globale des
d’information, des informations que ces
vulnérabilités ; risques qui est proposée avec des systèmes traitent, stockent ou
f) Des politiques et des procédures mesures qui visent « la protection des transmettent, ou qui a des effets
pour évaluer l'efficacité des réseaux et des systèmes d'information et préjudiciables sur la disponibilité, la
mesures de gestion des risques en de leur environnement physique contre confidentialité, la continuité ou
matière de cybersécurité (tests et tout événement susceptible de l’authenticité des services financiers
audits) ; compromettre la disponibilité, fournis par l’entité financière.
g) Une politique en matière l'authenticité, l'intégrité ou la
Incident majeur lié à l’informatique :
d'utilisation de la cryptographie et confidentialité des données stockées,
un incident lié à l’informatique ayant
du cryptage ; transmises ou faisant l'objet d'un
une incidence négative potentiellement
traitement ou des services que ces élevée sur les réseaux et les systèmes
g-bis) La sécurité des ressources réseaux et systèmes d'information offrent d’information qui sous-tendent les
humaines, des politiques de contrôle ou rendent accessibles » (Orientation fonctions critiques de l’entité financière.
d'accès et la gestion des actifs. générale, article 18 – paragraphe 1).
Une cybermenace : cf. article 2, point
Le Parlement avait ajouté notamment à
8), du règlement (UE) 2019/881 du
cette liste dans le cadre des La notification des Parlement européen et du Conseil.
amendements proposés : les pratiques incidents au titre du cf. Proposition de règlement DORA
de base en matière d’hygiène
informatique et la formation en
futur règlement DORA et
cybersécurité ; l’utilisation de solutions interaction avec les
d’authentification à plusieurs facteurs ou directives DSP2 et SRI 2
- 11 -Vous pouvez aussi lire
