Entretien avec des experts : Renate Prinz sur DORA, les défis qui y sont liés et comment les entreprises peuvent y faire face

À propos de Renate Prinz

Renate Prinz est associée chez McDermott Will & Emery et conseille les banques et les prestataires de services financiers, les investisseurs ainsi que les entreprises industrielles dans tous les domaines du droit de la surveillance financière et du droit des sociétés. Elle dispose d'une longue expérience dans le conseil d'institutions financières dans le cadre de procédures d'autorisation, de conformité réglementaire et de restructuration en droit des sociétés ainsi que dans le cadre de transactions et de procédures de contrôle des détenteurs (BCE et BaFin). Outre la surveillance bancaire et financière traditionnelle, Renate Prinz conseille également dans le domaine de la réglementation des services de paiement et des crypto valeurs ainsi que dans le domaine du blanchiment d'argent et des sanctions. Elle est l'auteur de nombreuses publications dans le domaine du droit des sociétés et de la surveillance financière, en particulier dans le domaine de la crypto-régulation. Parallèlement à ses activités de conseil, elle est engagée dans différentes associations pour l'égalité et la diversité.

‍

DORA sous la loupe 

Comment évaluez-vous DORA par rapport à d'autres réglementations telles que BAIT, EBA-Guidelines ou NIS2 ?

Réponse RP : DORA (Digital Operational Resilience Act) est nouveau, mais de nombreux contenus sont déjà connus des entreprises du secteur financier et avaient déjà été mis en œuvre par des réglementations antérieures. DORA crée maintenant un cadre uniforme dans toute l'UE, ce qui est très bien. En Allemagne, par exemple, le BAIT (ainsi que le ZAIT ou le KAIT) imposait déjà des normes et des prescriptions de sécurité très élevées pour les services informatiques et, avec le MaRisk (exigences minimales en matière de gestion des risques), pour les externalisations en général. Pour DORA, des normes et des formalités supplémentaires ont été ajoutées. Celles-ci sont certes gênantes, mais beaucoup d'entre elles sont gérables dans la pratique pour les acteurs du marché établis, une fois que les premiers efforts de mise en œuvre, comme l'adaptation des contrats, l'établissement de la documentation, le registre et les processus, ont été mis en place. L'objectif d'une cyber-résilience élevée et l'obligation de déclarer les incidents me paraissent fondamentalement très bons et importants si l'on considère les risques élevés de cyberattaques pour le marché financier.

‍

‍

De quoi s'agit-il concrètement lorsqu'on parle de réglementation dans le domaine des services ?

Réponse RP : dans le domaine des services, la réglementation du secteur financier est, dans une large mesure, indirecte. Cela signifie que les établissements financiers sont en principe eux-mêmes destinataires de la réglementation ; ils sont toutefois tenus de veiller à ce que les services qu'ils externalisent correspondent à une organisation commerciale correcte, puissent être contrôlés et que toutes les mesures de sécurité nécessaires - de la sécurité informatique à la sécurité contractuelle, par exemple en ce qui concerne les possibilités de résiliation - soient respectées. Dans le cadre du contrôle du respect de ces exigences, l'autorité de surveillance financière peut également mener des enquêtes directes auprès des prestataires de services. Dans le cadre de DORA, il existe en outre une catégorie de prestataires de services critiques qui sont désormais directement surveillés pour la première fois.

‍

Quels sont, selon vous, les plus grands défis que les institutions financières doivent relever lors de la mise en œuvre de DORA ?

Réponse RP : Le respect des formalités - il a d'abord fallu mettre en œuvre beaucoup de documentation. Les adaptations contractuelles à grande échelle avec les prestataires de services, les classifications correctes et la création du registre d'informations représentent tout simplement beaucoup de travail administratif dans la pratique, et les adaptations contractuelles sont certes obligatoires, mais elles sont loin d'être acceptées par tous les prestataires de services. Mais la vérification pratique des processus existants est aussi parfois une tâche titanesque.

‍

A quoi faut-il vraiment faire attention en ce qui concerne la mise en œuvre de processus conformes à DORA ? Existe-t-il des bonnes pratiques ou des approches concrètes que vous recommanderiez - par exemple pour la réponse aux incidents ou la gestion des tiers ? Et quelles sont les erreurs que les entreprises devraient éviter selon votre expérience ?

Réponse RP : Il n'existe pas de meilleure pratique pour tous, car les exigences et les défis varient fortement selon la taille de l'entreprise. Là où un institut travaille avec 50 prestataires de services TIC, le suivant n'en a que trois. Il est essentiel d'avoir des interlocuteurs clairs, des structures de rapport et une planification de la mise en œuvre. Cela signifie qu'il faut d'abord avoir une vue d'ensemble : Où en sommes-nous, quels sont nos risques, qu'est-ce qui nous fait tomber dans le pire des cas, c'est-à-dire quel est le service critique ? C'est sur cette base que les rapports, par exemple, doivent être établis.

‍

‍

Quels sont, selon vous, les principaux enseignements tirés depuis l'entrée en vigueur de DORA ? Quelles sont, selon vous, les principales difficultés rencontrées jusqu'à présent ?

Réponse RP : Les adaptations contractuelles avec les prestataires de services internationaux sont difficiles. Dans ce cas, la situation de négociation n'est souvent pas non plus équitable, car il manque souvent des alternatives basées sur l'UE. Les petits prestataires de services informatiques, qui sont souvent dépassés par la réglementation et ses exigences, doivent parfois être remplacés lorsque les adaptations sont trop coûteuses ou impossibles. En outre, les difficultés réelles se situent encore souvent au niveau de la mise en œuvre en temps voulu. Mais l'autorité de surveillance en est également consciente et nous constatons souvent une attitude conciliante à cet égard.

‍

Vous attendez-vous à de nouvelles exigences réglementaires dans ce domaine au cours des prochaines années ? Si oui, dans quelle mesure ?

Réponse RP : Si la réglementation des marchés financiers m'a appris une chose, c'est qu'elle n'a pas de fin. Il y aura certainement d'autres concrétisations et améliorations dans le domaine de DORA - puis d'autres régulations suivront en général dans le domaine informatique, j'en suis sûr. Dans ce domaine, l'évolution est actuellement très rapide sur de nombreux points et la réglementation est souvent à la traîne. J'espère qu'il y aura aussi des changements qui rendront la réglementation plus proche de la pratique et qui rendront les processus plus rapides et plus efficaces. La réglementation devrait permettre de créer des opportunités et de la sécurité, et non pas les freiner. Sur ce point, la BCE commence à travailler à une amélioration. Il reste ensuite à voir ce qu'apporteront les projets de la Commission concernant l'union des marchés de capitaux et de dépôts. Si elle voit le jour, il est probable qu'il y ait encore quelques changements à venir.

‍