Le calendrier serré de Dora, le nouveau règlement sur la résilience opérationnelle numérique, concerne autant les institutions financières que la Commission de surveillance du secteur financier (CSSF). Les premières ont dû soumettre au régulateur, , leur registre d’informations relatif à tous les contrats de services ICT fournis par des prestataires tiers. La balle est désormais dans le camp de la CSSF, qui doit transmettre ces registres à l’Autorité européenne des marchés financiers (Esma) d’ici le 30 avril.
La seconde moitié d’avril est ainsi cruciale pour le régulateur luxembourgeois, qui doit effectuer des contrôles de cohérence afin d’éviter que l’Esma rejette ces registres. L’autorité européenne effectuera en effet également ses propres vérifications: cohérence des données, logique des informations, conformité au format exigé.
La mise en œuvre de Dora , qui accuse certains retards depuis l’entrée en vigueur complète du texte, le 17 janvier 2025. Quelle est l’attitude de la CSSF face à ces retards? Sollicitée, l’autorité déclare ne pas être en mesure de nous répondre, invoquant «une charge de travail particulièrement élevée».
La CSSF a bien préparé le terrain. Elle a multiplié les échanges avec le secteur.
L’Association des banques et banquiers, Luxembourg (ABBL) estime que «la CSSF adopte une approche constructive et pragmatique, en reconnaissant l’ampleur de la tâche ainsi que les retards dans la finalisation de certaines normes techniques de réglementation (RTS) et d’exécution (ITS) au niveau européen».
Même son de cloche du côté de l’Association luxembourgeoise des fonds d’investissement (Alfi). «La CSSF a bien préparé le terrain», considère la coordinatrice du dossier au sein de l’Alfi, Isadora Pardo. «Elle a multiplié les échanges avec le secteur, ce que nous saluons. Bien sûr, des difficultés techniques mineures peuvent toujours survenir avec ce type de fichiers complexes. Mais dans l’ensemble, l’industrie a été bien préparée – tout comme les équipes internes de la CSSF.»
Engagée bien avant Dora
Consultant en gestion des risques informatiques et cybersécurité, Laurent de la Vaissière observe que «la CSSF fait clairement partie des régulateurs européens les plus attentifs aux enjeux liés aux risques technologiques et à la cybersécurité. Bien avant l’entrée en vigueur de Dora, elle s’était déjà engagée sur ce terrain, en promouvant activement les ancêtres de ce règlement – non pas des lois, mais des exigences réglementaires – et en allant parfois jusqu’à étendre ces exigences, initialement conçues pour le secteur financier traditionnel, aux gestionnaires de fonds alternatifs».
Dans le contexte de Dora, la CSSF a par exemple adressé un questionnaire aux acteurs concernés pour mieux organiser la réception des registres. Sur un autre point sensible, le déséquilibre dans les négociations contractuelles entre grands prestataires de services et petites sociétés de gestion, le régulateur a encouragé l’ABBL et l’Alfi à lui signaler les situations problématiques récurrentes. Si plusieurs acteurs rencontrent les mêmes difficultés avec un fournisseur, la CSSF s’est dite prête à intervenir pour rétablir un certain équilibre dans le rapport de force.
Multiplier les échanges
Elle a également participé à plusieurs séminaires, avec les associations professionnelles, pour expliquer les textes d’application et lignes directrices de Dora. L’objectif: aider les acteurs à comprendre les implications concrètes, que ce soit sur le registre d’information, la gestion des incidents IT ou encore les obligations en matière de gouvernance et de procédures internes.
Ces conférences ont permis au régulateur luxembourgeois de faire passer ses messages clés. Le principal d’entre eux, selon Laurent de la Vaissière: «La CSSF ne compte pas débarquer dans les établissements dès le 18 janvier avec des inspections sur le terrain, en espérant une conformité totale du jour au lendemain. En revanche, à partir de début 2025, elle s’attend à ce que les entités disposent d’analyses d’écart précises et bien documentées: ce qui est déjà en conformité, ce qui l’est partiellement, ce qui ne l’est pas du tout.»
Sur cette base, il s’agit d’établir un plan d’action fondé sur une logique de gestion des risques, avec un horizon de mise en conformité raisonnable. «Dans les échanges courants avec les case officers – ces référents CSSF pour chaque établissement – il peut déjà y avoir des demandes d’informations complémentaires: où en êtes-vous? Quels documents pouvez-vous fournir sur votre niveau de conformité ou votre plan d’action? L’enjeu est de comprendre la démarche engagée par les établissements, même si Dora ne prévoit pas officiellement de période transitoire», souligne le consultant.
Clarifier les obligations
Parallèlement, la CSSF revoit en profondeur son cadre réglementaire relatif aux risques ICT et à l’externalisation. Le 9 avril dernier, elle a publié une série de circulaires visant à aligner sa réglementation sur Dora. Ces mises à jour ont pour objectif de supprimer les redondances réglementaires et de clarifier les obligations des entités supervisées. Elles introduisent également une distinction claire entre les entités soumises à Dora et celles qui ne le sont pas, en définissant des exigences adaptées à chaque catégorie.
Une fois l’étape du reporting d’informations passée, l’une des priorités du régulateur luxembourgeois sera le suivi des incidents. Ce volet a été anticipé dès janvier 2024 avec la circulaire CSSF 24/847, qui décrit le processus de déclaration. Les sociétés luxembourgeoises doivent s’y conformer depuis le 1er juin 2024.
Autre chantier: la mise à jour des contrats. «Tous ne sont pas encore finalisés, mais la CSSF reste pragmatique. Ce qui comptera, ce sera l’effort fourni et la documentation précise des démarches entreprises, même si tout n’est pas encore parfaitement en place», reprend Isadora Pardo. «Enfin, il ne faut pas oublier que Dora est un processus continu. Son objectif est d’assurer la résilience opérationnelle et d’éviter des incidents informatiques majeurs. À chaque nouveau fournisseur, nouvelle fonction ou évolution de processus, il faudra intégrer ces éléments dans le dispositif. C’est un travail de fond, qui s’inscrit dans la durée.»
La CSSF réalise depuis plusieurs années des contrôles sur place spécifiques au risque IT.
Si, jusqu’à présent, la CSSF a joué un rôle d’accompagnement, le marché s’attend désormais à un durcissement. «Il est évident qu’elle basculera progressivement dans une phase plus active de supervision», estime Laurent de la Vaissière. «Elle réalise d’ailleurs depuis plusieurs années des contrôles sur place spécifiques au risque IT, à raison de huit à dix par an en moyenne sur les trois dernières années. Ce thème est également de plus en plus intégré dans le cadre d’inspections plus générales.»
Et de rappeler qu’avant même la transposition de la directive technique associée à Dora – qui complète le règlement – le Luxembourg avait déjà connu des sanctions significatives en matière de cybersécurité. «Depuis la mise à jour législative de l’été dernier, les sanctions potentielles sont d’ailleurs plus lourdes. Cela ne signifie pas que la CSSF appliquera systématiquement les amendes les plus élevées prévues par la loi, mais le cadre est désormais bien plus strict.»
À ce jour, la sanction la plus élevée prononcée au Luxembourg dans ce domaine s’élève à 444.400 euros, infligée à Mizuho Trust & Banking. Le consultant note que «la CSSF n’est pas la seule autorité européenne à agir sur ce terrain: la BaFin, en Allemagne, a par exemple limité la croissance de la clientèle de la néobanque N26 pendant près de trois ans, en raison de failles liées à l’IT».