Ce mois d’avril constitue un moment clé dans le déploiement de Dora. Dans le cadre du nouveau règlement européen (visant, rappelons-le, à renforcer la résilience opérationnelle numérique des entités financières face aux cybermenaces et aux risques ICT), les institutions concernées doivent tenir à jour un registre d’informations relatif à tous les contrats de services ICT fournis par des prestataires tiers. Elles doivent envoyer ce registre à la Commission de surveillance du secteur financier (CSSF) . La CSSF doit ensuite le soumettre aux autorités européennes pour le 30 avril.
Contactée pour faire le point, la CSSF décline, invoquant «une charge de travail particulièrement élevée». Un indice des difficultés rencontrées par la Place dans la mise en œuvre de Dora, qui accuse certains retards depuis l’entrée en vigueur complète du texte, le 17 janvier 2025.
«Bien qu’il n’y ait pas d’estimation chiffrée des retards dans l’ensemble du secteur bancaire luxembourgeois, il est juste de dire qu’un certain nombre d’institutions ont rencontré des difficultés à respecter le calendrier, en particulier dans les domaines où les normes techniques de réglementation (RTS/ITS) ont été finalisées très près de la date d’application du 17 janvier», déclare l’Association des banques et banquiers, Luxembourg (ABBL). «Cependant, la plupart des établissements de crédit au Luxembourg ont investi des ressources importantes dans leur préparation à Dora et travaillaient déjà sur la conformité bien avant la date limite.»
Plusieurs goulets d’étranglement
En général, explique l’ABBL, «les petites institutions, y compris certaines entreprises d’investissement et certains prestataires de services spécialisés, peuvent rencontrer plus de difficultés en raison de ressources internes limitées et d’une plus grande dépendance aux prestataires de services ICT tiers. Les grandes institutions, bien que souvent mieux dotées en ressources, sont confrontées à la complexité de la conformité au niveau du groupe dans plusieurs juridictions, ce qui peut également être exigeant».
Parmi les principaux goulets d’étranglement à l’origine des retards, l’association bancaire cite:
• la gestion de l’interaction de Dora avec d’autres cadres ICT existants au niveau de l’UE, ;
• la cartographie et la documentation des actifs ICT et des prestataires tiers pour le registre d’informations;
• la mise à jour des contrats d’outsourcing pour se conformer à l’article 30 de Dora;
• l’établissement ou l’alignement des cadres internes pour la classification des incidents, le reporting et les tests de risque;
• la clarté autour des chaînes de sous-traitance et la proportionnalité des exigences de surveillance.
Le volume, la granularité et la complexité des informations requises pour le registre d’informations posent un défi.
«Le cadre de la sous-traitance reste un domaine d’incertitude supplémentaire pour les institutions financières», ajoute l’ABBL, rappelant que «la Commission européenne n’a adopté que récemment le règlement délégué précisant les éléments clés que les entités financières doivent évaluer lors de la sous-traitance de services ICT soutenant des fonctions critiques ou importantes. Ce délai ajoute à la complexité des efforts de conformité à Dora, en particulier dans le domaine de la gestion des risques liés aux tiers».
Les institutions financières représentées par l’ABBL soulignent enfin que «le volume, la granularité et la complexité des informations requises pour le registre d’informations posent un défi. L’identification de tous les services ICT pertinents, leur classification et leur association aux fonctions critiques ou importantes – tout en assurant la cohérence des données – est un processus gourmand en ressources, en particulier pour les institutions dotées d’environnements informatiques importants ou décentralisés».
Fonds: trois types de difficultés
Du côté des fonds d’investissement, on identifie trois types de difficultés principales dans la mise en conformité. La première concerne certains fournisseurs de services qui se considèrent comme non concernés par Dora, estimant ne pas offrir de services critiques. «Ce n’est pas au prestataire de juger de sa criticité, mais à la société de gestion de l’évaluer, en fonction de ses propres processus et selon une approche fondée sur les risques», considère l’Association luxembourgeoise des fonds d’investissement (Alfi) par la voix de sa senior VP industry affairs, Isadora Pardo.
Autre problème, relevé tant par l’ABBL que par l’Alfi: l’identification unique des prestataires via le Legal Entity Identifier (Lei). Ce code international permet de reconnaître de manière fiable chaque entité juridique, condition indispensable pour regrouper et croiser les registres d’information transmis par les différentes entités financières. «Certaines sociétés de services n’ont pas de LEI et traînent les pieds pour l’obtenir car cela implique une démarche administrative», souligne Isadora Pardo. «Mais c’est indispensable: l’objectif de Dora est d’identifier les prestataires les plus sollicités au niveau européen pour renforcer la surveillance prudentielle et prévenir les risques systémiques.»
La troisième difficulté concerne les contrats: les conditions contractuelles avec les fournisseurs ICT doivent être mises à jour et renseignées dans le registre d’information. «Dans 80% des cas, cela se passe bien. Mais les 20% restants accaparent 80% du temps, avec des négociations longues et complexes.»
Le secteur des fonds est habitué aux exercices de collecte d’envergure, comme dans le cadre du règlement SFDR.
Quant au volume conséquent de données à traiter, il n’a pas représenté une source particulière de difficultés pour l’industrie luxembourgeoise des fonds. «Le secteur est habitué aux exercices de collecte d’envergure, comme dans le cadre du règlement sur la publication d’informations en matière de durabilité dans le secteur des services financiers (SFDR) ou des rapports annuels d’audit et de conformité. C’est une charge supplémentaire, certes, mais pas un obstacle insurmontable», relativise la représentante de l’Alfi.
Les chaînes de sous-traitance peuvent toutefois compliquer la tâche. «Lorsqu’un fournisseur ICT fait appel lui-même à d’autres prestataires critiques, toutes ces informations doivent être tracées et intégrées dans le registre. Cela peut être plus complexe en cas de changements de dernière minute, mais c’est une des dimensions que l’industrie a su anticiper.»
Les assureurs partent de plus loin
Dans la mise en œuvre de Dora, tous les secteurs ne partent pas du même niveau, rappelle Isadora Pardo. «Les banques, grâce aux lignes directrices de l’Autorité bancaire européenne (Eba), étaient déjà assez proches du cadre visé. Les sociétés de gestion, un peu moins, mais au Luxembourg, la circulaire 22/806 leur a permis de se préparer. C’est pour les assureurs que la marche est la plus haute.»
L’Aca, l’association professionnelle des assureurs et réassureurs établis au Luxembourg, déclare que «les entreprises d’assurance sont mobilisées depuis plusieurs mois à la mise en œuvre de Dora. Les mesures pour être conforme au règlement sont en effet conséquentes et nécessitent d’engager de nombreuses ressources». Le registre d’informations Dora doit être transmis au Commissariat aux assurances au plus tard le 18 avril.
«La préparation des données est un travail fastidieux, qui nécessite la collecte d’un volume important de données. Et la complexité du fichier mis à disposition par les autorités européennes est une source de difficulté supplémentaire», indique laconiquement l’Aca. «Nous n’avons pas d’information spécifiques quant à des retards éventuels des compagnies pour la mise en œuvre et ne sommes donc pas en mesure de communiquer à ce sujet.»
(Quelle est l’approche de la CSSF dans le dossier Dora? Ce sujet sera approfondi dans un second volet.)