Les trois autorités européennes de surveillance financière – l’Autorité bancaire européenne, l’Autorité européenne des assurances et des pensions professionnelles et l’Autorité européenne des marchés financiers – ont publié conjointement le rapport final sur les projets de normes techniques réglementaires (RTS) pour la sous-traitance de services de technologies de l’information et de la communication (TIC). Publié le 26 juillet 2024, ce décrit les éléments essentiels que les entités financières doivent prendre en compte lorsqu’elles sous-traitent des services TIC pour des fonctions critiques ou importantes, conformément au règlement de l’UE sur la résilience opérationnelle numérique du secteur financier (Dora).
Selon Anaïs Sohler et , associées du cabinet d’avocats Elvinger Hoss Prussen, le RTS final introduit de nouvelles flexibilités dans la mise en œuvre. L’article 1 du projet de RTS permet aux entités financières d’appliquer les exigences de manière proportionnée, en tenant compte de facteurs tels que la taille et le profil de risque global. Toutefois, les AES ont précisé que le principe de proportionnalité ne permettait pas aux entités financières de déroger aux exigences du RTS.
Anaïs Sohler et Sophie Dupin ont observé dans une note destinée aux clients que les RTS n’exigent plus que les accords entre les prestataires de services TIC tiers (PSCT) et leurs sous-traitants reproduisent l’accord entre l’entité financière et son PSCT. Au lieu de cela, ces accords doivent permettre à l’entité financière de se conformer à ses obligations Dora et inclure des droits d’audit, d’inspection et d’accès adéquats. Cet amendement offre plus de flexibilité aux entités financières lors des négociations, estiment Sohler et Dupin.
Selon le duo, malgré le retour d’information concernant les difficultés de mise en œuvre, les AES ont renforcé les obligations fondamentales pour les entités financières, et ces obligations comprennent la spécification claire de la responsabilité du TPSP TIC pour les services fournis par les sous-traitants. Les modifications apportées à l’accord doivent être mises en œuvre rapidement, l’entité financière étant tenue de documenter le calendrier prévu pour la mise à jour des accords. En outre, les accords doivent identifier et tenir à jour un registre de tous les sous-traitants TIC impliqués dans la fourniture de fonctions critiques ou importantes, ont commenté Sohler et Dupin.
Les RTS ont été soumis à la Commission européenne pour examen, en vue d’une adoption formelle avant la date limite de mise en œuvre de Dora, fixée au 17 janvier 2025, ont déclaré les partenaires.
Implications
Avec la publication des RTS, le cadre de Dora est maintenant complet, ont noté Sohler et Dupin, et ont insisté sur le fait que les entités financières doivent entreprendre d’urgence plusieurs actions.
Elles doivent passer en revue tous les accords relatifs aux services TIC et identifier ceux qui soutiennent des fonctions critiques ou importantes de l’entreprise. Mme Dupin a ajouté que «les entités luxembourgeoises relevant du champ d’application de Dora doivent établir un calendrier planifié pour la mise à jour de leurs accords avec les fournisseurs de services TIC tiers». Mme Sohler a fait remarquer que les entités financières «devraient en outre documenter leurs efforts lors des négociations avec ces fournisseurs de services afin de pouvoir démontrer ces efforts au régulateur financier luxembourgeois, le CCSF».
Anaïs Sohler et Sophie Dupin prévoient que les plus grands prestataires de services TIC publieront bientôt des modèles d’accords conformes aux exigences de Dora.