FAQ sur la directive et le règlement DORA

A. Questions générales

Q-A1 : Y-a-t-il eu des évolutions majeures qui amènent à actualiser certaines informations transmises lors des réunions de Place de l’ACPR du 9 octobre 2024 ? 

Oui. Des corrections apparaissent en rouge dans les supports de présentation sur cette page. Elles sont apportées afin de prendre en compte l’évolution des travaux conduits au niveau européen sur les normes techniques de réglementation (RTS) et normes techniques d’exécution (ITS).  

Q-A2 : L’adresse email de contact 2760-DORA-UT@acpr.banque-france.fr est-elle toujours valable après l’entrée en application de DORA au 17 janvier 2025 ?

À partir du 17 janvier 2025, l’adresse email de contact ne sera plus utilisée pour les échanges entre l’ACPR et les entités financières. Les échanges devront passer nécessairement par les services de contrôle habituels via le portail de l’ACPR.

Q-A3 : En attendant l’examen et l’adoption du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité visant à transposer la Directive (UE) 2022/2556 du 14 décembre 2022 (DORA) ainsi que la révision de l’Accord monétaire entre l’Union européenne et la Principauté de Monaco, quelles sont les entités devant se conformer aux obligations réglementaires découlant de DORA au 17 janvier 2025 ? 

Le calendrier d’examen du projet de loi Résilience est sans conséquence sur les exigences du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (DORA) qui s’appliquent en l’état aux entités visées à l’article 2 de ce règlement dès le 17 janvier 2025.

En l’absence d’adoption du projet de loi Résilience, les succursales de pays tiers d’entreprise d’investissement au sens du L. 532-48 du code monétaire et financier, les sociétés de financement au sens du II du L. 511-1 du même code, ainsi que les entités financières établies en Nouvelle-Calédonie, en Polynésie française, dans les îles Wallis et Futuna et à Saint-Pierre-et-Miquelon ne sont pas tenues d’appliquer les exigences du règlement DORA au 17 janvier 2025.

Dans l’attente d’une révision de l’Accord monétaire entre l’Union européenne et la Principauté de Monaco, les établissements financiers monégasques ne sont pas tenues d’appliquer les exigences du règlement DORA au 17 janvier 2025.

L’application du règlement DORA aux succursales de pays tiers d’établissement de crédit fait l’objet d’une Q&A en cours d’examen par la Commission européenne. 

Q-A4 : Quels types de services doivent être considérés comme des services TIC ? 

Une réponse à cette question a été apportée par la Commission européenne : Question ID : 2999 – DORA030. 

B. Reporting

Q-B1 : À partir de quelle date et selon quelles modalités les entités financières doivent-elles déclarer les incidents majeurs liés aux TIC et les incidents opérationnels ou de sécurité majeurs liés au paiement ?

Les entités financières visées à l’article 2 du règlement (UE) 2022/2554 DORA relevant de la compétence de l’ACPR ainsi que les établissements de crédit classés comme importants doivent déclarer sur base individuelle, à l’ACPR, à partir du 17 janvier 2025 :

• tous les incidents majeurs liés aux TIC visés à l’article 19(1) du règlement DORA. Les critères de significativité permettant d’identifier ces incidents sont prévus à l’article 8 et 9 du Règlement délégué (UE) 2024/1772 de la Commission du 13 mars 2024 ;

• tous les incidents opérationnels ou de sécurité liés au paiement concernant les établissements de crédit, les établissements de paiement, les prestataires de services d’information sur les comptes et les établissements de monnaie électronique visés à l’article 23 du règlement DORA.

En attendant la publication au journal officiel de l’Union européenne du règlement d’exécution de la Commission européenne définissant des normes techniques d’exécution (ITS) concernant les formats de déclaration des incidents qui sera le texte de référence dès son entrée en application, il est attendu que les entités financières, de manière temporaire, remettent leurs déclarations d’incidents selon les modalités prévues par le projet d’ITS (notamment à son Annexe I et II) présenté au lien suivant : JC 2024-33 - Final report on the draft RTS and ITS on incident reporting. 

Les entités financières peuvent s’appuyer sur les modèles disponibles aux liens suivants :

• Pour le domaine Banque : 17/01/2025 - Mise en place de la collecte DORA pour la Banque

• Pour le domaine Assurance : 17/01/2025 - Mise en place de la collecte DORA pour l'Assurance

Ces incidents doivent être transmis au format .json et ne sont pas revêtus d’une signature électronique. 

Les déclarations sont à effectuer via le portail OneGate de l’ACPR. Toutefois, lors de la période d’indisponibilité de OneGate entre minuit et 04h00 ainsi que le dimanche, les déclarations devront exceptionnellement être adressées à l’ACPR par courriel à l’adresse suivante : 2760-INCIDENTS-DORA-UT@acpr.banque-france.fr 

Externalisation des obligations de déclaration :

Les entités financières peuvent externaliser les obligations de déclaration à un prestataire tiers de services dans les conditions prévues à l’article 19(5) du règlement DORA. Elles doivent toutefois impérativement en informer l’ACPR dès la signature de l’accord d’externalisation, et au plus tard avant la première notification de ce type. Les entités financières doivent, en cette occasion, communiquer à l’ACPR le nom, les informations de contact et un code permettant d’identifier le prestataire tiers de services qui déclarera les incidents. Les demandes sont à adresser par courriel à l’adresse suivante : 2760-INCIDENTS-DORA-UT@acpr.banque-france.fr, en complétant le formulaire de déclaration d’externalisation de déclaration des incidents majeurs.

Un seul espace où apparaîtra l’ensemble des déclarations faites par ou pour le compte d’une entité sera mis à disposition de chaque entité. L’accès à cet espace pourra être octroyé par l’entité à un ou des prestataires auxquels elle aura choisi d’externaliser les obligations de déclaration comme mentionné ci-dessus après information de l’ACPR. 

L’ACPR ne prévoit pas de donner la possibilité à un prestataire tiers auquel les obligations de déclaration mentionnées ci-dessus auraient été externalisées de remettre un reporting agrégé conformément à l’article 7 du projet d’ITS sur le reporting des incidents (JC 2024-33 - Final report on the draft RTS and ITS on incident reporting).
 
Q-B2 : À partir de quelle date et selon quelles modalités les entités financières peuvent-elles notifier les cybermenaces importantes ?

Les cybermenaces importantes sont définies à l’article 3 point 13) du règlement DORA. Elles peuvent être notifiées, à titre volontaire, conformément à l’article 19(2) de DORA. Comme pour les incidents majeurs liés aux TIC, les entités financières visées à l’article 2 du règlement (UE) 2022/2554 DORA relevant de la compétence de l’ACPR ainsi que les établissements de crédit classés comme important peuvent notifier, sur base individuelle, ces cybermenaces importantes à l’ACPR à partir du 17 janvier 2025.

En attendant la publication au journal officiel de l’Union européenne du règlement d’exécution de la Commission européenne définissant des normes techniques d’exécution (ITS) concernant les formats de déclaration des incidents, qui sera le texte de référence dès son entrée en application, il est attendu que les entités financières, de manière temporaire, notifient les cybermenaces selon les modalités prévues par le projet d’ITS (notamment à son Annexe III et IV) présenté au lien suivant : JC 2024-33 - Final report on the draft RTS and ITS on incident reporting. 

Les entités financières peuvent s’appuyer sur les modèles disponibles aux liens suivants :

• Pour le domaine Banque : 17/01/2025 - Mise en place de la collecte DORA pour la Banque

• Pour le domaine Assurance : 17/01/2025 - Mise en place de la collecte DORA pour l'Assurance

Ces incidents doivent être transmis au format .json et ne sont pas revêtus d’une signature électronique.

Les déclarations sont à effectuer via le portail OneGate de l’ACPR. Toutefois, lors de la période d’indisponibilité de OneGate entre minuit et 04h00 ainsi que le dimanche, les déclarations devront exceptionnellement être adressées à l’ACPR par courriel à l’adresse suivante : 2760-INCIDENTS-DORA-UT@acpr.banque-france.fr.  

Q-B3 : Quelle est la date de la première remise à l’ACPR du registre d’informations (RoI) contenant les accords contractuels relatifs à l’utilisation des services TIC? (hors entités relevant de la supervision directe de la BCE)

Le RoI est non seulement un outil essentiel pour la gestion des risques portés par les tiers mais il permet également aux autorités européennes de surveillances (AES) de désigner les prestataires tiers critiques de services TIC (CTPP) qui feront l’objet d’une surveillance au niveau européen prévue au chapitre V section II du règlement DORA. À cette fin, l’ACPR doit transmettre aux AES, sur base annuelle, les registres remis par les entités financières.  

La date des premières remises annuelles des RoI par l’ACPR aux AES a été fixée par une décision de ces autorités du 8 novembre 2024 (ESA 2024 22) au 30 avril 2025, avec une date de référence au 31 mars 2025. Il est donc attendu des entités financières pertinentes (cf. Q-B6 de la FAQ) qu’elles remettent leur registre à l’ACPR avant le 15 avril 2025.

Q-B4 : Quelles sont les modalités de remise du registre d’informations ? (hors entités sous supervision directe de la BCE)

Les entités financières tiennent leur registre d’information conformément aux modèles prévus par le règlement d’exécution (UE) 2024/2956 de la Commission du 29 novembre 2024 définissant des normes techniques d’exécution pour l’application du règlement (UE) 2022/2554 du Parlement européen et du Conseil en ce qui concerne les modèles types pour le registre d’informations.

Ces registres devront être déposés par les entités pertinentes sur le portail OneGate de l’ACPR au format Plain CSV dans un dossier .zip.  et ne sont pas revêtues d’une signature électronique.

Q-B5 : Quel est le niveau de remise du registre d’informations ? 

La décision des AES du 8 novembre 2024 susmentionnée (ESA 2024 22) prévoit que les registres transmis à ces autorités soient remis aux niveaux suivants :
(a) Pour les entités financières qui ne font pas partie d’un groupe d’entités financières, au niveau individuel de l’entité ;
(b) Pour les entités financières qui font partie d’un groupe d’entités financières dont l’entreprise-mère est une entité située en dehors de l’Union européenne (UE) et qu’il n’y a pas d’entreprise-mère dans l’UE, au niveau individuel de l’entité ;
(c) Pour les groupes d’entités financières, au plus haut niveau de consolidation dans l’UE restant dans la limite de son champ de compétence ;
(d) Lorsqu’une autorité compétente est responsable de la supervision de plus d’une entité financière appartenant au même groupe d’entités financières, et quand l’entreprise-mère n’est pas supervisée au niveau consolidé par aucune autre autorité compétente dans l’UE, les registres doivent être remis par chacune de ces entités financières au niveau individuel.  

Exemples d'applications (liste de cas non-exhaustive) :

Entités	Niveau de remise et autorité compétente
Entités financières relevant de la compétence de l’ACPR qui ne font pas partie d’un groupe financier	Remise à l’ACPR, sur base individuelle.
Groupes avec une entreprise-mère qui est un établissement de crédit considéré comme important (significant institution)*	Remise à la BCE, au plus haut niveau de consolidation, sur base consolidée. Sauf pour les entités financières qui ne sont pas incluses dans le périmètre de consolidation prudentielle et organismes d’assurance qui procèdent à une remise distincte sur base individuelle à l’autorité compétente.
Groupes avec une entreprise-mère qui est un établissement de crédit moins important (less significant institution)*	Remise à l’ACPR, au plus haut niveau de consolidation, sur base consolidée (y compris les organismes d’assurance relevant du contrôle de l’ACPR). Sauf entités financières qui ne sont pas incluses dans le périmètre de consolidation prudentielle : remise distincte sur base individuelle à l’autorité compétente.
Groupes avec une entreprise-mère organisme d’assurance*	Remise à l’ACPR, au plus haut niveau de consolidation, sur base consolidée.  Sauf pour les entités financières hors supervision de l’ACPR qui procèdent à une remise distincte sur base individuelle à l’autorité compétente.
Groupes avec une entreprise-mère établissement de paiement ou établissement de monnaie électronique	Remise à l’ACPR, pour l’entreprise-mère et les filiales de chaque registre sur base individuelle.
Entités financières établies en France appartenant à un groupe de pays-tiers, sans entreprise-mère établie dans l’UE	Remise à l’ACPR, sur base individuelle.
* Uniquement si cette tête de groupe en France est également la tête de groupe dans l’UE. Si l’entité au plus haut niveau de consolidation du groupe est située dans un autre État membre, la remise consolidée sera effectuée par cette entité à l’autorité compétente.  En outre, lorsque la tête de groupe dans l’UE est une holding (ex : compagnie financière holding, compagnie financière holding mixte, compagnie holding d’investissement, société holding d'assurance, société holding mixte d’assurance), il est attendu que cette holding remette le RoI pour le compte du groupe.

Les entités financières remettantes pourront voir leur nouvelle obligation de reporting via la mise à jour de leur carte de visite (premières actualisations le 20 janvier 2025 pour le secteur de l’assurance et 10 février 2025 pour le secteur de la banque). 

Attention : les règles concernant les niveaux de remise ne s’appliquent bien qu’aux obligations de remise aux autorités. L’obligation de tenue et de mise à jour des registres d’informations s’applique à tous les niveaux de l’entité (niveau individuel, sous-consolidé et consolidé) (cf. article 28(3) du règlement DORA). 

Q-B6 : Quelles sont les modalités d’information de l’ACPR de tout projet d’accord contractuel portant sur l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes ainsi que lorsqu’une fonction est devenue critique ou importante conformément au dernier alinéa de l’article 28(3) DORA (hors entités relevant de la supervision directe de la BCE).

Afin de se conformer à l’obligation pour les entités financières d’informer en temps utile l’autorité compétente de tout projet d’accord contractuel portant sur l’utilisation de services TIC qui soutiennent des fonctions critiques ou importantes ainsi que lorsqu’une fonction est devenue critique ou importante, et dans l’attente de l’adoption par l’ACPR d’une instruction spécifique, il est pour le moment demandé aux entités financières de procéder à cette information en reprenant les informations pertinentes du formulaire de notification détaillé en annexe de l’instruction n°2019-I-06 telle que modifiée par l’instruction n°2020-I-09. Ce formulaire devra être remis au service de contrôle habituel au plus tard 6 semaines avant l’entrée en vigueur de la sous-traitance à l’adresse suivante : https://acpr-portail.banque-france.fr, en saisissant le type de demande « Notifications prévues par la règlementation » pour les entités relevant du secteur de la banque et « Externalisation » pour les entités relevant du secteur de l’assurance. 

C. Gestion des risques liés aux prestataires tiers de services TIC

Q-C1 : Quelles sont les dispositions contractuelles qui doivent figurer dans un contrat entre une entité financière et un prestataire tiers de services TIC ?

L’article 30(2) de DORA fournit une liste minimale d’éléments qui doivent figurer dans tous les accords contractuels relatifs à l’utilisation de services TIC.

L’article 30(3) de DORA prévoit des éléments additionnels qui ne sont obligatoires que lorsque les services TIC concernés soutiennent des fonctions critiques ou importantes.

Afin d’identifier les obligations applicables à chaque contrat, il est essentiel que l’entité financière, avant de négocier un contrat - ou d’en demander la révision -, détermine si l’accord contractuel couvre l’utilisation de services TIC qui soutiennent une fonction critique ou importante. Les fonctions critiques ou importantes sont définies au point 22 de l’article 3 de DORA de la manière suivante : « une fonction dont la perturbation est susceptible de nuire sérieusement à la performance financière d’une entité financière, ou à la solidité ou à la continuité de ses services et activités, ou une interruption, une anomalie ou une défaillance de l’exécution de cette fonction est susceptible de nuire sérieusement à la capacité d’une entité financière de respecter en permanence les conditions et obligations de son agrément, ou ses autres obligations découlant des dispositions applicables du droit relatif aux services financiers. ».

Par ailleurs, ce travail d’identification est un prérequis afin de gérer les risques liés aux prestataires tiers de services TIC dans le respect du principe de proportionnalité comme cela est prévu par l’article 28(1) de DORA.