I. Préambule
L’article 96 de la directive 2015/2366 « DSP2 » prévoit que les prestataires de services de paiement (PSP) mettent en place un dispositif permettant de gérer les incidents opérationnels et de sécurité, notamment pour la détection et la classification des incidents majeurs. Dans ce sens, l’article 96 prévoit également que les PSP signalent sans retard injustifié les incidents opérationnels ou de sécurité majeurs à l’autorité compétente (AC) de leur État membre d’origine.
La DSP2 exige également que l’autorité compétente de l’Etat membre d’origine, après avoir évalué la pertinence de l’incident par rapport aux autres autorités compétentes nationales (implantation des succursales), les informe en conséquence.
Pour atteindre cet objectif, l’EBA a publié des orientations EBA/GL/2017/10 au sens de l’article 96, paragraphe 3, de la DSP2, portant sur :
- La classification des incidents opérationnels ou de sécurité majeurs et sur le contenu, le format, y compris les modèles de notification standard, et les procédures de notification de ces incidents ;
- Les critères permettant d’évaluer la pertinence de l’incident et les détails des rapports d’incidents à partager avec les autres autorités nationales. Les orientations EBA/GL/2017/10 sont applicables depuis le 13 janvier 2018
A noter : Les acteurs pourraient répondre aux différentes questions du CP jusqu’au 14 décembre 2020.
II. La revue des orientations par l’EBA
L’article 96, paragraphe 4, de la DSP2 impose à l’EBA, en étroite coopération avec la Banque centrale européenne (BCE), de revoir les orientations de manière régulière et, en tout état de cause, au moins tous les deux ans.
À cette fin, l’EBA a évalué les rapports d’incidents qu’elle a reçu en 2018 et 2019 et les pratiques de notification établies par les PSP et AC pendant cette période. L’évaluation a montré que les orientations bénéficieraient de quelques modifications ciblées, afin d’optimiser et de simplifier la déclaration des incidents majeurs dans le cadre de la DSP2 et les modèles de rapport sous-jacents, afin de saisir les incidents de sécurité supplémentaires et, surtout, de réduire le nombre d’incidents opérationnels qui doivent être signalés en n’incluant plus ceux qui n’ont pas d’impact significatif sur les opérations des PSP.
Pour y parvenir, le document de consultation (CP) propose d’augmenter les seuils des montant des « Opérations affectées ». Il introduit également des changements dans le calcul des critères « Opérations affectées » et « Utilisateurs de services de paiement affectés » dans le niveau d’impact inférieur.
En outre, l’EBA propose d’introduire un nouveau critère de classification des incidents « violation des mesures de sécurité » visant à saisir les incidents où la violation des mesures de sécurité du PSP a un
impact sur la disponibilité, l’intégrité, la confidentialité et/ou l’authenticité du les données, processus et/ou systèmes liés aux services de paiement.
Afin d’améliorer la qualité des rapports collectés, et en même temps de simplifier le processus de déclaration pour les PSP, l’EBA propose :
- L’utilisation d’un fichier commun standardisé pour la déclaration des incidents majeurs aux AC.
- Supprimer l’obligation de fournir des mises à jour régulières des prestataires de services de paiement aux AC (le rapport intermédiaire) afin de réduire le nombre de rapports à soumettre par les prestataires de services de paiement,
- La prolongation du délai de soumission du rapport final et de réduire considérablement les champs du modèle de rapport.
En outre, l’EBA a aligné la terminologie sur les causes des incidents majeurs sur d’autres cadres de notification des incidents qui avaient été élaborés par l’Union européenne pour la cybersécurité et le mécanisme de surveillance unique (MSU), et a également ajouté une granularité supplémentaire à certaines causes d’incidents.
Enfin, l’EBA reconnaît que la Commission européenne a publié, le 24 septembre 2020, une nouvelle proposition législative de l’UE pour un cadre réglementaire européen sur la résilience opérationnelle numérique (DORA), qui contient une proposition de rapport d’incident qui s’inspire de la DSP2 mais va au-delà des incidents liés aux paiements. Les derniers détails de ce cadre ne seront pas connus avant plusieurs années, après quoi un délai supplémentaire devrait s’écouler avant qu’ils ne deviennent juridiquement applicables. En revanche, les orientations révisées proposées par l’EBA devraient s’appliquer au quatrième trimestre de 2021, et elles restent en vigueur au moins jusqu’à ce que les exigences de la DORA entrent en vigueur.
III. Nouvelle perspective : le projet de règlement « Digital Operational Resilience for the financial sector « DORA »
Les rapports d’incidents liés aux TIC devraient être harmonisés pour toutes les entités financières en les obligeant à faire un reporting à leurs autorités compétentes. Bien que toutes les entités financières soient soumises à cette obligation de déclaration, elles ne devraient pas toutes être touchées de la même manière, car les seuils d’importance relative et les délais devraient être calibrés pour ne prendre en compte que les incidents majeurs liés aux TIC.
Le reporting permettrait aux superviseurs financiers d’avoir accès aux informations sur les incidents liés aux TIC. Néanmoins, les superviseurs financiers devraient transmettre ces informations aux autorités
publiques non financières (autorités compétentes dans le cadre de la directive NIS, autorités nationales de protection des données au sens du RGPD et autorités répressives pour les incidents de nature criminelle).
Les informations sur les incidents liés aux TIC devraient être transmises mutuellement : les autorités de surveillance financière devraient fournir toutes les informations ou orientations nécessaires aux entités financières, tandis que les autorités européennes de supervision (ESA) devraient partager des données anonymes sur les menaces et les vulnérabilités liées à un événement afin de contribuer à une défense collective plus large.
Pour découvrir l’ensemble de notre offre de veille réglementaire, contactez-nous à : communication@regulationpartners.com