En parallèle de la révision de la directive sur la sécurité des réseaux et des systèmes d’information (directive 2022/2555 du 14 décembre 2022, dite « NIS 2 »), un nouveau texte a été adopté pour compléter la réglementation en matière de systèmes informatiques dans sa dimension de sécurité, le règlement 2022/2554 du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier. Ce texte a des effets importants pour les entreprises des secteurs de la banque, de la finance et des assurances, mais aussi pour leurs cocontractants.

Au-delà des lignes directrices en matière d’externalisation, une révision d’ensemble des règles européennes en matière de sécurité informatique s’imposait, de fait, avec l’augmentation exponentielle des cybermenaces. Ainsi, dans le cadre des réflexions menées pour préparer cette révision, il est apparu que l’importance de cette menace pour les institutions financières requérait d’aménager des règles spécifiques les concernant.<br/>C’est ainsi que le règlement sur la résilience opérationnelle numérique du secteur financier (Digital Operational Resilience Act – « DORA ») a été présenté par la Commission le 24 septembre 2020, en même temps que la proposition de révision de la directive NIS 2.

Ce règlement, plus contraignant qu’une directive, reprend et renforce les règles qui pouvaient exister dans certains textes sectoriels1 et prévoit un cadre harmonisé pour l’externalisation. Des sanctions en cas de carence pourront également être prévues par chaque Etat membre.