Cybersécurité : la transposition de la directive REC

·

·

,
Cybersécurité : la transposition de la directive REC
Ce point juridique est utile ?

Le projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité entend principalement transposer trois directives européennes connexes, auxquelles correspondent ses trois titres, et prendre plusieurs dispositions complémentaires dans leurs champs respectifs.

La transposition de la directive REC (UE) 2022/2557

Le titre Ier du projet de loi a pour objet essentiel la transposition de la directive (UE) 2022/2557 du Parlement européen et du Conseil sur la résilience des entités critiques (dite directive REC).

Les infrastructures critiques indispensables au fonctionnement de la Nation sont exposées aux risques naturels, sanitaires, technologiques, mais également aux menaces d’origine anthropique.

La directive REC, adoptée le 14 décembre 2022, constitue l’aboutissement d’une réflexion portée à l’échelle européenne sur la protection des infrastructures nécessaires au fonctionnement du marché intérieur, initiée en 2008 avec une première directive (Directive 2008/114/CE du Conseil du 8 décembre 2008 concernant le recensement et la désignation des infrastructures critiques européennes ainsi que l’évaluation de la nécessité d’améliorer leur protection).

Elle tient compte des leçons tirées de la pandémie de covid-19, notamment en termes de sensibilité des chaînes d’approvisionnement, mais également du durcissement du contexte géopolitique.

L’ambition de cette nouvelle directive est d’améliorer la fourniture, dans le marché intérieur européen, des services considérés comme essentiels au maintien de fonctions sociétales ou d’activités économiques vitales, en renforçant la résilience des entités considérées comme critiques par les Etats membres, dans onze secteurs d’activité : l’énergie, les transports, le secteur bancaire, les infrastructures des marchés financiers, la santé, l’eau potable, les eaux résiduaires, les infrastructures numériques, l’administration publique, l’espace ainsi que la production, la transformation et la distribution de denrées alimentaires.

Elle vise ainsi, d’une part, à prévoir un standard de protection minimale à l’ensemble des infrastructures critiques de l’Union, dont peuvent dépendre les entités situées sur le territoire national, et, d’autre part, à assurer une concurrence plus loyale entre ces différents opérateurs à l’échelle de l’Union, désormais soumis à des règles communes.

Résilience des activités d’importance vitale

Cependant, la France met déjà en oeuvre, depuis 2006, un dispositif d’identification des opérateurs, publics ou privés, considérés d’importance vitale, qui ont la charge de garantir leur propre protection : le dispositif de sécurité des activités d’importance vitale (SAIV). Le titre Ier du présent projet de loi, « Résilience des activités d’importance vitale », vise donc à transposer la directive REC par le prisme d’une révision de ce dispositif national, en conservant ses principes cardinaux, tout en y intégrant les obligations inédites prévues par la directive et l’extension de son champ d’application à de nouveaux secteurs.

L’objectif principal du Gouvernement est donc de maintenir un niveau élevé de protection des infrastructures critiques, déjà éprouvé et connu des acteurs concernés, adapté au contexte actuel.

L’article 1er du titre Ier du projet de loi a pour objectif de remplacer l’actuel chapitre II du titre III du Livre III de la partie 1 du code de la défense portant sur la « Protection des installations d’importance vitale » (L. 1332-1 à L. 1332-7). Ce nouveau chapitre, renommé « Résilience des activités d’importance vitale », est composé de trois sections et comporte 15 articles. 

La première section du nouveau chapitre porte sur les dispositions générales relatives aux activités d’importance vitale. Cette nouvelle section comporte neuf articles.

Le nouvel article L. 1332-1 du code de la défense est dédié aux définitions : il articule les définitions nationales déjà existantes avec les définitions prévues par la directive européenne, s’agissant des activités d’importance vitale et des infrastructures critiques.

L’article L. 1332-2 encadre le régime de désignation des différentes catégories d’opérateurs d’importance vitale, en distinguant :

– les opérateurs qui réalisent une ou plusieurs activités d’importance vitale ; 

– les opérateurs dont la destruction ou l’avarie pourrait présenter un danger grave pour la population ainsi que l’environnement. 

La deuxième partie de l’article (II) vise à prendre en compte les collectivités ayant fait le choix de concéder une activité d’importance vitale, en prévoyant leur information. 

Une nouvelle sous-section 1, « Dispositions communes », comprenant les articles L. 1332-3 à L. 1332-7, prévoit les obligations applicables à l’ensemble des opérateurs d’importance vitale.

L’analyse des risques

L’article L. 1332-3 vise à introduire l’obligation pour les opérateurs d’importance vitale de réaliser une analyse des risques sur leur activité considérée comme vitale et de mettre en oeuvre les mesures de résilience adéquates. Ces mesures doivent être consignées dans un plan de résilience opérateur, validé par l’autorité administrative, qui dispose d’un pouvoir d’astreinte.

L’article L. 1332-4 prévoit l’obligation pour les opérateurs d’importance vitale d’identifier leurs dépendances, notamment en termes d’approvisionnements, mais également vis-à-vis de leurs propres prestataires.

L’article L. 1332-5 prévoit des obligations spécifiques pour les points d’importance vitale, qui doivent être dotés d’un plan particulier de résilience, élaboré par l’opérateur et remplaçant l’actuel plan particulier de protection.

L’article L. 1332-6 élargit le champ des fonctions susceptibles de faire l’objet d’enquêtes administratives de sécurité à la demande des opérateurs, conformément à la directive. 

L’article L. 1332-7 exige des opérateurs qu’ils notifient à l’autorité administrative les incidents susceptibles de compromettre la continuité de leurs activités d’importance vitale ou de présenter un danger grave pour la population ou l’environnement. 

La sous-section 2, « Dispositions applicables aux opérateurs d’importance vitale exerçant des services essentiels au fonctionnement du marché intérieur de l’Union européenne », portant sur les nouveaux articles L. 1332-8 et L. 1332-9, vise les obligations applicables exclusivement aux opérateurs couverts par le champ d’application de la directive, à l’exclusion, donc, des secteurs régaliens, de l’industrie, de la recherche, ainsi que du nucléaire. 

L’article L. 1332-8 permet l’identification par l’autorité administrative, parmi les opérateurs d’importance vitale, ceux qui fournissent des services essentiels au sens de la directive, et qui sont soumis à des obligations spécifiques, principalement en termes de coopération européenne. 

L’article L. 1332-9 permet de distinguer, parmi les opérateurs d’importance vitale fournissant des services essentiels, les entités critiques d’importance européenne particulière, pour lesquelles la Commission européenne peut diligenter des missions de conseil, sous réserve de l’accord des Etats membres. 

La sous-section 3, « Dispositifs techniques concourant à la protection des installations d’importance vitale », comportant l’article L. 1332-10 reprend les dispositions existantes de l’actuel article L. 1332-6-1 A du code de la défense.

La sous-section 4, « Dispositions applicables aux systèmes d’informations », comportant l’article L. 1332-11, prévoit les dispositions relatives à la cybersécurité applicables aux opérateurs d’importance vitale, dont certaines visant à transposer la directive (UE) 2022/2555 du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union.

La deuxième section du nouveau chapitre porte sur les « Contrôles, sanctions administratives et dispositions pénales » applicables au titre du nouveau chapitre, et concerne les articles L. 1332-12 à L. 1332-15. 

Habilitation et contrôles

La sous-section 1, « Habilitation et contrôles », comprend les articles L. 1332-12 et L. 1332-13. 

L’article L. 1332-12 prévoit un meilleur encadrement des agents chargés du contrôle des opérateurs afin, notamment, d’instituer des garanties juridiques renforcées pour la constitution des dossiers d’instruction devant être transmis à la commission des sanctions mentionnée à l’article L. 1332-14. 

L’article L. 1332-13 vise à encadrer les fonctions et prérogatives des agents en charge du contrôle des opérateurs.

La sous-section 2, « Sanctions », qui comprend l’article L. 1332-14, institue une commission des sanctions pour les manquements aux obligations de la loi, rattachée au Premier ministre.

La section 4, « Marchés publics et contrats de concession relatifs à la sécurité des activités d’importance vitale », composée de l’article L. 1332-15, clarifie les règles applicables à certains contrats sensibles de la commande publique des opérateurs d’importance vitale soumis au code de la commande publique.

Le chapitre II du titre Ier, « Autres modifications », comporte un unique article 2 qui prévoit les mesures nécessaires de coordination légistique et précise l’application du chapitre Ier sur les territoires ultramarins. 

Le chapitre III du titre Ier, « Dispositions transitoires », comprend un unique article 3 qui prévoit les obligations applicables aux opérateurs d’importance vitale désignés avant l’entrée en vigueur de la présente loi.

La directive (UE) 2022/2555 NIS2

Le titre II, « Cybersécurité », a principalement pour objet de transposer la directive (UE) 2022/2555 (dite directive NIS2) du Parlement européen et du Conseil du 14 décembre 2022 concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, modifiant le règlement (UE) n° 910/2014 et la directive (UE) 2018/1972 et abrogeant la directive (UE) 2016/1148.

Elle remplace la directive (UE) 2016/1148 du Parlement Européen et du Conseil du 6 juillet 2016 concernant des mesures destinées à assurer un niveau élevé commun de sécurité des réseaux et des systèmes d’information dans l’Union (dite directive NIS1), laquelle a été transposée en France par la loi n° 2018-133 du 26 février 2018 portant diverses dispositions d’adaptation au droit de l’Union européenne dans le domaine de la sécurité.

Afin de garantir la résilience des « activités essentielles pour l’économie et la société de l’Union européenne », la directive NIS1 avait établi les bases d’une cybersécurité renforcée sur un ensemble de secteurs d’activité sur le territoire de l’Union européenne.

Depuis 2016, la menace cyber a fortement évolué, devenant systémique. Alors que les cyber-attaquants se concentraient jusqu’à il y a quelques années sur les acteurs et opérateurs stratégiques, ils ciblent désormais l’ensemble du tissu social et économique. Au-delà de la menace stratégique (étatique) qui perdure, les cybercriminels sont rentrés dans une logique de vastes campagnes d’attaques qui affectent un nombre beaucoup plus élevé de victimes (PME, collectivités territoriales, hôpitaux, etc.), avec parfois des conséquences extrêmement dommageables pour nos concitoyens.

C’est pourquoi la France a porté au niveau européen, pendant sa présidence du Conseil de l’Union européenne, la négociation d’une réglementation ambitieuse, la directive NIS2. Elle détermine des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union européenne pour certaines entités qualifiées comme essentielles ou importantes, en raison des services qu’elles fournissent et de leur taille. Elle élargit ainsi considérablement le périmètre des acteurs et secteurs régulés par la directive. En France, cela se traduit par une augmentation estimée du nombre d’entités régulées de 500 à près de 15 000, et une augmentation du nombre de secteurs régulés de 6 à 18. 

Le périmètre retenu dans la directive NIS2 cible précisément les secteurs et les types d’entités ayant le plus grand impact potentiel sur l’économie et la société, là où la directive NIS1 prévoyait une procédure nationale d’identification des opérateurs de services essentiels. La directive NIS2 élargit également le périmètre des systèmes d’information à sécuriser. Alors que la directive NIS1 prévoyait une identification des systèmes d’information essentiels sur lesquels les obligations de la directive porteraient, la directive NIS2 s’applique par défaut à l’ensemble des systèmes d’information de l’entité. Des mécanismes d’exemption de certains systèmes d’information sont toutefois permis si ces derniers n’impactent pas la réalisation des activités ou la fourniture des services de l’entité.

L’autorité nationale de sécurité des systèmes d’information

Le premier des quatre chapitres du titre II, « De l’autorité nationale de sécurité des systèmes d’information », est composé de l’unique article 4, qui prévoit que l’autorité nationale de sécurité des systèmes d’information est chargée de la mise en oeuvre de la législation et de la politique du gouvernement en matière de sécurité des systèmes d’information.

Les chapitre II du titre II, « De la cyberrésilience », prévoit une première section qui comprend un article 5unique définissant plusieurs notions : celle de bureau d’enregistrement, celle de prestataire de services de confiance qualifié, celle d’office et celle de service de centre de données.

Dans la section 2, « Des exigences de sécurité des systèmes d’information », les articles 6 à 8 définissent, sur le fondement de critères clairement définis, les entités essentielles et importantes qui seront concernées par les mesures prévues par la directive NIS2 ainsi que celles explicitement exclues de son champ d’application, notamment au titre de clauses relatives à la sécurité nationale. Ils prévoient également la possibilité pour le Premier ministre de désigner certaines entités essentielles et importantes et ils définissent l’articulation du projet de loi avec les règlementations nationales et sectorielles ayant également un impact sur la cybersécurité.

Les articles 9 et 10 harmonisent et simplifient le cadre juridique existant en matière de protection de certains systèmes d’information. Ils établissent un socle de règles, harmonisé pour les différents types d’entités, adapté à chaque niveau de menace ainsi qu’aux spécificités sectorielles et thématiques et applicable au plus grand nombre pour les protéger contre la menace cybercriminelle. Ils mettent enfin en cohérence les exigences de sécurité supplémentaires du dispositif prévu pour les systèmes d’information d’importance vitale (SAIV) destinées à protéger nos organisations les plus sensibles contre la menace stratégique, avec celles prévues par la transposition de la directive NIS2.

L’article 11 prévoit, pour les entités essentielles et importantes, une obligation de notification des incidents significatifs à l’autorité nationale, ainsi qu’aux destinataires des services dans certains cas.

Enregistrement des noms de domaine

La section 3 du chapitre II du titre II, « Enregistrement des noms de domaine », comporte les articles 12 à 16qui adaptent le code des postes et des communications électroniques (CPCE), notamment afin de tirer les conséquences de l’abrogation, par la directive NIS2, des articles 40 et 41 de la directive 2018/1972 établissant un code des communication électroniques européen (CECE), mais aussi pour transposer l’article 28 de la directive NIS2 qui impose aux offices d’enregistrement des noms de domaine de nouvelles obligations concernant la collecte, l’accès et la publicité des données d’enregistrement des noms de domaine. Ces obligations se trouvent ainsi transposées en droit interne s’agissant des noms de domaine de l’internet correspondant aux codes pays du territoire national ou d’une partie de celui-ci. 

Coopération et échange d’informations 

Composant la section 3 du chapitre II du titre II, « Coopération et échange d’informations », les articles 17 et 18 prévoient les modalités de coopération et de partage d’informations entre l’autorité nationale de sécurité des systèmes d’information et les autorités nationales, les autorités européennes, certains organismes internationaux concourant aux missions de sécurité ou de défense des systèmes d’information et les centres de réponse aux incidents de sécurité informatique d’Etats tiers à l’Union européenne.

Ces entités peuvent se communiquer librement les informations dont elles disposent, à l’exception de celles dont la communication porterait atteinte à la sécurité nationale, la sécurité publique ou la défense nationale. Les organismes publics ou privés agréés en tant que relais dans la prévention et la gestion des incidents sont également autorisés à échanger des informations couvertes par des secrets protégés par la loi.

Recherche et constatation des manquements

Le chapitre III du titre II, « De la supervision », comporte trois sections. La première, « Recherche et constatation des manquements », comprend la sous-section 1, « Habilitation », composée d’un article 19 unique prévoyant une habilitation des agents de l’autorité nationale de sécurité des systèmes d’information à rechercher et à constater les manquements aux obligations prévues notamment par le projet de loi et les règlements européens sur l’identification électronique et sur la certification de cybersécurité. 

Dans la sous-section 2, « Des pouvoirs », les articles 20 à 24 fournissent à l’autorité nationale la base juridique nécessaire à la mise en oeuvre de son rôle de supervision tel qu’il est prévu par la directive NIS2, en lien avec les différentes règlementations européennes. Ils prévoient les pouvoirs de contrôle de l’autorité nationale ainsi que les modalités de répartition de leurs coûts.

Les articles 25 et 26 forment la deuxième section, « Mesures consécutives aux contrôles ». Ils prévoient les modalités d’ouverture d’une procédure consécutive aux contrôles et les mesures d’exécution que l’autorité nationale peut décider et assortir d’astreintes journalières, notamment les mises en garde, les instructions contraignantes, les injonctions de mise en conformité et les obligations d’information.

Mise en oeuvre effective de sanctions graduées

Quant à la section 3, « Des sanctions », elle est composée de l’article 27 qui permet une mise en oeuvre effective de sanctions graduées, dans des délais adaptés afin d’inciter les entités concernées par le texte au respect de leurs obligations et à adopter de bonnes pratiques en matière de cybersécurité. Pour cela, il prévoit la compétence et les modalités de fonctionnement de la commission des sanctions mentionnée à l’article L. 1332-14 du code de la défense, lorsqu’elle statue sur des manquements aux obligations découlant des chapitres II et III, dans le respect des droits de la défense.

Dans le chapitre IV du titre III, « Dispositions diverses d’adaptation », l’article 28 allège la procédure de contrôle des moyens de cryptologie n’assurant pas exclusivement des fonctions d’authentification ou de contrôle d’intégrité, prévue à l’article 30 de la loi n° 2004-575 du 21 juin 2004 pour la confiance dans l’économie numérique, en lui substituant un régime de déclaration. 

L’article 29 simplifie le cadre réglementaire prévu par le référentiel général de sécurité (RGS), abroge le dispositif mis en place par la directive NIS1 et adapte le code de la défense afin qu’il corresponde à la terminologie choisie par la directive NIS2.

L’article 30 prévoit les modalités d’application du titre II du projet de loi dans les pays et territoires d’outre-mer (Wallis-et-Futuna, Polynésie française, Nouvelle-Calédonie et Terres australes et antarctiques françaises).

La chapitre V du titre II, « Dispositions relatives aux communications électroniques », comprend trois mesures modifiant principalement le code des postes et des communications électroniques (CPCE), mais aussi le code de la recherche et la loi sur les opérations spatiales (LOS).

Les sanctions pénales à certaines infractions d’atteinte aux fréquences

L’article 31 modifie le CPCE pour renforcer les sanctions pénales à certaines infractions d’atteinte aux fréquences (brouillage).

L’article 32 adapte tout à la fois le CPCE, le code de la recherche et la LOS afin de conditionner l’accès aux fréquences pour les terminaux satellitaires terrestres sur le territoire national au respect, par tout système satellitaire fournisseur du service, des exigences techniques imposées aux systèmes relevant de la LOS – jusqu’à présent, la procédure autorisant des acteurs privés à utiliser des fréquences en vue de proposer des services de télécommunication par satellite sur le territoire national ne permettait pas de garantir le respect par ces derniers des normes françaises en matière d’utilisation durable de l’espace, au risque d’une distorsion de concurrence entre les acteurs présents sur ce marché.

L’article 33 durcit, au sein du CPCE, les conditions d’accès à une assignation de fréquences déposées par la France auprès de l’Union Internationale des Télécommunications (UIT). Il revient aux États parties au règlement des radiocommunications souhaitant déployer des satellites non géostationnaires de déposer auprès de l’UIT une demande d’assignation de fréquences pour être autorisés à positionner à une orbite donnée des satellites émettant sur une bande de fréquences spécifiée.

Or de nombreux acteurs internationaux font le choix de s’adresser à la France afin de bénéficier d’une autorisation d’exploiter une assignation de fréquence déposée auprès de l’UIT. C’est donc afin de préserver au mieux les intérêts nationaux, en particulier en matière de sécurité et de défense nationale, que l’article 33 précise les conditions dans lesquelles un acteur privé peut demander à ce que l’ANFR dépose auprès de l’UIT une demande d’assignation, les conditions dans lesquelles un acteur privé peut bénéficier d’une autorisation pour l’exploitation d’une assignation déposée par la France auprès de l’UIT et les sanctions auxquelles s’expose le titulaire d’une autorisation dans l’hypothèse où il ne respecterait pas les obligations qui lui sont imposées.

Résilience opérationnelle numérique du secteur financier

Le titre III, « Résilience opérationnelle numérique du secteur financier », a pour objet de transposer la directive (UE) 2022/2556 du Parlement Européen et du Conseil du 14 décembre 2022 modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier.

Le règlement européen DORA (UE) 2022/2554

L’utilisation généralisée de systèmes de technologies de l’information et de la communication (TIC), une numérisation et une connectivité poussées constituent désormais des caractéristiques essentielles des activités des entités financières françaises. A l’aune de ce constat, le règlement européen DORA (UE) 2022/2554 du Parlement européen et du Conseil, adopté à l’automne 2022 et entré en vigueur le 16 janvier 2023, renforce les obligations opérationnelles s’imposant aux principaux acteurs du secteur financier. Il est complété par la directive éponyme qui regroupe une série de dispositions techniques, visant à clarifier les obligations et à actualiser les références en droit interne de directives. 

Au niveau de l’Union, une série d’exigences liées à la gestion du risque lié aux TIC auquel est exposé le secteur financier avait été introduite par les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 du Parlement européen et du Conseil précédemment transposées en droit national. Ces exigences étaient toutefois éparses et parfois incomplètes.

Dans certains cas, le risque lié aux TIC n’était abordé qu’implicitement dans le cadre du risque opérationnel et, dans d’autres cas, il n’était tout simplement pas abordé. Le règlement DORA (Digital Operational Resilience Act), qui s`appliquera à partir du 17 janvier 2025, vise à combler ces lacunes.

Corrélativement, la directive éponyme opère des aménagements de nature technique, en modifiant les références de droit interne relatives aux directives déjà transposées, et apporte des précisions garantissant la clarté et la cohérence juridiques pour les entités financières agréées et soumises à une surveillance conformément auxdites directives. La transposition de la directive accompagnant DORA entraîne ainsi des modifications d’ordre technique de plusieurs codes.

L’article 34 modifie l’article L. 314-1 du code monétaire et financier (CMF) afin de prendre en compte les modifications apportées par l’article 7 de la directive DORA, consistant à parler de technologies de l’information « et de la communication » dans la définition des services fournis par des prestataires de services techniques à l’appui de la fourniture de services de paiement.

L’article 35 modifie l’article L. 314-1 du CMF notamment afin de préciser que les gestionnaires de plateformes de négociation doivent assurer et maintenir leur résilience opérationnelle, et de faire référence au règlement DORA.

L’article 36 modifie l’article 421-11 du CMF relatif aux obligations de l’entreprise de marché, en introduisant notamment une référence aux exigences introduites par les chapitres II et IV du règlement DORA en matière de gestion des risques liés aux technologies de l’information et de la communication.

L’article 37 amende l’article L. 511-41-1-B du CMF afin d’ajouter les risques liés aux TIC à la liste des risques auxquels sont exposés les établissements de crédit et les sociétés de financement. Les modifications visent également à transposer l’article 4 de la directive DORA qui modifie les articles 85 et 97 de la directive 2013/36/EU (directive « CRD ») en introduit les politiques d’urgence et de poursuite d’activité ainsi que les plans de réponse et de rétablissement à la liste des outils de gestion des risques dont les établissements de crédit doivent disposer. Cette mesure est étendue aux sociétés de financement.

L’article 38 modifie l’article L. 511-55 du CMF afin d’introduire une référence aux réseaux et systèmes d’information mis en place et gérés conformément au règlement DORA comme composante du dispositif de gouvernance des établissements de crédit et des sociétés de financement. Cet article transpose l’article 4 de la directive DORA qui modifie l’article 74 de la directive CRD et l’étend aux sociétés de financement.

L’article 39 modifie l’article L. 521-10 du CMF relatif aux notifications des incidents opérationnels à l’Autorité de contrôle prudentiel et de résolution (ACPR) et des incidents de sécurité majeurs à la Banque de France, pour préciser que ses dispositions ne s’appliquent qu’aux prestataires de services de paiement qui n’entrent pas dans le champ du règlement DORA, à savoir la Banque de France, l’Institut d’émission des départements d’outre-mer, l’Institut d’émission d’outre-mer, le Trésor public ainsi que la Caisse des dépôts et consignations. 

L’article 40 modifie l’article L. 533-2 du CMF afin de préciser que les systèmes informatiques faisant l’objet de dispositifs efficaces de contrôle et de sauvegarde au sein des prestataires de services d’investissement autre que les sociétés de gestion de portefeuille concernent également les réseaux et les systèmes d’information qui sont mis en place et gérés conformément au règlement DORA.

L’article 41 modifie l’article L. 533-10 du CMF relatif aux obligations des prestataires de services d’investissement, afin d’introduire une référence au règlement DORA dans la mise en place des dispositifs de contrôle et de sauvegarde dans le domaine du traitement électronique des données, réseaux et systèmes d’information.

L’article 42 complète l’article 533-10-4 du CMF relatif aux obligations des prestataires de services d’investissement, notamment afin d’introduire une référence au chapitre II du règlement DORA dans la définition des objectifs assignés aux systèmes et contrôles des risques mis en oeuvre par les prestataires de services d’investissement autres que les sociétés de gestion de portefeuille qui ont recours à la négociation algorithmique, et d’introduire une obligation de mise en oeuvre de politiques et de plans en matière de continuité des activités liées aux TIC, et de plans de réponse et de rétablissement des technologies de l’information et de la communication conformément au règlement DORA.

L’article 43 modifie l’article L. 612-24 du CMF afin de préciser que les prestataires tiers critiques de services fondés sur les technologies de l’information et de la communication visés par le règlement DORA comptent parmi les personnes auxquelles le secrétaire général de l’ACPR peut demander tous renseignements et documents. Cet article transpose l’article 4 de la directive DORA.

L’article 44 permet de transposer l’article 5 de la directive DORA, et modifie ainsi les dispositions de l’article L. 613-38 du CMF relatives aux plans préventifs de résolution que doivent établir développer le collège de résolution de l’ACPR notamment pour les établissements de crédit et les entreprises d’investissement. Il introduit d’abord la nécessité de montrer au sein de ces plans comment les modalités de dissociation économiques et juridiques des fonctions critiques par rapport aux autres fonctions assurent, en plus de la continuité de ces fonctions, la résilience opérationnelle numérique en cas de défaillance. Il précise également que la description, au sein de ces plans, des principaux systèmes et opérations permettant de maintenir le fonctionnement permanent des processus opérationnels de l’entité financière doit inclure la description de ceux permettant de maintenir le fonctionnement des réseaux et systèmes d’information visés par le règlement DORA. 

L’article 45 complète la liste des autorités habilitées à se communiquer les renseignements utiles à l’exercice de leurs fonctions, en y ajoutant la Banque de France et l’ACPR. 

L’article 46 rend applicables en Nouvelle-Calédonie, en Polynésie française et dans les îles Wallis et Futuna, les modifications des articles métropolitains du code monétaire et financier introduites par les articles 40 à 51. En effet, l’Etat est compétent en matière bancaire et financière dans ces collectivités ultramarines régies par le principe de spécialité législative où toute création ou modification du code précité doit être rendue applicable par mention expresse.

L’article 47 introduit une entrée en application différée – repoussée d’un an au 17 janvier 2026 – des articles 36, 37 et 42 pour les sociétés de financement considérées comme de petite taille et non-complexes.

L’article 48 introduit dans le code des assurances (CDA) de nouvelles exigences pour les entreprises d’assurance et de réassurance en matière de gouvernance des risques liés à l’utilisation des systèmes d’information, introduites par l’article 2 paragraphe 1 et l’article 8 de la directive DORA :

Au 1°, il est spécifié au sein de l’article L. 354-1 du CDA que l’externalisation de certaines activités par l’assureur à un prestataire renvoie à une définition de l’externalisation prévue au 13° de l’article L. 310-3 du CDA. Il s’agit ici d’aligner la rédaction de l’article L. 354-1 du CDA avec celle des articles L. 211.12 du code de la mutualité (CMUT) et L. 931-7 du code de la sécurité sociale (CSS), articles miroirs respectivement pour les mutuelles et les institutions de prévoyance.

Au 2°, la modification de l’article L. 354-1 du CDA permet de transposer en droit national les modifications opérées à la fois au sein de la directive 2009/138/CE (directive Solvabilité 2) et au sein de la directive (UE) 2016/2341 (directive IRP) en matière de gouvernance des risques numériques des entreprises d’assurance, de réassurance et des fonds de retraite professionnelle supplémentaire.

En effet, l’article 2 paragraphe 1 de la directive DORA modifie l’article 41 paragraphe 4 de la directive Solvabilité 2 en introduisant une nouvelle obligation pour les acteurs du secteur assurantiel de mise en place et de gestion des réseaux et des systèmes d’information conformément aux règles édictées par le règlement DORA. L’article 41 paragraphe 4 de la directive Solvabilité 2 ayant été transposé au sein de l’article L. 354-1 du CDA, il convient de modifier cet article en conséquence.

De la même façon, l’article 8 de la directive DORA modifie l’article 21 paragraphe 5 de la directive IRP en introduisant une nouvelle obligation pour ces institutions de retraite professionnelle de mise en place et de gestion des réseaux et des systèmes d’information conformément aux règles édictées par le règlement DORA. Or l’article L. 385-5 du CDA prévoit que le chapitre IV du titre V du livre III du même code – dont fait partie l’article L. 354-1 – s’applique aux fonds de retraite professionnelle supplémentaire.

L’article 49 rend applicables aux groupes d’assurance les nouvelles obligations de gouvernance des risques liés à l’utilisation d’outils numériques introduites par l’article 2 paragraphe 1 de la directive DORA. En effet, l’article 246 paragraphe 1 de la directive Solvabilité 2 précitée prévoit que « [l]es exigences prévues au titre I, chapitre IV, section 2, s’appliquent mutatis mutandis au niveau du groupe ». De fait, les modifications de l’article 41 de la directive Solvabilité 2 relatives à la gouvernance numérique des entreprises d’assurance et de réassurance au niveau individuel s’appliquent également à la gouvernance numérique des groupes (article 246 de Solvabilité 2). L’article 246 de Solvabilité 2 a notamment été transposé à l’article L. 356-18 du CDA qui réplique pour les groupes les dispositions de l’article L. 354-1 du même code. L’article 49 modifie donc l’article L. 356-18 du CDA exactement dans les mêmes termes que l’article L. 354-1 traité à l’article 48.

L’article 50 permet, symétriquement à l’article 48, d’appliquer aux mutuelles et unions du CMUT les nouvelles exigences en matière de gouvernance des risques numériques induites par la modification de l’article 41 paragraphe 4 de la directive Solvabilité 2. En effet, l’article 41 modifié par la directive DORA est également transposé, dans le CMUT, à l’article L. 211-12, qu’il convient donc d’amender en conséquence et dans les mêmes termes que l’article L. 354-1 du CDA.

L’article 51 supprime les redondances entre l’article L. 211-12 et L. 212-1 du CMUT. En effet, l’article L. 212-1, dans sa version actuelle, prévoit que les mutuelles et unions du CMUT doivent appliquer les dispositions du titre V du livre III du CDA, notamment l’article L. 354-1. Dans la mesure où l’article L. 211-12 du CMUT reproduit exactement les termes de l’article L. 354-1 du CDA et est modifié de la même façon dans le cadre de la transposition de la directive DORA, il n’apparaît dès lors pas nécessaire de maintenir dans l’article L. 212-1 du CMUT le renvoi vers cet article du CDA. C’est pourquoi l’article 51 de ce projet de loi exclut expressément l’application de l’article L. 354-1 du CDA pour les mutuelles et unions du CMUT. La rédaction proposée est alignée avec celle de l’article L. 931-9 du CSS qui exclut lui-aussi l’application de l’article L. 354-1 du CDA pour les instituts de prévoyance et les unions du CSS.

L’article 52 permet, symétriquement aux articles 48 et 50, d’appliquer aux instituts de prévoyance et unions du CSS les nouvelles exigences en matière de gouvernance des risques numériques induites par la modification de l’article 41 paragraphe 4 de la directive Solvabilité 2. En effet, cet article 41 modifié par la directive DORA est également transposé, dans le CSS, à l’article L. 931-7, qu’il convient donc d’amender en conséquence et dans les mêmes termes que les articles L. 354-1 du CDA et L. 211-12 du CMUT. Source : Sénat.fr


Chat Icon