La mise en œuvre de la directive Dora sur la résilience informatique franchit une nouvelle étape. Les agences de supervision européennes, dont fait partie l’Eiopa, viennent de publier le second lot de normes techniques.

Le 17 janvier 2025, le secteur de l’assurance devra se mettre en conformité avec les nouvelles obligations de la directive Dora sur la résilience opérationnelle numérique. S’il ne reste que six mois avant la date butoir, le marché attendait la dernière levée des normes techniques (RTS) des autorités de supervision européennes.

Elles sont désormais publiques. L’EBA, l’Esma et l’Eiopa ont dévoilé conjointement le second lot de RTS le 17 juillet. Ce dernier intègre quatre textes. Deux lignes directrices complètent cette salve de publications.

Côté normes techniques, le premier texte définit le format, les modèles et les délais pour signaler les incidents majeurs liés aux opérateurs de technologie de l’information et de la communication (TIC) ainsi que les cybermenaces importantes. L’ambition est de créer une vision normalisée sur le continent.

JET et TLPT

La seconde publication encadre quant à elle les activités de surveillance menées par les autorités de supervision de chaque État membre afin d’harmoniser la régulation européenne. Le troisième texte précise les critères de détermination de la Joint examination team (JET). Il s’agit d’une sorte de strike team qui rassemble des collaborateurs des différentes autorités de supervision européennes. Elle a pour mission de mener des « évaluations approfondies de la résilience opérationnelle numérique au sein des entités financières » dans l’UE.

Enfin, le quatrième RTS décrit les exigences autour des Threat-led penetration tests (TLPT). Ces tests de sécurité concernent les entités financières dont une défaillance numérique pourrait avoir des conséquences systémiques. Ils visent à simuler de véritables attaques sur l’intégralité des systèmes informatiques. Que ce soit par une intrusion à distance ou une intrusion physique dans les locaux desdites institutions.

Les deux lignes directrices visent, pour leur part, deux objectifs. Le premier est de fournir un cadre pour estimer les coûts et les pertes cumulés résultant d'incidents majeurs liés aux TIC. Et ainsi évaluer leurs impacts financiers pour mieux les atténuer. Le second sert à renforcer la coopération entre les différents organes de surveillance au niveau européen.

Pour rappel, toutes ces normes entrent en vigueur à compter du 17 janvier 2025. Mais certains assureurs préviennent déjà. Ils ne seront pas prêts à 100% à cette date.