Les autorités européennes de surveillance (AES) ont publié deux avis communs répondant aux demandes formulées par la Commission européenne dans son plan d’action FinTech de mars 2018:
- Avis commun sur la nécessité d’améliorations législatives concernant les exigences de gestion des risques liés aux technologies de l’information et de la communication (TIC) dans le secteur financier de l’Union européenne (UE)
- Avis commun sur les coûts et les avantages d’un cadre cohérent de tests de cyber-résilience pour les acteurs du marché et les infrastructures importants du secteur financier de l’UE
En ce qui concerne la nécessité d’améliorer la législation, lors de l’élaboration de l’avis conjoint, l’objectif des AES était de soumettre toutes les entités concernées à des exigences générales claires en matière de gouvernance des TIC, y compris la cybersécurité, afin de garantir la sécurité des services réglementés. Guidés par cet objectif, les propositions présentées dans l’avis visent à renforcer la résilience opérationnelle et l’harmonisation dans le secteur financier de l’UE en appliquant des modifications à leurs législations sectorielles respectives. Le signalement des incidents est très important pour la gestion des risques liés aux TIC et permet aux entités et aux autorités concernées d’enregistrer, de surveiller, d’analyser et de réagir aux incidents liés aux TIC, à la sécurité des TIC et à la fraude. Par conséquent, les AES appellent à la rationalisation des aspects des cadres de compte rendu des incidents dans l’ensemble du secteur financier. En outre, les AES suggèrent d’envisager une solution législative pour un cadre de surveillance approprié permettant de surveiller les activités des fournisseurs de services tiers essentiels.
En ce qui concerne les coûts et les avantages d’un cadre cohérent de tests de cyber-résilience, les AES voient clairement les avantages d’un tel cadre. Cependant, il existe actuellement des différences significatives entre les secteurs financiers et au sein de ceux-ci en ce qui concerne le niveau de maturité de la cybersécurité. À court terme, les AES conseillent de mettre l’accent sur un niveau minimal de cyber-résilience dans tous les secteurs, proportionnel aux besoins et aux caractéristiques des entités concernées. En outre, les AES proposent d’établir, sur une base volontaire, un cadre de test cohérent à l’échelle de l’UE en collaboration avec d’autres autorités compétentes, en tenant compte des initiatives existantes et en mettant l’accent sur les tests de pénétration du plomb par la menace. À long terme, les AES visent à garantir un niveau de maturité informatique suffisant des entités intersectorielles identifiées.
Pour mettre en œuvre les actions proposées, les AES mettent en évidence la base juridique requise et le mandat explicite, nécessaires au développement et à la mise en œuvre d’un cadre cohérent de test de la résilience dans tous les secteurs financiers par les AES, en coopération avec d’autres autorités compétentes.
Contexte
Le plan d’action FinTech de la Commission européenne de mars 2018 demande spécifiquement aux AES:
- Mapper, d’ici le premier trimestre 2019, les pratiques de surveillance existantes dans tous les secteurs financiers autour des exigences de sécurité et de gouvernance des TIC et, le cas échéant: a) envisager de publier des lignes directrices visant à la convergence de la surveillance et à la mise en œuvre des exigences de gestion et d’atténuation des risques liés aux TIC dans le secteur financier de l’UE et , b) si nécessaire, fournit à la Commission des conseils techniques sur la nécessité d’améliorer la législation.
- Évaluer, d’ici le quatrième trimestre 2018 (maintenant le premier trimestre 2019), les coûts et les avantages de la mise en place d’un cadre cohérent de tests de cyber-résilience pour les acteurs importants du marché et des infrastructures dans l’ensemble du secteur financier de l’UE.