Les trois autorités européennes de supervision financière (AES) ont fini de passer à la loupe la proposition de loi sur la résilience opérationnelle numérique (‘Digital Operational Resilience Act’ ou DORA) présentée par la Commission européenne en septembre (EUROPE 12567/4). Dans une lettre, adressée mardi 9 février au Parlement européen, au Conseil de l'UE et à la Commission européenne, elles rendent leur verdict.
Sur le principe, les AES disent ‘oui’, mais elles mettent en garde : « La mise en œuvre réussie de ce cadre de surveillance à l'échelle de l'UE exige l'octroi des pouvoirs et du mandat appropriés, ainsi que des ressources et de l'expertise nécessaires », écrivent-elles.
Le projet de loi propose la mise en place d’un nouveau cadre de surveillance des fournisseurs de services technologiques considérés comme systémiques ('critical ICT third-party service providers'). Il confie pour cela aux AES de nouveaux pouvoirs : réaliser des inspections dans les locaux de ces fournisseurs, adresser des recommandations, ou encore s'opposer à certains montages qui affecteraient la stabilité de l'entité financière faisant appel aux services du prestataire.
Tout d’abord, selon les autorités européennes, une précision s’impose : « Le rôle de surveillance proposé pour les AES est limité aux risques liés aux technologies de l’information et de la communication que les fournisseurs de services technologiques considérés comme systémiques peuvent présenter pour les entités financières, et la surveillance actuellement envisagée n'équivaudra pas à une supervision complète de ces fournisseurs dans toute leur gamme d'activités ».
Est aussi pointée la complexité de la gouvernance et du processus décisionnel envisagé, qui est réparti entre le forum de supervision, le comité mixte des AES et les conseils des autorités de surveillance de chaque AES. Les trois autorités proposent à la place la création d'un organe exécutif commun aux AES qui intégrerait le rôle du forum de supervision et serait responsable du travail de surveillance global.
Autre lacune identifiée dans la lettre : le décalage entre les pouvoirs donnés aux AES pour mener leur travail de surveillance et le manque de pouvoirs permettant le suivi de leurs propres recommandations.
Par ailleurs, les autorités soulignent que les ressources allouées sont insuffisantes face à l'ampleur et à la complexité de ces nouvelles tâches, une situation qui risque de compromettre l'efficacité du cadre de surveillance.
Voir la lettre : https://bit.ly/2OuP00D (Marion Fontana)