Nous vous avions parlé, en novembre dernier, de ce nouveau règlement européen sur la résilience du secteur financier aux risques cyber.
Ce texte vise à harmoniser les exigences de résilience numériques des entités financières européennes afin que toutes les entreprises du secteur puissent être en mesure de contrer la plupart des menaces cyber.
Le règlement DORA a donc été adopté le 14 décembre dernier, puis publié officiellement le 27 décembre mais ne sera applicable qu’à partir du 17 janvier 2025. Ce délai relativement long permettra aux entités financières concernées, notamment les entreprises d’assurances et de réassurances de se préparer et se mettre en conformité.
Nous reviendrons plus en détails sur ce texte au premier semestre 2023.
Consultez ici l’intégralité du document : RÈGLEMENT (UE) 2022/2554 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 14 décembre 2022
Fin de ce mois de novembre, le Conseil de l’Union Européenne a adopté la nouvelle directive SRI 2 (ou NIS 2 en anglais) renforçant les exigences de résilience en matière de cybersécurité.
La directive SRI 2 vient remplacer l‘actuelle directive sur la sécurité des réseaux et des systèmes d’information (SRI 1).
Les objectifs de cette nouvelle directive sont nombreux à commencer par le renfort de la gestion des risques, des incidents et de la coopération. En effet, la directive prévoit les mesures de base de gestion des risques en cybersécurité et la liste des secteurs pour lesquels les signalements d’incidents seront une obligation.
La directive définit également les mécanismes d’une coopération efficace entre les autorités nationales compétentes de chaque État membre.
La directive instaure également le réseau européen d’organisation de liaison en cas de crises de cybersécurité (UE-CyCLONE).
La directive prévoit un élargissement du champ d’application de la directive. Là où auparavant les États membres devaient eux-mêmes qualifier les opérateurs de services essentiels, la nouvelle directive guide plus encore les États membres : « Cela signifie que toutes les moyennes et grandes entités opérant dans les secteurs couverts par la directive ou fournissant des services qui en relèvent rentreront dans son champ d’application ».
Concrètement, la directive propose des dispositions supplémentaires pour une meilleure proportionnalité et un niveau plus élevé de gestion des risques. Le champ d’application exclut néanmoins les domaines de la défense ou sécurité nationale, la sécurité publique, l’application des lois ainsi que les parlements et les banques centrales.
A noter attentivement que cette directive s’aligne sur le règlement sur la résilience opérationnelle numérique du secteur financier (DORA) et sur la directive sur la résilience des entités critiques (CER) pour une cohérence textuelle importante au sein de l’Union.
SRI 2 prévoit enfin un mécanisme d’apprentissage volontaire par les pairs afin d’augmenter de manière commune la résilience en cybersécurité des divers acteurs dans l’Union.
Prochaines étapes ? La publication au JO de l’Union Européenne, l’entrée en vigueur officielle du texte (20 jours après la publication au JO) puis les États membres auront 21 mois pour intégrer les dispositions dans le droit national.
Consultez ici le communiqué du Conseil de l’UE : L’UE décide de renforcer la cybersécurité et la résilience dans l’ensemble de l’Union: adoption d’une nouvelle directive par le Conseil ; Proposition de directive du Parlement européen et du Conseil concernant des mesures destinées à assurer un niveau élevé commun de cybersécurité dans l’ensemble de l’Union, abrogeant la directive (UE) 2016/1148
La proposition de remboursement par les assureurs des pertes et dommages résultant des cyberattaques, introduite par le projet de loi d’orientation et de programmation du ministère de l’intérieur (LOMPI) a été à nouveau modifiée par les députés en procédure accélérée !
Les conditions d’octroi de garantie, qui seront imposées par le nouvel article L. 12-10-1 du Code des assurances, se trouvent ainsi allégées et clarifiées par rapport à celles qui avaient été adoptées par le Sénat en octobre dernier.
En effet, le remboursement visera tout d’abord à indemniser les assurés victimes, personnes physiques ou morales agissant dans le cadre de leur activité professionnelle, suite à une atteinte à un système de traitement automatisé de données qualifié ainsi par le Code pénal.
Il sera subordonné ensuite :
Une commission mixte paritaire doit à présent se réunir pour tenter de trouver un compromis sur le projet de texte.
Les dispositions du projet de loi d’orientation et de programmation du ministère de l’intérieur (LOMPI) visant à encadrer les conditions de remboursement par les assureurs de risques cyber des rançons payées par leurs assurés à l’occasion d’une cyberattaque (article 4) ont été adoptées le 18 octobre dernier en première lecture du texte au Sénat.
A noter que ces dispositions ont connu de vives oppositions, fondées essentiellement sur la politique traditionnellement adoptée par les autorités, de refuser le paiement des rançons à des cyber attaquants, afin de ne pas encourager le développement de tout un système parallèle de criminalité.
Ainsi, à ce stade, en l’état des amendements qui ont été adoptées au Sénat sur ces dispositions, le remboursement des rançons des cyberattaques par les organismes assurant ce risque ne sera servi à la victime assurée que sous la condition du dépôt par cette dernière d’une pré-plainte auprès des autorités compétentes au plus tard dans le délai de 24 heures suivant l’attaque et avant tout paiement de la rançon.
A l’origine, il était envisagé que ce remboursement n’intervienne que sous conditions du dépôt d’une plainte dans les 48 heures au plus tard après le paiement de la rançon.
Consultez ici l’intégralité du document : Projet de loi d’orientation et de programmation du ministère de l’intérieur adopté en première lecture au Sénat (18 oct. 2022)
