[Access official publication in French]

A. Questions générales

Q-A1 : Y-a-t-il eu des évolutions majeures qui amènent à actualiser certaines informations transmises lors des réunions de Place de l’ACPR du 9 octobre 2025 ?

Oui. Des corrections apparaissent en rouge dans les supports de présentation sur cette page. Elles sont apportées afin de prendre en compte l’évolution des travaux conduits au niveau européen sur es normes techniques de réglementation (RTS) et normes techniques d’exécution (ITS).

Q-A2 : L’adresse email de contact [email protected] est-elle toujours valable après l’entrée en application de DORA au 17 janvier 2025 ?

À partir du 17 janvier 2025, l’adresse email de contact ne sera plus utilisée pour les échanges entre l’ACPR et les entités financières. Les échanges devront passer nécessairement par les services de contrôle habituels via le portail de l’ACPR.

B. Reporting

Q-B1 : En attendant l’examen et l’adoption du projet de loi relatif à la résilience des infrastructures critiques et au renforcement de la cybersécurité visant à transposer la Directive (UE) 2022/2556 du 14 décembre 2022 (DORA) ainsi que la révision de l’Accord monétaire entre l’Union européenne et la Principauté de Monaco, quelles sont les obligations réglementaires qui s’appliquent aux entités financières au 17 janvier 2025 ?

Le calendrier d’examen du projet de loi Résilience est sans conséquence sur les exigences du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier (DORA) qui s’appliquent en l’état aux entités financières visées à l’article 2 de ce règlement dès le 17 janvier 2025.

En l’absence d’adoption du projet de loi Résilience, les succursales de pays tiers d’établissement de crédit au sens du premier alinéa du I de l'article L. 511-10 du code monétaire et financier, les succursales de pays tiers d’entreprise d’investissement au sens du L. 532-48 du même code ainsi que les sociétés de financement au sens du II du L. 511-1 du même code ne sont pas tenues d’appliquer les exigences du règlement DORA au 17 janvier 2025.

Dans l’attente d’une révision de l’Accord monétaire entre l’Union européenne et la Principauté de Monaco, les établissements financiers monégasques ne sont pas tenues d’appliquer les exigences du règlement DORA au 17 janvier 2025.

Q-B2 : À partir de quelle date et selon quelles modalités les entités financières doivent-elles déclarer les incidents majeurs liés aux TIC et les incidents opérationnels ou de sécurité majeurs liés au paiement ?

Les entités financières visées à l’article 2 du règlement (UE) 2022/2554 DORA relevant de la compétence de l’ACPR ainsi que les établissements de crédit classés comme importants doivent déclarer sur base individuelle, à l’ACPR, à partir du 17 janvier 2025

• tous les incidents majeurs liés aux TIC visés à l’article 19(1) du règlement DORA. Les caractéristiques de significativité permettant d’identifier ces incidents sont prévus à l’article 8 et 9 du Règlement délégué (UE) 2024/1772 de la Commission du 13 mars 2024 ;
• tous les incidents opérationnels ou de sécurité liés au paiement concernant les établissements de crédit, les établissements de paiement, les prestataires de services d’information sur les comptes et les établissements de monnaie électronique visés à l’article 23 du règlement DORA.

En attendant la publication au journal officiel de l’Union européenne du règlement d’exécution de la Commission européenne définissant des normes techniques d’exécution (ITS) concernant les formats de déclaration des incidents qui sera le texte de référence dès son entrée en application, il est attendu que les entités financières, de manière temporaire, remettent leurs déclarations d’incidents selon les modalités prévues par le projet d’ITS (notamment à son Annexe I et II) présenté au lien suivant : JC 2024-33 - Final report on the draft RTS and ITS on incident reporting.

Ces incidents doivent être transmis au format .JSON et ne sont pas revêtus d’une signature électronique.

Les déclarations sont à effectuer via le portail OneGate de l’ACPR. Toutefois, lors de la période d’indisponibilité de OneGate entre minuit et 04h00 ainsi que le dimanche, les déclarations devront exceptionnellement être adressées à l’ACPR par courriel à l’adresse suivante : [email protected]

Externalisation des obligations de déclaration :

Les entités financières peuvent externaliser les obligations de déclaration à un prestataire tiers de services dans les conditions prévues à l’article 19(5) du règlement DORA. Elles doivent toutefois impérativement en informer l’ACPR dès la signature de l’accord d’externalisation, et au plus tard avant la première notification de ce type. Les entités financières doivent, en cette occasion, communiquer à l’ACPR le nom, les informations de contact et un code permettant d’identifier le prestataire tiers de services qui déclarera les incidents. Les demandes sont à adresser par courriel à l’adresse suivante : [email protected], en complétant le formulaire de déclaration d’externalisation de notification des incidents majeurs.