{"id":1134,"date":"2024-01-29T16:47:57","date_gmt":"2024-01-29T16:47:57","guid":{"rendered":"https:\/\/nis2resources.eu\/?page_id=1134"},"modified":"2024-08-11T19:28:36","modified_gmt":"2024-08-11T19:28:36","slug":"preambule","status":"publish","type":"page","link":"https:\/\/nis2resources.eu\/fr\/directive-4\/preambule\/","title":{"rendered":"Pr\u00e9ambule"},"content":{"rendered":"
Consid\u00e9rant que<\/p>\n\n\n\n
du 14 d\u00e9cembre 2022<\/p>\n\n\n\n
sur la r\u00e9silience op\u00e9rationnelle num\u00e9rique du secteur financier et modifiant les r\u00e8glements (CE) n\u00b0 1060\/2009, (UE) n\u00b0 648\/2012, (UE) n\u00b0 600\/2014, (UE) n\u00b0 909\/2014 et (UE) 2016\/1011<\/p>\n\n\n\n
(Texte pr\u00e9sentant de l'int\u00e9r\u00eat pour l'EEE)<\/p>\n\n\n\n
LE PARLEMENT EUROP\u00c9EN ET LE CONSEIL DE L'UNION EUROP\u00c9ENNE,<\/p>\n\n\n\n
vu le trait\u00e9 sur le fonctionnement de l'Union europ\u00e9enne, et notamment son article 114, vu la proposition de la Commission europ\u00e9enne, apr\u00e8s transmission du projet d'acte l\u00e9gislatif aux parlements nationaux, vu l'avis de la Banque centrale europ\u00e9enne (1), vu l'avis du Comit\u00e9 \u00e9conomique et social europ\u00e9en (2), statuant conform\u00e9ment \u00e0 la proc\u00e9dure l\u00e9gislative ordinaire (3),<\/p>\n\n\n\n
Consid\u00e9rant que<\/p>\n\n\n\n
(1) \u00c0 l'\u00e8re num\u00e9rique, les technologies de l'information et de la communication (TIC) soutiennent des syst\u00e8mes complexes utilis\u00e9s dans les activit\u00e9s quotidiennes. Elles permettent \u00e0 nos \u00e9conomies de fonctionner dans des secteurs cl\u00e9s, notamment le secteur financier, et am\u00e9liorent le fonctionnement du march\u00e9 int\u00e9rieur. La num\u00e9risation et l'interconnexion accrues amplifient \u00e9galement les TIC risqueRisque<\/span> d\u00e9signe le potentiel de perte ou de perturbation caus\u00e9 par un incident et doit \u00eatre exprim\u00e9 comme une combinaison de l'ampleur de cette perte ou de cette perturbation et de la probabilit\u00e9 d'occurrence de l'incident. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span>La r\u00e9silience num\u00e9rique est un \u00e9l\u00e9ment essentiel de l'\u00e9conomie de l'Union, qui rend la soci\u00e9t\u00e9 dans son ensemble, et le syst\u00e8me financier en particulier, plus vuln\u00e9rables aux cybermenaces ou aux perturbations li\u00e9es aux TIC. Alors que l'utilisation omnipr\u00e9sente des syst\u00e8mes TIC et le degr\u00e9 \u00e9lev\u00e9 de num\u00e9risation et de connectivit\u00e9 sont aujourd'hui au c\u0153ur des activit\u00e9s des entit\u00e9s financi\u00e8res de l'Union, leur r\u00e9silience num\u00e9rique doit encore \u00eatre mieux prise en compte et int\u00e9gr\u00e9e dans leurs cadres op\u00e9rationnels plus larges.<\/p>\n\n\n\n (2) Au cours des derni\u00e8res d\u00e9cennies, l'utilisation des TIC a jou\u00e9 un r\u00f4le central dans la fourniture de services financiers, au point d'avoir acquis une importance cruciale dans le fonctionnement des fonctions quotidiennes typiques de toutes les entit\u00e9s financi\u00e8res. La num\u00e9risation couvre d\u00e9sormais, par exemple, les paiements, qui sont de plus en plus souvent effectu\u00e9s au moyen de solutions num\u00e9riques plut\u00f4t qu'en esp\u00e8ces ou sur papier, ainsi que la compensation et le r\u00e8glement des titres, le commerce \u00e9lectronique et algorithmique, les op\u00e9rations de pr\u00eat et de financement, le financement peer-to-peer, la notation de cr\u00e9dit, la gestion des sinistres et les op\u00e9rations d'arri\u00e8re-guichet. Le secteur de l'assurance a \u00e9galement \u00e9t\u00e9 transform\u00e9 par l'utilisation des TIC, depuis l'\u00e9mergence d'interm\u00e9diaires d'assurance offrant leurs services en ligne et op\u00e9rant avec InsurTech, jusqu'\u00e0 la souscription d'assurance num\u00e9rique. La finance est non seulement devenue largement num\u00e9rique dans l'ensemble du secteur, mais la num\u00e9risation a \u00e9galement approfondi les interconnexions et les d\u00e9pendances au sein du secteur financier et avec des infrastructures et des fournisseurs de services tiers.<\/p>\n\n\n\n (3) Le Comit\u00e9 europ\u00e9en du risque syst\u00e9mique (CERS) a r\u00e9affirm\u00e9, dans un rapport sur le risque syst\u00e9mique cybern\u00e9tique publi\u00e9 en 2020, que le niveau \u00e9lev\u00e9 d'interconnexion entre les entit\u00e9s financi\u00e8res, les march\u00e9s financiers et les infrastructures des march\u00e9s financiers, et en particulier les interd\u00e9pendances de leurs syst\u00e8mes de TIC, pourrait constituer un risque syst\u00e9mique. vuln\u00e9rabilit\u00e9Vuln\u00e9rabilit\u00e9<\/span> Faiblesse, susceptibilit\u00e9 ou d\u00e9faut des produits ou services TIC pouvant \u00eatre exploit\u00e9s par une cybermenace. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> car des cyberincidents localis\u00e9s pourraient rapidement se propager de l'une des quelque 22 000 entit\u00e9s financi\u00e8res de l'Union \u00e0 l'ensemble du syst\u00e8me financier, sans tenir compte des fronti\u00e8res g\u00e9ographiques. Les violations graves des TIC qui se produisent dans le secteur financier n'affectent pas seulement les entit\u00e9s financi\u00e8res prises isol\u00e9ment. Elles ouvrent \u00e9galement la voie \u00e0 la propagation de vuln\u00e9rabilit\u00e9s localis\u00e9es dans les canaux de transmission financi\u00e8re et peuvent avoir des cons\u00e9quences n\u00e9gatives sur la stabilit\u00e9 du syst\u00e8me financier de l'Union, telles que des retraits de liquidit\u00e9s et une perte g\u00e9n\u00e9rale de confiance dans les march\u00e9s financiers.<\/p>\n\n\n\n (4) Ces derni\u00e8res ann\u00e9es, les risques li\u00e9s aux TIC ont attir\u00e9 l'attention des d\u00e9cideurs politiques, des r\u00e9gulateurs et des autorit\u00e9s de r\u00e9gulation au niveau international, communautaire et national. standardStandard<\/span> Une sp\u00e9cification technique, adopt\u00e9e par un organisme de normalisation reconnu, pour une application r\u00e9p\u00e9t\u00e9e ou continue, dont le respect n'est pas obligatoire, et qui est l'une des suivantes :\r(a) \"norme internationale\", une norme adopt\u00e9e par un organisme international de normalisation ; b) \"norme europ\u00e9enne\", une norme adopt\u00e9e par un organisme europ\u00e9en de normalisation ; c) \"norme harmonis\u00e9e\", une norme europ\u00e9enne adopt\u00e9e sur la base d'une demande d'application de la l\u00e9gislation d'harmonisation de l'Union formul\u00e9e par la Commission ; d) \"norme nationale\", une norme adopt\u00e9e par un organisme national de normalisation - D\u00e9finition selon l'article 2, point 1), du r\u00e8glement (UE) n\u00b0 1025\/2012 du Parlement europ\u00e9en et du Conseil.<\/span><\/span><\/span>-Les organismes de normalisation ont pour mission d'am\u00e9liorer la r\u00e9silience num\u00e9rique, de fixer des normes et de coordonner les travaux de r\u00e9glementation ou de surveillance. Au niveau international, le Comit\u00e9 de B\u00e2le sur le contr\u00f4le bancaire, le Comit\u00e9 sur les paiements et les infrastructures de march\u00e9, le Conseil de stabilit\u00e9 financi\u00e8re, l'Institut de stabilit\u00e9 financi\u00e8re, ainsi que le G7 et le G20 visent \u00e0 fournir aux autorit\u00e9s comp\u00e9tentes et aux op\u00e9rateurs de march\u00e9 de diverses juridictions des outils pour renforcer la r\u00e9silience de leurs syst\u00e8mes financiers. Ces travaux ont \u00e9galement \u00e9t\u00e9 motiv\u00e9s par la n\u00e9cessit\u00e9 de prendre d\u00fbment en compte le risque li\u00e9 aux TIC dans le contexte d'un syst\u00e8me financier mondial fortement interconnect\u00e9 et de rechercher une plus grande coh\u00e9rence des meilleures pratiques en la mati\u00e8re.<\/p>\n\n\n\n (5) Malgr\u00e9 les initiatives politiques et l\u00e9gislatives cibl\u00e9es de l'Union et des \u00c9tats membres, le risque li\u00e9 aux TIC continue de compromettre la r\u00e9silience op\u00e9rationnelle, les performances et la stabilit\u00e9 du syst\u00e8me financier de l'Union. Les r\u00e9formes qui ont suivi la crise financi\u00e8re de 2008 ont principalement renforc\u00e9 la r\u00e9silience financi\u00e8re du secteur financier de l'Union et visaient \u00e0 pr\u00e9server la comp\u00e9titivit\u00e9 et la stabilit\u00e9 de l'Union du point de vue \u00e9conomique, prudentiel et de la conduite du march\u00e9. Bien que la s\u00e9curit\u00e9 des TIC et la r\u00e9silience num\u00e9rique fassent partie du risque op\u00e9rationnel, elles ont \u00e9t\u00e9 moins au centre de l'agenda r\u00e9glementaire post-crise financi\u00e8re et n'ont \u00e9t\u00e9 d\u00e9velopp\u00e9es que dans certains domaines de la politique et du paysage r\u00e9glementaire des services financiers de l'Union, ou dans quelques \u00c9tats membres seulement.<\/p>\n\n\n\n (6) Dans sa communication du 8 mars 2018 intitul\u00e9e \"Plan d'action FinTech : Pour un secteur financier europ\u00e9en plus comp\u00e9titif et plus innovant\", la Commission a soulign\u00e9 l'importance primordiale de rendre le secteur financier de l'Union plus r\u00e9silient, y compris d'un point de vue op\u00e9rationnel pour garantir sa s\u00e9curit\u00e9 technologique et son bon fonctionnement, son r\u00e9tablissement rapide en cas de violation des TIC et d'incidents, permettant en fin de compte la fourniture efficace et harmonieuse de services financiers dans l'ensemble de l'Union, y compris dans des situations de stress, tout en pr\u00e9servant la confiance des consommateurs et du march\u00e9.<\/p>\n\n\n\n (7) En avril 2019, l'Autorit\u00e9 europ\u00e9enne de surveillance (Autorit\u00e9 bancaire europ\u00e9enne) (ABE) institu\u00e9e par le r\u00e8glement (UE) n\u00b0 1093\/2010 du Parlement europ\u00e9en et du Conseil (4), l'Autorit\u00e9 europ\u00e9enne de surveillance (Autorit\u00e9 europ\u00e9enne des assurances et des pensions professionnelles) (\"AEAPP\") institu\u00e9e par le r\u00e8glement (UE) n\u00b0 1094\/2010 du Parlement europ\u00e9en et du Conseil (5) et l'Autorit\u00e9 europ\u00e9enne de surveillance (Autorit\u00e9 europ\u00e9enne des march\u00e9s financiers), (\"ESMA\") institu\u00e9e par le r\u00e8glement (UE) no 1095\/2010 du Parlement europ\u00e9en et du Conseil (6) (appel\u00e9es collectivement \"autorit\u00e9s europ\u00e9ennes de surveillance\" ou \"AES\") ont publi\u00e9 conjointement un avis technique appelant \u00e0 une approche coh\u00e9rente du risque li\u00e9 aux TIC dans la finance et recommandant de renforcer, de mani\u00e8re proportionn\u00e9e, la r\u00e9silience op\u00e9rationnelle num\u00e9rique du secteur des services financiers par une initiative sectorielle de l'Union.<\/p>\n\n\n\n (8) Le secteur financier de l'Union est r\u00e9glement\u00e9 par un r\u00e8glement unique et r\u00e9gi par un syst\u00e8me europ\u00e9en de surveillance financi\u00e8re. N\u00e9anmoins, les dispositions relatives \u00e0 la r\u00e9silience op\u00e9rationnelle num\u00e9rique et \u00e0 la s\u00e9curit\u00e9 des TIC ne sont pas encore totalement ou syst\u00e9matiquement harmonis\u00e9es, bien que la r\u00e9silience op\u00e9rationnelle num\u00e9rique soit essentielle pour garantir la stabilit\u00e9 financi\u00e8re et l'int\u00e9grit\u00e9 du march\u00e9 \u00e0 l'\u00e8re num\u00e9rique, et qu'elle ne soit pas moins importante que, par exemple, des normes prudentielles ou de conduite du march\u00e9 communes. Le Single Rulebook et le syst\u00e8me de surveillance devraient donc \u00eatre d\u00e9velopp\u00e9s pour couvrir \u00e9galement la r\u00e9silience op\u00e9rationnelle num\u00e9rique, en renfor\u00e7ant les mandats des autorit\u00e9s comp\u00e9tentes pour leur permettre de superviser la gestion du risque li\u00e9 aux TIC dans le secteur financier afin de prot\u00e9ger l'int\u00e9grit\u00e9 et l'efficacit\u00e9 du march\u00e9 int\u00e9rieur et de faciliter son fonctionnement ordonn\u00e9.<\/p>\n\n\n\n (9) Les disparit\u00e9s l\u00e9gislatives et les approches nationales in\u00e9gales en mati\u00e8re de r\u00e9glementation ou de surveillance des risques li\u00e9s aux TIC constituent des obstacles au fonctionnement du march\u00e9 int\u00e9rieur des services financiers, entravant l'exercice harmonieux de la libert\u00e9 d'\u00e9tablissement et de la prestation de services pour les entit\u00e9s financi\u00e8res op\u00e9rant sur une base transfrontali\u00e8re. La concurrence entre le m\u00eame type d'entit\u00e9s financi\u00e8res op\u00e9rant dans diff\u00e9rents \u00c9tats membres pourrait \u00e9galement \u00eatre fauss\u00e9e. C'est le cas, en particulier, dans les domaines o\u00f9 l'harmonisation de l'Union a \u00e9t\u00e9 tr\u00e8s limit\u00e9e, comme les tests de r\u00e9silience op\u00e9rationnelle num\u00e9rique, ou absente, comme la surveillance des risques li\u00e9s aux TIC pour les tiers. Les disparit\u00e9s d\u00e9coulant des \u00e9volutions envisag\u00e9es au niveau national pourraient cr\u00e9er de nouveaux obstacles au fonctionnement du march\u00e9 int\u00e9rieur, au d\u00e9triment des acteurs du march\u00e9 et de la stabilit\u00e9 financi\u00e8re.<\/p>\n\n\n\n (10) \u00c0 ce jour, les dispositions relatives aux risques li\u00e9s aux TIC n'\u00e9tant que partiellement trait\u00e9es au niveau de l'Union, il existe des lacunes ou des chevauchements dans des domaines importants, tels que les risques li\u00e9s aux TIC. incidentIncident<\/span> Un \u00e9v\u00e9nement compromettant la disponibilit\u00e9, l'authenticit\u00e9, l'int\u00e9grit\u00e9 ou la confidentialit\u00e9 des donn\u00e9es stock\u00e9es, transmises ou trait\u00e9es ou des services offerts par les r\u00e9seaux et les syst\u00e8mes d'information ou accessibles par leur interm\u00e9diaire. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> Les risques li\u00e9s aux technologies de l'information et de la communication et les tests de r\u00e9silience op\u00e9rationnelle num\u00e9rique, ainsi que les incoh\u00e9rences r\u00e9sultant de l'\u00e9mergence de r\u00e8gles nationales divergentes ou de l'application inefficace de r\u00e8gles qui se chevauchent. Cette situation est particuli\u00e8rement pr\u00e9judiciable pour un utilisateur \u00e0 forte intensit\u00e9 de TIC tel que le secteur financier, \u00e9tant donn\u00e9 que les risques technologiques ne connaissent pas de fronti\u00e8res et que le secteur financier d\u00e9ploie ses services sur une large base transfrontali\u00e8re \u00e0 l'int\u00e9rieur et \u00e0 l'ext\u00e9rieur de l'Union. Les entit\u00e9s financi\u00e8res individuelles qui op\u00e8rent sur une base transfrontali\u00e8re ou qui d\u00e9tiennent plusieurs autorisations (par exemple, une soci\u00e9t\u00e9 financi\u00e8re, une soci\u00e9t\u00e9 d'assurance, une soci\u00e9t\u00e9 d'assurance, une soci\u00e9t\u00e9 de gestion, etc. entit\u00e9Entit\u00e9<\/span> Une personne physique ou morale cr\u00e9\u00e9e et reconnue comme telle par le droit national de son lieu d'\u00e9tablissement, qui peut, en agissant sous son propre nom, exercer des droits et \u00eatre soumise \u00e0 des obligations. D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a><\/span><\/span><\/span> peuvent avoir une licence de banque, d'entreprise d'investissement et d'\u00e9tablissement de paiement, chacune d\u00e9livr\u00e9e par une autorit\u00e9 comp\u00e9tente diff\u00e9rente dans un ou plusieurs \u00c9tats membres) sont confront\u00e9s \u00e0 des d\u00e9fis op\u00e9rationnels pour faire face aux risques li\u00e9s aux TIC et att\u00e9nuer les effets n\u00e9gatifs des incidents li\u00e9s aux TIC de mani\u00e8re autonome et coh\u00e9rente en termes de co\u00fbt-efficacit\u00e9.<\/p>\n\n\n\n (11) \u00c9tant donn\u00e9 que le Single Rulebook n'a pas \u00e9t\u00e9 accompagn\u00e9 d'un cadre global pour les TIC ou le risque op\u00e9rationnel, il est n\u00e9cessaire de poursuivre l'harmonisation des principales exigences en mati\u00e8re de r\u00e9silience op\u00e9rationnelle num\u00e9rique pour toutes les entit\u00e9s financi\u00e8res. Le d\u00e9veloppement des capacit\u00e9s TIC et de la r\u00e9silience globale des entit\u00e9s financi\u00e8res, sur la base de ces exigences cl\u00e9s, en vue de r\u00e9sister aux pannes op\u00e9rationnelles, contribuerait \u00e0 pr\u00e9server la stabilit\u00e9 et l'int\u00e9grit\u00e9 des march\u00e9s financiers de l'Union et, partant, \u00e0 assurer un niveau \u00e9lev\u00e9 de protection des investisseurs et des consommateurs dans l'Union. \u00c9tant donn\u00e9 que le pr\u00e9sent r\u00e8glement vise \u00e0 contribuer au bon fonctionnement du march\u00e9 int\u00e9rieur, il devrait \u00eatre fond\u00e9 sur les dispositions de l'article 114 du trait\u00e9 sur le fonctionnement de l'Union europ\u00e9enne (TFUE), telles qu'interpr\u00e9t\u00e9es conform\u00e9ment \u00e0 la jurisprudence constante de la Cour de justice de l'Union europ\u00e9enne (ci-apr\u00e8s d\u00e9nomm\u00e9e \"Cour de justice\").<\/p>\n\n\n\n (12) Le pr\u00e9sent r\u00e8glement vise \u00e0 consolider et \u00e0 am\u00e9liorer les exigences relatives au risque TIC dans le cadre des exigences relatives au risque op\u00e9rationnel qui, jusqu'\u00e0 pr\u00e9sent, ont \u00e9t\u00e9 trait\u00e9es s\u00e9par\u00e9ment dans divers actes juridiques de l'Union. Si ces actes couvraient les principales cat\u00e9gories de risques financiers (par exemple, le risque de cr\u00e9dit, le risque de march\u00e9, le risque de cr\u00e9dit de contrepartie et le risque de liquidit\u00e9, le risque de comportement sur le march\u00e9), ils n'abordaient pas de mani\u00e8re exhaustive, au moment de leur adoption, toutes les composantes de la r\u00e9silience op\u00e9rationnelle. Les r\u00e8gles relatives au risque op\u00e9rationnel, lorsqu'elles ont \u00e9t\u00e9 d\u00e9velopp\u00e9es dans ces actes juridiques de l'Union, ont souvent privil\u00e9gi\u00e9 une approche quantitative traditionnelle pour traiter le risque (\u00e0 savoir la fixation d'une exigence de fonds propres pour couvrir le risque li\u00e9 aux TIC) plut\u00f4t que des r\u00e8gles qualitatives cibl\u00e9es pour les capacit\u00e9s de protection, de d\u00e9tection, de confinement, de r\u00e9cup\u00e9ration et de r\u00e9paration en cas d'incidents li\u00e9s aux TIC, ou pour les capacit\u00e9s d'\u00e9tablissement de rapports et de tests num\u00e9riques. Ces actes \u00e9taient principalement destin\u00e9s \u00e0 couvrir et \u00e0 mettre \u00e0 jour les r\u00e8gles essentielles en mati\u00e8re de surveillance prudentielle, d'int\u00e9grit\u00e9 du march\u00e9 ou de comportement. En consolidant et en actualisant les diff\u00e9rentes r\u00e8gles relatives au risque li\u00e9 aux TIC, toutes les dispositions relatives au risque num\u00e9rique dans le secteur financier devraient, pour la premi\u00e8re fois, \u00eatre regroup\u00e9es de mani\u00e8re coh\u00e9rente dans un seul et m\u00eame acte l\u00e9gislatif. Par cons\u00e9quent, le pr\u00e9sent r\u00e8glement comble les lacunes ou rem\u00e9die aux incoh\u00e9rences de certains actes juridiques ant\u00e9rieurs, notamment en ce qui concerne la terminologie utilis\u00e9e, et fait explicitement r\u00e9f\u00e9rence au risque li\u00e9 aux TIC par le biais de r\u00e8gles cibl\u00e9es sur les capacit\u00e9s de gestion du risque li\u00e9 aux TIC, le signalement des incidents, les tests de r\u00e9silience op\u00e9rationnelle et la surveillance du risque li\u00e9 aux TIC pour les tiers. Le pr\u00e9sent r\u00e8glement devrait donc \u00e9galement sensibiliser au risque li\u00e9 aux TIC et reconna\u00eetre que les incidents li\u00e9s aux TIC et le manque de r\u00e9silience op\u00e9rationnelle peuvent compromettre la solidit\u00e9 des entit\u00e9s financi\u00e8res.<\/p>\n\n\n\n (13) Les entit\u00e9s financi\u00e8res devraient suivre la m\u00eame approche et les m\u00eames r\u00e8gles fond\u00e9es sur des principes lorsqu'elles traitent le risque li\u00e9 aux TIC, en tenant compte de leur taille et de leur profil de risque global, ainsi que de la nature, de l'\u00e9chelle et de la complexit\u00e9 de leurs services, de leurs activit\u00e9s et de leurs op\u00e9rations. La coh\u00e9rence contribue \u00e0 renforcer la confiance dans le syst\u00e8me financier et \u00e0 pr\u00e9server sa stabilit\u00e9, en particulier en p\u00e9riode de forte d\u00e9pendance \u00e0 l'\u00e9gard des syst\u00e8mes, plateformes et infrastructures TIC, ce qui entra\u00eene un risque num\u00e9rique accru. L'observation d'une cyberhygi\u00e8ne de base devrait \u00e9galement permettre d'\u00e9viter d'imposer des co\u00fbts \u00e9lev\u00e9s \u00e0 l'\u00e9conomie en minimisant l'impact et les co\u00fbts des perturbations des TIC.<\/p>\n\n\n\n (14) Un r\u00e8glement contribue \u00e0 r\u00e9duire la complexit\u00e9 de la r\u00e9glementation, \u00e0 favoriser la convergence en mati\u00e8re de surveillance et \u00e0 renforcer la s\u00e9curit\u00e9 juridique, ainsi qu'\u00e0 limiter les co\u00fbts de mise en conformit\u00e9, en particulier pour les entit\u00e9s financi\u00e8res exer\u00e7ant des activit\u00e9s transfrontali\u00e8res, et \u00e0 r\u00e9duire les distorsions de concurrence. Par cons\u00e9quent, le choix d'un r\u00e8glement pour l'\u00e9tablissement d'un cadre commun pour la r\u00e9silience num\u00e9rique op\u00e9rationnelle des entit\u00e9s financi\u00e8res est le moyen le plus appropri\u00e9 de garantir une application homog\u00e8ne et coh\u00e9rente de toutes les composantes de la gestion des risques li\u00e9s aux TIC par le secteur financier de l'Union.<\/p>\n\n\n\n (15) La directive (UE) 2016\/1148 du Parlement europ\u00e9en et du Conseil (7) a \u00e9t\u00e9 la premi\u00e8re directive horizontale \u00e0 \u00eatre adopt\u00e9e par le Parlement europ\u00e9en et le Conseil. cybers\u00e9curit\u00e9Cybers\u00e9curit\u00e9<\/span> \"cybers\u00e9curit\u00e9\", la cybers\u00e9curit\u00e9 telle que d\u00e9finie \u00e0 l'article 2, point 1), du r\u00e8glement (UE) 2019\/881 ; - D\u00e9finition selon l'article 6 de la directive (UE) 2022\/2555 (directive NIS2)<\/a>\r\r\"cybers\u00e9curit\u00e9\" : les activit\u00e9s n\u00e9cessaires pour prot\u00e9ger les r\u00e9seaux et les syst\u00e8mes d'information, les utilisateurs de ces syst\u00e8mes et les autres personnes concern\u00e9es par les cybermenaces ; - D\u00e9finition selon l'article 2, point 1), du r\u00e8glement (UE) 2019\/881 ;<\/span><\/span><\/span> cadre \u00e9dict\u00e9 au niveau de l'Union, s'appliquant \u00e9galement \u00e0 trois types d'entit\u00e9s financi\u00e8res, \u00e0 savoir les \u00e9tablissements de cr\u00e9dit, les plates-formes de n\u00e9gociation et les contreparties centrales. Toutefois, depuis que la directive (UE) 2016\/1148 a \u00e9tabli un m\u00e9canisme d'identification au niveau national des op\u00e9rateurs de services essentiels, seuls certains \u00e9tablissements de cr\u00e9dit, plates-formes de n\u00e9gociation et contreparties centrales identifi\u00e9s par les \u00c9tats membres sont entr\u00e9s dans son champ d'application dans la pratique, et donc tenus de se conformer aux exigences en mati\u00e8re de s\u00e9curit\u00e9 des TIC et de notification des incidents qui y sont \u00e9nonc\u00e9es. La directive (UE) 2022\/2555 du Parlement europ\u00e9en et du Conseil (8) fixe un crit\u00e8re uniforme pour d\u00e9terminer les entit\u00e9s entrant dans son champ d'application (r\u00e8gle du plafond de taille) tout en conservant les trois types d'entit\u00e9s financi\u00e8res dans son champ d'application.<\/p>\n\n\n\n (16) Toutefois, \u00e9tant donn\u00e9 que le pr\u00e9sent r\u00e8glement accro\u00eet le niveau d'harmonisation des diff\u00e9rentes composantes de la r\u00e9silience num\u00e9rique, en introduisant des exigences en mati\u00e8re de gestion des risques li\u00e9s aux TIC et de notification des incidents li\u00e9s aux TIC qui sont plus strictes que celles pr\u00e9vues par la l\u00e9gislation actuelle de l'Union sur les services financiers, ce niveau plus \u00e9lev\u00e9 constitue \u00e9galement une harmonisation accrue par rapport aux exigences pr\u00e9vues par la directive (UE) 2022\/2555. Par cons\u00e9quent, le pr\u00e9sent r\u00e8glement constitue une lex specialis par rapport \u00e0 la directive (UE) 2022\/2555. Dans le m\u00eame temps, il est essentiel de maintenir une relation \u00e9troite entre le secteur financier et le cadre horizontal de cybers\u00e9curit\u00e9 de l'Union, tel qu'il est actuellement d\u00e9fini dans la directive (UE) 2022\/2555, afin d'assurer la coh\u00e9rence avec les strat\u00e9gies de cybers\u00e9curit\u00e9 adopt\u00e9es par les \u00c9tats membres et de permettre aux autorit\u00e9s de surveillance financi\u00e8re d'\u00eatre inform\u00e9es des cyberincidents qui touchent d'autres secteurs couverts par cette directive.<\/p>\n\n\n\n (17) Conform\u00e9ment \u00e0 l'article 4, paragraphe 2, du trait\u00e9 sur l'Union europ\u00e9enne et sans pr\u00e9judice du contr\u00f4le juridictionnel exerc\u00e9 par la Cour de justice, le pr\u00e9sent r\u00e8glement ne devrait pas porter atteinte \u00e0 la responsabilit\u00e9 des \u00c9tats membres en ce qui concerne les fonctions essentielles de l'\u00c9tat li\u00e9es \u00e0 la s\u00e9curit\u00e9 publique, \u00e0 la d\u00e9fense et \u00e0 la sauvegarde de la s\u00e9curit\u00e9 nationale, par exemple en ce qui concerne la fourniture d'informations qui seraient contraires \u00e0 la sauvegarde de la s\u00e9curit\u00e9 nationale.<\/p>\n\n\n\n (18) Afin de permettre un apprentissage intersectoriel et de tirer efficacement parti de l'exp\u00e9rience acquise par d'autres secteurs dans la lutte contre les cybermenaces, les entit\u00e9s financi\u00e8res vis\u00e9es dans la directive (UE) 2022\/2555 devraient continuer \u00e0 faire partie de l'\"\u00e9cosyst\u00e8me\" de ladite directive (par exemple, le groupe de coop\u00e9ration et les \u00e9quipes de r\u00e9ponse aux incidents de s\u00e9curit\u00e9 informatique (CSIRT)).Les AES et les autorit\u00e9s comp\u00e9tentes nationales devraient pouvoir participer aux discussions sur les politiques strat\u00e9giques et aux travaux techniques du groupe de coop\u00e9ration au titre de ladite directive, et \u00e9changer des informations et continuer \u00e0 coop\u00e9rer avec les points de contact uniques d\u00e9sign\u00e9s ou \u00e9tablis conform\u00e9ment \u00e0 ladite directive. Les autorit\u00e9s comp\u00e9tentes en vertu du pr\u00e9sent r\u00e8glement devraient \u00e9galement consulter les CSIRT et coop\u00e9rer avec eux. Les autorit\u00e9s comp\u00e9tentes devraient \u00e9galement pouvoir demander des conseils techniques aux autorit\u00e9s comp\u00e9tentes d\u00e9sign\u00e9es ou \u00e9tablies conform\u00e9ment \u00e0 la directive (UE) 2022\/2555 et \u00e9tablir des accords de coop\u00e9ration visant \u00e0 garantir des m\u00e9canismes de coordination efficaces et rapides.<\/p>\n\n\n\n (19) Compte tenu des liens \u00e9troits entre la r\u00e9silience num\u00e9rique et la r\u00e9silience physique des entit\u00e9s financi\u00e8res, il est n\u00e9cessaire d'adopter une approche coh\u00e9rente en ce qui concerne la r\u00e9silience des entit\u00e9s critiques dans le pr\u00e9sent r\u00e8glement et dans la directive (UE) 2022\/2557 du Parlement europ\u00e9en et du Conseil (9). \u00c9tant donn\u00e9 que la r\u00e9silience physique des entit\u00e9s financi\u00e8res est trait\u00e9e de mani\u00e8re globale par les obligations en mati\u00e8re de gestion des risques li\u00e9s aux TIC et de communication d'informations couvertes par le pr\u00e9sent r\u00e8glement, les obligations pr\u00e9vues aux chapitres III et IV de la directive (UE) 2022\/2557 ne devraient pas s'appliquer aux entit\u00e9s financi\u00e8res relevant du champ d'application de ladite directive.<\/p>\n\n\n\n