Le Règlement sur la résilience opérationnelle numérique du secteur financier (Règlement DORA) fait partie de la stratégie en matière de finance numérique de la Commission qui a été publiée en septembre 2020. L'objectif premier du Règlement DORA est de renforcer la sécurité informatique des entités financières.  Il vise à établir un cadre global de résilience opérationnelle numérique dans les secteurs européens de la banque, de l'assurance et de l'investisseur, en exigeant des entités financières relevant de son champ d'application qu'elles se conforment à des exigences en matière de sécurité numérique et de notification afin d'atténuer leurs risques liés aux technologies de l'information et de la communication (TIC).

Le Règlement DORA est entré en vigueur, ainsi que ses mesures de niveau 2, le 17 janvier 2025. Les intermédiaires d'assurance qui sont des micro-entreprises et des PME sont exclus du champ d'application du Règlement DORA et de ses mesures de niveau 2. Les "entreprises d'investissement opt-out" qui relèvent de la MiFID II sont également exemptées du Règlement DORA.  Les grands intermédiaires d'assurance (plus de 250 personnes, un chiffre d'affaires annuel supérieur à 50 millions d'euros et/ou un bilan annuel supérieur à 43 millions d'euros) entrent, par contre, dans le champ d'application du Règlement DORA.  Dans certains cas, les intermédiaires, s'ils sont considérés par les assureurs comme des prestataires tiers de TIC ou dans le cadre de délégations de pouvoirs au titre de Solvabilité II, peuvent être tenus de se conformer à certaines exigences du Règlement DORA.

Le Règlement DORA a attribué de nouvelles tâches et de nouveaux rôles aux autorités européennes de surveillance (EIOPA, ESMA et EBA – les AES), ainsi que l'élaboration de normes techniques de réglementation (NTR) et de normes techniques d'exécution (NTE) concernant certaines dispositions du Règlement DORA. Les NTR et les NTE des AES visent à clarifier les dispositions d'un texte législatif européen et à assurer une harmonisation cohérente des domaines définis.

Le Règlement sur la cybersécurité de l'Union européenne a été adopté en 2019.  Il a doté l'Agence de l'Union européenne pour la cybersécurité (ENISA) d'un statut permanent et créé un cadre européen de certification de la cybersécurité. Pour rappel, l'ENISA supervise la législation européenne en matière de cybersécurité, comme la Directive NIS2, le Règlement sur la cyberrésilience, le Règlement sur la cybersolidarité ou encore le Règlement sur la résilience opérationnelle numérique (Règlement DORA). Le cadre européen de certification peut être utilisé pour créer des schémas européens de certification de cybersécurité pour les produits et services TIC.

Le programme de travail 2025 de la Commission met fortement l'accent sur la simplification, qui est considérée comme une condition préalable pour stimuler la prospérité et la résilience de l'Union.

La lettre de mission adressée à la Vice-Présidente Exécutive Henna Virkkunen par la Présidente Ursula von der Leyen souligne l'importance pour l'Union européenne de garantir des normes élevées en matière de cybersécurité et d'améliorer le processus d'adoption des schémas européens de certification de cybersécurité. La révision du Règlement sur la cybersécurité est également l'une des initiatives prévues dans le cadre de la stratégie "ProtectEU".

Le Règlement sur la cybersécurité n'étant pas une réglementation sectorielle, il pourrait s'appliquer aux intermédiaires s'ils utilisent des systèmes TIC relevant des schémas de certification ou s'ils fournissent des services TIC. Il est important d'éviter la duplication et/ou la fragmentation du cadre pour les intermédiaires.  En outre, nous devons rappeler à la Commission de prendre en compte les règles sectorielles déjà existantes (comme le Règlement DORA pour le secteur financier).

Les données et la technologie sont de plus en plus à l'origine de changements dans le secteur de l'assurance, produisant de nouveaux modèles d'entreprise, de nouveaux produits d'assurance et de nouvelles façons pour les entreprises, et en particulier les intermédiaires d'assurance, d’interagir avec leurs clients.

En juin 2023, en même temps qu’une série de mesures concernant le secteur bancaire et portant sur la révision de la Directive sur les services de paiement (services bancaires ouverts), la Commission a publié une proposition de Règlement sur un cadre pour l’accès aux données financières (FIDA), qui concerne directement le secteur de la distribution d'assurance.

Comme dans le Règlement DORA, les intermédiaires d’assurance et les intermédiaires à titre accessoire qui sont des micro-entreprises et des PME sont exclus du champ d'application de la proposition FIDA “afin que le principe de proportionnalité soit assuré (…)  parce que leur taille ou les services qu’ils fournissent rendrait trop difficile leur mise en conformité avec le présent règlement”. Les utilisateurs de données entrant dans le champ d'application du Règlement devraient en effet être soumis aux exigences du Règlement DORA et donc être obligés de mettre en place des normes de cyberrésilience strictes pour mener à bien leurs activités.

La proposition FIDA établit un cadre régissant l'accès aux données des clients et leur utilisation dans le secteur financier, y compris l'assurance. L'accès aux données financières fait référence à l'accès et au traitement des données d'entreprise à entreprise et d'entreprise à client (y compris les consommateurs) à la demande du client dans le cadre d'un large éventail de services financiers. La proposition s'appuie sur les dispositions déjà existantes en matière de "services bancaires ouverts" introduites par la Directive sur les services de paiement (DSP2) qui réglemente l'accès aux données des clients détenues par les prestataires de services de paiement chargés de la gestion des comptes.

Le développement de l'utilisation des systèmes d'intelligence artificielle par un nombre croissant de secteurs a incité la Commission à proposer plusieurs textes législatifs visant à réglementer cette utilisation, tel le Réglement sur l’IA. Les intermédiaires financiers et d'assurance qui utilisent des systèmes d'IA seront concernés par ce cadre.

Le Règlement (UE) 2024/1689 sur l'IA a été publié au Journal officiel de l'UE en juillet 2024. Il s'applique à tous les secteurs de l'économie, y compris l'assurance.  Il suit une approche fondée sur les risques et classe les systèmes d'IA en quatre catégories en fonction de leur niveau de risque : interdit, risque élevé, risque limité et risque minimal. Ce Règlement définit un ensemble complet de mesures de gouvernance et de gestion des risques auxquelles les systèmes à haut risque doivent se conformer, en plus des exigences déjà en place dans le cadre de la législation sectorielle.

Les systèmes d'IA classés comme présentant un risque limité ou minimal en vertu du Règlement sur l'IA continuent à fonctionner sans mesures supplémentaires, à l'exception d'un ensemble de règles de transparence (par exemple, la nécessité d'informer le client qu'il interagit avec un système d'IA), de la nécessité de promouvoir la connaissance de l'IA parmi le personnel et de l'élaboration de codes de conduite volontaires. L'utilisation de ces systèmes d'IA par les entreprises d'assurance et les intermédiaires est toutefois soumise à des règles de gouvernance et de gestion des risques définies dans la législation sectorielle.