À mesure que la digitalisation sectorielle s’accroît, le paysage réglementaire de l’assurance évolue, marqué notamment par la prochaine application de DORA et, dans une moindre mesure, la transposition de NIS 2.
Selon la cartographie des risques publiée par France assureurs fin janvier, les cyberattaques demeurent en tête des risques perçus par les assureurs pour la 7e année consécutive. Les récentes attaques (voir encadré ci-dessous) mettent en lumière cette menace, suscitant une inquiétude croissante au moment où des régulations européennes entrent en vigueur. Parmi ces nouvelles réglementations, le règlement (UE) 2022/2554 (DORA), adopté en janvier 2023, touche quelque 22 000 entités financières à travers l’Europe, dont les assureurs, réassureurs et intermédiaires. En parallèle, la directive (UE) 2022/2555 sur la sécurité des réseaux et de l’information (NIS 2), adoptée en décembre 2022, vise à renforcer le niveau de cybersécurité global, incluant celui des entités publiques telles que la Sécurité sociale et les hôpitaux. Pour les établissements financiers, DORA en tant que loi spéciale, prévaut sur NIS 2 qui revêt une nature générale. Ces réglementations complètent les législations existantes, notamment le RGPD, en exigeant des organisations la vérification que leurs prestataires externes garantissent une sécurité adéquate des données et des systèmes. « En incluant les sous-traitants pour DORA et la chaîne d’approvisionnement pour NIS 2, dans la lignée des règles instaurées par le RGPD, ces lois étendent la mise en place de procédures de vigilance, d’alerte et de résilience en cas d’incident », explique Éric Chreiki, directeur assurance et protection sociale chez Finegan Advisory.
