25 MARS 2025. - Loi relatif à la résilience opérationnelle numérique du secteur financier et portant dispositions diverses

CHAPITRE 1er. - Dispositions introductives

Article 1er. La présente loi règle une matière visée à l'article 74 de la Constitution.

Article 2. La présente loi vise à assurer :

1° la mise en oeuvre du règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011 ;

2° la transposition partielle de la directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 modifiant les directives 2009/65/CE, 2009/138/CE, 2011/61/UE, 2013/36/UE, 2014/59/UE, 2014/65/UE, (UE) 2015/2366 et (UE) 2016/2341 en ce qui concerne la résilience opérationnelle numérique du secteur financier ;

3° la mise en oeuvre partielle du règlement (UE) 2017/2402 du Parlement européen et du Conseil du 12 décembre 2017 créant un cadre général pour la titrisation ainsi qu'un cadre spécifique pour les titrisations simples, transparentes et standardisées, et modifiant les directives 2009/65/CE, 2009/138/CE et 2011/61/UE et les règlements (CE) n° 1060/2009 et (UE) n° 648/2012 ;

4° la mise en oeuvre du règlement (UE) 2023/2631 du Parlement européen et du Conseil du 22 novembre 2023 sur les obligations vertes européennes et la publication facultative d'informations pour les obligations commercialisées en tant qu'obligations durables sur le plan environnemental et pour les obligations liées à la durabilité.

CHAPITRE 2. - Modifications de la loi du 22 février 1998 fixant le statut organique de la Banque nationale de Belgique

Article 3. Dans l'article 35/3, alinéa 2, de la loi du 22 février 1998 fixant le statut organique de la Banque nationale de Belgique, inséré par la loi du 20 juillet 2020 et modifié par la loi du 2 juin 2021, les mots "ou des règlements européens" sont insérés entre les mots "des faits qui peuvent constituer des violations des lois de contrôle sectorielles" et les mots ", les commissaires agréés en fonction auprès d'établissements".

Article 4. Dans l'article 36/1 de la même loi, inséré par l'arrêté royal du 3 mars 2011 et modifié en dernier lieu par la loi du 20 décembre 2023, les modifications suivantes sont apportées :

1° l'article est complété par un 36°, rédigé comme suit :

"36° Règlement 2017/2402: règlement (UE) 2017/2402 du Parlement européen et du Conseil du 12 décembre 2017 créant un cadre général pour la titrisation ainsi qu'un cadre spécifique pour les titrisations simples, transparentes et standardisées, et modifiant les directives 2009/65/CE, 2009/138/CE et 2011/61/UE et les règlements (CE) n° 1060/2009 et (UE) n° 648/2012 ; " ;

2° l'article est complété par un 37°, rédigé comme suit :

"37° Règlement 2022/2554: règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011 ;" ;

3° l'article est complété par un 38°, rédigé comme suit :

"38 ° CSIRT national: le centre national de réponse aux incidents de sécurité informatique visé à l'article 8, 46° de la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique ;" ;

4° l'article est complété par un 39°, rédigé comme suit :

"39° Règlement 2023/2631: règlement (UE) 2023/2631 du Parlement européen et du Conseil du 22 novembre 2023 sur les obligations vertes européennes et la publication facultative d'informations pour les obligations commercialisées en tant qu'obligations durables sur le plan environnemental et pour les obligations liées à la durabilité.".

Article 5. A l'article 36/2 de la même loi, inséré par l'arrêté royal du 3 mars 2011 et modifié en dernier lieu par la loi du 20 décembre 2023, les modifications suivantes sont apportées :

1° l'article est complété par un paragraphe 3 rédigé comme suit :

" § 3. La Banque assume, conformément à l'article 12bis, les missions de contrôle suivantes dévolues à l'autorité compétente par le règlement 2017/2402 :

1° les missions visées à l'article 29, paragraphes 1er, 2 et 3, du règlement 2017/2402 en ce qui concerne les entreprises d'assurance, les entreprises de réassurance, les établissements de crédit et les entreprises d'investissement ayant le statut de société de bourse ;

2° les missions visées à l'article 29, paragraphes 4 et 5, du règlement 2017/2402, à l'exception de celles qui concernent le contrôle du respect de l'article 28 dudit règlement et le contrôle du respect, par les initiateurs, des obligations qui leur incombent en vertu du chapitre II et des articles 18 et 19 du règlement 2023/2631, en ce qui concerne :

Pour l'exercice des missions visées au 2° à l'égard des entités visées au b), la Banque peut exercer les mêmes prérogatives que celles qui lui sont conférées par les lois particulières qui régissent le contrôle des entités visées au a) qui font partie du même périmètre de consolidation prudentielle." ;

2° l'article est complété par un paragraphe 4 rédigé comme suit :

" § 4. La Banque est l'autorité compétente concernée désignée en application des articles 19, paragraphe 1er, alinéa 2 et 32, paragraphe 5, du règlement 2022/2554.

La Banque transmet sans délai au CSIRT national les notifications et rapports visés à l'article 19, paragraphe 4, du règlement 2022/2554 reçus d'entités visées à l'article 3, § 1er ou § 3, de la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique.

Le cas échéant, la Banque peut également transmettre au CSIRT national les autres informations reçues dans le cadre de l'exécution du règlement 2022/2554.

Sans préjudice des compétences dévolues à la Banque centrale européenne en vertu du règlement MSU, la Banque peut conclure un protocole avec la FSMA et le CSIRT national pour les besoins de l'exécution du règlement 2022/2554 et en particulier afin de déterminer les modalités pratiques de ces échanges d'informations.

En outre, s'agissant des entités soumises au règlement 2022/2554 qui relèvent exclusivement de la compétence de contrôle de la FSMA, la Banque peut, à la demande de la FSMA, assister cette dernière en exerçant une ou plusieurs de ses prérogatives visées à l'article 37undecies, § 3, de la loi du 2 août 2002. Les modalités de cette assistance, notamment celles relatives à la détermination de l'indemnisation des coûts et frais encourus par la Banque, sont déterminées par un protocole conclu entre la FSMA et la Banque. Dans ce cadre, l'article 12bis, § 3, est applicable."

Article 6. L'article 36/25, § 4, alinéa 2, de la même loi, inséré par l'arrêté royal du 3 mars 2011 et modifié par la loi du 25 avril 2014, est complété par la phrase suivante :

"La Banque contrôle également le respect par les contreparties centrales des dispositions du règlement 2022/2554."

Article 7. Dans l'article 36/25ter, § 2, de la même loi, remplacé par la loi du 2 mai 2019, les mots "et du règlement 2015/2365" sont remplacés par les mots ", du règlement 2015/2365 et du règlement 2022/2554".

Article 8. L'article 36/26/1, § 1er, alinéa 2, de la même loi, inséré par la loi du 30 juillet 2018, est complété par la phrase suivante :

"La Banque est également compétente pour contrôler l'application des dispositions du règlement 2022/2554."

Article 9. A l'article 36/30 de la même loi, inséré par l'arrêté royal du 3 mars 2011 et modifié en dernier lieu par la loi du 20 décembre 2023, les modifications suivantes sont apportées :

1° dans le paragraphe 1er, alinéa 1er, les mots "ou du règlement 2022/858" sont remplacés par les mots ", du règlement 2022/858 ou du règlement 2022/2554" ;

2° dans le paragraphe 2, alinéa 1er, les mots "ou du règlement 2022/858" sont remplacés par les mots ", du règlement 2022/858 ou du règlement 2022/2554".

Article 10. Dans l'article 36/30/1, § 2, alinéa 1er, de la même loi, inséré par la loi du 30 juillet 2018 et modifié en dernier lieu par la loi du 20 décembre 2023, les mots "ou du règlement 2022/858" sont remplacés par les mots ", du règlement 2022/858 ou du règlement 2022/2554".

CHAPITRE 3. - Modifications de la loi du 2 août 2002 relative à la surveillance du secteur financier et aux services financiers

Article 11. L'article 2, alinéa 1er, de la loi du 2 août 2002 relative à la surveillance du secteur financier et aux services financiers, modifié en dernier lieu par la loi du 2 décembre 2024, est complété par un 90° et un 91°, rédigés comme suit :

"90° règlement 2022/2554: le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011 ;

91° règlement 2023/2631: le règlement (UE) 2023/2631 du Parlement européen et du Conseil du 22 novembre 2023 sur les obligations vertes européennes et la publication facultative d'informations pour les obligations commercialisées en tant qu'obligations durables sur le plan environnemental et pour les obligations liées à la durabilité."

Article 12. L'article 37septies de la même loi, inséré par la loi du 2 mai 2019, est remplacé par ce qui suit :

"Art. 37septies. § 1er. La FSMA assume les missions suivantes dévolues à l'autorité compétente par le règlement 2017/2402 :

1° les missions visées à l'article 29, paragraphes 1er, 2 et 3, du règlement 2017/2402 en ce qui concerne les gestionnaires d'OPCA, les organismes de placement collectif et les sociétés de gestion d'organismes de placement collectif, les institutions de retraite professionnelle et les sociétés de gestion de portefeuille et de conseil en investissement ;

2° les missions visées à l'article 29, paragraphes 4 et 5, du règlement 2017/2402, à l'exception de celle qui concerne le contrôle du respect de l'article 28 dudit règlement, en ce qui concerne :

3° les missions visées à l'article 29, paragraphe 5 du règlement 2017/2402 pour veiller au respect de l'article 28 de ce même règlement ;

4° le contrôle du respect de l'article 3 du règlement 2017/2402 ;

5° le contrôle du respect par les initiateurs des obligations qui leur incombent en vertu du chapitre II et des articles 18 et 19 du règlement 2023/2631." ;

§ 1er/1. Aux fins des missions visées au paragraphe 1er, la FSMA peut :

1° exercer les pouvoirs visés aux articles 34 et 35 ;

2° exercer les pouvoirs visés aux articles 79 à 85bis selon les modalités prévues par ces articles." ;

§ 2. Les articles 36 et 37 sont applicables au cas où une entité soumise au contrôle de la FSMA, conformément au paragraphe 1er, enfreint les obligations et interdictions qui découlent du règlement 2017/2402 ou des dispositions prises sur la base ou en exécution desdits articles, qui lui sont applicables, ainsi qu'en cas d'infraction aux mesures prises par la FSMA en vertu de ce règlement ou de ses dispositions d'exécution. Les dispositions des articles 36 et 37 sont également applicables en cas de non-respect des obligations ou mesures imposées en vertu du paragraphe 1/1."

Article 13. Dans le chapitre II, section 8, de la même loi, il est inséré un article 37undecies, rédigé comme suit :

"Art. 37undecies. § 1er. Conformément à l'article 46 du règlement 2022/2554, la FSMA assume les missions dévolues à l'autorité compétente par ledit règlement en ce qui concerne :

1° les sociétés de gestion de portefeuille et de conseil en investissement ;

2° les plateformes de négociation et leurs opérateurs ;

3° les prestataires de services de communication de données dans le cas visé dans les actes délégués adoptés par la Commission en vertu de l'article 2, paragraphe 3, du règlement 600/2014 ;

4° les gestionnaires d'OPCA agréés par la FSMA ;

5° les sociétés de gestion d'organismes de placement collectif qui répondent aux conditions de la directive 2009/65/CE et les sociétés d'investissement qui n'ont pas désigné de société de gestion ;

6° les intermédiaires d'assurance, les intermédiaires de réassurance et les intermédiaires d'assurance à titre accessoire soumis à l'obligation d'être inscrits auprès de la FSMA ;

7° les institutions de retraite professionnelles ;

8° les prestataires de services de financement participatif.

En cette qualité, elle veille au respect des dispositions du règlement 2022/2554, ainsi que des dispositions prises sur la base ou en exécution de celui-ci.

§ 2. Les dispositions du paragraphe 1er s'appliquent sans préjudice des compétences de la Banque au cas où l'un des établissements concernés dispose d'un autre statut en vertu duquel il est également soumis à la surveillance de celle-ci.

Toutefois, lorsqu'un des établissements visés au paragraphe 1er dispose d'un autre statut en vertu duquel il est également soumis à la surveillance de la Banque, cette dernière est chargée d'exercer les fonctions et missions visées à l'article 19, paragraphe 1er, alinéa 2, du règlement 2022/2554.

§ 3. Aux fins de s'acquitter de ses missions, la FSMA dispose des pouvoirs qui lui sont conférés, en ce qui concerne les personnes visées au paragraphe 1er, en vertu des législations particulières auxquelles elles sont soumises ainsi que des pouvoirs visés aux articles 79 à 86.

Les articles 36 et 37 s'appliquent en cas d'infraction aux obligations ou mesures imposées en vertu des articles 79 à 86.

§ 4. La FSMA transmet sans délai au CSIRT national visé à l'article 8, 45°, de la loi du 26 avril 2024 établissant un cadre pour la cybersécurité des réseaux et des systèmes d'information d'intérêt général pour la sécurité publique les notifications et rapports visés à l'article 19, paragraphe 4, du règlement 2022/2554 reçus d'entités reprises à l'article 3, § 1er ou § 3, de ladite loi.

Le cas échéant, la FSMA peut également transmettre au CSIRT national les autres informations reçues dans le cadre de l'exécution du règlement 2022/2554.

La FSMA peut conclure un protocole avec la Banque et le CSIRT national, pour les besoins de l'exécution du règlement 2022/2554 et en particulier afin de déterminer les modalités pratiques de ces échanges d'informations.

§ 5. Dans la mesure où cela est strictement nécessaire à l'exercice des compétences visées au paragraphe 1er et moyennant l'accord de la Banque, la FSMA peut demander à cette dernière d'exercer en son nom et pour son compte un ou plusieurs des pouvoirs visés au paragraphe 3 à l'égard d'une des entités visées au paragraphe 1er.

La FSMA conserve sa qualité d'autorité compétente nonobstant tout usage de ce mécanisme.

Les cas dans lesquels il peut être fait usage du mécanisme visé à l'alinéa 1er ainsi que les modalités de ce dernier, y inclus la détermination de l'indemnisation des coûts et frais encourus par la Banque, sont déterminés par un protocole conclu entre la FSMA et la Banque.

Article 14. L'article 121, § 1er, alinéa 1er, 1°, de la même loi, remplacé par la loi du 11 juillet 2018, est complété par les mots "ou du règlement (UE) 2023/2631 du Parlement européen et du Conseil du 22 novembre 2023 sur les obligations vertes européennes et la publication facultative d'informations pour les obligations commercialisées en tant qu'obligations durables sur le plan environnemental et pour les obligations liées à la durabilité, et des actes délégués pris en exécution de celui-ci".

CHAPITRE 4. - Modifications de la loi du 27 octobre 2006 relative au contrôle des institutions de retraite professionnelle

Article 15. A l'article 2, alinéa 1er, de la loi du 27 octobre 2006 relative au contrôle des institutions de retraite professionnelle, modifié pour la dernière fois par la loi du 4 juillet 2021, il est inséré un 27°, rédigé comme suit :

"27° règlement 2022/2554: le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011, en ce compris les actes délégués et les normes techniques de règlementation ou d'exécution adoptés par la Commission en exécution de ce règlement."

Article 16. Dans l'article 76/1, § 1er, alinéa 4, 3°, de la même loi, inséré par la loi du 11 janvier 2019, la phrase "A cette fin, l'IRP utilise des systèmes, des ressources et des procédures appropriés et proportionnés" est remplacée par la phrase "A cette fin, les IRP utilisent des systèmes, des ressources et des procédures appropriés et proportionnés et, en particulier, mettent en place et gèrent des réseaux et des systèmes d'information conformément au règlement (UE) 2022/2554, le cas échéant.".

Article 17. L'article 100 de la même loi, modifié en dernier lieu par la loi du 11 janvier 2019, est complété par un alinéa 3, rédigé comme suit :

"Les conditions visées à l'alinéa 1er, 2°, sont supposées réunies en ce qui concerne les prestataires tiers de services TIC, visés à l'article 3, 19), du règlement 2022/2554."

Article 18. L'article 102/2 de la même loi, inséré par la loi du 4 juillet 2021, est complété par les mots ", ainsi que le règlement 2022/2554".

Article 19. L'article 108, alinéa 1er, 5°, b), de la même loi, modifié par l'arrêté royal du 3 mars 2011, est complété par les mots ", ainsi que des dispositions visées à l'article 102/2.".

Article 20. Dans l'article 123, alinéa 1er, de la même loi, modifié en dernier lieu par la loi du 4 juillet 2021, le 1° est complété par les mots ", ou encore avec les dispositions du règlement 2022/2554".