Le 16 janvier 2023 marque l’entrée en vigueur du règlement DORA ainsi que de la directive associée, adoptés par le Conseil de l’Union européenne en novembre 2022. DORA, acronyme de “Digital Operational Resilience Act”, représente un cadre réglementaire novateur visant à répondre aux défis posés par la transformation numérique rapide des services financiers et l’augmentation des cyberattaques sophistiquées. Cette initiative s’inscrit dans le cadre de la stratégie de la Commission européenne en matière de finance numérique, qui vise à encourager l’innovation tout en assurant la stabilité financière et la protection des consommateurs.
Objectifs et portée
DORA comprend deux actes législatifs principaux
Le règlement DORA (UE) 2022/2554, qui définit des exigences uniformes pour renforcer et harmoniser la gestion des risques liés aux technologies de l’information et de la communication (TIC) ainsi que la sécurité des réseaux et des systèmes d’information (SI) au niveau de l’UE.
La directive associée, qui modifie les directives existantes dans le domaine financier afin de les aligner avec les dispositions du règlement DORA.
Le règlement DORA impose aux entités financières une approche proactive de la résilience opérationnelle numérique. Il vise à assurer que ces entités peuvent résister, répondre et se rétablir face à toute perturbation opérationnelle grave liée aux TIC. L’accent est mis sur le passage d’une approche centrée sur la prévention des risques à une approche plus large et proactive, où la continuité des activités et services critiques est primordiale.
Piliers de la résilience opérationnelle numérique
Le règlement DORA identifie cinq piliers essentiels
Gestion des risques TIC : Les entités financières doivent disposer d’un dispositif de gestion des risques TIC solide, bien documenté et en constante amélioration. Cela implique une évaluation continue des risques, la mise en place de contrôles appropriés et la formation du personnel.
Gestion des incidents TIC : La gestion et le reporting des incidents TIC et des cybermenaces doivent être efficaces pour assurer une réponse rapide et appropriée. Les entités financières doivent mettre en place des procédures claires pour détecter, signaler et traiter les incidents de sécurité de manière appropriée.
Tests de la résilience opérationnelle : Les entités financières doivent effectuer des tests réguliers pour évaluer leur capacité à résister aux perturbations. Cela comprend des tests de simulation de scénarios de cyberattaque, des tests de reprise après sinistre et des exercices de réponse aux incidents.
Gestion des risques tiers : Les risques liés aux prestataires de services TIC doivent être identifiés et gérés de manière proactive. Les entités financières doivent évaluer la sécurité de leurs fournisseurs tiers et mettre en place des mesures pour atténuer les risques associés à leur utilisation.
Partage d’informations en Cybersécurité : Les entités financières doivent participer activement au partage d’informations sur les cybermenaces pour renforcer la sécurité collective. Cela implique de partager des informations sur les incidents de sécurité, les vulnérabilités découvertes et les meilleures pratiques en matière de sécurité.
Calendrier d’application
Le règlement DORA s’appliquera directement dans tous les États membres de l’UE à partir du 25 janvier 2025. La directive associée doit être transposée par les États membres d’ici cette date. Les entités financières doivent dès à présent se préparer à l’entrée en vigueur de DORA en analysant les nouvelles exigences et en évaluant leurs impacts opérationnels et stratégiques.
En conclusion, le règlement DORA représente une avancée majeure dans la régulation des services financiers européens, répondant à un besoin crucial dans un monde de plus en plus numérique. Avec l’essor des technologies de l’information et de la communication, les risques liés à la sécurité des données et à la continuité des activités ont considérablement augmenté. DORA vise à combler ces lacunes en renforçant la résilience opérationnelle numérique des entités financières, garantissant ainsi la stabilité et la confiance dans le secteur financier.
En mettant l’accent sur la prévention, la réponse et le rétablissement face aux perturbations opérationnelles graves, DORA encourage une approche proactive de la gestion des risques. Les entités financières sont incitées à investir dans des dispositifs de gestion des risques TIC robustes, des protocoles de gestion des incidents efficaces, des tests réguliers de la résilience opérationnelle et une gestion proactive des risques liés aux prestataires de services TIC.
Plus qu’une simple exigence réglementaire, DORA représente une opportunité pour les entités financières de se différencier sur le marché en renforçant leur résilience opérationnelle. En adoptant une approche proactive de la gestion des risques, les entreprises peuvent améliorer leur agilité, leur réactivité et leur capacité à garantir la continuité des activités, renforçant ainsi la confiance et la fidélité des clients.
Dans un environnement numérique en constante évolution, où les menaces et les vulnérabilités évoluent rapidement, DORA offre un cadre réglementaire solide et harmonisé pour assurer la sécurité et la stabilité du secteur financier européen. En encourageant la collaboration et le partage d’informations en matière de cybersécurité, DORA favorise une approche collective pour faire face aux défis de sécurité numérique, renforçant ainsi la résilience de l’ensemble du secteur.
