DORA (Digital Operational Resilience Act) applicable à partir du 17 janvier 2025 2022/2554 du 27 décembre 2022

DORA stipule que la détection rapide des incidents majeurs liés aux TIC (Technologies de l’Information et de la Communication) et l’analyse de leurs causes profondes constituent la base d’une gestion efficace des menaces émergentes pour les marchés financiers. Les obligations de déclaration augmenteront en conséquence. Une gestion appropriée et efficace des risques liés aux TIC est considérée comme une condition préalable essentielle, entre autres

NB : Des RTS/ITS vont venir d’ici janvier 2025 (17 janvier 2024 et  17 juin 2024) pour préciser les exigences concrètes liées à DORA.

 RTS: Regulatory Technical Standard; ITS: Implementing Technical Standards

DORA : LES 5 PILIERS DE LA REGLEMENTATION EUROPEENNE

1/ Gestion des risques liés aux Tics et Gouvernance

DORA exige un cadre complet de gestion des risques liés aux TIC comme base de la résilience des entreprises financières. L’organisme de direction assume la responsabilité ultime de la gestion du risque lié aux TIC de l’entité financière. Nomination d’un organe de gouvernance de la gestion des risques liés aux TICs avec un responsable interne ou externe. Exemple : Cadre cohérent de gouvernance et de contrôle pour la gestion efficace des risques liés aux TIC.

2/ Gestion, Classification et Notification des incidents liés au TICS

DORA prévoit de renforcer le processus de gestion des incidents. La mise en place de processus de gestion des incidents TIC afin de détecter, de gérer et de notifier les incidents liés aux TIC. La classification des incidents liés aux TIC et des cybermenaces. L’obligation de déclaration des incidents majeurs liés aux TIC et la notification volontaire des cybermenaces importantes aux autorités compétentes.

PDCA : Plan : Planifier les mesures de sécurité, Do : les mettre en œuvre, Check : procédure de contrôle de la mise en œuvre, Act : Agir suite aux contrôles.

Exemple : Procédures uniformes de suivi, de classification et de notification des incidents majeurs liés aux TIC aux autorités nationales/européennes.

3/ Tests de résilience opérationnelle numérique

Une approche basée sur les risques garanti que les systèmes informatiques critiques et importants sont régulièrement testés pour leur résilience opérationnelle et leur protection contre les perturbations potentielles.

Exemple : Un test d’intrusion basé sur les menaces doit être effectué au moins tous les trois ans sur les systèmes de production.

4/ Gestion des risques liés aux prestataires tiers de services Tics

DORA aborde en détail la gestion et la surveillance des risques liés aux prestataires tiers de services TIC, en définissant notamment : Les principes clés à appliquer en matière de gestion des risques liés aux prestataires TIC :

La tenue d’un registre répertoriant tous les accords contractuels, en distinguant ceux qui couvrent des fonctions critiques du reste ; des exigences contractuelles minimales pour une surveillance complète du risque lié aux tiers ; un cadre de surveillance européen pour les tiers critique. Obligation de créer et tenir à jour un Registre d’Information pour identifier les traitements informatiques internes et vis-à-vis des tiers et évaluer leur risque.

Exemple : Introduction de pénalités et de nouvelles options de résiliation en cas de non-respect des exigences DORA. Tenir un registre d’information sur les risques liés aux tiers. Auditer les tiers par rapport aux risques avant et pendant la relation contractuelle.

5/ Dispositifs de partage d’information

DORA habilite les entités financières à mettre en place des dispositifs permettant d’échanger des informations et des renseignements sur les menaces cyber, afin de soutenir et développer les capacités défensives et les techniques de détection. Exemple : Mise en place de dispositifs de partage d’informations définissant les conditions à respecter pour y participer, ainsi que les aspects opérationnels de ce partage, y compris de l’utilisation de plateformes spécialisées.