- À propos de DORA – Digital Operational Resilience Act
- Quel est le calendrier législatif du Digital Operational Resilience Act ?
- Les cinq piliers du règlement DORA
- Implications pour le secteur du règlement DORA
- Point de vue de Securities Services
- Dates à retenir pour le règlement DORA
La Commission européenne a introduit en septembre 2020 une proposition de règlement sur la résilience opérationnelle numérique du secteur financier, communément appelée Digital Operational Resilience Act (DORA) dans le cadre de sa stratégie en matière de finance numérique.
Le règlement sur la résilience opérationnelle numérique ou DORA promeut un ensemble commun de règles et de normes visant à atténuer les risques liés aux technologies de l’information et de la communication (risques informatiques) pour les entités financières. L’un des objectifs du règlement DORA est d’empêcher une fragmentation accrue des règles applicables à la gestion des risques informatiques.
Par ailleurs, la Commission européenne considère que les entités financières entrant dans le champ d’application du règlement DORA ne sont pas toutes exposées de la même manière aux risques informatiques. En effet, divers facteurs tels que la taille d’une entité, ses fonctions ou son profil commercial peuvent influer sur son exposition aux risques informatiques.
Les risques informatiques doivent donc être gérés de manière cohérente et proportionnée.
À propos de DORA – Digital Operational Resilience Act
La règlementation sur la résilience opérationnelle numérique s’appliquera directement dans toute l’Union européenne (UE) sans qu’il soit nécessaire d’adopter des lois de transposition nationales, ce qui permettra pour la première fois une application homogène des principes et des règles de gestion des risques informatiques pour le secteur financier.
Vue globale du dispositif sur la finance numérique
Quel est le calendrier législatif du Digital Operational Resilience Act ?
Le calendrier législatif du règlement DORA est le suivant :
- 10 mai 2022 : la phase de négociations interinstitutionnelles s’est achevée avec la conclusion d’un accord provisoire entre le Parlement européen et le Conseil.
- 27 décembre 2022 : Publication au Journal officiel de l’Union européenne.
- 16 janvier 2023 : Entrée en vigueur de DORA.
- 17 janvier 2025 : Entrée en application de DORA à la suite de l’adoption des mesures de niveau 2. Le mandat de niveau 2 est important dans le contexte de DORA, car certains éléments critiques devraient être couverts (par exemple, les normes techniques de réglementation (RTS – Regulatory Technical Standards) sur les incidents liés aux technologies de l’information et de la communication (TIC) et la classification des cybermenaces, les RTS sur le signalement des incidents majeurs liés aux TIC et aux cybermenaces aux autorités, les RTS sur les principales dispositions contractuelles).
Les cinq piliers du règlement DORA
DORA et la gestion des risques informatiques
Les entités financières doivent disposer de cadres de gouvernance et de contrôles internes qui garantissent une gestion efficace et prudente de tous les risques informatiques[1] afin d’atteindre un niveau élevé de résilience opérationnelle numérique.
Les entités financières doivent être préparées à gérer des risques allant notamment de la décision de fournir des services à la communication d’un potentiel incident majeur lié à l’informatique. Le respect de toutes les obligations en matière de gestion des risques informatiques dépendra toutefois du profil de l’entité. En effet, le règlement DORA permet aux acteurs de petite taille et non interconnectés de respecter un cadre simplifié de gestion des risques informatiques.
Prévention des risques informatiques en vertu du règlement DORA
Dans le cadre de gouvernance et de contrôle des risques informatiques, les entités financières doivent utiliser et maintenir des systèmes, protocoles et outils à jour. Elles doivent également identifier, classer et documenter de manière adéquate l’ensemble des fonctions opérationnelles, risques, comptes des systèmes liés à l’informatique ainsi que tous les processus qui dépendent de prestataires tiers de services informatiques.
La mise en œuvre de stratégies, politiques et protocoles de sécurité visant à garantir la résilience et la continuité des systèmes informatiques est également essentielle pour la protection et la prévention des risques informatiques. Le règlement DORA impose donc aux entités financières de concevoir, acquérir et mettre en œuvre des stratégies et politiques de sécurité adaptées ainsi que d’être en mesure de détecter des activités anormales.
Continuité et efficacité de la restauration en vertu du règlement DORA
Le règlement sur la résilience opérationnelle numérique comprend une obligation de se doter d’une politique de continuité des activités informatiques dédiée et complète, qui fait partie intégrante de la politique de continuité des activités opérationnelles des entités financières. Cette politique doit notamment viser à limiter les dommages des incidents et à assurer la continuité des fonctions critiques ou importantes des entités financières.
Afin d’assurer une restauration efficace des systèmes informatiques et une limitation de l’impact des perturbations, les entités financières doivent également définir des politiques de sauvegarde et des méthodes de rétablissement.
En cas de perturbations informatiques importantes, les entités financières doivent réaliser des examens des incidents afin d’analyser les causes et de déterminer des améliorations.
Notification des incidents liés à l’informatique en vertu du règlement DORA
Dans le cadre de leur processus de gestion des incidents liés à l’informatique, les entités financières doivent définir et mettre en œuvre un processus de gestion afin de détecter, de gérer et de notifier les incidents liés à l’informatique.
Les incidents liés à l’informatique seront classés et les entités financières devront déterminer l’impact de tout incident. Pour ce faire, les entités financières doivent considérer :
– Le nombre d’utilisateurs/de contreparties financières touchés par un incident
– La durée de l’incident
– La répartition géographique
– Les pertes de données occasionnées par l’incident
– La criticité des services touchés
– Les conséquences économiques de l’incident
Les incidents majeurs liés à l’informatique doivent être notifiés en temps utile à l’autorité compétente pertinente, en utilisant des modèles de notification normalisés.
Tests de résilience opérationnelle numérique
Dans le cadre de gestion des risques informatiques, les entités financières doivent établir, maintenir et réexaminer régulièrement un programme solide et complet de tests de résilience opérationnelle numérique. L’objectif est d’être en mesure d’évaluer et d’identifier les faiblesses, défaillances ou lacunes dans leur résilience opérationnelle numérique et d’être à même de prendre rapidement des mesures correctives.
Les systèmes et outils informatiques font l’objet de tests réguliers et de tests avancés devant être effectués par des parties indépendantes (internes ou externes). La fréquence de ces tests peut varier en fonction du profil de risque et de la situation de l’entité financière concernée.
Gestion des risques liés aux prestataires tiers de services informatiques
La gestion des risques liés aux prestataires tiers de services informatiques fait partie intégrante du cadre de gestion des risques informatiques.
Le règlement DORA définit un ensemble de principes clés pour les entités financières afin d’assurer une bonne gestion des risques liés aux prestataires tiers de services informatiques et d’engager avec eux dans une relation contractuelle solide.
Le règlement sur la résilience opérationnelle numérique comprend des éléments relatifs à la sélection des prestataires tiers de services informatiques (avec une due diligence préalable), aux principales dispositions contractuelles à inclure dans les contrats conclus avec des prestataires tiers de services informatiques (y compris les cas de résiliation et les stratégies de sortie) ainsi qu’aux contrôles et à la supervision en continu des prestataires tiers critiques de services informatiques.
Partage d’informations en vertu du règlement DORA
Le règlement DORA promeut les dispositifs de partage d’informations entre entités financières en vue de renforcer la résilience opérationnelle numérique, notamment en sensibilisant aux informations et aux renseignements sur les cybermenaces, dont les indicateurs de compromis, les tactiques et les alertes de cybersécurité.
Des dispositifs de partage d’informations doivent être mis en place au sein de communautés d’entités financières de confiance et doivent protéger la sensibilité des informations partagées, chaque fois dans le respect des règles de confidentialité et des principes de protection des données à caractère personnel applicables.
Implications pour le secteur du règlement DORA
Le règlement DORA fait partie intégrante du dispositif sur la finance numérique. Les entités financières devront se conformer aux dispositions et exigences du règlement DORA dans les 24 mois suivant l’entrée en vigueur du règlement. Il ne fait aucun doute que la gestion des risques de cybersécurité s’améliorera et gagnera en maturité avec l’application harmonisée et générale des exigences et du code de bonne pratique du règlement DORA.
Afin de se conformer à l’ensemble des exigences énoncées dans le règlement, les entités financières doivent évaluer pleinement leurs procédures, outils et pratiques standard existants en matière de gestion des risques informatiques et l’implication des prestataires tiers de services informatiques.
Point de vue de Securities Services
Le règlement DORA est une composante importante de l’évolution des marchés financiers vers la numérisation. Pour préparer les marchés financiers européens à l’ère numérique, des garanties appropriées doivent être en place pour promouvoir un marché solide et apporter certitude et confiance à tous les participants qui souhaitent faire partie de la révolution numérique.
Par conséquent, les règles contenues dans le règlement DORA devraient équilibrer l’exposition toujours plus importante aux risques informatiques et aux cybermenaces induite par la dépendance croissante à l’égard de la technologie.
Dates à retenir pour le règlement DORA
24 septembre 2020 – Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL sur la résilience opérationnelle numérique du secteur financier
24 février 2021 – Avis du Comité économique et social européen
10 mai 2021 – Avis du contrôleur européen de la protection des données
4 juin 2021 – Avis de la Banque centrale européenne
10 mai 2022 – Conclusion d’un accord provisoire entre le Parlement européen et le Conseil
10 novembre 2022 – Vote en plénière et adoption du règlement
14 décembre 2022 – Règlement du Parlement européen et du Conseil
27 décembre 2022 – Publication au Journal officiel de l’Union européenne
16 janvier 2023 – Entrée en vigueur de DORA
17 janvier 2025 – Entrée en application de DORA
[1] Les risques informatiques sont définis comme toute circonstance raisonnablement identifiable liée à l’utilisation d’un réseau et d’un système d’information qui, si elle se matérialisait, est susceptible de compromettre la sécurité du réseau et des systèmes d’information, de tout outil ou processus dépendant de la technologie, des opérations et des processus, ou de la fourniture de services en produisant des effets négatifs dans l’environnement digital ou physique.