DORA – Digital Operational Resilience Act – Point sur la réglementation

La Commission européenne a introduit en septembre 2020 une proposition de règlement sur la résilience opérationnelle numérique du secteur financier, communément appelée DORA.

Regulation
none

Ecrit par

Haroun Boucheta

Head of Public Affairs / Chief of Staff for Company Engagement and General Secretary

view profile

Arnaud Joseph

Strategic Analyst, Public Affairs

view profile

La Commission européenne a introduit en septembre 2020 une proposition de règlement sur la résilience opérationnelle numérique du secteur financier, communément appelée Digital Operational Resilience Act (DORA) dans le cadre de sa stratégie en matière de finance numérique.

Le règlement sur la résilience opérationnelle numérique ou DORA promeut un ensemble commun de règles et de normes visant à atténuer les risques liés aux technologies de l’information et de la communication (risques informatiques) pour les entités financières. L’un des objectifs du règlement DORA est d’empêcher une fragmentation accrue des règles applicables à la gestion des risques informatiques.

Par ailleurs, la Commission européenne considère que les entités financières entrant dans le champ d’application du règlement DORA ne sont pas toutes exposées de la même manière aux risques informatiques. En effet, divers facteurs tels que la taille d’une entité, ses fonctions ou son profil commercial peuvent influer sur son exposition aux risques informatiques.

Les risques informatiques doivent donc être gérés de manière cohérente et proportionnée.

À propos de DORA – Digital Operational Resilience Act 

La règlementation sur la résilience opérationnelle numérique s’appliquera directement dans toute l’Union européenne (UE) sans qu’il soit nécessaire d’adopter des lois de transposition nationales, ce qui permettra pour la première fois une application homogène des principes et des règles de gestion des risques informatiques pour le secteur financier.

Vue globale du dispositif sur la finance numérique

Règlement MiCA (Marchés de crypto-actifs)

La Commission européenne a introduit en septembre 2020 une proposition de règlement sur les marchés de crypto-actifs (MiCA) dans le cadre de sa stratégie de finance digitale.

Point sur la réglementation relative au Régime pilote reposant sur la technologie des registres distribués (DLT)

Le Régime pilote reposant sur la technologie des registres distribués (DLT) est un pilier essentiel de la stratégie en matière de finance numérique de l’Union européenne.

Contactez-nous
or
S’abonner à notre newsletter

Quel est le calendrier législatif du Digital Operational Resilience Act ?

Le calendrier législatif du règlement DORA est le suivant :

  • 10 mai 2022 : la phase de négociations interinstitutionnelles s’est achevée avec la conclusion d’un accord provisoire entre le Parlement européen et le Conseil.
  • 10 novembre 2022 : le règlement a été adopté par le Parlement européen et publié au Journal officiel de l’UE en décembre 2022.
  • 2024 : le règlement devrait entrer en vigueur d’ici la fin 2024, sous réserve de l’adoption des mesures de niveau 2. Les travaux de niveau 2 sont importants dans le contexte du règlement DORA, dans la mesure où il est prévu que certains éléments critiques soient couverts (par exemple, normes techniques de réglementation sur les incidents informatiques et la classification des cybermenaces, normes techniques de réglementation sur la notification des principaux incidents informatiques et cyberincidents aux autorités, normes techniques de réglementation sur les principales dispositions contractuelles).

Les cinq piliers du règlement DORA

DORA et la gestion des risques informatiques

Les entités financières doivent disposer de cadres de gouvernance et de contrôles internes qui garantissent une gestion efficace et prudente de tous les risques informatiques[1] afin d’atteindre un niveau élevé de résilience opérationnelle numérique.

Les entités financières doivent être préparées à gérer des risques allant notamment de la décision de fournir des services à la communication d’un potentiel incident majeur lié à l’informatique. Le respect de toutes les obligations en matière de gestion des risques informatiques dépendra toutefois du profil de l’entité. En effet, le règlement DORA permet aux acteurs de petite taille et non interconnectés de respecter un cadre simplifié de gestion des risques informatiques.

Prévention des risques informatiques en vertu du règlement DORA

Dans le cadre de gouvernance et de contrôle des risques informatiques, les entités financières doivent utiliser et maintenir des systèmes, protocoles et outils à jour. Elles doivent également identifier, classer et documenter de manière adéquate l’ensemble des fonctions opérationnelles, risques, comptes des systèmes liés à l’informatique ainsi que tous les processus qui dépendent de prestataires tiers de services informatiques.

La mise en œuvre de stratégies, politiques et protocoles de sécurité visant à garantir la résilience et la continuité des systèmes informatiques est également essentielle pour la protection et la prévention des risques informatiques. Le règlement DORA impose donc aux entités financières de concevoir, acquérir et mettre en œuvre des stratégies et politiques de sécurité adaptées ainsi que d’être en mesure de détecter des activités anormales.

Continuité et efficacité de la restauration en vertu du règlement DORA

Le règlement sur la résilience opérationnelle numérique comprend une obligation de se doter d’une politique de continuité des activités informatiques dédiée et complète, qui fait partie intégrante de la politique de continuité des activités opérationnelles des entités financières. Cette politique doit notamment viser à limiter les dommages des incidents et à assurer la continuité des fonctions critiques ou importantes des entités financières.

Afin d’assurer une restauration efficace des systèmes informatiques et une limitation de l’impact des perturbations, les entités financières doivent également définir des politiques de sauvegarde et des méthodes de rétablissement.

En cas de perturbations informatiques importantes, les entités financières doivent réaliser des examens des incidents afin d’analyser les causes et de déterminer des améliorations.

Notification des incidents liés à l’informatique en vertu du règlement DORA

Dans le cadre de leur processus de gestion des incidents liés à l’informatique, les entités financières doivent définir et mettre en œuvre un processus de gestion afin de détecter, de gérer et de notifier les incidents liés à l’informatique.

Les incidents liés à l’informatique seront classés et les entités financières devront déterminer l’impact de tout incident. Pour ce faire, les entités financières doivent considérer :

– Le nombre d’utilisateurs/de contreparties financières touchés par un incident

– La durée de l’incident

– La répartition géographique

– Les pertes de données occasionnées par l’incident

– La criticité des services touchés

– Les conséquences économiques de l’incident

Les incidents majeurs liés à l’informatique doivent être notifiés en temps utile à l’autorité compétente pertinente, en utilisant des modèles de notification normalisés.

Tests de résilience opérationnelle numérique

Dans le cadre de gestion des risques informatiques, les entités financières doivent établir, maintenir et réexaminer régulièrement un programme solide et complet de tests de résilience opérationnelle numérique. L’objectif est d’être en mesure d’évaluer et d’identifier les faiblesses, défaillances ou lacunes dans leur résilience opérationnelle numérique et d’être à même de prendre rapidement des mesures correctives.

Les systèmes et outils informatiques font l’objet de tests réguliers et de tests avancés devant être effectués par des parties indépendantes (internes ou externes). La fréquence de ces tests peut varier en fonction du profil de risque et de la situation de l’entité financière concernée.

Gestion des risques liés aux prestataires tiers de services informatiques

La gestion des risques liés aux prestataires tiers de services informatiques fait partie intégrante du cadre de gestion des risques informatiques.

Le règlement DORA définit un ensemble de principes clés pour les entités financières afin d’assurer une bonne gestion des risques liés aux prestataires tiers de services informatiques et d’engager avec eux dans une relation contractuelle solide.

Le règlement sur la résilience opérationnelle numérique comprend des éléments relatifs à la sélection des prestataires tiers de services informatiques (avec une due diligence préalable), aux principales dispositions contractuelles à inclure dans les contrats conclus avec des prestataires tiers de services informatiques (y compris les cas de résiliation et les stratégies de sortie) ainsi qu’aux contrôles et à la supervision en continu des prestataires tiers critiques de services informatiques.

Partage d’informations en vertu du règlement DORA

Le règlement DORA promeut les dispositifs de partage d’informations entre entités financières en vue de renforcer la résilience opérationnelle numérique, notamment en sensibilisant aux informations et aux renseignements sur les cybermenaces, dont les indicateurs de compromis, les tactiques et les alertes de cybersécurité.

Des dispositifs de partage d’informations doivent être mis en place au sein de communautés d’entités financières de confiance et doivent protéger la sensibilité des informations partagées, chaque fois dans le respect des règles de confidentialité et des principes de protection des données à caractère personnel applicables.

Implications pour le secteur du règlement DORA

Le règlement DORA fait partie intégrante du dispositif sur la finance numérique. Les entités financières devront se conformer aux dispositions et exigences du règlement DORA dans les 24 mois suivant l’entrée en vigueur du règlement. Il ne fait aucun doute que la gestion des risques de cybersécurité s’améliorera et gagnera en maturité avec l’application harmonisée et générale des exigences et du code de bonne pratique du règlement DORA.

Afin de se conformer à l’ensemble des exigences énoncées dans le règlement, les entités financières doivent évaluer pleinement leurs procédures, outils et pratiques standard existants en matière de gestion des risques informatiques et l’implication des prestataires tiers de services informatiques.

Point de vue de Securities Services

Le règlement DORA est une composante importante de l’évolution des marchés financiers vers la numérisation. Pour préparer les marchés financiers européens à l’ère numérique, des garanties appropriées doivent être en place pour promouvoir un marché solide et apporter certitude et confiance à tous les participants qui souhaitent faire partie de la révolution numérique.

Par conséquent, les règles contenues dans le règlement DORA devraient équilibrer l’exposition toujours plus importante aux risques informatiques et aux cybermenaces induite par la dépendance croissante à l’égard de la technologie.   

Dates à retenir pour le règlement DORA

24 septembre 2020 – Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL sur la résilience opérationnelle numérique du secteur financier

24 février 2021 – Avis du Comité économique et social européen

10 mai 2021 – Avis du contrôleur européen de la protection des données

4 juin 2021 – Avis de la Banque centrale européenne

10 mai 2022 – Conclusion d’un accord provisoire entre le Parlement européen et le Conseil

10 novembre 2022 – Vote en plénière et adoption du règlement

14 décembre 2022 – Règlement du Parlement européen et du Conseil

27 décembre 2022 – Publication au Journal officiel de l’Union européenne

16 janvier 2023 – Entrée en vigueur de DORA

16 janvier 2025 – Entrée en application de DORA