DORA (Digital Operational Resilience Act) est une nouvelle réglementation européenne qui vise à améliorer la résilience opérationnelle numérique des entités du secteur financier. Elle entrera en vigueur le 17 janvier 2025 et s’appliquera à un large éventail d’entités, notamment les banques, les assurances et les marchés financiers. Afin de préparer sa législation, l’EIOPA a proposé aux acteurs des notes de consultation divisées en 5 parties.
DORA a été adoptée en réponse aux risques croissants liés à la cybersécurité et à la perturbation numérique. La réglementation vise à garantir que les entités du secteur financier disposent de mesures de sécurité et de continuité d’activité suffisantes pour faire face à ces risques.
DORA comprend un certain nombre d’exigences, notamment :
- La mise en place d’une gestion des risques ICT (Information and Communication Technologies) : les entités concernées doivent mettre en place un processus de gestion des risques ICT qui identifie et évalue les risques liés à leurs systèmes et processus ICT. Ils doivent également mettre en place des mesures pour atténuer ces risques.
- La notification des incidents ICT importants : il est désormais obligatoire de notifier aux autorités compétentes tout incident ICT important qui affecte leurs systèmes ou processus ICT. Un incident ICT important est un incident qui a un impact significatif sur la capacité de l’entité à fournir ses services ou sur la sécurité de ses systèmes ou processus ICT.
- La gestion des risques liés aux tiers ICT : les entités du secteur financier doivent évaluer les risques liés aux tiers qui fournissent des services ICT à l’entité. Ils doivent également mettre en place des mesures pour atténuer ces risques.
- La réalisation d’exercices de continuité d’activité : Des exercices de continuité d’activité pour tester leur capacité à faire face à une interruption de leurs systèmes ou processus ICT doivent être réalisés régulièrement.
- La tenue d’un registre des informations : un registre des informations relatives à la sécurité, à la continuité d’activité et à la gestion des risques ICT doit être tenu. Ce registre doit inclure des informations telles que les incidents ICT, les risques liés aux tiers ICT et les exercices de continuité d’activité.
En conclusion, les exigences de DORA sont conçues pour garantir que les entités du secteur financier disposent de mesures de sécurité et de continuité d’activité suffisantes pour faire face aux risques liés aux systèmes et aux processus ICT. Les entités du secteur financier doivent se conformer aux exigences de DORA dans les 24 mois suivant son entrée en vigueur. Les entités qui ne se conforment pas aux exigences de DORA peuvent être soumises à des sanctions, notamment des amendes.
Cet article a été rédigé par nos experts :
Annabelle GARRIGUE
Senior Manager – Modeling & Risk P&C
Geoffrey BARD
Consultant – Modeling & Risk P&C
Thomas BASTARD
Senior Consultant – Modeling & Risk P&C