RÉGLEMENTATION DORA

DORA est un texte législatif qui établit des règles en matière de cybersécurité et de gestion des risques informatiques pour de nombreuses entités financières. Qu’est-ce que la réglementation DORA ? Quelle est sa date d’entrée en vigueur et son champ d’application ? Quelles obligations impose-t-elle ? Nous répondons à toutes vos question !

Qui est concerné par la réglementation DORA ?

Les entités financières

DORA cible un large éventail d’acteurs du secteur financier, qui sont directement exposés aux risques liés à la numérisation croissante des services. Les entités concernées incluent :

• Établissements de crédit : Les banques et institutions financières traditionnelles, qui gèrent des volumes massifs de données sensibles.
• Établissements de paiement : Fournisseurs de solutions de paiement électroniques, tels que les fintechs.
• Prestataires de services de cryptoactifs : Plateformes de trading et fournisseurs de portefeuilles numériques.
• Entreprises d’assurance et de réassurance : Acteurs offrant une protection financière contre divers risques.
• Gestionnaires d’actifs : Fonds d’investissement et gestionnaires de patrimoine.
• Fournisseurs tiers de services TIC : Acteurs spécialisés dans les infrastructures IT, le cloud computing, ou encore la cybersécurité.

Exceptions et seuils

Certaines petites entreprises ou entités non systémiques, en fonction de leur taille ou de leur impact potentiel sur le système financier global, peuvent être exemptées des exigences les plus strictes. Ces exemptions visent à garantir une application proportionnée de DORA, tout en maintenant un niveau adéquat de sécurité.

L’étendue géographique

Le périmètre géographique de DORA couvre l’ensemble des États membres de l’Union européenne. Cela signifie que toute entreprise opérant dans ces juridictions, même si elle a son siège social en dehors de l’UE, doit se conformer aux exigences du règlement si elle offre des services financiers ou technologiques dans l’UE.

3 raisons expliquant l’importance de DORA pour le secteur financier

Le champ d’application large de DORA reflète l’importance cruciale de la résilience numérique dans un environnement financier de plus en plus interconnecté. Voici pourquoi ce règlement est essentiel :

1. Protéger les données sensibles : Les entités financières manipulent d’importants volumes de données personnelles et financières. La protection de ces informations est primordiale pour préserver la confiance des consommateurs.
2. Prévenir les interruptions de service : Les attaques informatiques ou les pannes technologiques peuvent perturber gravement les opérations. DORA vise à minimiser ces interruptions grâce à des politiques robustes de continuité des activités.
3. Réduire les risques systémiques : En garantissant que même les prestataires tiers respectent des normes élevées de cybersécurité, DORA limite l’impact potentiel d’une attaque sur l’ensemble du système financier.

Les dates clés à connaitre

Calendrier des dates clés DORA

L’Union européenne a fixé des étapes cruciales pour assurer la mise en conformité des entités concernées. Voici les échéances à ne pas manquer :

• 24 septembre 2020 : Proposition de Règlement du Parlement Européen et du Conseil sur la résilience opérationnelle numérique du secteur financier (DORA)
• 24 février 2021 : Avis du Comité économique et social européen
• 10 mai 2021 : Avis du contrôleur européen de la protection des données
• 4 juin 2021 : Avis de la Banque centrale européenne
• 10 mai 2022 : Conclusion d’un accord provisoire entre le Parlement européen et le Conseil
• 10 novembre 2022 : Vote en plénière et adoption du règlement
• 14 décembre 2022 : Règlement du Parlement européen et du Conseil
• 27 décembre 2022 : Publication au Journal officiel de l’Union européenne
• 16 janvier 2023 : Entrée en vigueur de DORA
• 17 janvier 2025 : Entrée en application de DORA

Les obligations clés de cette réglementation européenne

La réglementation DORA impose aux institutions financières et aux prestataires de services TIC des obligations strictes pour renforcer leur résilience face aux risques numériques. Voici un résumé des principales obligations :

Gouvernance des risques
Les entités financières doivent mettre en place un cadre solide de gestion des risques liés aux technologies de l’information et de la communication (TIC). Cela inclut l’élaboration d’une stratégie de résilience numérique intégrée à la stratégie globale de l’entreprise, le développement de plans de continuité et de reprise d’activité, ainsi que la supervision directe des politiques TIC par les conseils d’administration.

Gestion des incidents
Les entités doivent identifier et classer les incidents liés aux TIC selon leur gravité, notifier les incidents majeurs aux autorités compétentes dans un délai strict (généralement 24 heures après la détection) et fournir des rapports détaillés sur la nature, l’impact et les mesures correctives prises.

Tests de résilience
Les entités doivent réaliser des tests réguliers de résilience des systèmes informatiques, y compris des tests avancés de pénétration basés sur la menace pour les entités jugées critiques ou systémiques. Ces tests simulent des attaques réelles pour évaluer la robustesse des systèmes face à des cyberattaques sophistiquées.

Gestion des risques liés aux prestataires
Avec la sous-traitance croissante des services TIC, DORA impose des règles strictes. Les entreprises doivent évaluer les risques associés à leurs prestataires TIC, inclure des clauses contractuelles spécifiques sur la gestion des risques TIC, la confidentialité et la continuité des services, tout en restant responsables des obligations DORA, même si les services sont externalisés.

Partage d’Informations
DORA encourage le partage volontaire d’informations entre les acteurs financiers sur les menaces cyber, les vulnérabilités et les bonnes pratiques, ainsi que la coopération avec les autorités et d’autres entités pour améliorer la réponse collective face aux cyberrisques.

Les Sanctions prévue par DORA

En cas de non-conformité, DORA prévoit des sanctions dissuasives pour garantir le respect des obligations. Voici les principales mesures :

Sanctions pécuniaires : Les entités financières qui ne respectent pas les exigences de DORA peuvent se voir infliger des amendes pouvant atteindre 10 millions d’euros ou 5 % de leur chiffre d’affaires annuel total.

Astreintes pour les prestataires critiques : Les prestataires de services TIC jugés critiques et ne se conformant pas aux obligations peuvent être soumis à des astreintes journalières pendant une période pouvant aller jusqu’à six mois, équivalentes à 1 % du chiffre d’affaires quotidien moyen réalisé au niveau mondial.

Pouvoirs des autorités compétentes : Les autorités nationales de contrôle disposent de larges pouvoirs d’enquête et de sanction, incluant des inspections sur place, des injonctions, et la possibilité de suspendre temporairement ou définitivement des pratiques jugées contraires à DORA.