DORA : depuis quelques années, le secteur financier fait face à une transformation numérique majeure. Exposant les entreprises à des risques accrus liés aux technologies de l’information et à la cybersécurité. Pour y répondre, l’Union européenne a adopté le Digital Operational Resilience Act (DORA). Un règlement ambitieux visant à uniformiser et renforcer la résilience numérique des entités financières. Prévu pour entrer en application le 17 janvier 2025, ce texte marque une étape cruciale pour sécuriser les services financiers en Europe.
Les fondements du règlement dora
DORA établit des règles applicables à l’ensemble des entités financières, visant à améliorer leur gestion des risques liés aux technologies de l’information et de la communication (TIC). Les principales obligations incluent :
- l’identification et la gestion des risques numériques ;
- des rapports détaillés sur les incidents informatiques ;
- la mise en place de tests réguliers de résilience numérique ;
- la surveillance des fournisseurs tiers critiques, comme les prestataires de services cloud.
Cette réglementation instaure également des critères communs pour classifier les incidents en fonction de leur gravité, garantissant une réponse cohérente à travers les États membres de l’UE.
Renforcer la sécurité par des outils et tests avancés
Le règlement DORA exige la mise en œuvre de mesures techniques et organisationnelles pour prévenir les incidents TIC. Cela inclut des outils de détection précoce des anomalies et des analyses approfondies des causes des incidents. Une attention particulière est portée aux tests de résilience, qui se déclinent en deux niveaux :
- des tests de base obligatoires pour toutes les entités financières ;
- des tests avancés, notamment des simulations d’intrusion, pour les acteurs financiers les plus critiques.
Ces tests s’appuient sur les principes de TIBER-EU, un cadre européen conçu pour évaluer la résistance des institutions financières face aux cyberattaques.
Gestion des prestataires tiers : un point clé de dora
DORA impose aux entités financières de revoir leurs relations contractuelles avec les prestataires de services TIC. Les contrats devront inclure des clauses uniformisées afin de garantir une transparence et une gestion efficace des risques. Par ailleurs, les institutions devront maintenir un registre à jour des accords passés avec les prestataires tiers, facilitant ainsi le suivi et la surveillance des services externalisés.
La Commission européenne a défini des critères pour identifier les prestataires de services TIC critiques. Ces fournisseurs feront l’objet d’une supervision renforcée par les autorités européennes, qui détermineront également les redevances associées à cette surveillance.
Les échéances et étapes de mise en conformité
DORA entrera en vigueur le 17 janvier 2025, laissant aux acteurs concernés un délai pour s’adapter. Cependant, les préparatifs doivent débuter sans attendre :
- évaluer les impacts stratégiques et opérationnels du règlement ;
- intégrer les nouvelles exigences dans les systèmes de gouvernance interne ;
- se conformer aux normes techniques réglementaires (RTS et ITS) publiées par la Commission européenne en collaboration avec les autorités de surveillance (EBA, ESMA, EIOPA).
Des consultations publiques ont déjà été organisées pour affiner ces normes, illustrant la volonté de transparence et de collaboration dans la mise en œuvre de DORA.
Une transformation nécessaire pour une finance plus résiliente
Avec DORA, l’Union européenne vise à établir un cadre cohérent et robuste pour la résilience numérique du secteur financier. En anticipant les risques informatiques et en imposant des standards élevés, cette réglementation prépare les institutions à affronter les défis de la transformation numérique tout en protégeant les consommateurs. La coopération entre les acteurs financiers, les prestataires TIC et les régulateurs sera essentielle pour garantir le succès de cette initiative.
À lire aussi : Fidelity International : des investissements immobiliers prometteurs
