Si DORA s'appuie largement sur des réformes déjà existantes (GDPR, directive NIS2 et MiFID II, par exemple), la nouveauté de ce règlement est qu'il s'agit du premier visant à harmoniser les normes de gestion des risques liés aux technologies de l'information et de la communication (TIC) en Europe. La loi sur la résilience opérationnelle numérique a été adoptée le 16 janvier 2023 et s'appliquera à tous les États membres le 17 janvier 2025, ce qui laisse une période de deux ans aux entités concernées pour adapter les changements afin de se conformer à la réglementation. En attendant, que peuvent faire les institutions financières pour se préparer à DORA ?
Quelles sont les entreprises concernées par la loi DORA ?
DORA possède un champ d'application assez large. Il comprend toutes les institutions financières de l'UE. Nous entendons par là toutes les institutions financières traditionnelles, telles que les banques, les compagnies d'assurance, les entreprises d'investissement et les établissements de crédit.En bref, le règlement affectera tous les fournisseurs de TIC de services financiers, les entreprises de technologie financière et les entreprises désignées comme fournisseurs critiques opérant en Europe, que ces fournisseurs soient basés en Europe ou n'importe où ailleurs dans le monde.
Que signifie la "résilience opérationnelle" ?
Avant d'approfondir ce qu'est le DORA, il convient d'expliquer l'un des termes sur lesquels le règlement se concentre. Le terme "résilience opérationnelle" implique que, quelle que soit la situation critique à laquelle une entreprise est confrontée, le système d'information doit être en mesure de résister au "choc" et de poursuivre son activité. La résilience informatique est la capacité d'une organisation à assurer la continuité de son système d'information, même en cas de défaillance du matériel, de surcharge, de piratage informatique ou d'autres incidents.Qu'est-ce que DORA ?
Le règlement vise à garantir la résilience financière des entreprises et à leur permettre de poursuivre leurs activités, même en cas d'incident. DORA a cinq piliers principaux:
-
Gestion des risques liés aux TIC: Il s'agit d'établir un cadre global pour la gestion des risques liés aux TIC, comprenant des principes essentiels et des exigences adaptées aux pratiques de gestion des risques des entités financières.
-
Classification et rapport sur la gestion des incidents liés aux TIC: L'objectif est de normaliser et de simplifier les procédures de notification, d'étendre les obligations de notification à toutes les entités financières et d'élargir le spectre des incidents à notifier. En outre, le cadre permet de signaler volontairement les cybermenaces importantes ainsi que les incidents majeurs liés aux TIC.
-
Essais de résilience opérationnelle numérique: Les entités financières sont soumises à des tests de base ou à des tests avancés pour évaluer leur résilience opérationnelle numérique. Les tests avancés, imposés par le DORA, utilisent des tests de pénétration basés sur les menaces (TLPT) pour les entités désignées entrant dans son champ d'application pour les entités désignées entrant dans son champ d'application.
-
Gestion des risques liés aux TIC pour les tiers: Il s'agit de mettre en oeuvre des lignes directrices fondées sur des principes pour surveiller les risques liés aux tiers, de définir des dispositions contractuelles essentielles et d'établir un cadre de surveillance pour les fournisseurs tiers (TPP) de TIC essentiels.
-
Le partage d'informations: Encourage l'échange volontaire d'informations et de renseignements sur les cybermenaces entre les entités financières. L'objectif est de renforcer la résilience opérationnelle numérique des institutions financières grâce au partage collaboratif d'informations et de renseignements sur les cybermenaces.
Pourquoi la régulation DORA est-elle nécessaire ?
À l'heure actuelle, les institutions financières traditionnelles et surtout numériques dépendent fortement de la technologie et des services technologiques offerts au-delà des frontières. Cela peut avoir un impact sur la qualité de la vie, un impact sur d'autres entreprises, secteurs et même sur le reste de l'économie, ce qui souligne l'importance de la résilience opérationnelle numérique du secteur financier. Le secteur financier est de plus en plus exposé à des problèmes sous-jacents avec la technologie, comme les cyberattaques.La pandémie de Covid-19 et l'augmentation de l'utilisation de l'accès à distance pour les services financiers ont entraîné une croissance des cyberattaques, comme l'a indiqué la Commission Européenne, qui a déclaré qu'un tiers des cyberattaques avaient eu lieu au cours de l'année écoulée. Une augmentation de 38% a été recensée depuis le début de la pandémie.
Quelles mesures les institutions financières pourraient-elles prendre pour se conformer à la loi DORA ?
Que se passe-t-il en cas de non-conformité ?
Chaque État membre fixera des règles établissant des sanctions administratives et des mesures correctives appropriées en cas d'infraction au règlement et veillera à sa mise en oeuvre effective. Les autorités compétentes, qui seront désignées par les États membres, auront le pouvoir d'appliquer au moins les sanctions administratives ou les mesures correctives suivantes en cas d'infraction à ce règlement :
-
Capacité à ordonner à des individus ou à des entités de mettre fin à tout comportement qui enfreint le règlement et à s'abstenir de répéter un tel comportement.
-
Appliquer une discontinuation de toute pratique contraire aux dispositions du règlement, que ce soit de manière temporaire ou permanente, et garantir la non-répétition.
-
Implementer diverses mesures, y compris des sanctions financières, afin d'assurer le respect des règles par les entités financières.
-
Demande d'accès à données existantes registres de trafic des opérateurs de télécommunications, dans les limites de la législation nationale, lorsqu'il existe des soupçons raisonnables d'infraction à la réglementation et qu'il y a lieu de mener des enquêtes.
-
Publier des avis publics, y compris des déclarations révélant l'identité de la personne ou de l'organisation et les détails de l'infraction.
Il est également possible que les États membres aient choisi de ne pas prévoir de sanctions administratives pour des infractions qui font l'objet de sanctions pénales en vertu de leur législation nationale.
En conclusion, le strict respect de la loi sur la résilience opérationnelle numérique est un devoir obligatoire essentiel pour les institutions financières qui font face aux défis de la transformation numérique et aux risques de cybersécurité. Par le biais d'une évaluation proactive des risques, une planification solide de la réponse aux incidents et un investissement dans des mesures de cybersécurité, peuvent renforcer leur résilience opérationnelle.
En outre, la promotion d'une culture de la conformité par la formation, l'encouragement de la collaboration et le renforcement des structures existantes contribueront à consolider les efforts de résilience. En fin de compte, en donnant la priorité à la résilience opérationnelle, les institutions financières peuvent non seulement répondre aux mandats réglementaires, mais aussi préserver leur capacité d'innovation, leurs opérations, leurs réputations> et la confiance des clients dans un contexte de numérisation croissante de l'industrie. Cependant, le coût de la conformité pourrait atteindre un nouveau record. Par conséquent, les institutions financières doivent être stratégique dans leurs priorités pour se conformer à ce nouveau cadre réglementaire.