En 2020, l'Union Européenne (UE) a introduit un nouveau cadre réglementaire axé sur des mesures visant à accroître la numérisation du secteur financier. Cela s'appellera plus tard la loi sur la résilience opérationnelle numérique (DORA), et fait partie du Paquet Finance Numérique (PFN), qui vise à soutenir les produits financiers innovants et à établir des règles sur les crypto-actifs et la résilience numérique.
Si DORA s'appuie largement sur des réformes déjà existantes (GDPR, directive NIS2 et MiFID II, par exemple), la nouveauté de ce règlement est qu'il s'agit du premier visant à harmoniser les normes de gestion des risques liés aux technologies de l'information et de la communication (TIC) en Europe. La loi sur la résilience opérationnelle numérique a été adoptée le 16 janvier 2023 et s'appliquera à tous les États membres le 17 janvier 2025, ce qui laisse une période de deux ans aux entités concernées pour adapter les changements afin de se conformer à la réglementation. En attendant, que peuvent faire les institutions financières pour se préparer à DORA ?
Quelles sont les entreprises concernées par la loi DORA ?
DORA possède un champ d'application assez large. Il comprend toutes les institutions financières de l'UE. Nous entendons par là toutes les institutions financières traditionnelles, telles que les banques, les compagnies d'assurance, les entreprises d'investissement et les établissements de crédit.
DORA inclut également les institutions financières numériques, y compris les actifs virtuels, les prestataires de services et les plateformes de cagnotte en ligne. Au total, 21 types d'entités différentes sont incluses dans la loi.
En bref, le règlement affectera tous les fournisseurs de TIC de services financiers, les entreprises de technologie financière et les entreprises désignées comme fournisseurs critiques opérant en Europe, que ces fournisseurs soient basés en Europe ou n'importe où ailleurs dans le monde.
Que signifie la "résilience opérationnelle" ?
Avant d'approfondir ce qu'est le DORA, il convient d'expliquer l'un des termes sur lesquels le règlement se concentre. Le terme "résilience opérationnelle" implique que, quelle que soit la situation critique à laquelle une entreprise est confrontée, le système d'information doit être en mesure de résister au "choc" et de poursuivre son activité. La résilience informatique est la capacité d'une organisation à assurer la continuité de son système d'information, même en cas de défaillance du matériel, de surcharge, de piratage informatique ou d'autres incidents.Qu'est-ce que DORA ?
DORA vise à renforcer la sécurité informatique des entités financières précédemment citées et à traiter de manière exhaustive la gestion des risques liés aux TIC dans le secteur des services financiers et à harmoniser les réglementations relatives à la gestion des risques liés aux TIC qui existent déjà dans les différents États membres de l'UE.
Le règlement vise à garantir la résilience financière des entreprises et à leur permettre de poursuivre leurs activités, même en cas d'incident. DORA a cinq piliers principaux:
Le règlement vise à garantir la résilience financière des entreprises et à leur permettre de poursuivre leurs activités, même en cas d'incident. DORA a cinq piliers principaux:
-
Gestion des risques liés aux TIC: Il s'agit d'établir un cadre global pour la gestion des risques liés aux TIC, comprenant des principes essentiels et des exigences adaptées aux pratiques de gestion des risques des entités financières.
Classification et rapport sur la gestion des incidents liés aux TIC: L'objectif est de normaliser et de simplifier les procédures de notification, d'étendre les obligations de notification à toutes les entités financières et d'élargir le spectre des incidents à notifier. En outre, le cadre permet de signaler volontairement les cybermenaces importantes ainsi que les incidents majeurs liés aux TIC.
Essais de résilience opérationnelle numérique: Les entités financières sont soumises à des tests de base ou à des tests avancés pour évaluer leur résilience opérationnelle numérique. Les tests avancés, imposés par le DORA, utilisent des tests de pénétration basés sur les menaces (TLPT) pour les entités désignées entrant dans son champ d'application pour les entités désignées entrant dans son champ d'application.
Gestion des risques liés aux TIC pour les tiers: Il s'agit de mettre en oeuvre des lignes directrices fondées sur des principes pour surveiller les risques liés aux tiers, de définir des dispositions contractuelles essentielles et d'établir un cadre de surveillance pour les fournisseurs tiers (TPP) de TIC essentiels.
Le partage d'informations: Encourage l'échange volontaire d'informations et de renseignements sur les cybermenaces entre les entités financières. L'objectif est de renforcer la résilience opérationnelle numérique des institutions financières grâce au partage collaboratif d'informations et de renseignements sur les cybermenaces.
Pourquoi la régulation DORA est-elle nécessaire ?
À l'heure actuelle, les institutions financières traditionnelles et surtout numériques dépendent fortement de la technologie et des services technologiques offerts au-delà des frontières. Cela peut avoir un impact sur la qualité de la vie, un impact sur d'autres entreprises, secteurs et même sur le reste de l'économie, ce qui souligne l'importance de la résilience opérationnelle numérique du secteur financier. Le secteur financier est de plus en plus exposé à des problèmes sous-jacents avec la technologie, comme les cyberattaques.
Ce sentiment d'urgence s'est accentué à la suite d'une rapport du Comité européen du risque systémique, qui met en évidence le risque cybernétique comme parmi les menaces les plus importantes. Le rapport souligne qu'un cyber-événement isolé pourrait précipiter une crise systémique, menaçant la stabilité financière dans toute l'Europe.
La pandémie de Covid-19 et l'augmentation de l'utilisation de l'accès à distance pour les services financiers ont entraîné une croissance des cyberattaques, comme l'a indiqué la Commission Européenne, qui a déclaré qu'un tiers des cyberattaques avaient eu lieu au cours de l'année écoulée. Une augmentation de 38% a été recensée depuis le début de la pandémie.
Quelles mesures les institutions financières pourraient-elles prendre pour se conformer à la loi DORA ?
Les institutions financières devraient procéder à des évaluations approfondies des risques identifier les vulnérabilités potentielles de leurs systèmes et processus numériques. La mise en oeuvre de robustes cadres de gestion des risques devrait être une priorité absolue dans l'espoir d'atténuer efficacement ces risques. Le renforcement des mesures de cybersécurité et de la gestion des fournisseurs tiers devrait également jouer un rôle crucial dans les opérations des institutions financières.
Faire une révision de la gestion de la maintenance et de l'administration informatique (concerne également les tiers et la sécurité de leurs propres ressources informatiques). L'investissement continu dans une infrastructure numérique moderne pour renforcer la résilience face à l'évolution des menaces et des défis technologiques est également une étape importante que les institutions financières devront franchir à l'avenir. Investir dans l'intelligence artificielle et l'apprentissage automatique pourrait être intéressante, car elle permettra de détecter les menaces de manière proactive. Par exemple, certaines compagnies d'assurance utilisent l'IA pour prédire la défaillance d'un équipement, ce qui permet d'éviter les temps d'arrêt et de réduire les coûts de maintenance.
Des audits et évaluations réguliers doivent être effectués pour contrôler et garantir le respect des normes de sécurité de l'information. Les institutions financières doivent se tenir informées des changements grâce à des mises à jour régulières par rapport aux exigences réglementaires afin de s'adapter en conséquence. En outre, les entreprises doivent établir des programmes réguliers de formation et de sensibilisation pour le personnel, d'améliorer sa compréhension et sa connaissance des exigences en matière de résilience opérationnelle et de son rôle dans le maintien de celle-ci.
Élaborer une culture de la résilience, la gestion proactive des risques, encourager la communication ouverte et la collaboration dans l'ensemble des départements pour identifier les lacunes en matière de résilience et les possibilités d'amélioration, selon une approche fondée sur les risques, un contrôle continu de la conformité et une amélioration constante des mesures de sécurité. S'engager dans des initiatives de partage d'informations et de collaboration avec d'autres institutions financières, des organismes de réglementation et des parties prenantes du secteur afin d'échanger les meilleures pratiques et les points de vue sur l'amélioration des initiatives de résilience opérationnelle, en mettant en place des structures claires de responsabilité et d'information. Les conseils d'administration devraient superviser activement les efforts de gestion des risques et veiller à ce que des ressources adéquates soient allouées pour maintenir la résilience.
Que se passe-t-il en cas de non-conformité ?
Le règlement ne mentionne pas de sanctions d'un montant fixe. Toutefois, il est précisé que les sanctions et les mesures doivent être efficaces, proportionnées et dissuasives. Les autorités compétentes auront le pouvoir de surveillance, d'enquête et de sanction nécessaires à l'exercice de leurs fonctions.
Chaque État membre fixera des règles établissant des sanctions administratives et des mesures correctives appropriées en cas d'infraction au règlement et veillera à sa mise en oeuvre effective. Les autorités compétentes, qui seront désignées par les États membres, auront le pouvoir d'appliquer au moins les sanctions administratives ou les mesures correctives suivantes en cas d'infraction à ce règlement :
-
Capacité à ordonner à des individus ou à des entités de mettre fin à tout comportement qui enfreint le règlement et à s'abstenir de répéter un tel comportement.
Appliquer une discontinuation de toute pratique contraire aux dispositions du règlement, que ce soit de manière temporaire ou permanente, et garantir la non-répétition.
Implementer diverses mesures, y compris des sanctions financières, afin d'assurer le respect des règles par les entités financières.
Demande d'accès à données existantes registres de trafic des opérateurs de télécommunications, dans les limites de la législation nationale, lorsqu'il existe des soupçons raisonnables d'infraction à la réglementation et qu'il y a lieu de mener des enquêtes.
Publier des avis publics, y compris des déclarations révélant l'identité de la personne ou de l'organisation et les détails de l'infraction.
Il est également possible que les États membres aient choisi de ne pas prévoir de sanctions administratives pour des infractions qui font l'objet de sanctions pénales en vertu de leur législation nationale.
En conclusion, le strict respect de la loi sur la résilience opérationnelle numérique est un devoir obligatoire essentiel pour les institutions financières qui font face aux défis de la transformation numérique et aux risques de cybersécurité. Par le biais d'une évaluation proactive des risques, une planification solide de la réponse aux incidents et un investissement dans des mesures de cybersécurité, peuvent renforcer leur résilience opérationnelle.
En outre, la promotion d'une culture de la conformité par la formation, l'encouragement de la collaboration et le renforcement des structures existantes contribueront à consolider les efforts de résilience. En fin de compte, en donnant la priorité à la résilience opérationnelle, les institutions financières peuvent non seulement répondre aux mandats réglementaires, mais aussi préserver leur capacité d'innovation, leurs opérations, leurs réputations> et la confiance des clients dans un contexte de numérisation croissante de l'industrie. Cependant, le coût de la conformité pourrait atteindre un nouveau record. Par conséquent, les institutions financières doivent être stratégique dans leurs priorités pour se conformer à ce nouveau cadre réglementaire.
DORAFinancial InstitutionsMiFID2ReportingRisk ManagementComplianceEuropeRisk Based ApproachOperational ResilienceFinancial operations
-806688168.jpg)
