Qu’est-ce que la réglementation DORA ?

DORA (Digital Operational Resilience Act) est une nouvelle réglementation européenne visant à renforcer la résilience opérationnelle numérique des acteurs du secteur financier. Elle s’assure que les institutions financières et leurs prestataires de services technologiques sont bien préparés pour faire face aux risques liés aux technologies de l’information et de la communication (TIC), comme les cyberattaques.

Adopté par le Conseil de l’Union Européenne le 10 novembre 2022, le règlement DORA est entré en vigueur le 16 janvier 2023. Les institutions concernées avaient jusqu’au 17 janvier 2025 pour se mettre en conformité.

Un nouveau cadre pour la Résilience Opérationnelle Numérique

Le risque cyber est l’une des principales sources de risque opérationnel pour les institutions financières. Les régulateurs y accordent une attention croissante en raison des conséquences potentiellement dévastatrices sur les infrastructures financières. Pour faire face à ce risque, le règlement DORA impose un cadre strict en matière de gestion des risques informatiques, de cybersécurité et de continuité des activités. DORA vise à :

• Renforcer la résilience opérationnelle numérique des acteurs financiers face aux risques TIC et aux cyberattaques.
• Créer un cadre réglementaire harmonisé pour toute l’UE en matière de cybersécurité et de gestion des risques numériques.
• Améliorer la transparence et la réactivité en cas d’incident informatique majeur.

Qui est concerné par la réglementation DORA ?

Le règlement DORA s’adresse à un large éventail d’acteurs du secteur financier ainsi qu’à leurs prestataires de services TIC. Voici les principaux concernés :

• Institutions financières : banques, établissements de crédit, entreprises d’investissement, assurances, fonds de pension, institutions de monnaie électronique.
• Infrastructures de marché : bourses de valeurs, systèmes de paiement, chambres de compensation.
• Fournisseurs de services tiers critiques : cloud, logiciels, services TIC opérant dans l’UE.

Les exigences clés du règlement DORA

• Gestion des risques informatiques : Mettre en place des cadres robustes pour identifier, évaluer, gérer et réduire les risques TIC.
• Tests de résilience opérationnelle : Effectuer régulièrement des tests pour évaluer la capacité à résister et se remettre des perturbations, incluant des scénarios de cyberattaques.
• Gestion des incidents : Établir des procédures pour détecter, gérer et signaler les incidents informatiques, avec des mécanismes de communication efficaces.
• Surveillance des fournisseurs de services tiers : Surveiller et gérer les risques liés aux fournisseurs de services tiers, avec des contrats clairs, une surveillance continue et des audits réguliers.
• Partage d’informations et coopération : Participer à des initiatives de partage d’informations et de coopération pour améliorer la connaissance des menaces et renforcer la résilience collective.

Les sanctions prévues par DORA

DORA impose des sanctions dissuasives pour garantir le respect des obligations :

• Sanctions pécuniaires : Amendes pouvant atteindre 10 millions d’euros ou 5 % du chiffre d’affaires annuel total pour les entités financières non conformes.
• Astreintes pour les prestataires critiques : Astreintes journalières jusqu’à six mois, équivalentes à 1 % du chiffre d’affaires quotidien moyen mondial, pour les prestataires TIC critiques non conformes.
• Pouvoirs des autorités compétentes : Les autorités nationales peuvent mener des enquêtes, effectuer des inspections, émettre des injonctions et suspendre des pratiques non conformes à DORA.

En conclusion, le règlement DORA marque un pas important pour la sécurité et la résilience des systèmes financiers en Europe. En imposant des règles strictes et harmonisées face aux risques numériques croissants, il est la première réglementation transversale à toucher l’ensemble des acteurs du système financier. C’est un gage de confiance entre les entités financières et aussi dans le système financier dans sa globalité.

Source : ACPR BANQUE DE FRANCE