La directive (UE) 2022/2556, aussi connu sous le nom de DORA (Digital Operational Resilience Act) vise à renforcer la résilience numérique du secteur financier européen. Elle s’applique à 20 types différents d’entités financières (banques, compagnies d’assurance, sociétés d’investissement, etc.) ainsi qu’aux fournisseurs de services informatiques tiers.
Cette réglementation reconnaît la dépendance croissante du secteur financier à la technologie et vise à protéger les entités financières contre les cyberattaques ou incidents, en mettant en place un cadre solide pour la gestion des risques liés aux TIC (Technologie de l’Information et de la Communication) et la résilience opérationnelle numérique.
Assurer la continuité des services financiers critiques en cas d'incident numérique. Cela permet de garantir que les citoyens et les entreprises peuvent toujours accéder à leurs services financiers essentiels, même en cas de crise.
Promouvoir une approche harmonisée de la résilience numérique au sein de l'Union européenne. Cela permet d'éviter la fragmentation du marché et de garantir un niveau de protection élevé pour tous les consommateurs.
Renforcer la capacité des institutions financières à prévenir, détecter et répondre aux incidents numériques. Cela inclut les cyberattaques, les pannes de système et les interruptions de service.
Entrée en vigueur de la directive.
Date limite pour la transposition de la directive en droit national par les États membres et donc mise en conformité Des institutions financières et des prestataires de services TIC.
Date limite pour la mise en place par les autorités nationales compétentes d'un cadre de surveillance des tests de pénétration et de la gestion des incidents.
Les entités financières doivent établir un cadre de gouvernance interne et de contrôle pour assurer une gestion efficace des risques liés aux TIC, avec la responsabilité ultime incombant au corps de gestion.
Identification de toutes les sources de risques liés aux TIC, protection des systèmes TIC, détection des activités anormales, plans et procédures de réponse et de récupération, apprentissage continu et politiques et plans de communication de crise.
Processus de gestion des incidents, classification des incidents liés aux TIC et menaces cybernétiques, et rapport des incidents majeurs liés aux TIC aux autorités.
Programme de test en tant que partie intégrante du cadre de gestion des risques liés aux TIC, comprenant des tests avancés basés sur des tests de pénétration menés par des menaces.
Le risque lié aux tiers TIC doit être une partie intégrante du cadre de gestion des risques liés aux TIC, avec une stratégie sur le risque lié aux tiers TIC, un registre d’informations, des analyses précontractuelles sur les services TIC, et la promotion de clauses contractuelles standard.
La réglementation DORA représente une étape significative vers une meilleure résilience opérationnelle numérique pour le secteur financier en Europe. En s’y préparant activement, avec l’aide de partenaires expérimentés comme Tersedia, les entreprises peuvent non seulement répondre aux exigences réglementaires mais aussi renforcer leur posture de sécurité globale.
