DIGITAL OPERATIONAL RESILIENCE ACT (DORA)

April 15, 2024
En janvier 2025, le Digital Operational Resilience Act (DORA) prendra effet. Proposé par la Commission européenne, le règlement européen vise à renforcer la sécurité des technologies de l’information et de la communication (TIC) au sein du secteur financier.

QU’EST-CE LE DORA

Le DORA répond à un besoin d’encadrement juridique dans un domaine où la vulnérabilité aux cyberattaques ne cesse d’augmenter. En 2022, une enquête du Fonds Monétaire International (FMI) donnait lieu à la constatation déroutante que plus de 48% des pays ne possèdent pas de règlementation en matière de cybercriminalité. Avec la numérisation croissante des infrastructures financières, la nécessité d’une harmonisation législative est aujourd’hui indéniable. Début 2023, la banque centrale danoise et sept autres banques privées payaient le prix de la mauvaise gestion des risques. Aujourd’hui, les data traitées par les entités financières sont une cible de choix pour les hackers qui récoltent des données sensibles comme les informations financières personnelles.

Prévu pour s’appliquer à la plupart des entités financières de l’UE, le règlement est destiné aux banques, aux établissements de paiement, aux établissements de monnaie électronique, aux sociétés d’investissement, aux gestionnaires de fonds d’investissement, aux assureurs, ainsi qu’aux prestataires de services informatiques tiers, tels que les fournisseurs de cloud, de logiciels, d’analyse de données et de centres de données.

La résilience opérationnelle peut être définie comme la capacité d’une institution financière à maintenir des opérations fiables et sécurisées en utilisant des TIC tiers, assurant ainsi la continuité des services financiers, même en cas de perturbations. Dans cette optique, le règlement renforce les entités visées à travers cinq piliers précis qui seront abordés dans cette partie de l’article.

D’abord, le règlement impose aux entités financières l’établissement de cadres de gouvernance afin de gérer efficacement les risques informatiques et assurer une résilience opérationnelle numérique élevée. Cela nécessite d’envisager les divers risques informatiques et de mettre en place des politiques de sécurité pérennes. De plus, il convient qu’elles mettent à jour leurs systèmes et qu’elles réalisent des examens d’incidents pour déterminer les améliorations nécessaires.

En outre, un processus de gestion des incidents informatiques doit être mis en place pour détecter, gérer et signaler ces anomalies. Les incidents seront classés en fonction de critères déterminés, tels que le nombre d’utilisateurs touchés, la durée, la géographie, les pertes de données, la criticité des services affectés et les conséquences économiques. Les incidents majeurs doivent être notifiés en temps opportun aux autorités compétentes au moyen de modèles normalisés de notification.

Les entités financières sont tenues d’établir et de réviser régulièrement un programme exhaustif de tests de résilience opérationnelle numérique. Ces tests, effectués par des parties indépendantes, peuvent varier en fréquence selon le niveau de risque.

Le règlement DORA prévoit que les entités financières doivent mettre en place une stratégie pour gérer les risques liés à l’utilisation de prestataires tiers de services TIC.

 

Elles doivent s’assurer que ces prestataires ne présentent aucune vulnérabilité qui pourrait affecter leur propre sécurité. Cela implique de déterminer et d’évaluer individuellement les risques liés aux accords contractuels avec ces tiers. Si des risques potentiels sont identifiés, les entités financières doivent résilier les contrats avec ces prestataires à risque. De plus, elles doivent produire un rapport annuel contenant les nouveaux accords liés aux services TIC, les catégories de prestataires tiers, les types d’accords contractuels, ainsi que les services et fonctions TIC fournis. Le règlement spécifie les clauses à intégrer dans les contrats avec les prestataires de services financiers, marquant une distinction entre les prestataires critiques et non critiques. Suite à la désignation des prestataires par les autorités européennes de surveillance (AES), un superviseur principal évalue la capacité des prestataires critiques à gérer les risques liés aux TIC. Après quoi, les AES fournissent un processus de notification harmonisé et des recommandations pour renforcer la cybersécurité des prestataires tiers.

COMMENT TGLF PEUT VOUS AIDER À ASSURER VOTRE CONFORMITE AU REGLEMENT DORA ?

Grâce à notre expertise sur le marché luxembourgeois, notre équipe offre un appui de qualité dans la mise en conformité au DORA. De l’analyse de l’applicabilité à la mise en œuvre des nouvelles dispositions, jusqu’au suivi de sa bonne application l’équipe de TGLF saura répondre à vos besoins.

CONCLUSION

Le règlement DORA est une avancée majeure dans la protection du système financier contre les menaces numériques croissantes. Son objectif est d’améliorer la cybersécurité des prestataires financiers européens.

 

A l’heure actuelle, les entités et les prestataires de services tiers doivent déterminer s’ils sont concernés par le DORA. Il s’agira de se préparer au mieux en évaluant les risques liés à la gestion des TIC et les accords contractuels existants en matière de TIC.

 

 

THE GOVERNANCE LAW FIRM

You may also like…

E L T I F

E L T I F

Pour répondre au besoin de financement de l’économie réelle en acheminant des capitaux d’origine non bancaire vers...

S P A C IN LUXEMBOURG

S P A C IN LUXEMBOURG

A Special Purpose Acquisition Company (SPAC) is a listed, non-operating investment vehicle. Its aim is to acquire,...