Comment se préparer à la mise en conformité avec la loi DORA

La loi sur la résilience opérationnelle numérique (DORA) entrera en vigueur le 17 janvier 2025. Ce règlement de l’UE vise à renforcer la sécurité informatique des entités financières telles que les banques, les compagnies d’assurance et les entreprises d’investissement. Elle garantit la résilience du secteur financier européen en cas de graves perturbations opérationnelles. Les institutions financières qui entrent dans le champ d’application de ce règlement doivent renforcer leur résilience numérique. Elles doivent être prêtes à faire face aux ajustements futurs et mettre en place une solide stratégie de contrôle pour rester en conformité.

La question finale est la suivante : comment les institutions peuvent-elles se préparer à la mise en conformité avec la réglementation DORA ? Dans cet article, nous examinons le champ d’application de la réglementation. Nous donnons aussi des exemples pratiques pour comprendre comment la technologie peut aider les équipes juridiques à préparer sa mise en application.

En fin de compte, la question est de savoir comment les institutions peuvent se préparer à se conformer à la loi DORA. Dans cet article, nous examinons le champ d’application de la réglementation. Nous donnons également des exemples concrets de la manière dont la technologie peut aider les équipes juridiques à préparer le terrain.

Parallèlement, l’Autorité européenne des marchés financiers (AEMF) a travaillé avec les autorités nationales compétentes sur ce sujet et sur d’autres thèmes connexes tels que l’amélioration de la protection des investisseurs, le bon fonctionnement des marchés et la stabilité financière.

La réglementation DORA élargit le champ d’application, la nature et l’approche des textes et des lignes directrices existants. Cela vise à garantir une meilleure résilience face à des risques croissants.

Contrairement aux efforts, recommandations et lignes directrices antérieurs de l’ABE et de l’AEMF, le règlement DORA est juridiquement contraignant et comporte des exigences et des délais de mise en conformité clairement définis, ce qui oblige les entités financières à agir et à améliorer leur résilience face aux risques potentiels en matière de sécurité.

L’évolution du paysage financier s’accompagne d’une évolution de la législation.
La loi DORA vise à :

Le champ d’application des entités financières concernées par la réglementation DORA a été élargi par rapport aux textes et lignes directrices précédents. Il comprend les banques, les compagnies d’assurance et les entreprises d’investissement d’une certaine taille. Les fournisseurs de services TIC tiers sont également concernés, bien que différemment. Ils jouent un rôle majeur dans la cybersécurité.

La loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act – DORA) définit plusieurs responsabilités clés pour les entités financières. Elles doivent s’assurer qu’elles peuvent résister et se remettre des perturbations liées aux TIC. Voici les principales responsabilités :

Commencez par établir une liste détaillée de vos systèmes et fournisseurs de TIC, en identifiant ceux concernés par la réglementation DORA. Cette loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act) propose un répertoire de fournisseurs pour simplifier cette identification. Une fois établie, la liste des fournisseurs de TIC reste définitive et clôturée. Si vous ne voyez pas de fournisseur de TIC correspondant aux descriptions de la loi DORA, il n’y a pas d’autre démarche à entreprendre pour ces fournisseurs.

Comment ?
Vous pouvez utiliser un outil CLM pour consulter les contrats conclus avec les fournisseurs de TIC. Ces documents peuvent contenir des clauses indiquant si un fournisseur de TIC est soumis à la réglementation DORA. En quelques minutes, vous pouvez rechercher les clauses applicables et générer une liste de vos fournisseurs de TIC potentiellement concernés. L’IA peut s’avérer extrêmement utile à cet égard. Elle simplifie et accélère la recherche tout en garantissant qu’aucun entrepreneur n’est oublié.

La DORA définit une série de fonctions critiques ou importantes qui peuvent avoir un impact sur les performances, la stabilité et la continuité des services des entités financières et les empêcher de se conformer aux réglementations obligatoires en vigueur.

Comment ? L’outil CLM peut être utilisé pour rechercher certaines fonctions ou certains services offerts par vos fournisseurs de TIC. Il peut aider à identifier la nécessité et l’étendue des tests. Cette tâche peut être exécutée rapidement si vous utilisez un outil CLM doté de puissantes fonctions d’intelligence artificielle. Il vous permet de rechercher des mots clés pertinents dans vos contrats et d’obtenir des réponses en quelques secondes.

Pour évaluer les risques potentiels, vous avez besoin d’un système de suivi solide qui vous permet d’identifier les incidents passés. Vous devez également les cartographier de manière détaillée. Assurez-vous de pouvoir créer et partager facilement des rapports d’incidents avec votre conseil et les régulateurs. Mettez en place des tests et une surveillance continue pour réduire les risques futurs.

Comment ?
Le contrôle des risques se divise en deux phases : l’évaluation des menaces passées et la cartographie détaillée des incidents. Ensuite, il y a la surveillance continue des menaces potentielles et des failles de sécurité. Ces deux phases nécessitent des fonctions de reporting et d’analyse efficaces. Cela facilite l’audit et les contrôles de conformité. Vous pouvez tirer parti de votre outil de gestion des entités juridiques s’il offre des capacités de création de rapports. L’existence d’un référentiel centralisé facilite la communication avec les organismes de réglementation. Il est également recommandé de mettre en place des technologies de détection des menaces en temps réel.

Il se peut que vous deviez mettre en place des changements pour vous conformer à la loi DORA. D’un point de vue pratique, cela signifie que vous devez disposer d’une équipe dédiée et allouer les ressources nécessaires. Assurez-vous que des audits externes ont été réalisés et que les processus internes concernant les tests, le suivi et la cartographie sont en place d’ici le début de l’année 2025.

Les outils de technologie juridique tels que les plateformes de gestion du cycle de vie des contrats (CLM) et de gestion juridique des entités (ELM) assurent une supervision centralisée. Ils permettent un suivi en temps réel des activités de conformité. Par ailleurs, ils aident à une meilleure gestion des risques et un reporting transparent aux autorités. Ces solutions simplifient et rationalisent les processus de conformité. Cela les rend indispensables pour les organisations qui doivent se conformer aux exigences de la loi DORA.

D’un autre côté, ne pas adopter de solutions spécialisées pour la conformité DORA expose les organisations financières à des risques inutiles et à des inefficacités. Sans ces outils, les directeurs financiers sont confrontés à des défis tels qu’une gestion fragmentée des données, des processus manuels sujets aux erreurs et des retards dans la réponse aux exigences réglementaires.

La mise en conformité avec DORA commence par l’identification des fournisseurs TIC essentiels à votre écosystème. Un outil de gestion du cycle de vie des contrats (CLM) simplifie cette tâche. Avec l’intelligence artificielle, il accélère le processus et améliore l’efficacité.

• Capacités de recherche avancée : Utilisez le moteur de recherche de la plateforme pour identifier les contrats comportant des clauses spécifiques. Les clauses telles que les droits d’audit ou les accords de sous-traitance sont essentiels en vertu de la loi DORA.
  
• Filtres sur les contrats : Créez des filtres pour isoler les accords pertinents, comme les licences de logiciels ou les contrats SaaS. Vous pouvez affiner les recherches en ajoutant des paramètres pour localiser les clauses relatives aux sous-traitants.
  
• Extraction de clauses grâce à l’IA : Même si les clauses ne sont pas balisées au préalable, l’IA peut identifier les termes pertinents. Par exemple, ceux liés aux réglementations nationales, comme les clauses de l’ACPR en France. Capturez toutes les données requises par le DORA. Cela inclut les dates de découverte, les établissements concernés et les catégories d’incidents (majeurs ou mineurs).

En quelques minutes, vous pouvez générer une liste de fournisseurs de TIC, analyser leurs clauses de conformité et exporter ces données pour un examen plus approfondi. Les bibliothèques de clauses alimentées par l’IA peuvent également stocker toutes les clauses contractuelles relatives à la loi DORA, garantissant ainsi l’exactitude et la facilité d’accès en cas d’exigences de tierces parties.

La loi DORA exige que les incidents liés aux TIC soient signalés en temps et en heure, quelle qu’en soit l’ampleur. Les incidents majeurs doivent être signalés dans les quatre heures – et au plus tard dans les 24 heures – après avoir été classés comme critiques (source : Taylor Wessing). Les rapports doivent être détaillés et couvrir les causes profondes, les systèmes affectés et les parties impliquées.

• Tableaux de bord personnalisables : Utilisez des dashboards personnalisés pour suivre, documenter et gérer les incidents liés aux TIC. Par exemple, si un fournisseur de services Cloud subit une violation, saisissez des descriptions détaillées. Décrivez les systèmes affectés, les causes profondes et les parties impliquées.
  
• Domaines prêts pour la réglementation : Capturez toutes les données requises par la loi DORA. Cela inclut les dates de découverte, les institutions affectées et les catégories d’incidents (majeurs ou mineurs).
  
• Flux d’activité : Maintenez un journal d’activité en temps réel pour suivre l’évolution de l’incident. Vous devez documenter les actions et rationaliser les mises à jour destinées aux parties prenantes et aux autorités de réglementation.
  
• Rapports intégrés : Générer des rapports d’incidents complets faciles à partager avec les organismes de réglementation ou les comités internes.

Un outil ELM garantit la transparence et facilite la communication. Il offre des mises à jour en temps réel tout en soutenant la conformité réglementaire.

La gouvernance est au cœur de la conformité avec la loi DORA. Les entités financières doivent formaliser des structures de contrôle et établir des méthodes de communication claires entre les parties concernées. Les membres du conseil d’administration et les CxO sont fortement impliqués dans ce processus. Ainsi, une communication efficace entre eux et un suivi clair des tâches sont essentiels. Un outil robuste pour le conseil d’administration permettra de suivre le statut des activités liées au DORA (incidents ou mises à jour contractuelles en attente) dont les parties concernées ont discuté et de maintenir une piste d’audit claire.

• Board Portal pour le Conseil d’administration : Créez des comités dédiés à la réglementation DORA. Utilisez des modèles prédéfinis pour les ordres du jour, le suivi des présences et les journaux de décision. Ces outils facilitent la conformité aux exigences réglementaires.
  
• Examen des incidents et suivi des décisions : Présentez des mises à jour sur les incidents, examinez les rapports clés et documentez les décisions prises par les comités.
  
• Synchronisation avec le conseil d’administration : Assurez l’alignement entre les comités DORA et les discussions au niveau du conseil d’administration. Ainsi, vous pouvez lier les décisions et les ordres du jour.
  
• Comptes rendus et plans d’action : Enregistrez les procès-verbaux des réunions, les décisions et les tâches assignées. Stockez-les pour les consulter ultérieurement. Cela permet de garder une trace des actions en cours ou des changements à venir liés à DORA.

Une plateforme centralisée améliore la gouvernance. Elle renforce la transparence, réduit les charges administratives et facilite l’engagement et la responsabilisation de toutes les parties prenantes.

La mise en conformité avec la loi DORA s’inscrit dans un cadre de gestion défini par l’Union européenne, qui vise à assurer un niveau élevé de résilience pour toutes les entités financières et les acteurs du secteur. Le règlement européen, qui modifie les directives existantes, a été publié au Journal officiel et prévoit l’application du règlement dès janvier 2025. DORA s’applique à un large périmètre, incluant non seulement les établissements de crédit, les sociétés de gestion, et certaines entités du secteur comme celles proposant des services de financement ou du financement participatif, mais également les prestataires TIC et tiers de services soutenant des fonctions critiques.

La stratégie de résilience exigée implique la mise en œuvre de mesures précises en matière de gestion des risques TIC et de contrôle interne, notamment via des tests de résilience et de pénétration fondés sur des critères de classification des incidents. Les incidents majeurs liés aux TIC doivent faire l’objet d’une notification aux autorités compétentes, conformément au principe de proportionnalité, afin de protéger la continuité des activités et de répondre aux nouvelles exigences. DORA impose également un suivi détaillé des accords contractuels avec les prestataires tiers, ainsi que des stratégies de sortie permettant de réduire le risque lié à l’utilisation de services externes.

Pour accompagner cette mise en conformité, les entreprises peuvent s’appuyer sur des rapports annuels, un registre de suivi des incidents, ainsi que la publication régulière de communiqués de presse ou de présentations destinés aux autorités européennes et au Parlement européen. Cette diffusion d’informations officielles renforce la responsabilité et la transparence des sociétés concernées auprès des autorités compétentes, tandis que la mise en avant d’une politique relative à la protection des données personnelles, intégrée au site et au plan du site, démontre l’engagement de l’organisation en matière de conformité et de sécurité des informations.

La réglementation DORA apporte de nouveaux défis aux entités financières et aux fournisseurs de TIC. Ces acteurs évoluent déjà dans des environnements complexes. En parallèle, les technologies de mise en conformité progressent au rythme des réglementations.

Pour les équipes juridiques et les dirigeants, choisir les bons outils est essentiel. Cela permet de répondre aux exigences de conformité tout en optimisant leur temps. Ils peuvent ainsi se concentrer sur la stratégie et aligner leurs efforts avec les parties externes.

La suite DiliTrust Governance fournit le support dont les équipes ont besoin pour répondre efficacement aux exigences de conformité. Découvrez comment nos solutions peuvent faciliter vos opérations, réservez une démo. avec nous dès aujourd’hui !