La loi sur la Résilience Opérationnelle Numérique (Digital Operational Resilience Act), plus communément connue sous le nom de DORA, est un règlement de la commission de l’Union Européenne. Publié au Journal officiel de l’UE le 27 décembre 2022, il entrera en vigueur le 17 janvier 2025. L’objectif principal de la DORA est de sécuriser et de soutenir la transformation numérique des services financiers. Le secteur financier sera particulièrement impacté et devra porter une attention particulière aux services TIC. Comprendre les subtilités de la DORA est essentiel pour les organisations qui cherchent à prospérer dans cette ère numérique en constante évolution, face à des cyber-menaces toujours croissantes.
Comprendre DORA
Le règlement DORA représente un changement de paradigme dans la manière dont les entités financières abordent la résilience numérique. Elle nécessite la participation active des cadres dirigeants dans la définition des interventions et des investissements nécessaires pour renforcer la résilience face aux risques numériques.
De nombreuses organisations rencontrent des défis pour se conformer aux exigences du règlement DORA, notamment dans la transition des processus manuels aux opérations numériques. Cependant, l’adoption de l’automatisation et de pratiques robustes de gestion des risques peut rationaliser les efforts de conformité. Cela sera particulièrement nécessaire pour maintenir un audit fiable des risques liés aux TIC, pour mettre en place des tests afin d’améliorer la résilience opérationnelle, ou encore pour faciliter la déclaration d’incidents critiques auprès des autorités responsables.
Quels secteurs seront impactés
Les secteurs les plus concernés par ces changements incluent le secteur bancaire, le secteur assurantiel, ainsi que les entreprises proposant des services financiers. L’importance croissante des TIC dans ces industries impose une adaptation constante aux nouvelles exigences réglementaires. Ainsi, les entreprises doivent renforcer leur gestion de risques et améliorer leur résilience opérationnelle dans le cadre du règlement DORA.
Les principaux intervenants
Les entités financières
Les institutions financières sont parmi les plus concernées par le règlement DORA. Elles doivent assurer une transparence accrue et répondre à des exigences strictes en matière de gestion de risques. Las gestion des risques liés aux TIC est entièrement sous leur responsabilité, c’est également aux entreprises affectées par ce règlement de mettre en place des tests de résilience opérationnelle. la commission européenne donnera plus d’informations afin d’aider ces entités affectées à se préparer, avec des lignes directrices techniques et organisationnelles.
Les TIC – Technologies d’Information et Communication
Les entreprises du secteur des TIC jouent un rôle central dans la mise en place de solutions conformes aux nouvelles règles. Elles fournissent des services indispensables à la gestion de risques et à la protection des informations sensibles. Ainsi, l’innovation dans les TIC devient une priorité stratégique pour répondre aux exigences des différents secteurs impactés.
Les instances régulatrices
Les régulateurs supervisent la conformité aux exigences imposées aux entreprises du secteur financier et des TIC. Ils imposent des règles strictes pour améliorer la gestion de risques et renforcer la résilience opérationnelle numérique. Ainsi, ils s’assurent que les informations restent protégées et que les entreprises respectent les normes en vigueur.
Les principes et piliers
1. Gestion des risques liés aux TIC
Les institutions financières doivent mettre en place des dispositifs complets de gestion des risques afin d’identifier, de contrôler et de limiter les risques liés aux technologies de l’information et de la communication (TIC), ce qui implique d’évaluer les risques liés aux systèmes internes et aux fournisseurs tiers. Cela implique également la mise en place de tests de résilience.
Note : Sour le règlement DORA nous considérons un risque comme une action impactant le bon fonctionnement des actions et outils. Par exemple, un risque peut être la fuite de données ou bien l’impossibilité d’accéder aux transactions ou autres services critiques, pour ne citer que quelques exemples.
2. Test de résilience opérationnelle
Les établissements sont tenus de tester leur résilience opérationnelle digitale au moyen de diverses évaluations et simulations. Ces tests permettent d’identifier les défaillances et de s’assurer que les systèmes peuvent résister aux perturbations.
3. Rapports d’incidents
La détection et le signalement en temps réel des incidents liés aux TIC sont essentiels dans le cadre de la réglementation DORA. Les entités financières doivent mettre en place des protocoles pour signaler rapidement les incidents aux régulateurs, afin de minimiser l’impact sur les opérations et les clients.
4. Gestion des risques liés aux tiers
Compte tenu de la dépendance à l’égard des fournisseurs externes de TIC, la réglementation DORA impose aux institutions de gérer et de limiter les risques liés aux tiers, y compris les fournisseurs de clouds et les centres de données.
5. Partage de l’information
DORA encourage les institutions financières à partager les renseignements sur les menaces et les informations sur les cyber-risques (ou cybermenaces)avec les parties prenantes concernées. Cette approche collective renforce la résilience globale de l’écosystème financier puisque les institutions partagent des connaissances pour mieux se préparer aux risques pouvant survenir par des prestataires TIC.
Portée et Impact
La portée de la loi DORA dépasse les entités bancaires traditionnelles pour englober une gamme diversifiée d’organisations opérant dans l’écosystème financier. Des établissements de crédit aux prestataires de services, la conformité à la DORA est impérative pour favoriser la résilience opérationnelle dans l’ensemble de l’industrie. Certaines instances seront impactées de manières indirecte, les TIC sont sous une définition bien précise dans ce cadre.
La conformité à la loi DORA nécessite des pratiques robustes de gestion des risques et le respect des normes pour effectuer par exemple un test de résilience.
Supervision Réglementaire
L’application de la loi DORA est supervisée par les Autorités Européennes de Surveillance (AES), composées de l’Autorité Bancaire Européenne (ABE), de l’Autorité européenne des assurances et des pensions professionnelles (AEAPP) et de l’Autorité européenne des marchés financiers (AEMF). Elles jouent un rôle crucial dans l’application des normes réglementaires et la promotion d’un environnement financier résilient.
Prochaines Étapes
Alors que les organisations naviguent dans les complexités de la conformité réglementaire, la compréhension de la loi DORA est primordiale. Que vous soyez une institution financière ou un prestataire de services au sein de l’industrie, la conformité à la DORA est nécessaire pour favoriser la résilience numérique et assurer un succès continu.
Quel rôle pour les départements juridiques
Gestion des contrats fournisseurs de TIC et conformité
Les équipes juridiques doivent s’assurer que les contrats de services TIC avec des tiers sont à jour, qu’ils respectent les exigences strictes de la loi DORA et qu’ils maintiennent une conformité continue afin de compter sur une bonne gestion des risques liés :
En examinant et en supervisant les contrats des fournisseurs de TIC afin d’y inclure toutes les clauses obligatoires de la loi DORA
En collaborant avec les équipes chargées des achats pour que les contrats soient régulièrement mis à jour.
En utilisant efficacement des outils tels que les solutions CLM pour suivre le cycle de vie des contrats et garantir le respect des normes réglementaires de la loi sur l’accès à l’information et la protection de la vie privée.
Gestion des incidents et rapports
Les services juridiques au sein des entités financières jouent un rôle clé dans la mise en place de protocoles robustes de signalement d’incidents conformes aux dispositions du règlement DORA.
Liaison et préparation à la réglementation
Les juristes sont les porte-parole de l’organisation auprès des autorités de régulation.
Mise en place de stratégies pour limiter les risques liés aux tiers
Les services juridiques doivent avoir une gestion des risques associés aux fournisseurs de TIC tiers efficaces.
Sensibilisation de l’organisation
Les équipes juridiques doivent en priorité informer les parties prenantes sur les exigences de la loi DORA.
Préparez-vous
Donnez à votre organisation les moyens de respecter la loi DORA grâce à notre guide complet. Explorez les dispositions de la règlementation en détail et découvrez comment la technologie peut simplifier les opérations, renforcer la sécurité et favoriser l’évolution numérique. Si vous faites partie du secteur financier, parmi d’autres concernés – Il est grand temps de mettre en place un cadre de gestion pour être en conformité avec ce règlement.
Téléchargez le guide complet
hbspt.forms.create({ region: « eu1 », portalId: « 26627353 », formId: « fa0be3ae-6930-4537-b7a9-884ba91c5c52 » });Alors que vous vous préparez à renforcer la résilience de votre organisation et à assurer la conformité à la loi européenne DORA, notre suite de solutions est prête à simplifier votre parcours. Avec DiliTrust vous pourrez mieux suivre les incidents et risques liés aux services tiers, ou encore mieux préparer vos rapports. De l’automatisation des processus à la libération de temps précieux pour les cadres dirigeants, en matière d’équipement, la suite DiliTrust Governance vous permet de naviguer dans les complexités de la conformité réglementaire avec confiance et efficacité.
Découvrez dès aujourd’hui l’impact transformateur de la suite DiliTrust Governance et améliorez votre résilience et votre conformité.
