Le Digital Operational Resilience Act (DORA) est un règlement de l'Union européenne et est en vigueur depuis le 17 janvier 2023. Elle sera appliquée à partir du 17 janvier 2025. DORA fait partie d'un paquet global de l'UE sur la numérisation et vise notamment à rendre les marchés financiers plus résistants aux menaces croissantes de cyber-attaques.
Contexte et nécessité de DORA
Ces dernières années, la numérisation a considérablement modifié le secteur financier. Les banques, les compagnies d'assurance, les prestataires de services de paiement et d'autres institutions financières s'appuient de plus en plus sur les technologies numériques pour rendre leurs services plus efficaces et plus conviviaux. Mais dans le même temps, ces technologies sont vulnérables aux cyber-attaques, aux défaillances techniques et à d'autres risques opérationnels.
L'UE a reconnu que la résistance opérationnelle du secteur financier n'est pas seulement un défi pour les entreprises elles-mêmes, mais qu'elle peut également constituer une menace pour la stabilité du système financier dans son ensemble. Une panne informatique grave ou une cyberattaque contre une grande institution financière pourrait entraîner des perturbations de grande ampleur et ébranler la confiance des consommateurs et des marchés.
La pandémie COVID-19 et l'augmentation des cyberattaques qui en a résulté pour le secteur financier ont encore mis en évidence ces risques. Il est notamment apparu clairement que de nombreuses entreprises financières restaient vulnérables malgré les politiques de cybersécurité et les plans d'urgence existants.
Il était donc nécessaire d'introduire un règlement à l'échelle de l'UE comme DORA pour mieux gérer les risques numériques et préparer le secteur financier aux crises liées aux technologies de l'information.
Objectifs de DORA
Les objectifs centraux de DORA sont
- Protection contre les cyberattaques et les perturbations informatiques :
DORA vise à garantir que les entreprises financières puissent identifier, évaluer, gérer et atténuer efficacement les risques liés à l'utilisation des systèmes TIC. - Harmonisation des exigences réglementaires :
En introduisant des exigences uniformes en matière de résilience numérique, l'UE veut s'assurer qu'il n'y a pas de différences réglementaires entre les Etats membres. Cela devrait être particulièrement avantageux pour les prestataires de services financiers transfrontaliers. - Amélioration de la collaboration et du suivi :
DORA oblige les institutions financières à mieux se coordonner avec les autorités compétentes et les autres acteurs du secteur en cas d'incident. - Engagement en faveur de systèmes TIC robustes :
Les entreprises doivent s'assurer que leurs systèmes TIC sont suffisamment robustes pour continuer à fonctionner en cas de perturbation informatique ou de cyberattaque.
Ces entreprises sont concernées par le Digital Operational Resilience Act
DORA s'adresse à un large éventail d'entreprises financières et de fournisseurs de services TIC. Selon l'article 2, paragraphe 1, de DORA, le champ d'application comprend
a) les établissements de crédit CRR,
b) les établissements de paiement,
c) les prestataires de services d'information sur les comptes,
d) les établissements de monnaie électronique,
e) les entreprises d'investissement,
f) les fournisseurs de services de cryptographie agréés conformément au règlement du Parlement européen et du Conseil concernant les marchés de crypto-valeurs (MiCAR) et les émetteurs de jetons référencés par valeur,
g) les dépositaires centraux de titres,
h) les contreparties centrales,
i) les lieux de négociation,
j) les référentiels centraux,
k) les gestionnaires de fonds d'investissement alternatifs,
l) les sociétés de gestion
m) services de fourniture de données,
n) les entreprises d'assurance et de réassurance,
o) intermédiaires d'assurance, intermédiaires de réassurance et intermédiaires d'assurance à titre accessoire,
p) les institutions de retraite professionnelle,
q) les agences de notation de crédit,
r) les administrateurs des niveaux de référence critiques,
s) les prestataires de services de financement participatif,
t) registre de titrisation
u) les fournisseurs de services TIC
Étant donné que de nombreuses entreprises financières font aujourd'hui appel à des prestataires de services TIC externes, DORA s'intéresse également aux prestataires tiers. Ces prestataires de services doivent répondre aux mêmes exigences de sécurité et de résilience que les institutions financières elles-mêmes.
Des exceptions sont prévues à l'article 2, paragraphe 3, de la DORA pour les entreprises suivantes :
- les gestionnaires de fonds d'investissement alternatifs au sens de l'article 3, paragraphe 2, de la directive 2011/61/UE ;
- les entreprises d'assurance et de réassurance au sens de l'article 4 de la directive 2009/138/CE ;
- les institutions de retraite professionnelle qui gèrent des régimes de retraite comptant au total moins de 15 affiliés ;
- les personnes physiques ou morales exemptées en vertu des articles 2 et 3 de la directive 2014/65/UE ;
- Intermédiaires d'assurance, intermédiaires de réassurance et intermédiaires d'assurance à titre accessoire qui sont des micro, petites ou moyennes entreprises ;
- les offices de chèques postaux au sens de l'article 2, paragraphe 5, point 3), de la directive 2013/36/UE.
Éléments clés de DORA
DORA comprend une série d'exigences et de mesures spécifiques que les institutions financières doivent mettre en œuvre. Parmi les éléments les plus importants figurent
- Gestion des risques liés aux TIC
Les institutions financières doivent disposer d'une gestion des risques solide, spécifiquement axée sur les risques liés aux systèmes TIC. Cela inclut notamment - Identifier les vulnérabilités et les menaces dans les systèmes TIC.
- Mise en œuvre de mesures de protection pour éviter ou réduire les risques.
- Évaluer régulièrement l'efficacité de ces mesures.
- Dépendance vis-à-vis de fournisseurs tiers
Étant donné que de nombreuses institutions financières achètent des services TIC à des fournisseurs externes, la dépendance vis-à-vis des fournisseurs tiers est un thème central de DORA. Le règlement prévoit que les risques liés aux prestataires de services tiers soient également évalués et contrôlés. Les entreprises financières doivent s'assurer que leurs prestataires de services externes respectent les mêmes normes de sécurité qu'elles-mêmes. - Plans d'urgence et continuité des activités
Un aspect central de DORA est la garantie de la continuité des activités en cas de cyberincident ou de perturbation informatique. Les institutions financières doivent élaborer des plans d'urgence complets qui tiennent compte de scénarios tels que les cyberattaques, les pannes techniques ou les catastrophes naturelles. Ces plans doivent être testés et mis à jour régulièrement. - Documentation sur les TIC et échange d'informations
Les institutions financières doivent documenter les incidents liés aux TIC et les signaler aux autorités compétentes. L'échange d'informations sur les menaces et les vulnérabilités est un élément essentiel de DORA. Cela devrait aider l'ensemble du secteur à mieux se prémunir contre les cyber-attaques. - Surveillance et sanctions
DORA donne aux autorités de contrôle compétentes des États membres de l'UE des pouvoirs étendus pour surveiller et faire appliquer le règlement. En cas de non-respect, de lourdes amendes peuvent être infligées.
Conseil de lecture : Directive NIS 2 - ces entreprises sont concernées
Avantages et défis de DORA pour les entreprises
Avantages de Dora sont
- Sécurité et résistance accrues :
L'introduction de normes de sécurité uniformes renforcera la résilience numérique du secteur financier de l'UE. - Consistance et clarté :
L'harmonisation des exigences réduit le patchwork réglementaire et garantit des règles claires dans tous les États membres. - la protection des consommateurs :
Les clients peuvent être sûrs que leurs données et leurs actifs sont mieux protégés, même en temps de crise. - Stabilité accrue du marché :
En rendant les institutions financières plus résistantes aux pannes informatiques et aux cyber-attaques, DORA contribue à la stabilité du système financier dans son ensemble.
Mais les entreprises concernées doivent aussi se mettre d'accord Défis à relever de l'entreprise :
- Coûts :
La mise en œuvre des prescriptions DORA peut entraîner des coûts importants, en particulier pour les petites entreprises qui ne disposent peut-être pas des ressources nécessaires. - Dépendance vis-à-vis de fournisseurs tiers :
La surveillance des fournisseurs tiers peut être complexe et difficile, en particulier lorsque des fournisseurs mondiaux de services en nuage comme Amazon Web Services ou Microsoft sont impliqués. - la complexité des exigences :
DORA exige un niveau élevé de mise en œuvre technique et organisationnelle, ce qui peut représenter un défi pour de nombreuses entreprises.
Les autorités de surveillance de l'UE élaborent des normes concrètes pour l'application de DORA
En introduisant des exigences uniformes en matière de gestion des risques, de protection contre les cyberincidents et de coopération entre les acteurs concernés, DORA vise à garantir que les entreprises financières et leurs systèmes TIC soient plus résistants face aux menaces numériques croissantes. Même si sa mise en œuvre peut s'accompagner de défis, DORA devrait contribuer à long terme à renforcer la stabilité et la sécurité du marché financier.
Les trois autorités européennes de surveillance - l'Autorité européenne des marchés financiers (AEMF), l'Autorité bancaire européenne (ABE) et l'Autorité européenne des assurances et des pensions professionnelles (AEAPP) - élaborent conjointement des normes techniques de réglementation, des normes de mise en œuvre et des lignes directrices qui concrétisent davantage l'application de DORA dans tous les secteurs.