ThinkTank_Logo_black
L'attente est terminée
Ailance™ ThinkTank est là !
En savoir plus

La BaFin publie une orientation DORA sur les exigences en matière de documentation

Guide d'orientation de la BaFin sur les exigences en matière de documentation DORA
Catégories :
, ,

L'autorité fédérale allemande des services financiers (BaFin) a publié un aperçu structuré des exigences de documentation de la loi sur la résilience opérationnelle numérique (DORA). Avec ce guide d'orientation pour DORA, la BaFin veut aider les entreprises financières à s'orienter rapidement dans les différents textes juridiques.

Ce qu'offre l'aide à l'orientation DORA de la BaFin

Le règlement européen DORA doit être mis en œuvre par les entreprises à partir du 17 janvier 2025. Il vise à renforcer le marché financier européen contre les cyber-risques et les incidents dans le domaine des technologies de l'information et de la communication (TIC). Les exigences documentaires auxquelles les entreprises réglementées doivent se conformer y contribuent également. Celles-ci sont définies dans différents articles de la DORA et dans les normes techniques de réglementation et d'exécution.

L'aide à l'orientation publiée mi-décembre par la BaFin doit aider les entreprises financières à mettre en œuvre les exigences de documentation résultant de DORA. Elle donne un premier aperçu des documentations minimales mentionnées dans DORA et dans les normes techniques de réglementation et d'application (Regulatory Technical Standards - RTS et Implementing Technical Standards - ITS).

Important : l'aperçu ne constitue pas une interprétation contraignante de la BaFin. Elle ne contient pas non plus d'interprétation dans le cadre des processus Q&A des trois autorités de surveillance européennes (EBA - European Banking Authority, ESMA - European Securities and Markets Authority et EIOPA - European Insurance and Occupational Pensions Authority).

Conseil de lecture : DORA s'applique à partir de janvier 2025 - ces entreprises sont concernées

Comment fonctionne l'aperçu de la BaFin

Dans l'aperçu, les documents minimaux exigés sont disposés en tenant compte de la structure prescrite dans les textes juridiques. Les différentes colonnes indiquent les chapitres, sections et articles de la DORA ou des normes techniques de réglementation et d'exécution qui, selon le BaFin, sont pertinents. Dans les lignes, les différents documents sont présentés de manière hiérarchique.

Les exigences des normes techniques de réglementation et d'exécution sont affectées aux colonnes en fonction des thèmes.

Les politiques et procédures liées aux politiques et procédures de sécurité des TIC visées à l'article 9, paragraphe 2, de la DORA sont identifiées en conséquence.

Ce que l'aide à l'orientation DORA ne peut pas offrir

Selon le BaFin, l'aperçu n'aborde toutefois pas la forme et le contenu des documents énumérés. Les entreprises réglementées doivent cependant en principe établir les documents de manière compréhensible et en tenant compte du principe de proportionnalité conformément au § 4 DORA. Les exigences en matière de contenu des documents minimaux, telles que les procédures, protocoles ou outils spécifiques, ne figurent pas non plus dans l'aperçu. Outre ces documents minimaux, d'autres documents peuvent être requis (voir article 6, paragraphe 2, de la DORA).

Les chapitres ou articles suivants ne sont pas mentionnés individuellement dans l'aperçu, car ils ne contiennent pas de documents minimaux pour satisfaire aux exigences DORA :

  • Chapitre I, articles 1-5 DORA, ainsi que Titre I, article 1 et Titre II, chapitre I, section 1, article 2 RTS RMF : dispositions générales (objet, champ d'application, définition, principe de proportionnalité, etc.)
  • Chapitre II, article 7 DORA : exigences relatives aux systèmes, protocoles et outils TIC
  • Chapitre II, article 15 DORA : poursuite de l'harmonisation des outils, méthodes, processus et lignes directrices pour la gestion des risques liés aux TIC[1] (explique notamment quelles normes techniques de réglementation complètent DORA)
  • Chapitre V, section 2 (articles 31-44) DORA : cadre de surveillance des fournisseurs de services TIC critiques tiers
  • Chapitre VI à chapitre IX DORA : accords sur l'échange d'informations, autorités compétentes, actes délégués, dispositions transitoires et finales

 

En outre, les réglementations issues de DORA qui ne concernent que quelques entreprises financières ne font pas l'objet de cet aperçu. Il s'agit notamment de l'article 16 DORA et du titre III RTS RMF, du "cadre simplifié de gestion des risques TIC" ainsi que des tests avancés basés sur le TLPT (Threat-led Penetration Testing, articles 26 et 27 DORA). D'autres dispositions spéciales (p. ex. les exceptions pour les micro-entreprises) ne figurent pas dans cet aperçu.

Source : Exigences de documentation DORA de la BaFin

Source : Exigences de documentation DORA de la BaFin (recto-verso pour impression)

Nouveau : le chatbot intelligent Ailance™
Les réponses à vos questions sur la protection des données & la conformité ainsi que sur les solutions Ailance™ en un seul clic. C'est désormais possible grâce au nouveau chatbot Ailance™.
Vers la version d'essai gratuite
Prendre contact
Les tags :
Partager ce post :

Catégories populaires

Bulletin d'information

Abonnez-vous à notre lettre d'information sur la protection des données pour recevoir les dernières mises à jour, conseils et connaissances directement dans votre boîte de réception.
S'abonner

Derniers messages

fr_FRFrench
de_DEGerman en_USEnglish it_ITItalian fr_FRFrench