Se préparer à l’entrée en vigueur de DORA sur la résilience opérationnelle numérique

Face à la transformation numérique profonde des services financiers, à l’interconnexion croissante des réseaux et des infrastructures critiques, ainsi qu’à la multiplication des cyberattaques sophistiquées, l’Union européenne a adopté un cadre réglementaire innovant : le règlement DORA et sa directive associée. Entrés en vigueur le 16 janvier 2023 après leur adoption en novembre 2022, ces textes visent à renforcer la résilience opérationnelle numérique des entités financières.

Un nouveau cadre réglementaire pour la finance numérique

S’inscrivant dans la stratégie de finance numérique de la Commission européenne, l’initiative DORA a pour objectif de favoriser l’innovation et l’adoption de nouvelles technologies, tout en garantissant la stabilité financière et la protection des consommateurs.

Ce nouveau cadre se compose de deux actes législatifs majeurs :

• Le règlement (UE) 2022/2554, connu sous le nom de règlement DORA, qui établit des exigences uniformes pour la gestion des risques liés aux technologies de l’information et de la communication (TIC) et pour la sécurité des réseaux et des systèmes d’information à l’échelle de l’UE.
• La directive (UE) 2022/2556, visant à modifier des directives existantes (CRD IV, DSP2, BRRD, Solvabilité II, IORP II, MiFID II, AIFM, etc.) afin de les aligner sur les nouvelles dispositions introduites par le règlement DORA.

Pour la première fois, le règlement DORA offre un cadre législatif unique, détaillé et complet sur la résilience opérationnelle numérique pour les entités financières au sein de l’UE. Il prévoit également un mécanisme de surveillance directe des prestataires de services TIC critiques au niveau européen.

Qui est concerné par DORA ?

Le règlement DORA s’applique à un large éventail d’acteurs du secteur financier, notamment :

• Les établissements financiers : établissements de crédit, entreprises d’investissement, établissements de paiement, établissements de monnaie électronique, sociétés de gestion, entreprises d’assurance et de réassurance, intermédiaires d’assurance et de réassurance, etc.
• Les prestataires de services TIC : opérant dans les services financiers au sein de l’Union européenne.

Calendrier d’application

Le règlement DORA sera directement applicable dans tous les États membres de l’UE à partir du 17 janvier 2025. D’ici là, la Commission européenne publiera des actes délégués basés sur les normes techniques de réglementation et d’exécution (RTS et ITS) proposées conjointement par les autorités européennes de surveillance (EBA, EIOPA, ESMA). Ces textes préciseront certaines exigences du règlement DORA et constitueront le niveau 2 de ce nouveau cadre réglementaire.

La directive 2022/2556 devra être transposée par les États membres avant le 17 janvier 2025.

Il est donc essentiel que les entités financières et les prestataires de services TIC se préparent dès maintenant en analysant ces nouvelles exigences et en évaluant leurs impacts opérationnels et stratégiques.

De la gestion des risques à la résilience opérationnelle numérique

Le concept de résilience opérationnelle numérique met l’accent sur une approche proactive de la gestion des risques opérationnels. Au lieu de se concentrer uniquement sur la prévention des risques et la limitation des pertes, il s’agit de partir du principe que les incidents, même improbables, se produiront inévitablement. Les organisations doivent donc être prêtes à y faire face tout en assurant la continuité de leurs activités et services critiques.

Cette approche nécessite une compréhension approfondie du fonctionnement interne de l’entreprise et de son écosystème, afin d’identifier les risques et les menaces, mais aussi d’évaluer les niveaux de perturbation acceptables du point de vue de l’organisation et du client. En renforçant leur agilité et leur réactivité, les entreprises peuvent améliorer la confiance et la fidélité de leur clientèle.

Ainsi, le règlement DORA devrait être perçu non pas comme une contrainte supplémentaire, mais comme une opportunité pour les entités financières de se différencier sur le marché en renforçant leur résilience opérationnelle face aux risques informatiques, cybernétiques, de continuité d’activité et liés aux tiers.

Les 5 piliers de la résilience opérationnelle numérique

Le règlement DORA identifie cinq piliers essentiels que les institutions financières doivent mettre en œuvre pour encadrer leur résilience opérationnelle numérique :

1. Gestion des risques liés aux TIC : Développer un dispositif robuste pour gérer les risques associés aux technologies de l’information et de la communication.
2. Gestion et reporting des incidents TIC et des cybermenaces : Mettre en place des processus efficaces pour détecter, gérer et signaler les incidents et les menaces cybernétiques.
3. Tests de la résilience opérationnelle numérique : Réaliser régulièrement des tests pour évaluer et améliorer la capacité de l’organisation à résister aux perturbations.
4. Gestion des risques liés aux prestataires de services TIC : Évaluer et gérer les risques associés aux fournisseurs externes de services TIC.
5. Partage d’informations en matière de cybersécurité : Collaborer avec d’autres acteurs pour échanger des informations sur les menaces et les meilleures pratiques en matière de cybersécurité.

Comment faciliter et accélérer la mise en conformité avec DORA ?

Transformez votre processus de diagnostic avec Smart Global Governance et sa solution Auto-Eval. En exploitant la puissance de l’intelligence artificielle, Auto-Eval remplit automatiquement vos grilles d’évaluation en s’appuyant sur les documents internes de votre entreprise. Plus besoin des allers-retours fastidieux entre vos différents services et collaborateurs !

De plus, Smart Global Governance offre des modules avancés pour l’évaluation de vos tiers et un reporting optimisé grâce à des outils de Business Intelligence intégrés nativement. Simplifiez vos processus, gagnez du temps précieux et prenez des décisions éclairées avec une solution tout-en-un.