DORA
DORA

Loi sur la résilience opérationnelle numérique

Lorsque le système informatique de votre banque tombe en panne, ce n'est pas seulement gênant : c'est un risque systémique

La loi sur la résilience opérationnelle numérique (DORA) est la réponse de l'Union européenne à une question simple : que se passe-t-il lorsque les systèmes informatiques du secteur financier tombent en panne ? La DORA établit un cadre unifié pour la gestion des risques liés aux TIC, la notification des incidents, les tests de résilience et la gestion des risques liés aux tiers pour l'ensemble du secteur financier de l'Union européenne. Car lorsqu'une banque, un assureur ou un prestataire de services de paiement est hors ligne, il ne s'agit pas seulement d'un problème informatique, mais d'un risque systémique.

Champ d'application

Pratiquement toutes les entités financières de l'UE : banques, compagnies d'assurance, sociétés d'investissement, prestataires de services de paiement, prestataires de services liés aux crypto-actifs et, surtout, leurs prestataires de services informatiques tiers. Si vous fournissez des services de cloud, des logiciels ou des services liés aux données au secteur financier, la directive DORA s'applique également à vous.

Couverture géographique

Réglementation européenne ayant un effet direct. Elle s'applique à toutes les entités financières agréées dans l'Union européenne et à leurs prestataires de services informatiques essentiels, quel que soit le lieu d'établissement de ces derniers.

En vigueur depuis

17 janvier 2025

Objectif

Pour garantir que le secteur financier soit en mesure de résister aux perturbations liées aux TIC, d'y faire face et de s'en remettre. Considérez cela comme un test de condition physique pour l'infrastructure informatique de votre banque — et comme l'entraîneur n'est autre que l'Autorité européenne de surveillance, vous feriez bien de prendre cela au sérieux.

Accéder à votre rôle:

Entité financière

Vous êtes une entité financière soumise à réglementation : banque, compagnie d'assurance, société d'investissement, établissement de paiement, établissement de monnaie électronique, dépositaire central de titres, agence de notation de crédit ou prestataire de services liés aux crypto-actifs. Si vous disposez d'un agrément financier dans l'UE, la directive DORA s'applique à vous.

Vos obligations

  • Mettre en place et maintenir un cadre global de gestion des risques liés aux TIC (art. 5 à 16)
  • Classer et signaler les incidents majeurs liés aux TIC : rapport initial dans les 4 heures, rapport intermédiaire dans les 72 heures, rapport final dans le délai d'un mois (art. 17 à 23)
  • Réaliser régulièrement des tests de résilience opérationnelle numérique, y compris des tests d'intrusion axés sur les menaces (TLPT) pour les entités importantes (art. 24 à 27)
  • Gérer les risques liés aux tiers dans le domaine des TIC grâce à une diligence raisonnable structurée, à des exigences contractuelles et à un suivi continu (articles 28 à 44)
  • Participer aux mécanismes de partage d'informations sur les cybermenaces (art. 45)
  • Veiller à ce que l'organe de direction assume la responsabilité finale des risques liés aux TIC, y compris en matière de formation (art. 5.2)
  • Tenir un registre de tous les accords conclus avec des tiers dans le domaine des TIC (art. 28.3)
  • Recenser les actifs, les systèmes et les interdépendances dans le domaine des TIC, y compris au sein des différentes structures du groupe (art. 8)

Articles phares

Art. 5–16 — Cadre de gestion des risques liés aux TICArt. 17–23 — Classification et signalement des incidentsArt. 24 à 27 — Tests de résilience numériqueArt. 28–44 — Gestion des risques liés aux tiersArt. 45 — Partage d'informations
Conseil de pro

Le délai de 4 heures prévu pour le rapport initial est le plus court de toute la réglementation européenne. Mettez en place un système automatisé de détection des incidents et préparez des modèles de rapport à l'avance. Par ailleurs, recensez dès maintenant vos dépendances informatiques : en cas d'incident, vous devrez savoir quel fournisseur est concerné et ce que prévoient les contrats quant à ses obligations.

Prestataire de services informatiques tiers

Vous fournissez des services informatiques à des entités financières : infrastructure cloud, logiciels bancaires de base, traitement des paiements, analyse de données, services de cybersécurité ou externalisation informatique. Si le secteur financier dépend de vos systèmes, le règlement DORA s'adresse à vous — en particulier si vous êtes désigné comme fournisseur informatique « critique » par les autorités européennes de surveillance.

Vos obligations

  • Aider les entités financières à se conformer à la réglementation en leur fournissant des informations et des garanties adéquates (articles 28 à 30)
  • Accepter les clauses contractuelles portant sur : les descriptions des services, l'emplacement des données, les mesures de sécurité, l'assistance en cas d'incident, les droits d'audit et les stratégies de sortie (art. 30)
  • Signaler sans délai les incidents affectant les clients des entités financières (art. 30.2e)
  • Si l'établissement est désigné comme étant d'importance systémique : se soumettre à la surveillance directe des autorités européennes de surveillance (articles 31 à 44)
  • Si le système est critique : respecter des normes de sécurité adéquates, se soumettre à des évaluations et communiquer les informations relatives aux risques aux autorités (articles 33 à 36)
  • Veiller à ce que les accords de sous-traitance ne compromettent pas la capacité de l'entité financière à se conformer aux exigences (art. 30.2a)

Articles phares

Art. 28 — Principes généraux relatifs aux risques liés aux tiers dans le domaine des TICArt. 30 — Dispositions contractuelles essentiellesArt. 31–44 — Cadre de surveillance des prestataires essentiels
Conseil de pro

Si vous travaillez dans le secteur financier, commencez dès maintenant à vérifier la conformité de vos contrats avec les exigences de l'article 30 de la DORA. Les établissements financiers vous imposeront ces exigences ; mieux vaut donc être proactif plutôt que réactif. Disposer de modèles de contrats conformes à la DORA témoigne de votre maturité et permet de gagner du temps lors des négociations.

Comment Euregas peut vous aider

Outils disponibles

  • Évaluations des risques liés aux TIC — évaluations structurées conformes aux exigences des articles 5 à 16 de la directive DORA
  • Gestion des incidents — suivi des incidents informatiques avec des rappels automatiques des délais (4 h / 72 h)
  • Gestion des risques liés aux tiers (art. 28 à 44) — évaluer et surveiller les prestataires de services informatiques

Fonctionnalités assistées par l'IA

  • Recherche sémantique dans les articles et les considérants de la directive DORA
  • Étapes préremplies par l'IA pour les dossiers de conformité liés à DORA
Remarque

Le module DORA propose des workflows structurés à gestion manuelle. Des fonctionnalités assistées par l'IA (par exemple, la classification de la gravité des incidents ou la détermination automatisée de la portée TLPT) sont prévues pour les prochaines versions.

Tous les exemples sont fictifs et ne servent qu'à des fins d'illustration.