DORA c’est maintenant, êtes-vous prêt ?

Aucune catégorie

 

 

Qu’est ce que DORA ?

Le règlement européen sur la résilience opérationnelle numérique, plus connu sous le nom de DORA (Digital Operational Resilience Act), entre en application le 17 janvier. Il marque une étape majeure dans la sécurisation du secteur financier face aux menaces numériques. À l’ère où les cyberattaques et les perturbations des systèmes informatiques sont en constante augmentation, DORA vise à garantir que les institutions financières soient prêtes à faire face aux risques technologiques tout en maintenant la confiance des consommateurs.

Les objectifs de DORA, la résilience et la sécurité dans un monde numérique, reposent sur deux principes fondamentaux : la gestion proactive des risques liés aux technologies de l’information et de la communication (TIC) et la continuité des activités critiques. Avec cette approche, DORA veut transformer la gestion des risques numériques en une priorité stratégique pour toutes les institutions financières.

 

Parmi les obligations induites par DORA on trouve : la gestion du risque lié aux technologies de l’information et de la communication (« TIC »), la gestion, la classification et la notification des incidents liés aux TIC, la mise en œuvre de tests de résilience opérationnelle numérique, la gestion des risques liés aux prestataires tiers de services TIC, et la mise en place d’un cadre de supervision des prestataires tiers critiques de services TIC.

Le non-respect de DORA peut entraîner des sanctions financières sévères, des restrictions d’activités, voire des dommages réputationnels. Les autorités compétentes, comme l’ACPR, disposent de pouvoirs renforcés pour imposer des amendes et exiger des corrections immédiates. Cela souligne l’urgence pour les entreprises de se préparer dès maintenant. 

 

Où en sont les textes ?

La mise en œuvre de ces obligations requière néanmoins que la réglementation elle-même soit prête pour cette entrée en application, et notamment, que les textes de niveau 2 aient été adoptés, que les prestataires tiers de services TIC qui sont critiques pour les entités financières aient été désignés, etc…

Dans ce cadre, à l’approche de l’entrée en application de DORA, les autorités européennes nationales de supervision multiplient les publications, les groupes de travail et les communications.
Plusieurs documents importants ont ainsi été publiés en 2024 pour guider les institutions financières :

ACPR (18 décembre 2024) : Une notice détaillant les modalités d’application du règlement, avec des précisions sur la gouvernance des risques liés aux TIC, les rapports d’incidents, et les exigences pour les prestataires tiers.

Autorités européennes de surveillance (17 janvier, 17 juillet, 8 novembre, 4 décembre 2024) : Une série de normes techniques (RTS et ITS) a été adoptée, incluant des spécifications pour les rapports d’incidents TIC et les registres contractuels. Des consultations sur les tests avancés de résilience (TLPT) sont en cours.

Textes officiels de la Commission européenne : Le règlement délégué (UE) 2024/1774 (13 mars 2024) qui précise les normes techniques de réglementation concernant les outils, méthodes, processus et politiques de gestion des risques liés aux technologies de l’information et de la communication (TIC), ainsi que le cadre simplifié de gestion de ces risques.

D’autres normes complémentaires restent néanmoins encore à adopter par la Commission européenne d’ici juillet 2025 et notamment celles relatives :

-Aux critères pour classer les incidents TIC majeurs, aux spécifications sur les risques de concentration liés aux fournisseurs tiers.

-Au contenu et aux délais de la notification initiale, du rapport intermédiaire 

et du rapport final sur les incidents majeurs liés aux TIC.

-Aux éléments qu’une entité financière doit déterminer et évaluer lorsqu’elle sous-traite des services TIC soutenant des fonctions critiques ou importantes etc…

Ces textes joueront un rôle important dans la mise en œuvre complète du cadre DORA.
Les échéances clés à retenir pour les acteurs du secteur sont les suivantes :

17 janvier 2025 : Entrée en application du règlement. Dès cette date, toutes les entités financières devront être conformes aux exigences principales de DORA.

Début 2025 : Premiers rapports d’incidents TIC majeurs attendus des entités financières.

Fin 2025 : Désignation des prestataires tiers critiques (CTPP) par les autorités compétentes.

Les enjeux de la mise en oeuvre opérationelle :

Ces échéances nécessitent une préparation en amont pour éviter des sanctions ou des perturbations opérationnelles (démarche détaillée dans le guide mise en conformité DORA de Babylone Consulting).

Les petites entités bénéficient d’un cadre simplifié, mais doivent tout de même se conformer aux exigences de base, telles que la protection des données critiques. Compte tenu de l’ampleur et de la complexité de mise en œuvre du règlement délégué, des marges de manœuvre sont possibles.

Ainsi, la Commission européenne et les autorités de supervision, comme l’ACPR en France, reconnaissant les défis posés par l’application immédiate de DORA, accordent une certaine flexibilité aux entités:

-Les petites entreprises peuvent adopter des cadres simplifiés.

-Les autorités sont invitées à tenir compte de la complexité et de la taille des organisations dans leur supervision.

-Un temps est accordé en 2025 pour finaliser les éléments encore en cours de développement, comme les tests avancés ou les stratégies de gestion des tiers. Dans ce contexte réglementaire complexe et encore un peu mouvant, il est essentiel d’appréhender correctement les enjeux de DORA, ses implications à court et moyen terme et de concentrer les efforts là où cela est nécessaire en s‘appuyant sur les compétences pertinentes.

Dans ce contexte réglementaire complexe et encore un peu mouvant, il est essentiel d’appréhender correctement les enjeux de DORA, ses implications à court et moyen terme et de concentrer les efforts là où cela est nécessaire en s’appuyant sur les compétences pertinentes.