Le secteur financier s’appuie de plus en plus sur des infrastructures et des services informatiques (parfois proposés et gérés par des tiers), ce qui le rend particulièrement vulnérable face aux cybermenaces et à la cybercriminalité croissante.
Pour répondre à ces enjeux, le règlement européen DORA (Digital Operational Resilience Act) a été adopté, fixant des objectifs ambitieux pour renforcer la résilience numérique des entités financières et protéger leurs clients.
Dès le 17 janvier 2025, DORA deviendra obligatoire pour toutes les entités financières. Cet article explorera les implications concrètes de ce règlement pour votre organisation et clarifiera son lien avec la législation NIS2.
Le Règlement DORA et son interaction avec la directive NIS 2
Le Digital Operational Resilience Act (DORA) est un nouveau règlement européen destiné à renforcer la résilience numérique des entreprises du secteur financier. Ce texte impose des exigences strictes et uniformes en matière de sécurité des systèmes d’information pour protéger les activités des entités financières.
La directive NIS 2 et le règlement DORA poursuivent des objectifs distincts : NIS 2 renforce la cybersécurité générale dans l’UE pour 18 secteurs essentiels, tandis que DORA cible la résilience du secteur financier, couvrant 21 types d’entités spécifiques.
En tant que « lex specialis », DORA prime sur NIS 2 pour les entités financières concernées, qui doivent donc suivre les règles propres à DORA en matière de gestion des risques, d’obligations d’information et de supervision.
Cependant, pour les entités non couvertes par des lois sectorielles comme DORA, NIS 2 continue de s’appliquer. Si une entreprise liée aux infrastructures numériques ou aux services TIC régulés par NIS 2 collabore avec le secteur financier, elle devra se conformer aux obligations de NIS 2. Un effort de coordination entre les autorités NIS 2 et DORA est en cours pour clarifier la régulation des sous-traitants critiques du secteur financier
Qui est concerné par DORA ?
Le champ d’application de DORA est vaste et inclut de nombreuses entités financières, telles que les banques, les gestionnaires d’actifs, les fournisseurs de services de paiement, les compagnies d’assurances, ainsi que les prestataires de services liés aux actifs numériques. De plus, les fournisseurs de services TIC critiques pour ces entités sont également soumis à une surveillance stricte.
Cependant, certaines petites entreprises, comme les microentreprises dans le domaine de l’assurance ou les petites entreprises de services de retraite, peuvent être exemptées si elles ne remplissent pas certains critères.
DORA reconnaît que les obligations qu’il impose doivent être adaptées à la taille et au profil de risque de chaque entité financière. En d’autres termes, les entreprises plus petites ou présentant un risque moindre seront soumises à des exigences moins strictes, tandis que les entreprises plus grandes et plus complexes devront se conformer à des règles plus rigoureuses.
Principales Obligations de DORA
DORA vise à assurer que les entreprises du secteur financier puissent résister, réagir et se remettre rapidement des perturbations numériques. Voici les principaux domaines concernés :
- Gestion des risques liés aux technologies de l’information et de la communication (TIC) : Les entités financières doivent mettre en place une structure de gouvernance et de contrôle pour gérer les risques TIC. Cela inclut l’élaboration d’un cadre de gestion des risques documenté, permettant une réponse rapide aux cybermenaces. Une attention particulière doit être accordée aux prestataires de services externes (ex. fournisseurs de solutions informatiques), en désignant un responsable interne chargé de surveiller les risques liés à ces fournisseurs
- Gestion des incidents TIC et notifications aux autorités : Les entreprises doivent signaler les incidents majeurs aux autorités compétentes et peuvent, de manière volontaire, notifier les cybermenaces importantes. Cela permet une meilleure coopération et une réponse plus rapide à l’échelle du secteur.
- Tests de résilience numérique : Les entreprises doivent régulièrement tester leur capacité à faire face aux cyberattaques et aux failles potentielles à travers divers tests (analyses de vulnérabilités, tests de pénétration, etc.). Les entités identifiées comme « significatives » devront, de plus, réaliser des tests avancés simulant des attaques réelles, renforçant ainsi leur capacité à réagir face aux menaces.
- Gestion des risques liés aux prestataires TIC tiers :
DORA impose aux entreprises financières de surveiller de près les services fournis par les prestataires externes. Cela inclut l’évaluation des risques associés et l’adoption de stratégies multi-fournisseurs, le cas échéant, pour limiter leur dépendance à un seul fournisseur. -
Surveillance des Prestataires de Services TIC Critiques : Un autre aspect important de DORA est la mise en place d’un cadre de surveillance spécifique pour les fournisseurs de services TIC critiques. Ceux-ci seront désignés par les autorités compétentes et feront l’objet d’une surveillance renforcée pour garantir qu’ils respectent des normes strictes de gestion des risques. Les autorités pourront mener des inspections, demander des informations détaillées et imposer des mesures correctives si nécessaire.
Pourquoi se préparer dès maintenant ?
DORA entrera en application en janvier 2025, mais le processus de mise en conformité devrait déjà être en cours. Les entreprises doivent profiter de cette période de transition pour mettre en place les structures nécessaires et se préparer aux audits et contrôles à venir. Ne pas se conformer à ces nouvelles obligations pourrait exposer votre entreprise à des sanctions sévères.
Comment MD-LEX peut vous aider ?
MD-LEX peut vous accompagner dans l’étude de l’applicabilité de DORA à votre entreprise ainsi que la rédaction des politiques et des contrats nécessaires (notamment avec vos fournisseurs de services TIC) pour assurer votre conformité.
Pour plus d’informations ou une consultation sur mesure, n’hésitez pas à nous contacter : info@md-lex.be