Chapitres 10 En vigueur: 17 janvier 2025

DORA

Digital Operational Resilience Act

Vue d'ensemble

Le Digital Operational Resilience Act (DORA) établit des exigences uniformes pour la sécurité et la résilience des systèmes et réseaux d'information soutenant les processus métier des entités financières. Il crée également un cadre de surveillance des prestataires tiers critiques de services TIC.[1]

DORA est un règlement, ce qui signifie qu'il s'applique directement dans tous les États membres de l'UE sans transposition.

Entités concernées

Entités financières[2]

  • Établissements de crédit (banques)
  • Établissements de paiement
  • Établissements de monnaie électronique
  • Sociétés d'investissement
  • Entreprises d'assurance et de réassurance
  • Dépôts centraux de titres
  • Registres centraux des opérations sur titres
  • Agences de notation
  • Fournisseurs de services de crypto-actifs
  • Fournisseurs de services de financement participatif
  • Fournisseurs de services de reporting de données

Prestataires tiers critiques de TIC

Les autorités européennes de surveillance désignent les prestataires critiques de services TIC en fonction de :

  • Impact systémique en cas de défaillance du prestataire
  • Degré de substituabilité
  • Nombre d'entités financières dépendant du prestataire

Les prestataires désignés sont soumis au cadre de surveillance de l'UE.

Cinq piliers de DORA

1. Gestion des risques TIC (Chapitre II)

Les entités financières doivent établir et maintenir :

  • Gouvernance : Responsabilité du conseil d'administration pour la stratégie de gestion des risques TIC
  • Cadre de gestion des risques : Identification, protection, détection, réponse, récupération
  • Documentation : Politiques, procédures et protocoles pour la sécurité TIC
  • Tests : Évaluation régulière des systèmes et outils TIC

2. Notification des incidents TIC (Chapitre III)[3]

ExigenceDétails
ClassificationCritères harmonisés pour la gravité des incidents
Notification initialeÀ l'autorité compétente dans les 4 heures suivant la classification
Rapport intermédiaireDans les 72 heures avec mises à jour
Rapport finalDans le mois suivant la résolution
Notification volontaireLes menaces cybernétiques significatives peuvent être signalées

Les incidents majeurs liés aux TIC doivent être signalés à l'aide de modèles standardisés.

3. Tests de résilience opérationnelle numérique (Chapitre IV)

Type d'entitéExigence de test
Toutes les entitésProgramme annuel de tests TIC
Entités significativesTests de pénétration dirigés par la menace (TLPT) tous les 3 ans
Prestataires TIC critiquesPeuvent participer à des TLPT groupés

Les tests doivent couvrir : évaluations des vulnérabilités, évaluations de la sécurité réseau, revues de sécurité logicielle, revues de code source (lorsque possible), tests basés sur des scénarios et tests de compatibilité.

4. Gestion des risques liés aux tiers (Chapitre V)[4]

Les entités financières doivent :

  • Tenir un registre de tous les accords tiers TIC
  • Effectuer une diligence raisonnable avant la contractualisation
  • Évaluer les risques de concentration
  • Inclure des clauses contractuelles obligatoires
  • Définir des stratégies de sortie
  • Signaler les accords aux autorités compétentes

Les clauses contractuelles obligatoires incluent les descriptions des niveaux de service, les obligations de protection des données, les droits d'accès et d'audit, les exigences de notification des incidents et les droits de résiliation avec soutien à la transition.

5. Partage d'informations (Chapitre VI)

Les entités financières peuvent échanger des informations sur les menaces cybernétiques au sein de communautés de confiance, sous réserve de règles de confidentialité, afin de renforcer la défense collective.

Proportionnalité

DORA applique la proportionnalité en fonction de la taille et du profil de risque de l'entité, de la nature, de l'ampleur et de la complexité des services, ainsi que de l'importance systémique.

Des exigences simplifiées s'appliquent aux petites sociétés d'investissement non interconnectées, aux établissements de paiement et de monnaie électronique en dessous de certains seuils, ainsi qu'à certains intermédiaires d'assurance.

Sanctions

Les autorités compétentes peuvent imposer :[5]

  • Amendes administratives
  • Paiements de pénalités périodiques
  • Communiqués publics
  • Retrait d'autorisation
  • Interdictions temporaires d'exercer des fonctions de gestion

Les montants spécifiques sont déterminés par la législation des États membres.

Implications pour les développeurs et prestataires TIC

Si vous fournissez des services TIC au secteur financier :

  1. Revue des contrats : Assurez-vous que les contrats respectent les exigences de DORA
  2. Notification des incidents : Établissez des canaux de notification pour les clients
  3. Soutien aux tests : Facilitez les tests de pénétration des clients
  4. Planification de la sortie : Permettez une transition ordonnée en cas de résiliation des contrats
  5. Surveillance de la concentration : Suivez les dépendances à vos services
  6. Désignation critique : Préparez-vous à une éventuelle surveillance de l'UE

Sources & Références

[1]
Règlement (UE) 2022/2554 sur la résilience opérationnelle numérique pour le secteur financier. EUR-Lex : Texte officiel de DORA
[2]
Article 2 de DORA : Champ d'application. Portail DORA : Article 2
[3]
Articles 17-23 de DORA : Notification des incidents liés aux TIC. Portail DORA : Notification des incidents
[4]
Articles 28-44 de DORA : Gestion des risques liés aux tiers. Portail DORA : Risques liés aux tiers
[5]
Article 50 de DORA : Sanctions administratives et mesures correctives. Portail DORA : Sanctions