Loi sur la résilience opérationnelle numérique (DORA) pour les services financiers

À l’ère du numérique, nous ne pouvons plus imaginer un monde sans technologies de l’information et de la communication (TIC). Que ce soit dans la vie quotidienne ou dans un environnement professionnel, les TIC sont omniprésentes. L’échange d’informations, les transactions commerciales, les activités des entreprises… tout cela est facilité par les TIC. On peut dire sans risque de se tromper que les TIC sont devenues un pilier essentiel de notre économie et un facteur indispensable dans divers secteurs clés, y compris les services financiers. La transformation numérique du secteur financier au cours des dernières années s’est traduite par une utilisation et une dépendance sans précédent à l’égard des services TIC. Des diverses solutions logicielles aux services liés aux données, les opportunités numériques pour les entités financières sont aujourd’hui nombreuses. Toutefois, cette numérisation a pour conséquence un écosystème financier européen qui devient de plus en plus intrinsèquement dépendant de différents services TIC fournis par des fournisseurs de services TIC tiers. Une interconnectivité et une dépendance accrues entre les acteurs financiers, les infrastructures tierces et les fournisseurs de services signifient également une vulnérabilité accrue aux TIC et aux perturbations opérationnelles, à la perte de données ou aux cyber-menaces dans le système financier. Il est donc d’autant plus important aujourd’hui d’atténuer le risque de dépendance aux TIC et d’intégrer une solide résilience numérique dans le cadre opérationnel. Une perturbation dans les services financiers pourrait non seulement affecter d’autres entreprises dans d’autres secteurs, mais aussi, à terme, l’ensemble de l’économie.

C’est là que la loi sur la résilience opérationnelle numérique (Digital Operational Resilience Act – DORA) entre en jeu.

Champ d’application de la loi sur la résilience opérationnelle numérique (DORA)

La loi DORA est un ensemble d’exigences uniformes concernant la sécurité des réseaux et des systèmes d’information qui soutiennent les processus opérationnels des entités financières. L’objectif ultime est d’atteindre un niveau commun élevé de résilience opérationnelle numérique.

Les exigences s’appliquent à :

  1. Les entités financières en ce qui concerne la gestion des risques liés aux technologies de l’information et de la communication (TIC) : Un ensemble de principes et d’exigences est nécessaire pour mettre en place un cadre fiable de gestion des risques liés aux TIC. Les entités financières doivent suivre la même approche et les mêmes règles fondées sur des principes lorsqu’elles traitent les risques liés aux TIC. L’harmonisation des principales exigences en matière de résilience opérationnelle numérique est nécessaire.
  2. Gestion, classification et signalement des incidents liés aux TIC : Non seulement une solide gestion des risques liés aux TIC, mais aussi des mécanismes et des politiques spécifiques pour traiter tous les incidents liés aux TIC et pour signaler les incidents majeurs liés aux TIC doivent être mis en place afin de maintenir le contrôle sur les risques liés aux TIC.
  3. Test de résilience opérationnelle numérique : Des politiques doivent être mises en place pour tester les systèmes, les contrôles et les processus liés aux TIC.
  4. Mesures pour une gestion saine des risques liés aux TIC pour les tiers : Un ensemble de règles fondées sur des principes afin d’assurer un contrôle efficace des risques liés aux TIC pour les tiers.
  5. Partage d’informations et de renseignements sur les cybermenaces et les vulnérabilités : Les entités financières peuvent échanger des informations et des renseignements sur les cybermenaces :
  • des contrats entre les entités financières et les fournisseurs de services TIC tiers
  • les règles relatives à l’établissement et à la mise en œuvre d’un cadre de surveillance pour les prestataires de services tiers critiques
  • les règles relatives à la coopération, à la surveillance et à l’application par les autorités compétentes de toutes les questions couvertes par le règlement.

Le DORA s’applique aux entités suivantes

établissements de crédit les sociétés de gestion
les établissements de paiement les prestataires de services de communication de données
les prestataires de services d’information sur les comptes les entreprises d’assurance et de réassurance
les établissements de monnaie électronique les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance auxiliaires
les entreprises d’investissement les institutions de retraite professionnelle
les prestataires de services liés aux crypto-actifs (tels qu’autorisés en vertu d’un règlement du Parlement européen et du Conseil concernant les marchés des crypto-actifs) et les émetteurs de jetons référencés par des actifs les agences de notation de crédit
les dépositaires centraux de titres les administrateurs d’indices de référence critiques
les contreparties centrales les prestataires de services de crowdfunding
les plates-formes de négociation les référentiels de titrisation
référentiels centraux les prestataires de services tiers dans le domaine des TIC
gestionnaires de fonds d’investissement alternatifs

En harmonisant les règles de résilience opérationnelle

En harmonisant les règles liées à la résilience opérationnelle et applicables à plus de 20 entités financières différentes et aux prestataires de services TIC tiers, la loi DORA vise à renforcer la sécurité informatique des services financiers, en veillant à ce que le secteur financier européen reste résilient en cas de perturbations opérationnelles importantes. La loi sur la résilience opérationnelle numérique est entrée en vigueur le 16 janvier 2023 et s’appliquera à partir du 17 janvier 2025.

(D’après le Journal officiel de l’Union européenne : RÈGLEMENT (UE) 2022/2554 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 14 décembre 2022 relatif à la résilience opérationnelle numérique du secteur financier et modifiant les règlements (CE) n° 1060/2009, (UE) n° 648/2012, (UE) n° 600/2014, (UE) n° 909/2014 et (UE) 2016/1011)

Un article de, Evy Slaets – Manager at DynaFin.