Accueil I #Actualités I
Objet du Règlement :
Le 10 novembre 2022, le Parlement européen a adopté le règlement sur le « Digital Operational Resilience Act » DORA qui a pour objectif d’harmoniser et renforcer les règles en matière de gestion des risques liés aux nouvelles technologies pesant sur les entités financières de l’UE. Ce règlement entrera en vigueur fin 2024.
DORA prévoit :
- Le renforcement des mécanismes de gouvernance du secteur financier (art 5)
- La mise en place de procédures de gestion des risques informatiques (art 6 à 16)
- La notification des incidents de sécurité (art 7 à 23)
- La réalisation des tests de résilience opérationnelle (art 24 à 27)
- L’encadrement contractuel des risques liés aux tiers prestataires de services informatiques (art 28 à 44)
- La mise en place de dispositifs de partage d’informations (art 45)
- L’encouragement du développement de clauses contractuelles types élaborées par l’AES (Autorités Européennes de Surveillance) pour des services particuliers.
Le champ d’application du règlement est très large et concernera la quasi-totalité du secteur financier. Il s’étend à 21 catégories d’entités et notamment les établissements de crédit, de paiement, de monnaie électronique, les compagnies d’assurance, les sociétés de gestion.
Commentaires de l’Institut :
Ce règlement est intéressant car il met en place des mécanismes d’échange entre les entités financières d’informations sur les cybermenaces. Par ailleurs, il est de plus en plus fréquent que les entreprises externalisent un certain nombre de services dont certains ont des fonctions sensibles. Pour répondre à cette problématique, le règlement établit que les prestataires critiques installés dans un pays tiers qui fournissent des services informatiques aux entités financières soient tenus de créer une filiale dans l’UE.
Ce cadre règlementaire unifié est indispensable au renforcement de la sécurité informatique du secteur financier. Il est d’autant plus urgent en cette période où les cyberattaques sont de plus en plus sophistiquées et se multiplient.
Cependant, l’une des craintes et pas la moindre, reste comme pour le RGPD sa mise en application. Les entreprises vont devoir très vite ajuster leurs process internes et le délai de fin 2024 annoncé pour la mise en œuvre, semble très court pour effectuer les mesures nécessitées par la mise en place d’un cadre de gouvernance et de contrôle spécifique surtout pour les petites et moyennes entreprises.
Jean-Marie Cavada
Président iDFrights
Colette Bouckaert
Secrétaire Générale iDFrights