Loi sur la résilience opérationnelle numérique (DORA)
Le règlement (UE) 2022/2554, connu sous le nom de Digital Operational Resilience Act (DORA), est un cadre global visant à garantir que le secteur financier de l'UE puisse résister et se remettre des perturbations liées aux TIC. Les principales sections comprennent des exigences en matière de TIC risqueRisque désigne le potentiel de perte ou de perturbation causé par un incident et doit être exprimé comme une combinaison de l'ampleur de cette perte ou de cette perturbation et de la probabilité d'occurrence de l'incident. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) la gestion, incidentIncident Un événement compromettant la disponibilité, l'authenticité, l'intégrité ou la confidentialité des données stockées, transmises ou traitées ou des services offerts par les réseaux et les systèmes d'information ou accessibles par leur intermédiaire. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2) les rapports d'activité, les tests de résilience opérationnelle et la gestion des risques des tiers. Le DORA établit également un cadre de surveillance réglementaire pour les activités essentielles des tiers. Service TICService TIC Un service consistant entièrement ou principalement en la transmission, le stockage, l'extraction ou le traitement d'informations au moyen de réseaux et de systèmes d'information - Définition selon l'article 2, point (13), du règlement (UE) 2019/881. Les fournisseurs de services de TIC. Il consolide et met à jour les règles relatives aux risques liés aux TIC dans les différentes réglementations, ce qui favorise la cohérence, la sécurité juridique et la réduction des coûts de mise en conformité pour les entités financières opérant à l'étranger.
Structure et sections clés
- Dispositions générales. Cette section décrit le champ d'application et les objectifs du DORA, qui s'applique à un large éventail d'entités financières, notamment les banques, les entreprises d'investissement et les établissements de paiement. Elle définit les termes clés et établit le fondement juridique de la réglementation, en soulignant la nécessité d'une approche uniforme de la résilience numérique dans l'ensemble de l'UE.
- Gestion des risques liés aux TIC. Cette section impose aux entités financières de mettre en œuvre des cadres complets de gestion des risques liés aux TIC. Ces cadres doivent couvrir tous les aspects des risques liés aux TIC, y compris l'identification, la protection, la détection, la réponse et la récupération. Les entités sont tenues de revoir et d'actualiser régulièrement leurs stratégies de gestion des risques pour faire face à l'évolution des menaces.
- Rapport sur les incidents liés aux TIC. Le DORA exige des institutions financières qu'elles établissent des procédures claires pour signaler les incidents importants liés aux TIC. Il s'agit notamment des incidents qui ont un impact substantiel sur le fonctionnement de l'entreprise. entitéEntité Une personne physique ou morale créée et reconnue comme telle par le droit national de son lieu d'établissement, qui peut, en agissant sous son propre nom, exercer des droits et être soumise à des obligations. Définition selon l'article 6 de la directive (UE) 2022/2555 (directive NIS2)L'information des autorités compétentes est essentielle pour coordonner les réponses au niveau de l'UE. Il est essentiel que les autorités compétentes soient informées en temps utile pour que les réponses soient coordonnées au niveau de l'UE.
- Test de résilience opérationnelle numérique
Les entités financières doivent effectuer régulièrement des tests de résilience opérationnelle numérique, y compris des tests de pénétration dirigés par la menace (TLPT). L'objectif est d'évaluer l'efficacité de leur gestion des risques liés aux TIC et de leur préparation aux cybermenaces potentielles. Les entités identifiées comme critiques doivent subir des tests plus stricts sous la supervision des autorités compétentes. - Partage d'informations. Le DORA encourage le partage d'informations sur les cybermenaces et les vulnérabilités entre les entités financières. Cette coopération vise à renforcer la résilience collective en permettant aux entités de tirer des enseignements de leurs expériences respectives et de mieux se préparer aux menaces potentielles.
- Gestion des risques liés aux tiers. Cette section réglemente l'utilisation de fournisseurs de services TIC tiers, en reconnaissant les risques associés à l'externalisation de fonctions critiques. Les entités financières sont tenues de surveiller et de gérer les risques liés aux fournisseurs tiers, en veillant à ce que ces derniers respectent des normes strictes en matière de résilience. Les fournisseurs de TIC critiques peuvent également faire l'objet d'une surveillance directe de la part des régulateurs de l'UE.
- Mesures de contrôle et sanctions. La loi DORA confère aux autorités de surveillance le pouvoir de faire respecter le règlement et d'imposer des sanctions en cas d'infraction. Cette section présente le cadre de surveillance, en détaillant les pouvoirs des autorités nationales et européennes pour s'assurer que les entités financières respectent les exigences. Les sanctions peuvent être importantes, reflétant la gravité de la non-conformité.
Le règlement vise à créer une approche harmonisée de la résilience opérationnelle numérique, en veillant à ce que les systèmes financiers de l'UE soient robustes, sûrs et capables de résister aux perturbations liées aux technologies de l'information et de la communication (TIC).