Scribd
Importer
36 vues3 pages

DORA

Transféré par

pifosem309
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd
36 vues3 pages

DORA

Transféré par

pifosem309
Copyright
© © All Rights Reserved
Nous prenons très au sérieux les droits relatifs au contenu. Si vous pensez qu’il s’agit de votre contenu, signalez une atteinte au droit d’auteur ici.
Formats disponibles
Téléchargez aux formats PDF, TXT ou lisez en ligne sur Scribd

Règlement DORA = Digital OpeRa onal Act

= Résilience opéra onnelle numérique du secteur financier.


= Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022

Il définit des exigences uniformes pour renforcer et harmoniser la ges on des risques liés aux
technologies de l'informa on et de la communica on (TIC) et à la sécurité des réseaux et des
systèmes d'informa on au niveau de l'UE.

16 janvier 2023 : Entrée en vigueur du réglemnt DORA, et de la direc ve associée.


17 janvier 2025 : Entrée en applica on du réglement DORA. Date butoir pour transposer la
direc ve DORa

La direc ve (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022, a


pour objec f de modifier les direc ves existantes telles que les direc ves CRD IV, DSP2, BRRD,
Solvabilité 2, IORP2, MiFID 2, AIFM, ... afin de les me re en cohérence avec les nouvelles
disposi ons du règlement DORA.
La direc ve 2022/2556 devra être transposée par les États membres d'ici le 17 janvier 2025.

Les 5 piliers de DORA :

1) Le disposi f de ges on des risques liés aux TIC.


-> Il faut gérer les risques liés aux TIC.
Les en tés financières doivent disposer d'un disposi f de ges on des risques liés aux TIC
solide, complet et bien documenté, qui leur permet de parer à ces risques de manière rapide,
efficiente et exhaus ve et de garan r un niveau élevé de résilience opéra onnelle numérique.
Intégré au disposi f global de ges on des risques, il s'appuie sur une stratégie de résilience
opéra onnelle numérique qui définit les modalités de mise en œuvre du disposi f. Il doit être
amélioré en permanence sur la base des enseignements rés de la mise en œuvre et du suivi.

2) La ges on et le repor ng des incidents TIC et des cybermenaces.


-> Il faut gérer les incidents et en informer les autorités internes et externes.
Au cœur du règlement DORA, l'harmonisa on de la no fica on des incidents liés aux TIC est
un enjeu majeur. Cela perme ra aux autorités de surveillance de réagir plus rapidement face à
des cybermenaces, tout en aidant les en tés financières à mieux comprendre l'évolu on du
paysage des menaces. Dans le cadre de ce pilier, les en tés financières doivent définir et
me re en œuvre un processus de ges on des incidents TIC afin de détecter, de gérer et de
no fier les incidents TIC.
Elles doivent enregistrer et classer tous les incidents liés aux TIC et les cybermenaces
importantes selon les critères détaillés dans le règlement DORA et qui seront précisés par les
autorités européennes de surveillance (ou AES : EBA, EIOPA et ESMA). Les incidents majeurs
liés aux TIC doivent être reportés aux membres de la Direc on et à l'organe de direc on, et
être déclarés aux autorités compétentes dans des délais et au moyen d'un modèle commun
qui seront définis par les AES. Les en tés financières pourront également, sur une base
volontaire, déclarer les cybermenaces importantes.
3) Les tests de la résilience opéra onnelle numérique.
-> Il faut régulièrement réaliser des tests de résilience (au moins 1 fois par an).
Les en tés financières, autres que les microentreprises, doivent établir, maintenir et
réexaminer régulièrement un programme de tests de résilience opéra onnelle numérique
faisant par e intégrante du disposi f de ges on des risques liés aux TIC.

Le programme de tests de résilience numérique doit :


- Comprendre un large éventail d'évalua ons, de tests, de méthodologies, de pra ques
et d'ou ls à appliquer
- Couvrir les ou ls et les systèmes TIC et, au moins une fois par an, tous les systèmes et
applica ons de TIC qui sou ennent des fonc ons cri ques ou importantes
- S'assurer de la conduite des tests par des par es indépendantes internes ou externes
- Prévoir des procédures et des stratégies des nées à hiérarchiser, classer et résoudre
tous les problèmes mis en évidence au cours des tests
- Définir des procédures de revue et de valida on de la mise en œuvre des plans de
remédia on
Les en tés financières d'importance significa ve et cyber matures, désignées par les autorités
compétentes, devront effectuer au moins tous les trois ans des tests avancés au moyen de
tests de pénétra on fondés sur la menace (« Threat-Led Penetra on Tes ng » ou « TLPT »).
Pour en savoir plus : DORA : vers une évolu on des pra ques de tests pour intégrer les enjeux
de résilience opéra onnelle numérique

4) La ges on des risques liés aux prestataires de services TIC.


-> Il faut gérer ses prestataires de services TIC.
Le règlement DORA introduit une harmonisa on des exigences existantes en ma ère de
ges on des risques liés aux ers prestataires de services TIC. Les en tés financières doivent
notamment :
- Définir une stratégie en ma ère de risques liés aux ers prestataires de services
informa ques
- Définir une poli que d'u lisa on des services TIC concernant les fonc ons cri ques
ou importantes
- Tenir à jour un registre d'informa ons portant sur tous les contrats conclus avec les
ers prestataires de services TIC
- Conduire des diligences avant l'entrée en rela on et notamment évaluer le risque de
concentra on
- Inclure dans les contrats des clauses standard minimales notamment en ma ère de
résilia on
- Me re en œuvre une surveillance con nue de la rela on
Le règlement DORA introduit également un mécanisme de surveillance direct des prestataires
de services TIC cri ques par les AES au niveau de l'UE.
5) Le partage d'informa ons en ma ère de cybersécurité.
-> Il faut partager ses informa ons sur les cybermenaces.
Le règlement DORA encourage vivement les en tés financières à partager les renseignements
et les informa ons sur les cybermenaces au sein de communautés d'en tés financières de
confiance. Ce e démarche vise à sensibiliser aux cybermenaces et à soutenir les capacités de
défense, les techniques de détec on des menaces et les stratégies d'a énua on, de réponse
et de rétablissement du secteur financier.

Vous aimerez peut-être aussi