La réglementation Européenne DORA sur la résilience opérationnelle numérique entre en application en janvier 2025.
Qu’est-ce que le règlement DORA ?
Le 16 janvier 2023, le règlement DORA (Digital Operational Resilience Act) est entré en vigueur, après adoption par le Conseil de l’Union européenne en novembre 2022.
Il s’agit d’un cadre réglementaire innovant qui contingente les risques posés par la profonde transformation numérique des services financiers, l’interconnexion croissante des réseaux et des infrastructures critiques. Alors que les cyberattaques à l’encontre des acteurs du secteur financier se multiplient, et ces attaques sont toujours plus sophistiquées.
Le règlement DORA1 apporte un cadre détaillé et complet sur la résilience opérationnelle numérique pour les entités financières au niveau de l’UE, ainsi que la mise en place d’un mécanisme de surveillance pour les prestataires de services critiques.
Avec le règlement DORA les entités financières devront s’assurer qu’elles peuvent résister, répondre et se rétablir face à toute perturbation opérationnelle grave liée aux technologies de l’information et de la communication (TIC).
L’approche DORA de résilience opérationnelle
Le concept de résilience opérationnelle met ainsi l’accent sur la nécessité de faire évoluer l’approche de gestion des risques opérationnels, d’une approche centrée sur la prévention des risques et la limitation des pertes vers une approche plus large et proactive. Cette dernière part du principe que les incidents, même les moins probables, vont se produire et qu’il faut être prêt à les traiter et à assurer la continuité des activités et services critiques ou importants.
Cette approche requiert de développer une connaissance fine du fonctionnement des activités de l’entreprise et de son écosystème afin d’identifier les risques et les menaces mais également d’évaluer les niveaux de perturbations acceptables pour l’organisation mais aussi du point de vue du client. Cette dynamique améliore l’agilité et la réactivité de l’organisation ce qui contribue à renforcer la confiance et la fidélité des clients.
Qui est concerné par la nouvelle réglementation DORA ?
Quasiment toutes les entités du secteur financier (établissements de crédit, entreprises d’investissements, établissements de paiement, établissements de monnaie électronique, sociétés de gestion, entreprises d’assurance et de réassurance, intermédiaires d’assurance et de réassurance…) ainsi que leurs prestataires de services qui opèrent au sein de l’Union européenne sont concernés par la réglementation DORA.
Quel est le calendrier d’application ?
Le règlement DORA s’appliquera directement à l’ensemble des États membres de l’UE à partir du 17 janvier 2025. Au cours des deux prochaines années, la Commission européenne publiera des actes délégués sur la base des projets finaux de normes réglementaires techniques et d’exécution (RTS et ITS) qui seront soumis conjointement par les autorités européennes de surveillance (EBA, EIOPA, ESMA). Ces textes viendront préciser certaines exigences du règlement DORA (niveau 1) et constitueront le niveau 2 de ce nouveau cadre réglementaire unifié visant à renforcer la résilience opérationnelle numérique du secteur financier.
La directive 2022/2556 devra, quant à elle, être transposée par les États membres d’ici le 17 janvier 2025.
Quels impacts pour Heptalytics ?
L’infrastructure Heptalytics est conçue pour respecter les plus hauts standards de sécurité et de résilience – il s’agit d’une infrastructure résiliente by design, en mobilisant des services qui sont eux-mêmes certifiés ISO2700, avec une réplication de données dans différents datacenters prise en charge par notre provider de service.
En tant que prestataire de services pour les entités financières, et sous-traitant pour le traitement des données sous responsabilité des entités financières, Heptalytics met en œuvre :
- Un dispositif de gestion des risques liés aux TIC (Technologies de l’Information et de la Communication). Ce dispositif, intégré au dispositif global de gestion des risques, s’appuie sur une stratégie de résilience opérationnelle numérique – il sera amélioré en permanence sur base des enseignements tirés de la mise en œuvre et du suivi.
- La gestion et le reporting des incidents TIC : Heptalytics a mis en place un processus de gestion des incidents TIC afin de détecter, gérer et notifier les potentiels incidents. Les incidents et cybermenaces sont enregistrés et classés selon les critères détaillés dans le règlement DORA, et reportés auprès de nos clients, pour les intégrer dans leur reporting auprès des Autorités Européennes de Surveillance.
- les tests de la résilience opérationnelle numérique : Heptalytics a conçu un dispositif de tests et une méthodologie, qui est passée en revue sur une base annuelle, afin d’assurer la résilience de sa solution. A la demande expresse de nos clients, la conduite de ces tests2 pourra être menée par des parties indépendantes. L’exploitation des résultats seront intégrés dans le dispositif de gestion des risques, et les futurs dispositifs de tests.
[1] Le règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022 sur la résilience opérationnelle numérique (dit règlement DORA) définit des exigences uniformes pour renforcer et harmoniser la gestion des risques liés aux technologies de l’information et de la communication (TIC) et à la sécurité des réseaux et des systèmes d’information au niveau de l’UE.
La directive (UE) 2022/2556 du Parlement européen et du Conseil du 14 décembre 2022 quant à elle a pour objectif de modifier les directives existantes telles que les directives CRD IV, DSP2, BRRD, Solvabilité 2, IORP2, MiFID 2, AIFM, …afin de les mettre en cohérence avec les nouvelles dispositions du règlement DORA.
[2] Plusieurs niveaux de tests peuvent être réalisés, jusqu’aux Threat-Led Penetration Testing
