Réglementation DORA, impact et enjeux pour les entreprises du secteur financier 

La réglementation européenne DORA (pour Digital Operational Resilience Act) impose un cadre de gouvernance et de contrôle interne spécifique au secteur financier afin de garantir la résilience opérationnelle en matière informatique. 

DORA pose des normes de sécurité ainsi que certaines règles strictes auprès de certains acteurs, principalement issus du secteur de la finance comme les banques, les gestionnaires de fonds ainsi que les compagnies d’assurance et les fournisseurs de services de paiement, infrastructures de marché.  

Ces différentes règles concernent les domaines suivants :  

  • La gestion des risques liés à l’informatique. 
  • La déclaration des incidents de sécurité majeurs en lien avec les technologies. 
  • La réalisation de tests de résilience opérationnelle informatique. 
  • La gestion du risque associé aux tiers, incluant la supervision directe des prestataires de services jugés « critiques ». 

Globalement, la réglementation DORA cherche à standardiser la gestion des risques informatiques dans le secteur financier, assurant la continuité opérationnelle et le fonctionnement efficace des services essentiels lors de significatifs incidents de sécurité informatique. 

Quels sont les impacts de la réglementation DORA pour votre entreprise ? 

DORA est susceptible d’impacter fortement les institutions financières au sein de l’UE de plusieurs façons : 

  1. Coûts de conformité accrus : les institutions devront investir davantage dans les ressources et les systèmes pour répondre aux exigences réglementaires, augmentant ainsi les dépenses liées à la conformité. 
  2. Surveillance accrue : le règlement permettra aux autorités réglementaires d’effectuer des contrôles plus fréquents et approfondis sur la résilience opérationnelle des institutions. 
  3. Modification des pratiques commerciales : les institutions financières devront ajuster leurs pratiques pour se conformer aux normes, incluant la cybersécurité et les plans de continuité. 
  4. Accent sur la gestion des risques : DORA accentue la gestion des risques, exigeant que les institutions financières établissent un cadre robuste de gestion des risques, incluant l’élaboration et l’application de procédures plus strictes. 
  5. Amélioration de la résilience opérationnelle : en se conformant à ces normes, les institutions pourront mieux résister et répondre aux perturbations, renforçant ainsi leur stabilité globale. 

Ces changements visent à renforcer la sécurité et la stabilité financières pour les institutions et leurs clients. 

Quels sont les enjeux d’un point de vue juridique ? 

Plusieurs enjeux juridiques sont liés à cette nouvelle règlementation comme la responsabilité et l’exigence de conformité en instaurant des obligations claires afin de renforcer la résilience opérationnelle des entreprises contre les cybermenaces et pannes techniques. DORA prévoit des pénalités en cas de non-respect des normes avec des sanctions et amendes, favorise la collaboration et le partage de données sur la cybersécurité entre les autorités nationales et impacte la gestion des données personnelles, nécessitant la conformité avec des règles comme le RGPD. Pour finir, DORA peut requérir l’adhésion à des normes techniques précises en cybersécurité et des évaluations ainsi que des tests réguliers sont exigés pour préparer les entreprises concernées aux menaces émergentes. 

Les dates clés 

  • 27/12/2022 : publication du règlement dans le Journal Officiel de l’Union Européenne. 
  • Début 2023 : entrée en vigueur. 
  • 2025 : obligation d’appliquer le règlement au sein des 27 États membres de l’UE. 

A l’inverse d’une directive, comme cela est par exemple le cas avec NIS2, un règlement doit être appliqué en l’état, sans transposition. Cela implique que les institutions financières et les fournisseurs de services doivent planifier et s’organiser dès à présent.