DataNomos
You Are Reading
DORA : numérique et finance
0
Actualité juridique, Europe, France, Mises à jour réglementaires et législatives

DORA : numérique et finance

Le Digital Operational Resilience Act (DORA), formellement connu sous le nom de Règlement (UE) 2022/2554 du Parlement européen et du Conseil du 14 décembre 2022, établit un cadre juridique exhaustif visant à renforcer la résilience opérationnelle numérique du secteur financier au sein de l’Union européenne. Ce règlement, entré en vigueur le 16 janvier 2023, sera directement applicable dans tous les États membres à partir du 17 janvier 2025.

Champ d’application et entités concernées

Le DORA s’applique à une vaste gamme d’entités financières, notamment :

  • Les établissements de crédit.
  • Les entreprises d’investissement.
  • Les sociétés de gestion d’organismes de placement collectif en valeurs mobilières (OPCVM).
  • Les gestionnaires de fonds d’investissement alternatifs (FIA).
  • Les prestataires de services de paiement.
  • Les émetteurs de monnaie électronique.
  • Les dépositaires centraux de titres.
  • Les contreparties centrales.
  • Les prestataires de services sur crypto-actifs.

Cette liste, non exhaustive, est détaillée à l’article 2, paragraphe 1, du règlement.

Exigences principales du DORA

Le règlement impose aux entités financières des obligations strictes en matière de gestion des risques liés aux technologies de l’information et de la communication (TIC) :

  1. Cadre de gestion des risques TIC : Les entités doivent établir et maintenir un cadre robuste pour identifier, protéger, détecter, répondre et se remettre des risques TIC. Ce cadre doit être intégré dans le système global de gestion des risques de l’entité.

  2. Notification des incidents majeurs : Les entités sont tenues de signaler aux autorités compétentes tout incident majeur lié aux TIC, en respectant des critères de classification spécifiques et des seuils d’importance significative définis par des normes techniques de réglementation.

  3. Tests de résilience opérationnelle numérique : Les entités doivent effectuer régulièrement des tests pour évaluer leur capacité à prévenir, détecter, répondre et se remettre des incidents liés aux TIC. Pour les entités importantes, ces tests incluent des tests de pénétration avancés effectués par des tiers qualifiés.

  4. Gestion des risques liés aux prestataires tiers de services TIC : Les entités doivent gérer les risques découlant de leurs relations avec des prestataires tiers de services TIC, en veillant à ce que des accords contractuels appropriés soient en place et en surveillant les performances de ces prestataires.

  5. Échange d’informations : Le DORA encourage les entités à échanger des informations et des renseignements sur les cybermenaces et les vulnérabilités, afin de renforcer la résilience collective du secteur financier.

Supervision des prestataires tiers critiques de services TIC

Une innovation majeure du DORA est l’établissement d’un cadre de surveillance directe pour les prestataires tiers de services TIC considérés comme critiques. Les autorités européennes de surveillance (AES) – l’Autorité bancaire européenne (ABE), l’Autorité européenne des assurances et des pensions professionnelles (AEAPP) et l’Autorité européenne des marchés financiers (AEMF) – sont chargées de désigner ces prestataires critiques en fonction de critères définis, tels que l’importance systémique, la dépendance des entités financières à leurs services et le niveau de risque que leur défaillance pourrait poser pour la stabilité financière.

Les prestataires désignés comme critiques seront soumis à une surveillance renforcée, incluant des obligations de reporting spécifiques et des inspections régulières.

Intégration avec d’autres cadres juridiques

Le DORA s’articule avec d’autres législations européennes pertinentes, notamment :

  • Directive (UE) 2022/2556 : Cette directive modifie plusieurs directives sectorielles pour aligner leurs dispositions sur le DORA, assurant ainsi une cohérence réglementaire à travers les différents segments du secteur financier.

  • Directive NIS 2 (Directive (UE) 2022/2555) : Bien que la directive NIS 2 établisse des mesures pour un niveau élevé commun de cybersécurité dans l’Union, le DORA prévaut pour les entités financières, offrant un cadre spécifique adapté aux particularités du secteur financier.

Sanctions en cas de non-conformité

Les autorités compétentes des États membres sont habilitées à imposer des sanctions administratives et des mesures correctives en cas de non-respect des obligations du DORA. Les sanctions peuvent inclure des amendes proportionnées à la gravité de l’infraction, des ordres de cessation des activités non conformes et des injonctions pour remédier aux défaillances identifiées.

 

Le DORA représente une évolution significative du cadre réglementaire européen, visant à renforcer la résilience opérationnelle numérique du secteur financier. Les entités concernées doivent entreprendre des mesures proactives pour se conformer aux exigences du règlement avant son application en janvier 2025, en adaptant leurs cadres de gestion des risques, en renforçant leurs capacités de surveillance et en assurant une gouvernance robuste de leurs relations avec les prestataires tiers de services TIC.

Sources : DORA analyse