Focus sur DORA

La réglementation DORA

DORA, qu’est ce que c’est ? 

DORA (Digital Operational Resilience Act):

Est une réglementation Européenne présente qui cadre le périmètre lié à la transformation numérique des services financiers. Les services bancaires reposant sur des technologies vieillissantes voir obsolète se doivent de se renouveler en prenant compte les exigences liées aux risques cyber modernes. Elle s’applique dans toute l’UE sans avoir besoin de lois nationales pour les mettre en application.

Votée en décembre 2022, sa mise en application doit voir le jour à partir du 17 Janvier 2025.

L’objectif de la réglementation est de renforcer la résilience opérationnelle du secteur financier, protéger les données clients et surtout établir des règles uniformes dans toute l’UE pour les institutions financières. Là où pour l’instant certaines de ces entités se doivent de remplir de moindres exigences créant donc une inégalité à l’echelle européenne.

Qui est concernées ? 

Les entités concernées 

Le présent règlement s’applique aux entités suivantes :

  • Les établissements de crédit, 
  • Les établissements de paiement, 
  • Les établisssements de monnaie électronique, 
  • Les entreprises d’investissement, FR 34 FR,
  • Les prestataires de services sur crypto-actifs, les émetteurs de crypto-actifs, les émetteurs de jetons se référant à un ou des actifs et les émetteurs de jetons se référant à un ou des actifs et revêtant une importance significative,
  • Les dépositaires centraux de titres,
  • Les contreparties centrales,
  • Les plates-formes de négociation,
  • Les référentiels centraux,
  • les gestionnaires de fonds d’investissements alternatifs,
  • Les sociétés de gestion,
  • Les prestataires de services de communication de données,
  • Les entreprises d’assurance et de réassurance, 
  • Les intermédiaires d’assurance, les intermédiaires de réassurance et les intermédiaires d’assurance à titre accessoire,
  • Les institutions de retraite professionnelle,
  • Les agences de notation de crédit, 
  • Les contrôleurs légaux des comptes et les cabinets d’audit,
  • Les administrateurs d’indices de référence d’importance critique,
  • Les prestataires de services de financement participatif,
  • Les référentiels des titrisations, 
  • Les tiers prestataires de services informatiques. 

Les exigences applicables aux entités financières 

(a)   Les exigences qui sont applicables aux entités financières dans le cadre de cette réglementation sont :

  • la gestion des risques liés aux technologies de l’information et de la communication (TIC);
  • la notification, aux autorités compétentes, des incidents majeurs liés à l’informatique ;
  • les tests de résilience opérationnelle numérique ;
  • le partage d’informations et de renseignements en rapport avec les cybermenaces et les cyber vulnérabilités;
  • les mesures destinées à garantir une gestion solide, par les entités financières, du risque lié aux tiers prestataires de services informatiques ;

     (b) les exigences relatives aux accords contractuels conclus entre des tiers prestataires de services informatiques et des entités financières ;

     (c) le cadre de supervision applicable aux tiers prestataires critiques de services informatiques lorsqu’ils fournissent des services à des entités financières ;

     (d) les règles relatives à la coopération entre les autorités compétentes et les règles relatives à la surveillance et à l’exécution par les autorités compétentes en ce qui concerne toutes les questions couvertes par le présent règlement.

Les 5 pilliers de DORA

La règlementation repose sur 5 piliers principaux :

  1. Gestion des risques liés aux TIC
  2. Gestion, classification et notification des incidents liés aux TIC
  3. Test de résilience opérationnelle numérique
  4. Gestion de risques liée aux prestataires de service
  5. Dispositif de partage d’information

Obligations et sanctions 

Obligations et sanctions 

Les sanctions pour les entités concernées peuvent être vraiment dommageable en fonctions des organisations :

  • Amende allant jusqu’à 10 M€ ou 5% du CA annuel total.
  • Blâme public aux entités qui ne respecte pas la réglementation
  • Retrait de l’agrément
  • Indemnisation des clients lésés ayant subi un dommage dû à un manque de respect des exigences.

Ce seront les autorités nationales compétences et l’autorité bancaire européenne qui contrôleront le respect de ces exigences par les différentes organisations.