Règlement sur la résilience opérationnelle numérique (DORA)

Le Règlement sur la résilience opérationnelle numérique (DORA) est une réglementation de l'UE qui établit des exigences complètes en matière de gestion des risques liés aux TIC pour le secteur financier. Entré en vigueur le 17 janvier 2025, DORA harmonise les normes de résilience numérique entre les États membres de l'UE, garantissant que les entités financières peuvent résister et se rétablir en cas de perturbations liées aux TIC.

Qui est concerné par la conformité DORA ?

DORA s'applique à plus de 20 000 entités financières à travers l'UE, notamment :

• Banques et établissements de crédit

• Entreprises d'assurance et de réassurance

• Entreprises d'investissement et plateformes de négociation

• Établissements de paiement et établissements de monnaie électronique

• Prestataires de services sur crypto-actifs

• Prestataires tiers critiques de services TIC (fournisseurs de cloud, centres de données, éditeurs de logiciels desservant des entités financières)

Les grandes institutions tout comme les entités financières de plus petite taille doivent s'y conformer, bien que des considérations de proportionnalité s'appliquent en fonction de la taille, de la nature de l'activité et du profil de risque.

Les cinq piliers de DORA

DORA structure ses exigences en cinq piliers clés :

1. Gestion des risques liés aux TIC : Cadres complets pour identifier, gérer et atténuer les risques TIC, incluant la gouvernance, l'évaluation des risques et la continuité des activités

2. Notification des incidents : Signalement obligatoire des incidents majeurs liés aux TIC aux régulateurs dans des délais stricts (notification initiale, rapports intermédiaires, analyse finale)

3. Tests de résilience opérationnelle numérique : Programmes de tests réguliers incluant des évaluations de vulnérabilité, des analyses de scénarios et des tests de pénétration poussés fondés sur la menace (TLPT) pour les entités critiques

4. Gestion des risques liés aux tiers : Surveillance rigoureuse des prestataires de services TIC, incluant les exigences contractuelles, la diligence raisonnable, le suivi et les stratégies de sortie

5. Partage d'informations : Dispositions volontaires pour partager des renseignements sur les cybermenaces et les meilleures pratiques entre entités financières

Exigences clés

Les entités financières doivent mettre en œuvre plusieurs capacités obligatoires :

• Cadre de gestion des risques TIC : Politiques, procédures et contrôles documentés et alignés sur les cinq piliers

• Gouvernance et responsabilité : Surveillance au niveau du conseil d'administration, rôles et responsabilités clairs, et implication de l'organe de direction

• Tests de résilience : Programmes de tests annuels, incluant des TLPT tous les trois ans pour les entités importantes

• Classification et notification des incidents : Systèmes pour détecter, classifier et signaler les incidents majeurs dans les délais impartis

• Registres des tiers : Tenue de registres complets de tous les prestataires de services TIC et des accords contractuels

• Continuité des activités et reprise après sinistre : Plans et capacités pour maintenir les opérations pendant les perturbations

Prestataires tiers de services TIC critiques

DORA introduit un cadre de surveillance unique pour les prestataires tiers de services TIC critiques (TPP). Ces prestataires font face à :

• Surveillance réglementaire directe : Supervision par les autorités de surveillance européennes (ESA)

• Critères de désignation : Basés sur l'importance systémique, la substituabilité et les services fournis à de multiples entités financières

• Obligations renforcées : Exigences en matière de gestion des risques, de notification d'incidents et de tests de résilience

Si vous fournissez des services de cloud, de centre de données ou des logiciels critiques à des entités financières de l'UE, vous pourriez relever du régime TPP de DORA.

Comment ISMS Copilot vous aide

ISMS Copilot offre un soutien complet pour la conformité DORA :

• Orientation spécifique au cadre : Posez des questions sur des piliers, articles ou exigences spécifiques de DORA

• Génération de politiques : Créez des politiques de gestion des risques TIC prêtes pour l'audit, des procédures de réponse aux incidents et des cadres de gestion des tiers

• Analyse des écarts : Téléchargez votre documentation existante pour identifier les lacunes par rapport aux exigences de DORA

• Évaluations des risques : Gérez des évaluations de risques TIC alignées sur DORA pour vos systèmes et vos relations avec des tiers

• Planification de la réponse aux incidents : Développez des schémas de classification des incidents et des flux de travail de notification

• Organisation de l'espace de travail : Gérez vos projets DORA séparément de vos autres initiatives de conformité

L'IA a une connaissance directe de la structure de DORA et des normes techniques de réglementation (RTS), vous pouvez donc référencer des articles ou piliers spécifiques dans vos requêtes.

Prise en main

Pour commencer votre travail de conformité DORA dans ISMS Copilot :

1. Créez un espace de travail dédié à la conformité DORA

2. Demandez à l'IA d'expliquer les piliers ou exigences spécifiques pertinents pour votre type d'organisation

3. Générez les politiques fondamentales pour la gestion des risques TIC et la réponse aux incidents

4. Téléchargez vos politiques TIC existantes pour une analyse des écarts

5. Développez un registre des tiers et un processus d'évaluation des risques à l'aide des conseils de l'IA

Ressources associées

• Texte officiel du règlement DORA : EUR-Lex

• Orientations et normes techniques de réglementation des autorités de surveillance européennes (ESA)